Elektronik imza ve RGPD: DPO'lar için rehber
Elektronik imza çözümünün benimsenmesi birkaç RGPD sorusunu ortaya koymaktadır: veriler nerede barındırılmaktadır? Bunlara kimler erişebilir? Cloud Act riski var mı? Bu rehber bu soruları yanıtlar ve kuruluşunuz için RGPD'ye uyumlu bir çözüm seçme konusunda açıklama yapar.
İmza çözümü hangi kişisel verileri işler?
Elektronik imza platformu çeşitli kişisel veri kategorilerini işler.
- İmza sahibinin kimliği: ad, soyad, e-posta, telefon numarası
- Belge içeriği: potansiyel olarak hassas kişisel veriler (iş sözleşmeleri, sağlık verileri, finansal veriler)
- Denetim izi verileri: IP adresi, zaman damgası, kullanıcı aracısı
- Davranışsal veriler: tablet üzerinde el yazısı imza izleri (QES biyometrik ise)
Barındırma ve AB dışı aktarımlar
RGPD, kişisel verilerin AB dışına yalnızca yeterli koruma düzeyi sağlayan ülkelere veya uygun garantiler (SCCs, BCRs) altında aktarılmasını gerektirmektedir. İmza çözümleri için bu şu anlama gelmektedir:
- AB barındırması → doğal aktarım, ek formalite yoktur
- SCCs ile ABD barındırması → mümkündür ancak Cloud Act artık risker içerir
- ABD kuruluşu (Cloud Act) → AB barındırılsa bile sorun giderilemeyen risk
Amerikan Cloud Act ve elektronik imza
Cloud Act (2018), Amerikan hukuku tabi şirketlerin barındırdığı verilere Amerikan yetkililerinin erişmesine izin vermektedir; bu veriler Avrupa'da depolanmış olsa bile. DocuSign, Adobe Sign ve Dropbox Sign, Cloud Act'e tabi Amerikan şirketleridir. Certyneo, bu dışa doğru yasal yetki kapsamında olmayan bir Fransız kuruluşudur.
| Solution | Çözüm başına Cloud Act risk düzeyi |
|---|---|
| Certyneo | Risk yok — Fransız kuruluşu |
| Yousign | Risk yok — Fransız kuruluşu |
| DocuSign | Artık risk — Amerikan kuruluşu |
| Adobe Acrobat Sign | Artık risk — Amerikan kuruluşu |
| Dropbox Sign | Artık risk — Amerikan kuruluşu |
DPA ve yasal temeller
İmza çözümü tarafından veri işlenmesi, geçerli bir yasal temele dayanmalıdır (sözleşme, meşru çıkar veya rıza). Veri işleme sözleşmesi (DPA) imza sağlayıcı ile yapılmalıdır. Certyneo, RGPD uyumlu, elektronik olarak imzalanabilir ve RGPD'nin 28. maddesinin gerekli öğelerini içeren bir DPA sunmaktadır.
VOP'lar için öneriler
- 1Yasal merkezi AB veya Birleşik Krallık'ta olan bir sağlayıcı seçiniz (post-Brexit yeterlilik kararı ile)
- 2Barındırmanın yalnızca AB'de ve AB dışı sunucularda çoğaltma olmaksızın gerçekleştiğini doğrulayınız
- 3RGPD'nin 28. maddesine uygun bir DPA alınız ve imzalayınız
- 4Belgelerinizde hassas veriler işliyorsanız etki değerlendirmesini (AIPD) belgelendirin
- 5Veri saklama süresi ve sözleşme sonunda silme politikasını doğrulayınız
Elektronik imza hakkında RGPD soruları
- Elektronik imza, kişisel veri işlenmesine neden olur mu?
- Evet. İmzalayan kişinin e-postası, adı ve potansiyel olarak telefon numarası toplanmaktadır. Belgelerin içeriği de kişisel veriler içerebilir. İmza sağlayıcı, RGPD'nin 28. maddesi kapsamında veri işleyenidir.
- DocuSign RGPD uyumlu mu?
- DocuSign, RGPD uyumlu olduğunu ileri sürmekte ve SCC'ler sunmaktadır. Bununla birlikte, bir Amerikan şirketi olarak Cloud Act'e tabi olmaya devam etmektedir. CNIL, Cloud Act'in AB dışındaki kuruluşlar tarafından barındırılan Avrupa verileri için, AB'de barındırılsa bile sorun giderilemeyen bir risk oluşturduğunu belirtmiştir.
- Certyneo RGPD uyumlu mu?
- Evet. Certyneo bir Fransız kuruluşu olup, AB'de barındırılmakta (IONOS Almanya) ve Cloud Act'e tabi değildir. Veriler transit sırasında (TLS 1.3) ve beklemede şifrelenmiştir. Certyneo, RGPD'nin 28. maddesine uygun bir DPA sunmaktadır.
- İmza çözümü kullanımı için AIPD yapılması gerekli mi?
- AIPD, standart elektronik imza için otomatik olarak gerekli değildir. Hassas veriler (sağlık, sendika verilerine sahip İK) içeren belgeler imzalıyorsanız veya imza kullanımınız profilleme veya ölçekte gözetim gerektiriyorsa gereklidir.