Електронний підпис та RGPD: посібник для DPO
Впровадження рішення електронного підпису ставить кілька питань щодо RGPD: де розміщуються дані? Хто має до них доступ? Чи існує ризик Cloud Act? Цей посібник відповідає на ці питання й пояснює, як вибрати рішення, яке відповідає RGPD, для вашої організації.
Які персональні дані обробляє рішення для підпису?
Платформа електронного підпису обробляє кілька категорій персональних даних.
- Особистість підписуючої особи: ім'я, прізвище, email, номер телефону
- Вміст документів: потенційно чутливі персональні дані (трудові договори, медичні дані, фінансові дані)
- Дані аудиту: IP-адреса, timestamp, user-agent
- Поведінкові дані: візерунок рукописного підпису на планшеті (якщо біометричний QES)
Розміщення та передача даних поза ЄС
RGPD вимагає, щоб персональні дані передавалися поза ЄС лише до країн, які забезпечують адекватний рівень захисту, або під належні гарантії (SCCs, BCRs). Для рішень щодо підпису це означає:
- Розміщення в ЄС → природний трансфер, без додаткових формальностей
- Розміщення в США з SCCs → можливо, але залишається ризик Cloud Act
- Американська компанія (Cloud Act) → невикоримий ризик навіть при розміщенні в ЄС
Американський Cloud Act та електронний підпис
Cloud Act (2018) надає американським органам влади право доступу до даних, розміщених американськими компаніями, навіть якщо ці дані зберігаються в Європі. DocuSign, Adobe Sign та Dropbox Sign – це американські компанії, які підлягають Cloud Act. Certyneo – французька компанія, не підпадає під цю екстериторіальність.
| Solution | Рівень ризику Cloud Act за рішеннями |
|---|---|
| Certyneo | Немає ризику — французька компанія |
| Yousign | Немає ризику — французька компанія |
| DocuSign | Залишковий ризик — американська компанія |
| Adobe Acrobat Sign | Залишковий ризик — американська компанія |
| Dropbox Sign | Залишковий ризик — американська компанія |
DPA та правові основи
Обробка даних рішенням для підпису повинна базуватися на дійсній правовій основі (контракт, законний інтерес або згода). Угода про обробку даних (DPA) повинна бути укладена з постачальником послуг підпису. Certyneo пропонує DPA, що відповідає RGPD, яку можна підписати електронно, з елементами, необхідними за статтею 28 RGPD.
Рекомендації для DPO
- 1Виберіть постачальника, юридична особа якого зареєстрована в ЄС або Великобританії (після Brexit з рішенням про адекватність)
- 2Переконайтеся, що розміщення виключно в ЄС, без репліки на серверах поза ЄС
- 3Отримайте та підпишіть DPA, що відповідає статті 28 RGPD
- 4Документуйте оцінку впливу (AIPD), якщо ви обробляєте чутливі дані у своїх документах
- 5Перевірте період збереження даних та політику видалення після закінчення контракту
Питання RGPD щодо електронного підпису
- Чи передбачає електронний підпис обробку персональних даних?
- Так. Email, ім'я та потенційно номер телефону підписуючої особи збираються. Вміст документів також може містити персональні дані. Постачальник послуг підпису є обробником даних у розумінні RGPD, підпадає під зобов'язання статті 28.
- Чи DocuSign відповідає RGPD?
- DocuSign стверджує, що відповідає RGPD, й пропонує SCCs. Однак як американська компанія, вона залишається підпорядкованою Cloud Act. CNIL нагадала, що Cloud Act створює невикоримий ризик для європейських даних, розміщених американськими компаніями, навіть в ЄС.
- Чи Certyneo відповідає RGPD?
- Так. Certyneo – французька компанія, розміщена в ЄС (IONOS Німеччина), не підпадає під Cloud Act. Дані шифруються при передачі (TLS 1.3) та в спокої. Certyneo пропонує DPA, що відповідає статті 28 RGPD.
- Чи потрібно провести AIPD для використання рішення для підпису?
- AIPD не завжди вимагається для стандартного електронного підпису. Вона необхідна, якщо ви підписуєте документи, які містять чутливі дані (здоров'я, HR з даними профспілок тощо), або якщо ваше використання підпису передбачає профілювання чи контроль у великому масштабі.