Електронний підпис та GDPR: посібник для DPO

Які персональні дані обробляє рішення для підпису?

Платформа електронного підпису обробляє кілька категорій персональних даних.

• Особистість підписуючої особи: ім'я, прізвище, email, номер телефону
• Вміст документів: потенційно чутливі персональні дані (трудові договори, медичні дані, фінансові дані)
• Дані аудиту: IP-адреса, timestamp, user-agent
• Поведінкові дані: візерунок рукописного підпису на планшеті (якщо біометричний QES)

Розміщення та передача даних поза ЄС

GDPR вимагає, щоб персональні дані передавалися поза ЄС лише до країн, які забезпечують адекватний рівень захисту, або під належні гарантії (SCCs, BCRs). Для рішень щодо підпису це означає:

• Розміщення в ЄС → природний трансфер, без додаткових формальностей
• Розміщення в США з SCCs → можливо, але залишається ризик Cloud Act
• Американська компанія (Cloud Act) → невикоримий ризик навіть при розміщенні в ЄС

Американський Cloud Act та електронний підпис

Cloud Act (2018) надає американським органам влади право доступу до даних, розміщених американськими компаніями, навіть якщо ці дані зберігаються в Європі. DocuSign, Adobe Sign та Dropbox Sign – це американські компанії, які підлягають Cloud Act. Certyneo – французька компанія, не підпадає під цю екстериторіальність.

Рекомендації для DPO

1. 1Виберіть постачальника, юридична особа якого зареєстрована в ЄС або Великобританії (після Brexit з рішенням про адекватність)
2. 2Переконайтеся, що розміщення виключно в ЄС, без репліки на серверах поза ЄС
3. 3Отримайте та підпишіть DPA, що відповідає статті 28 GDPR
4. 4Документуйте оцінку впливу (AIPD), якщо ви обробляєте чутливі дані у своїх документах
5. 5Перевірте період збереження даних та політику видалення після закінчення контракту

Питання GDPR щодо електронного підпису

Чи передбачає електронний підпис обробку персональних даних?

Так. Email, ім'я та потенційно номер телефону підписуючої особи збираються. Вміст документів також може містити персональні дані. Постачальник послуг підпису є обробником даних у розумінні GDPR, підпадає під зобов'язання статті 28.

Чи DocuSign відповідає GDPR?

DocuSign стверджує, що відповідає GDPR, й пропонує SCCs. Однак як американська компанія, вона залишається підпорядкованою Cloud Act. CNIL нагадала, що Cloud Act створює невикоримий ризик для європейських даних, розміщених американськими компаніями, навіть в ЄС.

Чи Certyneo відповідає GDPR?

Так. Certyneo – французька компанія, розміщена в ЄС (IONOS Німеччина), не підпадає під Cloud Act. Дані шифруються при передачі (TLS 1.3) та в спокої. Certyneo пропонує DPA, що відповідає статті 28 GDPR.

Чи потрібно провести AIPD для використання рішення для підпису?

AIPD не завжди вимагається для стандартного електронного підпису. Вона необхідна, якщо ви підписуєте документи, які містять чутливі дані (здоров'я, HR з даними профспілок тощо), або якщо ваше використання підпису передбачає профілювання чи контроль у великому масштабі.