Chữ ký điện tử và RGPD: hướng dẫn cho các DPO
Việc áp dụng giải pháp chữ ký điện tử đặt ra nhiều câu hỏi về RGPD: dữ liệu được lưu trữ ở đâu? Ai có thể truy cập? Có nguy hiểm từ Cloud Act không? Hướng dẫn này trả lời những câu hỏi đó và giải thích cách chọn giải pháp tuân thủ RGPD cho tổ chức của bạn.
Giải pháp chữ ký điện tử xử lý những dữ liệu cá nhân nào?
Một nền tảng chữ ký điện tử xử lý nhiều loại dữ liệu cá nhân.
- Danh tính người ký: họ, tên, email, số điện thoại
- Nội dung tài liệu: có khả năng chứa dữ liệu cá nhân nhạy cảm (hợp đồng lao động, dữ liệu sức khỏe, dữ liệu tài chính)
- Dữ liệu audit trail: địa chỉ IP, timestamp, user-agent
- Dữ liệu hành vi: nét vẽ chữ ký tay trên máy tính bảng (nếu QES sinh trắc học)
Lưu trữ và chuyển giao dữ liệu ngoài EU
RGPD yêu cầu dữ liệu cá nhân chỉ được chuyển giao ngoài EU sang các quốc gia đảm bảo mức độ bảo vệ thích hợp hoặc có các cam kết phù hợp (SCCs, BCRs). Đối với các giải pháp chữ ký, điều này có nghĩa là:
- Lưu trữ EU → chuyển giao tự nhiên, không cần thủ tục bổ sung
- Lưu trữ US với SCCs → có thể nhưng có rủi ro còn lại từ Cloud Act
- Tổ chức Mỹ (Cloud Act) → rủi ro không thể loại bỏ ngay cả khi lưu trữ EU
Cloud Act Mỹ và chữ ký điện tử
Cloud Act (2018) cho phép các cơ quan Mỹ truy cập dữ liệu được lưu trữ bởi các công ty theo luật pháp Mỹ, ngay cả khi dữ liệu đó được lưu trữ ở châu Âu. DocuSign, Adobe Sign và Dropbox Sign là các công ty Mỹ tuân theo Cloud Act. Certyneo là một tổ chức Pháp, không tuân theo tính ngoài lãnh thổ này.
| Solution | Mức độ rủi ro Cloud Act theo giải pháp |
|---|---|
| Certyneo | Không có rủi ro — tổ chức Pháp |
| Yousign | Không có rủi ro — tổ chức Pháp |
| DocuSign | Rủi ro còn lại — tổ chức Mỹ |
| Adobe Acrobat Sign | Rủi ro còn lại — tổ chức Mỹ |
| Dropbox Sign | Rủi ro còn lại — tổ chức Mỹ |
DPA và cơ sở pháp lý
Xử lý dữ liệu bằng giải pháp chữ ký phải dựa trên cơ sở pháp lý hợp lệ (hợp đồng, lợi ích hợp pháp hoặc sự đồng ý). Phải ký Data Processing Agreement (DPA) với nhà cung cấp chữ ký. Certyneo cung cấp DPA tuân thủ RGPD, có thể ký điện tử, có đầy đủ các yếu tố được yêu cầu bởi Điều 28 của RGPD.
Khuyến nghị cho các DPO
- 1Chọn nhà cung cấp có tổ chức pháp lý đặt tại EU hoặc Vương quốc Anh (sau Brexit với quyết định thích hợp)
- 2Xác minh rằng lưu trữ là độc quyền ở EU, không có sao chép trên máy chủ ngoài EU
- 3Lấy và ký DPA tuân thủ Điều 28 của RGPD
- 4Ghi lại phân tích tác động (AIPD) nếu bạn xử lý dữ liệu nhạy cảm trong tài liệu của mình
- 5Xác minh thời gian lưu giữ dữ liệu và chính sách xóa khi hết hợp đồng
Câu hỏi RGPD về chữ ký điện tử
- Chữ ký điện tử có liên quan đến xử lý dữ liệu cá nhân không?
- Có. Email, tên và số điện thoại của người ký được thu thập. Nội dung tài liệu cũng có thể chứa dữ liệu cá nhân. Nhà cung cấp chữ ký là bên xử lý dữ liệu theo RGPD, phải tuân thủ các nghĩa vụ của Điều 28.
- DocuSign có tuân thủ RGPD không?
- DocuSign khẳng định tuân thủ RGPD và cung cấp SCCs. Tuy nhiên, với tư cách là công ty Mỹ, nó vẫn tuân theo Cloud Act. CNIL nhắc rằng Cloud Act tạo ra rủi ro không thể loại bỏ đối với dữ liệu châu Âu được lưu trữ bởi các tổ chức Mỹ, ngay cả ở EU.
- Certyneo có tuân thủ RGPD không?
- Có. Certyneo là một tổ chức Pháp, lưu trữ ở EU (IONOS Đức), không tuân theo Cloud Act. Dữ liệu được mã hóa trong quá trình truyền (TLS 1.3) và khi đang yên. Certyneo cung cấp DPA tuân thủ Điều 28 của RGPD.
- Có cần phải thực hiện AIPD cho việc sử dụng giải pháp chữ ký không?
- AIPD không phải lúc nào cũng cần thiết cho chữ ký điện tử tiêu chuẩn. Nó cần thiết nếu bạn ký những tài liệu chứa dữ liệu nhạy cảm (sức khỏe, nhân sự với dữ liệu công đoàn, v.v.) hoặc nếu cách sử dụng chữ ký của bạn liên quan đến lập hồ sơ hoặc giám sát quy mô lớn.