Chữ ký điện tử và GDPR: hướng dẫn cho các DPO

Giải pháp chữ ký điện tử xử lý những dữ liệu cá nhân nào?

Một nền tảng chữ ký điện tử xử lý nhiều loại dữ liệu cá nhân.

• Danh tính người ký: họ, tên, email, số điện thoại
• Nội dung tài liệu: có khả năng chứa dữ liệu cá nhân nhạy cảm (hợp đồng lao động, dữ liệu sức khỏe, dữ liệu tài chính)
• Dữ liệu audit trail: địa chỉ IP, timestamp, user-agent
• Dữ liệu hành vi: nét vẽ chữ ký tay trên máy tính bảng (nếu QES sinh trắc học)

Lưu trữ và chuyển giao dữ liệu ngoài EU

GDPR yêu cầu dữ liệu cá nhân chỉ được chuyển giao ngoài EU sang các quốc gia đảm bảo mức độ bảo vệ thích hợp hoặc có các cam kết phù hợp (SCCs, BCRs). Đối với các giải pháp chữ ký, điều này có nghĩa là:

• Lưu trữ EU → chuyển giao tự nhiên, không cần thủ tục bổ sung
• Lưu trữ US với SCCs → có thể nhưng có rủi ro còn lại từ Cloud Act
• Tổ chức Mỹ (Cloud Act) → rủi ro không thể loại bỏ ngay cả khi lưu trữ EU

Cloud Act Mỹ và chữ ký điện tử

Cloud Act (2018) cho phép các cơ quan Mỹ truy cập dữ liệu được lưu trữ bởi các công ty theo luật pháp Mỹ, ngay cả khi dữ liệu đó được lưu trữ ở châu Âu. DocuSign, Adobe Sign và Dropbox Sign là các công ty Mỹ tuân theo Cloud Act. Certyneo là một tổ chức Pháp, không tuân theo tính ngoài lãnh thổ này.

Khuyến nghị cho các DPO

1. 1Chọn nhà cung cấp có tổ chức pháp lý đặt tại EU hoặc Vương quốc Anh (sau Brexit với quyết định thích hợp)
2. 2Xác minh rằng lưu trữ là độc quyền ở EU, không có sao chép trên máy chủ ngoài EU
3. 3Lấy và ký DPA tuân thủ Điều 28 của GDPR
4. 4Ghi lại phân tích tác động (AIPD) nếu bạn xử lý dữ liệu nhạy cảm trong tài liệu của mình
5. 5Xác minh thời gian lưu giữ dữ liệu và chính sách xóa khi hết hợp đồng

Câu hỏi GDPR về chữ ký điện tử

Chữ ký điện tử có liên quan đến xử lý dữ liệu cá nhân không?

Có. Email, tên và số điện thoại của người ký được thu thập. Nội dung tài liệu cũng có thể chứa dữ liệu cá nhân. Nhà cung cấp chữ ký là bên xử lý dữ liệu theo GDPR, phải tuân thủ các nghĩa vụ của Điều 28.

DocuSign có tuân thủ GDPR không?

DocuSign khẳng định tuân thủ GDPR và cung cấp SCCs. Tuy nhiên, với tư cách là công ty Mỹ, nó vẫn tuân theo Cloud Act. CNIL nhắc rằng Cloud Act tạo ra rủi ro không thể loại bỏ đối với dữ liệu châu Âu được lưu trữ bởi các tổ chức Mỹ, ngay cả ở EU.

Certyneo có tuân thủ GDPR không?

Có. Certyneo là một tổ chức Pháp, lưu trữ ở EU (IONOS Đức), không tuân theo Cloud Act. Dữ liệu được mã hóa trong quá trình truyền (TLS 1.3) và khi đang yên. Certyneo cung cấp DPA tuân thủ Điều 28 của GDPR.

Có cần phải thực hiện AIPD cho việc sử dụng giải pháp chữ ký không?

AIPD không phải lúc nào cũng cần thiết cho chữ ký điện tử tiêu chuẩn. Nó cần thiết nếu bạn ký những tài liệu chứa dữ liệu nhạy cảm (sức khỏe, nhân sự với dữ liệu công đoàn, v.v.) hoặc nếu cách sử dụng chữ ký của bạn liên quan đến lập hồ sơ hoặc giám sát quy mô lớn.