RGPD 人力資源:員工數據處理
RGPD 對人力資源部門在處理員工個人數據時施加了嚴格的義務。了解如何以實際方式滿足這些要求。
9 min
2026 年合規指南
電子簽署與 GDPR:資料保護官指南
採用電子簽署解決方案會產生多個 GDPR 相關問題:資料存放在何處? 誰可以存取? 是否存在 Cloud Act 風險? 本指南回答這些問題,並說明如何為貴機構選擇符合 GDPR 規定的解決方案。
更新於
電子簽署解決方案處理哪些個人資料?
電子簽署平台處理多種類別的個人資料。
- 簽署人身份:姓名、名字、電郵、電話號碼
- 文件內容:可能包含敏感個人資料 (勞動合約、健康資料、財務資料)
- 稽核記錄資料:IP 位址、時間戳、使用者代理
- 行為資料:平板電腦上的手寫簽署軌跡 (若為生物識別 QES)
託管和歐盟外轉移
GDPR 規定個人資料只能轉移至提供充分保護級別的國家或在適當保障措施下 (SCCs、BCRs) 轉移至歐盟外。對於簽署解決方案,這意味著:
- 歐盟託管 → 本地轉移,無需額外手續
- 美國託管搭配 SCCs → 可行但存在 Cloud Act 殘餘風險
- 美國實體 (Cloud Act) → 即使使用歐盟託管也無法消除的風險
美國 Cloud Act 與電子簽名
Cloud Act (2018) 授權美國當局訪問由美國公司託管的數據,即使這些數據存儲在歐洲。DocuSign、Adobe Sign 和 Dropbox Sign 是受 Cloud Act 約束的美國公司。Certyneo 是法國實體,不受此域外管轄。
| Solution | 各解決方案的 Cloud Act 風險等級 |
|---|---|
| Certyneo | 無風險 — 法國實體 |
| Yousign | 無風險 — 法國實體 |
| DocuSign | 殘餘風險 — 美國實體 |
| Adobe Acrobat Sign | 殘餘風險 — 美國實體 |
| Dropbox Sign | 殘餘風險 — 美國實體 |
DPA 與法律基礎
簽名解決方案對數據的處理必須基於有效的法律基礎(合同、合法權益或同意)。必須與簽名服務提供商簽訂數據處理協議 (DPA)。Certyneo 提供符合 GDPR 的 DPA,可電子簽署,包含 GDPR 第 28 條所需的所有要素。
數據保護官建議
- 1選擇法律實體位於歐盟或英國(英國脫歐後具有充分性決定)的服務提供商
- 2確保託管專門在歐盟,不在歐盟外的伺服器上進行複製
- 3獲取並簽署符合 GDPR 第 28 條的 DPA
- 4如果您在文件中處理敏感數據,請記錄影響評估 (AIPD)
- 5檢查數據保留期限和合同終止時的刪除政策
電子簽名的 GDPR 常見問題
- 電子簽名是否涉及個人數據處理?
- 是的。簽署人的電子郵件、姓名以及可能的電話號碼會被收集。文件內容也可能包含個人數據。簽名服務提供商是 GDPR 意義上的數據處理方,受第 28 條義務的約束。
- DocuSign 是否符合 GDPR?
- DocuSign 聲稱符合 GDPR 並提供 SCC。但作為美國公司,它仍受 Cloud Act 約束。CNIL 提醒,Cloud Act 對由美國實體在歐盟託管的歐洲數據構成無法消除的風險。
- Certyneo 是否符合 GDPR?
- 是的。Certyneo 是法國實體,託管在歐盟(德國 IONOS),不受 Cloud Act 約束。數據在傳輸中 (TLS 1.3) 和靜止時加密。Certyneo 提供符合 GDPR 第 28 條的 DPA。
- 使用簽名解決方案是否需要進行 AIPD?
- 對於標準電子簽名,AIPD 不是系統性要求。如果您簽署包含敏感數據(衛生、人力資源含工會數據等)的文件,或您對簽名的使用涉及分析或大規模監控,則需要進行 AIPD。
推薦文章
RGPD en RH:員工數據處理指南
RGPD對僱主在員工個人數據的收集和處理方面施加了嚴格規則。了解如何確保合規性並避免罰款。
8 min
電子簽名人力資源與GDPR:完整指南2026
在eIDAS、GDPR及員工個人數據管理的框架下,人力資源文件的電子簽名受到嚴格規則約束。了解如何確保合規。
9 min
医療部門の電子署名:RGPD&HDS
医療部門は、デジタル準拠に関して最も厳格な制約に従う必要があります。医療施設向けに法的に有効で、RGPD準拠、HDS認証済みの電子署名を展開する方法を理解します。
9 min
RGPD 人力資源:員工數據處理
RGPD 與人力資源:法律基礎、處理登記簿、保留期限和 2026 年員工權利。
4 min
電商客戶數據保護:GDPR合規性
電商的GDPR合規性:隱私政策、Cookie同意、數據安全和電子簽署的供應商合同。
4 min