Při přechodu na digitální podepisování vyvstává v mnoha firmách zásadní otázka: „Je elektronický podpis v souladu s GDPR?“ Krátká odpověď zní: Ano, ale záleží na tom, jaké řešení zvolíte. V éře přísné ochrany osobních údajů není elektronický podpis jen o „obrázku na PDF“, ale o komplexním zpracování citlivých dat, která musí být pod neustálou kontrolou.
Elektronický podpis jako osobní údaj
Podle nařízení GDPR je osobním údajem jakákoliv informace, která vede k identifikaci konkrétní osoby. U elektronického podpisu to nejsou jen jméno a e-mail, ale také:
- Biometrické údaje (v případě vlastnoručního podpisu na tabletu či mobilu).
- IP adresa a geolokační údaje.
- Certifikáty a jedinečné identifikátory.
Proto je klíčové, aby poskytovatel podpisového řešení garantoval nejvyšší standardy zabezpečení.
Chcete poradit s výběrem ?
Domluvte si nezávaznou konzultaci
Domluvit konzultaci zdarmaJak inSign naplňuje požadavky GDPR?
Na rozdíl od mnoha mimoevropských řešení je inSign vyvinut v souladu s evropskou legislativou (eIDAS a GDPR). Zde jsou hlavní pilíře naší ochrany dat:
1. Hosting výhradně v EU
Mnoho globálních poskytovatelů ukládá data na serverech v USA. I přes různé certifikace to pro evropské firmy často znamená právní šedou zónu. inSign využívá servery v Německu, které podléhají nejpřísnějším evropským kontrolám. Vaše data nikdy neopustí prostor EU.
2. Šifrování a integrita
Každý dokument podepsaný přes inSign je opatřen digitální pečetí. Jakmile je proces dokončen, dokument je zašifrován. Jakákoli následná manipulace by byla okamžitě detekována. Tím plníme požadavek GDPR na integritu a důvěrnost údajů.
3. Minimalizace dat a omezení uložení
inSign umožňuje nastavit automatické mazání dokumentů po dokončení procesu. Jako poskytovatel řešení nejsme „majitelem“ vašich dat, ale jejich zpracovatelem. Respektujeme právo na výmaz a zajišťujeme, aby data byla uchovávána pouze po nezbytně nutnou dobu.
Biometrické podpisy: Zvláštní kategorie údajů
Pokud vaši klienti podepisují dokumenty perem na dotykovém displeji (tzv. vlastnoruční elektronický podpis), inSign zaznamenává biometrické rysy (tlak, rychlost, sklon). Tyto údaje patří podle článku 9 GDPR do zvláštní kategorie osobních údajů.
- inSign tyto údaje okamžitě po zachycení šifruje takovým způsobem, že k nim nemá přístup ani naše společnost, ani vy jako klient.
- Klíč k rozšifrování biometriky je uložen u notáře a může být použit pouze v případě soudního sporu k ověření pravosti podpisu znalcem.
Na co si dát pozor při výběru dodavatele?
Při posuzování souladu s GDPR se svého dodavatele zeptejte na tyto 4 body:
- Kde fyzicky leží servery, na kterých se dokumenty zpracovávají?
- Je k dispozici Smlouva o zpracování osobních údajů (DPA)? (inSign ji poskytuje automaticky).
- Jak jsou chráněny biometrické údaje?
- Umožňuje systém automatické workflow pro výmaz dokumentů?
Bezpečnost bez kompromisů
Implementace elektronického podpisu inSign neznamená jen zrychlení procesů, ale především posílení právní jistoty vaší firmy. Díky tomu, že splňujeme standardy eIDAS i GDPR, se můžete soustředit na svůj business s vědomím, že data vašich klientů jsou v nejlepších rukou.
Chcete konzultovat soulad vašeho podpisového procesu s GDPR? Naši experti jsou vám k dispozici. Společně projdeme vaše potřeby a navrhneme řešení, které bude neprůstřelné po technické i právní stránce.
Upozornění: Tento článek slouží k informačním účelům a nepředstavuje právní poradenství. Pro konkrétní právní posouzení vaší situace doporučujeme konzultaci s odborníkem na ochranu osobních údajů.
