Elektronikus aláírás és GDPR

A vállalkozások digitális átállása magával hozza a szerződések, jognyilatkozatok elektronikus megkötését, megtételét és ezzel együtt az elektronikus aláírással kapcsolatos kérdéseket. A COVID-19 járványhelyzet felgyorsította ezt a folyamatot és a vállalkozások tömegesen fordultak az elektronikus aláírási megoldások felé egyrészt munkajogi jogviszonyaikban, másrészt külső partnerekkel kötött szerződéseikben. Az elektronikus aláírással kapcsolatban a vállalkozások általában az írásbeliséghez, alkalmazhatósághoz kapcsolódóan kérnek jogi segítséget, az elektronikus aláírás adatvédelmi kérdései legtöbbször fel sem merülnek, pedig a jogszerűséghez az adatvédelmi jogi rendezés éppúgy szükséges.

Mi tartozik az elektronikus aláírások körébe?

Az elektronikus aláírás egy összefoglaló elnevezés, amely mindazon aláírási módokat magában foglalja, ahol elektronikus dokumentum kerül elektronikus úton aláírásra. Elektronikus aláírás a minősített és a fokozott biztonságú elektronikus aláírás, de ide tartoznak az ezeken kívüli elektronikus aláírási formák is, ezeket összefoglaló néven egyszerű elektronikus aláírásnak nevezzük, mint például, ha az aláírás képét ráillesztjük a word dokumentumra, az e-mail aljára odagépeljük nevünket, vagy ha valamilyen dokumentumkezelő rendszerben sms-ben kapott kóddal, e-mail címmel történő azonosítást követően írjuk nevünket az elektronikus dokumentumra.

Elektronikus aláírásnak minősül a biometrikus aláírás is, amikor aláírópadon történik elektronikus tollal az aláírás, és az aláírás képe mellett rögzítésre kerülnek az aláírás fizikai jellemzői is (aláírás sebessége, betűk iránya, dőlésszöge, az aláírás gyorsulása, toll rányomásának mértéke, az aláírás előtt a levegőben tett kézmozdulatok, stb.), amelyek összessége azonosítja az aláírást és ezáltal az aláírót.

Nem minden elektronikus aláírásnak van adatvédelmi relevanciája, így például az aláírás kép beillesztése egy word dokumentumba nem vet fel adatvédelmi aggályokat. A biometrikus aláírás azonban már igen, és azt az esetkört is meg kell vizsgálni adatvédelmi szempontból, amikor például a vállalkozás biztosít minősített/fokozott biztonságú elektronikus aláírást a munkavállalóknak vagy egyszerű e-aláírást a szerződött partnereinek.

Több adatot kezelünk, mint gondolnánk

Elektronikus aláírás típusonként eltérő, hogy milyen adatokat kezel a vállalkozás a munkavállalókról, illetve a szerződött partnereiről, amikor elektronikus aláírással aláírt dokumentumot kap tőlük.

Minősített elektronikus aláírás esetén az aláíráshoz tartozó tanúsítványban és időbélyegben megtekinthető az aláírás időpontja, az aláíró neve, a minősített tanúsítvány érvényessége, az aláíró szerepe (például ügyvéd, XY cég képviselője), egyes esetekben az aláíró e-mail címe, vagy a munkáltató neve.

Fokozott biztonságú elektronikus aláíráshoz tartozó tanúsítványban szintén megtekinthető az aláíró neve, a tanúsítvány érvényessége, az aláírás időpontja.

Dokumentumkezelő rendszerben történő egyszerű elektronikus aláírás esetén az aláíró fél e-mail címe szinte biztosan kezelésre kerül, de például többfaktoros azonosítás esetén mobiltelefonszám is kezelésre kerülhet, amelyre a másodlagos azonosításra szolgáló egyedi kód küldhető.

Biometrikus aláírás esetén, ha a vállalkozás biztosítja azt a munkavállalók/szerződött partnerek számára, akkor az aláíró neve és az aláírásához kapcsolódó biometrikus adatai is kezelésre kerülnek, amelyek egyedileg azonosítják az aláírást és azáltal az aláírót. A biometrikus aláíráshoz kapcsolódó nyers adatok és az abból levont következtetések pedig a GDPR szerinti biometrikus adatnak minősülnek, amelyek kezelésére szigorúbb szabályok vonatkoznak.Biometrikus aláírás esetén pedig felmerülhet az adatvédelmi hatásvizsgálat elvégzésének szükségessége is, különösen, ha munkavállalók biometrikus aláírási adatait kezeli a vállalkozás.

Mindezen kezelt adatokat pedig szükséges a vállalkozás adatkezelési tájékoztatójában feltüntetni.

Milyen célra történik az adatok kezelése?

Elektronikus aláírás esetén az adatkezelés célja egyrészt az, hogy az aláíró személyét, az aláírás idejét azonosítani lehessen, másrészt szerződéskötéshez használt elektronikus aláírás esetén a szerződést meg lehessen kötni. Biometrikus aláírás esetén célként jelenhet meg a magasabb szintű biztonság biztosítása, amely a biometrikus aláírással elérhető. Ha pedig kétség merül fel arra vonatkozóan, hogy ki írta alá az elektronikus dokumentumot, akkor igény- és jogérvényesítési célú adatkezelés is történhet.

Mi lehet az adatkezelés jogalapja?

Az adatkezelés jogalapját befolyásolja az e-aláírás típusa, az aláíró személye, az aláírás célja is.

Biometrikus aláírás esetén a biometrikus adatokra vonatkozó, a GDPR 9. cikke szerinti esetköröket is figyelembe kell venni a GDPR 6. cikke szerinti jogalapok mellett. Szerződött partnerek biometrikus aláírása esetén jó megoldást jelenthet a GDPR 6. cikke és 9. cikke szerinti önkéntes, kifejezett hozzájárulás. Munkavállalók esetében a hozzájárulás csak akkor alkalmazható megfelelő jogalapként, ha annak önkéntessége biztosított, amely a munkajogviszony erős alá-fölérendeltségi jellemzője és a függőségi viszony miatt nehezen igazolható. Munkavállalók esetében tehát megfontolandó esetlegesen más jogalap alkalmazása a GDPR 6. és 9. cikkéből.

Nem biometrikus e-aláírás esetén a helyzet egyszerűbb, ott csak a GDPR 6. cikke szerinti jogalapokat kell figyelembe venni. Ha magánszeméllyel köt a vállalkozás elektronikus aláírással szerződést (beleértve a munkavállalókat is), akkor a magánszemély e-aláíráshoz kapcsolódó személyes adatait a vállalkozás a szerződés létrehozatala és teljesítése jogalapon kezelheti. Ha céggel szerződik a vállalkozás, akkor a szerződött partner nevében aláíró személy e-aláíráshoz kapcsolódó személyes adataira a szerződés létrehozatala jogalap már nem alkalmazható, mivel az aláíró természetes személy nem szerződő fél, a szerződésben részes fél az a cég, amelynek a nevében a személy aláír. Ebből eredően itt megfelelő jogalap lehet a hozzájárulás vagy érdekmérlegelési teszt alapján a jogos érdeken alapuló adatkezelés. Munkavállalók esetében, ha például a munkavállaló a munkáltató képviseletében használja a munkáltató által biztosított e-aláírást, a szerződés létrehozatala jogalap nem alkalmazható, a hozzájárulásos jogalap a munkavállaló e-aláíráshoz kapcsolódó személyes adatai kezelésére az önkéntességgel kapcsolatos aggályok miatt nem mindig lesz megfelelő, helyette az elvégzett érdekmérlegelés eredményétől függően a jogos érdek jogalap jöhet szóba.

Hozzájárulásos jogalap alkalmazása esetén azonban mindig figyelembe kell venni, hogy a hozzájárulás bármikor visszavonható, ebben az esetben pedig, hacsak a törlési jog korlátai között nem áll rendelkezésre valamilyen indok vagy jogalap (például jogi kötelezettség, jogérvényesítés) az adatok további megőrzésére, az elektronikus aláíráshoz kapcsolódó személyes adatokat is törölni kell.

Jogos érdeken alapuló adatkezelésnél pedig érdekmérlegelési tesztet kell végezni, és arról sem szabad elfeledkezni, hogy az érintettnek tiltakozási joga van, amelynek gyakorlása esetén szintén a törlés fenti szabályai alkalmazandók.

Ne feledkezzünk meg az adatfeldolgozókról sem!

Az elektronikus aláírási szolgáltatást a vállalkozások általában külső szolgáltatótól veszik igénybe, amelyek gyakran felhőalapú tárolást nyújtanak. A minősített e-aláírás szolgáltatók a legtöbb esetben az aláírók azonosítása, tanúsítvány kibocsátása körében önálló adatkezelőnek minősülnek. Az egyszerű e-aláírás szolgáltatók, különösen, ha dokumentumkezelő, tároló szolgáltatás keretében nyújtják az e-aláíri szolgáltatást, minősülhetnek adatfeldolgozónak, ebben az esetben pedig velük a GDPR-nak megfelelő tartalmú adatfeldolgozói szerződést kell kötni és fel kell őket tüntetni az adatkezelési tájékoztatóban is. Adatfeldolgozó esetén szükséges megvizsgálni azt is, hogy a szolgáltató által biztosított megoldás megfelel-e a GDPR adatbiztonsági előírásainak és hogy hol kerülnek ténylegesen tárolásra az adatok.

Útravaló

Elektronikus aláírás bevezetése esetén a vállalkozásoknak figyelemmel kell lenniük az adatvédelmi vonatkozásokra is, adatkezelési tájékoztatójukat ki kell egészíteniük az e-aláírással kapcsolatos információkkal, az e-aláírási szolgáltató kiválasztásakor pedig gondosan mérlegelniük kell az adatvédelmi pozíciókat, a megkötendő szerződéstípust és a leendő szolgáltatót adatbiztonsági szempontból is ellenőrizni szükséges. Biometrikus aláírás esetén pedig mérlegelni kell adatvédelmi hatásvizsgálat elvégzésének szükségességét is.