Недавно Испанское агентство по защите данных (AEPD) вынесло постановление о санкциях в отношении регионального правительства Кастилии-Ла-Манчи (срок действия EXP202406805), которое вновь привлекает внимание к повторяющейся проблеме: Допустимо ли указывать удостоверение личности государственных служащих в электронных подписях и подписанных документах?
Ниже мы разъясняем ключевые правовые аспекты и практическое значение этой резолюции, а также текущую ситуацию с цифровыми сертификатами, такими как T-CAT.
Какие решения приняла AEPD?
В резолюции анализируется, соответствует ли GDPR тот факт, что в документах, подписанных государственными служащими в электронном виде, содержатся такие данные, как... Имя, фамилия и идентификационный номер подписавшего лицаДоступно третьим лицам.
Согласно данным AEPD:
- DNI — это фрагмент данных. высокая чувствительностьПоскольку это позволяет напрямую и однозначно идентифицировать человека и сопряжено с высокими рисками, такими как кража личных данных.
- Его включение в подписи или видимые знаки может означать чрезмерная обработка данных.
Они потенциально могут быть нарушены:
- el принцип минимизации данных (ст. 5.1.c GDPR)
- и начало защита данных по умолчанию и на этапе проектирования (ст. 25 GDPR)
По этой причине AEPD приходит к выводу, что это будет необходимо. Избегайте включения номера DNI в видимую информацию подписанных документов.отдавая предпочтение менее инвазивным механизмам идентификации.
Это не новая дискуссия.
Ассоциация афроамериканских педиатров (AEPD) уже высказывалась в аналогичном ключе в отчете 0088/2020, где указывалось следующее:
- DNI Это не данные, которые обязательно должны быть включены в административные акты..
- Оно не должно фигурировать в электронной подписи или в сертификатах.
Необходимо будет адаптировать существующие правила и продвигать альтернативные варианты, такие как:
- профессиональные идентификаторы
- информация о должности или подразделении
- или даже псевдонимы в некоторых случаях
Иными словами, сама AEPD указывает на то, что решение кроется в нормативное изменение системы цифровой сертификации.
Что произошло в этом конкретном случае?
В случае с Кастилией-Ла-Манчей Управление по охране окружающей среды и природных ресурсов (AEPD) объявляет о нарушении, но не налагает штраф (поскольку является государственным органом).
Вместо этого требуется:
- извлечь удостоверение личности из свойства, отображаемые при проверке документов
- адаптировать системы в соответствии с принципом минимизации
- Аккредитовать принятые меры в течение 6 месяцев.
В чём заключается основная проблема?
Вот ключевой момент: Существует конфликт между правилами защиты данных и правилами цифровой сертификации..
- Закон № 6/2020 от 11 ноября 2020 года, регулирующий некоторые аспекты электронных доверительных услуг, обязывает поставщиков доверительных услуг включать DNI в цифровые сертификаты.
- Кроме того, в профилях сертификатов Главного государственного управления требуется, чтобы удостоверение личности (DNI) было указано в нескольких полях сертификата (например, Общее название)
- Эти данные являются структурной частью сертификата и необходимы для его использования. валидация и совместимость
По этой причине кредиторы предпочитают AOC. не может быть изменено в одностороннем порядке Содержание сертификатов не должно противоречить действующим нормам. Сама AEPD признает, что это решение требует законодательная поправкаЭто не техническое решение кредиторов.
А что насчет сертификатов с псевдонимами?
Хотя правила предусматривают наличие профессиональных идентификаторов или псевдонимов, следующие:
- может быть выдан только в очень конкретные случаи (общественная безопасность, секретная информация и т. д.)
- как правило, не распространяются на всех государственных служащих.
Какие практические решения имеются в распоряжении государственных администраций?
До внесения изменений в нормативные акты администрации могут применять меры для уменьшить видимость удостоверения личности:
1. Не отображайте удостоверение личности на изображении подписи.
Программы для создания сигнатур позволяют настраивать отображаемые данные. не удаляет идентификатор из сертификата, но это предотвращает его видимое отображение в документе. Посмотрите, как это работает. избегайте использования идентификатора изображения подписи
2. Создайте подлинные электронные копии.
Они разрешают:
- Скрыть идентификатор как в свойствах изображения, так и в свойствах видимости.
- заменить это минимальным количеством данных подписи.
Эти экземпляры имеют юридическую силу, если к ним прилагается печать организации. Подробнее см. генерировать còpia Аутентифицированный идентификатор, скрытый из изображения и видимых свойств.:
3. Использовать другие механизмы
Например, электронные пломбы и защищенные коды проверки (CSV).
Выводы
- AEPD считает, что демонстрация DNI в подписанных документах может нарушать GDPR.
- Действующие правила в отношении сертификатов требует включения этогочто порождает конфликт нормативных требований.
- Надежные поставщики услуг, такие как AOC. Они не могут удалить DNI из сертификатов..
- Окончательное решение заключается в следующем: государственная и европейская реформа регулирования.
- Между тем, администрации должны принять меры для минимизация визуализации и доступа к данным.
