Rejestr audytu, dowody i przechowywanie danych RODO w podpisie elektronicznym
Rejestr audytu podpisu elektronicznego to cyfrowy dowód tego, kto podpisał, kiedy i w jaki sposób. Jest to kluczowy element ważności podpisu i rozwiązywania sporów. W tym artykule przyjrzymy się, co zawiera rejestr audytu, jak RODO wpływa na przechowywanie danych i jak mała firma może zorganizować swoje archiwum.
Czym jest rejestr audytu?
Rejestr audytu (ang. audit trail) to automatycznie gromadzony zapis zdarzeń związanych z podpisem. Rejestruje każdy etap od początku do końca. Rejestr audytu jest istotnym elementem wartości dowodowej podpisu elektronicznego. Bez niego podpis elektroniczny jest praktycznie tylko pikselem na ekranie – rejestr audytu sprawia, że jest prawnie znaczący.
Jakie informacje zawiera rejestr audytu?
Kompleksowy rejestr audytu zawiera następujące informacje:
- Imię i adres e-mail podpisującego
- Użyta metoda uwierzytelniania (identyfikatory bankowe, mobilny certyfikat, potwierdzenie e-mail)
- Pieczęć czasowa (data i godzina, strefa czasowa)
- Adres IP, z którego podpis został złożony
- Informacje o urządzeniu i przeglądarce
- Kryptograficzny skrót (hash) dokumentu – dowodzi, że dokument nie został zmieniony
- Czas wysłania prośby o podpis i czas jej otwarcia
- Czas zakończenia podpisu
Co to oznacza w praktyce: jeśli klient kwestionuje podpisanie umowy, rejestr audytu pokazuje, że określona osoba otworzyła dokument z określonego adresu IP, uwierzytelniła się za pomocą bank ID i podpisała dokument w określonym czasie.
RODO a przechowywanie podpisów elektronicznych
Rejestr audytu zawiera dane osobowe, dlatego RODO (Ogólne Rozporządzenie o Ochronie Danych UE) określa zasady ich przetwarzania i przechowywania. Kluczowe zasady RODO dotyczące rejestru audytu:
- Ograniczenie celu: dane mogą być zbierane wyłącznie w określonym celu (uwierzytelnianie podpisu)
- Minimalizacja danych: zbierane są tylko niezbędne dane
- Ograniczenie przechowywania: dane są przechowywane tylko tak długo, jak jest to konieczne
- Integralność i poufność: dane muszą być zabezpieczone technicznie
W praktyce, okres przechowywania podpisów i związanych z nimi rejestrów audytu zależy od charakteru umowy:
| Typ dokumentu | Zalecany okres przechowywania | Uzasadnienie |
|---|---|---|
| Umowa handlowa | 6–10 lat od zakończenia umowy | Czas przedawnienia (ogólny 3 lata, prawo handlowe 5 lat) |
| Umowa o pracę | 10 lat od zakończenia stosunku pracy | Przedawnienie roszczeń pracowniczych |
| Materiały księgowe | 6 lat od zakończenia roku obrotowego | Prawo księgowe 2:10 |
| Transakcje nieruchomości | Na stałe lub co najmniej 10 lat | Wymagania zgodnie z Kodeksem cywilnym |
Model archiwizacji dla małych firm
Mała firma może zorganizować archiwum podpisów elektronicznych w prosty sposób:
- Korzystaj z usługi podpisywania (takiej jak EpicSign), która automatycznie archiwizuje podpisane dokumenty i rejestry audytu
- Określ okresy przechowywania według typów dokumentów (patrz tabela powyżej)
- Eksportuj najważniejsze umowy również do własnego systemu kopii zapasowych
- Raz do roku sprawdzaj, czy nie ma przeterminowanych dokumentów, które można usunąć zgodnie z RODO
- Udokumentuj zasady przechowywania w opisie rejestru
Praktyczny przykład: biuro rachunkowe i umowy z klientami
Tamperelainen biuro rachunkowe przeszło z umów papierowych na EpicSign. Wcześniej umowy znajdowały się w segregatorach – część w biurze, część u klientów. Nikt nie był pewien, gdzie jest najnowsza wersja.\n\nPo podpisaniu elektronicznym sytuacja się zmieniła:
- Wszystkie umowy znajdują się w archiwum elektronicznym z funkcją wyszukiwania
- Rejestr audytu poświadcza, kto i kiedy złożył podpis.
- Rejestr GDPR zaktualizowany o przechowywanie danych podpisu
- Stare umowy są automatycznie usuwane po upływie okresu przechowywania
Często zadawane pytania
Jak długo należy przechowywać rejestr audytu?
Okres przechowywania zależy od rodzaju umowy. W przypadku umów handlowych zazwyczaj od 6 do 10 lat, w przypadku umów o pracę przez 10 lat od zakończenia stosunku pracy.
Czy rejestr audytu zawiera dane osobowe?
Tak. Imię i nazwisko podpisującego, adres e-mail i adres IP są danymi osobowymi zgodnie z GDPR. Muszą być przetwarzane zgodnie z przepisami o ochronie danych.
Czy można później edytować rejestr audytu?
Nie. Skrót kryptograficzny (hash) zapewnia, że dane nie mogą zostać zmienione niezauważalnie. Jest to podstawowy wymóg rejestru audytu.
Jak GDPR wpływa na przechowywanie danych podpisu?
GDPR wymaga, aby dane były przechowywane tylko przez niezbędny czas. Po upływie okresu przechowywania dane muszą zostać usunięte lub zanonimizowane.
Czy EpicSign automatycznie zapisuje rejestr audytu?
Tak. EpicSign automatycznie tworzy kompleksowy rejestr audytu dla każdego zdarzenia podpisu.
Źródła
Ten artykuł ma charakter ogólny i nie stanowi porady prawnej.
Wypróbuj EpicSign
Rozpocznij bezpłatne testowanie i wyślij pierwszą prośbę o podpis w mniej niż 20 sekund.
Zobacz ceny