Електронен подпис RH & RGPD: Пълно ръководство 2026

Дигитализацията на управлението на човешките ресурси значително се ускори след 2020 г.: трудови договори, допълнения, платежни бележки, IT политики, договори за телework — почти всички тези документи сега се обменят в цифров формат. Въпреки това дематериализирането не означава отказ от правни задължения. Напротив: електронният подпис на документи RH RGPD е предмет на двойна нормативна схема, защото съчетава рамката eIDAS за доказателствена стойност на подписа с европейския регламент за защита на личните данни. Ако не се управлява правилно, тази двойна ограничение изложи компанията на правни рискове и санкции от CNIL. Това ръководство представя основните правила, добрите практики и критичните точки, които трябва да знаете абсолютно през 2026 г.

Защо RGPD се прилага към електронния подпис RH?

Електронният подпис необходимо обработва лични данни

Подписването на трудов договор онлайн включва събиране, предаване и съхранение на лични данни в смисъла на чл. 4 на RGPD № 2016/679: име, презиме, професионален имейл адрес, понякога номер на мобилен телефон, времеви печат и IP адрес при подписване. В контекст RH тези данни са особено чувствителни, тъй като директно идентифицират служителя и са свързани с неговия трудовата връзка с работодателя.

Доставчикът на услуги за доверие (PSC), който осигурява решението за подпис, се квалифицира като преработчик в смисъла на чл. 28 на RGPD. Работодателят остава отговорен за обработката. Това разграничение е основно: компанията отговаря пред CNIL в случай на нарушение, а не доставчикът на софтуер.

Правни основания, които могат да се използват в контекст RH

За всяка категория дематериализирани HR документи работодателят трябва да определи най-подходящата правна основа за обработка:

• Изпълнение на договор (чл. 6.1.b RGPD): подписване на трудов договор, допълнение със заплата, конвенция за фиксирани дни. Това е най-силната правна основа за договорни документи.

• Правно задължение (чл. 6.1.c RGPD): дематериализирана доставка на платежна бележка (разрешена от закона на Макрон през 2015 г. при условия), реестри на персонал.

• Законен интерес (чл. 6.1.f RGPD): IT политики, вътрешни регламенти, документи на вътрешни политики — при условие на преминаване на теста за балансиране.

Базата съгласие (чл. 6.1.a) трябва да се избягва в контекст RH: CNIL и EDPB (Европейски съвет за защита на данните) считат, че съотношението на подчинение между работодател и служител прави съгласието рядко свободно. Служител, който отказва да подпише електронно, може да се страхува от професионални последствия.

Конкретни задължения на отговорния за обработка RH

Актуализирайте регистъра на дейностите по обработка (RAT)

Чл. 30 на RGPD задължава всяка организация с повече от 250 служители (и KME-та, обработляващи чувствителни данни в голям мащаб) да ведат регистър на дейностите по обработка. Въвеждането на инструмент за електронен подпис за HR документи трябва да фигурира там с:

• Целта на обработката (напр.: дематериализация и архивиране на договорни HR документи)

• Категориите обработляни данни (самоличност, контактни данни, данни за удостоверяване)

• Период на съхранение (период на законно съхранение на трудов договор: 5 години след края на договора според Трудовия кодекс, чл. L. 1234-20)

• Координати на преработчика (платформата за подпис)

• Прилагаме мерки за сигурност

Подпишете DPA (Договор за обработка на данни) с доставчика

В съответствие с чл. 28 на RGPD всяко използване на преработчик за обработка на лични данни трябва да бъде формализирано с договор за обработка на данни (DPA). Този договор трябва да уточни:

• Обема и продължителността на обработката

• Естеството и целта на обработката

• Вид лични данни и категориите на засегнатите лица

• Задължения и права на отговорния за обработка

• Локализация на данни (съхранение в ЕС препоръчано, за да се избегнат прехвърляния извън ЕИП)

• Мерки за техническа и организационна сигурност

Сериозен доставчик на електронен подпис системно предлага DPA в съответствие с RGPD. Липсата му е незабавно санкционираемо нарушение.

Информирайте служителите преди първия подпис

Чл. 13 на RGPD налага предварителна информация на лицата, чиито данни се събират. Преди да разгърнете електронния подпис за HR документи, работодателят трябва да информира служителите:

• За самоличността на отговорния за обработка

• За целта и правната основа

• За периода на съхранение на данни

• За техните права (достъп, коригиране, изтриване в границите на законните задължения за съхранение, преносимост)

• За координатите на DPO (делегат за защита на данни), ако е определен

Тази информация може да бъде интегрирана в самия процес на подпис (информационна лента преди подпис), в актуализирания вътрешен регламент или чрез служебна бележка, разпространена при разгръщане.

Необходимо ниво на подпис за HR документи: SES, AES или QES?

Йерархия на нивата eIDAS

Регламент eIDAS № 910/2014 определя три нива на електронен подпис, всяко предлагащо възходяща доказателствена стойност:

• SES (Simple Electronic Signature / Прост електронен подпис): слаба доказателствена стойност, подходящ за документи с нисък риск (квитанции за получаване, вътрешни формуляри)

• AES (Advanced Electronic Signature / Напреднал електронен подпис): свързан уникално с подписващия, създаден от данни под неговия изключителен контрол. Подходящ за повечето обикновени HR документи.

• QES (Qualified Electronic Signature / Квалифициран електронен подпис): най-високо ниво, еквивалентно на ръчно написан подпис според чл. 25.2 eIDAS. Изисква усилена проверка на самоличност (лице в лице или видео-идентификация).

Кое ниво за кои HR документи?

Препоръчваната картография през 2026 г., отчитайки позициите на френската съдебна практика и препоръките на сектора:

| HR документ | Препоръчано ниво | Обосновка | |---|---|---| | Трудов договор CDI/CDD | AES минимум, QES препоръчано | Силна договорна стойност, риск от трудови съдове | | Договорно допълнение | AES минимум, QES препоръчано | Същата логика като основния договор | | Пробен период (удължение) | AES | Кратък срок, ограничен формализъм | | IT политика телework / BYOD | SES или AES | Колективно споразумение или вътрешен регламент | | Конвенция фиксирани дни | QES силно препоръчано | Твърда социална съдебна практика | | Договорен край на договора | QES задължително | Хомологиран формуляр Cerfa, висок риск | | Квитанция за предаване | AES или QES | Освобождаваща стойност, чл. L. 1234-20 CT |

За документи с висок съдебен риск (фиксирани дни, договорен край), QES се налага де факто, за да гарантира противоположност пред трудовите съдилища. Касационния съд постепенно изостри своите изисквания относно доказателството за съгласие на служителя.

Съхранение, архивиране и права на лица: капаните, които трябва да избегнете

Законни периоди на съхранение на подписани HR документи

Съхранението на подписани электронно HR документи подлежи на задължителни законни периоди. Тези периоди имат приоритет пред правото на изтриване на RGPD (чл. 17.3.b):

• Трудов договор: 5 години след края на договора (давност пред трудови съдилища, чл. L. 1471-1 Трудов кодекс)

• Платежни бележки: 5 години (давност на заплатите), но препоръчва се съхранение до уреждане на правата при пенсионирането

• Документи относно трудови злополуки: 30 години (дълъг риск от съдебни действия)

• Професионално обучение (планове, сертификати): 3 години

• Реестри на персонал: 5 години след датата на напускане от служителя

Електронният архив с доказателствена стойност трябва да отговаря на изискванията на стандарта NF Z 42-013 и идеално на стандарта ETSI EN 319 162 (дългосрочно архивиране на електронни подписи). Простото съхранение на сървър не е достатъчно: трябва да гарантира интегритета, четливостта и квалифицирания времеви печат на документите през целия период на съхранение.

Управление на правата на служителите без компрометиране на доказателствената стойност

Служител законно може да упражнява своето право на достъп (чл. 15 RGPD), за да получи копие на данните за подпис, които го засягат. Може също да поиска коригиране на неточни данни.

От друга страна, правото на изтриване (чл. 17 RGPD) не може да се упражнява върху документи RH, подлежащи на законни задължения за съхранение. Работодателят трябва да може ясно да обясни това отказване, цитирайки приложима правна основа. Документирането на тези обмени в регистъра на искаията е добра практика, препоръчана от CNIL.

Преносимостта (чл. 20 RGPD) се прилага на данни, предоставени от служителя на основата на съгласие или изпълнение на договор. На практика служител може да поиска своите данни за подпис в структуриран формат — задължение, което трябва да се преди при избор на решението за подпис.

Техническа и организационна сигурност: незаменимите мерки

Технически изисквания на платформата за подпис

В съответствие с чл. 32 на RGPD мерките за сигурност трябва да бъдат подходящи към риска. За решение за електронен подпис RH това се превежда особено в:

• Криптиране на данни при прехвърляне (TLS 1.3 минимум) и в покой (AES-256)

• Многофакторна удостоверяване (MFA) за достъп до платформата

• Регистри на одит (логове) с времеви печат и неподлежащи на фалсификация, проследяващи всяко действие на документа

• Съхранение в ЕС (или ЕИП), за да се избегнат преводи извън ЕИП без адекватни гаранции (решение за адекватност или стандартни договорни клаузи)

• Тестове на пронизване годишно и сертификация ISO 27001 на доставчика

• План на непрекъснатост гарантиращ достъпност на услугата и възстановяване на архиви в случай на инцидент

Анализ на воздействието (AIPD): кога е задължителен?

Чл. 35 на RGPD налага Анализ на воздействието относно защита на данни (AIPD), когато обработката е способна да причини висок риск. CNIL публикува списък на видовете обработки, изискващи AIPD: обработката в голям мащаб на данни, свързани с трудовия живот, е споменута там.

На практика AIPD се препоръчва (или дори задължително за големи предприятия) при разгръщане на решение за електронен подпис RH, засягащо всички служители. Тя трябва да идентифицира рисковете (загуба на конфиденциалност, узурпация на самоличност, изменение на документи), оцени техния размер и вероятност, и предложи мерки за смекчаване. Този анализ трябва да бъде документиран и преразгледан, ако има промени в обработката.

Приложим правен режим за електронен подпис RH и RGPD

Основни европейски текстове

Регламент eIDAS № 910/2014 (и неговото преработено eIDAS 2.0 в ход на разгръщане): този текст определя трите нива на електронен подпис (SES, AES, QES) и тяхната правна стойност във всички държави-членки. Чл. 25 разпоря, че QES има правен ефект, еквивалентен на ръчно написан подпис. Чл. 26 посочва техническите изисквания на напредналия подпис. Квалифицираните доставчици на услуги за доверие са регистрирани в списъците на доверие на държавите членки (във Франция списъкът е управляван от ANSSI).

RGPD № 2016/679: приложим от 25 май 2018 г., този регламент регулира всяка обработка на лични данни в ЕС. Чл. 5 (принципи), 6 (правни основания), 13-14 (информация), 28 (преработчици), 30 (регистър), 32 (сигурност), 35 (AIPD) и 37-39 (DPO) са директно релевантни за електронния подпис RH.

Приложимо французко право

Гражданския кодекс, чл. 1366-1367: чл. 1366 установява принципа на функционална еквивалентност между електронен и хартиен писмен документ. Чл. 1367 признава електронния подпис като доказателствен метод, при условие че състои в надежден процес на идентификация, гарантиращ връзката с акта, към който е приложен. Надеждността се предполага за QES, но може да бъде доказана за AES.

Трудов кодекс: чл. L. 1221-1 не налага определена форма на трудовия договор (с изключения: CDD чл. L. 1242-12, договор за учение и т.н.). Законът на Макрон от 2015 г. (закон № 2015-990) отвори пътя към електронна платежна бележка. Чл. L. 3243-2 регулира неговите методи.

Закона за информатика и свободи, изменен (закон № 78-17 от 6 януари 1978 г.): французька преобработка на RGPD, той предоставя на CNIL своите правомощия за разследване и санкциониране. Глобите могат да достигнат 20 милиона евро или 4% от годишния световния оборот за най-серийните нарушения.

Технически стандарти на справка

• ETSI EN 319 132: формат на напреднал електронен подпис XAdES, приложим към XML документи

• ETSI EN 319 122: формат CAdES за електронни подписи на CMS документи

• ETSI EN 319 162: дългосрочно архивиране на електронни подписи (ASiC)

• NF Z 42-013 (AFNOR): функционални спецификации на система за доказателствено электронно архивиране

• ISO/IEC 27001: управление на сигурността на информацията, референтен кодекс за сертификация, очакван от доставчиците

Правни рискове при несъответствие

Натрупването на рискове е значително: трудов договор, подписан с недостатъчно ниво на подпис, може да бъде оспорен пред работния съд, излагайки работодателя на преквалификация или нищетност. На страната на RGPD липсата на DPA с доставчика, пропуск на информацията на служителите или съхранение извън ЕС без адекватни гаранции могат да доведат до оклик на CNIL, или дори до административна публична санкция.

Сценарии на използване: електронен подпис RH в съответствие с RGPD

Сценарий 1: средна индустрална компания от 600 служители дигитализира своите трудови договори

Индустриална компания със среден размер, разпределена на четири места във Франция, обработваше всяка година около 180 наемания CDI/CDD, генерирайки толкова папирни документи за печатане, подписване в двойник, сканиране и архивиране. Забавленията между обещанието за наемане и действителното подписване на договора достигаха в средна стойност 8 работни дни.

След разгръщането на решение за напреднал електронен подпис (AES) интегрирано в своята SIRH, с DPA в съответствие с RGPD, подписан с доставчика и документиран AIPD, компанията намали това забавление до по-малко от 24 часа. Процентът на непълни файлове пада от 34% (източници: ANDRH сектор бенчмарки 2024). Съхранението на данните във Франция е избрано като договорен критерий, елиминирайки всеки риск от прехвърляне извън ЕИП. Служителите са информирани за обработката чрез информационна лента, интегрирана в процеса на подпис, гарантирайки съответствие с чл. 13 на RGPD.

Сценарий 2: франчайзна мрежа на търговския дребен расходи разгръща QES подпис за конвенции на фиксирани дни

Мрежа за специализирано разпределение с около шестдесет търговски точки и стотина мениджъри при фиксирани дни се сблъска с идентифициран трудов риск от своите юристи: няколко конвенции на фиксирани дни не можеха да бъдат доказани, освен чрез копия на хартия с лоша качество. Касационния съд е остарил своите изисквания за доказателство на този вид конвенция, риск от съдебни действия е преценен на няколко стотици хиляди евро.

Мрежата разгръщане решение за квалифициран подпис (QES) за всички нови конвенции и предложи на мениджъри в длъжност да подпишат отново своите съществуващи конвенции. Видео-идентификацията е избрана за проверка на самоличност. Регистърът на дейностите по обработка е актуализиран и външен DPO валидира съответствието на RGPD на процеса. В рамките на 6 месеца целия обхват на конвенции на фиксирани дни е защитен. Цена на подхода (около 15 до 25 € за QES подпис според доставчици на пазара) е била преценена за далеч по-ниска от покрития риск от съдебни действия.

Сценарий 3: местна администрация дематериализира своите допълнения и IT политики телework

Местна администрация от около 1 200 постоянни служители желае да дематериализира управлението на своите допълнения за телework след национално рамковото споразумение от 2021 г. за телework в публичния сектор. Обемът за обработка е около 400 документи годишно, със специфични ограничения: служителите са публични лица, чиито данни подлежат на особено регулирана обработка.

Администрацията избра напредналите подписи (AES), със суверенно съхранение при квалифициран доставчик SecNumCloud от ANSSI. AIPD е представена на DPO на администрацията преди разгръщане. Служителите са информирани чрез служебна бележка публикувана в интранета и информационна лента в цифровия процес. Службата RH оцени печалба от 3 ТП-дни на месец в административното управление на допълненията, т.е. годишна икономия, еквивалентна на около 35 000 € в преки разходи, съответстваща на диапазониите, публикувани от Обсерватория за цифровата трансформация на администрациите (2025).

Заключение

RGPD съответствие на електронния подпис за HR документи не е опция: условия както стойност на вашите акти, така и защита на правата на служителите. През 2026 г. компаниите, които още не са актуализирали своя регистър на обработки, подписали DPA с доставчика и адаптирали нивото на подпис на всеки вид документ, се изложи на двойна опасност — трудова и административна — чиито финансови последствия могат да бъдат значителни.

Добрата новина: добре избрано и конфигурирано решение позволява съвместяване на операционна плавност, съответствие eIDAS и спазване на RGPD без триене за HR екипи нито служители.

Certyneo ви придружава в този процес: платформа в съответствие с eIDAS, налично DPA, европейско съхранение и процес на подпис замислени за RH. Откройте нашото решение, специализирано за управление на човешките ресурси или изчислете ROI на вашия преход към пълна дигитализация в няколко клика.