Подпис електронен HR & RGPD: пълно ръководство 2026

Дигитализацията на човешките ресурси значително се ускори от 2020 г.: трудови договори, допълнения, разчетни ведомости, IT правила, соглашения за дистанционна работа — почти всички тези документи сега преминават в цифрова форма. Въпреки това дематериализацията не означава избягване на правни задължения. Напротив: подпис електронен документ HR RGPD представлява тема с двойна нормативна входна точка, тъй като съчетава рамката eIDAS за доказателствената стойност на подписа и европейския регламент за защита на личните данни. Ако не се управлява правилно, това двойно ограничение излага компанията на правни рискове и санкции от страна на CNIL. Това ръководство представя основните правила, добрите практики и точките на внимание, които трябва да знаете абсолютно към 2026 г.

Защо RGPD се прилага на електронния подпис HR?

Електронният подпис непременно обработва лични данни

Подписване на трудов договор онлайн предполага събиране, предаване и съхранение на лични данни по смисъла на член 4 на RGPD №2016/679: име, фамилия, професионален имейл адрес, понякога мобилен телефонен номер, време на подпис и IP адрес на подпис. В контекст на HR тези данни са особено чувствителни, тъй като преките идентифицират служителя и са свързани с неговото договорно отношение с работодателя.

Доставчикът на услуги на доверие (PSC), който предоставя решението за подпис, се квалифицира като преработвател по смисъла на член 28 на RGPD. Работодателят остава администратор на данните. Това разграничение е основно: именно компанията отговаря пред CNIL в случай на нарушение, не софтуерният доставчик.

Правни основания, които могат да се използват в контекст на HR

За всяка категория дематериализирани HR документи работодателят трябва да определи най-подходящото правно основание за обработката:

• Изпълнение на договор (чл. 6.1.b RGPD): подписване на трудов договор, щета на заплатата, договор за определен брой дни. Това е най-солидното правно основание за договорни документи.

• Правно задължение (чл. 6.1.c RGPD): дематериализирана раздача на разчетна ведомост (разрешена от закона на Макрон от 2015 г. при условия), регистри на персонала.

• Законен интерес (чл. 6.1.f RGPD): IT правила, вътрешни регламенти, документи за политика вътре в компанията — с условието да преминат тест на балансиране.

Основанието съгласие (чл. 6.1.a) трябва да се избегва в контекст на HR: CNIL и CEPD (Европейски комитет за защита на данни) считат, че отношението на подчинение между работодателя и служителя прави съгласието рядко свободно. Служител, който отказва да подпише електронно, може да се опасува от професионални последствия.

Конкретни задължения на администратора на HR данни

Актуализирайте регистъра на дейностите по обработка (RAT)

Член 30 на RGPD задължава всяка организация, която работи повече от 250 служители (и МСП, които обработват чувствителни данни в голям мащаб) да води регистър на дейностите по обработка. Въвеждането на инструмент за електронен подпис за HR документи трябва да фигурира там с:

• Целта на обработката (напр.: дематериализация и архивиране на договорни HR документи)

• Категории обработвани данни (идентичност, данни за контакт, данни за удостоверяване)

• Период на съхранение (правен период на съхранение на трудовия договор: 5 години след края на договора според Трудовия кодекс, чл. L. 1234-20)

• Координати на преработвателя (платформата за подпис)

• Мерки за сигурност, които са приложени

Подпишете DPA (Data Processing Agreement) с доставчика

В съответствие с член 28 на RGPD, всяко използване на преработвател за обработка на лични данни трябва да бъде формализирано чрез договор за обработка на данни (DPA). Този договор трябва да уточни:

• Обект и продължителност на обработката

• Характер и цел на обработката

• Тип на личните данни и категории засегнати лица

• Задължения и права на администратора на данните

• Местоположение на данните (хостинг в ЕС препоръчан, за да се избегнат трансфери извън EEE)

• Технически и организационни мерки за сигурност

Сериозен доставчик на електронен подпис систематично предлага DPA в съответствие с RGPD. Липсата му представлява незабавно наказуемо неспазване.

Информирайте служителите преди първи подпис

Член 13 на RGPD налага предварително информиране на лица, чиито данни се събират. Преди да развържете електронен подпис за HR документи, работодателят трябва да информира служителите:

• За идентичност на администратора на данните

• За целта и правното основание

• За периода на съхранение на данните

• За техните права (достъп, коригиране, изтриване в границите на правните задължения за съхранение, преносимост)

• За координатите на DPO (Делегирания по защита на данни), ако е определен

Тази информация може да бъде интегрирана в самия процес на подпис (банер за информация преди подпис), в актуализирания вътрешен регламент или чрез служебна бележка разпространена при развражане.

Необходимо ниво на подпис за HR документи: SES, AES или QES?

Йерархия на нивата eIDAS

Регламент eIDAS №910/2014 определя три нива на електронен подпис, всяко предоставящо нарастваща доказателствена стойност:

• SES (Simple Electronic Signature / Прост електронен подпис): слаба доказателствена стойност, подходящ за документи с нисък залог (известия за приемане, вътрешни формуляри)

• AES (Advanced Electronic Signature / Напреднал електронен подпис): свързан по уникален начин с подписващия, създаден от данни под неговия изключителен контрол. Подходящ за повечето обичайни HR документи.

• QES (Qualified Electronic Signature / Квалифициран електронен подпис): най-високото ниво, еквивалентно на ръчния подпис според чл. 25.2 eIDAS. Изисква подсилено удостоверяване на самоличност (лично или видео-удостоверяване).

Кое ниво за кои HR документи?

Препоръчвана картография към 2026 г., отчитаща позиции на френската съдебна практика и препоръки на сектора:

| HR документ | Препоръчано ниво | Оправдание | |---|---|---| | Трудов договор CDI/CDD | AES минимум, QES препоръчан | Силна договорна стойност, трудов риск | | Договорно добавление | AES минимум, QES препоръчан | Същата логика като основния договор | | Период на изпитване (подновяване) | AES | Кратък срок, ограничена форма | | Правило дистанционна работа / BYOD | SES или AES | Събирателен договор или вътрешен регламент | | Соглашение за определен брой дни | QES силно препоръчан | Социална съдебна практика, изискваща | | Конвенционално разтекстяване | QES задължен | Хомологиран формуляр Cerfa, висок залог | | Разчет за цялостно плащане | AES или QES | Разрешаща стойност, чл. L. 1234-20 CT |

За документи с висок конфликтен залог (договор за определен брой дни, конвенционално разтекстяване), QES се налага de facto, за да се гарантира противопоставимостта пред трудовите съдилища. Касационният съд постепенно е затвърдил изискванията си относно доказателството за съгласието на служителя.

Съхранение, архивиране и права на лица: пропуски, които трябва да избегнете

Правни периоди на съхранение на подписани електронно HR документи

Съхранението на електронно подписани HR документи подлежи на императивни правни периоди. Тези периоди имат приоритет пред правото на изтриване на RGPD (чл. 17.3.b):

• Трудов договор: 5 години след края на договора (трудов давностен период, чл. L. 1471-1 Трудов кодекс)

• Разчетни ведомости: 5 години (давност на заплати), но препоръчително съхранение до ликвидиране на пенсионни права на служителя

• Документи относно трудови злополуки: 30 години (дълъг рисков конфликтен период)

• Професионално обучение (планове, сертификати): 3 години

• Регистри на персонала: 5 години след датата, когато служителят е напуснал учреждението

Електронното архивиране с доказателствена стойност трябва да отговаря на изискванията на стандарта NF Z 42-013 и идеално на стандарта ETSI EN 319 162 (дълготрайно архивиране на електронни подписи). Просто съхранение на сървър не е достатъчно: трябва да се гарантира интегритетът, читаемостта и квалифициран времеви печат на документите през целия период на съхранение.

Управление на правата на служителите без компрометиране на доказателствената стойност

Служител може законно да упражнява своето право на достъп (чл. 15 RGPD), за да получи копие на данните за подпис, които го засягат. Той може също да поиска коригиране на неточни данни.

От друга страна, правото на изтриване (чл. 17 RGPD) не може да се упражнява по HR документи, подчинени на правни задължения за съхранение. Работодателят трябва да бъде в състояние ясно да обясни това отказване, цитирайки приложимото правно основание. Документиране на тези разговори в регистър на искания за права е добра практика препоръчана от CNIL.

Преносимостта (чл. 20 RGPD) се прилага на данни, предоставени от служителя на базата на съгласие или изпълнение на договор. Конкретно служител може да поиска своите данни за подпис в структуриран формат — задължение за предвиждане при избор на решение за подпис.

Техническа и организационна сигурност: неизбежни мерки

Технически изисквания на платформата за подпис

В съответствие с член 32 на RGPD мерките за сигурност трябва да бъдат подходящи за риска. За решение за електронен подпис HR това се превежда по-специално в:

• Криптиране на данни при пренос (TLS 1.3 минимум) и в покой (AES-256)

• Многофакторно удостоверяване (MFA) за достъп до платформата

• Хронологични дневници (логове) и неизменяеми, проследяващи всяко действие по документа

• Хостинг в ЕС (или EEE), за да се избегнат трансфери извън EEE без адекватни гаранции (решение за адекватност или типови договорни клаузи)

• Годишни тестове на проникване и ISO 27001 сертификация на доставчика

• План за непрекъснатост, гарантиращ наличност на услугата и възстановяване на архивите в случай на инцидент

Анализ на въздействието (AIPD): кога е задължителен?

Член 35 на RGPD налага Анализ на въздействието върху защита на данни (AIPD), когато обработката е вероятно да породи висок риск. CNIL публикува списък на видове обработка, изискващи AIPD: обработката в голямо мащаб на данни относно професионалния живот там се споменава.

Конкретно AIPD се препоръчва (или дори задължава за големи компании) при развражане на решение за електронен подпис HR, засягащо всички сътрудници. Той трябва да определи рисковете (загуба на поверителност, узурпация на самоличност, изменение на документи), да оцени тяхна тежест и вероятност и да предложи смекчаващи мерки. Този анализ трябва да бъде документиран и преразгледан в случай на еволюция на обработката.

Приложимо правно съдържание за електронен подпис HR и RGPD

Основателни европейски текстове

Регламент eIDAS №910/2014 (и неговото преразглеждане eIDAS 2.0 в процес на развръщане): този текст определя трите нива на електронен подпис (SES, AES, QES) и тяхната правна стойност във всички държави членки. Член 25 предвижда, че QES има правен ефект еквивалентен на ръчния подпис. Член 26 изброява техническите изисквания на напреднал подпис. Квалифицирани доставчици на услуги на доверие са вписани в национални списъци на доверие (във Франция списъкът е управляван от ANSSI).

RGPD №2016/679: приложим от 25 май 2018 г., този регламент регулира всяка обработка на лични данни в ЕС. Членове 5 (принципи), 6 (правни основания), 13-14 (информация), 28 (преработватели), 30 (регистър), 32 (сигурност), 35 (AIPD) и 37-39 (DPO) са преки отношение за електронен подпис HR.

Приложимо французко право

Гражданския кодекс, членове 1366-1367: член 1366 установява принципа на функционална еквивалентност между електронен и хартиен документ. Член 1367 признава електронния подпис като начин на доказване, при условие че се състои в надежден процес на идентификация, гарантиращ връзката с акта, към който се прикрепя. Надеждаността се предполага за QES, но може да се докаже за AES.

Трудов кодекс: чл. L. 1221-1 не налага конкретна форма за трудов договор (с изключения: CDD чл. L. 1242-12, договор за обучение и т.н.). Закон на Макрон от 2015 г. (закон №2015-990) отвори пътя за електронна разчетна ведомост. Чл. L. 3243-2 регулира нейните условия.

Закон за информатика и свободи, изменен (закон №78-17 от 6 януари 1978 г.): французта транспозиция на RGPD, дава на CNIL своите правомощия по разследване и санкциониране. Наказанията могат да достигнат 20 милиона евро или 4% от годишния световен оборот за най-тежките нарушения.

Технически референтни стандарти

• ETSI EN 319 132: формат напреднал електронен подпис XAdES, приложим за XML документи

• ETSI EN 319 122: формат CAdES за електронни подписи на CMS документи

• ETSI EN 319 162: дълготрайно архивиране на електронни подписи (ASiC)

• NF Z 42-013 (AFNOR): функционални спецификации на система за доказателствено електронно архивиране

• ISO/IEC 27001: управление на сигурност на информация, референтен рамковток очакван за доставчици

Правни рискове в случай на неспазване

Натрупването на рискове е значително: трудов договор, подписан с недостатъчно ниво на подпис, може да бъде оспорен пред съвета по трудови спорове, излагайки работодателя на преквалификация или нищожност. По RGPD аспект, липсата на DPA с доставчика, пропуск на информирането на служителите или хостинг извън ЕС без адекватни гаранции могат да доведат до окончателен разпоред на CNIL, или дори администраторско публично наказание.

Сценарии на използване: електронен подпис HR в съответствие с RGPD

Сценарий 1: промишленност ETI с 600 служители дигитализира своите трудови договори

Промишлена компания средна величина, разпределена на четири места във Франция, обработваше около 180 наемания CDI/CDD годишно, генерирайки толкова много хартиени папки за печат, подпис в двойна копия, сканиране и архивиране. Сроковете между обещанието за наемане и подписване на договора достигаха средно 8 работни дни.

След развръщане на решение за напреднал електронен подпис (AES), интегрирано в неговата SIRH, с DPA в съответствие с RGPD, подписан с доставчика и документирана AIPD, компанията намали този срок на по-малко от 24 часа. Процентът на непълни папки спадна с 34% (източници: секторни бенчмарки ANDRH 2024). Хостингът на данни във Франция беше избран като договорен критерий, елиминирайки всеки риск от трансфер извън EEE. Служителите са информирани за обработката чрез информационна етикета, интегрирана в пътека на подпис, гарантирайки съответствие на чл. 13 на RGPD.

Сценарий 2: кразпространяваща мрежа търговия развръща QES подпис за договори за определен брой дни

Мрежа на разпределение, специализирана, състояща се от около 60 точки продажба и стотин кадри по договор за определен брой дни, беше изправена пред трудов риск, идентифициран от неговите юристи: няколко договори за определен брой дни можеха да се докажат само посредством копия хартия на лоша качество. Касационният съд затвърди изискванията си за доказателство върху този тип договор, рискът на конфликт беше оценен на няколко стотин хиляди евро.

Мрежата развръща решение за квалифициран подпис (QES) за всички нови договори и предложи на кадрите в длъжност да подновят своите съществуващи договори. Удостоверяването на самоличност чрез видео-идентификация беше избрано. Регистърът на дейностите по обработка беше актуализиран и външен DPO валидира съответствието RGPD на пътеката. За 6 месеца цялата база данни на договори за определен брой дни беше осигурена. Цената на инициативата (около 15 до 25 € по подпис QES според доставчиците на пазара) беше преценена като значително по-ниска от рисука на конфликт, който покрива.

Сценарий 3: местна администрация дематериализира добавления и IT правила за дистанционна работа

Местна администрация с около 1 200 постоянни служители желае да дематериализира управлението на своите добавления за дистанционна работа след национално рамково съглашение от 2021 г. относно дистанционна работа в публичния сектор. Обемът за обработка беше около 400 документа годишно, със специфични ограничения: служителите са публични лица, чиито данни подлежат на особено регулирана обработка.

Администрацията избра напреднал подпис (AES), с суверен хостинг от квалифициран доставчик SecNumCloud от ANSSI. AIPD беше предоставена на DPO на администрацията преди развръщане. Служителите бяха информирани чрез служебна бележка публикувана на интранета и информационна етикета в цифровата пътека. HR услуга оцени печалба от 3 ETP-дни месечно в административното управление на добавления, като годишна икономия еквивалентна на около 35 000 € в преки разходи, съответстваща на диапазоните публикувани от Обсерваторията на цифровата трансформация на администрациите (2025).

Заключение

Съответствието RGPD на електронния подпис за HR документи не е опция: той условува както правната стойност на вашите актове, така и защитата на правата на вашите служители. През 2026 г. компаниите, които не са актуализирали своя регистър на обработки, не са подписали DPA с своя доставчик и не са адаптирали нивото на подпис на всеки тип документ, се излагат на двойнен риск — трудов и администраторски — чиито финансови последствия могат да бъдат значителни.

Добрата новина: добре избрано и правилно конфигурирано решение позволява съчетаване на оперативната течност, съответствие на eIDAS и респект към RGPD без триене за HR екипи, нито за служителите.

Certyneo ви придружава в този процес: платформа в съответствие с eIDAS, наличен DPA, европейски хостинг и пътеки за подпис, специално предназначени за HR. или за няколко клика.