Ověření autentičnosti podepsaného dokumentu: DUER

Dokument jedinečného hodnocení rizik (DUER) je klíčovým prvkem souladu s bezpečností a ochranou zdraví při práci ve Francii. Zaveden dekretem č. 2001-1016 ze dne 5. listopadu 2001 je povinný pro každou společnost již od prvního zaměstnance. Jeho právní hodnota v případě kontroly inspekce práce, nehody nebo sporu však do značné míry spočívá na jeho sledovatelnosti a autentičnosti podpisů, které jej schvalují. Jak si zajistit, že číslicově podepsaný DUER nebyl po podpisu změněn? Jaké nástroje a metody umožňují ověření této autentičnosti? Tento článek vás provede krok za krokem, od technických základů až po organizační osvědčené postupy.

Proč je autentičnost podpisu DUER kritická

Právní a regulační důsledky

DUER není běžný administrativní dokument. V případě pracovní nehody, povolání související s prací nebo sporu může být předložen jako důkaz politiky prevence zaměstnavatele. Zákoník práce (články L.4121-1 a následující) ukládá zaměstnavateli povinnost bezpečnosti výsledku a DUER je formální stopa jeho hodnocení.

Neověřitelný nebo změněný elektronický podpis může vést k:

• Neplatnosti dokumentu jako důkazního prostředku před soudem;
• Správním sankcím dosahujícím až 3 750 € pokuty na zaměstnance, který není chráněn;
• Zákazu trestní odpovědnosti vedoucího podniku v případě závažné nehody.

Od zákona č. 2021-1018 ze dne 2. srpna 2021 (zákon o zdraví v práci) se aktualizace DUER musí provádět frecčněji v podnicích s 11 a více zaměstnanci a jeho uchování se nyní prodloužilo na 40 let. Tato dlouhá doba posiluje imperatív robustního a ověřitelného elektronického podpisu v čase.

Rozdíl mezi skenovaným podpisem a kvalifikovaným elektronickým podpisem

Mnoho vedoucích HR nebo HSE si myslí, že ruční napsaný podpis skenovaný na PDF je dostačující. Tomu tak není. Podpis obrázku (skenu) negarantuje žádnou integritu dokumentu: soubor může být následně upraven bez zjistitelné stopy.

Elektronický podpis v souladu s nařízením eIDAS je naopak založen na kryptografickém mechanismu, který nevratně váže identitu podepisujícího k obsahu dokumentu v přesném čase. Jakoliv následná úprava, i když nepatrná - přidaný prostor, změněné číslo - zneplatní podpis a spustí výstrahu při ověřování.

Glosář elektronického podpisu rozlišuje tři úrovně uznávané nařízením eIDAS: jednoduchý elektronický podpis (SES), pokročilý (SEA) a kvalifikovaný (SEQ). Pro tak citlivý dokument jako DUER se doporučuje minimálně úroveň pokročilá, přičemž kvalifikovaná úroveň je vhodnější pro podniky, které podléhají časté kontrole.

Konkrétní metody ověření autentičnosti podepsaného DUER

Ověření přes nativní čtečku PDF

Nejpřístupnější metodou je otevřít dokument v Adobe Acrobat Reader (bezplatná verze) nebo kompatibilní čtečce PDF. Když je přítomen conformní elektronický podpis, zobrazí se automaticky panel podpisu. Uvádí:

1. Identita podepisujícího: jméno, příjmení, organizace a použitý certifikát;
2. Datum a čas podpisu, opatřené kryptografickým časovým razítkem;
3. Stav integrity: „Podpis je platný" nebo „Dokument byl po podpisu změněn";
4. Řetězec důvěry certifikátu: validován certifikační autoritou, která je uznávána.

Toto ověření je okamžité a nevyžaduje žádné předplatné. Je však omezené: pokud certifikát emisní autority není v seznamu důvěry softwaru (jako seznam EUTL - European Union Trusted Lists), podpis se může zobrazit jako „neověřený", i když je technicky platný.

Ověření prostřednictvím online validačních služeb

Evropská komise poskytuje službu DSS Demo Tools (dostupná na ec.europa.eu), která umožňuje nahrát podepsaný dokument a získat zprávu o validaci v souladu s normou ETSI EN 319 102. Tato služba:

• Ověřuje soulad s formáty XAdES, CAdES, PAdES a JAdES;
• Kontroluje platnost certifikátu v okamžiku podpisu prostřednictvím protokolů OCSP nebo CRL;
• Generuje zprávu JSON nebo PDF podrobně popisující jednotlivé kroky ověřování.

Existují také soukromé služby nabízené poskytovateli kvalifikovaných služeb důvěry (QTSP) zaregistrovanými na národních seznamech důvěry. Ve Francii ANSSI zveřejňuje seznam akreditovaných QTSP. Obrácení se na jednu z těchto služeb pro ověření DUER, který je v soudním sporu zpochybňován, poskytuje výrazně vyšší důkazní sílu.

Ověření prostřednictvím původní podpisové platformy

Pokud byl DUER podepsán prostřednictvím řešení SaaS, jako je Certyneo, je ověření ještě přímější. Každý podepsaný dokument generuje podpisový certifikát (také nazývaný zpráva auditu nebo stopa podpisu), která archivuje:

• IP adresu a identifikátor sezení podepisujícího;
• Kryptografický hash SHA-256 původního dokumentu;
• Kvalifikované časové razítko RFC 3161;
• Důkazy totožnosti použité (e-mail, SMS OTP, nebo dokonce silné ověření eIDAS).

Tato zpráva je samotná elektronicky podepsána poskytovatelem, což ji činí nefalšovatelnou a přímo použitelnou jako důkaz v právním řízení. Řešení elektronického podpisu pro podniky Certyneo má tento mechanismus nativně integrován pro všechny dokumenty, včetně DUER.

Osvědčené postupy pro zabezpečení podpisu a uchování DUER

Výběr správné úrovně podpisu podle profilu rizika

Výběr úrovně podpisu by neměl být ponechán náhodě. Pro DUER je zde doporučovaný postup:

| Kontext | Doporučená úroveň | Odůvodnění | |---|---|---| | Mikro podnik < 10 zaměstnanců, nízké riziko | Pokročilý podpis (SEA) | Rovnováha cena/důkazní hodnota | | PME, průmyslové nebo stavební odvětví | Pokročilý podpis s certifikátem QSCD | Soulad s eIDAS vysoké úrovně | | Velký podnik, sektor zdravotnictví nebo chemie | Kvalifikovaný podpis (SEQ) | Hodnota rovnocenná ručnímu podpisu |

Pro zdravotnické podniky elektronický podpis v zdravotnictví splňuje další právní požadavky (HDS, zdravotnický GDPR), které systematicky odůvodňují využití kvalifikovaného podpisu.

Časové razítko a dlouhodobé archivování

Zákon o ochraně zdraví v práci, který ukládá uchovávání DUER po dobu 40 let, konkrétně staví otázku životnosti podpisů. Certifikát podpisu má omezenou dobu platnosti (obvykle 1 až 3 roky). Po uplynutí tohoto období může být řetězec důvěry přerušen.

Řešením je služba archivování s důkazní hodnotou (služba elektronického archivování nebo SAE), kombinovaná s dlouhodobým časovým razítkem podle normy ETSI EN 319 122. Tento mechanismus, někdy nazývaný LTV (Long Term Validation), pravidelně znovu ohodnotí časem dokument přidáním dalších důkazů integrity, což zaručuje jeho ověřitelnost po dobu celé právní doby.

Nezaměňujte archivování a úložiště: jednoduchý souborový server nebo cloudový disk nepředstavují archivování s důkazní hodnotou. Pouze systém zaručující integritu, čitelnost a sledovatelnost přístupu splňuje právní požadavky.

Proces ověřování při aktualizacích

DUER musí být aktualizován minimálně jednou ročně a při každé významné změně pracovních podmínek. Každá nová verze musí být odlišena od předchozí a měla by být předmětem nového podpisu. Přísný proces zahrnuje:

1. Explicitní verzování: číslo verze, datum účinnosti, seznam provedených změn;
2. Podpis nové verze vedoucím HSE a podle okolností zástupcem zaměstnanců (CSE);
3. Uchování všech předchozích verzí v SAE, přístupné jen pro čtení;
4. Systematické ověřování integrity aktuální verze před jakýmkoli sdílením s inspekci práce nebo službami zdraví v práci.

Automatizace těchto kroků prostřednictvím platformy jako Certyneo výrazně snižuje riziko lidské chyby a zaručuje průběžné soulad procesu. Abychom měřili návratnost investice takového řešení, kalkulátor ROI elektronického podpisu umožňuje odhadnout zisky podle velikosti vaší organizace.

Právný rámec použitelný na podpis a ověření DUER

Základní texty v pracovním právu

Povinnost sestablecer Dokument jedinečného hodnocení profesionálních rizik (DUERP) vychází z článku L.4121-1 zákoníku práce, který ukládá zaměstnavateli transkripci a aktualizaci výsledků hodnocení rizik. Dekret č. 2001-1016 ze dne 5. listopadu 2001 ustanovenil tuto formální povinnost. Zákon č. 2021-1018 ze dne 2. srpna 2021 na posílení prevence v oblasti zdraví a bezpečnosti při práci rozšířil povinnosti uchovávání na 40 let a zavedl požadavky na zásob elektronizovaného souboru u služeb zdraví a bezpečnosti při práci pro podniky s nejméně 150 zaměstnanci.

Právní hodnota elektronického podpisu

Článek 1366 občanského zákoníku stanoví princip: „Elektronický spis má stejnou důkazní sílu jako spis na papírové podložce, za předpokladu, že lze řádně identifikovat osobu, od které pochází, a že je sepsán a uchováván tak, aby byla zaručena jeho integrita." Článek 1367 upřesňuje, že elektronický podpis "spočívá v používání spolehlivého postupu identifikace, který zaručuje jeho vztah k aktu, ke kterému se váže".

Nařízení eIDAS č. 910/2014 Evropského parlamentu a Rady stanovuje evropský rámec důvěry pro elektronické transakce. Definuje tři úrovně podpisů (jednoduchý, pokročilý, kvalifikovaný) a stanoví rovnocennost kvalifikovaného elektronického podpisu a ručního podpisu v článku 25 odst. 2. Pokročilý podpis, aniž by měl prospěch z této právní domněnky, zůstává přijatelný jako důkazní prostředek podle zásady nediskriminace v článku 25 odst. 1.

Technické referenční normy

Formáty elektronického podpisu uznávané pro dokumenty PDF jsou definovány normami ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) a ETSI EN 319 142 (PAdES). Pro dlouhodobou validaci norma ETSI EN 319 102 definuje postupy algoritmu validace v souladu s eIDAS.

Kvalifikované elektronické časové razítko je upraveno článkem 41 nařízení eIDAS a normou RFC 3161 IETF, zaručující určitý datum protikladné třetím stranám.

Ochrana osobních údajů

DUER obsahuje osobní údaje (identity zaměstnanců, informace o jejich zdraví a bezpečnosti). Jeho zpracování podléhá Nařízení GDPR č. 2016/679. Elektronický podpis sám o sobě zahrnuje zpracování údajů totožnosti podepisujících. Zaměstnavatel, jako správce zpracování, musí zajistit, aby poskytovatel podpisu byl subdodavatelem s GDPR-compliance a disponoval DPA (Dohodou o zpracování dat) v souladu s článkem 28 GDPR.

Rizika při nesouladu

Absence DUER nebo DUER, jehož podpis není protikladný, vystavuje zaměstnavatele pokutě 3 750 € (pátá třída přestupku) za každý zjištěný přestupek. V případě závažné pracovní nehody může neprotikladnost DUER vést k uznání neomlouvatelné viny zaměstnavatele, což způsobí zvýšení odškodnění vypláceného oběti a regresní akci CPAM.

Konkrétní scénáře použití

Průmyslový poskytovatel čelí kontrole inspekce práce

Malá a střední průmyslová společnost se 85 zaměstnanci, provozující výrobu kovových dílů, podstupuje neohlášenou návštěvu inspekce práce v důsledku nehody stroje. Inspektorka požaduje nahlédnutí do aktuálního DUER k datu nehody. Vedoucí HSE předloží soubor PDF podepsaný elektronicky prostřednictvím podpisové platformy společnosti.

Díky připojenému auditu certifikátu inspektorka může ověřit v reálném čase: datum a čas podpisu (předchozí nehoda), identitu podepisujícího (oprávněný vedoucí výroby), integritu dokumentu (hash SHA-256 neporušený) a soulad úrovně podpisu (pokročilý s kvalifikovaným certifikátem). Společnost je schopna prokázat, že bylo riziko identifikováno a byly naplánovány nápravné opatření. Tento spis vylučuje kvalifikaci neomlouvatelné viny. Podle údajů z výroční zprávy CNAM o zraněnitelnosti společnosti s robustní dokumentární sledovatelností snižují svou exponenci vůči regresním akcím CNAM o 30 až 45 %.

HR konzultační kancelář řídící DUER více klientů

Konzultační kancelář zaměřená na lidské zdroje se 18 spolupracovníky doprovází přibližně čtyřicet TPE a PME klientů v redakci a každoroční aktualizaci jejich DUER. Doposud byly dokumenty rozesílány e-mailem jako nepodepsané PDF, poté byly ručně podepsány a vráceny jako skeny.

Po migraci na řešení elektronického podpisu SaaS je každý DUER podepsán online vedoucím klienta za méně než 3 minuty. Kancelář má centralizovaný řídicí panel umožňující ověřit kdykoli stav jednotlivých dokumentů: podepsáno, opatřeno časovým razítkem, archivováno. V případě otázky klienta na platnost předchozí verze ověření autentičnosti trvá méně než 30 sekund. Čas věnovaný przypomínkám a správě papírových dokumentů se snížil přibližně o 60 %, podle srovnitelných srovnávacích údajů zveřejněných asociacemi HR konzultantů.

Seskupení zdravotnických zařízení spravující víceročné DUER

Seskupení nemocnic o přibližně 600 lůžkách, sdružující několik zdravotnických zařízení a domovů pro seniory, musí spravovat specifické DUER pro jednotlivá místa včetně chemických, biologických a psychosociálních rizik. Právní dobu uchovávání 40 let a množství podepisujících (vedoucí míst, lékaři v práci, zástupci CSE) činí sledování zvláště složitým.

Seskupení zavádí řešení kvalifikovaného elektronického podpisu s archivováním s důkazní hodnotou a dlouhodobým časovým razítkem. Každá verze DUER je utěsněna kryptograficky a automaticky přeohodnocena každé 3 roky pro udržení řetězce důvěry. V případě auditu ARS nebo soudního sporu lze extrahovat jakoukoli historickou verzi s jejím úplným ověřovacím hlášením. Tato organizace snížila dobu přípravy souborů během externích inspekcí o téměř 70 % ve srovnání se starým hybridním papír-digitálním archiválním systémem.

Závěr

Ověření autentičnosti podepsaného dokumentu v dokumentu jedinečného hodnocení rizik není volitelná formalita: je to právní a organizační nezbytnost. Vzhledem k povinnostem vyplývajícím ze zákoníku práce, 40leté lhůtě uchovávání zavedené od roku 2021 a rizikům odpovědnosti v případě nehody pouze robustní elektronický podpis - doplněný spolehlivými nástroji ověřování - zaručuje plnou důkazní hodnotu vašeho DUER.

Ať už projdete čtečkou PDF, evropskou validační službou nebo přímo vaší podpisovou platformou, podstatou je integrovat toto ověření do zdokumentovaného a opakovatelného procesu.

Certyneo vám umožňuje podepisovat, ověřovat a archivovat vaše DUER v úplném souladu s eIDAS, s úplným auditem a integrovaným archivováním s důkazní hodnotou. Vytvořte si bezplatný účet na Certyneo a zabezpečte již dnes právní hodnotu vašich preventivních dokumentů.