Elektronický podpis HR & GDPR: kompletní průvodce 2026

Digitalizace lidských zdrojů se od roku 2020 výrazně zrychlila: pracovní smlouvy, dodatky, výplatní pásky, IT charty, dohody o home office — prakticky všechny tyto dokumenty nyní probíhají v digitální formě. Nicméně dematerializace neznamená vyvázání se ze zákonných povinností. Naopak: elektronický podpis HR dokumentu GDPR představuje téma se dvojím regulačním vchodem, protože propojuje rámec eIDAS o důkazní hodnotu podpisu a evropský předpis o ochraně osobních údajů. Pokud není tato dvojí omezení řádně zvládnuta, vystavuje firma právní rizika a sankce od GDPR. Tento průvodce vám představuje základní pravidla, osvědčené postupy a kritické body, které musíte v roce 2026 bezpodmínečně znát.

Proč se GDPR vztahuje na elektronický podpis HR?

Elektronický podpis nutně zpracovává osobní údaje

Podepsání pracovní smlouvy online zahrnuje shromažďování, přenos a ukládání osobních údajů ve smyslu článku 4 GDPR č. 2016/679: jméno, příjmení, pracovní e-mailová adresa, někdy číslo mobilního telefonu, časová značka a IP adresa podpisu. V kontextu HR jsou tyto údaje obzvláště citlivé, protože přímo identifikují zaměstnance a souvisejí s jeho pracovním vztahem s zaměstnavatelem.

Poskytovatel služeb důvěry (PSC), který poskytuje řešení pro podpis, se kvalifikuje jako zpracovatel ve smyslu článku 28 GDPR. Zaměstnavatel zůstává správcem údajů. Toto rozlišení je zásadní: společnost odpovídá GDPR v případě porušení, nikoli poskytovatel softwaru.

Právní základy využitelné v kontextu HR

Pro každou kategorii dematerializovaných HR dokumentů musí zaměstnavatel určit nejvhodnější právní základ pro zpracování:

• Plnění smlouvy (čl. 6.1.b GDPR): podpis pracovní smlouvy, smluvní dodatek, úmluva o forfaitních dnech. Toto je nejsilnější právní základ pro smluvní dokumenty.

• Právní povinnost (čl. 6.1.c GDPR): dematerializované výplatní pásky (povoleno od Macronova zákona z 2015 pod podmínkami), registry zaměstnanců.

• Oprávněný zájem (čl. 6.1.f GDPR): IT charty, vnitřní předpisy, dokumenty vnitřní politiky — za předpokladu splnění testu vyvážení.

Právní základ souhlas (čl. 6.1.a) je v kontextu HR třeba se vyhýbat: GDPR a EDPB (Evropský výbor pro ochranu údajů) se domnívají, že vztah podřízenosti mezi zaměstnavatelem a zaměstnancem činí souhlas zřídka svobodným. Zaměstnanec, který odmítne podepsat elektronicky, by se mohl obávat pracovních důsledků.

Konkrétní povinnosti správce údajů HR

Aktualizace evidence zpracování (RAT)

Článek 30 GDPR zavazuje každou organizaci zaměstnávající více než 250 zaměstnanců (a malé a střední podniky zpracovávající citlivé údaje ve velkém měřítku) vést evidenci zpracování. Zavedení nástroje elektronického podpisu pro HR dokumenty musí obsahovat:

• Účel zpracování (např. dematerializace a archivace smluvních HR dokumentů)

• Kategorie zpracovávaných údajů (identita, kontaktní údaje, údaje o ověřování)

• Dobu uchování (doba zákonného uchovávání pracovní smlouvy: 5 let po skončení smlouvy podle zákoníku práce, čl. L. 1234-20)

• Kontaktní údaje zpracovatele (platforma pro podpis)

• Bezpečnostní opatření zavedená

Podpis DPA (Data Processing Agreement) se poskytovatelem

V souladu s článkem 28 GDPR musí být každé použití zpracovatele pro zpracování osobních údajů formalizováno smlouvou o zpracování (DPA). Tato smlouva musí uvést:

• Předmět a dobu zpracování

• Povahu a účel zpracování

• Typ osobních údajů a kategorie dotčených osob

• Povinnosti a práva správce údajů

• Umístění údajů (doporučuje se hosting v EU, aby se zabránilo převodům mimo EHP)

• Technická a organizační bezpečnostní opatření

Seriózní poskytovatel elektronického podpisu systematicky nabízí kompatibilní DPA. Její absence je okamžitě sankcionovatelným porušením souladu.

Informování zaměstnanců před prvním podpisem

Článek 13 GDPR ukládá předběžné informování osob, jejichž údaje jsou shromažďovány. Před nasazením elektronického podpisu pro HR dokumenty musí zaměstnavatel zaměstnance informovat:

• O identitě správce údajů

• O účelu a právním základu

• O době uchování údajů

• O jejich právech (přístup, oprava, vymazání v rámci povinností uchování, přenositelnost)

• O kontaktních údajích DPO (Pověřence pro ochranu údajů), pokud je určen

Tyto informace mohou být začleněny do procesu samotného podpisu (banner s informacemi před podpisem), do aktualizovaného interního předpisu nebo prostřednictvím služebního zepředmětování rozeslané při nasazení.

Požadovaná úroveň podpisu pro HR dokumenty: SES, AES nebo QES?

Hierarchie úrovní eIDAS

Nařízení eIDAS č. 910/2014 definuje tři úrovně elektronického podpisu, z nichž každá nabízí rostoucí důkazní hodnotu:

• SES (Simple Electronic Signature / Jednoduchý elektronický podpis): nízká důkazní hodnota, vhodný pro dokumenty s nízkou sází (potvrzení příjmu, vnitřní formuláře)

• AES (Advanced Electronic Signature / Pokročilý elektronický podpis): jedinečně vázán na podepisujícího, vytvořen z údajů pod jeho výhradní kontrolou. Vhodný pro většinu běžných HR dokumentů.

• QES (Qualified Electronic Signature / Kvalifikovaný elektronický podpis): nejvyšší úroveň, rovnocenná handpsanému podpisu podle čl. 25.2 eIDAS. Vyžaduje posílenou ověřit identity (osobní setkání nebo video-ověření).

Jakou úroveň pro jaké HR dokumenty?

Doporučená kartografie v roce 2026 s ohledem na pozice francouzské judikatury a sektorová doporučení:

| HR dokument | Doporučená úroveň | Zdůvodnění | |---|---|---| | Smlouva CDI/CDD | AES minimálně, QES doporučeno | Silná smluvní hodnota, riziko soudního řízení | | Smluvní dodatek | AES minimálně, QES doporučeno | Stejná logika jako hlavní smlouva | | Zkušební lhůta (obnovení) | AES | Krátká lhůta, omezená formalita | | IT charta pro telework / BYOD | SES nebo AES | Kolektivní dohoda nebo vnitřní předpis | | Úmluva o forfaitních dnech | QES důrazně doporučeno | Náročná judikatury práce | | Dohodnuté ukončení | QES povinné | Homologovaný formulář Cerfa, vysoká sází | | Potvrzení finálního vypořádání | AES nebo QES | Uvolňující hodnota, čl. L. 1234-20 zákoníku práce |

Pro dokumenty s vysokou sází na spor (forfaitní úmluva, dohodnuté ukončení) se QES fakticky narzuje pro zajištění oponibilnosti před pracovními soudy. Soudní dvůr postupně zpřísnoval své požadavky na důkaz souhlasu zaměstnance.

Uchovávání, archivace a práva osob: úskalí k vyhnutí

Zákonné doby uchovávání podepsaných HR dokumentů

Uchovávání podepsaných HR dokumentů elektronicky se řídí zákonnými dobami uchování. Tyto doby jsou nadřazeny právu na vymazání GDPR (čl. 17.3.b):

• Pracovní smlouva: 5 let po skončení smlouvy (soudní lhůta, čl. L. 1471-1 zákoníku práce)

• Výplatní pásky: 5 let (soudní lhůta na mzdy), ale doporučuje se uchování až do vypořádání důchodových práv zaměstnance

• Dokumenty týkající se pracovních úrazů: 30 let (dlouhodobé riziko sporu)

• Odborné vzdělávání (plány, doklady): 3 roky

• Registry personálu: 5 let po datu, kdy zaměstnanec opustil zařízení

Archivace elektronických dokumentů s důkazní hodnotou musí splňovat požadavky normy NF Z 42-013 a ideálně standard ETSI EN 319 162 (dlouhodobá archivace elektronických podpisů). Jednoduchý storage na serveru nestačí: je třeba zaručit integritu, čitelnost a kvalifikované časové značení dokumentů po celou dobu uchování.

Správa práv zaměstnanců bez ohrožení důkazní hodnoty

Zaměstnanec může oprávněně uplatnit své právo na přístup (čl. 15 GDPR) k získání kopie údajů o podpisu jím týkajících se. Může také požádat o opravu nepřesných údajů.

Právo na vymazání (čl. 17 GDPR) se však nemůže uplatnit na HR dokumenty podléhající zákonným povinnostem uchování. Zaměstnavatel musí být schopen jasně vysvětlit tento odmítnutí s odkazem na příslušný právní základ. Dokumentace těchto výměn v registru žádostí o práva je osvědčenou praxí doporučovanou GDPR.

Přenositelnost (čl. 20 GDPR) se vztahuje na údaje poskytnuté zaměstnancem na základě souhlasu nebo plnění smlouvy. Konkrétně může zaměstnanec požádat své údaje o podpisu ve strukturovaném formátu — povinnost, kterou je třeba předvídat při výběru řešení pro podpis.

Technická a organizační bezpečnost: nezbytná opatření

Technické požadavky platformy pro podpis

V souladu s článkem 32 GDPR musí být bezpečnostní opatření přiměřená riziku. Pro řešení elektronického podpisu HR se to konkrétně projevuje:

• Šifrování údajů při přenosu (TLS 1.3 minimálně) a v klidu (AES-256)

• Vícefaktorové ověřování (MFA) pro přístup na platformu

• Protokoly auditu (logy) s časovými značkami a nefalsifikovatelné, sledující každou akci v dokumentu

• Hosting v EU (nebo EHP) aby se zabránilo převodům mimo EHP bez přiměřených záruk (rozhodnutí o přiměřenosti nebo typové smluvní doložky)

• Testy průniku roční a certifikace ISO 27001 poskytovatele

• Plán kontinuity garantující dostupnost služby a obnovu archivů v případě incidentu

Dopad na ochranu údajů (DPIA): kdy je povinný?

Článek 35 GDPR stanoví Dopad na ochranu osobních údajů (DPIA) v případě, že zpracování může způsobit vysoké riziko. GDPR zveřejnila seznam typů zpracování vyžadujících DPIA: zpracování v rozsáhlém měřítku údajů týkajících se profesionálního života je zde zmíněno.

Konkrétně je DPIA doporučen (nebo povinný u velkých podniků) při nasazení řešení elektronického podpisu HR dotýkajícího se všech zaměstnanců. Měl by identifikovat rizika (ztráta důvěrnosti, falšování identity, změna dokumentů), posoudit jejich závažnost a pravděpodobnost a navrhnout zmírňující opatření. Tato analýza musí být zdokumentována a revidována v případě změny zpracování.

Právní rámec použitelný na elektronický podpis HR a GDPR

Klíčové evropské předpisy

Nařízení eIDAS č. 910/2014 (a jeho revize eIDAS 2.0 právě prováděná): tento předpis definuje tři úrovně elektronického podpisu (SES, AES, QES) a jejich právní hodnotu v celé EU. Článek 25 stanoví, že QES má právní účinek rovnocenný handpsanému podpisu. Článek 26 vyjmenovává technické požadavky pokročilého podpisu. Kvalifikovaní poskytovatelé služeb důvěry jsou uvedeni v seznamech důvěry jednotlivých zemí (ve Francii seznam spravuje ANSSI).

GDPR č. 2016/679: Uplatnitelný od 25. května 2018, tento předpis upravuje každé zpracování osobních údajů v EU. Články 5 (zásady), 6 (právní základy), 13-14 (informování), 28 (zpracovatelé), 30 (registr), 32 (bezpečnost), 35 (DPIA) a 37-39 (DPO) jsou přímo relevantní pro elektronický podpis HR.

Použitelné francouzské právo

Občanský zákoník, články 1366-1367: článek 1366 stanoví princip funkční ekvivalence mezi elektronickým a papírovým textem. Článek 1367 uznává elektronický podpis jako způsob důkazu za podmínky, že spočívá v spolehlivém postupu identifikace zaručujícím spojení s aktem, do kterého se vkládá. Spolehlivost se předpokládá pro QES, ale lze ji prokázat pro AES.

Zákoník práce: článek L. 1221-1 neukládá zvláštní formu pro pracovní smlouvu (s výjimkami: pracovní smlouva na dobu určitou čl. L. 1242-12, učňovská smlouva atd.). Macronův zákon z 2015 (zákon č. 2015-990) otevřel cestu elektronickým výplatním páskám. Článek L. 3243-2 upravuje jejich podmínky.

Zákon o informatice a svobodách, upravený (zákon č. 78-17 ze 6. ledna 1978): francouzská transpozice GDPR, poskytuje GDPR její vyšetřovací a sankční pravomoci. Pokuty mohou dosáhnout 20 milionů eur nebo 4 % celosvětového ročního obratu za nejzávažnější porušení.

Standardy technické reference

• ETSI EN 319 132: formát pokročilého elektronického podpisu XAdES, použitelný pro dokumenty XML

• ETSI EN 319 122: formát CAdES pro elektronické podpisy dokumentů CMS

• ETSI EN 319 162: dlouhodobá archivace elektronických podpisů (ASiC)

• NF Z 42-013 (AFNOR): funkční specifikace systému dlouhodobé archivace elektronických dokumentů s důkazní hodnotou

• ISO/IEC 27001: řízení bezpečnosti informací, certifikační referenční rámec očekávaný od poskytovatelů

Právní rizika v případě nesouladu

Kumulace rizik je významná: pracovní smlouva podepsaná nedostatečnou úrovní podpisu může být zpochybněna před pracovním soudem, vystavující zaměstnavatele změní kvalifikace nebo zneplatnění. Z hlediska GDPR, absence DPA s poskytovatelem, opomenutí informovat zaměstnance nebo hosting mimo EU bez přiměřených záruk mohou vést k upozornění GDPR nebo dokonce správnímu postihu.

Scénáře použití: elektronický podpis HR v souladu s GDPR

Scénář 1: průmyslový střední podnik se 600 zaměstnanci digitalizuje své pracovní smlouvy

Průmyslový podnik střední velikosti rozložený na čtyři místa ve Francii zpracovával ročně přibližně 180 nabídek CDI/CDD, přičemž generoval stejný počet papírových složek k tisku, podpisu v dvojím vyhotovení, skenování a archivaci. Zpoždění mezi nabídkou zaměstnání a podpisem účinné smlouvy činilo v průměru 8 pracovních dní.

Po nasazení řešení pokročilého elektronického podpisu (AES) integrovaného do svého HRIS, s kompatibilním DPA podepsaným s poskytovatelem a zdokumentovaným DPIA, podnik zkrátil tuto lhůtu na méně než 24 hodin. Míra nekompletních dossiérů klesla o 34 % (zdroje: sektorové benchmark ANDRH 2024). Hosting údajů ve Francii byl vybrán jako smluvní kritérium, čímž se zcela eliminovalo riziko převodu mimo EHP. Zaměstnanci jsou o zpracování informováni prostřednictvím infobaneru integrovaného do parcely podpisu, což zaručuje soulad s článkem 13 GDPR.

Scénář 2: franchisingová síť maloobchodu nasazuje QES pro forfaitní úmluvy

Distribuční síť se zhruba šedesáti prodejnami a stovkou vedoucích pracovníků se forfaitními dny čelila identifikovanému pracovnímu riziku: několik forfaitních úmluv mohlo být prokázáno pouze pomocí kopií papírových dokumentů horší kvality. Soudní dvůr zpřísnit své požadavky na důkazy pro tento typ úmluvy, což riziko sporu odhadovalo na několik set tisíc eur.

Síť nasadila řešení kvalifikovaného podpisu (QES) pro všechny nové úmluvy a nabídla vedoucím pracovníkům v postavení znovu podepsat jejich stávající úmluvy. Ověření identity videem bylo vybráno. Registr zpracování byl aktualizován a externí DPO ověřil soulad GDPR parcely. V 6 měsících byla celá sbírka forfaitních úmluv zabezpečena. Náklady na postup (přibližně 15 až 25 € na QES podpis podle tržních poskytovatelů) byly považovány za výrazně nižší než pokryté riziko sporu.

Scénář 3: místní orgán dematerializuje dodatky a IT charty telework

Místní orgán s přibližně 1 200 trvalými zaměstnanci se rozhodl dematerializovat správu svých dodatků telework po národním rámcovém dohodě z 2021 o telework ve veřejné službě. Objem ke zpracování činil přibližně 400 dokumentů ročně, s specifickými omezeními: zaměstnanci jsou veřejné osoby, jejichž údaje podléhají zvláště striktnímu zpracování.

Orgán se rozhodl pro pokročilé podpisy (AES), s hostingem, který splňuje požadavky SecNumCloud od ANSSI. DPIA byl před nasazením předložen DPO orgánu. Zaměstnanci byli informováni prostřednictvím služebního zepředmětování zveřejněného na intranetu a infobaneru v digitální parcele. Služba HR odhadla zisk 3 ETP-dnů za měsíc na správě administrativy dodatků, což odpovídá roční úspoře přibližně 35 000 € přímých nákladů, kompatibilní s rozsahy zveřejněnými Observatoire de la transformation numérique des collectivités (2025).

Závěr

Soulad GDPR elektronického podpisu pro HR dokumenty není možnost: podmíňuje jak právní hodnotu vašich aktů, tak i ochranu práv vašich zaměstnanců. V roce 2026 se firmy, které dosud neaktualizovaly svůj registr zpracování, nepodepsaly DPA se svým poskytovatelem a neprispůsobily úroveň podpisu každému typu dokumentu, vystavují dvojitému riziku — pracovnímu a správnímu — jehož finanční důsledky mohou být významné.

Dobrá zpráva: dobře zvolené a nakonfigurované řešení umožňuje sladit provozní plynulost, soulad eIDAS a respekt k GDPR bez tření pro HR týmy ani zaměstnance.

Certyneo vás doprovází v tomto úsilí: platforma v souladu s eIDAS, dostupný DPA, evropský hosting a parcely podpisu navržené pro HR. Seznamte se s naším řešením určeným pro lidské zdroje nebo vypočítejte ROI vašeho přechodu na plné digitalizaci v několika kliknutích.