Υπογραφή ηλεκτρονική HR & GDPR: πλήρης οδηγός 2026

Η ψηφιοποίηση των ανθρωπίνων πόρων έχει επιταχυνθεί σημαντικά από το 2020: συμβάσεις εργασίας, τροποποιήσεις, ημερολόγια μισθών, χάρτες πληροφορικής, συμφωνίες τηλεργασίας — σχεδόν όλα αυτά τα έγγραφα διακινούνται πλέον σε ψηφιακή μορφή. Ωστόσο, η ψηφιοποίηση δεν σημαίνει απαλλαγή από νομικές υποχρεώσεις. Αντίθετα: η υπογραφή ηλεκτρονική εγγράφου HR GDPR αποτελεί θέμα με διπλή κανονιστική είσοδο, διότι συνδυάζει το πλαίσιο eIDAS σχετικά με την αποδεικτική αξία της υπογραφής και τον ευρωπαϊκό κανονισμό για την προστασία προσωπικών δεδομένων. Εάν δεν κατανοηθεί σωστά, αυτός ο διπλός περιορισμός εκθέτει την επιχείρηση σε νομικούς κινδύνους και σε κυρώσεις της CNIL. Αυτός ο οδηγός σας παρουσιάζει τους βασικούς κανόνες, τις καλές πρακτικές και τα σημεία προσοχής που πρέπει να γνωρίζετε απολύτως το 2026.

Γιατί εφαρμόζεται το GDPR στην ηλεκτρονική υπογραφή HR;

Η ηλεκτρονική υπογραφή αντιμετωπίζει αναγκαστικά προσωπικά δεδομένα

Η υπογραφή ενός συμβολαίου εργασίας στο διαδίκτυο συνεπάγεται τη συλλογή, μετάδοση και αποθήκευση δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4 του GDPR αρ. 2016/679: όνομα, επώνυμο, επαγγελματική διεύθυνση ηλεκτρονικού ταχυδρομείου, μερικές φορές αριθμό κινητού τηλεφώνου, χρονοσήμανση και διεύθυνση IP υπογραφής. Σε ένα περιβάλλον HR, αυτά τα δεδομένα είναι ιδιαίτερα ευαίσθητα επειδή αναγνωρίζουν άμεσα τον υπάλληλο και σχετίζονται με τη συμβατική του σχέση με τον εργοδότη.

Ο πάροχος υπηρεσιών εμπιστοσύνης (PSC) που παρέχει τη λύση υπογραφής χαρακτηρίζεται ως επεξεργαστής δεδομένων κατά την έννοια του άρθρου 28 του GDPR. Ο εργοδότης παραμένει υπεύθυνος επεξεργασίας. Αυτή η διάκριση είναι θεμελιώδης: είναι η επιχείρηση που ευθύνεται ενώπιον της CNIL σε περίπτωση παραβίασης, όχι ο προμηθευτής λογισμικού.

Οι νομικές βάσεις που μπορούν να χρησιμοποιηθούν σε περιβάλλον HR

Για κάθε κατηγορία ψηφιοποιημένων εγγράφων HR, ο εργοδότης πρέπει να αναγνωρίσει την καταλληλότερη νομική βάση επεξεργασίας:

• Εκτέλεση συμβάσης (άρθρο 6.1.b GDPR): υπογραφή συμβάσης εργασίας, τροποποίηση μισθού, σύμβαση φορφέ-ημέρες. Αυτή είναι η πιο ισχυρή νομική βάση για τα συμβατικά έγγραφα.

• Νομική υποχρέωση (άρθρο 6.1.c GDPR): ψηφιακή παράδοση ημερολογίου μισθού (επιτρεπτή από το νόμο Macron του 2015 υπό προϋποθέσεις), μητρώα προσωπικού.

• Έννομο συμφέρον (άρθρο 6.1.f GDPR): χάρτες πληροφορικής, εσωτερικοί κανονισμοί, έγγραφα εσωτερικής πολιτικής — υπό την προϋπόθεση της διεξαγωγής του ισοζυγίου δοκιμής.

Η βάση συγκατάθεσης (άρθρο 6.1.α) είναι προς αποφυγή σε περιβάλλον HR: η CNIL και το EDPB (Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων) θεωρούν ότι η σχέση υποταγής μεταξύ εργοδότη και εργαζομένου καθιστά τη συγκατάθεση σπάνια ελεύθερη. Ένας εργαζόμενος που αρνείται να υπογράψει ηλεκτρονικά μπορεί να φοβάται επαγγελματικές συνέπειες.

Οι συγκεκριμένες υποχρεώσεις του υπεύθυνου επεξεργασίας HR

Ενημέρωση του μητρώου δραστηριοτήτων επεξεργασίας (RAT)

Το άρθρο 30 του GDPR επιβάλλει σε κάθε οργανισμό που απασχολεί περισσότερους από 250 υπαλλήλους (και στις ΜΜΕ που επεξεργάζονται ευαίσθητα δεδομένα σε μεγάλη κλίμακα) να τηρεί μητρώο δραστηριοτήτων επεξεργασίας. Η εισαγωγή ενός εργαλείου ηλεκτρονικής υπογραφής για τα έγγραφα HR πρέπει να εμφανίζεται εκεί με:

• Σκοπό της επεξεργασίας (π.χ.: ψηφιοποίηση και αρχειοθέτηση των συμβατικών εγγράφων HR)

• Κατηγορίες δεδομένων που επεξεργάζονται (ταυτότητα, δεδομένα επικοινωνίας, δεδομένα ταυτοποίησης)

• Διάρκεια διατήρησης (νομική διάρκεια διατήρησης της συμβάσης εργασίας: 5 χρόνια μετά το τέλος της σύμβασης σύμφωνα με το Code du travail, άρθρο L. 1234-20)

• Στοιχεία επικοινωνίας του επεξεργαστή (η πλατφόρμα υπογραφής)

• Τα μέτρα ασφάλειας που εφαρμόζονται

Υπογραφή ενός DPA (Data Processing Agreement) με τον πάροχο

Σύμφωνα με το άρθρο 28 του GDPR, κάθε χρήση ενός επεξεργαστή για την επεξεργασία προσωπικών δεδομένων πρέπει να τυποποιηθεί με συμβόλαιο επεξεργασίας δεδομένων (DPA). Αυτό το συμβόλαιο πρέπει να διευκρινίζει:

• Αντικείμενο και διάρκεια επεξεργασίας

• Φύση και σκοπό της επεξεργασίας

• Τύπο προσωπικών δεδομένων και κατηγορίες αφορώντων ατόμων

• Υποχρεώσεις και δικαιώματα του υπεύθυνου επεξεργασίας

• Τοποθεσία δεδομένων (αποθήκευση στην ΕΕ συνιστάται για την αποφυγή μεταφορών εκτός EEA)

• Τα μέτρα τεχνικής και οργανωτικής ασφάλειας

Ένας σοβαρός πάροχος ηλεκτρονικής υπογραφής παρέχει συστηματικά ένα σύμφωνο DPA. Η απουσία του αποτελεί άμεσα κυρωτέα μη συμμόρφωση.

Ενημέρωση των εργαζομένων πριν από την πρώτη υπογραφή

Το άρθρο 13 του GDPR επιβάλλει την προηγούμενη ενημέρωση των ατόμων των οποίων τα δεδομένα συλλέγονται. Πριν να αναπτύξετε την ηλεκτρονική υπογραφή για τα έγγραφα HR, ο εργοδότης πρέπει να ενημερώσει τους υπαλλήλους:

• Την ταυτότητα του υπεύθυνου επεξεργασίας

• Σκοπό και νομική βάση

• Διάρκεια διατήρησης δεδομένων

• Των δικαιωμάτων τους (πρόσβαση, διόρθωση, διαγραφή εντός των ορίων νομικών υποχρεώσεων διατήρησης, μεταφορά)

• Στοιχεία επικοινωνίας του DPO (Υπεύθυνος Προστασίας Δεδομένων) εάν ορίστηκε

Αυτή η ενημέρωση μπορεί να ενσωματωθεί στη διαδικασία υπογραφής (ζώνη ενημέρωσης πριν από την υπογραφή), στον εσωτερικό κανονισμό που έχει ενημερωθεί, ή μέσω σημειώματος υπηρεσίας που διανέμεται κατά την ανάπτυξη.

Απαιτούμενο επίπεδο υπογραφής για τα έγγραφα HR: SES, AES ή QES;

Η ιεραρχία των επιπέδων eIDAS

Ο κανονισμός eIDAS αρ. 910/2014 ορίζει τρία επίπεδα ηλεκτρονικής υπογραφής, καθένα προσφέρει αυξανόμενη αποδεικτική αξία:

• SES (Simple Electronic Signature / Απλή ηλεκτρονική υπογραφή): χαμηλή αποδεικτική αξία, κατάλληλη για έγγραφα χαμηλής σημασίας (αποδείξεις παραλαβής, εσωτερικά έντυπα)

• AES (Advanced Electronic Signature / Προηγμένη ηλεκτρονική υπογραφή): συνδέεται μοναδικά με τον υπογράφοντα, δημιουργείται με βάση δεδομένα υπό την αποκλειστική του ελεγχο. Κατάλληλη για το μεγαλύτερο μέρος των συνηθισμένων εγγράφων HR.

• QES (Qualified Electronic Signature / Εξειδικευμένη ηλεκτρονική υπογραφή): υψηλότερο επίπεδο, ισοδύναμη με χειρόγραφη υπογραφή σύμφωνα με το άρθρο 25.2 eIDAS. Απαιτεί ενισχυμένη επαλήθευση ταυτότητας (δια προσώπου ή βιντεο-ταυτοποίηση).

Ποιο επίπεδο για ποια έγγραφα HR;

Ο συνιστώμενος χάρτης κατανομής το 2026, λαμβάνοντας υπόψη τις θέσεις της γαλλικής νομολογίας και τις συστάσεις τομέων:

| Έγγραφο HR | Συνιστώμενο επίπεδο | Δικαιολόγηση | |---|---|---| | Συμβόλαιο εργασίας CDI/CDD | AES ελάχιστο, QES συνιστώμενο | Ισχυρή συμβατική αξία, κίνδυνος δοκιμαστικού | | Τροποποίηση συμβάσης | AES ελάχιστο, QES συνιστώμενο | Ίδια λογική όπως η κύρια σύμβαση | | Περίοδος δοκιμής (ανανέωση) | AES | Σύντομη προθεσμία, περιορισμένος φορμαλισμός | | Χάρτης τηλεργασίας / BYOD | SES ή AES | Συλλογική συμφωνία ή εσωτερικός κανονισμός | | Σύμβαση φορφέ-ημέρες | QES έντονα συνιστώμενη | Απαιτητική κοινωνική νομολογία | | Συμβατική κάθεση | QES υποχρεωτική | Ομοποίητο έντυπο Cerfa, υψηλή σημασία | | Απόδειξη για καταμέτρηση όλων | AES ή QES | Απελευθερωτική αξία, άρθρο L. 1234-20 Code du travail |

Για τα έγγραφα υψηλής διαφοροποίησης (σύμβαση φορφέ, συμβατική κάθεση), το QES επιτίθεται de facto για να εξασφαλίσει την αντιστοίχιση ενώπιον των δικαστηρίων εργασίας. Το Ανώτατο Δικαστήριο έχει σταδιακά σκληρύνει τις απαιτήσεις του για απόδειξη της συμφωνίας του εργαζομένου.

Διατήρηση, αρχειοθέτηση και δικαιώματα ατόμων: οι παγίδες που πρέπει να αποφύγετε

Νομικές περίοδοι διατήρησης ψηφιοποιημένων εγγράφων HR

Η διατήρηση των ψηφιοποιημένων εγγράφων HR υπακούει σε υποχρεωτικές νομικές περιόδους. Αυτές οι περίοδοι υπερισχύουν του δικαιώματος διαγραφής του GDPR (άρθρο 17.3.b):

• Σύμβαση εργασίας: 5 χρόνια μετά το τέλος της συμβάσης (δοκιμαστική παραγραφή, άρθρο L. 1471-1 Code du travail)

• Ημερολόγια μισθών: 5 χρόνια (παραγραφή μισθών), αλλά συνιστώμενη διατήρηση έως την ολοκλήρωση των συνταξιακών δικαιωμάτων του υπαλλήλου

• Έγγραφα που σχετίζονται με ατυχήματα εργασίας: 30 χρόνια (μακρύς κίνδυνος διαφοράς)

• Επαγγελματική κατάρτιση (σχέδια, πιστοποιητικά): 3 χρόνια

• Μητρώα προσωπικού: 5 χρόνια μετά την ημερομηνία που ο υπάλληλος αποχώρησε από την εγκατάσταση

Η ηλεκτρονική αρχειοθέτηση με αποδεικτική αξία πρέπει να συμμορφώνεται με τις απαιτήσεις του προτύπου NF Z 42-013 και ιδανικά του προτύπου ETSI EN 319 162 (μακρόχρονη αρχειοθέτηση ηλεκτρονικών υπογραφών). Ένα απλό αποθηκευτικό συμβόλαιο σε διακομιστή δεν αρκεί: πρέπει να εξασφαλίσετε την ακεραιότητα, την αναγνωσιμότητα και την ιδιαίτερη χρονοσήμανση των εγγράφων για ολόκληρη τη διάρκεια διατήρησης.

Διαχείριση δικαιωμάτων υπαλλήλων χωρίς θέση σε κίνδυνο την αποδεικτική αξία

Ένας εργαζόμενος μπορεί νόμιμα να ασκήσει το δικαίωμα πρόσβασης (άρθρο 15 GDPR) για να λάβει αντίγραφο των δεδομένων υπογραφής που τον αφορούν. Μπορεί επίσης να ζητήσει τη διόρθωση ανακριβών δεδομένων.

Αντίθετα, το δικαίωμα διαγραφής (άρθρο 17 GDPR) δεν μπορεί να ασκηθεί στα έγγραφα HR που υπόκεινται σε νομικές υποχρεώσεις διατήρησης. Ο εργοδότης πρέπει να είναι σε θέση να εξηγήσει σαφώς αυτή την άρνηση, αναφέροντας τη νομική βάση που ισχύει. Η τεκμηρίωση αυτών των ανταλλαγών στο μητρώο των αιτημάτων δικαιωμάτων είναι καλή πρακτική που συνιστάται από την CNIL.

Η μεταφορά (άρθρο 20 GDPR) ισχύει για δεδομένα που παρέχει ο εργαζόμενος βάσει συγκατάθεσης ή εκτέλεσης συμβάσης. Στην πράξη, ένας εργαζόμενος μπορεί να ζητήσει τα δεδομένα υπογραφής του σε δομημένη μορφή — υποχρέωση που πρέπει να αναμένεται κατά την επιλογή της λύσης υπογραφής.

Τεχνική ασφάλεια και οργανωτική: τα απαραίτητα μέτρα

Τεχνικές απαιτήσεις της πλατφόρμας υπογραφής

Σύμφωνα με το άρθρο 32 του GDPR, τα μέτρα ασφάλειας πρέπει να είναι κατάλληλα για τον κίνδυνο. Για μια λύση ηλεκτρονικής υπογραφής HR, αυτό μεταφράζεται ιδίως σε:

• Κρυπτογράφηση δεδομένων κατά τη μεταφορά (TLS 1.3 ελάχιστο) και στην ηρεμία (AES-256)

• Πολυ-παράγοντας ταυτοποίηση (MFA) για πρόσβαση στην πλατφόρμα

• Ημερολόγια ελέγχου (logs) με χρονοσήμανση και αλλοίωση, ιχνηλάτηση κάθε ενέργειας στο έγγραφο

• Αποθήκευση στην ΕΕ (ή EEA) για την αποφυγή μεταφορών εκτός EEA χωρίς επαρκείς εγγυήσεις (απόφαση επάρκειας ή τυποποιημένες συμβατικές ρήτρες)

• Ετήσιες δοκιμές εισβολής και πιστοποίηση ISO 27001 του παρόχου

• Σχέδιο συνέχειας που εγγυάται τη διαθεσιμότητα της υπηρεσίας και την ανάκτηση των αρχείων σε περίπτωση περιστατικού

Ανάλυση δείκτων (DPIA): πότε είναι υποχρεωτική;

Το άρθρο 35 του GDPR επιβάλλει μια Ανάλυση Δείκτη σχετικά με την Προστασία Δεδομένων (DPIA) όταν η επεξεργασία είναι πιθανό να δημιουργήσει υψηλό κίνδυνο. Η CNIL έχει δημοσιεύσει μια λίστα τύπων επεξεργασιών που απαιτούν DPIA: η επεξεργασία σε μεγάλη κλίμακα δεδομένων που σχετίζονται με την επαγγελματική ζωή αναφέρεται σε αυτήν.

Στην πράξη, μια DPIA συνιστάται (ή ενδεχομένως υποχρεωτική για μεγάλες επιχειρήσεις) κατά την ανάπτυξη μιας λύσης ηλεκτρονικής υπογραφής HR που αφορά όλους τους συνεργάτες. Πρέπει να αναγνωρίσει τους κινδύνους (απώλεια εμπιστευτικότητας, υποκλοπή ταυτότητας, τροποποίηση εγγράφων), να αξιολογήσει τη σοβαρότητα και την πιθανότητα τους, και να προτείνει μέτρα μετατόπισης. Αυτή η ανάλυση πρέπει να τεκμηριωθεί και να αναθεωρηθεί σε περίπτωση εξέλιξης της επεξεργασίας.

Νομικό πλαίσιο που ισχύει για την ηλεκτρονική υπογραφή HR και το GDPR

Ευρωπαϊκά κείμενα ιδρύματος

Κανονισμός eIDAS αρ. 910/2014 (και η αναθεώρησή του eIDAS 2.0 σε διαδικασία ανάπτυξης): αυτό το κείμενο ορίζει τα τρία επίπεδα ηλεκτρονικής υπογραφής (SES, AES, QES) και την ισχύ τους στο σύνολο των κρατών μελών. Το άρθρο 25 προβλέπει ότι το QES έχει νομική δύναμη ισοδύναμη με χειρόγραφη υπογραφή. Το άρθρο 26 απαριθμεί τις τεχνικές απαιτήσεις της προηγμένης υπογραφής. Οι πάροχοι εξειδικευμένων υπηρεσιών εμπιστοσύνης είναι εγγεγραμμένοι στα κατάλογα εμπιστοσύνης των κρατών (στη Γαλλία, ο κατάλογος διαχειρίζεται από την ANSSI).

GDPR αρ. 2016/679: εφαρμόστηκε από την 25 Μαΐου 2018, αυτός ο κανονισμός διέπει κάθε επεξεργασία προσωπικών δεδομένων εντός της ΕΕ. Τα άρθρα 5 (αρχές), 6 (νομικές βάσεις), 13-14 (ενημέρωση), 28 (επεξεργαστές), 30 (μητρώο), 32 (ασφάλεια), 35 (DPIA) και 37-39 (DPO) είναι άμεσα σχετικά με την ηλεκτρονική υπογραφή HR.

Γαλλικό δίκαιο που ισχύει

Αστικός κώδικας, άρθρα 1366-1367: το άρθρο 1366 θέτει την αρχή της λειτουργικής ισοδυναμίας μεταξύ ηλεκτρονικού εγγράφου και εγγράφου χ

Certyneo vous accompagne dans cette démarche : plateforme conforme eIDAS, DPA disponible, hébergement européen et parcours de signature pensés pour les RH. Découvrez notre solution dédiée aux ressources humaines ou calculez le ROI de votre passage au tout-numérique en quelques clics.