Elektronikus aláírás HR és GDPR: teljes útmutató 2026

Az emberi erőforrások digitalizálása 2020 óta jelentősen felgyorsult: munkaszerződések, módosítások, fizetési bizonylatok, informatikai szabályzatok, otthoni munkavégzésre vonatkozó megállapodások — gyakorlatilag az összes ilyen dokumentum ma már digitális formában kerül átadásra. Azonban a dematerializálás nem jelenti azt, hogy ki lehet térni a jogi kötelezettségek alól. Ellenkezőleg: az elektronikus aláírás dokumentum HR GDPR egy kettős szabályozási tárgy, mivel összekapcsolja az eIDAS-keretrendszert az aláírás bizonyító erejéről és az európai személyes adatok védelméről szóló rendeletet. Ha nem megfelelően kezelik, ez a kettős megkötés az állományt jogi kockázatoknak és a CNIL szankcióinak teszi ki. Ez az útmutató az alapvető szabályokat, a legjobb gyakorlatokat és az 2026-ban feltétlenül ismerni kell való figyelmeztetési pontokat mutatja be.

Miért alkalmazható a GDPR az elektronikus aláírásra az HR-ben?

Az elektronikus aláírás szükségképpen személyes adatokat kezel

Az online munkaszerződés aláírása magában foglalja a személyes adatok gyűjtését, továbbítását és tárolását a GDPR 4. cikke n°2016/679 értelmében: név, keresztnév, munkahelyi e-mail cím, néha mobiltelefonszám, időbélyeg és az aláírás IP-címe. HR-kontextusban ezek az adatok különösen érzékenyek, mivel közvetlenül azonosítják a munkavállalót és munkavégzéshez kapcsolódnak a munkaadóval.

A megbízható szolgáltatások szolgáltatója (PSC), aki az aláírási megoldást biztosítja, a GDPR 28. cikke értelmében adatfeldolgozónak minősül. A munkaadó a feldolgozás felelőse marad. Ez a megkülönböztetés alapvetően fontos: az állomány felel a CNIL felé mulasztás esetén, nem a szoftverszállító.

Az alkalmazható jogi alapok HR-kontextusban

Az egyes demateriálizált HR-dokumentumkategóriáknál a munkaadónak azonosítania kell a feldolgozás legmegfelelőbb jogi alapját:

• Szerződés teljesítése (GDPR 6.1.b cikk): munkaszerződés aláírása, fizetési módosítás, napi munkavégzésre vonatkozó megállapodás. Ez a legszilárdabb jogi alap a szerződéses dokumentumokhoz.

• Jogi kötelezettség (GDPR 6.1.c cikk): a demateriálizált fizetési bizonylatnak a munkavállalónak való kézbesítése (2015 óta megengedett a Macron-törvény értelmében bizonyos feltételekkel), személyzeti nyilvántartások.

• Jogos érdek (GDPR 6.1.f cikk): informatikai szabályzatok, belső szabályzatok, belső politikai dokumentumok — az érdek-egyensúly vizsgálatának teljesítésétől függően.

A beleegyezés alapja (GDPR 6.1.a) HR-kontextusban kerülendő: a CNIL és a CEPD (Európai Adatvédelmi Testület) úgy értékelik, hogy a munkaadó és a munkavállaló közötti alárendeltségi viszony a beleegyezést ritkán szabaddá teszi. A munkavállaló, aki visszautasítja az elektronikus aláírást, félelemmel járhat a munkahelyétől.

A feldolgozás felelősének konkrét kötelezettségei HR-ben

A feldolgozási tevékenységek nyilvántartásának (RAT) frissítése

A GDPR 30. cikke minden 250-nél több munkavállalót foglalkoztatónak (és az érzékeny adatokat nagy léptékben feldolgozó KKV-knak) kötelezi egy feldolgozási tevékenységek nyilvántartásának vezetésére. Az elektronikus aláírás-eszköz bevezetése HR-dokumentumokhoz meg kell, hogy jelenjen a következőkkel:

• A feldolgozás célja (pl.: HR szerződéses dokumentumok demateriálása és archiválása)

• A feldolgozott adatok kategóriái (azonosság, kapcsolattartási adatok, hitelesítési adatok)

• A megőrzés időtartama (a munkaszerződés megőrzésének jogi időtartama: 5 év a szerződés vége után a Munka Törvénye szerint, L. 1234-20 cikk)

• A feldolgozó koordinátái (az aláírási platform)

• A bevezetett biztonsági intézkedések

DPA (Adatfeldolgozási Megállapodás) aláírása a szolgáltatóval

A GDPR 28. cikkének megfelelően minden feldolgozóval az összes személyes adat feldolgozásához tartozó recourse formalizálódik egy adatfeldolgozási szerződés (DPA) által. Ez a szerződés meghatározza:

• A feldolgozás tárgyát és időtartamát

• A feldolgozás természetét és célját

• Az érintett személyes adatok típusa és az érintett személyek kategóriái

• A feldolgozás felelősének kötelezettségei és jogai

• Az adatok helye (az EEE-n kívüli átvitel elkerüléséhez javasolt az EU-n belüli tárhelyezés)

• A technikai és szervezeti biztonsági intézkedések

Egy komoly elektronikus aláírási szolgáltató szisztematikusan kínál egy szabályos GDPR-t tartalmazó DPA-t. A hiánya azonnal szankcionálható nem megfelelőség.

A munkavállalókat informálni az első aláírás előtt

A GDPR 13. cikke előírja az előzetes tájékoztatást az adataik gyűjtésétől érintett személyeknek. Az elektronikus aláírás bevezetése előtt HR-dokumentumokhoz a munkaadónak informálnia kell a munkavállalókat:

• A feldolgozás felelősének személyazonosságáról

• A céljáról és a jogi alapról

• Az adatok megőrzésének időtartamáról

• Az azok jogairól (hozzáférés, helyesbítés, törlés a jogi megőrzési kötelezettségek korlátain belül, hordozhatóság)

• Az adatvédelmi tisztségviselő (DPO) koordinátáiról, ha kijelöltek

Ez az információ beépíthető magára az aláírási folyamatra (információs szalag az aláírás előtt), a frissített munka szabályzatra, vagy az üzembe helyezés során terjesztett szolgálati utasítás révén.

Az elektronikus aláírás szintje HR-dokumentumokhoz szükséges: SES, AES vagy QES?

Az eIDAS-szintek hierarchiája

Az eIDAS n°910/2014 rendelet három elektronikus aláírási szintet határoz meg, mindegyik növekvő bizonyító erővel:

• SES (Egyszerű elektronikus aláírás): alacsony bizonyító erő, alkalmas alacsony tét dokumentumokhoz (nyugták, belső űrlapok)

• AES (Fejlett elektronikus aláírás): az aláíróhoz egyedi módon kapcsolódó, annak kizárólagos ellenőrzése alatti adatokból létrehozva. Az általános HR-dokumentumok legtöbbségéhez alkalmas.

• QES (Minősített elektronikus aláírás): a legmagasabb szint, egyenértékű a kézírott aláírással az eIDAS 25.2 cikke szerint. Megerősített személyazonosság-igazolást igényel (személyes vagy videó-azonosítás).

Melyik szint mely HR-dokumentumokhoz?

Az ajánlott besorolás 2026-ban, a francia joggyakorlat pozícióit és a szektoriális ajánlásokat figyelembe véve:

| HR-dokumentum | Ajánlott szint | Indokolás | |---|---|---| | Felmondatlan munkaszerződés | AES minimum, QES ajánlott | Erős szerződési érték, munkaügyi jogi kockázat | | Szerződési módosítás | AES minimum, QES ajánlott | A főszerződéshez hasonló logika | | Próbaidő (megújítás) | AES | Rövid időtartam, korlátozott forma | | Teleworking charta / BYOD | SES vagy AES | Kollektív megállapodás vagy munka szabályzat | | Napi munkavégzésre vonatkozó megállapodás | QES erősen ajánlott | Munkaügyi joggyakorlat követelményes | | Szokványos felbomlás | QES kötelező | Homologizált Cerfa-forma, magas tét | | Végkielégítés | AES vagy QES | Feloldó hatás, CT L. 1234-20 cikk |

A magas vitaveszélyes dokumentumokhoz (napi munkavégzésre vonatkozó megállapodás, szokványos felbomlás) a QES gyakorlatilag kötelezővé válik az ellentmondhatatlansá biztosítani a munkaügyi bíróságok előtt. A Cour de cassation fokozatosan szigorította követelményeit a munkavállaló beleegyezésének bizonyítására.

Megőrzés, archiválás és a személyek jogai: az elkerülendő csapdák

HR-dokumentumok jogi megőrzési időtartama aláírva

Az elektronikus aláírásban aláírt HR-dokumentumok megőrzése a jogi időtartamoknak engedelmeskedik. Ezek az időtartamok elsőbbséget élveznek a GDPR törléshez való jogával szemben (GDPR 17.3.b cikk):

• Munkaszerződés: 5 év a szerződés vége után (munkaügyi jogvita előírása, Munka Törvénye L. 1471-1 cikk)

• Fizetési bizonylatok: 5 év (bér előírása), de megőrzés ajánlott a munkavállaló nyugdíjigénybe-vételéig

• Munkahelyi balesetekhez kapcsolódó dokumentumok: 30 év (hosszú tartalmú vitaveszély)

• Szakmai képzés (tervek, igazolások): 3 év

• Személyzeti nyilvántartások: 5 év után, hogy a munkavállaló elhagyta az intézményt

Az elektronikus archiválás bizonyító értékkel a NF Z 42-013 normában és ideálisan az ETSI EN 319 162 szabványban meghatározottaknak kell megfelelnie (elektronikus aláírások hosszú távú archiválása). Az egyszerű szerveren történő tárolás nem elegendő: biztosítani kell a dokumentumok integritását, olvashatóságát és minősített időbélyegét az egész megőrzési időtartam alatt.

A munkavállalók jogainak kezelése az értékítélet integritása veszélyeztetése nélkül

A munkavállaló jogosultan kérheti hozzáférési jogát (GDPR 15. cikk) az aláírási adatokhoz kapcsolódó másolat megszerezésére. Kérheti az pontatlan adatok helyesbítését is.

Másrészt a törléshez való jog (GDPR 17. cikk) nem gyakorolható olyan HR-dokumentumokra, amelyek jogi megőrzési kötelezettségeknek vannak alávetve. A munkaadónak tisztán tudnia meg kell ezt az elutasítást indokolni az alkalmazandó jogi alap alapján. Az ezek közötti cserék dokumentálása a jogok iránti kérések nyilvántartásában ajánlott gyakorlat a CNIL által.

Az hordozhatóság (GDPR 20. cikk) a beleegyezés vagy a szerződés teljesítése alapján a munkavállaló által szolgáltatott adatokra vonatkozik. Gyakorlatban a munkavállaló kérheti aláírási adatait strukturált formában — kötelezettség, amelyet az aláírási megoldás kiválasztásakor előre tervezni kell.

Technikai és szervezeti biztonság: nélkülözhetetlen intézkedések

A kiadványozási platform műszaki követelményei

A GDPR 32. cikkének megfelelően a biztonsági intézkedéseknek a kockázatnak megfelelőnek kell lenniük. Az elektronikus aláírási megoldáshoz HR-ben ez például a következőket jelenti:

• Az adatok átviteli és tárolási titkosítása (TLS 1.3 minimum) és pihenés közben (AES-256)

• Többfaktoros hitelesítés (MFA) a platformhoz való hozzáféréshez

• Audit-naplók (naplók) időbélyeggel és hamisítási bizonyítékkal, a dokumentumon végzett összes cselekmény nyomon követésével

• EU-n belüli tárhelyezés (vagy EEE) az EEE-n kívüli átvitel kockázatának elkerülésére megfelelő biztosítékok nélkül (megfelelőségi döntés vagy típusos szerződéses feltételek)

• Éves behatolási tesztek és az ISO 27001 tanúsítása a szolgáltatóról

• Folytonossági terv, amely garantálja a szolgáltatás rendelkezésre állását és az archiválás helyreállítását egy incidens esetén

Impact Analysis (AIPD): mikor kötelező?

A GDPR 35. cikke egy Adatvédelmi Hatáselemzés (AIPD) elvégzésére kötelezi, ha a feldolgozás magas kockázatot okozhat. A CNIL egy feldolgozási típusok listáját tette közzé, amelyekhez AIPD szükséges: a nagy léptékben végzett feldolgozás a szakmai élettel kapcsolatos adatokról ott szerepel.

Gyakorlatban az AIPD ajánlott (sőt kötelező a nagy cégek számára) az elektronikus aláírási megoldás bevezetésekor HR-ben az összes közreműködőt érintően. Azonosítania kell a kockázatokat (bizalmasság elvesztése, azonosság-csalás, dokumentumok megváltoztatása), értékelnie kell azok súlyosságát és valószínűségét, valamint javaslatot tennie kell a mérséklési intézkedésekre. Ezt az elemzést dokumentálni kell és felül kell vizsgálni a feldolgozás módosulása esetén.

Az elektronikus aláírásra és a GDPR-re alkalmazandó jogi keret HR-ben

Európai alapító szövegek

eIDAS-rendelet n°910/2014 (és az eIDAS 2.0 felülvizsgálata jelenleg üzembe helyezés alatt áll): ezt a szöveget az elektronikus aláírás három szintje (SES, AES, QES) és azok jogi értéke definiálja az EU minden tagállamában. A 25. cikk úgy rendelkezik, hogy a QES jogi hatása egyenértékű egy kézírott aláírással. A 26. cikk felsorolja az előjegyzett aláírás műszaki követelményeit. A minősített megbízható szolgálatok szolgáltatói a nemzeti bizalom-listákra vannak feljegyezve (Franciaországban a listát az ANSSI kezeli).

GDPR n°2016/679: az EU-ban az összes személyes adatfeldolgozásra alkalmazható, ez a rendelet 2018. május 25-étől alkalmazandó. Az 5. cikk (alapelvek), 6. cikk (jogi alapok), 13-14. cikk (tájékoztatás), 28. cikk (feldolgozók), 30. cikk (nyilvántartás), 32. cikk (biztonság), 35. cikk (AIPD) és 37-39. cikk (DPO) közvetlenül pertinensek az elektronikus aláíráshoz HR-ben.

Franciaország jogi szabályozása

Polgári törvénykönyv, 1366-1367. cikkek: az 1366. cikk az elektronikus írás és papír írás funkcionális egyenértékűségének alapelvét állítja fel. Az 1367. cikk az elektronikus aláírást bizonyítási módnak ismeri el, feltéve, hogy megbízható azonosítási eljárásból áll, amely garantálja az aláírás kapcsolatát az adott cselekmény közé. A megbízhatóság feltételezett a QES-hez, de bizonyítható az AES-hez.

Munka Törvénye: az L. 1221-1 cikk nem ír elő konkrét formát a munkaszerződéshez (kivételek: CDD L. 1242-12 cikk, tanulási szerződés stb.). A Macron-törvény 2015-ben (n°2015-990 törvény) megnyitotta az utat az elektronikus fizetési bizonylatnak. Az L. 3243-2 cikk szabályozza a módállományát.

Informatika és Szabadságok Törvénye módosítva (törvény n°78-17 1978. január 6-ából): a GDPR francia átültetése, amely a CNIL-nek nyomozati és szankcióhatalmat ad. Az irodák elérheti a 20 millió eurót vagy az éves globális forgalom 4%-át a legsúlyosabb megsértésekért.

Technikai referencianormák

• ETSI EN 319 132: fejlett elektronikus aláírás-formátum XAdES, az XML-dokumentumokra alkalmazható

• ETSI EN 319 122: CAdES-formátum az elektronikus aláírásokhoz CMS-dokumentumokon

• ETSI EN 319 162: elektronikus aláírások hosszú távú archiválása (ASiC)

• NF Z 42-013 (AFNOR): egy megbízható elektronikus archiválási rendszer funkcionális specifikációi

• ISO/IEC 27001: az információ-biztonság kezelése, a tanúsítottság referenciakeretek által a szolgáltatók

Jogi kockázatok a nem-megfelelőség esetén

A kockázatok összevonódása jelentős: egy nem megfelelő aláírási szinttel aláírt munkaszerződés megtámadható a Munkaügyi Tanács előtt, amely a munkaadót a minősítés megváltoztatásához vagy a nullitáshoz szállítja. A GDPR aspektusáról a feldolgozóval aláírt DPA hiánya, a munkavállalók tájékoztatásának elmulasztása vagy az EU-n kívüli tárhelyezés megfelelő biztosítékok nélkül a CNIL intézkedéseit, sőt a közigazgatási szankcióját is eredményezheti.

Használati forgatókönyvek: elektronikus aláírás HR-ben, amely megfelel a GDPR-nek

1. forgatókönyv: egy francia ipari ETI 600 munkavállaló munkaszerződéseit digitálisan rögzíti

Egy francia ipari vállalat, amely négy helyen van szétosztva, évente körülbelül 180 CDI/CDD-felvételből álló munkaszerződéseket kezelt, amelyek papír-mappákat generáltak, amelyeket ki kellett nyomtatni, dupla példányban aláírni, digitalizálni és archiválni. Az ígéret és az aláírás között eltelt idő átlagosan 8 munkanap volt.

Miután bevezetett egy előre jelzett (AES) elektronikus aláírási megoldást, amely a SIRH-hez integrálódott, GDPR-nak megfelelő DPA-val írta alá a szolgáltatóval és dokumentált AIPD-vel, a vállalat ezt az időtartamot 24 óra alá csökkentette. A hiányos mappák száma 34%-kal csökkent (forrás: ANDRH szektoriális benchmarkok 2024). Az adatok franciaországi tárolása szerződési kritériumként lett megállapítva, amely kiküszöbölte az EEE-n kívüli átvitel bármilyen kockázatát. A munkavállaló az aláírási folyamat integráns részeként kerülnek informálva a feldolgozásról, biztosítva a GDPR 13. cikknek való megfelelést.

2. forgatókönyv: egy szállítási hálózat QES-aláírásáért a napi munkavégzésre vonatkozó megállapodások

Egy körülbelül 60 kiskereskedelmi pontot számláló és 100 napi munkavégzésben lévő vezetőt számlál, amelyek szállítási hálózata egy azonosított munkaügyi jogi kockázattal szembesült: a napi munkavégzésre vonatkozó több megállapodás csak rossz minőségű papír-másolatok révén bizonyítható. A Cour de cassation ezekre a megállapodásokra vonatkozóan szigorította a bizonyítási követelményeket, így a vitaveszély több százezer euróra becsült.

A hálózat bevezetett egy minősített aláírási megoldást (QES) az összes új megállapodáshoz, és javasolt a helyzetben lévő vezetőknek a meglévő megállapodások újraírását. A személyazonosság-igazolás videó-azonosítással lett megvalósítva. A feldolgozási tevékenységek nyilvántartása frissítve lett, és egy külső DPO validálta az aláírási folyamat GDPR-megfelelőségét. Hat hónap alatt a napi munkavégzésre vonatkozó megállapodások teljes parkverzióját biztosították. A kezdeményezés költsége (körülbelül 15-25 € QES-aláírás függően a piaci szolgáltatóktól) szignifikánsan alacsonyabbnak ítélhető meg, mint a fedezett vitaveszély.

3. forgatókönyv: egy területi közösség módosításait és teleworking chartáit digitálisan helyezi

Egy körülbelül 1200 permanens közalkalmazott közösség szerette volna a teleworking módosításainak kezelését digitálisan helyezni a 2021-es nemzeti kerületi teleworking-megállapodás után. A kezelendő mennyiség körülbelül 400 dokumentum évente volt, speciális korlátokkal: a közalkalmazottak közösségi személyek, akiknek az adatai különösen szabályozottak.

A közösség továbbfejlesztett aláírási (AES) választása mellett döntött, az ANSSI által SecNumCloud-ként minősített szolgáltatónál szuverenitásának tárhelyezésével. Az AIPD a közösség DPO-jának felterjesztve kerülne bevezetés előtt. A közalkalmazottakat az intraneten közzétett szolgálati utasítás és az elektronikus útvonalban egy információs szalag útján tájékoztatták. Az HR-szolgálat a módosítások adminisztratív kezelésén 3 ETP-nap havi nyereséget becsült, körülbelül 35 000 € éves költségmegtakarítást. Ez összhangban van a szervezeti digitális transzformáció megfigyelt közzétett tartományaival (2025).

Következtetés

Az elektronikus aláírás GDPR-megfelelősége HR-dokumentumokhoz nem opcionális: feltétele mind a cselekedetei jogi értékének, mind pedig a munkavállalók jogainak védelméhez. 2026-ban azok a vállalatok, amelyek még nem frissítették feldolgozási tevékenységeik nyilvántartásait, nem írtak DPA-t a szolgáltatójukkal, és nem igazítottak az aláírási szinteket az egyes dokumentumtípusokhoz, kettős kockázatnak teszi ki magukat — munkaügyi és közigazgatási — amelyek pénzügyi következményei jelentősek lehetnek.

A jó hír: egy megfelelően kiválasztott és konfigurált megoldás lehetővé teszi a működési fluiditás, az eIDAS-megfelelőség és a GDPR-tisztelet összeegyeztetését az HR-csapatok és a munkavállalók számára sem súrlódás nélkül.

A Certyneo segít abban az erőfeszítésben: eIDAS-konfronzást szabályozók, elérhető DPA, európai tárhelyezés, és az aláírási folyamat megtervezett az HR-hez. Fedezze fel a dedikált emberi erőforrások megoldásunkat vagy számítson ki az ROI-t teljes digitalizációs átmenetéhez néhány kattintásban.