Elektronikus aláírás HR és GDPR: teljes útmutató 2026

Az emberi erőforrások digitalizációja 2020 óta jelentősen felgyorsult: munkaszerződések, módosítások, fizetési szelvények, informatikai szabályzatok, home office megállapodások — gyakorlatilag az összes ilyen dokumentum jelenleg digitális formában kerül áthelyezésre. Azonban a demateriálozás nem jelenti azt, hogy feloldható a jogi kötelezettségek alól. Sőt: a HR dokumentum elektronikus aláírása GDPR egy kétszintű szabályozási témakör, mivel az eIDAS keretrendszert az aláírás bizonyító erejéről és az európai személyadatok védelméről szóló rendeletről kapcsolja össze. Ha rosszul kezelik, ez a kettős korlátozás a vállalatot jogi kockázatoknak és az CNIL szankciójának teszi ki. Ez az útmutató bemutatja az alapvető szabályokat, a helyes gyakorlatot és a 2026-ban feltétlenül ismerendő óvatossági pontokat.

Miért alkalmazandó a GDPR az HR elektronikus aláírásra?

Az elektronikus aláírás szükségszerűen személyes adatokat kezel

Munkaszerződés online aláírása szükségszerűen magában foglalja a GDPR 4. cikkében (2016/679 rendelet) meghatározott személyes adatok gyűjtésére, továbbítására és tárolására: név, előnév, munkahelyi e-mail cím, esetleg mobiltelefon-szám, aláírás időbélyegzése és IP-cím. HR kontextusban ezek az adatok különösen érzékenyek, mivel közvetlenül azonosítják az alkalmazottat, és a munkaadóval való szerződéses kapcsolatához kötődnek.

A bizalmat nyújtó szolgáltatás szolgáltatója (PSC), amely az aláírási megoldást nyújtja, a GDPR 28. cikke szerinti feldolgozó minősítést kapja. A munkaadó a felelős feldolgozó marad. Ez a megkülönböztetés alapvető: az alkalmazott a CNIL előtt válaszol a mulasztásért, nem a szoftverfornecőr.

HR kontextusban felhasználható jogi alapok

Az egyes demateriálozott HR dokumentumkategóriákhoz a munkaadónak meg kell határoznia a feldolgozás legmegfelelőbb jogi alapját:

• Szerződés teljesítése (6. cikk 1. b. GDPR): munkaszerződés aláírása, fizetési módosítás, napi teljesítményadó konvenció. Ez a jogi alap a legerősebb szerződéses dokumentumokhoz.

• Jogi kötelezettség (6. cikk 1. c. GDPR): demateriálozott fizetési szelvény (a Macron-törvény 2015 óta engedélyezett feltételek mellett), személyzeti nyilvántartások.

• Jogos érdek (6. cikk 1. f. GDPR): informatikai szabályzatok, házirend, belső politika dokumentumai — feltéve, hogy átmennek az érdekeltek egyensúlyában.

A hozzájárulás alapja (6. cikk 1. a.) HR kontextusban kerülendő: a CNIL és a CEPD (Európai Adatvédelmi Tanács) úgy véli, hogy a munkaadó és az alkalmazott közötti alárendeltségi viszony ritkán teszi a hozzájárulást szabaddá. Az alkalmazott, aki az elektronikus aláírást visszautasítja, félthet a munkahelyi következményektől.

Az adatfeldolgozó HR által felel konkrét kötelezettségei

Frissítse az adatfeldolgozási tevékenységek nyilvántartását (RAT)

A GDPR 30. cikke előírja, hogy minden több mint 250 alkalmazottat foglalkoztató szervezet (és a nagy léptékben érzékeny adatokat kezelő kkv-k) tartson adatfeldolgozási tevékenységek nyilvántartását. Az elektronikus aláírási eszköz bevezetése HR dokumentumokhoz az alábbiak szerint kell, hogy szerepeljen:

• A feldolgozás célja (pl. HR szerződéses dokumentumok demateriálozása és archiválása)

• Feldolgozott adatokategóriák (azonosság, kapcsolattartási adatok, hitelesítési adatok)

• Megőrzési időtartam (munkaszerződés jogszabályi megőrzési időtartama: 5 év a szerződés vége után a Munka törvénykönyv szerint, L. 1234-20 cikk)

• Az alfeldolgozó koordinátái (az aláírási platform)

• Bevezetett biztonsági intézkedések

DPA (Data Processing Agreement) aláírása az aláíróval

A GDPR 28. cikke értelmében az adatok feldolgozásához külső feldolgozót igénybe vevő bármely egység szerződésben (DPA) köteles rögzíteni az adatok feldolgozásáról. Ez a szerződés az alábbiakat adja meg:

• A feldolgozás tárgya és időtartama

• A feldolgozás jellege és célja

• Személyes adatok típusa és az érintett személyek kategóriái

• Az adatfeldolgozó és az adatkezelő kötelezettségei és jogai

• Az adatok helye (ajánlott az EEE-n belüli hosztolás az EEE-n kívüli átvitelek elkerülésére)

• Technikai és szervezeti biztonsági intézkedések

Egy komoly elektronikus aláírási szolgáltató szisztematikusan ajánl egy megfelelő DPA-t. Az annak hiánya azonnal szankcionálható nem-konformitás.

Tájékoztassa az alkalmazottakat az első aláírás előtt

A GDPR 13. cikke előírja az adatgyűjtést megelőző tájékoztatást. Az elektronikus aláírás HR dokumentumokra történő bevezetése előtt a munkaadónak tájékoztatnia kell az alkalmazottakat:

• Az adatfeldolgozó személyazonosságáról

• A feldolgozás céljáról és jogi alapjáról

• Az adatok megőrzésének időtartamáról

• Jogaikról (hozzáférés, helyesbítés, törlés a jogszabályi megőrzési kötelezettségek korlátain belül, hordozhatóság)

• Az adatvédelmi referens (Délégué à la Protection des Données) koordinátáiról, ha kijelöltek

Ez az információ integrálható az aláírási folyamatba (információs sáv az aláírás előtt), a frissített házirendre vagy a telepítés során terjesztett szolgálati rendelet formájában.

HR dokumentumokhoz szükséges aláírási szint: SES, AES vagy QES?

Az eIDAS szintek hierarchiája

Az eIDAS 910/2014 rendelet az elektronikus aláírás három szintjét határozza meg, amelyek egyre nagyobb bizonyító erőt nyújtanak:

• SES (Simple Electronic Signature / Egyszerű elektronikus aláírás): gyenge bizonyító erő, alkalmas alacsony tétű dokumentumokhoz (visszaigazolások, belső űrlapok)

• AES (Advanced Electronic Signature / Fejlett elektronikus aláírás): az aláíróhoz egyedi módon kötött, kizárólag az ő kontrollja alatti adatokból létrehozva. Alkalmas az átlagos HR dokumentumokhoz.

• QES (Qualified Electronic Signature / Minősített elektronikus aláírás): a legmagasabb szint, amely az eIDAS 25.2. cikke szerint azzal egyenlő, mint az aláírás kézírása. Megerősített identitásellenőrzést igényel (szemtől szemben vagy videó-azonosítás).

Mely szint mely HR dokumentumokhoz?

A 2026-ban javasolt térképezés, figyelembe véve a francia joggyakorlat álláspontjait és az ágazati ajánlásokat:

| HR dokumentum | Ajánlott szint | Indoklás | |---|---|---| | CDI/CDD munkaszerződés | Minimális AES, ajánlott QES | Erős szerződéses érték, munkaügyi vita kockázata | | Szerződéses módosítás | Minimális AES, ajánlott QES | Ugyanaz mint az előző | | Próbaidő (megújítás) | AES | Rövid határidő, korlátozott formalitás | | Táv-munka / BYOD szabályzat | SES vagy AES | Kollektív megállapodás vagy házirend | | Napi teljesítményadó konvenció | Erősen ajánlott QES | Igényes szociális joggyakorlat | | Konvencionális felmondás | Kötelező QES | Homologizált Cerfa formanyomtatvány, magas tét | | Szaldó-kiutalási nyugta | AES vagy QES | Feloldó erő, munka törvénykönyv 1234-20 cikk |

A magas vita-kockázatú dokumentumokhoz (teljesítményadó konvenció, konvencionális felmondás) a QES gyakorlatilag kötelező, hogy garantálja az ellenzékesség a munkaügyi bíróságok előtt. A Semmítőszék fokozatosan szigorította az alkalmazott egyetértésének bizonyítékára vonatkozó követelményeit.

Megőrzés, archiválás és személyi jogok: a kerülendő buktatók

HR aláírt dokumentumok jogszabályi megőrzési időtartama

Az elektronikusan aláírt HR dokumentumok megőrzése a jogszabályi kötelezettségnek engedelmeskedik. Ezek az időtartamok elsőbbséget élveznek a GDPR törléshez való jog felett (17. cikk 3.b):

• Munkaszerződés: 5 év a szerződés vége után (munkaügyi perelés, munka törvénykönyv L. 1471-1 cikk)

• Fizetési szelvények: 5 év (bérekhöz való elévülés), azonban a szelvények tárolása ajánlott a nyugdíj-jogok teljesítéséig

• Munkahelyi balesetre vonatkozó dokumentumok: 30 év (hosszú pereskedési kockázat)

• Szakképzés (terv, tanúsítványok): 3 év

• Személyzeti nyilvántartások: 5 év az alkalmazott szervezettől való elhagyása után

A bizonyító értékű hosszú távú elektronikus archiválásnak meg kell felelnie az NF Z 42-013 normának és ideális esetben az ETSI EN 319 162 szabványnak (elektronikus aláírások hosszú távú archiválása). Az egyszerű szerverarchiválás nem elegendő: garantálnia kell az integritást, az olvashatóságot és az aláírások minősített időbélyegzését a teljes megőrzési időtartam alatt.

Alkalmazottak jogainak kezelése anélkül, hogy az bizonyító erőt csökkentené

Az alkalmazott jogosultan kérheti hozzáférési jogát (15. cikk GDPR) az aláírási adatok másolatának megkezdéséhez. Helyesbítéseket is kérhet az pontatlan adatokra vonatkozóan.

Azonban a törléshez való jogot (17. cikk GDPR) nem lehet gyakorolni az olyan HR dokumentumok esetében, amelyek jogszabályi megőrzésre kötelezik. A munkaadónak képesnek kell lennie világosan meg tudni indokolni ezt az elutasítást, idézve a vonatkozó jogi alapot. A jogok gyakorlása során a CNIL által javasolt gyakorlat az ilyen kérelmek nyilvántartása a nyilvántartásban.

A hordozhatóság (20. cikk GDPR) az alkalmazott által a hozzájárulás vagy a szerződés teljesítése alapján nyújtott adatokra vonatkozik. Gyakorlatilag az alkalmazott kérheti aláírási adatait strukturált formátumban — kötelezettség, amely az aláírási megoldás megválasztásakor figyelembe veendő.

Technikai és szervezeti biztonság: nélkülözhetetlen intézkedések

Az aláírási platform technikai követelményei

A GDPR 32. cikke értelmében a biztonsági intézkedéseknek a kockázathoz kell igazodnia. Az elektronikus aláírási megoldás HR-hez ez konkrétan:

• Adatok titkosítása az átvitel során (TLS 1.3 minimum) és a tárolás során (AES-256)

• Többtényezős hitelesítés (MFA) az aláírási platformhoz való hozzáféréshez

• Naplók (logs) időbélyegzéssel és hamisításbiztos módon, nyomon követve az összes dokumentumon végzett műveletet

• Az EU-ban (vagy az EEE-ben) történő hosztolás az EEE-n kívüli átvitelek elkerülésére megfelelő garantiák nélkül (megfelelőségi döntés vagy típus szerződéses feltételek)

• Éves behatolási tesztek és az ISO 27001 tanúsítása az aláírás-szolgáltatótól

• Folytonossági terv, amely garantálja a szolgáltatás rendelkezésre állását és az archívumok helyreállítását az incidens esetén

Hatásbecslés (AIPD): mikor kötelező?

A GDPR 35. cikke megköveteli az adatvédelmi hatásbecslést (AIPD), ha a feldolgozás nagy kockázatot jelent. A CNIL felsorolása tartalmazza a nagy léptékben végzett feldolgozást a munka jellegű adatokkal.

Gyakorlatilag a AIPD ajánlott (vagy kötelező a nagyvállalatok számára) az összes alkalmazottat érintő elektronikus aláírási megoldás bevezetésekor. Meg kell határoznia a kockázatokat (bizalmasság elvesztése, identitáslopás, dokumentumok megváltoztatása), értékelnie kell azok súlyosságát és valószínűségét, és javaslatot kell tennie a kockázatcsökkentésre. Az értékelés dokumentálva kell legyen, és felül kell vizsgálni, ha a feldolgozás módosul.

Az alkalmazandó jogi keret az HR elektronikus aláírásra és a GDPR-ra

Alapvető európai szövegek

eIDAS 910/2014 rendelet (és a bevezetés alatt álló eIDAS 2.0 felülvizsgálata): ez a szöveg az elektronikus aláírás három szintjét (SES, AES, QES) és azok jogi értékét határozzák meg az EU egész területén. A 25. cikk kimondja, hogy a QES jogi hatása megegyezik a kézírás aláírásáéval. A 26. cikk felsorolja a fejlett aláírás technikai követelményeit. A minősített bizalmi szolgáltatás nyújtóit az országok megbízhatósági listáin regisztrálják (Franciaországban az ANSSI kezeli a listát).

GDPR 2016/679 rendelet: 2018. május 25. óta alkalmazható, ez a rendelet az EU-n belül az összes személyes adatok feldolgozásáról szól. Az 5. cikk (elvek), 6. cikk (jogi alapok), 13-14. cikk (tájékoztatás), 28. cikk (feldolgozók), 30. cikk (nyilvántartás), 32. cikk (biztonság), 35. cikk (AIPD) és 37-39. cikk (DPO) közvetlenül az elektronikus aláírás HR-re alkalmazhatók.

Alkalmazandó francia jog

Polgári törvénykönyv, 1366-1367. cikk: az 1366. cikk az elektronikus és papír írás közötti funkcionális egyenértékűség elvét állítja fel. Az 1367. cikk az elektronikus aláírást bizonyítási módként ismeri el, feltéve, hogy az egy megbízható azonosítási eljárásból áll, amely garantálja az olyan cikk közötti kapcsolatot, amelyhez kapcsolódik. Az megbízhatóság QES-hez feltételezett, de AES-hez bizonyítható.

Munka törvénykönyve: az L. 1221-1 cikk nem írja elő a munkaszerződés konkrét formáját (a CDD L. 1242-12 cikk, a tanulószerződés és más kivételektől eltekintve). A 2015. évi Macron-törvény (2015-990 törvény) megnyitotta az elektronikus fizetési szelvény útját. Az L. 3243-2 cikk szabályozza a feltételeit.

Informatika és szabadságok törvénye módosított (1978. január 6-i törvény, 78-17 számú törvény): a GDPR francia átültetése, amely a CNIL-nek nyomozási és szankcióközvetítési hatalmakat ruház. Az akkor a szankciók elérheti a 20 millió eurót vagy az éves globális forgalom 4%-ét a legcsalódottabb megsértésekhez.

Referencia technikai normák

• ETSI EN 319 132: fejlett elektronikus aláírás formátum XAdES, XML dokumentumokra alkalmazható

• ETSI EN 319 122: CAdES formátum CMS elektronikus aláírásokhoz

• ETSI EN 319 162: elektronikus aláírások hosszú távú archiválása (ASiC)

• NF Z 42-013 (AFNOR): működési specifikációk az elektronikus archiválási rendszer számára

• ISO/IEC 27001: információbiztonsági kezelés, a szolgáltatók által várt tanúsítási referenciakeret

Jogi kockázatok a nem-konformitás esetén

A kockázatok halmozódnak: egy olyan munkaszerződés, amely nem megfelelő aláírási szinttel aláírt, vita tárgyáévé válhat az iparosodási tanács előtt, amely az alkalmazottat a szerződés megsemmisítésére vagy érvényteleníttésére teszi ki. A GDPR oldalán a feldolgozóval való DPA hiánya, az alkalmazottak tájékoztatásának mulasztása vagy az EU-n kívüli hosztolás megfelelő garanciák nélkül vezethet a CNIL által kibocsátott figyelmeztetéshez vagy közigazgatási szankcióhoz.

Felhasználási helyzetek: elektronikus aláírás HR a GDPR-rel való megfelelőséggel

Felhasználási eset 1: egy 600 fős ipari KKV digitalizálja munkaszerződéseit

Egy közép-méretű ipari vállalat, amely Franciaország négy helyszínére oszlott, évente körülbelül 180 CDI/CDD felvételt dolgozott fel, amely ugyanannyi papír dokumentumot generált nyomtatásra, kettős aláírásra, digitalizálásra és archiválásra. Az ígéret közötti idő és a szerződés aláírása átlagosan 8 munkanapon át tartott.

A szervezet szeretett intégrált egy fejlett aláírási megoldást (AES) az SIRH-hez, a feldolgozóval aláírt GDPR-konform DPA-val és egy dokumentált AIPD-vel csökkentette ezt az időt kevesebb mint 24 órára. A hiányos fájlok aránya 34%-kal csökkent (források: ANDRH szektoriális benchmarkjai 2024). A Franciaországban történő adattárolást szerződéses feltételként választották, kiküszöbölve az EEE-n kívüli bármely átvitel kockázatát. Az alkalmazottakról az aláírás-fogyasztás folyamatában beépített információs szalag tájékoztat, garantálva a GDPR 13. cikkével való megfelelőséget.

Felhasználási eset 2: egy kiskereskedelmi franchise hálózat telepít QES aláírást napi teljesítményadó megállapodásokra

Az egy 60 eladási hely és száz teljesítményadó kötelezett vállalati hálózat egy azonosított munkaügyi vita felé nézett: számos napi teljesítményadó megállapodás csak a papír másolatok rossz minőségú formájában bizonyítható. A Semmítőszék szigorította aláírásának irányadása az aláírás típusa, a viták kockázata több százezer euróra becsült.

A hálózat minősített aláírási megoldást (QES) telepített az összes új megállapodáshoz, és javasolt meglévő végzetteknek az újraíródott megállapodásaikra. A videó-azonosítás használatára kerültek választott. A feldolgozási tevékenységek nyilvántartása frissítve lett, valamint egy külső adatvédelmi referens érvényesítette az útvonal GDPR-megfelelőségét. Hat hó alatt az egész napi teljesítményadó megállapodás megőrzésre került biztonságban. A megközelítés költsége (a piaci aláírások körülbelül 15-25 eurója) széles körűen alacsonyabbnak minősült, mint a fedezett munkaügyi vita kockázata.

Felhasználási eset 3: egy helyi önkormányzat demateriálozza módosítási megállapodásait és táv-munka szabályozatait

Az körülbelül 1200 állandó ügynök egy helyi önkormányzat meg szeretett volna erre demateriálozni a táv-munka módosítási megállapodások kezelési után a 2021 év nemzeti táv-munka megállapodása. A feldolgozandó súly körülbelül 400 dokumentum volt évente, különleges megkötéseket: az ügynökök közvetett személyek, akiknek adatai felettébb szűk feldolgozási vonatkozásra utalnak.

Az önkormányzat fejlett aláírásokat választott (AES), valamint hosztolást egy ANSSI SecNumCloud-minősített szolgáltatótól. Az AIPD az önkormányzat adatvédelmi referensének bejelentésére kerültt a telepítés előtt. Az ügynök úgy tájékoztatták volt, hogy egy belső intranetben közzétett jegyzet és aláírás útvonalábban információs szalag. Az HR-szolgáltatás 3 ETP-napot nyert az éves megállapodások közvetlenül adminisztratív kezeléséből, amely körülbelül 35 000 € közvetlen költség-megtakarítást adott évente, összhangban az Önkormányzatok digitális átalakulásának megfigyelőjét kiadott fogyasztásokkal (2025).

Következtetés

A GDPR-ral való megfelelőség az elektronikus aláírás az HR dokumentumokhoz nem egy lehetőség: ez az aktusok jogi értékét és az alkalmazottak jogainak védelmét feltételezi. 2026-ban azok a vállalatok, amelyek még nem frissítette meg feldolgozási tevékenységek nyilvántartásukat, nem aláírtak DPA-t feldolgozójukkal, és nem alkalmazódtak az aláírás szintjét minden dokumentumtípushoz, kétszeres — munkaügyi és közigazgatási — kockázatnak teszik ki magukat, amelyek pénzügyi következményei jelentősek lehetnek.

A jó hír: egy jól választott és konfigurált megoldás lehetővé teszi az üzemeltetési folyamatok simítása, az eIDAS megfelelőség és a GDPR tisztelete közötti egyensúlyozást az HR csapatai és az alkalmazottak számára anélkül, hogy bátorítottuk volna.

Certyneo Ön mellett áll a megközelítésben: eIDAS-konform platform, elérhető DPA, európai hosztolás és aláírás útvonal, amelyet az HR-hez gondoltak. vagy néhány kattintásban.