Elektroninis parašas žmogiškųjų išteklių srityje ir BDAR: pilnas 2026 m. vadovas

Žmogiškųjų išteklių skaitmeninimas labai pagreitėjo nuo 2020 m.: darbo sutartys, priedai, algalapeiai, IT politikos, nuotolinių darbų susitarimai — beveik visi šie dokumentai dabar keliaudami skaitmeninės formos pavidalu. Tačiau deidarbalinimas nereiškia, kad reikia nusistatyti nuo teisinių įsipareigojimų. Priešingai: elektroninis žmogiškųjų išteklių dokumentų parašas ir BDAR yra tema su dvigubais reguliaciniais įėjimais, nes ji sujungia eIDAS sistemą dėl parašo įrodomojo galios ir Europos reglamentą dėl asmeninių duomenų apsaugos. Jei neproporcingai suprasta, šis dvigubas apribojimas eksponuoja įmonę teisiniam rizikai ir CNIL baudoms. Šis vadovas jums pateikia esminius reikalavimus, geriausias praktikas ir kritinio dėmesio taškus, kuriuos jūs turite absoliučiai žinoti 2026 m.

Kodėl BDAR taikoma elektroniniam žmogiškųjų išteklių parašui?

Elektroninis parašas būtinai tvarko asmeninius duomenis

Pasirašyti darbo sutartį internete reikalauja rinkti, persiųsti ir saugoti asmeninius duomenis BDAR n°2016/679 4 straipsnio prasme: vardą, pavardę, profesinį el. paštą, kartais mobiliojo telefono numerį, laiko žymę ir parašo IP adresą. Žmogiškųjų išteklių kontekste šie duomenys yra ypač jautrūs, nes tiesiogiai identifikuoja darbuotoją ir yra susiję su jo sutartiniais santykiais su darbdaviu.

Pasitikėjimo paslaugų teikėjas (PSC), kuris suteikia parašų sprendimą, yra kvalifikuojamas kaip duomenų procesorius BDAR 28 straipsnio prasme. Darbdavys lieka atsakingas žiūrint iš procesoriaus pusės. Šis skirtumas yra esmingas: tai yra įmonė, kuri atsako CNIL prieš bet kokius pažeidimus, ne programinės įrangos tiekėjas.

Teisinės bazės mobilizuojamos žmogiškųjų išteklių kontekste

Kiekvienai žmogiškųjų išteklių deidarbalintos kategorijos dokumentų, darbdavys turi identifikuoti labiausiai tinkamą teisinę tratavimo bazę:

• Sutarties vykdymas (str. 6.1.b BDAR): darbo sutarties pasirašymas, algos priedas, forfeito-dienų konvencija. Tai yra stipriausia teisinė suma sutartiniams dokumentams.

• Teisinė pareiga (str. 6.1.c BDAR): deidarbalintas algalapio išdavimas (leistinas nuo 2015 m. Macron dėsnio su sąlygomis), personalio registrai.

• Teisėtas interesas (str. 6.1.f BDAR): IT politika, vidaus taisyklės, vidaus politikos dokumentai — su sąlyga, kad išlaikysite balanso testą.

Pagrindas sutikimas (str. 6.1.a) žmogiškųjų išteklių kontekste turėtų būti vengiamas: CNIL ir EDPB (Europos duomenų apsaugos taryba) mano, kad subordinacijos santykis tarp darbdavio ir darbuotojo daro sutikimą retai laisvą. Darbuotojas, kuris atsisako pasirašyti elektroniškai, gali bijoti profesinių pasekmių.

Konkretūs atsakingo žiūrint iš procesoriaus pusės įsipareigojimai žmogiškųjų išteklių srityje

Atnaujinti tratavimo veiklų registrą (RAT)

BDAR 30 straipsnis įpareigoja bet kurias organizacijas, kuriose dirba daugiau nei 250 darbuotojų (ir SME, tvarkantos jautraus duomenis dideliu mastu) turėti tratavimo veiklų registrą. Elektroninio parašo įrankio, skirto žmogiškųjų išteklių dokumentams, įvedimas jame turi figūruoti su:

• Tratavimo tikslu (pvz.: žmogiškųjų išteklių sutartinių dokumentų deidarbalinimas ir archyvavimas)

• Tvarkomos duomenų kategorijomis (tapatybė, kontaktiniai duomenys, autentifikavimo duomenys)

• Saugojimo trukmė (sutarties saugojimo teisinė trukmė: 5 metai po sutarties pabaigos pagal Darbo kodeksą, str. L. 1234-20)

• Procesoriaus koordinatės (parašų platforma)

• Įgyvendintomis saugumo priemonėmis

Pasirašyti DPA (Duomenų tratavimo susitarimas) su paslaugų teikėju

Vadovaujantis BDAR 28 straipsniu, bet kokia procesoriaus pasirašymas dėl asmeninių duomenų tratavimo turi būti formalizuota duomenų tratavimo sutartimi (DPA). Ši sutartis turi nurodyti:

• Tratavimo taiką ir trukmę

• Tratavimo pobūdį ir tikslą

• Asmeninių duomenų tipą ir suinteresuotų asmenų kategorijas

• Atsakingo žiūrint iš procesoriaus pusės įsipareigojimus ir teises

• Duomenų vietą (duomenų bazė ES rekomenduojama, kad būtų išvengta EEE persiuntimo)

• Techninės ir organizacinės saugumo priemonės

Rimtas parašų elektroninio paslaugų teikėjas sistemingai siūlo BDAR atitinkamą DPA. Jo nebuvimas yra iš karto bausmė.

Informuoti darbuotojus prieš pirmą parašą

BDAR 13 straipsnis įpareigoja išankstinę informaciją asmenų, kurių duomenys rinkti. Prieš pradedant diegti elektroninį parašą žmogiškųjų išteklių dokumentams, darbdavys turi informuoti darbuotojus:

• Apie atsakingo žiūrint iš procesoriaus pusės tapatybę

• Apie tikslą ir teisinę bazę

• Apie duomenų saugojimo trukmę

• Apie jų teises (prieiga, taisyba, panaikinimas BDAR apribojimų ribose, pernešimas)

• Apie duomenų apsaugos vadovo (DPO) koordinates, jei jis yra paskirtas

Ši informacija gali būti integruota į parašo procesą patį (informacinis bandjelis prieš parašą), į atnaujintą vidaus taisykles arba per paslaugų pastabą, paskleistą diegiant.

Reikalingas parašo lygis žmogiškųjų išteklių dokumentams: SES, AES arba QES?

eIDAS lygių hierarchija

Reglamentas eIDAS n°910/2014 apibrėžia tris elektroninio parašo lygius, kiekvienas nurodant didžiančią įrodomąją galią:

• SES (Paprastas elektroninis parašas): silpna įrodomoji galia, tinkama mažo atstumo dokumentams (priėmimai, vidinės formos)

• AES (Išplėstinis elektroninis parašas): susietas su pasirašimu unikaliai, sukurtas naudojant duomenis, kurie yra tik jo kontroliuoti. Tinkamas daugeliui standartinių žmogiškųjų išteklių dokumentų.

• QES (Kvalifikuotas elektroninis parašas): aukščiausias lygis, lygiavertis rašytiniam parašui pagal eIDAS straipsnį 25.2. Reikalingas sustiprintas tapatybės patvirtinimas (asmuo arba vaizdo identifikacija).

Koks lygis kokiems žmogiškųjų išteklių dokumentams?

Rekomenduojamas žemėlapys 2026 m., atsižvelgiant į Prancūzijos jurisprudencijos pozicijas ir sektorinių rekomendacijų:

| Žmogiškųjų išteklių dokumentas | Rekomenduojamas lygis | Pagrindimas | |---|---|---| | Darbo sutartis CDI/CDD | AES minimalus, QES rekomenduojamas | Stiprus sutartinis vertė, prud'homalinis rizika | | Sutarties priedas | AES minimalus, QES rekomenduojamas | Tokia pati logika kaip pagrindinė sutartis | | Bandomasis laikotarpis (atnaujinimas) | AES | Trumpas terminas, ribotas formalumas | | Nuotolinio darbo / BYOD politika | SES arba AES | Kolektyvinis susitarimas arba vidaus taisyklės | | Forfeito-dienų konvencija | QES labai rekomenduojamas | Reikli socialistinė jurisprudencija | | Savitarpas sutarties nutraukimas | QES privalomas | Homologuota Cerfa forma, aukštas interes | | Atlygis už visuotinę išsiskyrimą | AES arba QES | Išlygausio vertė, DK str. L. 1234-20 |

Dėl dokumentų su stipriu ginčo riziką (forfeito konvencija, savitarpas nutarimas), QES faktiškai primeta garantuoti priešininkavimą prieš prud'homales teisingumus. Kasacijos teismas pamažu sutvirtino savo reikalavimus dėl darbuotojo susitarimo įrodymų.

Saugojimas, archyvavimas ir asmenų teisės: spąstus, kuriuos reikia išvengti

Teisinės žmogiškųjų išteklių elektroninių dokumentų saugojimo trukmės

Elektroninių žmogiškųjų išteklių dokumentų saugojimas paklūsta privalomiems teisinėms trukmėms. Šios trukmės pranumeruja BDAR panaikinimą į užmarštį (str. 17.3.b):

• Darbo sutartis: 5 metai po sutarties pabaigos (prud'homalne prescripcija, DK str. L. 1471-1)

• Algalapeiai: 5 metai (algų prescripcija), bet saugojimas rekomenduojamas iki pensijinių teisių likvidacijos

• Darbo nelaimės dokumentai: 30 metų (ilgas ginčo saugojimas)

• Profesinis mokymas (planai, sertifikatai): 3 metai

• Personalio registrai: 5 metai po to, kai darbuotojas paliko įstaigą

Elektroninis archyvavimas su įrodomąja verte turi atitikti normos NF Z 42-013 reikalavimus ir pageidautina standarto ETSI EN 319 162 (ilgalaikis elektroninio parašo archyvavimas). Paprastas saugojimas serveryje nepakanka: reikia garantuoti visumą, skaitomumą ir laiko žymę visą saugojimo laikotarpį.

Valdyti darbuotojų teises nepažeisdami įrodomosios galios

Darbuotojas gali teisėtai naudoti prieigos teisę (str. 15 BDAR) gauti parašo duomenų kopiją. Jis taip pat gali prašyti netiksli duomenų pataisymo.

Tačiau panaikinimo teisė (str. 17 BDAR) negali būti naudojama žmogiškųjų išteklių dokumentams, kurie paklūsta teisinės saugojimo pareigoms. Darbdavys turi gebėti aiškiai paaiškinti šį atmetimą, cituodamas taikomą teisinę bazę. Dokumentuoti šiuos mainais registro formu paprašytų teisių yra gera praktika, rekomenduojama CNIL.

Duomenų pernešas (str. 20 BDAR) taikomas darbuotojo suteiktiems duomenims sutikimo arba sutarties vykdymo pagrindu. Praktiškai darbuotojas gali prašyti savo parašo duomenų struktūruotoje formoje — pareiga, kurią reikia numatyti pasirinkus parašų sprendimą.

Techninės ir organizacinės saugumo priemonės: neapverčiamos priemonės

Parašų platformos techniniai reikalavimai

Pagal BDAR 32 straipsnį, saugumo priemonės turi būti atitinkamos rizikai. Elektroninio parašo žmogiškųjų išteklių sprendimui tai konkretiškai reiškia:

• Duomenų šifravimas persiuntimo metu (TLS 1.3 minimalus) ir likusio metu (AES-256)

• Daugiafaktorinis autentifikavimas (MFA) platformos prieigai

• Audito žurnalai (logs) su laiko žymėmis ir nesuklastojami, sekantys kiekvieną veiksmą dokumento atžvilgiu

• Duomenų bazė ES (arba EEE), kad būtų išvengta EEE persiuntimo be atitinkamų garantijų (atitikties sprendimas arba standartinės sutartinės sąlygos)

• Metiniai intruzijos testai ir ISO 27001 procesoriaus sertifikacija

• Tęstinumo planas, garantuojantis paslaugos prieinamumą ir archyvų atkūrimą incidento atveju

Poveikio analizė (AIPD): kada ji yra privaloma?

BDAR 35 straipsnis įpareigoja Duomenų apsaugos poveikio analizę (AIPD), kai tratavimas gali sukelti aukštą riziką. CNIL paskelbė tratavimų tipų sąrašą, reikalingą AIPD: didelio masto tratavimas, susijęs su profesine gyvensena, jame minimas.

Praktiškai AIPD rekomenduojama (net privaloma didiesiems įmonėms) diegiant elektroninio parašo žmogiškųjų išteklių sprendimą, kuris paliečia visus bendradarbius. Ji turi identifikuoti rizikas (konfidencialumo praradimas, tapatybės vagystė, dokumentų pakeitimas), įvertinti jų sunkumą ir tikimybę bei pasiūlyti sumažinimo priemones. Ši analizė turi būti dokumentuota ir peržiūrėta bet kokio tratavimo pokyčio atveju.

Taikomas teisinis šaltinis elektroniniam žmogiškųjų išteklių parašui ir BDAR

Pagrindiniai Europos tekstai

Reglamentas eIDAS n°910/2014 (ir jo atnaujinimas eIDAS 2.0, kuris jau dedamas): šis tekstas apibrėžia tris elektroninio parašo lygius (SES, AES, QES) ir jų teisinę galią visose šalies naryse. Straipsnis 25 nusako, kad QES yra juridinio poveikio ekvivalentas rankų parašui. Straipsnis 26 išvardina išplėstinio parašo techninius reikalavimus. Kvalifikuoti pasitikėjimo paslaugų teikėjai yra įrašyti nacionaliniuose pasitikėjimo sąrašuose (Prancūzijoje, sąrašą tvarko ANSSI).

BDAR n°2016/679: taikomas nuo 2018 m. gegužės 25 d., šis reglamentas reguliuoja bet kokį asmeninių duomenų tratavimą ES. Straipsniai 5 (principai), 6 (teisinės bazės), 13-14 (informacija), 28 (duomenų procesorius), 30 (registras), 32 (saugumas), 35 (AIPD) ir 37-39 (DPO) tiesiogiai aktualūs elektroniniam žmogiškųjų išteklių parašui.

Taikytas Prancūzijos teisės

Civilinis kodeksas, straipsniai 1366-1367: straipsnis 1366 nusako funkcinės lygiavertiškumo principą tarp elektroninio ir popierinės formos. Straipsnis 1367 pripažįsta elektroninį parašą kaip įrodymo metodą, su sąlyga, kad jis susideda iš patikimo identifikavimo proceso, garantuojančio ryšį su aktu, kuriam jis priskiriamas. Patikimumas yra tariamas QES atveju, bet gali būti įrodytas AES atveju.

Darbo kodeksas: straipsnis L. 1221-1 nemeta konkrečios formos darbo sutarčiai (išskyrus išimtis: CDD str. L. 1242-12, mokymosi sutartis ir kt.). Macron dėsnis iš 2015 (dėsnis n°2015-990) atidarė kelią elektroniniam algalačiui. Straipsnis L. 3243-2 reguliuoja jos sąlygas.

Informatikos ir laisvės dėsnis, modifikuota (dėsnis n°78-17 iš 1978 m. sausio 6 d.): Prancūzijos BDAR transponavimas, jis suteikia CNIL jos tyrimo ir bausmės galias. Baudos gali pasiekti 20 milijonų eurų arba 4 % pasaulinės metinės apyvartos dėl rimčiausių pažeidimų.

Pagrindinės techninės normos

• ETSI EN 319 132: išplėstinio elektroninio parašo XAdES formatas, taikomas XML dokumentams

• ETSI EN 319 122: CAdES formatas elektroniniams CMS dokumentų parašams

• ETSI EN 319 162: ilgalaikis elektroninio parašo archyvavimas (ASiC)

• NF Z 42-013 (AFNOR): elektroninio archyvavimo sistemos su įrodomąja verte funkcinės specifikacijos

• ISO/IEC 27001: informacijos saugumo valdymas, sertifikavimo standartas, tikimasi iš procesorių

Teisinės rizikos, jei neatitinka reikalavimų

Kaupiamos rizikos yra reikšmingos: darbo sutartis, pasirašyta nepakankamu parašo lygiu, gali būti ginčijama prieš Prud'homale tarybą, ekspozicija darbdavį nustatyti ar panaikinti. Dėl BDAR aspekto, DPA nebuvimas su procesoriumi, informacijos apie darbuotojus praleidimu arba duomenų baze šalyje be atitinkamų garantijų gali sukelti CNIL įspėjimą arba šiuos šalininko bausmę.

Naudojimo scenarijai: elektroninis žmogiškųjų išteklių parašas atitinka BDAR

Scenarijus 1: vidutinė gamybos įmonė su 600 darbuotojų deidarbalinina darbo sutartis

Vidutinė industrinė įmonė, paskirstyta keturiose Prancūzijos vietose, traktavo kiekvienais metais apie 180 CDI/CDD pasamdymus, generuodama tiek pat popierinių failų, kad spausdinti, pasirašytų dvigubai, perrūpint ir archyvuoti. Vidutinis laikas nuo pasamdymo pažado iki efektyvios darbo sutarties pasirašymo siekė vidutiniškai 8 darbo dienų.

Po elektroninio parašo išplėtoto sprendimo (AES), integruoto į jo SIRH su BDAR sutiktiniu DPA ir dokumentuota AIPD, įmonė sumažino šį laiką mažiau nei per 24 valandas. Nepilnų failų procentas sumažėjo 34 % (šaltiniai: ANDRH 2024 sektoriaus lyginamarkės). Duomenų bazė Prancūzijoje buvo pasirinkta kaip sutartinis kriterijus, pašalinant jokią EEE persiuntimo riziką. Darbuotojai yra informuojami apie tratavimą per informacinę linijų, integruotą į parašo procesą, garantuojant BDAR 13 straipsnio atitiktį.

Scenarijus 2: franšizės tinklas mažmeninės prekybos diegia QES parašą forfeito-dienų konvencijoms

Mažmeninės prekybos specializuotas tinklas su apie šešiasdešimt pardavimo vietų ir šimtu vadovų forfeito-dienomis susidūrė su identifikuota prud'homale rizika: kelios forfeito-dienų konvencijos galėjo būti įrodytos tik per žemos kokybės popierinės kopijos. Kasacijos teismas sutvirtino savo įrodymo reikalavimus šio tipo konvencijoms, todėl ginčo rizika buvo vertinama keliems šimtams tūkstančių eurų.

Tinklas iškėlė kvalifikuoto parašo (QES) sprendimą visoms naujoms konvencijoms ir pasiūlė vietiniams vadovams iš naujo pasirašyti savo esamas konvencijas. Tapatybės patikrinimas per vaizdo identifikavimą buvo pasirinktas. Tratavimo veiklų registras buvo atnaujintas, ir išorinis DPO patvirtino BDAR kelio atitiktį. Per 6 mėnesius visas forfeito-dienų konvencijos buvo apsaugota. Kampanijos savikaina (apie 15 iki 25 € per QES parašą pagal rinkos tiekėjus) buvo laikoma žymiai žemesnė nei ginčo rizika, kurią ji dengia.

Scenarijus 3: savivaldybė dedeidarbalina priedus ir nuotolinio darbo politiką

Savivaldybė su apie 1 200 pastovių agentų norėjo deidarbalinti nuotolinio darbo priedų valdymą po 2021 m. nacionalinio nuotolinio darbo susitarimo, viešajame sektoriuje. Tratavimų tūris buvo apie 400 dokumentų per metus, su specifiniais apribojimais: agentai yra viešieji asmenys, kurių duomenys paklūsta ypatingai reguliuotos operacijos.

Savivaldybė pasirinkimę išplėstus parašus (AES), su suvereniu duomenų baze pas kvalifikuotą tiekėją, certificuotą SecNumCloud ANSSI. AIPD buvo pasiūlyta savivaldybės DPO prieš diegiant. Agentai buvo informuoti per pastabą, paskleistą intranetuje ir informacinę linijoje skaitmeniniame kelyje. Personalio tarnyba įvertino 3 ETP-dienas per mėnesį šeimos priedų administraciniam valdymui, tai yra maždaug 35 000 € metinę ekonomiją tiesioginiuose kaštai, atitinkančią atliktuose savivaldybių skaitmeninimo transformacijos Observatorijoje publikuotus diapazonus (2025).

Išvada

BDAR atitiktis elektroniniam žmogiškųjų išteklių parašui nėra pasirinkimas: ji sąlygoja tiek jūsų veikų teisinę vertę, tiek jūsų darbuotojų teisių apsaugą. 2026 m., įmonės, kurios dar neperkeitė savo tratavimo veiklų registro, nepasirašė DPA su savo procesoriumi ir nesuderino parašo lygio kiekvieno dokumentų tipo neperpildo save dvigubai rizikai — prud'homale ir administracinei — kurio finansinės pasekmės gali būti reikšmingos.

Gera žinia: gerai pasirinktas ir sukonfigūruotas sprendimas leidžia suderint operacinę sklandumą, eIDAS atitiktį ir BDAR pagarbą be trinties žmogiškųjų išteklių komandų arba darbuotojų.

Certyneo jus lydi šioje kelionėje: eIDAS atitinkama platforma, prieinamas DPA, Europos duomenų bazė ir parašo procesai, pagalvoti žmogiškiesiems ištekliams. Atskleiskite mūsų sprendimą, skirtą žmogiškiesiems ištekliams arba apskaičiuokite jūsų ROI kelyje į visišką skaitmeninimą per kelis paspaudimus.