Signature elektroninė HR ir GDPR: pilnas vadovas 2026 m.

Žmogiškųjų išteklių skaitmenizacija nuo 2020 metų tapo itin intensyvi: darbo sutartys, šališkos sutartys, algalapiai, IT chartijos, nuotolinį darbą reglamentuojantys susitarimai — beveik visi šie dokumentai dabar perduodami skaitmenine forma. Tačiau medžiagos dematerializacija nereiškia atleidžiamasi nuo teisinių įsipareigojimų. Priešingai: elektroninis HR dokumento parašas GDPR sudaro temą su dviem reguliavimo lygiais, nes ji susieja eIDAS sistemą dėl parašo įrodymų galios ir Europos Sąjungos reglamentą dėl asmeninių duomenų apsaugos. Jei netinkamai suvaldoma, ši dviguba apribojimu grėsmė praranda įmonę tiesiniams rizikai bei CNIL sankcijoms. Šis vadovas pristato esminius dalykus, gerąsias praktikas ir svarbias ryšio vietas, kurias reikia žinoti visiškai 2026 metais.

Kodėl GDPR taikomas elektroniniam HR parašui?

Elektroninis parašas būtinai tvarko asmeninius duomenis

Skaitmeniniu būdu pasirašyti darbo sutartį reiškia surinkti, persiųsti ir saugoti asmens duomenis GDPR n°2016/679 4 straipsnio prasme: vardą, pavardę, profesinį el. paštą, kartais mobilaus telefono numerį, parašo laiko žymę ir IP adresą. HR kontekste šie duomenys yra itin jautrūs, nes jie tiesiogiai identifikuoja darbuotoją ir yra susiję su jo santykiais su darbdaviu.

Pasitikėjimo paslaugų teikėjas (PST), kuris teikia parašo sprendimą, priskiriamas duomenų tvarkytojui GDPR 28 straipsnio prasme. Darbdavys lieka atsakingu tvarkytoju. Šis skirtumas yra žymiai svarbus: vadovaujant CNIL, atsakomybę neša įmonė, o ne programinės įrangos tiekėjas.

Teisinės bazės, kurias galima panaudoti HR kontekste

Kiekviena dematerializuotų HR dokumentų kategorija privalo identifikuoti tinkamiausia tvarkytojo pagrindą:

• Sutarties vykdymas (6.1.b GDPR) – darbo sutarties parašymas, algos šališka sutartis, dienų forfeito konvencija. Tai yra stabiliausia teisinė bazė kontraktiniams dokumentams.

• Teisingas pareigybė (6.1.c GDPR) – skaitmeninis alga lapų teikimas (leistinas nuo 2015 m. Macron dėsnio nustatytomis sąlygomis), personalo registrai.

• Teisėtas interesas (6.1.f GDPR) – IT chartijos, vidaus reglamentai, vidaus politikos dokumentai – su sąlyga išlaikyti balanso testą.

Pagrindimas sutikimu (6.1.a) HR kontekste turėtų būti vengiamas: CNIL ir EDPB (Europos duomenų apsaugos valdyba) mano, kad pavaldumo santykis tarp darbdavio ir darbuotojo padaro sutikimą retai laisvą. Darbuotojas, atsisakantis pasirašyti elektroniškai, galėtų bijoti profesinių pasekų.

Konkrečios atsakingo tvarkytojo HR pareigos

Atnaujinti duomenų tvarkos metu registrą (RAT)

GDPR 30 straipsnis reikalauja kiekvienos organizacijos, kurioje dirba daugiau nei 250 darbuotojų (ir SME, tvarkančios jautrius duomenis masiškai), prižiūrėti duomenų tvarkos metu registrą. Elektroninio parašo įrankio įvedimas HR dokumentams turi jame figūruoti su:

• Tvarkytojo paskirtimi (pvz.: HR dokumentų skaitmenizacija ir archyvavimas)

• Tvarkomų duomenų kategorijomis (tapatybė, kontakto duomenys, autentifikavimo duomenys)

• Saugojimo trukme (darbo sutarties teisinė laikymo trukmė: 5 metai po sutarties pabaigos pagal Darbo kodekso 1234–20 straipsnį)

• Šališkų duomenų koordinatais (parašo platforma)

• Įdiegtomis saugumo priemonėmis

Pasirašyti DPA (duomenų tvarkytojo susitarimas) su tiekėju

Pagal GDPR 28 straipsnį, visas duomenų tvarkymui skirtas pasitikėjimas tvarkytojui turi būti formalizuotas duomenų tvarkos sutartimi (DPA). Šis susitarimas turi nurodyti:

• Tvarkytojo objektą ir trukmę

• Tvarkytojo pobūdį ir paskirtį

• Asmens duomenų tipus ir susijusias asmenų kategorijas

• Atsakingo tvarkytojo įsipareigojimus ir teises

• Duomenų buvimo vietą (serverių vieta ES rekomenduojama, siekiant išvengti duomenų perdavimo už EEE ribų)

• Technines ir organizacines saugumo priemones

Rimtas elektroninio parašo tiekėjas sistematingai siūlo GDPR atitinkantį DPA. Jo nebuvimas iš karto yra sankcionalos neatitiktis.

Informuoti darbuotojus prieš pirmą parašą

GDPR 13 straipsnis reikalauja išankstinės informacijos apie žmones, kurių duomenys yra renkami. Prieš elektroninio parašo diegimą HR dokumentams, darbdavys turi informuoti darbuotojus:

• Apie atsakingo tvarkytojo tapatybę

• Apie paskirtį ir teisinę bazę

• Apie duomenų saugojimo trukmę

• Apie jų teises (prieiga, taisymas, panaikinimas tam tikrais saugojimo įsipareigojimų apribojimų ribose, perkeliamumas)

• Apie DPO (duomenų apsaugos delegato) koordinatus, jei jis paskirtas

Ši informacija gali būti integruota į pačią parašo procedūrą (informacinis banerį prieš parašą), į atnaujintą vidaus reglamentą arba per tarnybinio pranešimo paskelbimą diegimo metu.

Parašo lygis, reikalingas HR dokumentams: SES, AES ar QES?

eIDAS lygių hierarchija

eIDAS n°910/2014 reglamentavimas nurodo tris elektroninio parašo lygius, kiekvienas pasiūlydamas didėjančią įrodymų vertę:

• SES (paprastas elektroninis parašas) – žema įrodymų vertė, tinkama mažo ryžiko dokumentams (priėmimo patvirtinimai, vidinės formos)

• AES (išplėstinis elektroninis parašas) – unikaliai susijęs su pasirašančiuoju, sukurtas iš duomenų, kurie yra jo išskirtinė kontrolė. Tinka daugumoje įprastų HR dokumentų.

• QES (kvalifikuotas elektroninis parašas) – aukščiausias lygis, lygiavertis rankiniam parašui pagal eIDAS 25.2 straipsnį. Reikalauja sustiprintos tapatybės patikros (asmeninio bendravimo ar vaizdo identifikavimo).

Kuris lygis kuriems HR dokumentams?

Rekomenduojama 2026 metams skirta klasifikacija, atsižvelgiant į Prancūzijos jurisprudencijos pozicijas ir sektorines rekomendacijas:

| HR dokumentas | Rekomenduojamas lygis | Pagrindimas | |---|---|---| | CDI/CDD darbo sutartis | Mažiausiai AES, labiau QES | Stipri sutarčio vertė, darbo abejotino vedimas rizika | | Šališka sutartis | Mažiausiai AES, labiau QES | Ta pati logika kaip pagrindinė sutartis | | Bandymo laikotarpio atnaujinimas | AES | Trumpas terminas, ribotas formalumas | | Nuotolinio darbo / BYOD chartija | SES arba AES | Bendras susitarimas arba vidaus reglamentas | | Dienų forfeito konvencija | QES labai patariamas | Neatidžiai socialinė jurisprudencija | | Sutarimo nutraukimas | QES privalomas | Homologizuota Cerfa forma, didelė rizika | | Kvitancija dėl visos sąskaitos | AES arba QES | Išpardavimo galia, Darbo kodekso 1234–20 straipsnis |

Dokumentams, turintiems didelę ginčų riziką (dienos forfeito, sutarimo nutraukimas), QES faktiškai tampa būtina, kad garantuotumėte priešiškumą prieš darbdavių teismus. Kasacijos teismas laipsniškai sutvirtino savo reikalavimus dėl darbuotojo sutikimo įrodymo.

Saugojimas, archyvavimas ir žmonių teisės: spąstai, kurie reikia vengi

Teisinės HR dokumentų saugojimo trukmės, pasirašytos elektroniškai

Elektroniškai pasirašytų HR dokumentų saugojimas paklūsta privalomosioms teisinėms trukmėms. Šios trukmės viršauja GDPR panaikinimo teisę (17.3.b straipsnis):

• Darbo sutartis: 5 metai po sutarties pabaigos (darbo bylos apeliacine sparta, Darbo kodekso 1471–1 straipsnis)

• Algalapiai: 5 metai (algų prescriptas), bet saugojimas rekomenduojamas iki pačios pensijos teisės likvidavimo

• Darbo nelaimių dokumentai: 30 metų (ilga ginčo rizika)

• Profesinis mokymas (planai, pažymėjimai): 3 metai

• Personalo registrai: 5 metai nuo dienos, kada darbuotojas pasitraukė iš įmonės

Ilgalaikis elektroninis archyvavimas su įrodymo reikšme turi atitikti NF Z 42–013 standarto reikalavimus ir idealiai ETSI EN 319 162 standartą (elektroninių parašų ilgalaikis archyvavimas). Paprastas serverio saugojimas neuztenka: būtina garantuoti dokumentų vientisumą, skaitomumą ir laiko žymę per visą saugojimo laiką.

Valdyti darbuotojų teises be parašo vertės kompromiso

Darbuotojas gali teisėtai naudoti prieigos teisę (15 GDPR) tam, kad gautų kopiją jo tapatumui skirtos parašo duomenų. Jis taip pat gali paprašyti netikslaus duomenų pataisymo.

Iš kitos pusės, panaikinimo teisė (17 GDPR) negali būti panaudota HR dokumentams, kurie yra teisinės saugojimo pareigos šalies. Darbdavys turi sugebėti aiškiai paaiškinti šį atmetimą, nurodydamas taikytiną teisinę bazę. Dokumentuoti šiuos santykius panaikinimo teisės paraiškas registre – tai geroji prakrika, rekomenduota CNIL.

Perkeliamumas (20 GDPR) taikomas duomenims, kuriuos darbuotojas pateikė pagal sutikimą arba sutarties vykdymą. Praktikoje darbuotojas gali paprašyti savo parašo duomenų struktūruotame formate – pareiga, kurią reikia dėmesio rinkti ir keičiant parašo sprendimą.

Techninė ir organizacinė sauga: būtinos priemonės

Parašo platformos techniniai reikalavimas

Pagal GDPR 32 straipsnį, saugumo priemonės turi atitikti riziką. Elektroninio parašo sprendimui HR, tai reiškia ypatingai:

• Duomenų šifravimas perduodant (TLS 1.3 minimumas) ir ramybėje (AES-256)

• Daugialygis autentifikavimas (MFA) prieigai prie platformos

• Laike žymimi ir nesuklaidinti audito žurnalai (logs), sekantys kiekvieną veiksmą dokumente

• Serverių šiaurėje ES (arba EEE), siekiant išvengti duomenų perdavimo už EEE ribų be tinkamų garantijų (sprendimai arba standartinės sutartinės sąlygos)

• Metiniai skverbimosi testai ir ISO 27001 sertifikacija tvarkytojui

• Tęstinumo planas garantuojantis paslaugu pasiekiamumą ir archyvų grąžinimą nuo to incidento

Poveikio analizė (AIPD): kada ji yra privaloma?

GDPR 35 straipsnis reikalauja duomenų apsaugos poveikio analizės (AIPD), kai tvarkimas yra gali sukelti aukštą riziką. CNIL paskelbė tipų tvarko reikalaujant AIPD sąrašą: masinė asmeninės informacijos apie profesinį gyvenimą tvarka jame yra minima.

Praktikoje AIPD yra rekomenduojama (net būtina dideliems darbdaviams) kuriant elektroninio parašo sprendimą HR, veikiančios visus bendradarbius. Joje turi būti identifikuota rizika (paslaptingumo praradimas, tapatybės vagystė, dokumentų iškraipymas), įvertintina jų sunkumas ir tikimybė, ir pasiūlyti pasitaiso. Ši analizė turi būti dokumentuota ir peržiūrėta, jei keičiasi tvarkytojo tonas.

Teisinis reguliavimas elektroniniam HR parašui ir GDPR taikomas

Pagrindiniai Europos aktai

eIDAS n°910/2014 reglamentavimas (ir jo eIDAS 2.0 peržiūra, diegiama) – šis tekstas nurodo tris elektroninio parašo lygius (SES, AES, QES) ir jų teisinę vertę visose ES valstybėse narėse. 25 straipsnis nusako, kad QES turi teisinį efektą, lygiavertį rankiniam parašui. 26 straipsnis nurodo išplėstinio parašo technines reikalavimas. Kvalifikuoti pasitikėjimo paslaugų tiekėjai yra įregistruoti nacionaliniuose pasitikėjimo sąrašuose (Prancūzijoje sąrašą administruoja ANSSI).

GDPR n°2016/679 – taikomas nuo 2018 gegužės 25 d., šis reglamentavimas reguliuoja bet kurią asmeninių duomenų tvarkę ES viduje. 5 straipsniai (principai), 6 (teisinės bazės), 13-14 (informacija), 28 (tvarkytojūs), 30 (registras), 32 (sauga), 35 (AIPD) ir 37-39 (DPO) yra tiesiogiai svarbūs elektroniniam HR parašui.

Taikytina Prancūzijos teisė

Pilietinis kodeksas, straipsniai 1366-1367 – 1366 straipsnis nusako elektroninio ir popierinio rašto funkcinio ekvivalentiškumo principą. 1367 straipsnis pripažįsta elektroninį parašą kaip įrodymą, su sąlyga, jei jis sudarytas iš patikimu identifikavimo metodu, garantuojančio ryšį su jį lydinčiu aktu. Patikimumas yra manoma QES, bet gali būti patvirtintas AES.

Darbo kodeksas – 1221–1 straipsnis nereikalauja konkrečios darbo sutarties formos (išskyrus išimtis: CDD 1242–12 straipsnis, mokymo sutartis ir t.t.). 2015 Macron dėsnis (dėsnis n°2015-990) atidaro duris elektroniniam algalapi. L. 3243–2 straipsnis reguliuoja jo modalitetus.

Informatika ir laisvės dėsnis, kaip pakeista (1978 m. sausio 6 d. dėsnis n°78-17) – Prancūzijos GDPR transpozicija, ji suteikia CNIL tyrinėjimo ir sankcijų galias. Baudos gali pasiekti 20 milijonų eurų arba 4% visos pasaulinės metinės apyvartos už pačius griežčiausias pažeidimus.

Techniniai nuorodomuos standartai

• ETSI EN 319 132 – išplėstinto elektroninio parašo XAdES formatas, taikomas XML dokumentams

• ETSI EN 319 122 – CAdES formatas elektroninio parašo CMS dokumentams

• ETSI EN 319 162 – elektroninių parašų ilgalaikis archyvavimas (ASiC)

• NF Z 42–013 (AFNOR) – funkcinės elektroninio archyvavimo sistemos specifikacijos su įrodymo vertė

• ISO/IEC 27001 – informacijos saugumo valdymas, numatytas sertifikavimo standartai tvarkytojams

Teisinės rizikos netinkamai vykdant

Sukauptos rizikos yra reikšmingos: darbo sutartis, pasirašyta nepakankamu parašo lygiu, gali būti iš tikrųjų ginčijama darbo abejotinumo taryboje, tvarkytojui gresianti perkvalifikavimo arba nulybės svarbos. GDPR pagrindu, DPA su tvarkytoju nebuvimas, darbuotojų neinformavimas arba serverių vieta be tinkamų garantijų gali sukelti CNIL perspėjimą ar net administracinę viešą sankciją.

Naudojimo scenarijai: elektroninis HR parašas suderintas GDPR

Scenarijus 1: gamybos ETI su 600 darbuotojų skaitmenizuoja darbo sutartis

Vidutinio dydžio gamybos įmonė, paskirstyta keturiose Prancūzijos vietose, kasmet tvarko maždaug 180 CDI/CDD įdarbinimų, kuri generuoja tiek pat popieraus archyvo, kurie turi būti atspausdinti, pasirašyti dviem egzemplioriais, nuskaityta ir archyvuota. Vidutinis laikas tarp pasiūlymo ir efektyvaus sutarties pasirašymo siekė 8 darbo dienų.

Po sprendimo diegimu su išplėstiniu parašu (AES), integruotu į jos SIRH, su GDPR suderintu DPA pasirašytu tvarkytojumi ir dokumentuota AIPD, įmonė sumažino šią trukmę iki mažiau nei 24 valandų. Nepilnų bylų dažnis sumažėjo 34% (šaltinis: ANDRH sektoriaus etaloniniu 2024). Duomenų Prancūzijoje serveriai buvo pasirinkti kaip sutartinis kriterijus, panaikinant bet kokią EEE ribų duomenų perdavimo riziką. Darbuotojai yra informuoti apie tvarkymą per informacinį banderį, integruotą į parašo trajektoriją, garantuojant atitiktį GDPR 13 straipsniui.

Scenarijus 2: mažmeninės franšizės tinklas diegia QES parašą dienų forfeito konvencijoms

Specializuota platinimo tinklas su šešiasdešimtyje parduotuvių ir šimtu vadovų dienų atlyginimų suvadovų susiduriama su identifikuota darbo abejotinumo rizika juridiniu lygmeniu: kelios dienų forfeito konvencijos galėjo būti patvirtintos tik mažos kokybės popieraus kopijų. Kasacijos teismas sutvirtino savo įrodymo reikalavimus šiame sutarties tipo atžvilgiu, ginčo rizika buvo nustatyta į šimtus tūkstančių eurų.

Tinklas diegė kvalifikuotą parašo sprendimą (QES) visoms naujoms konvencijoms ir pasiūlė vadovams jau darbuojantiems, resurektinti savo egzistuojančias konvencijas. Tapatybės patikra per vaizdo identifikavimą buvo pasirinkta. Duomenų tvarkos registras buvo atnaujintas ir išorinis DPO patvirtino GDPR atitiktį parašo trajektorijai. Už šešis mėnesius visa dienų forfeito konvencijų parkas buvo saugus. Pravedimo savakaina (apie 15-25 eurų už QES parašą pagal tiekėjų rinkos kainas) buvo nustatyta žymiai žemesnė nei padengta ginčo rizika.

Scenarijus 3: savivaldybės dematerializuoja šališkus susitarimus ir nuotolinio darbo chartijas

Savivaldybė su maždaug 1200 nuolatinių darbuotojų norėjo dematerializuoti nuotolinio darbo šališkų sutarčių valdymą po 2021 nacionalinio nuotolinio darbo suspensacijos. Atliekamo tūrio buvo apie 400 dokumentų per metus, su specifiniais apribojimais: darbuotojai yra viešojo sektoriaus asmenys, kurių duomenys yra itin reguliuojami tvarkytojoje.

Savivaldybė pasirinkti išplėstintus parašus (AES), su suverenia serverių šeima pas tvarkytojų, kuris yra ANSSI patvirtintas SecNumCloud. AIPD buvo pateikta savivaldybės DPO patvirtinimui prieš diegimą. Darbuotojams buvo informacija per tarnybos pranešimą, paskelbta intranetje ir informacinis banderis skaitmeninėje trajektorioje. RH tarnyba nustatė 3 ETP dienų per mėnesį šališkų sutarčių administraciniam valdymui, tai yra maždaug 35,000 eurų metinį taupymą tiesioginiuose išlaidos, suderinta su foršetomis, publikuotomis savivaldybių skaitmeninės transformacijos Observatorijoje (2025).

Išvada

GDPR atitiktis elektroniniam HR dokumentų parašui nėra pasirinkimas: jis lemiamas tiek jūsų aktų teisinės vertės tiek ir jūsų darbuotojų teisių apsaugos. 2026 metais, įmonės, kurios dar neatnaujino savo tvarko registrą, nepasirašė DPA su savo tvarkytojumi ir neprilaida parašo lygiu pagal kiekvieno dokumento tipo, susiduria su dviguba rizika — darbo abejotinumu ir administracine — kurio finansinės pasekmės gali būti reikšmingos.

Gera žinia: teisingai pasirinktas ir sukonfigūruotas sprendimas leidžia suderinti operacinę sklandumą, eIDAS atitiktį ir GDPR pagarbą be trinties RH komandomis ar darbuotojų.

Certyneo jus seka šiame kelyje: eIDAS atitinkama platforma, DPA prieinama, Europos serveriai ir parašo trajektorija, galvoji HR. arba keliomis spustelėjimomis.