Elektroniskā paraksta RH un GDPR: pilnīgs vadīmeklis 2026

Cilvekresursu darbibas digitalizacija ir pietiekami paagrinatajusi kopš 2020. gada: darba ligumi, pievienojumi, algas paslaugi, IT hartas, dalbstaves ligumi — praktiski visi sadi dokumenti tagad notiek ciparu formata. Tomber demateriazacija nenozime atkavities no tiesiskiem pasavinumiem. Gludzs pretteji: elektroniskais paraksts RH dokumentiem GDPR ir svarigs jautajums ar dubultu tiesiskas ietvargravas, jo tas apvieno eIDAS ietvargravu par paraksta pierademvenu un Eiropos regulejumu par personisku datu aizsardzibum. Ja tiek nepareizi parvaldeits, sadi dubults ierobezojums izstata uznemumu jauridiskajam riskiem un CNIL sodibam. Sais vadimeklis iepazistina ar pazeminajiem noteikumiem, labajam praktem un uzmanibajamiem punktiem, kurus absoluuti nepieciesams zimnat 2026. gadā.

Kapec GDPR piemero elektroniskajam parakstam RH?

Elektroniskais paraksts nepieciesami apstrada personiskas datas

Darbliguma izpildsisanu tiessaiste nozime vakt, kuri parraditajat un uzglabajat personiskas datas GDPR 4. panta nozime nr. 2016/679: vardu, uzvardus, profesionalo e-pasta adresi, retumā mobilo telefona numuru, laika marku un IP adresi. RH konteksta, sadas datas ir ipaši jutibas, jo tas tieši identifice darbinieku un ir saistiti ar vina darba attiesibam.

Uzticamas pakalpojuma sniedzejs (PSC), kas sniedz elektroniska paraksta risinajumu, ir minets par datu apstrades izraisitaju GDPR 28. panta nozime. Darbadevejs paliek datu apstradejas atbildigais. Sais izskirtne ir fundamentala: uznemums atbild CNIL prieksa darbibas nepieticibas gadijuma, nevis programmaturas sniedzejs.

Pieejamie likumigumi pamati RH konteksta

Katrai RH dokumentu kategorijai demateriazacijas, darbadevejs ir identificets likumigums pamats piemerotas apstradesum:

• Liguma izpildisana (GDPR 6.1.b articles) : darbliguma izpildisana, algas pievienojums, dienas nosummas konvencija. Tas ir spieciakais likumigums pamats darbligumus dokumentiem.

• Likumiga obligacija (GDPR 6.1.c articles) : demateriazeta algas paslaugi izdevisana (pieejama kopš Macron likuma 2015. gadā noteiktajiem nosacijumiem), darbinieku registri.

• Legitima interese (GDPR 6.1.f articles) : IT hartas, interni noteikumi, interni politikas dokumenti — ar nosacijumu, ka tiek novertets balanskraijums tests.

Piekritsana (GDPR 6.1.a) ir jaizvairozā RH konteksta: CNIL un EDPB (Eiropos datu aizsardzibas komiteja) uzskata, ka subordinacijas attiesibas starp darbadevejum un darbinieku padara piekritsanu reti brivi. Darbiniekam, kurš atteicas elektroniskos parakstit, varetu but baileset no professionalam sekam.

Konkretās atbildigā apstradajeja RH obligacijas

Atjaunodiet apstrađes aktivitasu registru (AAR)

GDPR 30. pants nosaka, ka jebkuram organisnam, kuram ir vairak neka 250 darbinieka (un MVM, kas apstrada sensitivas datas liela mastalaa), ir noteikts apstrađes aktivitasu registrs. Elektroniska paraksta rinka implementacija RH dokumentiem ir jaizspoguļo ar sekojem informacijas:

• Apstrađes uzdevums (piemeram: RH darbligumus dokumentu demateriazacija un arhivesana)

• Apstrađes datu kategorijas (identitāte, kontaktinformacija, autentifikacijas dati)

• Glabāsanas trukmme (likumiga glabāsanas trukmme darbligumuam: 5 gadi pēc liguma beigam pec darba likuma, 1234-20. articles)

• Apakšuzneemeuma kontaktinformacija (elektroniska paraksta platforma)

• Ieviestās drošības pasākumi

Parakstiet DPA (Datu apstrādes nolīgums) ar pakalpojumu sniedzēju

Atbilstīgi GDPR 28. pantam, jebkuram apakšuzņēmumam, kas apstrādā personīgās datas, ir jābūt formalizētam datu apstrādes nolīgumam (DPA). Sais nolīgums ir jāprecizē:

• Apstrādes mērķis un ilgums

• Apstrādes raksturs un uzdevums

• Personīgo datu veids un attiecīgo personu kategorijas

• Atbildīgā apstrādājēja obligacijas un tiesības

• Datu atrašanās vieta (datu glabāsana EU ir ieteicams, lai izvairītos pēc EEZ pārsūtīšanas)

• Tehniskās un organizatoriskās drošības pasākumi

Nopietns elektroniska paraksta pakalpojumu sniedzējs sistemātiski piedāvā GDPR atbilstošu DPA. Tā neesamība ir nekavējoties sodāma nepietiekamība.

Informējiet darbiniekus pirms pirmā paraksta

GDPR 13. pants nosaka iepriekšēju informēšanu personām, kuru dati tiek apkopoti. Pirms elektroniska paraksta izvietošanas RH dokumentiem, darbadevējam ir jāinformē darbinieki:

• Par atbildīgā apstrādājēja identitāti

• Par apstrādes mērķi un likumigo pamatu

• Par datu glabāšanas ilgumu

• Par viņu tiesībām (piekļūšana, labošana, dzēšana noteikto likumigo pienākumu robežās, pārnešamība)

• Par Datu aizsardzības pārraudzētāja (DPO) kontaktinformāciju, ja tas ir norīkots

Šo informāciju var integrēt paraksta procesā (informatīvs paziņojums pirms parakstīšanas), atjauninātajā iekšējās kārtības reglamentā vai ar paziņojumu nodaļu, kas izplatīts izvietošanas laikā.

Nepieciešamais paraksta līmenis RH dokumentiem: SES, AES vai QES?

eIDAS līmeņu hierarhija

eIDAS regulējums nr. 910/2014 nosaka trīs elektroniskā paraksta līmeņus, kur katrs nodrošina pieaugošu pierādes vērtību:

• SES (Vienkāršs elektroniskais paraksts) : vāja pierādes vērtība, piemērota zema riska dokumentiem (izpasniegšanas apliecinājumi, interni veidlapas)

• AES (Papildināts elektroniskais paraksts) : unikāli saistīts ar parakstītāju, izveidots no datiem, kas ir tikai parakstītāja kontrolē. Piemērots vairumam RH dokumentu.

• QES (Kvalificēts elektroniskais paraksts) : augstākais līmenis, līdzvērtīgs roku parakstam pec eIDAS 25.2. articles. Prasa pastiprinātu identitātes verifikāciju (tiešs vai video-identifikacija).

Kads limenis kuriem RH dokumentiem?

Ieteiktā kartesana 2026. gadam, ņemot vērā Francijas judikatūras pozīcijas un sektoriālās ieteikumi:

| RH dokuments | Ieteiktais līmenis | Pamatojums | |---|---|---| | CDI/CDD darblīgums | AES minimums, QES ieteicams | Spēcīga līguma vērtība, darbtstarpības risks | | Līguma pievienojums | AES minimums, QES ieteicams | Tāda pati loģika kā galvenais līgums | | Pārbaudīšanas perioda (pārnoveļošana) | AES | Īss termiņš, ierobežota formalitāte | | Dalbstaves paraksts / BYOD | SES vai AES | Kolektīvais nolīgums vai iekšējie noteikumi | | Dienas nosummu konvencija | QES stingri ieteicams | Darba tiesību prakses prasības | | Parastā izbeigšana | QES obligāts | Homologēta Cerfa forma, augsts risks | | Kvīts par galīgo norēķinu | AES vai QES | Atbrīvojošā vērtība, darba likuma 1234-20. articles |

Dokumentiem ar augstu strīda risku (dienas nosummu konvencija, parastā izbeigšana), QES faktiski izliet, lai garantētu spēkā būtību prud'homālā iestādēs. Kasācijas tiesa ir pakāpeniski paostrinājusi prasības par darbinieka piekrišanas pierādi.

Glabāšana, arhivēšana un personu tiesības: izlaidumi, kas jānovēro

RH dokumentu glabāšanas likumigā ilgums

Elektroniskos parakstus ar RH dokumentiem ir jāglabā saskaņā ar obligātiem likumigiem termiņiem. Šie termiņi prioritāti pār GDPR dzēšanas tiesībam (GDPR 17.3.b artikls) :

• Darblīgums : 5 gadi pēc liguma beigām (prud'homālā sūdzību termiņš, darba likuma 1471-1. artikls)

• Algas paslaugi : 5 gadi (algu sūdzību termiņš), bet glabāšana tiek ieteikta līdz ugunsdrošības tiesību likvidācijai

• Darbatraumu dokumenti : 30 gadi (ilgstošā sūdzību risks)

• Profesionālā izglītība : 3 gadi

• Darbinieku registri : 5 gadi pēc tam, kad darbnieks pamet iestādi

Elektroniskā arhivēšana ar pierādes vērtību ir jāatbilst NF Z 42-013 normas prasībām un ideāli ETSI EN 319 162 standartam (elektronisko parakstu ilgtermiņa arhivēšana). Vienkārša saglabāšana serverī nepietiek: jums ir jāgarantē doku mentu integritāte, lasāmība un kvalificēts laika marķējums visā glabāšanas ilgumā.

Darbinieku tiesību parvaldisana bez pieradesvartibas komspromet

Darbnieks var legitimā noteikt tiesības uz piekļūšanu (GDPR 15. artikls) kopiju saņemšanai par paraksta datiem, kas to attiecas. Tas var arī lūgt labot nepareizus datus.

Tomēr dzēšanas tiesības (GDPR 17. artikls) nevar lietot RH dokumentiem, kas pakļauti likumigajām glabāšanas obligācijām. Darbadevējam ir jāspēj skaidri izskaidrot šo atteikumu, nosaucot piemērojamās likumigās normas. Šo apmaiņu dokumentēšana darbinieku tiesību pieprasījumu reģistrā ir labā prakse, ko CNIL iesaka.

Pārnešamība (GDPR 20. artikls) attiecas uz datiem, kurus sniedzis darbnieks, pamatojoties uz piekrišanu vai līguma izpildi. Praktiski runājot, darbnieks var lūgt savus paraksta datus strukturētā formātā — obligācija, kas jāparedz, izvēloties elektroniska paraksta risinājumu.

Tehniskā un organizatoriskā drošība: nepieciešamie pasākumi

Elektroniska paraksta platformas tehniskās prasības

Saskaņā ar GDPR 32. pantu drošības pasākumi ir jāpiemēro riskam atbilstošā līmenī. Elektroniska paraksta RH risinājuma gadījumā tas nozīmē:

• Datu šifrēšana pāraides laikā (TLS 1.3 minimums) un miera stāvoklī (AES-256)

• Daudz-faktoru autentifikācija (MFA) platformas piekļūšanai

• Audita žurnāli (logs), kuriem ir laika marķējums un kurus nevar manipulēt, uzskaita katru darbību ar dokumentu

• Datu glabāšana EU (vai EEA) , lai novērstu pārsūtīšanu ārpus EEA bez pietiekamiem garantijām (atbilstības lēmums vai standarta līguma noteikumi)

• Iekļūšanas testas gadā un ISO 27001 sertifikācija pakalpojumu sniegzējam

• Nepārtrauktas darbības plāns, kas garantē pakalpojuma pieejamību un arhīvu atjaunošanu nelaimes gadījumā

Ietekmes analīze (AIPD) : Kad tā ir obligāta?

GDPR 35. pants nosaka Datu aizsardzības ietekmes analīzi (AIPD) , ja apstrāde var radīt augstus riskus. CNIL ir publicējusi to apstrādes veidu sarakstu, kuri prasa AIPD: liela mēroga apstrāde datus, kas attiecas uz profesionālo dzīvi, ir iekļauta.

Praktiski, AIPD ir ieteicama (vai obligāta lielajam uzņēmumiem) elektroniska paraksta RH risinājuma izvietošanas laikā, kas skar visus darbiniekus. Tam ir jāidentificē riski (konfidencialitātes zaudēšana, identitātes uzņemšana, dokumentu mainīšana), jānovērtē to smagums un iespējamība, un jāpieņem riska mazināšanas pasākumi. Šo analīzi ir jādokumentē un jāpārskatā, ja apstrāde mainās.

Juridiskais pamatojums elektroniskajam parakstam RH un GDPR

Eiropos pamatdokumenti

eIDAS regulējums nr. 910/2014 (un tā pārskatīšana eIDAS 2.0, kas tiek izvietota) : šis teksts nosaka trīs elektroniskā paraksta līmeņus (SES, AES, QES) un viņu juridisko vērtību visās dalībvalstīs. 25. articles ir noteikts, ka QES ir juridisks efekts, kas līdzvērtīgs rokrakstam. 26. articles uzskaitī paaugstinātā paraksta tehniskās prasības. Kvalificēti uzticamā pakalpojuma sniedzēji ir reģistrēti valstu uzticamības sarakstos (Francijā to pārvalda ANSSI).

GDPR nr. 2016/679 : piemērojams kopš 2018. gada 25. maija, šis regulējums regulē jebkādu personīgo datu apstrādi ES ietvaros. 5. articles (principi), 6. (likumigās pamats), 13-14. (informācija), 28. (apakšuzņēmumi), 30. (reģistrs), 32. (drošība), 35. (AIPD) un 37-39. (DPO) ir tieši saistīti ar elektroniskajiem parakstiem RH.

Francijas tiesiski piemērojams

Civilais likums, 1366-1367. articles : 1366. articles izvirza elektroniskā raksta un papīra raksta funkcionālas līdzvērtības principu. 1367. articles atzīst elektronisko parakstu kā pierādes veidu, ja tā sastāv no drošas identifikācijas procedūras, kas garantē saiti ar aktu, kuram tā ir pievienota. Drošība ir uzskatīta par QES, bet var pierādīta AES gadījumā.

Darba likums : 1221-1. artikls nenorāda īpašas formas darblīguma (izņemot izņēmumi: CDD 1242-12. artikls, izejas līgums utt.). Macron likums 2015. gadā (likums nr. 2015-990) atvēra elektroniskā algas paslauša ceļu. 3243-2. articles regulē tā moduļus.

Informatīkā un Brīvības likums (likums nr. 78-17, 1978. gada 6. janvāris) : GDPR francijas transponējums, tas dod CNIL izmeklēšanas un soda pilnvaras. Sodi var sasniegt 20 miljonus eiro vai 4% no gada pasaules apgrozījuma par nozīmīgākajiem pārkāpumiem.

Atsauces tehniskas normas

• ETSI EN 319 132 : paplašinātas elektroniskā paraksta XAdES formāts, piemērojams XML dokumentiem

• ETSI EN 319 122 : CAdES formāts CMS elektroniskajiem parakstiem

• ETSI EN 319 162 : elektronisko parakstu ilgtermiņa arhivēšana (ASiC)

• NF Z 42-013 (AFNOR) : funkciju specifikācijas drošas elektroniskās arhivēšanas sistēmā

• ISO/IEC 27001 : informācijas drošības vadīšana, sertifikācijas atsauces pamatmūrs pakalpojumu sniedzējiem

Juridiskie riski nepietiekamas atbilstības gadījumā

Risku savienojums ir nozīmīgs: darblīgums, ko paraksta ar nepietiekami augstu paraksta līmeni, var apstrīdēt prud'homālā iestādē, kas darbadevējam draud ar pārkvalifikāciju vai spēkā neesību. GDPR aspektā, DPA neesamība ar pakalpojumu sniedzēju, darbinieku informēšanas izlaišana vai datu glabāšana ārpus ES bez pietiekamiem garantijām var novest uz CNIL uzrādīšanu, pat administrātīvu sodu.

Lietošanas scenāriji: elektroniskais paraksts RH GDPR atbilstībā

Scenārijs 1: vidējā industrijas uzņēmuma 600 darbinieku darblīgumu digitalizācija

Vidējā izmēra industrijas uzņēmums, sadalīts pa četrām vietām Francijā, katru gadu apstrādāja apmēram 180 CDI/CDD nolīgumus, radot tik daudz papīra dokumentu, ko drukas, parakstīt dvējādi, skenēt un arhivēt. Vidējā prasīšanas un faktiskās parakstīšanas laikā bija apmēram 8 darba dienas.

Pēc elektroniska paraksta risinājuma (AES) integrēšanas ar SIRH, DPA GDPR atbilstībā ar pakalpojumu sniedzēju un dokumentētas AIPD, uzņēmums ir samazinājis šo termiņu uz mazāk nekā 24 stundas. Nepilnīgo dokumentu procents ir kritās no 34% (avoti: sektora etaloni ANDRH 2024). Datu glabāšana Francijā tika noteikta kā līguma kritērijs, elimininējot jebkuru risku pārsūtīšanai ārpus EEA. Darbnieki tiek informēti par apstrādi caur informācijas naudas brīdinājumu, kas integrēts paraksta ceļā, nodrošinot GDPR 13. panta atbilstību.

Scenārijs 2: naidošanas tīkls izvietošana QES parakstiem dienas nosummu konvencijām

Naidošanas tīkls ar apmēram sešdesmit tirdzniecības vietām un simtu vadības personālu pie dienas nosummas saskaras ar noteiktu prud'homālo risku, ko noteikuši viņu juristi: vairākas dienas nosummu konvencijas bija prov jamas tikai papīra kopiju vidējā kvalitātē. Kasācijas tiesa ir paostrinājusi prasības par pierādi šāda veida konvencijām, tāpēc sūdzību risks tika novērtēts vairākos simtos tūkstošos eiro.

Tīkls ir izvietojis kvalificētu parakstu risinājumu (QES) visām jaunajām konvencijām un piedāvājis esošajiem vadības personālam pārkārtot viņu esošās konvencijas. Video identifikācija tika izvēlēta identitātes verifikācijā. Apstrādes aktivitāžu reģistrs tika atjaunots, un ārējais DPO validēja GDPR atbilstību paraksta procesam. Sešos mēnešos viena diena nosummu konvenciju krājumā tika nodrošināta. Pasākuma izmaksas (aptuveni 15-25 eiro par QES parakstu atkarībā no tirgus sniedzējiem) tika atzītas par daudz zemākām nekā sūdzību risks, ko tā sedz.

Scenārijs 3: pašvaldības demateriazācija pievienojumi un dalbstaves hartas

Aptuveni 1200 pastāvīga personāla pašvaldības iestāde vēlējās demateriazēt telpas vadības pievienojumu pārvaldību pēc 2021. gada valsts dalbstaves ietvargraudu. Apstrādājamais apjoms bija aptuveni 400 dokumentu gadā, ar specifiskiem ierobežojumiem: amatpersonas ir publiskas personas, kuru dati attiecas uz īpaši regulētu apstrādi.

Pašvaldības izvēlējās paplašinātus parakstus (AES), ar suverēnu glabāšanu ANSSI sertificēta SecNumCloud pakalpojumu sniedzēja labā. AIPD tika iesūtīta pašvaldības DPO priekš izplešanas. Amatpersonas tika informētas caur intraneta paziņojumu un informācijas paziņojumu intranetā. RH pakalpojums novērtēja 3 ETP dienu peļņu mēnesī darbinieku pārvaldības jautājumiem, tas ir, apmēram 35000 eiro gada ekonomija tiešajās izmaksās, kas atbilst apvērtajām foršetēm publikas datu transformācijas novērtējamā (2025).

Secinājums

RH elektroniskā paraksta GDPR atbilstība nav opcija: tā nosacīti nodrošina gan viņu juridisko vērtību un darbinieku tiesību aizsardzību. 2026. gadā, uzņēmumiem, kas vēl nav atjauninājuši apstrādes aktivitāšu reģistru, parakstījuši DPA ar pakalpojumu sniedzēju un pielāgojuši paraksta līmeni katram dokumenta veidam, ir dubults risks — prud'homāls un administrācijas — kuru finanšu sekas var būt nozīmīgas.

Labā ziņa: pareizi izvēlēts un konfigurēts risinājums ļauj saskaņot operatīvo fluiditāti, eIDAS atbilstību un GDPR ievērošanu bez berzes RH komandām vai darbiniekiem.

Certyneo jūs pavada šajā ceļojumā: eIDAS atbilstošā platforma, pieejams DPA, eiropejiska glabāšana un paraksta procesam, kas izstrādāts RH jomā. Atklājiet mūsu risinājumu, kas paredzēts cilvekresursiem vai aprēķina ROI pilnīgam ciparu pārejai dažos klikšķos.