Elektroniska parakstīšana HR un GDPR: pilns ceļvedis 2026

Cilvēkresursu digitalizācija ir ievērojami paātrināta kopš 2020. gada: darba līgumi, grozījumi, algas izraksti, IT politikas, teleworka nolīgumi — gandrīz visi šie dokumenti tagad tiek nodoti digitālā formā. Tomēr dearhibivizācija nenozīmē, ka var izsargāties no juridiskajiem pienākumiem. Gluži pretēji: elektroniska parakstīšana HR dokumentiem saskaņā ar GDPR ir divkārši regulēts jautājums, jo tas apvieno eIDAS ietvaru par paraksta pierādīšanas vērtību un Eiropas Savienības regulu par personīgo datu aizsardzību. Ja to nepareizi pārvaldāt, tas uzņēmumam rada juridiskus riskus un CNIL sodus. Šis ceļvedis iepazīstina ar būtiskiem noteikumiem, labākajām praksi un svarīgiem uzmanības punktiem, kas jāzina 2026. gadā.

Kāpēc GDPR attiecas uz elektronisko parakstīšanu HR jomā?

Elektroniska parakstīšana obligāti apstrādā personīgos datus

Līguma noslēgšana tiešsaistē nozīmē, ka tiek apkopoti, nosūtīti un glabāti personīgie dati GDPR Regulas 4. panta nozīmē nr. 2016/679: vārds, uzvārds, profesionālais e-pasta adrese, dažreiz mobilā tālruņa numurs, parakstīšanas laiks un IP adrese. HR kontekstā šie dati ir īpaši jutīgi, jo tie tieši identificē darbinieku un ir saistīti ar viņa darba attiecībām ar darba devēju.

Uzticības pakalpojumu sniedzējs (UPS), kas nodrošina parakstīšanas risinājumu, ir kvalificēts kā datu apstrādātājs saskaņā ar GDPR 28. pantu. Darba devējs paliek datu apstrādes vadītājs. Šī atšķirība ir fundamentāla: uzņēmums ir atbildīgs CNIL priekšā par neparedzētības gadījumu, nevis programmatūras piegādātājs.

Juridiskās bāzes, kuras var mobilizēt HR kontekstā

Katrai demarinālizerīto HR dokumentu kategorijai darba devējam jāidentificē piemērotākā apstrādes juridiskā bāze:

• Līguma izpilde (6. pants 1. b. punkts GDPR): darba līguma noslēgšana, algas izmaiņas, dienas likmes līgums. Tā ir stingra juridiskā bāze darba dokumentiem.

• Juridisks pienākums (6. pants 1. c. punkts GDPR): demarinālizerīts algas izraksta izsniegšana (iespējama kopš Makrona likuma 2015. gadā ar noteikumiem), personāla reģistri.

• Likumīgas intereses (6. pants 1. f. punkts GDPR): IT politikas, iekšējie noteikumi, politikas dokumenti — ar nosacījumu, ka nozīmējums-labuma tests tiek nokārtots.

Piekrišanas bāze (6. pants 1. a) HR kontekstā jāizvairās: CNIL un EDPB (Eiropas Datu aizsardzības padomē) uzskata, ka darba devēja un darbinieka pakļautības attiecības reti padara piekrišanu brīvu. Darbinieks, kurš atsakās parakstīties elektroniskā veidā, varētu baidīties no profesionālām sekām.

Konkrēti datu apstrādes vadītāja HR pienākumi

Atjaunināt apstrādes darbību reģistru (ADR)

GDPR 30. pants nosaka jebkuram organizācijam, kurā ir vairāk nekā 250 darbinieku (un MVU, kas liela mēroga jutīgus datus apstrādā), uzturēt apstrādes darbību reģistru. Elektroniskās parakstīšanas rīka ieviešana HR dokumentiem tam jāparādās ar:

• Apstrādes mērķi (piemēram: HR līgumu demarinālizcija un arhivēšana)

• Apstrādāto datu kategorijas (identitāte, kontakti, autentifikācijas dati)

• Glabāšanas ilgums (darba līguma juridiskā saglabāšanas ilgums: 5 gadi pēc līguma izbeigšanas saskaņā ar Darba kodeksa 1234-20. pantu)

• Apakšuzņēmēja koordinātas (parakstīšanas platforma)

• Īstenotie drošības pasākumi

Parakstīt DPA (Datu apstrādes līgumu) ar pakalpojumu sniedzēju

Saskaņā ar GDPR 28. pantu, jebkurš izsaukums apakšuzņēmējam personīgo datu apstrādei jāformalizē ar datu apstrādes līgumu (DPA). Šajā līgumā jāuznorāda:

• Apstrādes joma un ilgums

• Apstrādes raksturs un mērķis

• Personīgo datu veids un ietekmēto personu kategorijas

• Datu apstrādes vadītāja pienākumi un tiesības

• Datu atrašanās vieta (dati glabāti ES jārekomendē, lai izvairītos no nodošanas ārpus EES)

• Tehniskās un organizatoriskās drošības pasākumi

Nopietns parakstīšanas elektroniskaies pakalpojums sistemātiski piedāvā GDPR atbilstošu DPA. Tā neesamība ir uzreiz sankcionējama neatbilstība.

Informēt darbiniekus pirms pirmā parakstīšanas

GDPR 13. pants nosaka datu apkopošanas gadījumā personu pirmapersonas informēšanu. Pirms elektroniskās parakstīšanas ieviešanas HR dokumentiem darba devējam jāinformē darbinieki:

• Par datu apstrādes vadītāja identitāti

• Par mērķi un juridisko bāzi

• Par datu glabāšanas ilgumu

• Par viņu tiesībām (piekļuve, labošana, dzēšana atbilstoši juridiskās glabāšanas obligācijām, pārnešamība)

• Par datu aizsardzības inspektora (DAI) kontaktinformāciju, ja tas ir iecelts

Šī informācija var būt iekļauta parakstīšanas procesā (informācijas baneris pirms parakstīšanas), atjauninātajos iekšējos noteikumos vai pēc izsūtītas paziņojuma par izmaiņām.

Paraksta līmenis HR dokumentiem: SES, AES vai QES?

eIDAS paraksta līmeņu hierarhija

Regula eIDAS nr. 910/2014 nosaka trīs elektroniskā paraksta līmeņus, katrs piedāvājot pieaugošu pierādījuma vērtību:

• SES (Vienkāršs elektronisks paraksts): zema pierādījuma vērtība, piemērota dokumentiem ar zemiem riski (paziņojuma noņemšana, iekšējie veidlapas)

• AES (Progresīvs elektronisks paraksts): unikāli saistīts ar parakstītāju, izveidots no datiem, kas atrodas tikai viņa kontrolē. Piemērots lielākajai daļai parastu HR dokumentu.

• QES (Kvalificēts elektronisks paraksts): augstākais līmenis, līdzvērtīgs māņrakstam saskaņā ar eIDAS 25.2. pantu. Nepieciešama pastiprināta identifikācijas pārbaude (tiešraide vai video identifikācija).

Kāds līmenis kuriem HR dokumentiem?

Ieteiktā kartografija 2026. gadā, ņemot vērā Francijas judikatūru un sektora ieteikumus:

| HR dokuments | Ieteiktais līmenis | Pamatojums | |---|---|---| | Darba līgums CDI/CDD | AES minimums, QES ieteikts | Spēcīga līguma vērtība, prud'homal risks | | Līguma grozījumi | AES minimums, QES ieteikts | Tāda pati loģika kā pamatā līgums | | Izmēģinājuma perioda atjaunojums | AES | Īss termiņš, ierobežots formalisms | | Telework / BYOD politika | SES vai AES | Kolektīvais nolīgums vai iekšējie noteikumi | | Dienas likmes līgums | QES ļoti ieteikts | Prasīga sociālā judikatūra | | Sarunu rupture | QES obligāts | Homologēts Cerfa veidlapa, augsts risks | | Dokumentums par visu norēķinu | AES vai QES | Norēķinu jauda, Darba kodeksa 1234-20. pants |

Dokumentiem ar augstiem strīdu riskiem (dienas likme, ruptures līgums) QES ir obligāts, lai garantētu spēju prud'homalā tiesās. Kassācijas tiesā ir pakāpeniski paaugstinātas prasības attiecībā uz darbinieka piekrišanas pierādījumiem.

Glabāšana, arhivēšana un personu tiesības: jāizvairās no lamatām

Likumīgie HR parakstīto dokumentu glabāšanas termiņi

Elektroniskā veidā parakstīto HR dokumentu glabāšana atbilst stingri noteiktiem juridiskiem termiņiem. Šie termiņi dominē pār GDPR dzēšanas tiesībām (17. pants 3. b. punkts):

• Darba līgums: 5 gadi pēc līguma izbeigšanas (prud'homalā norīkojuma termiņš, Darba kodeksa 1471-1. pants)

• Algas izraksti: 5 gadi (algu norēķins), bet glabāšana ieteikta līdz pensijai

• Traumas saistīti dokumenti: 30 gadi (ilgstošs strīdu risks)

• Profesionālā apmācība: 3 gadi

• Personāla reģistri: 5 gadi pēc tam, kad darbinieks atstāj iestādi

Elektroniskajā arhivējumā ar pierādījuma vērtību jāatbilst NF Z 42-013 standarta prasībām un ideāli ETSI EN 319 162 standartam (elektroniskā arhivēšana gara termiņā parakstiem). Vienkāršs servera glabāšana nav pietiekams: ir jāgarantē dokumentu integritāte, lasāmība un horodatējums visā glabāšanas ilgumā.

Pārvaldīt darbinieku tiesības bez pierādījuma vērtības kompromitēšanas

Darbinieks var likumīgi izmantot piekļuves tiesības (GDPR 15. pants), lai iegūtu savu paraksta datu kopiju. Viņš var arī lūgt to, ka tiktu laboti neprecīzi dati.

Turpretī dzēšanas tiesības (GDPR 17. pants) nevar piemērot HR dokumentiem, kas pakļauti juridiskās glabāšanas obligācijām. Darba devējam ir jāspēj skaidri izskaidrot šo atteikumu, citējot piemērojamo juridisko bāzi. Šo komunikāciju dokumentēšana tiesību pieprasījumu reģistrā ir CNIL ieteiktā labā prakse.

Pārnešamība (GDPR 20. pants) attiecas uz datiem, kurus darbinieks sniedz, pamatojoties uz piekrišanu vai līguma izpildi. Praktiskā nozīmē darbinieks var lūgt savus paraksta datus strukturētā formātā — obligācija, kuru jāparedz, izvēloties parakstīšanas risinājumu.

Tehniskā un organizatoriskā drošība: neaizstājamie pasākumi

Parakstīšanas platformas tehniskās prasības

Saskaņā ar GDPR 32. pantu drošības pasākumiem jābūt piemērotiem riskam. Elektroniskās parakstīšanas risinājumam HR, tas nozīmē:

• Datu šifrēšana tranzītā (TLS 1.3 minimums) un glabāšanā (AES-256)

• Multifaktoru autentifikācija (MFA) piekļuvei platformai

• Revidēšanas žurnāli (logs) ar horodatējumu un neizmainādiem, izsekojot katru darbību ar dokumentu

• Dati glabāti ES (vai EES) darbībās, lai izvairītos no pārsūtīšanas ārpus EES bez atbilstošiem garantijām (atbilstības lēmums vai standarta līguma klauzulas)

• Ikgadējie penetrācijas testi un ISO 27001 sertifikācija pakalpojuma sniedzējam

• Nepārtrauktības plāns, kas garantē pakalpojuma pieejamību un arhīvu atkopšanu nelaimes gadījumā

Ietekmes analīze (AIPD): kad tā ir obligāta?

GDPR 35. pants nosaka Ietekmes analīzi attiecībā uz datu aizsardzību (AIPD), ja apstrāde ir iespējams izraisīt augstu risku. CNIL ir publicējusi to apstrādes veidu sarakstu, kuriem nepieciešama AIPD: liela mēroga apstrāde ar datiem attiecībā uz profesionālo dzīvi ir minēta.

Praktiski AIPD ir ieteikta (un iespējams obligāta lieliem uzņēmumiem) elektroniskās parakstīšanas risinājuma ieviešanas laikā, kas skar visus darbiniekus. Tai jāidentificē riski (konfidencialitātes zaudēšana, identifikācijas krāpšana, dokumentu maiņa), jānovērtē to smagums un varbūtība, un jāierosina smagi. Šī analīze ir jādokumentē un jāpārskata, ja apstrāde mainās.

HR elektroniskajā parakstīšanai un GDPR piemērojamais juridiskais ietvars

Eiropas Savienības fundamentālie regulējumi

Regula eIDAS nr. 910/2014 (un tās pārrūpēšana eIDAS 2.0 pēc izsūtīšanas): šis regulējums nosaka trīs elektroniskā paraksta līmeņus (SES, AES, QES) un to juridisko vērtību visos dalībvalstīs. 25. pants nosaka, ka QES tiesisks efekts ir līdzvērtīgs māņrakstam. 26. pants uzskaita progresīvā paraksta tehniskās prasības. Kvalificēti uzticības pakalpojuma sniedzēji ir reģistrēti valstu uzticības sarakstus (Francijā saraksts ir vadīts ANSSI).

GDPR nr. 2016/679: spēkā kopš 2018. gada 25. maija, šis regulējums regulē visus ES personīgo datu apstrādes procesus. 5. pants (principi), 6. pants (juridiskās bāzes), 13-14. pants (informācija), 28. pants (apakšuzņēmēji), 30. pants (reģistrs), 32. pants (drošība), 35. pants (AIPD) un 37-39. pants (DAI) ir tieši svarīgi elektroniskajai parakstīšanai HR jomā.

Francijas piemērojamais likums

Civilkodekss, 1366-1367. panti: 1366. pants nosaka funkcionālo ekvivalenci starp elektronisko un papīra dokumentu. 1367. pants atzīst elektronisko parakstu kā pierādīšanas veidu, ar nosacījumu, ka tas ir drošs identifikācijas veids, kas garantē saikni ar dokumentu, pie kura tas piestiprināts. Drošums tiek uzskatīts QES gadījumā, bet var tikt pierādīts AES gadījumā.

Darba kodekss: 1221-1. pants nepieprasa īpašu formu darba līgumam (izņemot izņēmumi: CDD 1242-12. pants, stažiera līgums utt). Makrona likums 2015 (likums nr. 2015-990) atvēra ceļu elektroniskajai algas izraksta. 3243-2. pants regulē modalitātes.

Informātikas un brīvības likums, kas grozīts (likums nr. 78-17 no 1978. gada 6. janvāra): Francijas GDPR transponēšana, tā piešķir CNIL izmeklēšanas un sankciju pilnvaras. Naudas sodi var sasniegt 20 miljonus eiro vai 4% no gada pasaules apgrozījuma visnozīmīgākajiem pārkāpumiem.

Tehniskās atsauces normas

• ETSI EN 319 132: progresīvā elektroniskā paraksta formāts XAdES, piemērojams XML dokumentiem

• ETSI EN 319 122: CAdES formāts CMS dokumentu elektroniskai parakstīšanai

• ETSI EN 319 162: elektroniskā arhivēšana gara termiņa parakstiem (ASiC)

• NF Z 42-013 (AFNOR): funkcionālās specifikācijas pierādīšanas elektroniskajai arhīviešanai

• ISO/IEC 27001: informācijas drošības pārvaldība, pakalpojumu sniedzēja sertifikācijas atsauces ietvars

Juridiskais risks neatbilstības gadījumā

Risku summa ir nozīmīga: darba līgums, kas parakstīts ar nepietiekamā paraksta līmeni, var tikt pārbaudīts Arbītrāžas tiesā, kas darba devējam rada tiesas izpildes vai nullības risku. GDPR līmenī DPA neesamība ar pakalpojuma sniedzēju, darbinieku informēšanas desmisija vai datu glabāšana ārpus ES bez atbilstošiem garantijiem var novest pie CNIL uzraudzības prasības vai pat administratīvā soda.

Lietojuma scenāriji: HR elektroniska parakstīšana, kas atbilst GDPR

1. scenārijs: vidējā rūpniecības uzņēmuma 600 darbinieki digitalizē darba līgumus

Vidējās izmēra rūpniecības uzņēmums, kas sadalīts četros vietās Francijā, ik gadu noslēdza apmēram 180 CDI/CDD darba līgumus, ko ģenerēja tikpat daudz papīr mapes, ko drukāja, parakstīja dubultos eksemplāros, digitalizēja un arhivēja. Vidējais laika period starp darba piedāvājumu un līguma noslēgšanu sasniedza vidēji 8 darba dienas.

Pēc progresīvā elektroniskā paraksta (AES) risinājuma ieviešanas, kas integrēts ar viņa SIRH, ar GDPR atbilstošu DPA parakstītu ar pakalpojuma sniedzēju un dokumentētu AIPD, uzņēmums šo termiņu samazināja uz mazāk par 24 stundām. Nepilnu dossier daļu līmenis samazinājās par 34% (avoti: sektora etalons ANDRH 2024). Datu glabāšana Francijā tika izvēlēta kā līguma kritērijs, novēršot jebkādu risku no pārsūtīšanas ārpus EES. Darbinieki tiek informēti par apstrādi caur informācijas bloku, kas integrēts parakstīšanas procesa, garantējot atbilstību GDPR 13. pantam.

2. scenārijs: mazumtirdzniecības franšīzes tīkls ieviesh QES parakstīšanu dienas likmes konvencijām

Sadalīšanas tīkls, kas specializējies un skaits apmēram sešdesmit tirdzniecības punktu un simts vadības kadru ar dienas likmi, bija saskāries ar identificētu prud'homalā risku ar viesturiem: vairāku dienas likmes konvencijas varēja pierādīt tikai kopijas, izmantojot vidējas kvalitātes papīra kopijas. Kassācijas tiesa paaugstinājusi prasības par pierādījumiem šāda veida konvencijām, strīda risks tika novērtēts vairāku simtu tūkstošu eiro.

Tīkls ieviesa kvalificētu parakstīšanu (QES) visiem jaunajiem konvencijam un piedāvāja kadru, kas darbojas vietā rezināciju viņu esošo konvenciju. Video-identifikācija tika izvēlēta identifikācijas pārbaudei. Apstrādes darbību reģistrs tika atjaunināts, un ārējais DPO validēja parakstīšanas procesa GDPR atbilstību. Sešos mēnešos visa dienas likmes konvenciju infrastruktūra tika nodrošināta. Iniciatīvas izmaksas (aptuveni 15 līdz 25 eiro per QES parakstam saskaņā ar tirgus pakalpojuma sniedzējiem) tika uzskatītas par daudz zemākām par nodrošināto strīdu risku.

3. scenārijs: pašvaldības teritorija dematerializē grozījumus un teleworka politiku

Pašvaldības teritorija ar aptuveni 1200 pastāvīgiem darbiniekiem vēlējās dematerializēt teleworka grozījumu pārvaldību pēc 2021. gada valsts teleworka nolīguma. Apstrādājamais apjoms bija aptuveni 400 dokumentu gadā ar specifiskiem ierobežojumiem: darbinieki ir publiskas personas, kuru dati tiek apstrādāti īpaši regulēti.

Pašvaldība izvēlējās progresīvus parakstus (AES) ar suvereņu glabāšanu pie ANSSI sertificēta SecNumCloud pakalpojuma sniedzēja. AIPD pirms izsūtīšanas tika iesniegts pašvaldības DAI. Darbinieki tika informēti caur paziņojumu, kas publicēts intraneta un informācijas bloku digitālā procesa. HR dienests novērtēja apmēram 3 ETP-dienas ikmēneša peļņu grozījumu administratīvajā pārvaldībā, kas ir aptuveni 35 000 eiro gada ekonomija tiešajās izmaksās, saskaņā ar Digitālās transformācijas Novērojuma izdevumiem (2025).

Secinājums

GDPR atbilstība elektroniskajai parakstīšanai HR dokumentiem nav iespēja: tā nosacīti nosaka gan viņu aktu juridisko vērtību, gan viņu darbinieku tiesību aizsardzību. 2026. gadā uzņēmumi, kas vēl nav atjauninājuši savu apstrādes reģistru, neparakstījuši DPA saviem pakalpojuma sniedzējiem un nepielāgojuši paraksta līmeni katram dokumentu tipam, ir pakļauti dubulta riska — prud'homala un administratīvi — kuru finansiālās sekas var būt nozīmīgas.

Labā ziņa: pareizi izvēlēts un konfigurēts risinājums ļauj saskaņot operacionālo plūdumu, eIDAS atbilstību un GDPR ievērošanu bez berzes HR komandām un darbiniekiem.

Certyneo jūs pavada šajā iniciatīvā: eIDAS atbilstošā platforma, pieejams DPA, Eiropas glabāšana un parakstīšanas procesi, kas izstrādāti HR jomā. Kontaktējiet mus vai sāciet dažos klikšķos.