Overenie autenticity podpísaného dokumentu: DUER

Dokument jedinečného hodnotenia rizík (DUER) je kľúčovým prvkom súladu v oblasti bezpečnosti a ochrany zdravia pri práci vo Francúzsku. Zavedený dekrétom č. 2001-1016 z 5. novembra 2001 je povinný pre každý podnik s aspoň jedným zamestnancam. Jeho právna hodnota v prípade kontroly Inšpekcie práce, nehody alebo sporu však do veľkej miery závisí od jeho sledovateľnosti a autenticity podpisov, ktoré ho schvaľujú. Ako si zabezpečiť, aby digitálne podpísaný DUER nebol zmenený po podpísaní? Aké nástroje a metódy umožňujú overiť túto autenticity? Tento článok vás vedie krok za krokom, od technických základov k dobrej organizačnej praxi.

Prečo je autenticity podpisu DUER kritická

Právne a regulačné záväzky

DUER nie je obyčajný administratívny dokument. V prípade pracovnej úrazu, pracovného ochorenia alebo pracovného sporu ho môžu predložiť ako dôkaz zamestnávateľovej prevenčnej politiky. Zákonník práce (články L.4121-1 a nasledujúce) ukladá zamestnávateľovi povinnosť bezpečnosti s výsledkom, a DUER je formálnym záznamom jeho hodnotenia.

Neoveriteľný alebo zmenený elektronický podpis môže viesť k:

• Neplatnosti dokumentu ako dôkazu na súde;
• Administratívnym sankciám môžu dosiahnuť 3 750 € pokuty na zamestnanca bez krytia;
• Vzneseniu trestnej zodpovednosti vedúceho podniku v prípade závažnej úrazu.

Od zákona č. 2021-1018 z 2. augusta 2021 (Zákon o zdraví pri práci) musí byť DUER aktualizovaný pravidelnejšie v podnikoch s 11 a viacerými zamestnancami, a jeho uchovávanie sa predĺžilo na 40 rokov. Táto dlhá doba posilňuje nevyhnutnosť robustného a overiteľného elektronického podpisu v čase.

Rozdiel medzi skeneným podpisom a kvalifikovaným elektronickým podpisom

Mnohí zodpovední pracovníci HR alebo HSE si myslia, že pripojenie naskenovaného ručného podpisu na PDF stačí. To nie je prípad. Podpis obrázok (skeny) nezaručuje integritu dokumentu: súbor môže byť neskôr zmenený bez zanechania stopoveľnej stopy.

Elektronický podpis v súlade s nariadením eIDAS eIDAS na druhej strane spočíva na kryptografickom mechanizme, ktorý nezvratne spája identitu podpisujúceho s obsahom dokumentu v konkrétnom čase. Akákoľvek neskôršia zmena, aj minimálna — pridaný priestor, zmenené číslo — zneplatní podpis a spustí výstrahu pri overovaní.

Glosár elektronického podpisu rozlišuje tri úrovne uznávané eIDAS: jednoduchý elektronický podpis (SES), pokročilý (SEA) a kvalifikovaný (SEQ). Pre dokument tak citlivý ako DUER sa odporúča minimálne pokročilá úroveň, pričom kvalifikovaná úroveň je vhodnejšia pre podniky podliehajúce častým kontrolám.

Konkrétne metódy na overenie autenticity podpísaného DUER

Overenie prostredníctvom natívneho čítača PDF

Najprístupnejšia metóda spočíva v otvorení dokumentu v Adobe Acrobat Reader (bezplatná verzia) alebo kompatibilnom čítači PDF. Keď je prítomný kompatibilný elektronický podpis, automaticky sa zobrazí panel podpisu. Uvedie:

1. Identitu podpisujúceho: meno, priezvisko, organizáciu a použitý certifikát;
2. Dátum a čas podpisu, označené kryptografickým časovým razítkom;
3. Stav integrity: "Podpis je platný" alebo "Dokument bol zmenený po podpísaní";
4. Reťazec dôvery certifikátu: overený uznaným certifikačným úradom.

Toto overenie je bezprostredné a nevyžaduje žiadny predplatný. Je však limitované: ak certifikát vydávajúceho úradu nie je v zozname dôvery softvéru (ako je zoznam EUTL — European Union Trusted Lists), podpis sa môže zdať "neoverený" aj keď je technicky platný.

Overenie prostredníctvom online validačných služieb

Európska komisia sprístupňuje službu DSS Demo Tools (prístupnú na ec.europa.eu), ktorá umožňuje nahrať podpísaný dokument a získať validačnú správu v súlade s normou ETSI EN 319 102. Táto služba:

• Overuje súlad s formátmi XAdES, CAdES, PAdES a JAdES;
• Kontroluje platnosť certifikátu v čase podpisu prostredníctvom protokolov OCSP alebo CRL;
• Generuje správu JSON alebo PDF podrobne popisujúcu každý krok validácie.

Existujú aj súkromné služby ponúkané poskytovateľmi kvalifikovaných služieb dôvery (QTSP) uvedenými na zoznamoch dôvery. Vo Francúzsku ANSSI zverejňuje zoznam akreditovaných QTSP. Obratenie sa na jednu z týchto služieb na validáciu spáraného DUER v spore poskytuje výrazne vyššiu dôkaznu silu.

Overenie prostredníctvom pôvodnej platformy podpisu

Ak bol DUER podpísaný prostredníctvom riešenia SaaS ako Certyneo, overenie je ešte priamejšie. Každý podpísaný dokument generuje certifikát podpisu (nazývaný aj audit trail alebo správa o podpise), ktorá archivuje:

• IP adresu a identifikátor relácie podpisujúceho;
• kryptografický hash SHA-256 pôvodného dokumentu;
• kvalifikovaný časový kód RFC 3161;
• dôkazy identity použité (email, SMS OTP, alebo dokonca silné overenie eIDAS).

Táto správa je sama podpísaná elektronicky poskytovateľom, čím sa stáva nespochybniteľnou a priamo použiteľnou ako dôkaz v justícii. Riešenie elektronického podpisu pre podniky Certyneo integráciou tento mechanizmus natívne pre všetky dokumenty, vrátane DUER.

Dobré praktiky na zabezpečenie podpisu a uchovávanie DUER

Výber správnej úrovne podpisu podľa profilu rizika

Výber úrovne podpisu by nemal byť ponechané náhode. Pre DUER tu je odporúčaný záver:

| Kontext | Odporúčaná úroveň | Odôvodnenie | |---|---|---| | MSP < 10 zamestnancov, nízkorizikový sektor | Pokročilý podpis (SEA) | Rovnováha nákladov/dôkaznej hodnoty | | PME, priemyselný alebo stavebný sektor | Pokročilý podpis s certifikátom QSCD | Vysoká úroveň súladu eIDAS | | Veľký podnik, zdravotnícky alebo chemický sektor | Kvalifikovaný podpis (SEQ) | Hodnota ekvivalentná ručnému podpisu |

Pre podniky v zdravotníckom sektore elektronický podpis v zdravotníctve spĺňa ďalšie regulačné záväzky (HDS, RGPD zdravotnícke), ktoré systematicky odôvodňujú recenziu na kvalifikovaný podpis.

Časové značky a dlhodobá archivizácia

Keďže zákon o zdraví pri práci vyžaduje uchovávanie DUER po dobu 40 rokov, otázka životnosti podpisov sa prakticky počíta. Certifikát podpisu má obmedzenú dobu platnosti (zvyčajne 1 až 3 roky). Po uplynutí tejto lehoty môže byť reťazec dôvery prerušený.

Riešením je archivačná služba s dôkaznou hodnotou (elektronická archivačná služba alebo SAE) spolu s dlhodobým časovým kódom podľa normy ETSI EN 319 122. Tento mechanizmus, ktorý sa niekedy nazýva LTV (Long Term Validation), pravidelne prehoví dokument, pričom do neho pridá ďalšie dôkazy integrity, čím sa zaručí jeho overiteľnosť počas celej zákonnej doby.

Nezamieňajte archivizáciu a skladovanie: jednoduchý súborový server alebo cloudový disk nezakonštituuje archivizáciu s dôkaznou hodnotou. Len systém zaručujúci integritu, čitateľnosť a sledovateľnosť prístupu spĺňa právne požiadavky.

Proces overenia počas aktualizácií

DUER musí byť aktualizovaný minimálne raz ročne a pri každej značnej zmene pracovných podmienok. Každá nová verzia musí byť rozlíšená od predchádzajúcej a podliehať novému podpisu. Prísny proces zahŕňa:

1. Explicitné verzionácie: číslo verzie, dátum účinnosti, zoznam vykonaných zmien;
2. Podpis novej verzie zodpovedným pracovníkom HSE a podľa prípadu reprezentantom personálu (CSE);
3. Uchovávanie všetkých starších verzií v SAE, dostupné len na čítanie;
4. Systematické overenie integrity aktuálnej verzie pred akýmkoľvek zdieľaním s Inšpekciou práce alebo služby zdravia pri práci.

Automatizácia týchto krokov prostredníctvom platformy ako Certyneo výrazne znižuje riziko ľudskej chyby a zaručuje nepretržitú zhodu s predpismi. Na meranie návratnosti investície takého riešenia kalkulátor ROI elektronického podpisu umožňuje odhadnúť zisky podľa veľkosti vašej organizácie.

Právny rámec vzťahujúci sa na podpis a overenie DUER

Základné texty v pracovnom práve

Povinnosť vypracovať Dokument jedinečného hodnotenia rizík pri práci (DUER) vyplýva z články L.4121-1 Zákonníka práce, ktorý ukladá zamestnávateľovi transkripcií a aktualizáciu výsledkov hodnotenia rizík. Dekrét č. 2001-1016 z 5. novembra 2001 ustanovil túto formálnu povinnosť. Zákon č. 2021-1018 z 2. augusta 2021 na posilnenie prevencie v zdraví pri práci rozšíril povinnosti uchovávanie na 40 rokov a zaviedol požiadavky elektronického uloženia u služieb zdravia pri práci pre podniky s najmenej 150 zamestnancami.

Právna hodnota elektronického podpisu

Článok 1366 Občianskeho zákonníka stanoveného princíp: "Elektronický zápis má rovnakú dôkaznu silu ako zápis na papierovom nosiči, pokiaľ je možné riadne identifikovať osobu, od ktorej pochádza, a je vypracovaný a uchovávané v podmienkach, ktoré zaručujú jeho integritu." Článok 1367 objasňuje, že elektronický podpis "pozostáva z použitia spoľahlivého postupu identifikácie zaručujúceho jeho vzťah k činnosti, s ktorou sa viazuje".

Nariadenie eIDAS č. 910/2014 Európskeho parlamentu a Rady stanovuje európsky rámec dôvery pre elektronické transakcie. Definuje tri úrovne podpisov (jednoduchá, pokročilá, kvalifikovaná) a stanovuje ekvivalenciu medzi kvalifikovaným elektronickým podpisom a ručným podpisom v článku 25 ods. 2. Pokročilý podpis bez toho, aby mal prospech z tejto legálnej domnienky, zostáva prijateľný ako spôsob dôkazu podľa princípu nediskriminácie z článku 25 ods. 1.

Referenčné technické normy

Formáty elektronického podpisu uznávané pre dokumenty PDF sú definované normami ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) a ETSI EN 319 142 (PAdES). Pre dlhodobú validáciu norma ETSI EN 319 102 definuje postupy algoritmu validácie v súlade s eIDAS.

Kvalifikovaný elektronický časový kód je regulovaný článkom 41 Nariadenia eIDAS a normou RFC 3161 IETF, zaručujúcou isté dátum protiľahlý tretím stranám.

Ochrana osobných údajov

DUER obsahuje osobné údaje (totožnosti zamestnancov, informácie o ich zdraví a bezpečnosti). Jej spracovanie podlieha Nariadeniu RGPD č. 2016/679. Elektronický podpis sám zahŕňa spracovanie identifikačných údajov podpisujúcich. Zamestnávateľ ako zodpovedný za spracovanie musí zabezpečiť, aby poskytovateľ podpisu bol spracovateľom RGPD-kompatibilným s DPA (Zmluva o spracovaní údajov) v súlade s článkom 28 RGPD.

Riziká pri nedodržaní súladu

Absencia DUER alebo DUER, ktorého podpis nie je protiľahlý, vystavuje zamestnávateľa pokute 3 750 € (5. trieda protichodnosti) za každý zistený podozrení. V prípade závažnej pracovnej úrazu, neprotiľahlosť DUER môže viesť k uznaniu vážnej chyby zamestnávateľa, čo spôsobí zvýšenie odškodného vyplateného obeťou a spätného vymáhania CPAM.

Konkrétne scenáre použitia

Priemyselný poskytovateľ čelí kontrole Inšpekcie práce

MSP priemyslu s 85 zamestnancami, operujúci vo výrobe kovových dielcov, je predmetom neohlasenej návštevy Inšpekcie práce v dôsledku úrazu stroja. Inšpektorka si požiada prehliadku DUER v platnosti v čase úrazu. Zodpovedný pracovník HSE predkladá súbor PDF podpísaný elektronicky prostredníctvom platformy podpisu podniku.

Vďaka audit certifikátu pripojenému k dokumentu môže inšpektorka overiť v reálnom čase: dátum a čas podpisu (predchádzajúci úrazu), totožnosť podpisujúceho (oprávnený riaditeľ výroby), integritu dokumentu (hash SHA-256 neporušený) a zhodu úrovne podpisu (pokročilá s kvalifikovaným certifikátom). Podnik je v stave preukázať, že riziko bolo identifikované a že boli plánovane opatrenia. Tento spis vyhýba sa kvalifikácii hrubej chyby. Podľa údajov z ročnej správy CNAM o škodovosti, podniky disponujúce robustným trailom dokumentácie znižujú vystavenie akciám spätného vymáhania CNAM o 30 až 45 %.

Poradenská kancelária HR spravujúca DUER viacerých klientov

Poradenská kancelária ľudských zdrojov s 18 spolupracovníkmi sprievodca približne štyridsiatich MSP a MKE klientov pri spracovaní a ročnej aktualizácii ich DUER. Doteraz boli dokumenty odoslané e-mailom v PDF bez podpisu, potom ručne podpísané a vrátené skenované.

Po migrácií na riešenie elektronického podpisu SaaS je každý DUER podpísaný online vedúcim klienta za menej ako 3 minúty. Kancelária má centrálny dashboard umožňujúci overiť kedykoľvek stav každého dokumentu: podpísaný, označený časovým kódom, archivovaný. V prípade otázky klienta na platnosť staršej verzie, overenie autenticity trvá menej ako 30 sekúnd. Čas venovaný pripomienkam a správe papierových dokumentov sa znížil aproximáciou o 60 % podľa porovnateľných sektorových benchmarkov publikovaných asociáciami poradcov HR.

Zoskupenie zdravotníckych zariadení spravujúce viaceročné DUER

Zoskupenie nemocníc súkromný s približne 600 lôžkami, zoskupujúci niekoľko zdravotníckych zariadení a EHPAD, musí spravovať špecifické DUER pre každú zo svojich stránok, vrátane chemických, biologických a psychosociálnych rizík. Dlhá doba uchovávajúca 40 rokov a množstvo podpisujúcich (riaditelia stránok, lekári práce, reprezentanti CSE) úkol špecifickej zložitosti.

Zoskupenie nasadí riešenie kvalifikovaného elektronického podpisu s archivizáciou s dôkaznou hodnotou a dlhodobým časovým kódom. Každá verzia DUER je zapečatená kryptograficky a pravidelne prehovorená každé 3 roky na udržanie reťazca dôvery. V prípade auditu ARS alebo sporu, každá historická verzia môže byť extrahovať s jej úplnou validačnou správou. Táto organizácia umožnila znížiť približne o 70 % čas na prípravu súborov počas vonkajších inšpekcií, v porovnaní so starým hybridným systémom papier-numerických archívov.

Záver

Overenie autenticity podpísaného dokumentu pre Dokument jedinečného hodnotenia rizík nie je voliteľná formalita: je to právna a organizačná nevyhnutnosť. Medzi povinnosťami vyplývajúcimi z Zákonníka práce, dobou uchovávajúcou 40 rokov naradenou od 2021 a záväzkami zodpovednosti v prípade úrazu, len robustný elektronický podpis — spolu s spoľahlivými overovacími nástrojmi — zaručuje plnú dôkaznu hodnotu vášho DUER.

Či už prejdete čítačom PDF, európskej validačnou službou alebo priamo prostredníctvom vašej platformy podpisu, podstatnú je integrácia tejto overenia v dokumentovanom a opakovateľnom procese.

Certyneo vám umožňuje podpísať, overiť a archivovať vaše DUER v plnej zhode s eIDAS, s úplným audit trailom a integrovanou archivizáciou s dôkaznou hodnotou. Vytvorte si bezplatný účet na Certyneo a zabezpečte dnes autenticity právnej hodnoty vašich dokumentov prevencie.