Elektronický podpis v HR a GDPR: Kompletný návod 2026

Digitalizácia ľudských zdrojov sa od roku 2020 výrazne urýchlila: pracovné zmluvy, zmeny zmluv, výplatné pásky, informatické charty, dohody o diaľkovej práci — takmer všetky tieto dokumenty sa teraz prenášajú v digitálnej podobe. Avšak dematerializácia neznamená oslobodenie sa od právnych povinností. Práve naopak: elektronický podpis HR dokumentov GDPR predstavuje tému s dvojitým regulačným vstupom, pretože spája rámec eIDAS o hodnote podpisu a európsku normu na ochranu osobných údajov. Ak ju neovládate správne, táto dvojitá povinnosť vystavuje podnik právnym rizikám a sankciám CNIL. Tento návod vám predstavuje základné pravidlá, osvedčené postupy a kritické body, ktoré musíte bezpodmienečne poznať v roku 2026.

Prečo sa GDPR uplatňuje na elektronický podpis v HR?

Elektronický podpis nevyhnutne spracováva osobné údaje

Podpísanie pracovnej zmluvy online zahŕňa zbieranie, prenos a ukladanie osobných údajov v zmysle článku 4 GDPR č. 2016/679: meno, priezvisko, pracovná e-mailová adresa, niekedy číslo mobilného telefónu, čas podpisu a IP adresa podpisu. V kontexte HR sú tieto údaje obzvlášť citlivé, pretože priamo identifikujú zamestnanca a súvisia s jeho zmluvným vzťahom s zamestnávateľom.

Poskytovateľ dôveryhodných služieb (PSC), ktorý poskytuje riešenie podpisu, je kvalifikovaný ako spracovateľ v zmysle článku 28 GDPR. Zamestnávateľ zostáva správcom dát. Toto rozdelenie je zásadné: pred CNIL je zodpovedný podnik, nie poskytovateľ softvéru.

Právne základy použiteľné v kontexte HR

Pre každú kategóriu dematerializovaných HR dokumentov musí zamestnávateľ identifikovať najvhodnejší právny základ spracovávania:

• Vykonanie zmluvy (čl. 6.1.b GDPR): podpísanie pracovnej zmluvy, zmena platu, dohoda o fixnom počte dní. Toto je najrobustnejší právny základ pre zmluvné dokumenty.

• Právna povinnosť (čl. 6.1.c GDPR): dematerializovaná výmena výplatnej pásky (povolená od zákona Macron z roku 2015 za podmienok), personálne registre.

• Oprávnený záujem (čl. 6.1.f GDPR): informatické charty, pracovné poriadky, dokumenty vnútornej politiky — podľa testu proporcionalitu.

Základ súhlas (čl. 6.1.a) sa v kontexte HR odporúča vyhýbať: CNIL a EDPB (Európsky výbor na ochranu údajov) sa domnievajú, že vzťah podriadenosti medzi zamestnávateľom a zamestnancom robí súhlas zriedka slobodným. Zamestnanec, ktorý odmietne elektronicky podpísať, by sa mohol obávať pracovných dôsledkov.

Konkrétne povinnosti správcu údajov HR

Aktualizujte register spracovateľských činností (RAT)

Článok 30 GDPR zaväzuje všetky organizácie s viac ako 250 zamestnancami (a MŠP spracúvajúce citlivé údaje vo veľkom rozsahu) viesť register spracovateľských činností. Zavedenie nástroja elektronického podpisu pre dokumenty HR musí obsahovať:

• Účel spracovávania (napr.: dematerializácia a archivovanie zmluvných HR dokumentov)

• Kategórie spracovávaných údajov (identita, kontaktné údaje, autentifikačné údaje)

• Dobu uchovávania (zákonná doba uchovávania pracovnej zmluvy: 5 rokov po skončení zmluvy podľa pracovného zákonníka, čl. L. 1234-20)

• Kontaktné údaje spracovateľa (platforma podpisu)

• Zavedené bezpečnostné opatrenia

Podpíšte DPA (Data Processing Agreement) so poskytovateľom

V súlade s článkom 28 GDPR musí byť každé použitie spracovateľa na spracovanie osobných údajov formalizované zmluvou o spracovaní údajov (DPA). Táto zmluva musí špecifikovať:

• Predmet a trvanie spracovávania

• Povahu a účel spracovávania

• Typ osobných údajov a kategórie dotknutých osôb

• Povinnosti a práva správcu údajov

• Umiestnenie údajov (uloženie v EÚ sa odporúča, aby sa zabránilo prenosom mimo EHP)

• Technické a organizačné bezpečnostné opatrenia

Seriózny poskytovateľ elektronického podpisu systematicky ponúka kompatibilný DPA. Jeho absenciu predstavuje bezprostredne sankcionovateľný nesúlad.

Informujte zamestnancov pred prvým podpísaním

Článok 13 GDPR zaväzuje predchádzajúcu informáciu osôb, ktorých údaje sú zbierané. Pred zavedením elektronického podpisu pre HR dokumenty musí zamestnávateľ informovať zamestnancov:

• O identite správcu údajov

• O účele a právnom základe

• O dobe uchovávania údajov

• O svojich právach (prístup, oprava, vymazanie v rámci zákonných povinností na uchovávania, prenositeľnosť)

• O kontaktoch na DPO (Delegát na ochranu údajov), ak je určený

Túto informáciu je možné integrovať do samotného procesu podpisu (informačný pás pred podpísaním), do aktualizovaného pracovného poriadku alebo prostredníctvom správu dostane distribuovanej pri zavedení.

Požadovaná úroveň podpisu pre HR dokumenty: SES, AES alebo QES?

Hierarchia úrovní eIDAS

Nariadenie eIDAS č. 910/2014 definuje tri úrovne elektronického podpisu, z ktorých každá ponúka rastúcu právnu hodnotu:

• SES (Simple Electronic Signature / Jednoduchý elektronický podpis): slabá právna hodnota, vhodný pre dokumenty s nízkym rizikom (potvrdenia prijatia, interné formuláre)

• AES (Advanced Electronic Signature / Pokročilý elektronický podpis): jednoznačne spojený so signatárom, vytvorený z údajov pod jeho výhradnou kontrolou. Vhodný pre väčšinu bežných HR dokumentov.

• QES (Qualified Electronic Signature / Kvalifikovaný elektronický podpis): najvyššia úroveň, ekvivalentný podľu článku 25.2 eIDAS s písomným podpisom. Vyžaduje si zosilnenú overenie identity (osobne alebo cez video-identifikáciu).

Ktorá úroveň pre ktoré HR dokumenty?

Odporúčaná klasifikácia v roku 2026, zohľadňujúca pozície francúzskej judikatúry a sektorové odporúčania:

| HR dokument | Odporúčaná úroveň | Zdôvodnenie | |---|---|---| | Pracovná zmluva na dobu určitú/neurčitú | AES minimálne, QES odporúčané | Silná zmluvná hodnota, riziko súdneho sporu | | Zmena zmluvy | AES minimálne, QES odporúčané | Rovnaká logika ako hlavná zmluva | | Skúšobná doba (obnova) | AES | Krátka doba, obmedzený formalizmus | | Informatická charta / BYOD | SES alebo AES | Kolektívna zmluva alebo pracovný poriadok | | Dohoda o fixnom počte dní | QES dôrazne odporúčané | Náročná judikatúra, vysoké riziko | | Dohodnuté ukončenie | QES povinné | Homologovaný formulár Cerfa, vysoké riziko | | Potvrdenie o vypočte všetkých nárokov | AES alebo QES | Oslobodzujúca hodnota, čl. L. 1234-20 pracovného zákonníka |

Pre dokumenty s vysokým obsahom sporov (dohoda o fixnom počte dní, dohodnuté ukončenie) sa QES fakticky ukladá, aby sa garantovala opozičnosť pred prud'homskými súdmi. Kasačný súd postupne sprisnil požiadavky na dôkaz súhlasu zamestnanca.

Uchovávania, archivovanie a práva osôb: Pascí na vyhnutie sa

Zákonné lehoty na uchovávania HR dokumentov podpísaných elektronicky

Uchovávania HR dokumentov podpísaných elektronicky sa riadi nevyhnutnými zákonnými lehotami. Tieto lehoty majú prednosť pred právom na vymazanie GDPR (čl. 17.3.b):

• Pracovná zmluva: 5 rokov po skončení zmluvy (zákonná lehota na žalobu, čl. L. 1471-1 pracovného zákonníka)

• Výplatné pásky: 5 rokov (zákonná lehota na mzdu), ale odporúčané uchovávania až do výmeny dôchodkových práv zamestnanca

• Dokumenty týkajúce sa pracovných úrazov: 30 rokov (dlhodobé riziko sporov)

• Odborné vzdelávanie (plány, osvedčenia): 3 roky

• Personálne registre: 5 rokov po dátume odchodu zamestnanca z výrobného zariadenia

Elektróniské archivovanie s právnou hodnotou musí spĺňať požiadavky normy NF Z 42-013 a ideálne normu ETSI EN 319 162 (dlhodobé archivovanie elektronických podpisov). Jednoduché uloženie na serveri nestačí: musí sa zaručiť integritu, čitateľnosť a kvalifikovaná časová pečiatka dokumentov po celú dobu uchovávania.

Spravovanie práv zamestnancov bez ohrozenia právnej hodnoty

Zamestnanec môže právom požadovať prístup (čl. 15 GDPR) na získanie kópie údajov podpisu, ktoré sa ho týkajú. Môže tiež požadovať opravu nepresných údajov.

Naopak, právo na vymazanie (čl. 17 GDPR) sa nemôže uplatniť na HR dokumenty podliehajúce zákonným povinnostiam na uchovávania. Zamestnávateľ musí byť schopný jasne vysvetliť tento odmietnutí, citujúc platný právny základ. Dokumentovanie týchto výmen v registri žiadostí o práva je osvedčená prax odporúčaná CNIL.

Prenositeľnosť (čl. 20 GDPR) sa uplatňuje na údaje poskytnuté zamestnancom na základe súhlasu alebo vykonania zmluvy. Konkrétne, zamestnanec môže požadovať svoje údaje podpisu v štruktúrovanom formáte — povinnosť, ktorú treba brať do úvahy pri výbere riešenia podpisu.

Technická a organizačná bezpečnosť: Nevyhnutné opatrenia

Technické požiadavky platformy podpisu

V súlade s článkom 32 GDPR musia bezpečnostné opatrenia byť vhodné voči riziku. Pre riešenie elektronického podpisu HR to sa konkrétne prejavuje najmä cez:

• Šifrovanie údajov pri prenose (TLS 1.3 minimálne) a v pokoji (AES-256)

• Viacfaktorová autentifikácia (MFA) na prístup k platforme

• Deníky auditov (logy) s časovými pečiatkami a nemeniteľné, sledujúce každú akciu na dokumente

• Uloženie v EÚ (alebo EHP) na vyhnutie sa prenosom mimo EHP bez adekvátnych záruk (rozhodnutie o adekvátnosti alebo štandardné zmluvné klauzuly)

• Testy penetrácie ročne a certifikácia ISO 27001 poskytovateľa

• Plán kontinuity zaručujúci dostupnosť služby a obnovenie archívov v prípade incidentu

Analýza vplyvu (AIPD): Kedy je povinná?

Článok 35 GDPR zaväzuje Analýzu vplyvu na ochranu údajov (AIPD) ak spracovávania hrozí vysoké riziko. CNIL publikovala zoznam typov spracovávania, ktoré si vyžadujú AIPD: spracovávania vo veľkom rozsahu údajov týkajúcich sa pracovného života je tu uvedené.

Prakticky sa AIPD odporúča (dokonca povinná pre veľké podniky) pri zavedení riešenia elektronického podpisu HR dotkujúce všetkých spolupracovníkov. Musí identifikovať rizika (strata dôvernosti, falšovanie identity, zmena dokumentov), vyhodniť ich vážnosť a pravdepodobnosť a navrhnúť zmierňujúce opatrenia. Táto analýza musí byť dokumentovaná a revidovaná pri zmene spracovávania.

Aplikable právny rámec na elektronický podpis HR a GDPR

Základné európske texty

Nariadenie eIDAS č. 910/2014 (a jeho revízia eIDAS 2.0 v procese nasadenia): tento text definuje tri úrovne elektronického podpisu (SES, AES, QES) a ich právnu hodnotu vo všetkých členských štátoch. Článok 25 stanovuje, že QES má právnu účinnosť rovnocennú písomného podpisu. Článok 26 vymenovuje technické požiadavky na pokročilý podpis. Kvalifikovaní poskytovatelia dôveryhodných služieb sú zapísaní v národných zoznamoch dôvery (vo Francúzsku zoznam spravuje ANSSI).

GDPR č. 2016/679: aplikovateľný od 25. mája 2018, toto nariadenie upravuje všetko spracovávania osobných údajov v EÚ. Články 5 (princípy), 6 (právne základy), 13-14 (informácia), 28 (spracovateľ), 30 (register), 32 (bezpečnosť), 35 (AIPD) a 37-39 (DPO) sú priamo relevantní pre elektronický podpis HR.

Aplikable francúzske právo

Občiansky zákonník, články 1366-1367: článok 1366 stanovuje zásadu funkčnej equivalentnosti medzi elektronickým písmom a papierovým písmom. Článok 1367 uznáva elektronický podpis ako spôsob dôkazu, za podmienky, že pozostáva z spoľahlivého postupu identifikácie zaručujúceho spojenie s aktom, na ktorý sa vzťahuje. Spoľahlivosť je domnienka pre QES, ale môže byť preukázaná pre AES.

Pracovný zákonník: článok L. 1221-1 nenakladá žiadnu konkrétnu formu na pracovnú zmluvu (okrem výnimiek: CDD čl. L. 1242-12, učňovská zmluva, atď.). Zákon Macron z roku 2015 (zákon č. 2015-990) otvoril cestu k elektronickej výplatnej páske. Článok L. 3243-2 upravuje jej modalitami.

Zákon o informatike a slobodách upravený (zákon č. 78-17 z 6. januára 1978): transpoziciu francúzske právo GDPR, dodáva CNIL jej skúmajúce a sankčné právomoci. Pokuty môžu dosiahnuť 20 miliónov eur alebo 4 % ročného celosvetového obratu za najzávažnejšie porušenia.

Technické normy reference

• ETSI EN 319 132: formát pokročilého elektronického podpisu XAdES, aplikovateľný na XML dokumenty

• ETSI EN 319 122: formát CAdES pre elektronické podpisy CMS dokumentov

• ETSI EN 319 162: dlhodobé archivovanie elektronických podpisov (ASiC)

• NF Z 42-013 (AFNOR): funkčné špecifikácie systému elektronického archívovania s právnou hodnotou

• ISO/IEC 27001: management bezpečnosti informácií, referenčný rámec certifikácie očakávaný od poskytovateľov

Právne riziká v prípade nesúladu

Akumulácia rizík je významná: pracovná zmluva podpísaná s nedostatočnou úrovňou podpisu môže byť spochybňovaná pred Radou pracovných arbitrov, vystavujúc zamestnávateľa rekvalifeácii alebo neplatnosti. V časti GDPR, absenciu DPA so poskytovateľom, vynechanie informácie zamestnancov alebo uložení mimo EÚ bez adekvátnych záruk môže viesť k výstraze CNIL, dokonca k administratívnemu postihu.

Scenáre použitia: Elektronický podpis HR v súlade s GDPR

Scenár 1: Priemyselný stredný podnik s 600 zamestnancami digitalizuje svoje pracovné zmluvy

Priemyselný podnik so strednou veľkosťou rozdelený na štyri miesta vo Francúzsku spracovával každý rok približne 180 prijatí CDI/CDD, čo vytváalo okolo 180 papierových dossierov, ktoré sa museli vytlačiť, podpísať v dvoch exemplároch, naskenérovať a archivovať. Čas medzi príslubom na zamestnanie a podpísaním pracovnej zmluvy v priemere dosahoval 8 pracovných dní.

Po nasadení pokročilého riešenia elektronického podpisu (AES) integrovaného do jeho SIRH, s DPA v súlade s GDPR podpísaným so poskytovateľom a zdokumentovanou AIPD, podnik skrátil túto lehotu na menej ako 24 hodín. Percento neúplných dossierov pokleslo o 34 % (zdroje: priemyselné benchmarky ANDRH 2024). Uložení údajov vo Francúzsku bolo zvolené ako zmluvné kritérium, čím sa úplne eliminovalo riziko presunu mimo EHP. Zamestnanci sú informovaní o spracovaní cez informačný nápis integrovaný do procesu podpisu, čím sa zaručuje súlad s článkom 13 GDPR.

Scenár 2: Maloobchodná franšíza nasadzuje podpis QES pre dohody o fixnom počte dní

Sieť distribučnej spoločnosti s približne šesťdesiatimi predajnami a stovkou vedúcich na dohodnutý počet dní čelila identifikovanému riziku súdneho sporu: viaceré dohody o fixnom počte dní mohli byť preukázané len pomocou kópií papierov zlej kvality. Kasačný súd sprísnený svoje požiadavky na dôkaz na tomto type zmluvy, riziko sporov bolo odhadnuté na niekoľko stotisíc eur.

Sieť nasadila riešenie kvalifikovaného podpisu (QES) pre všetky nové dohody a ponúkla existujúcim vedúcim, aby znovu podpísali ich existujúce dohody. Overenie identity prostredníctvom video-identifikácie bolo zvolené. Register spracovateľských činností bol aktualizovaný a externý DPO overil zhodu GDPR procesu. Počas 6 mesiacov bol celý park dohôd o fixnom počte dní zabezpečený. Náklady na iniciatívu (približne 15 až 25 € za podpis QES podľa poskytovateľov na trhu) boli považovaní za oveľa nižšie ako riziko pokrytého sporu.

Scenár 3: Územná samospráva dematerializuje zmeny a informatické charty diaľkovej práce

Územná samospráva s približne 1 200 stálymi zamestnancami chcela dematerializovať správu zmien diaľkovej práce po rámcovej dohode z roku 2021 o diaľkovej práci vo verejnej správe. Objem na spracovanie bol približne 400 dokumentov ročne, so špecifickými obmedzeniami: zamestnanci sú osoby zastúpené verejnom práve, ktorých údaje podliehajú obzvlášť kontrolovanému spracovaniu.

Samospráva zvolila pokročilé podpisy (AES), s nezávislým uložením u poskytovateľa s certifikáciou SecNumCloud od ANSSI. AIPD bola predložená DPO samosprávy pred nasadením. Zamestnanci boli informovaní prostredníctvom správy dostane zverejnenej na intranete a informačného nápisu v digitálnom procese. Služba HR odhadla úsporu 3 ETP-dní mesačne na administratívnu správu zmien, to есть ročnú úsporu rovnajúcu sa približne 35 000 € v priamych nákladoch, v súlade s rozpätiami publikovanými Pozorovateľňou digitálnej transformácie samosprávach (2025).

Záver

Zhoda GDPR v elektronickom podpisu pre HR dokumenty nie je možnosť: podmieňuje hodnotu právneho aktu a ochranu práv zamestnancov. V roku 2026 podniky, ktoré ešte neaktualizovali svoj register spracovávania, nepodpísali DPA s poskytovateľom a neprispôsobili úroveň podpisu každému druhu dokumentu, sú vystavené dvojitému riziku — pracovného a administratívneho — ktorého finančné dôsledky môžu byť významné.

Dobrá správa: dobre zvolené a konfigurované riešenie umožňuje zladiť operačnú plynulosť, zhodu eIDAS a dodržiavanie GDPR bez trenia pre HR tímy alebo zamestnancov.

Certyneo vás sprevádza v tejto iniciative: platforma v súlade s eIDAS, dostupný DPA, európske uloženie a proces podpisu navrhnutý pre HR. Objavte naše riešenie určené pre ľudské zdroje alebo vypočítajte ROI vášho prechodu na úplnú digitalizáciu v niekoľkých klikoch.