Podpis elektronické RH a RGPD: Kompletný sprievodca 2026

Digitalizácia ľudských zdrojov sa výrazne zrýchlila od roku 2020: pracovné zmluvy, dodatkové zmluvy, výplatné pásky, IT charty, dohody o práci z domu — prakticky všetky tieto dokumenty prebiehajú dnes v digitálnej forme. Nematerializácia však neznamená oslobodenie sa od právnych povinností. Práve naopak: podpis elektronického dokumentu RH RGPD predstavuje záležitosť s dvojitým regulačným vstupom, pretože spája rámec eIDAS o právomoci podpisu a európsku nariadenie o ochrane osobných údajov. Ak sa s tým nepochodí správne, vystavuje to podnik právnym rizikám a pokuty CNIL. Tento sprievodca vám predstavuje základné pravidlá, správne postupy a kľúčové body, ktoré musíte v roku 2026 absolútne poznať.

Prečo sa RGPD vzťahuje na elektronický podpis RH?

Elektronický podpis nevyhnutne spracováva osobné údaje

Podpísanie pracovnej zmluvy online znamená zbierať, prenášať a ukladať osobné údaje v zmysle článku 4 nariadenia RGPD č. 2016/679: meno, priezvisko, pracovnú e-mailovú adresu, niekedy číslo mobilného telefónu, časový údaj a IP adresu podpisu. V kontexte HR sú tieto údaje obzvlášť citlivé, pretože priamo identifikujú zamestnanca a súvisia s jeho zmluvným vzťahom s zamestnávateľom.

Poskytovateľ dôveryhodných služieb (PSC), ktorý poskytuje riešenie na podpis, je kvalifikovaný ako spracovateľ v zmysle článku 28 RGPD. Zamestnávateľ zostáva správcom. Toto rozlíšenie je základné: je to podnik, ktorý odpovedá pred CNIL v prípade porušenia, nie poskytovateľ softvéru.

Právne základy mobilizovateľné v kontexte RH

Pre každú kategóriu demateririzovaných HR dokumentov musí zamestnávateľ identifikovať najvhodnejší právny základ na spracovanie:

• Vykonanie zmluvy (čl. 6.1.b RGPD): podpísanie pracovnej zmluvy, addendum platu, zmluva o forfaite dní. Je to najsolidnejší právny základ pre zmluvné dokumenty.

• Právna povinnosť (čl. 6.1.c RGPD): demateririzovaná výplata výplatnej pásky (povolená od zákona Macron z roku 2015 s podmienkami), personálne registry.

• Oprávnený záujem (čl. 6.1.f RGPD): IT charty, vnútorné predpisy, dokumenty vnútornej politiky — s podmienkou absolvovať test váženia.

Základňa súhlasu (čl. 6.1.a) sa v kontexte RH odporúča vyhýbať: CNIL a EDPB (Európsky výbor pre ochranu údajov) považujú vzťah podriadenosti medzi zamestnávateľom a zamestncom za problém, ktorý zriedka umožňuje voľný súhlas. Zamestnanec, ktorý odmietne podpísať elektronicky, by sa mohol obávať negatívnych dôsledkov na pracovnom trhu.

Konkrétne povinnosti správcu spracovania RH

Aktualizácia registra činností spracovania (RAT)

Článok 30 RGPD zavádza povinnosť pre každú organizáciu zamestnávajúcu viac ako 250 zamestnancov (a pre malé a stredné podniky spracúvajúce citlivé údaje v rozsiahlom rozsahu) viesť register činností spracovania. Zavedenie nástroja na elektronický podpis pre dokumenty RH musí tam byť uvedené s:

• Cieľ spracovania (napr.: demateririzácia a archivácia zmluvných HR dokumentov)

• Kategórie spracúvaných údajov (identita, kontaktné údaje, údaje o autentifikácii)

• Doba uchovávania (zákonná doba uchovávania pracovnej zmluvy: 5 rokov po ukončení zmluvy podľa Pracovného zákonníka, čl. L. 1234-20)

• Kontaktné údaje spracovateľa (platforma na podpis)

• Zavedené bezpečnostné opatrenia

Podpísanie DPA (dohody o spracovaní údajov) s poskytovateľom

Podľa článku 28 RGPD musí byť každé použitie spracovateľa na spracovanie osobných údajov formalizované dohodou o spracovaní údajov (DPA). Táto zmluva musí špecifikovať:

• Predmet a trvanie spracovania

• Povahu a účel spracovania

• Typ osobných údajov a kategórie dotknutých osôb

• Povinnosti a práva správcu

• Umiestnenie údajov (umiestnenie v EÚ sa odporúča, aby sa zabránilo transferom mimo EHP)

• Technické a organizačné bezpečnostné opatrenia

Seriózny poskytovateľ elektronického podpisu systematicky ponúka DPA v súlade s RGPD. Jeho chýbanie predstavuje bezprostrednú, sankcionovateľnú nesúlad.

Informovanie zamestnancov pred prvou signatúrou

Článok 13 RGPD zavádza povinnosť informovať osoby, ktorých údaje sú zbierané. Pred nasadením elektronického podpisu pre dokumenty RH musí zamestnávateľ informovať zamestnancov:

• O identite správcu spracovania

• O cieli a právnom základe

• O dobe uchovávania údajov

• O ich právach (prístup, oprava, vymazanie v rámci limitov zákonných povinností uchovávania, prenositeľnosť)

• O kontaktoch DPO (Delegáta na ochranu údajov), ak je určený

Táto informácia môže byť integrovaná do samotného procesu podpisu (informačný pás pred podpisom), do aktualizovaného vnútorného poriadku alebo cez správu vydanú pri nasadení.

Požadovaná úroveň podpisu pre HR dokumenty: SES, AES alebo QES?

Hierarchia úrovní eIDAS

Nariadenie eIDAS č. 910/2014 definuje tri úrovne elektronického podpisu, z ktorých každá poskytuje rastúcu právomoc:

• SES (Jednoduchý elektronický podpis / Simple Electronic Signature): slabá právomoc, vhodná pre dokumenty s nízkym stavom (potvrdenia o prijatí, interné formuláre)

• AES (Pokročilý elektronický podpis / Advanced Electronic Signature): spojený jedinečne so signatárom, vytvorený z údajov pod jeho výlučnou kontrolou. Vhodný pre väčšinu bežných HR dokumentov.

• QES (Kvalifikovaný elektronický podpis / Qualified Electronic Signature): najvyššia úroveň, rovnajúca sa vlastnoručnému podpisu podľa čl. 25.2 eIDAS. Vyžaduje si posilnenú verifikáciu identity (osobne alebo videozáznam).

Ktorá úroveň pre ktoré dokumenty RH?

Odporúčané mapovanie v roku 2026, berúc do úvahy pozície francúzskej judikatúry a odporúčania špecializované na sektor:

| HR dokument | Odporúčaná úroveň | Odôvodnenie | |---|---|---| | Pracovná zmluva CDI/CDD | AES minimum, QES odporúčané | Silná zmluvná hodnota, riziko pracovného sporu | | Addendum zmluvy | AES minimum, QES odporúčané | Rovnaká logika ako hlavná zmluva | | Skúšobná doba (obnovenie) | AES | Krátka lehota, limitovaný formalismus | | Charta práce z domu / BYOD | SES alebo AES | Kolektívna dohoda alebo vnútorný poriadok | | Zmluva o forfaite dní | QES silne odporúčané | Náročná špecializovaná judikatúra | | Dohodnuté rozviazanie zmluvy | QES povinné | Homologovaný formulár Cerfa, vysoký stake | | Potvrdenie o celkovom vypočítaní | AES alebo QES | Vyrovnávacia hodnota, čl. L. 1234-20 PT |

Pre dokumenty s vysokým rizikom spornosti (forfaitová zmluva, dohodnuté rozviazanie) je QES fakticky nevyhnutná, aby sa zaistila priekonateľnosť pred pracovnými súdmi. Kasačný súd postupne sprísnuel svoje požiadavky na dôkaz dohody zamestnanca.

Uchovávaní, archivácia a práva osôb: Pascá, ktoré treba vyvarovať

Zákonné doby uchovávania podpísaných HR dokumentov

Uchovávanie podpísaných HR dokumentov podlieha imperativním zákonným dobám. Tieto doby majú prioritu pred právom na vymazanie v RGPD (čl. 17.3.b):

• Pracovná zmluva: 5 rokov po ukončení zmluvy (pracovnoprávu preskripcia, čl. L. 1471-1 Pracovný zákonník)

• Výplatné pásky: 5 rokov (prescripcia miezd), ale uchovávaní odporúčané až do likvidácie dôchodkových práv zamestnanca

• Dokumenty týkajúce sa pracovných úrazov: 30 rokov (dlhodobé riziko sporu)

• Odborné vzdelávanie (plány, certifikáty): 3 roky

• Personálne registry: 5 rokov po dátume, keď zamestnanec opustil zariadení

Elektronické archivácia s dôkaznou hodnotou musí spĺňať požiadavky štandardu NF Z 42-013 a ideálne štandard ETSI EN 319 162 (dlhodobá archivácia elektronických podpisov). Jednoduchý úkryt na serveri nestačí: je potrebné zaručiť integritu, čitateľnosť a kvalifikovaný čas dokumentov počas celej doby uchovávania.

Správa práv zamestnancov bez ohrozenia právomoci

Zamestnanec môže oprávnene vykonávať právo na prístup (čl. 15 RGPD), aby získal kópiu podpisových údajov ho týkajúcich sa. Môže tiež požiadať o opravu nepresných údajov.

Právo na vymazání (čl. 17 RGPD) sa však nemôže vykonávať na HR dokumentoch podliehajúcich zákonným povinnostiam uchovávania. Zamestnávateľ musí byť schopný jasne vysvetliť toto odmietnutie, s odvolaním sa na príslušný právny základ. Dokumentovanie týchto výmen v registri žiadostí o práva je dobrá prax odporúčaná CNIL.

Prenositeľnosť (čl. 20 RGPD) sa vzťahuje na údaje poskytnuté zamestncom na základe súhlasu alebo vykonaní zmluvy. V praxi môže zamestnanec požiadať svoje podpisové údaje v štruktúrovanom formáte — povinnosť, ktorú treba predpokladať pri výbere riešení na podpis.

Technická a organizačná bezpečnosť: nepostrádateľné opatrenia

Technické požiadavky platformy na podpis

V súlade s článkom 32 RGPD musia bezpečnostné opatrenia byť vhodné pre riziko. Pre riešení elektronického podpisu RH sa to konkrétne prejavuje ako:

• Šifrovanie údajov počas prenosu (TLS 1.3 minimum) a v pokoji (AES-256)

• Viacfaktorová autentifikácia (MFA) pre prístup na platformu

• Auditné protokoly (logy) s časovými údajmi a nefalsifikovateľné, sledovajúce každú akciu na dokumente

• Umiestnenie v EÚ (alebo EHP), aby sa zabránilo transferom mimo EHP bez primeraných záruky (rozhodnutí o primeranosti alebo štandardných zmluvných klauzúl)

• Ročné testy penetrácie a certifikácia ISO 27001 poskytovateľa

• Plán kontinuity zaručujúci dostupnosť služby a obnovu archívov v prípade incidentu

Analýza vplyvu (AIPD): Kedy je povinná?

Článok 35 RGPD zavádza povinnosť vykonať analýzu vplyvu na ochranu údajov (AIPD) v prípade, že spracovanie môže vytvoriť vysoké riziko. CNIL publikovala zoznam typov spracovaní vyžadujúcich AIPD: spracovanie v rozsiahlom rozsahu údajov súvisiacich s pracovným životom je tam uvedené.

V praxi sa AIPD odporúča (alebo dokonca vyžaduje pre veľké podniky) pri nasadzovaní riešení elektronického podpisu RH dotkýbajúceho sa všetkých spolupracovníkov. Musí identifikovať riziká (strata dôvernosti, podvod identity, zmena dokumentov), vyhodnotiť ich vážnosť a pravdepodobnosť a navrhnúť zmierňujúce opatrenia. Táto analýza musí byť dokumentovaná a revidovaná v prípade zmeny spracovania.

Právny rámec vzťahujúci sa na elektronický podpis RH a RGPD

Základné európske dokumenty

Nariadenie eIDAS č. 910/2014 (a jeho revízia eIDAS 2.0 v procese nasadenia): tento text definuje tri úrovne elektronického podpisu (SES, AES, QES) a ich právnu hodnotu vo všetkých členských štátoch. Článok 25 hovorí, že QES má právny účinok rovnajúci sa vlastnoručnému podpisu. Článok 26 vymenovuje technické požiadavky na pokročilý podpis. Kvalifikovaní poskytovatelia dôveryhodných služieb sú zaradení na zoznamoch dôvery vrátane štátov (vo Francúzsku je zoznam spravovaný ANSSI).

RGPD č. 2016/679: uplatniteľný od 25. mája 2018, toto nariadení reguluje každé spracovanie osobných údajov v rámci EÚ. Články 5 (princípy), 6 (právne základy), 13-14 (informácie), 28 (spracovateľi), 30 (register), 32 (bezpečnosť), 35 (AIPD) a 37-39 (DPO) sú priamo relevantné pre elektronický podpis RH.

Francúzske právo

Občiansky zákonník, články 1366-1367: Článok 1366 stanovuje princíp funkčnej ekvivalencie medzi elektronickým a papierovým písmom. Článok 1367 uznáva elektronický podpis ako spôsob dôkazu za predpokladu, že sa skladá z spoľahlivého postupu identifikácie zaručujúceho vzťah k zmluve, s ktorou je spojený. Spoľahlivosť sa predpokladá pre QES, ale môže byť preukázaná aj pre AES.

Pracovný zákonník: Článok L. 1221-1 nenakladá zvláštnu formu na pracovnú zmluvu (s výnimkami: CDD čl. L. 1242-12, učňovská zmluva atď.). Zákon Macron z roku 2015 (zákon č. 2015-990) otvára cestu k elektronickej výplatnej páske. Článok L. 3243-2 upravuje jej spôsoby.

Zákon o informatike a slobodách upravený (zákon č. 78-17 z 6. januára 1978): transpozícia RGPD vo francúzskom práve, dáva CNIL jej právomoci na vyšetrovanie a sankcie. Pokuty môžu dosiahnuť 20 miliónov eur alebo 4% ročného celosvetového obratu za najzávažnejšie porušenie.

Technické referenčné normy

• ETSI EN 319 132: formát pokročilého elektronického podpisu XAdES, vzťahuje sa na XML dokumenty

• ETSI EN 319 122: formát CAdES pre elektronické podpisy CMS dokumentov

• ETSI EN 319 162: dlhodobá archivácia elektronických podpisov (ASiC)

• NF Z 42-013 (AFNOR): funkčné špecifikácie systému elektronickej archivácii s dôkaznou hodnotou

• ISO/IEC 27001: riadení bezpečnosti informácií, referenčný štandard certifikácie očakávaný od poskytovateľov

Právne riziká pri nesúlade

Kumulácia rizík je značná: pracovná zmluva podpísaná s nedostatočnou úrovňou podpisu môže byť spochybnená pred pracovným súdom, čo vystavuje zamestnávateľa na prehodnotení alebo neplatnosti. Na strane RGPD môže chýbajúca DPA s poskytovateľom, opomenutie informovať zamestnancov alebo umiestnení mimo EÚ bez primeraných záruk viesť na výstrahu CNIL alebo dokonca na administratívnu sankciu.

Scenáre použitia: Elektronický podpis RH v súlade s RGPD

Scenár 1: Stredný priemyselný podnik so 600 zamestnancami digitalizuje svoje pracovné zmluvy

Priemyselný podnik strednej veľkosti rozložený na štyroch lokalitách v Francúzsku spracúval ročne približne 180 zamestnancov CDI/CDD, čo generovalo rovnaký počet papierových zložiek, ktoré sa tlačili, podpisovali v dvoch exemplároch, digitalizovali a archiváčili. Lehota medzi prisľúbením zamestnania a podpísaním zmluvy dosahovala v priemere 8 pracovných dní.

Po nasadení pokročilého riešenia elektronického podpisu (AES) integrovaného do svojho SIRH, s DPA v súlade s RGPD podpísaným s poskytovateľom a dokumentovanou AIPD, podnik znížil túto lehotu na menej ako 24 hodín. Počet neúplných zložiek klesol o 34% (zdroj: benchmarky sektoru ANDRH 2024). Umiestnení údajov v Francúzsku bolo zvolené ako zmluvný kritérium, eliminujúc akékoľvek riziko transferu mimo EHP. Zamestnanci sú informovaní o spracovaní cez informačný text integrovaný do procesu podpisu, zaručujúc súlad s článkom 13 RGPD.

Scenár 2: Maloobchodná sieť nasadzuje QES podpis na zmluvy o forfaite dní

Sieť distribúcie špecializovaná na približne šesťdesiat predajní a sto vedúcich pracovníkov na forfaite dní čelila identifikovanému pracovnému riziku z právneho pohľadu: niekoľko zmluv o forfaite dní bolo možné dokazovať len ako kópie papierov zlej kvality. Vzhľadom na to, že kasačný súd sprísnul svoje požiadavky na dôkaz tohto typu zmluvy, bolo riziko sporu odhadované na niekoľko stotisíc eur.

Sieť nasadila kvalifikované riešení podpisu (QES) pre všetky nové zmluvy a navrhla vedúcim pracovníkom v pozícii, aby znovu podpísali svoje existujúce zmluvy. Overenie identity videozáznamom bolo zvolené. Register činností spracovania bol aktualizovaný a externý DPO overil RGPD súlad procesu. Do 6 mesiacov bol celý park zmlúv o forfaite dní zabezpečený. Náklady na postup (približne 15 až 25 € na QES podpis podľa trhových poskytovateľov) boli považovaní za výrazne nižšie ako riziko sporu pokryté.

Scenár 3: Obecná správa demateririzuje addenda a IT charty práce z domu

Obecná správa s približne 1 200 stálymi agentmi chcela demateririzovať správu svojich addend na prácu z domu po národnom rámcovom dohode z roku 2021 na prácu z domu vo verejnej správe. Objem na spracovanie bol približne 400 dokumentov ročne, s špecifickými obmedzeniami: agenti sú verejné osoby, ktorých údaje sú predmetom zvlášť kontrolovaného spracovania.

Správa si zvolila pokročilé podpisy (AES), s suverenným umiestnením u kvalifikovaného poskytovateľa SecNumCloud spoločnosťou ANSSI. AIPD bola predložená DPO správy pred nasadením. Agenti boli informovaní prostredníctvom správy zverejnenej na intranete a informačný text v digitálnom procese. Služba HR odhadla úsporu 3 ETP-dní mesačne na administratívnej správe addend, čo sa rovná ročnej úspore približne 35 000 € na priamych nákladoch, v súlade s rozpätiami zverejnenými Pozorovateľňou digitálnej transformácie samospráv (2025).

Záver

RGPD súlad elektronického podpisu pre HR dokumenty nie je možnosť: podmiňuje ako právnu hodnotu vašich aktov, tak aj ochranu práv vašich zamestnancov. V roku 2026 sa podniky, ktoré ešte neaktualizovali svoj register spracovaní, nepodpísali DPA s poskytovateľom a neprispôsobili úroveň podpisu jednotlivým typom dokumentov, vystavujú dvojitému riziku — pracovného sporu a administratívnemu — ktorého finančné dôsledky môžu byť značné.

Dobrá správa: dobre zvolené a správne nakonfigurované riešení umožňuje zladiť operačnú tekutosť, súlad eIDAS a dodržiavanie RGPD bez trenia pre tímy RH ani pre zamestnancov.

Certyneo vás v tejto záležitosti sprevádzame: platforma v súlade s eIDAS, dostupná DPA, európske umiestnení a procesy podpisu premyslené pre RH. Prihláste sa alebo vyskúšajte v pár klikoch.