Elektronski podpis v kadrovskih zadevah in GDPR: popoln vodnik 2026

Digitalizacija virov človeške moči se je od leta 2020 bistveno pospešila: delovne pogodbe, spremembe, plačilni listi, računalniške politike, sporazumi o daljinskem delu — praktično vsi ti dokumenti sedaj prehajajo v digitalni obliki. Vendar pa dematerializacija ne pomeni izogibanja pravnim obveznostim. Nasprotno: elektronski podpis kadrovskega dokumenta GDPR predstavlja temo z dvojno regulativno vstopno točko, saj kombinira okvir eIDAS o dokazni vrednosti podpisa in evropski predpis o zaščiti osebnih podatkov. Če je slabo obvladana, ta dvojna omejitev izpostavlja podjetje pravnim tveganjem in kaznovanja informacijske pooblaščenca. Ta vodnik vam predstavlja bistvena pravila, dobre prakse in točke budnosti, ki jih morate absolutno poznati leta 2026.

Zakaj se GDPR uporablja za elektronski podpis v kadrovskih zadevah?

Elektronski podpis nujno obdeluje osebne podatke

Podpisovanje delovne pogodbe na spletu vključuje zbiranje, pošiljanje in shranjevanje osebnih podatkov v smislu člena 4 Uredbe GDPR št. 2016/679: ime, priimek, poslovni e-poštni naslov, včasih številka mobilnega telefona, časovni žig in naslov IP za podpisovanje. V kadrovskem kontekstu so ti podatki izjemno občutljivi, ker neposredno identificirajo delavca in so povezani z njegovo pogodbo z delodavcem.

Ponudnik storitev zaupanja (PSC), ki zagotavlja rešitev za podpisovanje, je kvalificiran kot obdelovalec podatkov v smislu člena 28 GDPR. Delodavec ostaja nadzornik obdelave. Ta razlikovanje je temeljno: v primeru kršitve je pred informacijskim pooblaščencem odgovorna podjetja, ne proizvajalca programske opreme.

Zakonske podlage, ki se uporabljajo v kadrovskem kontekstu

Za vsako kategorijo dematerializiranih kadrovskih dokumentov mora delodavec identificirati najprimernejšo zakonsko podlago za obdelavo:

• Izpolnjevanje pogodbe (čl. 6.1.b GDPR): podpisovanje delovne pogodbe, sprememba plače, dogovor o delavni normi. To je najbolj robustna zakonska podlaga za pogodljene dokumente.

• Pravna obveznost (čl. 6.1.c GDPR): dematerializirana dostava plačilnega lista (dopuščena od zakona Macron iz leta 2015 pod pogoji), registri zaposlenih.

• Pravni interes (čl. 6.1.f GDPR): računalniške politike, internih predpisov, dokumente notranje politike — pod pogojem, da preide test uravnoteženosti.

Podlaga privolitev (čl. 6.1.a) se v kadrovskem kontekstu izogibamo: informacijski pooblaščenec in odbor za zaščito podatkov (OZPD) menita, da razmerje podrejenosti med delodavcem in delavcem redko prosto dovoljuje privolitev. Delavec, ki se noče elektronsko podpisati, bi se lahko boal posledic za zaposlitev.

Konkretne obveznosti nadzornika obdelave v kadrovskih zadevah

Posodobi registar dejavnosti obdelave (RDO)

Člen 30 GDPR obvezuje vsako organizacijo z več kot 250 zaposlenimi (in male in srednje velike podjetje, ki obdelujejo občutljive podatke v velikem obsegu), da vodijo registar dejavnosti obdelave. Uvajanje orodja za elektronski podpis za kadrovske dokumente se mora v njem pojaviti:

• Namen obdelave (npr.: dematerializacija in arhiviranje pogodljenih kadrovskih dokumentov)

• Kategorije obdelanih podatkov (identiteta, podatki za kontakt, podatki za overitev)

• Trajanje hranenja (zakonska najdaljša doba hrambe pogodbe: 5 let po koncu pogodbe v skladu z Zakonom o delu, čl. L. 1234-20)

• Kontaktni podatki obdelovalca (platforma za podpisovanje)

• Varnostni ukrepi, ki so na mestu

Podpišite dogovor DPA (dogovor o obdelavi podatkov) s ponudnikom

Skladno s členom 28 GDPR mora vsak uporaba obdelovalca za obdelavo osebnih podatkov formalizirati dogovor o obdelavi podatkov (DPA). Ta dogovor mora precizirati:

• Predmet in trajanje obdelave

• Naravo in namen obdelave

• Vrsto osebnih podatkov in kategorije prizadetih oseb

• Obveznosti in pravice nadzornika obdelave

• Lokacijo podatkov (gostovanje v EU je priporočljivo, da se izognete prenosom izven EGP)

• Tehnične in organizacijske varnostne ukrepe

Resne ponudnika elektronskega podpisa sistematično ponujajo DPA skladne z GDPR. Njegova odsutnost predstavlja takojšnjo neskladnost, ki se jo lahko sankcionira.

Obveščajte delavce pred prvo podpisom

Člen 13 GDPR nalaga predhodno obvestilo oseb, katerih podatki se zbirajo. Pred uvedbo elektronskega podpisa za kadrovske dokumente mora delodavec obvestiti delavce:

• O identiteti nadzornika obdelave

• O namenu in zakonski podlagi

• O trajanju hrambe podatkov

• O svojih pravicah (dostop, popravka, brisanja v okviru omejitev zakonske obveze hrambe, prenosljivost)

• O koordinatah delegata za zaščito podatkov (DPD), če je imenovan

To obvestilo je mogoče vključiti v sam proces podpisovanja (informacijski pas pred podpisom), v posodobljeni poslovnik ali preko obvestila zaposlenih, poslane ob uvedbi.

Kakšna raven podpisa je potrebna za kadrovske dokumente: SES, AES ali QES?

Hierarhija ravni eIDAS

Uredba eIDAS št. 910/2014 opredeljuje tri ravni elektronskega podpisa, vsaka nudi naraščajočo dokazno vrednost:

• SES (Preprost elektronski podpis / Simple Electronic Signature): nizka dokazna vrednost, primerna za dokumente nizke vrednosti (potrdila prejema, notranji obrazci)

• AES (Napredni elektronski podpis / Advanced Electronic Signature): povezan na način s podpisovalcem, ustvarjen na podlagi podatkov pod njegovo izključno kontrolo. Primeren za večino pogostih kadrovskih dokumentov.

• QES (Kvalificirani elektronski podpis / Qualified Electronic Signature): najvišja raven, enakovredna rokopisnemu podpisu v skladu z 25. členom eIDAS. Zahteva ojačano preverjeno istovetnost (osebno ali video-identifikacijo).

Katera raven za katere kadrovske dokumente?

Priporočena kartografija leta 2026, ob upoštevanju položajev francoske sodne prakse in sektorskih priporočil:

| Kadrovski dokument | Priporočena raven | Utemeljitev | |---|---|---| | Delovna pogodba CDI/CDD | Najmanj AES, priporočene QES | Močna pogodbena vrednost, tveganje prud'homalnega spora | | Sprememba pogodbe | Najmanj AES, priporočene QES | Enaka logika kot glavna pogodba | | Poskusno obdobje (podaljšanje) | AES | Kratek rok, omejena formalizacija | | Politika daljinskega dela / BYOD | SES ali AES | Kolektivni dogovor ali poslovnik | | Dogovor o delavni normi | QES izrazito priporočljivo | Zahtevna socialna sodna praksa | | Dogovorjena raskid | QES obvezno | Homologizirani obrazec Cerfa, visoko tveganje | | Potrdilo o neplačanem dolganju | AES ali QES | Osvobodilna vrednost, čl. L. 1234-20 CT |

Za dokumente z visokim tveganjem spornosti (dogovor o delavni normi, dogovorjena prekinitvam), je QES de facto obvezna, da zagotovi zaveznost pred prud'homalnimi sodišči. Ustavno sodišče je postopoma zaostril zahteve za dokazovanje soglasja delavca.

Hrambe, arhiviranje in pravice oseb: pasti, ki se jih je treba izogniti

Zakonske roke hrambe elektronsko podpisanih kadrovskih dokumentov

Hramba elektronsko podpisanih kadrovskih dokumentov je predmet zakonskih rokov. Te roke prednjačijo pred pravico do brisanja GDPR (čl. 17.3.b):

• Delovna pogodba: 5 let po koncu pogodbe (prud'homalna zastaranja, čl. L. 1471-1 Zakon o delu)

• Plačilni listi: 5 let (zastaranja plač), vendar je hrambe priporočljiva do podjetja pravic do pokojnine delavca

• Dokumenti, ki se nanašajo na delovne nezgode: 30 let (tveganje dolgega spora)

• Strokovno izobraževanje (načrti, potrdila): 3 leta

• Registri zaposlenih: 5 let po datumu, na katero je delavec zapustil ustanovo

Elektronsko arhiviranje z dokazno vrednostjo mora izpolniti zahteve standarda NF Z 42-013 in idealno standarde ETSI EN 319 162 (dolgoročno arhiviranje elektronskih podpisov). Samo shranjevanje na strežniku ne zadošča: zagotoviti morate celovitost, brljivost in kvalificirani časovni žig dokumentov med celotno dobo hrambe.

Upravljanje s pravicami delavcev brez ogrožanja dokazne vrednosti

Delavec se lahko legitimno izvaja svoje pravice dostopa (čl. 15 GDPR), da dobi kopijo podatkov o podpisu, ki se ga tičejo. Lahko zahteva tudi popravko nepravilnih podatkov.

Nasprotno pa se pravica do brisanja (čl. 17 GDPR) ne more izvajati na kadrovskih dokumentih, podvrženih zakonskim obvezam hrambe. Delodavec mora biti sposoben jasno pojasnije ta odklonka, navedki zakonska podlaga. Dokumentiranje teh izmenjav v registru zahtevkov za pravice je dobra praksa, ki jo priporočajo organi za zaščito podatkov.

Prenosljivost (čl. 20 GDPR) se uporablja za podatke, ki jih podatke na podlagi privolitve ali izpolnjevanja pogodbe. V praksi se delavec lahko prosi za svoje podatke o podpisu v strukturirani obliki — obveznost, ki jo je treba predvideti pri izbiri rešitve za podpisovanje.

Tehnična in organizacijska varnost: nepogrešljivi ukrepi

Tehnične zahteve platforme za podpisovanje

V skladu s členom 32 GDPR morajo biti varnostni ukrepi primerni tveganju. Za rešitev elektronskega podpisa v kadrovskih zadevah se to konkretizira z:

• Šifriranjem podatkov pri prenosu (TLS 1.3 najmanj) in v mirovanju (AES-256)

• Multifaktor avtentifikacija (MFA) za dostop do platforme

• Revizijski žurnali (log) s časovnim žigom in nespremenljivi, sledljivi za vsako dejanje na dokumentu

• Gostovanje v EU (ali EGP), da se izognete prenosom izven EGP brez ustreznih zagotovil (odločba o ustreznosti ali standardni pogodbeni izrazi)

• Letni preskusi vstopa in certifikacija ISO 27001 ponudnika

• Načrt nadaljevanja poslovanja zagotavlja dostopnost storitve in okrevanje arhivov v primeru incidenta

Analiza učinkov (AIPD): kdaj je obvezna?

Člen 35 GDPR nalaga Analizo učinka na zaščito podatkov (AIPD), kadar je obdelava lahko škodljiva za visoka tveganja. Informacijski pooblaščenec je objavil seznam vrst obdelav, ki zahtevajo AIPD: obdelava v velikem obsegu podatkov, ki se nanašajo na poklicno življenje, je omenjena.

V praksi je AIPD priporočljiva (ali celo obvezna za velika podjetja) pri uvedbi rešitve elektronskega podpisa v kadrovskih zadevah, ki se dotika vseh zaposlenih. Ugotoviti mora tveganja (izgubo zaupnosti, prevare identitete, spremembe dokumentov), oceniti njihovo resnost in verjetnost ter predlagati zmanjšujočih ukrepov. Ta analiza mora biti dokumentirana in pregledana, če se obdelava spremeni.

Veljaven pravni okvir za elektronski podpis v kadrovskih zadevah in GDPR

Temeljni evropski predpisi

Uredba eIDAS št. 910/2014 (in njena prenova eIDAS 2.0 v teku uvedbe): ta predpis opredeljuje tri ravni elektronskega podpisa (SES, AES, QES) in njihovo pravno vrednost v vseh državah članicah. Člen 25 načela, da ima QES pravni učinek enako rokopisnemu podpisu. Člen 26 naštete zahteve tehnični podpisa napredoval. Ponudniki kvalificirani storitev zaupanja so vpisani na nacionalne sezname zaupanja (v Franciji seznam upravlja ANSSI).

GDPR št. 2016/679: veljan od 25. maja 2018, ta uredba ureja vsako obdelavo osebnih podatkov znotraj EU. Členov 5 (načela), 6 (zakonske podlage), 13-14 (obvestilo), 28 (obdelovalci), 30 (register), 32 (varnost), 35 (AIPD) in 37-39 (DPD) so neposredno ustrezni za elektronski podpis v kadrovskih zadevah.

Veljaven francuski zakon

Civilni zakonik, členove 1366-1367: člen 1366 postavi načelo funkcionalne enakovrednosti med elektronski in papirnati zapis. Člen 1367 prizna elektronski podpis kot način dokazovanja, pod pogojem, da je v zanesljiv postopek ugotavljanja s hranila zagotavlja povezavo z dejanjem, ki je pripet. Zanesljivost je domnievana za QES, vendar se lahko dokazuje za AES.

Zakon o delu: člen L. 1221-1 ne nalaga posebne oblike za delovno pogodbo (razen izjem: CDD čl. L. 1242-12, nagovor za izobraževanje, itd.). Zakon Macron iz leta 2015 (zakon č. 2015-990) je odprl pot elektronskemu plačilnemu listu. Člen L. 3243-2 ga je v zvezi s pogoji.

Zakon o informatiki in svobodah spremenjen (zakon č. 78-17 z dne 6. januarja 1978): preusmeri GDPR v francuščino, daje informatikalnem pooblaščencu njegove preiskovalne in kaznovalske moči. Kazni lahko dosežejo 20 milijonov evrov ali 4% letnega svetovnega prometa za najbolj resne kršitve.

Standardi tehnične reference

• ETSI EN 319 132: oblika elektronskega naprednega podpisa XAdES za XML dokumente

• ETSI EN 319 122: oblika CAdES za elektronske podpise dokumentov CMS

• ETSI EN 319 162: dolgoročno arhiviranje elektronskih podpisov (ASiC)

• NF Z 42-013 (AFNOR): funkcionalne specifikacije sistema za elektronsko arhiviranje dokazujoče vrednosti

• ISO/IEC 27001: upravljanje varnosti informacij, standardni okvir, pričakovan za certifikacijo ponudnikov

Pravna tveganja v primeru neskladnosti

Nakopičenje tveganj je precejšnje: delovna pogodba, podpisana z nezadostno ravnijo podpisa, se lahko presoja pred Svetom prud'homalne sodne prakse, ki izpostavlja delodavca na prekvalifikacijo ali razveljavljenja. Komplementarno GDPR, odsutnost DPA s ponudnikom, zmanjkanje obveščanja zaposlenih ali gostovanje zunaj EU brez ustreznih zagotovil lahko privedeta do odvzema soglasja informacijskega pooblaščenca, ali celo do javne upravne kazni.

Scenariji uporabe: elektronski podpis v kadrovskih zadevah skladne z GDPR

Scenarij 1: srednje velika industrijska podjetja 600 zaposlenih digitalizira svoje delovne pogodbe

Industrijska podjetja srednje velikosti, razdeljena na štiri lokacije v Franciji, je obdelava približno 180 zaposlitve CDI/CDD letno, kar je vodila do toliko папирних map za tisk, dvojno podpis, skeniranje in arhiviranje. Zamude med obljubo zaposlitve in podpisom pogodbe dosežejo v povprečju 8 delovnih dni.

Po uvedbi napredne rešitve elektronskega podpisa (AES) v celovit sistem za upravljanje človeških virov z DPA skladnim z GDPR in dokumentirano AIPD je podjetje skrajšalo to zamudo na manj kot 24 ur. Stopnja nepopolnih datotek je padla za 34% (vir: sektorski primerjalni testi ANDRH 2024). Gostovanje podatkov v Franciji je bila izbrana kot pogodbeni kriterij, kar je odpravilo tveganje prenosov zunaj EGP. Delavce obveščajo o obdelavi prek informacijskega bannerja, vključenega v proces podpisa, kar zagotavlja skladnost s členom 13 GDPR.

Scenarij 2: franšizna mreža maloprodaje izvaja QES podpise za dogovore o delavni normi

Distribucijska mreža, ki se osredotoči na aproximativ šest imetkov in več sto menedžerjev s договором о delavni normi, je soočila s prepoznanim prud'homalnim tveganjem s strani pravnikov: več dogovorov o delavni normi ni moglo biti dokazano na osnovi papirnatih kopij slabše kakovosti. Vrhovno sodišče je zaostril zahteve za dokazovanje za to vrsto dogovora, tveganje spora je bilo ocenjeno na nekaj sto tisočakov evrov.

Mreža je uvedla rešitev kvalificirano podpisanih (QES) za vse nove dogovore in nudi menedžerjem na delu ponovno podpisati obstoječe dogovore. Preverjanje istovetnosti prek video-identifikacije je bila izbrana. Registar dejavnosti obdelave je bil posodobljen in zunanji delegat za zaščito podatkov je potrdil skladnost GDPR v procesu podpisa. V 6 mesecih je celotnа baza dogovorov o delavnih normah zagotovljena. Stroški pristopa (približno 15 do 25 € na QES podpis odvisno od ponudnikov na trgu) so bili pojmovani kot bistveno nižji od pokritega tveganja spora.

Scenarij 3: teretialno ozemlje dematerializira svoje spremembe in politike daljinskega dela

Teritorialno ozemlje z okoli 1200 trajnimi agenti je želelo dematerializirati upravljanje svojih avenantnih dogovorov za daljinsko delo po nacionalnega reparametra dogovora o daljinskem delu iz leta 2021 v javnem sektorju. Obseg obdelane je bil okoli 400 dokumentov letno, z specifičnimi omejitvami: agenti so javne osebe, katerih podatki so predmet posebej reguliranega procesija.

Teritorijalno ozemlje je izbralo napredne podpise (AES), z neodvisnim gostovanjem pri ponudniku, kvalificirano s strani ANSSI v okviru SecNumCloud. AIPD je bila predložena delegatu za zaščito podatkov ozemlja pred uvajanjem. Agentov je bilo obveščeno prek obvestilo, ki je bil objavljen na intranetu in informacijski pas v digitalnem procesu. Služba za človeške vire je ocenila pridobljeni 3 ETP-dni na mesec na upravljanju administrativnih dokumentov sprememb, kar je letni prihranek približno 35000 € v neposrednih stroških, skladen s heksavalenci objavljenes Observatorija digitalne transformacije tudi ozemlje (2025).

Sklep

Skladnost GDPR elektronskega podpisa za kadrovske dokumente ni možnost: pogojuje tako pravno vrednost vaših dejanj kot zaščito pravic vaših zaposlenih. Leta 2026 podjetja, ki še niso osveževala svojega registra obdelav, niso podpisala DPA s svojim ponudnikom in prilagodila ravni podpisa vrsti dokumenta se izpostavljajo dvojnemu tveganju — prud'homalnega in upravnega — katere finančne posledice so lahko precejšnje.

Dobra novica: dobro izbrana in pravilno konfigurirana rešitev omogoča usklajevanje operativne tekoče, skladnosti eIDAS in spoštovanja GDPR brez trenja za kadrovske ekipe in niti za delavce.

Certyneo vas spremlja skozi ta proces: platforma skladna eIDAS, DPA dostopna, evropsko gostovanje in proces podpisa namenjen kadrovskim zadevam. Odkrijte našo rešitev, namenjeno človeško virom ali izračunajte ROI vašega prehoda na celovito digitalizacijo v nekaj klikih.