Podpis elektronski RH in GDPR: popoln vodnik 2026

Digitalizacija človeških virov se je od leta 2020 znatno pospešila: pogodbe o zaposlitvi, spremembe, plačilni listi, navodila za IT, dogovori o delu na daljavo — praktično vsi ti dokumenti se sedaj premikajo v digitalni obliki. Vendar pa dematerializacija ne pomeni, da se je mogoče izogniti pravnim obveznostim. Nasprotno: elektronski podpis dokumenta RH GDPR predstavlja temo z dvojnim regulativnim vstopom, saj povezuje okvir eIDAS o dokazni vrednosti podpisa in evropski predpis o zaščiti osebnih podatkov. Če se te dvojne omejitve ne obvladuje pravilno, je podjetje izpostavljeno pravnim tveganjem in sankcijam CNIL. Ta vodnik predstavlja bistvena pravila, najboljše prakse in kritične točke, ki jih je treba absolutno poznati leta 2026.

Zakaj se GDPR uporablja za elektronski podpis RH?

Elektronski podpis nujno obdeluje osebne podatke

Podpisovanje pogodbe o zaposlitvi na spletu pomeni zbiranje, prenos in shranjevanje osebnih podatkov v smislu člena 4 GDPR št. 2016/679: ime, priimek, profesionalni e-poštni naslov, včasih mobilno telefonsko številko, čas podpisa in naslov IP podpisa. V kontekstu RH so ti podatki posebej občutljivi, ker neposredno identificirajo zaposlenca in so povezani z njegovo pogodbenotrudnousko razmerjem s podjetjem.

Ponudnik storitev zaupanja (PSC), ki zagotavlja rešitev podpisovanja, je kvalificiran kot procesnih podatkov v smislu člena 28 GDPR. Delodajalec ostane odgovoren za obdelavo. Ta razlika je temeljna: podjetje odgovarja pred CNIL v primeru kršitve, ne pa ponudnika programske opreme.

Pravne podlage, ki se jih lahko uporabi v kontekstu RH

Za vsako kategorijo dematerializiranih dokumentov RH mora delodajalec identificirati najprimernejšo pravno podlago za obdelavo:

• Izpolnitev pogodbe (čl. 6.1.b GDPR): podpisovanje pogodbe o zaposlitvi, sprememba plače, dogovor o dnevih forfaitja. To je najbolj robustna pravna podlaga za pogodljene dokumente.

• Pravna obveznost (čl. 6.1.c GDPR): dematerializirana dobava plačilnega lista (dovoljena od Macronove zakonodaje leta 2015 pod pogoji), registri osebja.

• Zakoniti interes (čl. 6.1.f GDPR): navodila za IT, poslovniki, dokazi notranje politike — pod pogojem, da preide preizkus tehtanja.

Podlaga privolitve (čl. 6.1.a) se mora izogniti v kontekstu RH: CNIL in EDPB (Evropski odbor za zaščito podatkov) menita, da razmerje podrejenosti med delodajalcem in zaposlenim redko naredi privolitev prosto. Delavec, ki zavrne elektronski podpis, bi lahko bojal se profesionalnih posledic.

Konkretne obveznosti odgovornega za obdelavo RH

Posodobitev registra dejavnosti obdelave (RAT)

Člen 30 GDPR zavezuje vsak subjekt, ki zaposluje več kot 250 zaposlenih (in MSP, ki v večjem obsegu obdelujejo občutljive podatke), da vodi register dejavnosti obdelave. Uvedba orodja za elektronski podpis za dokumente RH se mora tam pojaviti z:

• Namen obdelave (npr. dematerializacija in arhiviranje pogodljenih dokumentov RH)

• Kategorije obdelanih podatkov (identiteta, podatki o stiku, podatki o preverjanju istovetnosti)

• Obdobje hranjenja (pravna trajanja hranjenja pogodbe o zaposlitvi: 5 let po koncu pogodbe po Zakoniku o delu, čl. L. 1234-20)

• Koordinate podizvajalca (platforma za podpisovanje)

• Uvedene varnostne ukrepe

Podpis DPA (Sporazum o obdelavi podatkov) s ponudnikom

V skladu s členom 28 GDPR mora vsaka uporaba podizvajalca za obdelavo osebnih podatkov formalizirati pogodbo o obdelavi podatkov (DPA). Ta pogodba mora navesti:

• Predmet in trajanje obdelave

• Vrsto in namen obdelave

• Vrsto osebnih podatkov in kategorije prizadetih oseb

• Obveznosti in pravice odgovornega za obdelavo

• Lokacija podatkov (namestitev v EU priporočena, da se izognete prenosom zunaj EGP)

• Tehnični in organizacijski varnostni ukrepi

Resnega ponudnika elektronskega podpisa sistematično ponuja DPA v skladu z GDPR. Njegova odsutnost predstavlja takojšnjo nesklanost, ki se jo kaznuje.

Obvestilo zaposlenih pred prvim podpisom

Člen 13 GDPR nalaga prejšnje obvestilo osebam, katerih podatki se zbirajo. Pred uvedbo elektronskega podpisa za dokumente RH mora delodajalec obvestiti zaposlence:

• O identiteti odgovornega za obdelavo

• O namenu in pravni podlagi

• O trajanju hranjenja podatkov

• O njihovih pravicah (dostop, popravka, izbris v mejah pravnih obveznosti hranjenja, prenosljivost)

• O koordinatah Varuha osebnih podatkov (DPO), če je imenovan

To obvestilo je mogoče vključiti v sam postopek podpisovanja (informacijski banner pred podpisom), v posodobljen poslovnik ali prek obvestila za službo, razširjenega ob uvedbi.

Raven podpisa, ki je potrebna za dokumente RH: SES, AES ali QES?

Hierarhija ravni eIDAS

Uredba eIDAS št. 910/2014 opredeljuje tri ravni elektronskega podpisa, od katerih vsaka ponuja naraščajočo dokazno vrednost:

• SES (Simple Electronic Signature / Preprost elektronski podpis): šibka dokazna vrednost, primerna za dokumente z nizkim vlogom (potrdila o prejemu, notranji obrazci)

• AES (Advanced Electronic Signature / Napredni elektronski podpis): povezan edinstveno s podpisником, ustvarjen iz podatkov pod njegovo izključno kontrolo. Primerna za večino navadnih dokumentov RH.

• QES (Qualified Electronic Signature / Kvalificirani elektronski podpis): najvišja raven, enakovredna rokopisu po čl. 25.2 eIDAS. Zahteva okrepljeno preverjanje istovetnosti (osebno ali z video-identifikacijo).

Katero raven za katere dokumente RH?

Priporočena kartografija leta 2026, ki upošteva stališča француske sodne prakse in sektorske priporočile:

| Dokument RH | Priporočena raven | Obrazložitev | |---|---|---| | Pogodba o zaposlitvi CDI/CDD | AES minimum, QES priporočeno | Močna pogodljiva vrednost, tveganje pred delovnim sodiščem | | Sprememba pogodbe | AES minimum, QES priporočeno | Ista logika kot glavna pogodba | | Preizkusno obdobje (obnovitev) | AES | Kratek rok, omejena formalizacija | | Navodilo za daljinsko delo / BYOD | SES ali AES | Kolektivni dogovor ali poslovnik | | Dogovor o dnevih forfaitja | QES zelo priporočeno | Zahtevna socialna praksednja | | Sporazumna odpoved | QES obvezno | Homologizirani obrazec Cerfa, visok vlog | | Prejeta potrdila za izterjavo | AES ali QES | Osvobajajoča vrednost, čl. L. 1234-20 CT |

Za dokumente z visokim tveganjem spora (forfaitski dogovor, sporazumna odpoved) se QES praktično nameće, da se zagotovi nasprotovanje pred delavnimi sodišči. Kasacijski sodnem je postopoma zaostrilo zahteve za dokaz soglasja delavca.

Hranjenje, arhiviranje in pravice oseb: pasti, ki jih je treba izbegati

Zakonske dobe hranjenja podpisanih dokumentov RH

Hranjenje elektronsko podpisanih dokumentov RH se ravna po nujnih zakonskih rokih. Ti roki imajo prednost pred pravico do izbris GDPR (čl. 17.3.b):

• Pogodba o zaposlitvi: 5 let po koncu pogodbe (preskriptivni rok delavskega spora, čl. L. 1471-1 Zakonika o delu)

• Plačilni listi: 5 let (preskriptivni rok za plače), vendar je hranjenje priporočljivo do izteka pravic do pokojnine delavca

• Dokenti o delovnih nezgodah: 30 let (dolgo tveganje spora)

• Strokovno izobraževanje (načrti, potrdila): 3 leta

• Registri osebja: 5 let po datumu, ko je delavec zapustil obrat

Dolgoročno arhiviranje elektronskih podatkov z dokazno vrednostjo mora izpolnjevati zahteve standarda NF Z 42-013 in idealno standard ETSI EN 319 162 (dolgoročno arhiviranje elektronskih podpisov). Preprosto shranjevanje na strežnik ne zadošča: zagotoviti je treba celovitost, berljivost in kvalificirani časovni žig dokumentov skozi celotno dobo hranjenja.

Upravljanje pravic zaposlenih brez ogrožanja dokazne vrednosti

Delavec je upravičen do izvajanja pravice do dostopa (čl. 15 GDPR), da dobi kopijo podatkov o podpisu, ki se ga tiče. Lahko tudi zahtevajo popravka nepravilnih podatkov.

Nasprotno pa pravica do izbris (čl. 17 GDPR) ne more veljati za dokumente RH, trdni zavezujoči obveznosti hranjenja. Delodajalec mora biti sposoben jasno razložiti ta zavrnitev, s navedbo ustrezne pravne podlage. Dokumentiranje teh izmenjav v registru zahtev za pravice je dobra praksa, ki jo priporočila CNIL.

Prenosljivost (čl. 20 GDPR) velja za podatke, ki jih zagotovi delavec na podlagi privolitve ali izpolnitve pogodbe. Praktično je delavec lahko zahtevajo svoje podatke o podpisu v strukturiranem formatu — obveznost, ki jo je treba predvideti pri izbiri rešitve za podpis.

Tehnična in organizacijska varnost: nepogrešni ukrepi

Tehnične zahteve platforme za podpisovanje

V skladu s členom 32 GDPR morajo biti varnostni ukrepi primerni tveganju. Za rešitev elektronskega podpisa RH se to izkazuje zlasti z:

• Šifriranje podatkov pri prenosu (TLS 1.3 minimum) in v mirovanju (AES-256)

• Večdejavnik preverjanje (MFA) za dostop do platforme

• Dnevniki revizije (dnevniki) z časovnim žigom in nespremenljivi, sledljivi vsaki akciji na dokumentu

• Namestitev v EU (ali EGP), da se izognite prenos zunaj EGP brez ustreznih jamstev (odločitev o ustreznosti ali pogodljene klavzule)

• Letni testi prodora in potrdilo ISO 27001 ponudnika

• Načrt kontinuitete, ki zagotavlja dostopnost storitve in okrevanje arhivov v primeru incidenta

Analiza vpliva (AIPD): kdaj je obvezna?

Člen 35 GDPR nalaga Analizo vpliva na zaščito podatkov (AIPD), kadar je obdelava verjetno vplivala na visoko tveganje. CNIL je objavila seznam vrst obdelav, ki zahtevajo AIPD: obdelava v večjem obsegu podatkov v zvezi s profesionalnim življenjem je tu omenjena.

Praktično je AIPD priporočena (ali celo obvezna za velika podjetja) ob uvedbi rešitve za elektronski podpis RH, ki se dotika vseh sodelavcev. Mora identificirati tveganja (izguba zaupnosti, usurpacija istovetnosti, sprememba dokumentov), oceniti njihovo resnost in verjetnost ter predlagati zmanjševalne ukrepe. Ta analiza mora biti dokumentirana in pregledana v primeru razvoja obdelave.

Veljaven pravni okvir za elektronski podpis RH in GDPR

Temeljni evropski besedili

Uredba eIDAS št. 910/2014 (in njena revizija eIDAS 2.0 v fazi uvedbe): ta besedilo opredeljuje tri ravni elektronskega podpisa (SES, AES, QES) in njihovo pravno vrednost v vseh državah članicah. Člen 25 določa, da ima QES pravni učinek enak rokopisu. Člen 26 našteva tehnične zahteve naprednega podpisa. Kvalificirani ponudniki storitev zaupanja so vpisani na nacionalne sezname zaupanja (v Franciji seznam upravlja ANSSI).

GDPR št. 2016/679: v veljavi od 25. maja 2018 ta uredba ureja vsako obdelavo osebnih podatkov v EU. Členi 5 (načela), 6 (pravne podlage), 13-14 (informacije), 28 (podizvajalci), 30 (register), 32 (varnost), 35 (AIPD) in 37-39 (Varuha) so neposredno pertinenti za elektronski podpis RH.

Francoski pravni red

Civilni zakonik, členi 1366-1367: člen 1366 postavlja načelo funkcionalne enakovrednosti med elektronski in papirni dokument. Člen 1367 priznava elektronski podpis kot način dokazovanja, pod pogojem da je sestavljen iz zanesljivega postopka identifikacije, ki zagotavlja povezavo z aktom, na katerega je pripet. Zanesljivost je domnevana za QES, vendar jo je mogoče dokazati za AES.

Zakonik o delu: člen L. 1221-1 ne predpisuje posebne oblike za pogodbo o zaposlitvi (razen izjem: CDD čl. L. 1242-12, pogodba s praktikantom, itd.). Macronova zakonodaja leta 2015 (zakon št. 2015-990) je odprla pot do elektronskega plačilnega lista. Člen L. 3243-2 je ureja vrste modalnosti.

Zakon o informatiki in svobodah, spremenjen (zakon št. 78-17 z dne 6. januarja 1978): francoska transponicija GDPR jo daje CNIL njene moči preiskovanja in kaznovanja. Kazni so lahko dosegale 20 milijonov evrov ali 4% letnega svetovnega prometa za najbolj resne kršitve.

Tehnični referenčni standardi

• ETSI EN 319 132: elektronski napredni podpisni format XAdES, uporabljiv za XML dokumente

• ETSI EN 319 122: format CAdES za elektronske podpise CMS dokumentov

• ETSI EN 319 162: dolgoročno arhiviranje elektronskih podpisov (ASiC)

• NF Z 42-013 (AFNOR): funkcionalne specifikacije sistema za dokazne arhiviranje elektronskih podatkov

• ISO/IEC 27001: upravljanje varnosti informacij, referenčni okvir, ki se ga pričakuje od ponudnikov potrdila

Pravna tveganja v primeru neskaldnosti

Kopičenje tveganj je pomembno: pogodba o zaposlitvi, podpisana z nezadostno ravnijo podpisa, je lahko opugnjena pred Odborom za delavske spore, kar delavcu izpostavi preklasifikacijo ali ničnost. Na strani GDPR odsutnost DPA s ponudnikom, neupoštevanje obvestila zaposlenih ali namestitev zunaj EU brez ustreznih jamstev lahko vodijo do opozorila CNIL ali celo do javne upravne sankcije.

Scenariji uporabe: elektronski podpis RH v skladu z GDPR

Scenarij 1: srednje velika industrijska podjetja s 600 zaposlenimi digitalizira svoje pogodbe o zaposlitvi

Srednje velika industrijska podjetja, razporejena na štirih lokacijah v Franciji, so se letno obdelala približno 180 zaposlitev CDI/CDD, kar je ustvarilo enako število papirnih datotek za tiskanje, podpisovanje v dvojnem izvodu, skeniranje in arhiviranje. Zamude med obljubo zaposlitve in skutočnim podpisom pogodbe so se povprečno sestavljale 8 delovnih dni.

Po uvedbi rešitve za elektronski podpis napredne (AES), vključene v svoj SIRH, z DPA, skladnim s GDPR, podpisanim s ponudnikom in dokumentirano AIPD, je podjetje zmanjšalo to zamudo na manj kot 24 ur. Tečaj nepopolnih datotek se je zmanjšal s 34% (viri: sektorski primerjalni standardi ANDRH 2024). Namestitev podatkov v Franciji je bila izbrana kot pogodljeni kriterij, kar je izločilo vsako tveganje prenosa zunaj EGP. Zaposleni so obveščeni o obdelavi prek informacijskega prikaza, vključenega v postopek podpisovanja, kar zagotavlja skladnost s členom 13 GDPR.

Scenarij 2: trgovska franšizna mreža nameća QES podpis za dogovore o dnevih forfaitja

Trgovska distribucijska mreža s približno šestdeset točkami prodaje in približno sto kadra na forfaitskih dneh je bila soočena s tveganjem delavskega spora, ki ga je identificirala njena pravna služba: več dogovorov o dnevih forfaitja je bilo mogoče dokazati le z kopijami papirja slabe kakovosti. Kasacijski sodbo je zaostrila svoje zahteve za dokaze o tej vrsti dogovora, zato je bilo tveganje spora ocenjeno na več sto tisoč evrov.

Mreža je za vse nove dogovore uvedla rešitev za kvalificirani podpis (QES) in je kadru v postavi ponudila ponovno podpisovanje svojih obstoječih dogovorov. Preverjanje istovetnosti prek video-identifikacije je bilo izbrano. Register dejavnosti obdelave je bil posodobljen, in zunanji Varuh osebnih podatkov je potrdil skladnost GDPR postopka. V šestih mesecih je bila celotna baza dogovorov o dnevih forfaitja zavarована. Stroški tega pristopa (približno 15 do 25 € za QES podpis glede na ponudnike na tržišču) so bili presojani za precej nižje od pokritega tveganja spora.

Scenarij 3: lokalna skupnost dematerializira svoje spremembe in navodila za daljinsko delo

Lokalna skupnost s približno 1200 stalnih uslužbencev je želela dematerializirati upravljanje svojih sprememb daljinskega dela po nacionalnem sporazumu iz leta 2021 o daljinskem delu v javni upravi. Obseg za obdelavo je bil približno 400 dokumentov na leto, z posebnimi omejitvami: uslužbenci so osebe javnega prava, katerih podatki spadajo v poseben nadziran vidik obdelave.

Skupnost je izbrala napredne podpise (AES), s suvereno namestevijo pri ponudniku, kvalificiranem SecNumCloud s strani ANSSI. AIPD je bila predložena Varuhu skupnosti pred uvedbo. Uslužbenci so bili obveščeni prek obvestila za službo, objavljenega na intranet in informacijskega prikaza v digitalni poti. Storitev RH je ocenila dobrobit 3 ETP-dni na mesec pri upravljanju upravnih sprememb, to je letno gospodarnost, enakovredna približno 35.000 € v neposrednih stroških, v skladu s širšim razponom, objavljenim s strani Opazovalnega telesa za digitalno transformacijo skupnosti (2025).

Zaključek

Skladnost GDPR elektronskega podpisa za dokumente RH ni mogoč izbor: jo pogojuje tako pravna vrednost vaših aktov kot tudi zaščita pravic vaših zaposlenih. Leta 2026 so podjetja, ki še niso posodobila svojega registra obdelav, podpisala DPA s svojim ponudnikom in prilagodila raven podpisa vsakemu vrsti dokumenta, izpostavljena dvojnemu tveganju — delavskemu in upravnemu — katerih finančne posledice so lahko občutne.

Dobra novica: dobro izbrana in pravilno konfigurirana rešitev omogoča usklajevanje operativne fluidnosti, skladnosti eIDAS in spoštovanja GDPR brez trenja za RH ekipe ali zaposlene.

Certyneo vas spremlja v tej prizadevanja: s skladna platformo eIDAS, dostopen DPA, evropsko namestevijo in postopkom podpisovanja, namenjena za RH. ali pa v nekaj klikov.