Elektronski potpis HR i GDPR: kompletne vodič 2026

Digitalizacija ljudskih resursa značajno se ubrzala od 2020. godine: radni ugovori, dodatni ugovori, primanja, IT politike, sporazumi o radu na daljinu — gotovo svi ovi dokumenti sada se prenose u digitalnom obliku. Međutim, dematerijalizacija ne znači izbjegavanje zakonskih obaveza. Naprotiv: elektronski potpis HR dokumenta GDPR predstavlja predmet sa dvostrukim regulatornim pristupom, jer povezuje okvir eIDAS-a o dokaznoj vrijednosti potpisa i evropsku regulativu o zaštiti ličnih podataka. Ako se loše upravljati, ova dvostruka ograničenja izlažu kompaniju pravnim rizicima i kaznama CNIL-a. Ovaj vodič predstavlja osnovna pravila, best practices i kritične točke koje trebate poznavati 2026. godine.

Zašto se GDPR primjenjuje na elektronski potpis HR?

Elektronski potpis nužno obrađuje lične podatke

Potpisivanje ugovora o radu na mreži uključuje prikupljanje, prijenos i pohranu ličnih podataka prema članku 4 GDPR-a br. 2016/679: ime, prezime, poslovnu e-poštu, ponekad mobilni broj, vremensku oznaku i IP adresu potpisa. U HR kontekstu, ti podaci su posebno osjetljivi jer direktno identificiraju zaposlenog i vezani su uz njegov ugovorni odnos s poslodavcem.

Pružatelj usluga povjerenja (PSC) koji pruža rješenje za potpisivanje kvalificira se kao obrada podataka prema članku 28 GDPR-a. Poslodavac ostaje odgovoran za obradu. Ova razlika je fundamentalna: prije CNIL-a odgovara kompanija u slučaju kršenja, ne pružatelj softvera.

Pravne osnove koje se mogu koristiti u HR kontekstu

Za svaku kategoriju dematerijaliziranih HR dokumenata, poslodavac mora odrediti najprikladniju pravnu osnovu obrade:

• Izvršavanje ugovora (članak 6.1.b GDPR): potpisivanje ugovora o radu, dodatni ugovor o plaći, konvencija za fiksne dane rada. Ovo je najtvrđa pravna osnova za ugovorne dokumente.

• Zakonska obaveza (članak 6.1.c GDPR): dematerijalizirana isplata naknade za rad (dozvoljena od Macron-ovog zakona iz 2015. godine pod uvjetima), registri osoblja.

• Legitimni interes (članak 6.1.f GDPR): IT politike, propisi, dokumenti internih politika — pod uvjetom prolaska testa balansiranja.

Osnova pristanak (članak 6.1.a) trebala bi se izbjegavati u HR kontekstu: CNIL i EDPB (Europski odbor za zaštitu podataka) smatraju da odnos podređenosti između poslodavca i zaposlenog čini pristanak rijetko slobodnim. Zaposlenik koji odbije potpisati elektronski mogao bi se bojati profesionalnih posljedica.

Konkretne obaveze odgovornog za obradu HR podataka

Ažuriranje registra aktivnosti obrade (RAT)

Članak 30 GDPR-a nameće svakoj organizaciji koja zaposljava više od 250 zaposlenih (i malim i srednjim poduzećima koja obrađuju osjetljive podatke u velikom obimu) održavanje registra aktivnosti obrade. Uvedba alata za elektronski potpis za HR dokumente mora biti uključena s:

• Svrhom obrade (npr. dematerijalizacija i arhiviranje ugovornih HR dokumenata)

• Kategorijama obrađenih podataka (identitet, podaci o kontaktu, podaci o autentifikaciji)

• Trajanjem pohrane (zakonski rok čuvanja ugovora o radu: 5 godina nakon završetka ugovora prema Kodeksu rada, članak L. 1234-20)

• Kontaktima pružatelja usluga (platforma za potpisivanje)

• Mjerama sigurnosti na mjestu

Potpisivanje DPA (Data Processing Agreement) s pružateljem usluga

U skladu s člankom 28 GDPR-a, svaki pristup obrađivaču za obradu ličnih podataka mora biti formaliziran ugovorom o obradi podataka (DPA). Ovaj ugovor mora odrediti:

• Predmet i trajanje obrade

• Prirodu i svrhu obrade

• Vrstu ličnih podataka i kategorije osoba na koje se odnosi

• Obaveze i prava odgovornog za obradu

• Lokaciju podataka (preporučena pohrana u EU da se izbjegnu transferi izvan EGP-a)

• Mjere sigurnosti tehnike i organizacijske

Ozbiljan pružatelj usluga potpisivanja sustavno nudi DPA u skladu s GDPR-om. Njegov nedostatak predstavlja neusklađenost koja se odmah može kazniti.

Obavijest zaposlenima prije prvog potpisivanja

Članak 13 GDPR-a nameće prethodnu obavijest osoba čiji se podaci prikupljaju. Prije primjene elektronskog potpisa za HR dokumente, poslodavac mora obavijestiti zaposlenike:

• O identiteti odgovornog za obradu

• O svrsi i pravnoj osnovi

• O trajanju pohrane podataka

• O njihovim pravima (pristup, ispravka, brisanje u granicama zakonskih obaveza pohrane, prenosivost)

• O kontaktima DPO-a (Ovlaštenog lica za zaštitu podataka) ako je imenovan

Ova obavijest može biti uključena u sam proces potpisivanja (obavijestni banner prije potpisivanja), u ažurirani pravilnik ili putem pismene obavijesti raspoređene tijekom primjene.

Razina potpisivanja potrebna za HR dokumente: SES, AES ili QES?

Hijerarhija razina eIDAS-a

Uredba eIDAS br. 910/2014 definira tri razine elektronskog potpisa, svaka s povećavajućom dokaznom vrijednosti:

• SES (jednostavni elektronski potpis): slaba dokazna vrijednost, prikladna za dokumente s nižom vrijednosti (potvrde prijema, unutarnje forme)

• AES (napredni elektronski potpis): povezan na jedinstveni način s potpisanikom, kreiran iz podataka pod njegovom isključivom kontrolom. Prikladna za većinu uobičajenih HR dokumenata.

• QES (kvalificirani elektronski potpis): najviša razina, ekvivalentna rukom napisanom potpisu prema članku 25.2 eIDAS-a. Zahtijeva pojačanu provjeru identiteta (licem u lice ili video-identifikacija).

Koja razina za koje HR dokumente?

Preporučena kartografija u 2026. godini, vodeći računa o pozicijama francuske jurisprudencije i sektorskih preporuka:

| HR Dokument | Preporučena razina | Opravdanje | |---|---|---| | Ugovor o radu CDI/CDD | Najmanje AES, preporučen QES | Jaka ugovorna vrijednost, rizik pravde rada | | Dodatni ugovor | Najmanje AES, preporučen QES | Ista logika kao glavni ugovor | | Probna razdoblja (obnavljanje) | AES | Kratko razdoblje, ograničeni formalizam | | IT politika rada na daljinu / BYOD | SES ili AES | Kolektivni ugovor ili pravilnik | | Konvencija za fiksne dane rada | Snažno preporučen QES | Zahtjevna jurisprudencija rada | | Ugovorna razrada | Obavezan QES | Homologirani Cerfa obrazac, visoki rizik | | Naknada za ukupno izračunavanje | AES ili QES | Oslobađajuća vrijednost, članak L. 1234-20 CT |

Za dokumente s visokim rizikom spora (konvencija, razrada), QES je facto neophodna za garantiranje oponašanja pred radnim tisuća. Vrhovni sud je postupno pooštravio svoje zahtjeve za dokazom zaposlenikove suglasnosti.

Pohrana, arhiviranje i prava osoba: zamke za izbjegavanje

Zakonski rokovi pohrane za potpisane HR dokumente

Pohrana potpisanih HR dokumenata elektronski poštuje zakonske rokove imperativnosti. Ovi rokovi imaju prednost nad pravom na brisanje GDPR-a (članak 17.3.b):

• Ugovor o radu: 5 godina nakon završetka ugovora (prihod prava rada, članak L. 1471-1 Kodeksa rada)

• Lisnice: 5 godina (prihod plaće), ali pohrana preporučena do likvidacije prava na mirovinu zaposlenika

• Dokumenti vezani uz nesreće na radu: 30 godina (rizik dugoročnog spora)

• Stručna izobrazba (planovi, potvrde): 3 godine

• Registri osoblja: 5 godina nakon datuma kada je zaposlenik napustio objektu

Elektronska pohrana sa dokaznom vrijednosti mora zadovoljiti zahtjeve standarda NF Z 42-013 i idealno standard ETSI EN 319 162 (dugoročna pohrana elektronskih potpisa). Jednostavna pohrana na poslužitelju nije dovoljna: trebate garantirati integritet, čitljivost i kvalificiranu vremensku oznaku dokumenata tijekom cijelog razdoblja pohrane.

Upravljanje zaposlenikikovim pravima bez ugrožavanja dokazne vrijednosti

Zaposlenik legalno može izvršiti svoje pravo pristupa (članak 15 GDPR) da bi dobio kopiju podataka o potpisivanju koji ga se tiču. On ili ona također može tražiti ispravku netočnih podataka.

Međutim, pravo na brisanje (članak 17 GDPR) ne može se vršiti na HR dokumente podložne zakonskim obavezama pohrane. Poslodavac mora biti u stanju jasno objasniti ovaj odbij, pozivajući se na primjenjive pravne osnove. Dokumentiranje ovih razmjena u registru zahtjeva za prava je dobra praksa koju preporučuje CNIL.

Prenosivost (članak 20 GDPR) primjenjuje se na podatke koje je dao zaposlenik na osnovi pristanka ili izvršavanja ugovora. Konkretno, zaposlenik može tražiti svoje podatke o potpisivanju u strukturiranome obliku — obaveza koju trebate predvidjeti pri izboru rješenja za potpisivanje.

Tehnička i organizacijska sigurnost: neophodno potrebne mjere

Tehnički zahtjevi platforme za potpisivanje

U skladu s člankom 32 GDPR-a, mjere sigurnosti trebaju biti prikladne riziku. Za rješenje za elektronski potpis HR, to se konkretno prevodi na:

• Enkripcija podataka u prijenosu (minimalno TLS 1.3) i u mirovanju (AES-256)

• Viefaktorska autentifikacija (MFA) za pristup platformi

• Dnevnici revizije (logovi) sa vremenskim oznakama i neokrivljivostima, praćenja svakog čina na dokumentu

• Pohrana u EU (ili EGP) da se izbjegnu transferi izvan EGP-a bez odgovarajućih garantija (odluka o prikladnosti ili ugovorne klauzule)

• Godišnja testiranja prodora i ISO 27001 sertifikacija pružatelja

• Plan kontinuiteta koji garantira dostupnost usluge i oporavak arhiva u slučaju incidenta

Analiza utjecaja (AIPD): kada je obavezna?

Članak 35 GDPR-a nameće Analizu utjecaja na zaštitu podataka (AIPD) kada obrada može stvoriti visoki rizik. CNIL je objavila listu vrsta obrada koje zahtijevaju AIPD: obrada u velikom obimu podataka vezanih uz radni život na njoj je navedena.

Konkretno, AIPD je preporučena (ili čak obavezna za velike tvrtke) tijekom primjene rješenja za elektronski potpis HR koji zahvaća sve suradnike. Trebala bi identificirati rizike (gubitak povjerljivosti, krađa identiteta, promjena dokumenata), procijeniti njihovu ozbiljnost i vjerojatnost te predložiti mjere za ublažavanje. Ova analiza trebala bi biti dokumentirana i revidirana ako dođe do promjena obrade.

Primjenjivi pravni okvir na elektronski potpis HR i GDPR

Osnivačke teksture

Uredba eIDAS br. 910/2014 (i njezina revizija eIDAS 2.0 u tijeku primjene): ovaj tekst definira tri razine elektronskog potpisa (SES, AES, QES) i njihovu pravnu vrijednost u svim državama članicama. Članak 25 propisuje da QES ima pravni učinak ekvivalentan rukom napisanom potpisu. Članak 26 nabraja tehničke zahtjeve za napredni potpis. Kvalificirani pružatelji usluga povjerenja upisani su na nacionalne popise povjerenja (u Francuskoj, listu upravlja ANSSI).

GDPR br. 2016/679: primjenjiv je od 25. svibnja 2018., ovaj akt uređuje bilo koju obradu ličnih podataka u EU. Članci 5 (načela), 6 (pravne osnove), 13-14 (obavijesti), 28 (obrađivači), 30 (registar), 32 (sigurnost), 35 (AIPD) i 37-39 (DPO) su direktno relevantni za elektronski potpis HR.

Franacuski primjenjivi zakon

Građanski zakonik, članci 1366-1367: članak 1366 postavlja načelo funkcionalne ekvivalentnosti između elektronskog i papirnate vrste. Članak 1367 priznavanja elektronski potpis kao način dokaza, pod uvjetom da se sastoji od pouzdanog postupka identifikacije koji garantira povezanost s aktom kojem se veže. Pouzdanost je pretpostavljena za QES, ali može biti dokazana za AES.

Zakonik rada: članak L. 1221-1 ne nameće poseban oblik za ugovor o radu (osim izuzetaka: CDD članak L. 1242-12, ugovor o učenjenju itd.). Macron-ov zakon iz 2015. (zakon br. 2015-990) otvorio je put elektronskoj naknadi za rad. Članak L. 3243-2 uređuje modalnosti.

Zakon o informatici i slobodama izmijenjen (zakon br. 78-17 od 6. siječnja 1978): francuska transponicija GDPR-a, daje CNIL-u ovlaštenja za istragu i sankciju. Kazne mogu dosegnuti 20 milijuna eura ili 4% godišnjeg obrta na svjetskoj razini za najozbiljnije povrede.

Tehnički standardi referencije

• ETSI EN 319 132: oblik naprednog elektronskog potpisa XAdES, primjenjiv na XML dokumente

• ETSI EN 319 122: oblik CAdES za elektronske potpise CMS dokumenata

• ETSI EN 319 162: dugoročna pohrana elektronskih potpisa (ASiC)

• NF Z 42-013 (AFNOR): funkcionalne specifikacije sustava elektronske pohrane s dokaznom vrijednosti

• ISO/IEC 27001: upravljanje sigurnosti informacija, referentni okvir za certifikaciju pružatelja

Pravni rizici u slučaju neuklađenosti

Kumulativni rizik je značajan: ugovor o radu potpisanship s nedovoljnom razinom potpisa može biti osporavan pred Vijećem suda rada, izlažući poslodavca revalifikaciji ili ništavosti. Na GDPR strani, nedostatak DPA s pružateljem usluge, izostanak obavijesti zaposlenima ili pohrana izvan EU bez odgovarajućih garantija mogu dovesti do upozorenja CNIL-a, pa čak i na javnu upravnu kaznu.

Scenariji primjene: elektronski potpis HR usklađen s GDPR-om

Scenarij 1: srednje-velika industrijska tvrtka od 600 zaposlenika digitalizira svoje ugovore o radu

Srednje-velika industrijska tvrtka, rasprostranjena na četiri mjesta u Francuskoj, tretirala je godišnje približno 180 zapošljavanja CDI/CDD, što je generiralo isto toliko papirnih mapa za ispis, potpisivanje u dva primjerka, skeniranje i arhiviranje. Zakašnjenja između ponude za zapošljavanje i učinkovite potpisane ugovora dosegla su u prosjeku 8 radnih dana.

Nakon primjene rješenja za napredni elektronski potpis (AES) integrirane u SIRH, s DPA usklađen s GDPR-om potpisanom s pružateljem usluge i dokumentiranom AIPD, tvrtka je smanjila ovo zakašnjenje na manje od 24 sata. Stopa nepotpunih mapa pala je za 34% (izvori: sektorski benchmarki ANDRH 2024). Pohrana podataka u Francuskoj odabrana je kao ugovorni kriterij, što eliminiše bilo kakav rizik od transfera izvan EGP-a. Zaposlenici su obaviješteni o obradi putem informativnog primjeka integriranog u tok potpisivanja, što garantira usklađenost s člankom 13 GDPR-a.

Scenarij 2: mreža franšize u maloprodaji primjenjuje QES potpisivanje za konvencije fiksnih dana rada

Mreža specijalizirane distribucije sa šezdeset točaka prodaje i stotinom kadra za fiksne dane rada suočavala se s identificiranim rizikom prava rada od strane svog pravnog tima: nekoliko konvencija fiksnih dana rada moglo je biti dokazano samo sredstvima kopija papira loše kvalitete. Vrhovni sud pooštravio je zahtjeve za dokaz ovog tipa konvencije, a rizik od spora procjenjivan je na nekoliko stotina tisuća eura.

Mreža je primila rješenje za kvalificirani potpis (QES) za sve nove konvencije i ponudila kadrima u funkciji ponovno potpisivanje postojećih konvencija. Video-identifikacija odabrana je za provjeru identiteta. Registar aktivnosti obrade ažuriran je, a vanjski DPO validirao je usklađenost GDPR-a toka. U 6 mjeseci, cjeloviti park konvencija fiksnih dana rada osiguran je. Trošak inicijative (približno 15 do 25 € po QES potpisivanju prema pružateljima na tržištu) procijenjen je kao značajno niži od pokrivenog rizika spora.

Scenarij 3: lokalna uprava dematerijalizira svoje dodatne ugovore i IT politike rada na daljinu

Lokalna uprava od približno 1 200 stalnih zaposlenika željela je dematerijalizirati upravljanje svojim dodatnim ugovorima o radu na daljinu nakon nacionalnog okvirnog sporazuma iz 2021. o radu na daljinu u javnoj uprav. Obujam obrade bio je približno 400 dokumenata godišnje, s posebnim ograničenjima: zaposlenici su javne osobe čiji su podaci posebno regulirani.

Uprava je odabrala napredne potpise (AES), s suvremenom pohranom od kvalificiranog pružatelja SecNumCloud od ANSSI. AIPD je bila podnesena DPO-u uprave prije primjene. Zaposlenici su obavijesteni putem pismene obavijesti objavljene na intranet i informativnog primjeka u digitalnom toku. Usluga HR procijenila je dobit od 3 ETP-dana mjesečno na upravljanju administrativnih dodatnih ugovora, što je ekvivalentno godišnjoj ekonomiji od približno 35 000 € u izravnim troškovima, u skladu s rasponima objavljenim od Observatorija za digitalnu transformaciju lokalne uprave (2025).

Zaključak

Usklađenost GDPR-a elektronskog potpisa za HR dokumente nije opcija: ona uvjetuje i pravnu vrijednost vaših činova i zaštitu prava vaših zaposlenih. U 2026. godini, tvrtke koje nisu yet ažurirale svoj registar obrade, potpisale DPA s pružateljem usluge i prilagodile razinu potpisa svakom tipu dokumenta izlažu se dvostrukom riziku — prava rada i upravnom — čije je financijske posljedice mogu biti značajne.

Dobra vijest: dobro odabrano i konfigurirano rješenje omogućava usklađivanje operativne fluidnosti, eIDAS usklađenosti i poštivanja GDPR-a bez trenja za HR timove niti za zaposlenike.

Certyneo vam pomaže u ovoj inicijativi: platforma usklađena eIDAS, dostupan DPA, europska pohrana i tok potpisivanja dizajnirani za HR. Saznajte više o našem rješenju namijenjen ljudskim resursima ili izračunajte ROI vašeg prelaska na u potpunosti digitalnu u nekoliko klikova.