Elektronski potpis u HR-u i GDPR: kompletna prilika 2026

Digitalizacija ljudskih resursa značajno se ubrzala od 2020. godine: ugovori o radu, izmene, primanja, IT karte, sporazumi o daljinskom radu — gotovo svi ovi dokumenti sada se prenose u digitalnom obliku. Međutim, dematerijalizacija ne znači izbegavanje pravnih obaveza. Naprotiv: elektronski potpis HR dokumenta GDPR predstavlja temu sa dvostrukim regulatornim pristupom, jer povezuje okvir eIDAS-a o dokaznoj vrednosti potpisa i evropsku uredbu o zaštiti ličnih podataka. Ako se loše gospodari ovom dvostrukom ograničenju, preduzeće je izloženo pravnom riziku i sankcijama CNIL-a. Ovaj vodič vam predstavlja bitna pravila, dobre prakse i tačke pažnje koje apsolutno morate znati do 2026.

Zašto se GDPR primenjuje na elektronski potpis u HR-u?

Elektronski potpis nužno obrađuje lične podatke

Potpisivanje ugovora o radu na internetu uključuje prikupljanje, slanje i skladištenje ličnih podataka u smislu člana 4 GDPR br. 2016/679: ime, prezime, poslovni e-mail, ponekad broj mobilnog telefona, vremensku marku i IP adresu potpisa. U HR kontekstu, ovi podaci su posebno osetljivi jer direktno identifikuju zaposlenog i vezani su uz njegovU ugovorni odnos sa poslodavcem.

Pružalac usluge od poverenja (PSC) koji pruža rešenje za potpis kvalifikuje se kao obrađivač ličnih podataka u smislu člana 28 GDPR. Poslodavac ostaje kontroler. Ova distinkcija je fundamentalna: preduzeće je odgovorno pred CNIL-om u slučaju kršenja, ne pružalac softvera.

Pravne osnove koje se mogu mobilisati u HR kontekstu

Za svaku kategoriju dematerijalizovanih HR dokumenata, poslodavac mora da identifikuje odgovarajuću pravnu osnovu obrade:

• Izvršavanje ugovora (član 6.1.b GDPR): potpisivanje ugovora o radu, izmena plate, dogovora o forfejtanim danima. Ovo je najčvršća pravna osnova za ugovorne dokumente.

• Pravna obaveza (član 6.1.c GDPR): dematerijalizovana dostava primanja (dozvoljena od 2015. godine Macronijem zakonom pod određenim uslovima), registri zaposlenih.

• Legitimno interesovanje (član 6.1.f GDPR): IT karte, unutarnji propisi, dokumenti unutarnje politike — pod uslovom da prođete test uravnoteženja.

Osnova saglasnosti (član 6.1.a) treba izbegavati u HR kontekstu: CNIL i EDPB (Evropski odbor za zaštitu podataka) smatraju da odnos subordinacije između poslodavca i zaposlenog retko čini saglasnost slobodnom. Zaposleni koji odbije da se potpiše elektronski mogao bi da strahuje od profesionalnih posledica.

Konkretne obaveze kontrolera obrade podataka u HR-u

Ažuriranje registra aktivnosti obrade (RAT)

Član 30 GDPR-a nalaže bilo kojem telu koje zapošljava više od 250 zaposlenih (i malim i srednjim preduzećima koja obrađuju osetljive podatke u velikom obimu) da vodi registar aktivnosti obrade. Uvođenje alata za elektronski potpis za HR dokumente mora biti navedeno sa:

• Svrhom obrade (npr.: dematerijalizacija i arhiviranje ugovornih HR dokumenata)

• Kategorijama obrađenih podataka (identitet, kontaktni podaci, podaci autentifikacije)

• Rokom čuvanja (rok zakonskoga čuvanja ugovora o radu: 5 godina nakon prestanka ugovora prema Zakonu o radu, član L. 1234-20)

• Kontaktima pružaoca usluge (platforma za potpisivanje)

• Merama bezbednosti koje su primenjene

Potpisati DPA (sporazum o obradi podataka) sa pružaocem usluge

U skladu sa članom 28 GDPR, svaki pristup pružaocu usluge za obradu ličnih podataka mora biti formalizovan sporazumom o obradi podataka (DPA). Ovaj ugovor mora da navede:

• Predmet i trajanje obrade

• Prirodu i svrhu obrade

• Vrstu ličnih podataka i kategorije osoba na koje se odnosi

• Obaveze i prava kontrolera

• Lokaciju podataka (preporučuje se smeštanje u EU da bi se izbegao transfer izvan EEE)

• Tehničke i organizacijske mere bezbednosti

Ozbiljan pružalac usluge elektronskog potpisa sistematski nudi DPA u skladu sa GDPR. Njegova odsustvo predstavlja neusklađenost koja se odmah može kazniti.

Informisanje zaposlenih pre prvog potpisa

Član 13 GDPR nalaže prethodnu informaciju osoba čiji se podaci prikupljaju. Pre nego što implementirate elektronski potpis za HR dokumente, poslodavac mora da informira zaposlene:

• O identitetu kontrolera obrade

• O svrsi i pravnoj osnovi

• O roku čuvanja podataka

• O njihovim pravima (pristup, ispravka, brisanje u okviru ograničenja zakonskih rokova čuvanja, prenosivost)

• O kontaktima DPO-a (Delegata za zaštitu podataka) ako je imenovan

Ova informacija može biti integrisana u sam proces potpisa (informativni banerr pre potpisa), u ažurirani unutarnji pravilnik ili putem bilo koje napomene distribuirane pri pokretanju.

Nivo potrebnog potpisa za HR dokumente: SES, AES ili QES?

Hijerarhija eIDAS nivoa

Uredba eIDAS br. 910/2014 definiše tri nivoa elektronskog potpisa, svaki sa rastućom dokaznom vrednošću:

• SES (Simple Electronic Signature / Jednostavni elektronski potpis): slaba dokazna vrednost, pogodan za dokumente niskog rizika (potvrde prijema, unutarnji obrasci)

• AES (Advanced Electronic Signature / Napredni elektronski potpis): povezan na jedinstven način sa potpisacem, kreiran iz podataka pod njegovom isključivom kontrolom. Pogodan za većinu redovnih HR dokumenata.

• QES (Qualified Electronic Signature / Kvalifikovani elektronski potpis): najviši nivo, ekvivalentan ručnom potpisu prema član 25.2 eIDAS. Zahteva pojačanu verifikaciju identiteta (lično ili preko videa).

Koji nivo za koje HR dokumente?

Preporučena kartografija do 2026, vodeći računa o pozicijama francuske jurisprudencije i sektorskim preporukama:

| HR dokument | Preporučeni nivo | Opravdanje | |---|---|---| | Ugovor o radu za određeno/neodređeno vreme | AES minimum, QES preporučeno | Jaka ugovorna vrednost, rizik za sudove za rad | | Izmena ugovora | AES minimum, QES preporučeno | Ista logika kao glavni ugovor | | Probni period (obnovljenje) | AES | Kratak rok, ograničen formalizam | | Karta daljinskog rada / BYOD | SES ili AES | Kolektivni sporazum ili unutarnji pravilnik | | Dogovor o forfejtanim danima | QES jako preporučeno | Zahtevna jurisprudencija rada | | Dogovor o razviđanju | QES obavezno | Homologovani Cerfa obrazac, visokog rizika | | Potvrda za sve račune | AES ili QES | Oslobađajuća vrednost, član L. 1234-20 zakona o radu |

Za dokumente sa visokim rizikom spora (forfejtani dani, dogovor o razviđanju), QES se de facto nameće kako bi se garantovala prihvatljivost pred prud'homalnim sudovima. Kasacioni sud je postupno pojačao zahteve na dokazivanje saglasnosti zaposlenog.

Čuvanje, arhiviranje i prava osoba: zamke koje treba izbegavati

Zakoni o čuvanju HR dokumenata potpisanih elektronski

Čuvanje HR dokumenata potpisanih elektronski podleže zakonitim rokovima čuvanja. Ti rokovi imaju prioritet nad pravom brisanja GDPR (član 17.3.b):

• Ugovor o radu: 5 godina nakon prestanka ugovora (preskripacija prud'homalne, član L. 1471-1 zakona o radu)

• Primanja: 5 godina (preskripacija plata), ali preporučeno čuvanje do likvidacije penzijskih prava zaposlenog

• Dokumenti vezani za nesreće na radu: 30 godina (dugoročni rizik spora)

• Stručno usavršavanje (planovi, sertifikati): 3 godine

• Registri zaposlenih: 5 godina nakon datuma napuštanja zaposlenog iz ustanove

Elektronsko arhiviranje sa dokaznom vrednošću mora biti u skladu sa zahtevima standarda NF Z 42-013 i idealno sa ETSI EN 319 162 (dugoročno arhiviranje elektronskih potpisa). Obično skladištenje na serveru nije dovoljno: morate garantovati integritet, čitljivost i kvalifikovanu vremensku marku dokumenata tokom celog perioda čuvanja.

Upravljanje pravima zaposlenih bez ugrožavanja dokazne vrednosti

Zaposleni može legitimno da koristi svoje pravo pristupa (član 15 GDPR) kako bi dobio kopiju podataka potpisa koji se na njega odnose. Može i da zatraži ispravku netačnih podataka.

Međutim, pravo brisanja (član 17 GDPR) ne može se koristiti na HR dokumente koji podležu zakonskim obavezama čuvanja. Poslodavac mora biti u stanju da jasno objasni ovaj odboj navodeći primenjenu pravnu osnovu. Dokumentovanje ovih razmena u registru zahteva za prava je dobra praksa preporučena od strane CNIL.

Prenosivost (član 20 GDPR) se primenjuje na podatke koje je dao zaposleni na osnovu saglasnosti ili izvršavanja ugovora. Konkretno, zaposleni može da zatraži svoje podatke potpisa u strukturiranom formatu — obaveza koju treba predvideti pri izboru rešenja za potpisivanje.

Tehnička i organizacijska bezbednost: neophodne mere

Tehnički zahtevi za platformu potpisivanja

U skladu sa članom 32 GDPR, mere bezbednosti moraju biti proporcionalne riziku. Za rešenje za elektronski potpis u HR-u, to se praktično prevodi na:

• Šifrovanje podataka u prenosu (TLS 1.3 minimum) i u mirovanju (AES-256)

• Višefaktorska autentifikacija (MFA) za pristup platformi

• Dnevnici revizije (logovi) vremenske marke i nefalsivljivi, praćeni svaka akcija na dokumentu

• Smeštanje u EU (ili EEE) kako bi se izbegao transfer izvan EEE bez odgovarajućih garantija (odluka adekvatnosti ili tipske klauzule ugovora)

• Testiranje intruzije godišnje i sertifikacija ISO 27001 pružaoca usluge

• Plan kontinuiteta koji garantuje dostupnost usluge i oporavak arhiva u slučaju incidenta

Analiza uticaja (AIPD): kada je obavezna?

Član 35 GDPR nalaže Analizu uticaja na zaštitu podataka (AIPD) kada je obrada verovatno da će dovesti do visokog rizika. CNIL je objavila listu tipova obrade koji zahtevaju AIPD: obrada na velikom obimu podataka vezanih za profesionalni život je tamo navedena.

Praktično, AIPD je preporučena (ili čak obavezna za velika preduzeća) pri pokretanju rešenja za elektronski potpis u HR-u koja dotiče sve saradnike. Mora da identifikuje rizike (gubitak poverljivosti, krađa identiteta, izmena dokumenata), proceni njihovu težinu i verovatnoću i predloži mere ublažavanja. Ova analiza mora biti dokumentovana i revidirana u slučaju promene obrade.

Primenjivi pravni okvir za elektronski potpis u HR-u i GDPR

Osnivači evropski tekstovi

Uredba eIDAS br. 910/2014 (i njena revizija eIDAS 2.0 u toku pokretanja): ovaj tekst definiše tri nivoa elektronskog potpisa (SES, AES, QES) i njihovu pravnu vrednost u svim državama članicama. Član 25 određuje da QES ima pravni učinak ekvivalentan ručnom potpisu. Član 26 nabrojava tehničke zahteve za napredni potpis. Kvalifikovani pružaoci usluga od poverenja upisani su na nacionalne liste poverenja (u Francuskoj, listu upravlja ANSSI).

GDPR br. 2016/679: Primenljiv od 25. maja 2018, ova uredba reguliše svaku obradu ličnih podataka u EU. Članova 5 (principi), 6 (pravne osnove), 13-14 (informacije), 28 (obrađivači), 30 (registar), 32 (bezbednost), 35 (AIPD) i 37-39 (DPO) direktno se odnose na elektronski potpis u HR-u.

Primenjivo francusko pravo

Građanski zakonik, članova 1366-1367: Član 1366 postavlja princip funkcionalne ekvivalentnosti između elektronskog i papirnog pisma. Član 1367 priznaje elektronski potpis kao način dokaza, pod uslovom da se sastoji od pouzdanog postupka identifikacije koji garantuje vezu sa aktom na koji se primenjuje. Pouzdanost se pretpostavlja za QES, ali može biti dokazana za AES.

Zakon o radu: Član L. 1221-1 ne nalaže poseban oblik za ugovor o radu (osim izuzetaka: CDD član L. 1242-12, ugovor o učenju, itd.). Zakon Macron iz 2015 (zakon br. 2015-990) otvorio je put elektronskom primanju. Član L. 3243-2 reguliše njegove modalne karakteristike.

Zakon o informatici i slobodama izmenjen (zakon br. 78-17 od 6. januara 1978): francuska transponicija GDPR, ona daje CNIL-u njegova istraga i ovlašćenja za sankcionisanje. Kazne mogu dostići 20 miliona evra ili 4% godišnjeg svetskog prometa za najteža kršenja.

Referentni tehnički standardi

• ETSI EN 319 132: Format naprednog elektronskog potpisa XAdES, primenljiv na XML dokumente

• ETSI EN 319 122: Format CAdES za elektronske potpise CMS dokumenata

• ETSI EN 319 162: Dugoročno arhiviranje elektronskih potpisa (ASiC)

• NF Z 42-013 (AFNOR): Funkcionalne specifikacije sistema za elektronsko arhiviranje sa dokaznom vrednošću

• ISO/IEC 27001: Upravljanje bezbednošću informacija, referentni okvir za sertifikaciju pružaoca usluge

Pravni rizici u slučaju neusklađenosti

Kumulativni rizik je značajan: ugovor o radu potpisano sa nedovoljnim nivoem potpisa može biti osporeno pred Savetom za rad, izlažući poslodavca preporučenju ili ništavosti. Na GDPR strani, odsustvo DPA sa pružaocem, preskakanje informisanja zaposlenih ili smeštaj izvan EU bez odgovarajućih garantija mogu dovesti do opomene CNIL-a, čak i javne administrativne sankcije.

Scenariji korišćenja: elektronski potpis u HR-u usklađen sa GDPR

Scenario 1: srednje industrijska preduzeće od 600 zaposlenih digitalizuje svoje ugovore o radu

Srednje industrijsko preduzeće, raspoređeno na četiri lokacije u Francuskoj, obrađivalo je godišnje oko 180 zapošljavanja CDD/CDI, što je generiušalo 180 papirnih dosijea koje treba odštampati, potpisati u duplo, skenirati i arhivirati. Rokovi između obećanja zapošljavanja i efektivnog potpisivanja ugovora dostigli su u proseku 8 radnih dana.

Nakon pokretanja rešenja za napredni elektronski potpis (AES) integrisanog sa SIRH-om sa DPA u skladu sa GDPR i dokumentovanom AIPD, preduzeće je skratilo ovaj rok na manje od 24 sata. Stopa nepotpunih dosijea pala je sa 34% (izvori: sektorski benchmarks ANDRH 2024). Smeštanje podataka u Francuskoj odabrano je kao ugovorna kriterijuma, uklanjajući svaki rizik od prenosa izvan EEE. Zaposleni su informisani o obradi putem integrisanog delića informacija u proces potpisa, što garantuje usklađenost sa članom 13 GDPR.

Scenario 2: maloprodajni franšizni lanac pokrenuo je QES potpis za dogovore o forfejtanim danima

Lanac distribucije specijalizovan sa oko šezdeset prodajnih lokacija i stotinu menadžera na forfejtanim danima suočio se sa identifikovanim prud'homalnim rizikom od strane njegovih pravnika: nekoliko dogovora o forfejtanim danima moglo je biti dokazano samo pomoću papirnih kopija loše kvalitete. Kasacioni sud pojačao je zahteve na dokazivanje na ovoj vrsti dogovora, rizik od spora je procenjen na nekoliko stotina hiljada evra.

Lanac je pokrenuo rešenje za kvalifikovani potpis (QES) za sve nove dogovore i ponudio menadžerima da ponovno potpiše svoje postojeće dogovore. Verifikacija identiteta putem videa odabrana je. Registar aktivnosti obrade ažurian je, i eksterni DPO je validirao usklađenost GDPR procesa. U 6 meseci, ceo parc dogovora o forfejtanim danima osiguran je. Trošak pristupa (otprilike 15 do 25 € po QES potpisu zavisno od pružaoca usluge na tržištu) procijenjen je kao značajno niži od pokrivenog rizika spora.

Scenario 3: lokalna vlada dematerijalizuje izmene i IT karte

Lokalna vlada sa oko 1.200 trajnih zaposlenih željela je da dematerijalizuje upravljanje svojim izmenama daljinskog rada nakon nacionalnog okvira sporazuma iz 2021 o daljinskom radu u javnoj službi. Obim za obradu bio je oko 400 dokumenata godišnje, sa specifičnim ograničenjima: zaposleni su javne osobe čiji se podaci obrađuju sa posebnom regulacijom.

Vlada je odabrala napredne potpise (AES), sa suverenim smeštanjem kod kvalifikovane plaćene usluge SecNumCloud od ANSSI. AIPD je podneta DPO vladi pre pokretanja. Zaposleni su obavešteni putem beleške objavljene na intranet-u i integrisanog delića informacija u digitalni proces. Služba ljudskih resursa procenila je dobitak od 3 ETP-dana mesečno na administrativnoj upravljanju izmenama, što je godišnjegospodarska od oko 35.000 € direktnih troškova, koherentna sa rasponima objavljenim od Observatorijuma za digitalnu transformaciju lokalnih vlada (2025).

Zaključak

GDPR usklađenost elektronskog potpisa za HR dokumente nije opcija: ona uslovljava i dokaznu vrednost vaših akata i zaštitu prava zaposlenih. Do 2026. godine, preduzeća koja nisu još ažurirala svoj registar obrada, potpisala DPA sa pružaocem i prilagodila nivo potpisa svakoj vrsti dokumenta izložena su dvostrukom riziku — prud'homalnom i administrativnom — čije finansijske posledice mogu biti značajne.

Dobra vest: dobro odabrano i dobro konfiguriran rešenje omogućava skladnost operativne tečnosti, usklađenosti eIDAS i poštovanja GDPR bez trenja za HR timove niti za zaposlene.

Certyneo vas prati u ovoj nastojanju: platformi u skladu sa eIDAS, dostupno DPA, evropskom smeštanju i procesu potpisa misljenom za HR. Započnite ili nastavite u nekoliko klikova.