Elektronisk signatur HR och GDPR: komplett guide 2026

Digitaliseringen av personalfunktionen har accelererat avsevärt sedan 2020: arbetsavtal, ändringar, lönebesked, IT-policys, avtal om distansarbete — nästan alla dessa dokument överförs nu i digital form. Ändå betyder demateriisering inte att man kan undvika juridiska skyldigheter. Tvärtom: elektronisk signatur för HR-dokument enligt GDPR är ett ämne med dubbel regelverkstillämping, eftersom det kombinerar eIDAS-ramverket om signaturens beviskraft och EU:s förordning om dataskydd. Om detta missköts exponerar det företaget för juridiska risker och CNIL-sanktioner. Den här guiden presenterar de väsentliga reglerna, bästa praxis och kritiska punkter du måste känna till 2026.

Varför gäller GDPR för elektronisk signatur HR?

Elektronisk signatur behandlar nödvändigtvis personuppgifter

Att underteckna ett arbetsavtal online innebär att samla in, överföra och lagra personuppgifter i enlighet med artikel 4 i GDPR 2016/679: namn, förnamn, e-postadress på jobbet, ibland mobilnummer, tidsstämpel och IP-adress för signatur. I en HR-kontext är dessa uppgifter särskilt känsliga eftersom de direkt identifierar den anställde och är kopplade till hans eller hennes avtalsrelation med arbetsgivaren.

Leverantören av betrodda tjänster (PSC) som tillhandahåller signerarlösningen klassificeras som databehandlare i enlighet med artikel 28 i GDPR. Arbetsgivaren förblir personuppgiftsansvarig. Denna distinktion är grundläggande: det är företaget som svarar för CNIL om det finns en överträdelse, inte programvaruleverantören.

Rättsliga grunder som kan användas i HR-sammanhang

För varje kategori av demateriiserade HR-dokument måste arbetsgivaren identifiera den lämpligaste rättsliga grunden för behandlingen:

• Avtalets utförande (art. 6.1.b GDPR): signering av arbetsavtal, löneändring, försäljningsavtal. Det är den mest robusta rättsliga grunden för avtalshandlingar.

• Rättslig skyldighet (art. 6.1.c GDPR): digital överföring av lönebesked (tillåtet sedan Macron-lagen 2015 under vissa villkor), personalregister.

• Berättigat intresse (art. 6.1.f GDPR): IT-policys, arbetsregler, internt policydokument — förutsatt att balanstest utförts.

Basen samtycke (art. 6.1.a) bör undvikas i HR-sammanhang: CNIL och EDPB (Europeiska dataskyddsnämnden) anser att underordningsförhållandet mellan arbetsgivare och anställd gör samtycket sällan fritt. En anställd som vägrar att signera elektroniskt kan frukta professionella konsekvenser.

Konkreta skyldigheter för personuppgiftansvarig HR

Uppdatera behandlingsregister

Artikel 30 i GDPR förpliktar alla organisationer med fler än 250 anställda (och små och medelstora företag som behandlar känslig data i stor skala) att föra ett behandlingsregister. Introduktionen av ett elektroniskt signeringsverktyg för HR-dokument måste finnas i registret med:

• Behandlingens syfte (t.ex. demateriisering och arkivering av HR-avtalshandlingar)

• Kategorier av behandlade data (identitet, kontaktuppgifter, autentiseringsdata)

• Lagringsperiod (lagsbestämd lagringsperiod för arbetsavtal: 5 år efter att avtalet slutat enligt arbetsrätten, art. L. 1234-20)

• Leverantörens kontaktuppgifter (signerarplattformen)

• Implementerade säkerhetsmått

Skriv ett DPA (datarörelseavtal) med leverantören

I enlighet med artikel 28 i GDPR måste all användning av en databehandlare för behandling av personuppgifter formaliseras via ett datarörelseavtal (DPA). Detta avtal måste specificera:

• Behandlingens objekt och varaktighet

• Behandlingens karaktär och syfte

• Typen av personuppgifter och kategorier av registrerade

• Personuppgiftansvarigs skyldigheter och rättigheter

• Dataplaceringen (lagring inom EU rekommenderas för att undvika överföringar utanför EES)

• Tekniska och organisatoriska säkerhetsmått

En seriös leverantör av elektronisk signatur erbjuder systematiskt ett kompatibelt DPA. Dess frånvaro utgör omedelbar icke-överensstämmelse som kan sanktioneras.

Informera anställda före första signering

Artikel 13 i GDPR förpliktar föregående information till personer vars data samlas in. Innan du distribuerar elektronisk signatur för HR-dokument måste arbetsgivaren informera anställda om:

• Personuppgiftansvarigs identitet

• Behandlingens syfte och rättsliga grund

• Datalagringsperiod

• Deras rättigheter (åtkomst, rättelse, radering inom lagliga lagringsgränser, dataöverförbarhet)

• Dataskyddsombudsmans (DPO) kontaktuppgifter om utsedd

Denna information kan integreras i signeringsprocessen (informationsbanner före signering), i uppdaterad arbetsordning eller via ett tjänstebrev distribuerat vid lansering.

Signeringsnivå krävd för HR-dokument: SES, AES eller QES?

eIDAS-nivåernas hierarki

Förordningen eIDAS 910/2014 definierar tre signeringsnivåer för elektronisk signatur, var och en med ökande beviskraft:

• SES (Simple Electronic Signature / Enkel elektronisk signatur): låg beviskraft, lämplig för lågriskdokument (mottagningsbekräftelser, interna formulär)

• AES (Advanced Electronic Signature / Avancerad elektronisk signatur): unikt kopplad till signeraren, skapad från data under hans eller hennes exklusiva kontroll. Lämplig för de flesta vanliga HR-dokument.

• QES (Qualified Electronic Signature / Kvalificerad elektronisk signatur): högsta nivå, motsvarar handskriven signatur enligt art. 25.2 eIDAS. Kräver förstärkt identitetsverifiering (ansikte-mot-ansikte eller videoidentifikation).

Vilken nivå för vilka HR-dokument?

Rekommenderad kartläggning 2026, med hänsyn till franska rättsliga ställningstaganden och sektorsrekommendationer:

| HR-dokument | Rekommenderad nivå | Motivering | |---|---|---| | Arbetsavtal för fast/tidsbegränsat anställning | AES minimum, QES rekommenderat | Stark avtalsväde, arbetsrättskonfliktsrisk | | Avtalsändring | AES minimum, QES rekommenderat | Samma logik som huvudavtalet | | Prövotid (förnyelse) | AES | Kort tidsram, begränsat formkrav | | Distansarbete/BYOD-policy | SES eller AES | Kollektivt avtal eller arbetsordning | | Försäljningsavtal | QES starkt rekommenderat | Arbetsrättspraxis kräver mycket | | Vänskapsöverenskommelse | QES obligatorisk | Homologerat Cerfa-formulär, högt värde | | Slutavräkningsmottagande | AES eller QES | Skuldbefrielseväde, art. L. 1234-20 arbetsrätten |

För högriskdokument (försäljningsavtal, vänskapsöverenskommelse) är QES faktiskt obligatorisk för att säkerställa tillämplighet inför arbetsdomstolar. Högsta domstolen har gradvis skärpt sina beviskrav på anställds överenskommelse.

Lagring, arkivering och personrättigheter: fallgropar att undvika

Lagsbestämda lagringstider för signerade HR-dokument

Lagring av elektroniskt signerade HR-dokument följer lagsbestämda lagringskrav. Dessa krav övertrumfar GDPR:s rätt till radering (art. 17.3.b):

• Arbetsavtal: 5 år efter avtalets slut (arbetsrätt föreskrift, art. L. 1471-1 arbetsrätt)

• Lönebesked: 5 år (lönepresentation), men lagring rekommenderas tills pensionsrättigheter är avslutade

• Arbetsskadehandlingar: 30 år (långsiktigt tvistrisiko)

• Yrkesutbildning (planer, intyg): 3 år

• Personalregister: 5 år efter det datum då anställd lämnade etablering

Elektronisk arkivering med beviskraft måste uppfylla kraven i NF Z 42-013 och helst ETSI EN 319 162 (långtidsarkivering av elektroniska signaturer). Enkel lagrning på server räcker inte: du måste garantera integritet, läsbarhet och tidsstämpel för dokument under hela lagringslängden.

Hantera anställdas rättigheter utan att kompromissa beviskraften

En anställd kan lagligt utöva sin åtkomsträttighet (art. 15 GDPR) för att få kopia av signaturdata som rör honom eller hennes. Han eller hon kan också begära rättelse av felaktiga uppgifter.

Å andra sidan kan rätten till radering (art. 17 GDPR) inte utövas på HR-dokument som är föremål för lagsbestämda lagringskrav. Arbetsgivaren måste kunna tydligt förklara detta avslag med hänvisning till tillämplig rättslig grund. Att dokumentera dessa utbyten i registret över rättighetsförfrågningar är en rekommenderad praxis från CNIL.

Portabilitet (art. 20 GDPR) gäller data som tillhandahålls av anställd på basis av samtycke eller avtalsutförande. I praktiken kan en anställd begära sina signaturuppgifter i strukturerat format — en skyldighet att förutse vid val av signeringslösning.

Teknisk och organisatorisk säkerhet: väsentliga mått

Tekniska krav för signeringsplattform

I enlighet med artikel 32 i GDPR måste säkerhetsmått vara lämpliga till risken. För en elektronisk signeringslösning för HR innebär detta särskilt:

• Kryptering av data under överföring (TLS 1.3 minimum) och lagring (AES-256)

• Multifaktorautentisering (MFA) för plattformsåtkomst

• Granskningsloggar (logs) tidsstämplade och oföränderbara, spårande varje åtgärd på dokument

• Lagring inom EU (eller EES) för att undvika överföringar utanför EES utan adekvata garantier (adekvathetsbeslut eller standardavtalsklausuler)

• Årslig intrångstestning och ISO 27001-certifiering av leverantörer

• Kontinuitetsplan garanterar tjänsttillgänglighet och arkivåterställning vid incident

Påverkansanalys (DPIA): när är den obligatorisk?

Artikel 35 i GDPR förpliktar en Påverkansanalys för dataskydd (DPIA) när behandlingen kan medföra högt risiko. CNIL har publicerat en lista över behandlingstyper som kräver DPIA: storskalig behandling av data om arbetsliv är nämnda.

I praktiken rekommenderas en DPIA (eller är obligatorisk för stora företag) vid lansering av elektronisk signeringslösning för HR som påverkar all personal. Den måste identifiera risker (konfidentialitetsförlust, identitetsstöld, dokumentändring), bedöma allvarlighetsgrad och sannolikhet, och föreslå riskminskningsmått. Denna analys måste dokumenteras och granskas om behandlingen ändras.

Tillämpligt rättsligt ramverk för elektronisk signatur HR och GDPR

Grundläggande EU-texter

Förordning eIDAS 910/2014 (och dess revision eIDAS 2.0 under distribution): denna text definierar tre nivåer av elektronisk signatur (SES, AES, QES) och deras juridiska väde i alla medlemsstater. Artikel 25 föreskriver att QES har samma juridiska verkan som handskriven signatur. Artikel 26 listar de tekniska kraven för avancerad signatur. Kvalificerade betrodda leverantörer är inskrivna på nationella förteckningar (i Frankrike hanteras listan av ANSSI).

GDPR 2016/679: tillämplig sedan 25 maj 2018, denna förordning styr all behandling av personuppgifter inom EU. Artiklarna 5 (principer), 6 (rättsliga grunder), 13-14 (information), 28 (databehandlare), 30 (register), 32 (säkerhet), 35 (DPIA) och 37-39 (DPO) är direkt relevanta för elektronisk signatur HR.

Tillämplig fransk rätt

Civillag, artiklar 1366-1367: artikel 1366 slår fast principen om funktionell ekvivalens mellan elektronisk och papperslöst text. Artikel 1367 erkänner elektronisk signatur som bevismetod, förutsatt att den består av ett tillförlitligt identifieringsförfarande som garanterar sambandet med handlingen. Tillförlitlighet presumeras för QES men kan påvisas för AES.

Arbetsrätt: artikel L. 1221-1 kräver ingen särskild form för arbetsavtalet (utom undantag: tidsbegränsat anställning art. L. 1242-12, lärlingsavtal, etc.). Macron-lagen 2015 (lag 2015-990) öppnade vägen för elektroniskt lönebesked. Artikel L. 3243-2 reglerar dess villkor.

Dataskyddslag ändrad (lag 78-17 från 6 januari 1978): fransk transponering av GDPR, ger CNIL undersöknings- och sanktionskraft. Böter kan nå 20 miljoner euro eller 4 % av årlig världsomfattande omsättning för grovaste överträdelser.

Tekniska referensstandarder

• ETSI EN 319 132: avancerat elektroniskt signaturformat XAdES, tillämpligt på XML-dokument

• ETSI EN 319 122: CAdES-format för elektronisk signatur av CMS-dokument

• ETSI EN 319 162: långtidsarkivering av elektroniska signaturer (ASiC)

• NF Z 42-013 (AFNOR): funktionella specifikationer för ett bevisvärdigt elektroniskt arkiveringssystem

• ISO/IEC 27001: informationssäkerhetsstyrning, certifieringsreferens förväntad från leverantörer

Juridiska risker vid icke-överensstämmelse

Kumulativa risker är betydande: ett arbetsavtal undertecknat med otillräcklig signeringsnivå kan ifrågasättas inför arbetsdomstol, exponerande arbetsgivaren för omklassificering eller ogiltigförklaring. På GDPR-sidan kan frånvaro av DPA med leverantör, uteblivet informerande av anställda eller lagring utanför EU utan adekvata garantier leda till CNIL-uppmaning eller administrativ sanktionering.

Användningsscenarier: elektronisk signatur HR överensstämmelse med GDPR

Scenario 1: ett medium industriföretag med 600 anställda demateriiserar arbetsavtal

Ett industriföretag av medelstor storlek, spritt på fyra platser i Frankrike, behandlade årligen cirka 180 fast/tidsbegränsad anställning, vilket genererade så många pappersmappar att skrivas ut, undertecknas i duplikat, skannas och arkiveras. Förseningarna mellan arbetsanbudet och avtalsunderteckningstidpunkten nådde i genomsnitt 8 arbetsdagar.

Efter lansering av en avancerad signeringslösning (AES) integrerad i sitt SIRH-system, med ett GDPR-kompatibelt DPA undertecknat med leverantören och en dokumenterad DPIA, minskat företaget denna försening till mindre än 24 timmar. Andelen ofullständiga mappar sjönk från 34 % (källor: ANDRH sektorbenchmarks 2024). Lagring av uppgifter i Frankrike valdes som avtalsvillkor, vilket eliminerade risken för överföringar utanför EES. Anställda informeras om behandlingen via ett informationsbaner integrerat i signatur vägen, vilket garanterar överensstämmelse med artikel 13 i GDPR.

Scenario 2: ett detaljhandelsfranchisnät distribuerar QES-signatur för försäljningsavtal

Ett distributionsnätverk med cirka sextio butiker och hundra försäljningschefer vid försäljning stod inför identifierad arbetsrättlig risk: flera försäljningsavtal kunde endast bevisas genom kopior av pappersuppgifter av dålig kvalitet. Högsta domstolen har skärpt sitt beviskrav för denna avtalstyp, vilket skattade tvistrisken till flera hundratusentals euro.

Nätverket distribuerade en kvalificerad signeringslösning (QES) för alla nya avtal och erbjöd försäljningschefer på plats att resignera sina befintliga avtal. Identitetsverifiering genom videoidentifikation valdes. Behandlingsregistret uppdaterades och en extern dataskyddschef validerade GDPR-överensstämmelsen för vägen. Inom 6 månader säkerställdes hela portföljen av försäljningsavtal. Kostnaden för ingreppet (cirka 15 till 25 € per QES-signatur enligt marknadsaktörer) bedömdes långt underskrida den täckta tvistrisken.

Scenario 3: en lokal myndighet demateriiserar ändringar och distansarbetspolicys

En lokal myndighet med cirka 1 200 permanenta anställda ville demateriisera hanteringen av sina distansarbetändringar efter 2021 nationalt ramavtal om distansarbete i offentlig sektor. Volymen att bearbeta var cirka 400 dokument per år, med särskilda villkor: anställda är offentliga personer vars uppgifter är föremål för särskilt streng behandling.

Myndigheten valde avancerade signaturer (AES), med oberoende lagring hos en leverantör kvalificerad SecNumCloud av ANSSI. DPIA skickades till myndighetens dataskyddschef före lansering. Anställda informerades via tjänstebrev publicerat på intranät och ett informationsbaner i den digitala vägen. HR-avdelningen uppskattade en vinst på 3 FTE-dagar per månad på administrativ hantering av ändringar, motsvarande en årlig besparing på cirka 35 000 € i direkta kostnader, överensstämmande med intervall publicerade av Observationen av digitalisering av lokala myndigheter (2025).

Slutsats

GDPR-överensstämmelse för elektronisk signatur av HR-dokument är inte valfritt: det villkora både dina aktsamlings juridiska värde och dina anställdas rättskydd. 2026 exponerar företag som ännu inte uppdaterat sitt behandlingsregister, undertecknat ett DPA med sin leverantör och anpassat signeringsnivå till varje dokumenttyp sig för dubbel risk — arbetsrättslig och administrativ — vars ekonomiska konsekvenser kan vara betydande.

Den goda nyheten: en väl vald och väl konfigurerad lösning gör det möjligt att förena operativ fluiditet, eIDAS-överensstämmelse och GDPR-respekt utan friktion för HR-team eller anställda.

Certyneo följer dig i denna process: eIDAS-kompatibel plattform, tillgängligt DPA, europeisk lagring och signeringsvägar utformade för HR. Upptäck vår dedikerade HR-lösning eller beräkna avkastningen på din övergång till helt digital på några klick.