Większość działów HR zamknęła temat RODO w 2018 roku: klauzule podpisane, rejestr czynności założony, szkolenie odhaczone. Od tego czasu zmieniło się jednak więcej, niż mogłoby się wydawać. Wyrok Naczelnego Sądu Administracyjnego z lutego 2024 roku przebudował podejście do przechowywania CV, nowelizacja Kodeksu pracy z 2023 roku uregulowała pracę zdalną, a dyrektywa o transparentności wynagrodzeń podnosi wagę dokumentacji rekrutacyjnej i płacowej.
RODO w rekrutacji i kadrach to przy tym obszar, w którym praktyka bywa bardzo różna. Część organizacji ma aktualne procedury i przeszkolonych menedżerów. Inne wciąż działają według schematów sprzed lat: zbierają dane „na zapas”, wklejają do ogłoszeń nieaktualne klauzule i przechowują CV bez określonego terminu.
W naszej praktyce projektowej widzimy to regularnie: porządkowanie systemów wynagrodzeń niemal zawsze odsłania także nieuporządkowane dane kadrowe. Ten artykuł zbiera w jednym miejscu zasady, które obowiązują dziś przy przetwarzaniu danych kandydatów i pracowników.
📋 TL;DR - co znajdziesz w tym artykule
- Kodeks pracy (art. 22¹ § 1) zawiera zamknięty katalog sześciu kategorii danych, których pracodawca może żądać od kandydata. Wszystko ponad to wymaga osobnej podstawy prawnej.
- Klauzula zgody w CV nie jest potrzebna do udziału w bieżącej rekrutacji. Podstawą przetwarzania jest przepis prawa, a nie „magiczne zdanie" pod dokumentem.
- Po wyroku NSA z 20 lutego 2024 roku (III OSK 2700/22) pracodawca może przechowywać dane kandydatów do 3 lat, jeśli służy to obronie przed roszczeniami o dyskryminację.
- UODO odradza sprawdzanie kandydatów na prywatnych profilach społecznościowych. Portale zawodowe, takie jak LinkedIn, są co do zasady dopuszczalne.
- Nagrania monitoringu wizyjnego można przechowywać maksymalnie 3 miesiące, a pomieszczenia socjalne są z nadzoru wyłączone.
- Praca zdalna wymaga od pracodawcy procedur ochrony danych, szkoleń i uzgodnionych zasad kontroli (art. 67²6 Kodeksu pracy).
- Dyrektywa 2023/970 o transparentności wynagrodzeń zwiększy znaczenie dokumentacji rekrutacyjnej i kryteriów decyzji płacowych.
RODO w rekrutacji: jakie dane kandydata można zbierać?
Punktem wyjścia nie jest samo RODO, lecz Kodeks pracy. Art. 22¹ § 1 wymienia zamknięty katalog danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie: imię (imiona) i nazwisko, datę urodzenia, dane kontaktowe wskazane przez kandydata, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Trzy ostatnie kategorie tylko wtedy, gdy są niezbędne do pracy określonego rodzaju.
Tylko sześć kategorii i nic więcej.
W praktyce oznacza to, że żądanie numeru PESEL, zdjęcia, informacji o stanie cywilnym czy dzieciach na etapie rekrutacji narusza zasadę minimalizacji danych. Warto pod tym kątem przejrzeć formularze aplikacyjne i ogłoszenia, a przy okazji zadbać o rzetelne opisy stanowisk, bo to one definiują, jakie wymagania (i jakie dane) są dla danej roli rzeczywiście niezbędne.
Osobna kwestia to dane, które kandydat podaje z własnej inicjatywy, na przykład zdjęcie w CV albo informacje o hobby. Ich otrzymanie nie jest naruszeniem, ale nie powinny być wykorzystywane ponad potrzebę ani stanowić kryterium oceny.
Zgoda kandydata – kiedy naprawdę jest potrzebna?
Formuła „wyrażam zgodę na przetwarzanie moich danych osobowych…” to prawdopodobnie najczęściej kopiowane zdanie w polskiej rekrutacji. I tak naprawdę w dużej mierze zbędne. Do udziału w bieżącej rekrutacji zgoda nie jest potrzebna, bo podstawą przetwarzania danych z katalogu kodeksowego jest przepis prawa oraz działania zmierzające do zawarcia umowy (art. 6 ust. 1 lit. b i c RODO).
Europejska Rada Ochrony Danych od lat podkreśla, że w relacji pracodawca-kandydat czy pracodawca-pracownik występuje nierównowaga sił, przez którą zgoda rzadko bywa naprawdę dobrowolna. Dlatego główne procesy HR powinny opierać się na przepisach prawa i uzasadnionym interesie, a zgodę warto rezerwować dla sytuacji, w których odmowa nie niesie żadnych konsekwencji.
Kiedy zgoda jest właściwą podstawą? Przede wszystkim w trzech przypadkach:
- Przyszłe rekrutacje: kandydat może zgodzić się na pozostawienie CV w bazie kandydatów (tzw. talent pool) na potrzeby kolejnych naborów.
- Dane spoza katalogu kodeksowego: jeśli kandydat z własnej inicjatywy przekazuje dodatkowe informacje, podstawą ich przetwarzania jest jego zgoda wyrażona przez samo działanie.
- Wizerunek: publikacja zdjęcia pracownika na stronie firmowej czy w materiałach wewnętrznych wymaga odrębnej, dobrowolnej zgody.
Zgoda musi być konkretna, świadoma i możliwa do wycofania w każdej chwili, a jej brak nie może wpływać na udział w bieżącym naborze. Klauzula wklejona „na wszelki wypadek” nie zastąpi podstawy prawnej, tworzy tylko iluzję zgodności.
Jak długo można przechowywać CV? Wyrok NSA zmienił praktykę
Przez lata dominowała konserwatywna interpretacja: dane kandydatów, którzy nie zostali zatrudnieni, należy usuwać niezwłocznie po zakończeniu rekrutacji, chyba że wyrazili zgodę na przyszłe nabory. Takie podejście prezentował poradnik UODO dla pracodawców i wiele firm wciąż się go trzyma.
Wyrok NSA z 20 lutego 2024 roku (sygn. III OSK 2700/22) urealnił tę praktykę. Sąd uznał, że pracodawca może powołać się na uzasadniony interes (art. 6 ust. 1 lit. f RODO) i przechowywać dane kandydatów do 3 lat od zakończenia rekrutacji, czyli do upływu terminu przedawnienia roszczeń związanych z dyskryminacją w naborze. Bez dokumentacji rekrutacyjnej pracodawca jest w takim sporze praktycznie bezbronny: nie ma jak wykazać, jakimi kryteriami się kierował.
Trzeba jednak uważać, bo wyrok nie oznacza dowolności. Retencja na potrzeby obrony przed roszczeniami powinna obejmować wyłącznie dane niezbędne do oceny zarzutów, mieć udokumentowaną analizę równowagi interesów i jasno zakomunikowany okres przechowywania. Zbieranie pełnych CV „na zapas”, bez celu i terminu, pozostaje niezgodne z zasadami ograniczenia celu i minimalizacji.
Jak to wygląda w uporządkowanej formie? Poniższe zestawienie podsumowuje najczęstsze sytuacje.
| Rodzaj danych | Podstawa prawna | Okres przechowywania |
|---|---|---|
| CV w bieżącej rekrutacji | Art. 22¹ Kodeksu pracy, art. 6 ust. 1 lit. b i c RODO | Do zakończenia procesu rekrutacji |
| CV na przyszłe rekrutacje (talent pool) | Zgoda kandydata (art. 6 ust. 1 lit. a RODO) | Zgodnie z deklaracją, zwykle 12-24 miesiące |
| Dane rekrutacyjne na potrzeby obrony przed roszczeniami | Uzasadniony interes (art. 6 ust. 1 lit. f RODO), wyrok NSA III OSK 2700/22 | Do 3 lat od zakończenia rekrutacji |
| Dokumentacja pracownicza (akta osobowe) | Przepisy prawa pracy i ubezpieczeń społecznych | 10 lat od ustania zatrudnienia (dla zatrudnionych od 2019 roku) |
| Nagrania monitoringu wizyjnego | Art. 22² Kodeksu pracy, uzasadniony interes | Maksymalnie 3 miesiące (dłużej tylko jako dowód w postępowaniu) |
Praktyczna wskazówka: jeśli korzystają Państwo z systemu ATS (oprogramowania do zarządzania rekrutacjami), okresy retencji warto skonfigurować w nim jako automatyczne reguły, osobno dla bazy talentów i osobno dla danych przechowywanych na potrzeby obrony przed roszczeniami. Ręczne pilnowanie terminów w arkuszach prędzej czy później zawiedzie.
RODO w rekrutacji a social media i obowiązek informacyjny
Sprawdzanie kandydatów w Internecie stało się niemal odruchem. Granica jest jednak dość wyraźna: UODO jednoznacznie odradza pozyskiwanie danych z prywatnych profili kandydatów na Facebooku, Instagramie czy TikToku, bo takie dane wykraczają poza katalog kodeksowy i naruszają zasadę minimalizacji. Portale o charakterze zawodowym, na których kandydat sam prezentuje się w roli profesjonalnej, są co do zasady dopuszczalnym źródłem informacji.
Dobrą praktyką jest spisana zasada: sprawdzamy wyłącznie źródła zawodowe, nie gromadzimy zrzutów ekranu i nie oceniamy kandydatów na podstawie życia prywatnego. Chroni to firmę przed zarzutem naruszenia RODO, a przy okazji przed oskarżeniem o dyskryminację.
Drugi element, o którym łatwo zapomnieć, to obowiązek informacyjny z art. 13 RODO. Kandydat przy pierwszym kontakcie powinien otrzymać informację o administratorze, celach i podstawach przetwarzania, okresach przechowywania oraz swoich prawach. Z tego samego powodu UODO krytycznie ocenia tak zwane rekrutacje ukryte, czyli ogłoszenia bez ujawnienia tożsamości pracodawcy: nie da się spełnić obowiązku informacyjnego, ukrywając, kto zbiera dane.
Dane pracowników: akta osobowe, monitoring i praca zdalna
Po zatrudnieniu zakres przetwarzanych danych rośnie, a wraz z nim lista obowiązków. Od 2019 roku dokumentację pracowniczą można prowadzić w pełni elektronicznie, a podstawowy okres jej przechowywania został skrócony z 50 do 10 lat od ustania zatrudnienia. To duże ułatwienie, pod warunkiem uregulowania dostępów, kopii zapasowych i umów powierzenia z dostawcą systemu kadrowo-płacowego.
Monitoring wizyjny ma w Kodeksie pracy zamknięty katalog celów: bezpieczeństwo pracowników, ochrona mienia, kontrola produkcji oraz zachowanie tajemnicy informacji. Nagrania można przechowywać maksymalnie 3 miesiące, a pomieszczenia sanitarne, szatnie, stołówki i palarnie są co do zasady wyłączone z nadzoru. Kontrola służbowej poczty elektronicznej jest dopuszczalna wyłącznie dla zapewnienia organizacji pracy i właściwego użytkowania narzędzi, bez naruszania tajemnicy korespondencji.
Praca zdalna dołożyła kolejną warstwę. Art. 67²⁶ Kodeksu pracy, obowiązujący od kwietnia 2023 roku, wymaga od pracodawcy określenia procedur ochrony danych osobowych przy pracy zdalnej, przeszkolenia pracowników oraz ustalenia zasad kontroli, która może odbywać się również zdalnie, w formie wcześniej uzgodnionej z pracownikiem. W praktyce sprawdza się prosty zestaw reguł: szyfrowanie urządzeń, zakaz pracy na prywatnym sprzęcie bez zabezpieczeń i zasady przechowywania dokumentów papierowych poza biurem.
Dwie rzeczy wciąż powodują kontrole i skargi: kopiowanie dowodów osobistych (zamiast wglądu i notatki) oraz biometria w ewidencji czasu pracy, na którą UODO konsekwentnie nie pozwala. Systematyczny przegląd procesów HR pozwala wyłapać takie praktyki, zanim zrobi to kontrola.
Dane wrażliwe i niekaralność – obszar podwyższonego ryzyka
Dane szczególnych kategorii (zdrowie, poglądy, wyznanie, orientacja) są w zatrudnieniu co do zasady objęte zakazem przetwarzania. Wyjątki muszą wynikać z wyraźnych przepisów, jak badania medycyny pracy, których dokumentacja powinna zresztą pozostawać po stronie służby medycyny pracy, a nie w aktach osobowych.
Z danymi o niekaralności jest jeszcze surowiej. Pracodawca może ich żądać tylko wtedy, gdy konkretny przepis prawa to przewiduje (np. w sektorze finansowym). Wymóg „nieposzlakowanej opinii” w ogłoszeniu nie jest taką podstawą. I co ważne: zgoda kandydata czy pracownika nie naprawi braku przepisu, bo w tej relacji zgoda nie jest uznawana za dobrowolną.
Jeżeli kandydat sam ujawni informacje wrażliwe, na przykład o stanie zdrowia, nie powinny one trafiać do notatek rekrutacyjnych ani wpływać na ocenę. Najbezpieczniej po prostu traktować je tak, jakby nigdy nie padły.
Co zmieni dyrektywa o transparentności wynagrodzeń?
Dyrektywa 2023/970 wiąże temat danych osobowych z polityką płacową mocniej niż jakakolwiek wcześniejsza regulacja. Kandydat otrzyma prawo do informacji o początkowym wynagrodzeniu lub jego widełkach, a pracodawca straci możliwość pytania o historię zarobków z poprzednich miejsc pracy. Do tego dochodzi raportowanie luki płacowej i obowiązek uzasadniania różnic w wynagrodzeniach obiektywnymi kryteriami.
Dla działów HR oznacza to konieczność spięcia dwóch światów: danych rekrutacyjnych i danych płacowych. Kryteria oceny kandydatów oraz uzasadnienia decyzji płacowych staną się dokumentacją, którą trzeba umieć przedstawić, w razie sporu nawet po latach. Trzyletnia retencja danych rekrutacyjnych, o której pisaliśmy wyżej, nabiera w tym kontekście dodatkowego znaczenia.
W projektach wartościowania stanowisk widzimy wyraźną prawidłowość: organizacje, które mają uporządkowane siatki płac i opisane kryteria, przechodzą przygotowania do dyrektywy spokojnie, bo większość dokumentacji już istnieje. Z analiz rynku wynika tymczasem, że sformalizowane siatki płac obejmujące wszystkie stanowiska ma tylko około 20% polskich pracodawców.
Reszta będzie musiała te fundamenty dopiero zbudować. Im wcześniej, tym mniejszym kosztem, bo jawność wynagrodzeń wdrażana pod presją terminu zawsze wychodzi drożej niż wdrażana z wyprzedzeniem.
Najczęstsze pytania (FAQ)
Czy klauzula zgody w CV jest nadal potrzebna?
Do udziału w bieżącej rekrutacji nie. Podstawą przetwarzania danych z katalogu kodeksowego jest przepis prawa, a nie zgoda. Zgoda jest potrzebna na udział w przyszłych rekrutacjach oraz na przetwarzanie danych wykraczających poza katalog z Kodeksu pracy.
Jak długo można przechowywać CV kandydatów?
Standardowo do zakończenia rekrutacji, a za zgodą kandydata dłużej (zwykle 12-24 miesiące w bazie talentów). Po wyroku NSA z 2024 roku pracodawca może też przechowywać dane do 3 lat na podstawie uzasadnionego interesu, w celu obrony przed roszczeniami o dyskryminację.
Czy można sprawdzić kandydata na Facebooku lub Instagramie?
UODO to odradza. Dane z prywatnych profili wykraczają poza katalog kodeksowy i naruszają zasadę minimalizacji. Dopuszczalne jest korzystanie z portali zawodowych, na których kandydat sam prezentuje się w roli profesjonalnej.
Jakich danych nie wolno żądać od kandydata?
Między innymi numeru PESEL, zdjęcia, stanu cywilnego, informacji o dzieciach, planach rodzinnych czy niekaralności (chyba że konkretny przepis przewiduje taki wymóg). Żądanie danych spoza katalogu kodeksowego narusza zasadę minimalizacji.
Czy pracodawca może skopiować dowód osobisty pracownika?
Nie. UODO wskazuje, że dopuszczalny jest wgląd do dokumentu i sporządzenie notatki z niezbędnych danych. Kopiowanie dokumentów tożsamości to jedna z najczęściej kwestionowanych praktyk kadrowych.
Jak długo można przechowywać nagrania z monitoringu?
Co do zasady maksymalnie 3 miesiące od nagrania. Dłużej tylko wtedy, gdy nagranie stanowi dowód w postępowaniu. Monitoring nie może też obejmować pomieszczeń sanitarnych, szatni, stołówek ani palarni.
Czy można kontrolować pracownika na pracy zdalnej?
Tak, w zakresie wykonywania pracy, BHP oraz przestrzegania procedur ochrony danych. Forma kontroli (osobista lub zdalna) musi być wcześniej uzgodniona i nie może naruszać prywatności pracownika ani jego domowników.
Słownik kluczowych pojęć
RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych, stosowane od 25 maja 2018 roku. Określa zasady i podstawy przetwarzania danych, prawa osób oraz obowiązki administratorów.
Administrator danych
Podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. W relacjach pracowniczych administratorem jest pracodawca, również wtedy, gdy korzysta z zewnętrznych systemów lub usług.
Uzasadniony interes
Podstawa przetwarzania z art. 6 ust. 1 lit. f RODO. Pozwala przetwarzać dane bez zgody, jeśli interes administratora przeważa nad prawami osoby, co wymaga udokumentowanej analizy (testu równowagi).
Dane szczególnych kategorii
Tak zwane dane wrażliwe: o zdrowiu, poglądach, wyznaniu, orientacji czy dane biometryczne. Ich przetwarzanie jest co do zasady zakazane, a wyjątki określa art. 9 RODO i przepisy szczególne.
Obowiązek informacyjny
Wynikający z art. 13 i 14 RODO obowiązek poinformowania osoby m.in. o administratorze, celach i podstawach przetwarzania, okresie przechowywania oraz przysługujących jej prawach.
Retencja danych
Okres, przez jaki dane osobowe są przechowywane. Polityka retencji określa terminy i sposób usuwania lub anonimizacji danych po osiągnięciu celu przetwarzania.
ATS
Applicant Tracking System, czyli oprogramowanie do zarządzania rekrutacjami. Dobrze skonfigurowany ATS wspiera zgodność z RODO: rejestruje zgody, pilnuje okresów retencji i loguje dostęp do danych kandydatów.
Umowa powierzenia
Umowa zawierana z podmiotem przetwarzającym dane w imieniu administratora (np. dostawcą systemu kadrowo-płacowego lub ATS). Określa zakres, cel i zabezpieczenia przetwarzania.
DPIA
Ocena skutków dla ochrony danych (Data Protection Impact Assessment), wymagana przy przetwarzaniu wysokiego ryzyka, np. rozbudowanym monitoringu pracowników. Dokumentuje ryzyka i środki ich ograniczenia.
Od czego zacząć porządkowanie danych w HR?
Pełna zgodność to projekt na miesiące, ale pierwsze kroki można wykonać szybko. W praktyce najlepiej sprawdza się następująca kolejność:
- Przegląd ogłoszeń i formularzy rekrutacyjnych. Usunięcie pól wykraczających poza katalog kodeksowy zajmuje niewiele czasu, a likwiduje najbardziej widoczne ryzyko.
- Aktualizacja klauzul informacyjnych. Powinny odzwierciedlać rzeczywiste podstawy przetwarzania i okresy retencji, w tym 3-letni okres na potrzeby obrony przed roszczeniami, jeśli z niego korzystacie.
- Polityka retencji w systemach rekrutacyjnych. Automatyczne reguły usuwania danych zamiast ręcznego pilnowania terminów.
- Przegląd regulaminów monitoringu i pracy zdalnej. Cele, zakres i zasady kontroli muszą odpowiadać temu, co firma faktycznie robi.
- Krótkie szkolenie menedżerów. Większość naruszeń powstaje w codziennej praktyce: przy przekazywaniu CV mailem, kopiowaniu dokumentów czy pytaniach na rozmowach rekrutacyjnych.
RODO w rekrutacji i kadrach nie musi być hamulcem. Uporządkowane dane, jasne podstawy przetwarzania i spójna dokumentacja płacowa to ten sam kierunek, który wymusi dyrektywa o transparentności wynagrodzeń, więc praca wykonana teraz zwróci się podwójnie. Jeśli Państwa organizacja przygotowuje się do tych zmian i chce połączyć porządek w danych z porządkiem w wynagrodzeniach, zapraszamy do kontaktu. Chętnie pokażemy, jak wygląda to w praktyce projektowej.
Sprawdź artykuły na blogu
Umów się na darmową konsultację
Kontakt
Napisz do nas - odezwiemy się jeszcze tego samego dnia!
Działamy na terenie całej Polski