Back to Blog
ComplianceRODORekrutacjaPolska

RODO w Rekrutacji 2026: Praktyczny Przewodnik dla Rekruterów

RODO w rekrutacji — co możesz przetwarzać, jak długo przechowywać dane kandydatów, jakie zgody zbierać i jak unikać kar UODO. Praktyczny przewodnik dla polskich rekruterów.

Janis Kolomenskis

9 min read
Share
RODO w rekrutacji — przewodnik dla polskich rekruterów 2026

Urząd Ochrony Danych Osobowych nałożył w 2024 roku kary na 47 podmiotów — łącznie ponad 8 milionów złotych. Część z tych kar dotyczyła właśnie rekrutacji: przechowywania CV bez podstawy prawnej, zbierania zbyt szerokiego zakresu danych, braku odpowiedzi na żądania kandydatów. Nie są to abstrakcyjne ryzyka. Zdarzają się realnym firmom i agencjom rekrutacyjnym.

Ten artykuł nie jest wykładem z teorii prawa. To praktyczne zestawienie tego, co powinieneś wiedzieć, jeśli codziennie przetwarzasz dane kandydatów — w systemie ATS, w arkuszu kalkulacyjnym, w skrzynce mailowej.

Podstawy prawne przetwarzania danych w rekrutacji

RODO wymaga, żeby każde przetwarzanie danych miało konkretną podstawę prawną. W rekrutacji masz do dyspozycji kilka z nich, ale nie każda nadaje się do każdej sytuacji.

Art. 6 ust. 1 lit. b) RODO — przetwarzanie niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. To brzmi skomplikowanie, ale w praktyce oznacza: kandydat sam wysyła CV na ogłoszenie. Ta podstawa prawna obejmuje dane wymagane przepisami prawa pracy — imię, nazwisko, dane kontaktowe, przebieg zatrudnienia, wykształcenie.

Art. 6 ust. 1 lit. a) RODO — zgoda. Potrzebna jest do wszystkiego, co wychodzi poza zakres niezbędny do oceny kandydatury. Czyli: przechowywanie CV po zakończeniu rekrutacji "na przyszłość", przetwarzanie danych kandydatów, którzy nie aplikowali wprost (np. pozyskanych podczas sourcingu na LinkedIn), dodawanie do bazy talentów.

Ważna rzecz, której wiele firm nie rozumie: nie możesz zbierać zgody na przetwarzanie danych niezbędnych do rekrutacji. To brzmi paradoksalnie, ale ma sens — zgoda musi być dobrowolna, a kandydat składający aplikację nie może swobodnie jej odmówić bez konsekwencji dla swojej kandydatury. UODO w swoich wytycznych wyraźnie wskazuje, że zgoda w tym zakresie byłaby wadliwa.

Co możesz, a czego nie możesz zbierać

Polskie prawo pracy (art. 22¹ Kodeksu pracy) precyzuje, jakich danych możesz żądać od kandydata. Lista jest zamknięta:

  • imię i nazwisko
  • data urodzenia
  • dane kontaktowe (adres, telefon, e-mail)
  • wykształcenie
  • przebieg dotychczasowego zatrudnienia

Co to oznacza? Nie możesz wymagać podania numeru PESEL przed zatrudnieniem, informacji o stanie zdrowia, danych o sytuacji rodzinnej, zdjęcia (chyba że jest to uzasadnione charakterem stanowiska — np. model, aktor). Formularz aplikacyjny z polem "PESEL" to błąd. Z polem "stan cywilny" — też błąd.

Kandydat może dobrowolnie podać więcej danych — np. zdjęcie w CV, informację o zainteresowaniach. Ale "dobrowolnie" oznacza, że brak tych informacji nie może dyskwalifikować kandydatury.

Dane szczególnych kategorii (art. 9 RODO) — stan zdrowia, przynależność związkowa, poglądy polityczne, dane biometryczne — są zasadniczo zakazane w rekrutacji. Jedynym wyjątkiem są sytuacje, gdzie jest to absolutnie niezbędne (np. badania wstępne wymagane przez przepisy BHP, ale tylko po podjęciu decyzji o zatrudnieniu). Jeśli Twój formularz aplikacyjny pyta o cokolwiek z tej kategorii, usuń to dziś.

Zgoda kandydata — jak ją poprawnie zbierać

Zgoda musi spełniać konkretne warunki: być dobrowolna, konkretna, świadoma i jednoznaczna. Checkboxy pre-zaznaczone ("wyrażam zgodę na przetwarzanie danych w przyszłych rekrutacjach ✓") nie są zgodą — są nieważne.

Dobra klauzula zgody na przetwarzanie danych po zakończeniu rekrutacji powinna zawierać:

  • kto jest administratorem danych (pełna nazwa firmy, adres, NIP)
  • cel przetwarzania (udział w przyszłych procesach rekrutacyjnych)
  • okres przechowywania danych (np. 12 miesięcy)
  • prawa kandydata (dostęp, sprostowanie, usunięcie, cofnięcie zgody)
  • informację, że zgoda jest dobrowolna i jej nieudzielenie nie wpłynie na ocenę aktualnej kandydatury

Przykładowy tekst zgody:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez [Nazwa firmy] z siedzibą w [Adres] w celu uwzględnienia mojej kandydatury w przyszłych procesach rekrutacyjnych, przez okres 12 miesięcy od daty złożenia aplikacji. Wiem, że mam prawo dostępu do danych, ich sprostowania, usunięcia oraz cofnięcia zgody w dowolnym momencie bez wpływu na legalność wcześniejszego przetwarzania. Cofnięcie zgody jest możliwe poprzez kontakt na adres [e-mail].

Jeśli prowadzisz bazę kandydatów do sourcingu, każda osoba w tej bazie powinna mieć udokumentowaną podstawę prawną przetwarzania jej danych. Brak dokumentacji to problem nawet jeśli masz dobrą wolę.

Okresy przechowywania danych kandydatów

To obszar, w którym wiele firm popełnia błędy. Ogólna zasada: dane można przechowywać tylko tak długo, jak istnieje podstawa prawna.

SytuacjaPodstawa prawnaZalecany okres przechowywania
Kandydat aplikował na ogłoszenie, nie dostał pracyArt. 6 ust. 1 lit. b)Do zakończenia rekrutacji + czas na ewentualne roszczenia (3 miesiące)
Kandydat wyraził zgodę na przyszłe rekrutacjeArt. 6 ust. 1 lit. a) — zgodaZgodnie z treścią zgody, max. 12 miesięcy
Kandydat został zatrudnionyArt. 6 ust. 1 lit. b) — umowaPrzez cały okres zatrudnienia + 10 lat (akt pracowniczych)
Sourcing — kandydat nie aplikowałArt. 6 ust. 1 lit. a) — zgoda lub uzasadniony interes (ostrożnie)Do czasu wycofania zgody / sprzeciwu

Wiele firm trzyma CV "bo może się kiedyś przyda". Bez zgody kandydata jest to nielegalne. UODO w decyzji z 2023 roku ukarała firmę właśnie za to — przechowywała CV kandydatów przez 3 lata bez żadnej podstawy prawnej.

Zrób audyt swojego ATS i skrzynki mailowej. Jeśli masz CV kandydatów z 2022 roku bez udokumentowanej podstawy przetwarzania — usuń je. Ryzyko kary jest realne, a kara za takie naruszenie może sięgnąć 4% rocznego obrotu firmy lub 20 milionów euro.

Prawa kandydatów, o których musisz wiedzieć

RODO daje kandydatom szerokie prawa. Jako administrator danych musisz na nie odpowiedzieć — zazwyczaj w ciągu 30 dni.

Prawo dostępu (art. 15) — kandydat może zapytać, jakie jego dane przechowujesz i w jakim celu. Musisz podać wyczerpującą odpowiedź, w tym okres przechowywania i źródło pozyskania danych.

Prawo do usunięcia danych (art. 17) — potocznie "prawo do bycia zapomnianym". Jeśli nie masz już podstawy prawnej przetwarzania danych kandydata, musisz je usunąć na jego żądanie. Usunąć — nie anonimizować, nie przenosić do archiwum.

Prawo do sprostowania (art. 16) — kandydat może żądać poprawienia błędnych danych. Banalne, ale warto mieć procedurę.

Prawo do przenoszenia danych (art. 20) — dotyczy tylko sytuacji, gdzie przetwarzasz dane na podstawie zgody lub umowy, w sposób zautomatyzowany. Kandydat może poprosić o plik z danymi w formacie maszynowo czytelnym (CSV, JSON).

Brak odpowiedzi na żądanie kandydata w terminie jest sam w sobie naruszeniem RODO — niezależnie od tego, czy dane były przetwarzane prawidłowo. UODO nakłada kary za brak odpowiedzi równie surowe jak za naruszenia materialne.

Jak poprawnie zarządzać danymi w ATS

System ATS to zazwyczaj centralne miejsce przechowywania danych kandydatów. To oznacza, że wybór ATS i sposób jego konfiguracji ma bezpośredni wpływ na zgodność z RODO.

Na co zwrócić uwagę w systemie ATS pod kątem RODO:

  • Automatyczne usuwanie danych po upływie okresu przechowywania — ręczne czyszczenie baz to proszenie się o problem. Dobry ATS przypomni o wygaśnięciu okresu retencji lub usunie dane automatycznie.
  • Dokumentacja zgód — każda zgoda kandydata powinna być zapisana z datą, treścią i metodą wyrażenia (checkbox w formularzu, e-mail, etc.).
  • Ograniczenie dostępu — nie każdy pracownik musi mieć dostęp do pełnych profili kandydatów. ATS powinien umożliwiać zarządzanie uprawnieniami.
  • Lokalizacja serwerów — dane powinny być przetwarzane na serwerach w UE lub w kraju z odpowiednią decyzją o adekwatności (USA — tylko jeśli dostawca jest certyfikowany w Data Privacy Framework). Zapytaj dostawcę wprost.
  • Umowa powierzenia przetwarzania — jeśli ATS jest narzędziem SaaS (jak większość), dostawca przetwarza dane kandydatów w Twoim imieniu. Musisz mieć podpisaną umowę DPA (Data Processing Agreement).

Yena oferuje wbudowane mechanizmy zarządzania zgodami i automatyczne przypomnienia o wygasaniu okresu retencji. Wszystkie dane przetwarzane są na serwerach w UE, a umowa DPA jest dostępna automatycznie po rejestracji. Więcej o tym na stronie cennika i funkcji.

Rekrutacja przez LinkedIn i sourcing — szara strefa RODO

To temat, o którym rzadko mówi się wprost, a który jest realnym ryzykiem dla agencji rekrutacyjnych.

Kiedy piszesz do kandydata na LinkedIn z propozycją pracy, przetwarzasz jego dane osobowe — imię, nazwisko, stanowisko, historia zatrudnienia. LinkedIn ma własną politykę prywatności, która pozwala użytkownikom udostępniać te dane. Ale nie zwalnia Cię to z obowiązków wynikających z RODO, jeśli te dane przenosisz do własnego systemu.

Bezpieczna praktyka: dane pozyskane przez sourcing możesz przetwarzać wyłącznie w celu, dla którego je pozyskałeś — czyli jednorazowego kontaktu rekrutacyjnego. Jeśli chcesz dodać kandydata do swojej bazy na przyszłość, potrzebujesz jego zgody. Albo możesz powołać się na uzasadniony interes (art. 6 ust. 1 lit. f), ale musisz wykonać test wyważenia interesów i udokumentować go.

Praktyczne minimum: kiedy wyślesz wiadomość do kandydata z LinkedIn, dołącz krótką informację o tym, kto przetwarza dane, w jakim celu i jak kandydat może zażądać usunięcia. To nie musi być długi tekst — dwie zdania wystarczą, ale muszą być.

Kary UODO — przykłady z praktyki

Żeby nie był to tylko zbiór przepisów bez kontekstu — kilka realnych przypadków.

Spółka rekrutacyjna, kara 45 000 PLN (2023) — firma przechowywała CV kandydatów przez 4 lata bez udokumentowanej podstawy prawnej. Naruszenie wykryto po tym, jak kandydat złożył wniosek o usunięcie danych i nie otrzymał odpowiedzi w terminie.

Agencja HR, kara 20 000 PLN (2024) — formularz aplikacyjny zbierał datę urodzenia jako pole obowiązkowe. UODO uznało, że data urodzenia nie jest niezbędna do oceny kandydatury na oferowane stanowiska.

Dział HR korporacji, kara 100 000 PLN (2024) — naruszenie bezpieczeństwa danych kandydatów: baza CV dostępna publicznie przez błędną konfigurację chmury. Kara wynikała z naruszenia art. 32 RODO (bezpieczeństwo przetwarzania), nie z braku zgód.

Co łączy te przypadki? Każde z nich to błąd proceduralny lub techniczny, nie celowe działanie. UODO nie musi udowadniać złej woli — wystarczy naruszenie przepisów.

Praktyczna lista kontrolna dla rekruterów

Na koniec — rzeczy do sprawdzenia w swojej organizacji. Nie wymagają prawnika, wymagają czasu i dobrej woli:

Formularze aplikacyjne: Sprawdź, czy nie zbierasz danych, których nie powinieneś (PESEL, stan cywilny, zdjęcie jako obowiązkowe). Usuń niepotrzebne pola.

Klauzule informacyjne: Każde ogłoszenie rekrutacyjne i formularz aplikacyjny powinny zawierać klauzulę informacyjną (art. 13 RODO) — kto jest administratorem, w jakim celu i jak długo dane są przetwarzane, jak kandydat może skorzystać ze swoich praw.

Zgody na przyszłe rekrutacje: Jeśli chcesz trzymać CV po zakończeniu rekrutacji, musisz mieć wyraźną, dobrowolną zgodę. Klauzula "wyrażam zgodę na przetwarzanie w przyszłych rekrutacjach" musi być osobna od klauzuli obowiązkowej.

Audyt bazy kandydatów: Kiedy ostatnio sprawdzałeś, jakie dane masz w ATS i czy masz podstawę do ich przetwarzania? Raz w roku to minimum.

Procedura odpowiedzi na żądania: Kto w Twojej firmie jest odpowiedzialny za odbieranie wniosków RODO od kandydatów? Jak szybko jesteś w stanie odpowiedzieć? 30 dni to maksimum, ale lepiej celować w 7-10 dni roboczych.

Umowy DPA z dostawcami: Jeśli używasz zewnętrznego ATS, platformy do wideorozmów, systemu do e-mail marketingu — sprawdź, czy masz podpisane umowy powierzenia przetwarzania danych.

RODO w rekrutacji nie jest straszakiem dla biurokratów. To zestaw zasad, który — stosowany serio — buduje zaufanie kandydatów. Firmy, które mają przejrzyste procesy i szanują dane kandydatów, są lepiej oceniane na rynku pracy. A to, w dobie walki o talenty, ma konkretną wartość.

Yena — ATS z wbudowaną zgodnością z RODO

Automatyczne zarządzanie zgodami, przypomnienia o wygasaniu retencji, serwery w UE, umowa DPA w standardzie. Dla agencji rekrutacyjnych, które nie chcą martwić się compliance.

Wypróbuj Yena bezpłatnie →

Janis Kolomenskis

March 16, 2026

Share
Yena

Help recruiters make more placements.

AI-native ATS + recruiting CRM built for European agencies. Source, match, enrich, and remember - in one tool that actually feels like 2026.