1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Mail z informacją o odejściu pracownika – kiedy narusza RODO?
Wyszukiwanie...

Mail z informacją o odejściu pracownika – kiedy narusza RODO?

Spis treści

Wysyłanie przez pracodawcę informacji o odejściu pracownika to codzienność w wielu firmach. Jednak nieprawidłowe przekazanie takich danych – zwłaszcza do osób trzecich – może skutkować naruszeniem przepisów o ochronie danych osobowych. Z poniższego poradnika dowiesz się, jakie zasady obowiązują przy przekazywaniu informacji o rozstaniu z pracownikiem, gdzie leży granica zgodnego z prawem działania oraz co grozi firmie za nieumyślne naruszenie RODO. Przykłady oparto na wyroku Naczelnego Sądu Administracyjnego z 29 maja 2025 r. (III OSK 1018/22) – lecz dane i sytuacje zostały zmienione, by poradnik był unikalny i praktyczny.

Powiadamianie o odejściu z pracy – kiedy jest zgodne z prawem?

Pracodawca, informując zespół o odejściu pracownika, często kieruje się potrzebą zapewnienia ciągłości pracy i przeorganizowania zadań. Zgodnie z prawem, takie powiadomienie jest dopuszczalne – ale tylko w obrębie organizacji.

Kluczowe zasady:

  • Powiadomienie zespołu (pracowników) o odejściu kolegi z pracy jest uzasadnione prawnie, gdy wynika z konieczności przeorganizowania pracy (np. ustalenia nowego grafiku, rozdzielenia obowiązków).
  • Informacje przekazywane pracownikom powinny być ograniczone do niezbędnego minimum – najczęściej imię, nazwisko oraz data zakończenia współpracy.

Wyjątek: Udostępnienie takich danych osobom trzecim, np. klientowi firmy, jest co do zasady niedopuszczalne i stanowi naruszenie RODO.

Co się dzieje, gdy informacja o odejściu trafi do klienta?

Przykład 1:

Firma informatyczna w Warszawie wysłała e-mail do wszystkich pracowników, informując, że pan Piotr Nowak zakończył współpracę, rezygnując z pracy z powodu realizacji własnego projektu. Wiadomość przez pomyłkę została również przesłana do klienta firmy. Klient natychmiast usunął wiadomość, a pracodawca poinformował o incydencie dział IT.

W tej sytuacji – zgodnie z oceną organu ochrony danych osobowych – doszło do naruszenia zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO). Przekazanie informacji klientowi, nawet nieumyślne, było nieuprawnione i skutkowało upomnieniem dla firmy.

Przykład 2:

W biurze rachunkowym w Krakowie, dział kadr poinformował mailowo wyłącznie pracowników działu o odejściu pani Karoliny Zielińskiej, by móc przekazać jej obowiązki. Dane nie zostały ujawnione osobom spoza firmy. Taka praktyka jest dopuszczalna – pracodawca działał zgodnie z prawem.

Kiedy powiadomienie współpracowników nie narusza RODO?

NSA potwierdził, że powiadomienie współpracowników o odejściu z pracy mieści się w granicach prawnie uzasadnionego interesu pracodawcy. Ma to oparcie w:

  • art. 6 ust. 1 lit. f RODO – przetwarzanie danych jest zgodne z prawem, jeśli jest niezbędne dla prawnie uzasadnionych interesów administratora.
  • art. 22 § 1 i art. 94 pkt 2 Kodeksu pracy – organizowanie i kierowanie pracą należy do podstawowych kompetencji pracodawcy.

Ważne:
Pracodawca nie może ujawniać szczegółów motywów odejścia w sposób, który mógłby naruszać dobra osobiste byłego pracownika. Jednak samo przekazanie informacji o fakcie zakończenia współpracy, w celu zapewnienia płynności pracy, nie jest sprzeczne z prawem.

Czy pracownik musi być powiadomiony o incydencie?

Zgodnie z art. 34 ust. 1 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osoby, administrator musi ją o tym powiadomić. Jednak w opisanej sprawie sąd uznał, że taka sytuacja nie miała miejsca – klient, który otrzymał maila przez pomyłkę, natychmiast go usunął, a naruszenie nie było długotrwałe ani umyślne.

Jakie konsekwencje grożą pracodawcy?

Za incydentalne, nieumyślne naruszenie RODO w takiej sytuacji, urząd ochrony danych może nałożyć upomnienie. Sąd podkreślił, że reakcja pracodawcy po wykryciu naruszenia, brak wcześniejszych przewinień oraz brak szkody po stronie pracownika łagodzą ewentualne sankcje.

Najważniejsze wskazówki dla firm

  • Zawsze sprawdzaj, do kogo wysyłasz e-maile dotyczące spraw personalnych. Nawet nieumyślne ujawnienie danych może być uznane za naruszenie RODO.
  • Ogranicz zakres informacji do niezbędnego minimum.
  • Nie udostępniaj danych o odejściu pracownika klientom ani osobom spoza firmy.
  • Przy incydencie – natychmiast reaguj, informuj wewnętrznie odpowiednie osoby, dokumentuj działania naprawcze.
  • Przemyśl, jakie dane są faktycznie konieczne do przekazania wewnątrz organizacji.

Podsumowanie

Prawidłowe poinformowanie zespołu o odejściu pracownika jest dozwolone, ale ujawnienie takich danych osobom trzecim – nawet przez przypadek – to naruszenie RODO. Najlepszą ochroną dla firmy jest wdrożenie prostych procedur i zasada ograniczonego zaufania przy wysyłce maili z danymi osobowymi. Jeśli już dojdzie do incydentu, szybka reakcja i współpraca z organami ochrony danych może zapobiec poważniejszym konsekwencjom.

Podstawa prawna

  • art. 5 ust. 1 lit. c, art. 6 ust. 1 lit. f, art. 34 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)
  • art. 22 § 1, art. 94 pkt 2 – Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy

Tematy porad zawartych w poradniku

  • powiadomienie o odejściu pracownika RODO
  • ujawnienie danych pracownika klientowi
  • naruszenie ochrony danych osobowych w firmie
  • sankcje za nieumyślne naruszenie RODO
Ostatnia aktualizacja: 24.07.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: