1. Home
  2. RODO i Bezpieczeństwo Informacji
  3. RODO
  4. Obowiązek informacyjny pracodawcy wobec pracowników zgodnie z RODO – poradnik praktyczny
Searching...

Obowiązek informacyjny pracodawcy wobec pracowników zgodnie z RODO – poradnik praktyczny

Spis treści

Ochrona danych osobowych pracowników to temat, który po wejściu w życie RODO stał się kluczowy dla każdego pracodawcy – bez względu na wielkość firmy czy formę zatrudnienia. Niewypełnienie obowiązku informacyjnego grozi nie tylko utratą zaufania zatrudnionych, ale również wysokimi karami finansowymi ze strony Prezesa Urzędu Ochrony Danych Osobowych. ⚠️

Z tego poradnika dowiesz się, kogo dotyczy obowiązek informacyjny, kiedy należy go spełnić, jak powinien wyglądać, a także co zrobić w przypadku byłych pracowników i danych archiwizowanych. Wszystko jasno, konkretnie i z przykładami. 🧩

Kogo dotyczy obowiązek informacyjny wynikający z RODO?

🔍 Zgodnie z art. 13 RODO, obowiązek informacyjny spoczywa na administratorze danych osobowych, czyli w tym przypadku – na pracodawcy. Obejmuje on każdą sytuację, w której dane osobowe są pozyskiwane bezpośrednio od osoby, której dane dotyczą.

W praktyce oznacza to, że:

✔ Obowiązek ten dotyczy wszystkich aktualnych pracowników, niezależnie od tego, czy zostali zatrudnieni przed czy po 25 maja 2018 r.
✔ Dotyczy także zleceniobiorców, praktykantów, stażystów, a także byłych pracowników, których dane są nadal przechowywane (np. w aktach osobowych).

⚠️ Nawet jeśli zatrudniasz jedną osobę na podstawie umowy zlecenia – obowiązek informacyjny RODO cię dotyczy.

Co powinien zawierać obowiązek informacyjny pracodawcy?

📜 Zgodnie z art. 13 ust. 1 i 2 RODO, pracodawca zobowiązany jest przekazać pracownikowi szczegółowy zestaw informacji. Poniżej przedstawiamy go w przystępnej formie:

🔹 Art. 13 ust. 1 RODO – informacje podstawowe:

  1. Tożsamość i dane kontaktowe pracodawcy (oraz przedstawiciela, jeśli został powołany).
  2. Dane kontaktowe inspektora ochrony danych – jeśli taki został wyznaczony.
  3. Cele przetwarzania danych oraz podstawa prawna (np. art. 6 ust. 1 lit. b RODO – wykonanie umowy).
  4. Uzasadniony interes, jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f.
  5. Odbiorcy lub kategorie odbiorców danych (np. ZUS, US, biuro rachunkowe).
  6. Informacje o przekazywaniu danych do państw trzecich lub organizacji międzynarodowych (jeśli ma to miejsce).

🔹 Art. 13 ust. 2 RODO – informacje dodatkowe:

  1. Okres przechowywania danych lub kryteria jego ustalenia.
  2. Prawa osoby, której dane dotyczą (dostęp, sprostowanie, usunięcie, sprzeciw, przenoszenie).
  3. Prawo do cofnięcia zgody – jeśli przetwarzanie odbywa się na podstawie zgody.
  4. Informacja o prawie wniesienia skargi do PUODO.
  5. Czy podanie danych jest obowiązkowe, oraz jakie są konsekwencje ich niepodania.
  6. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (jeśli występuje).

Przykład praktyczny 🧩

🏢 Firma „Pol-Bud” sp. z o.o. zatrudnia pracowników zarówno na podstawie umów o pracę, jak i umów cywilnoprawnych. Dla celów kadrowo-płacowych korzysta z zewnętrznego biura rachunkowego.

W ramach obowiązku informacyjnego powinna przekazać każdemu pracownikowi:

  • nazwę i adres spółki jako administratora,
  • kontakt do inspektora ochrony danych (jeśli został powołany),
  • cel przetwarzania: zatrudnienie i rozliczenia pracownicze,
  • podstawę prawną: art. 6 ust. 1 lit. b i c RODO,
  • odbiorców danych: np. nazwę konkretnego biura rachunkowego,
  • informację o tym, że dane nie są przekazywane poza EOG,
  • okres przechowywania: np. 10 lat po ustaniu zatrudnienia,
  • informację o przysługujących prawach pracownika.

Czy wystarczy przekazać obowiązek informacyjny raz?

Wielu pracodawców zastanawia się, czy klauzulę informacyjną wystarczy przekazać pracownikowi raz – np. przy podpisywaniu pierwszej umowy. Odpowiedź brzmi: to zależy.

🔄 Jeśli dane są przetwarzane na tych samych zasadach, a pracownik już otrzymał wszystkie wymagane informacje, to zgodnie z art. 13 ust. 4 RODO – nie trzeba powtarzać obowiązku.

⚠️ Ale jeśli zmienia się cel, zakres lub odbiorca danych – np. zatrudniasz nowe biuro rachunkowe albo rozpoczynasz nowy rodzaj przetwarzania (np. wniosek o telefon służbowy) – obowiązek trzeba zaktualizować.

Kiedy należy spełnić obowiązek informacyjny?

🔍 Zgodnie z art. 13 ust. 1 RODO, obowiązek informacyjny należy zrealizować w momencie pozyskiwania danych osobowych od pracownika. Czyli – najpóźniej w chwili, gdy zaczynasz gromadzić dane w celu zatrudnienia, np. imię, nazwisko, PESEL, dane kontaktowe.

W praktyce oznacza to, że klauzulę informacyjną:

  • należy przekazać najpóźniej przy podpisywaniu umowy, a najlepiej już podczas rekrutacji,
  • można przekazać w formie papierowej lub elektronicznej (np. załącznik PDF do maila),
  • nie trzeba jej podpisywać – wystarczy, że pracownik miał realną możliwość zapoznania się z jej treścią.

⚠️ Nieprzekazanie klauzuli lub jej brak w dokumentach pracowniczych może zostać uznane za naruszenie przepisów RODO – nawet jeśli pracownik nie wniesie skargi.

Czy klauzulę informacyjną należy powtarzać przy każdej umowie?

To częsty dylemat: zatrudniasz osobę na umowę zlecenie, potem podpisujesz kolejną – czy znowu trzeba przekazywać klauzulę?

💡 Dobrą praktyką jest przekazywanie klauzuli przy każdej nowej umowie, chyba że:

  • zakres danych się nie zmienił,
  • cel przetwarzania jest ten sam,
  • pracownik dysponuje już wszystkimi wymaganymi informacjami.

W takim przypadku można skorzystać z wyłączenia przewidzianego w art. 13 ust. 4 RODO, który zwalnia z obowiązku informacyjnego, jeśli osoba, której dane dotyczą, już te informacje posiada.

Nowe cele – nowy obowiązek informacyjny ⚠️

Zdarza się jednak, że w trakcie trwania zatrudnienia zaczynasz przetwarzać dane pracownika w nowych celach – np.:

  • umożliwienie korzystania z samochodu prywatnego do celów służbowych (umowa powierzenia mienia),
  • wypłata świadczeń socjalnych z ZFŚS (wniosek z danymi członków rodziny),
  • założenie służbowego konta e-mail.

📌 W takich przypadkach powstaje nowy cel przetwarzania, który wymaga spełnienia obowiązku informacyjnego.

📜 Przykładowa informacja:
„Państwa dane osobowe przetwarzane są w celu przyznania świadczenia z Zakładowego Funduszu Świadczeń Socjalnych, na podstawie art. 6 ust. 1 lit. c RODO, w związku z przepisami ustawy o ZFŚS.”

Obowiązek informacyjny wobec byłych pracowników

📦 Nawet po zakończeniu stosunku pracy dane osobowe nadal są przetwarzane – np. w aktach osobowych, rejestrach płacowych, listach obecności.

W związku z tym, byli pracownicy również podlegają ochronie RODO. Co to oznacza dla pracodawcy?

✔ Jeżeli w przeszłości nie przekazano im pełnej informacji wynikającej z art. 13 RODO – należy to nadrobić.
✔ Wystarczy poinformować ich o zakresie aktualnie przetwarzanych danych i celach archiwizacji.

🔄 Jeżeli informacja została przekazana już wcześniej i nie zmienił się cel przetwarzania – nie trzeba ponawiać klauzuli.

Forma realizacji obowiązku – jak to zrobić najwygodniej?

📌 Pracodawca ma swobodę co do formy spełnienia obowiązku informacyjnego, pod warunkiem, że będzie on:

  • czytelny i zrozumiały dla pracownika,
  • łatwo dostępny – np. na stronie internetowej, w intranecie, na tablicy ogłoszeń lub w aktach osobowych.

Dopuszczalne formy przekazania klauzuli informacyjnej:

  • pisemnie przy umowie,
  • e-mailem,
  • elektronicznie (np. przez system HR),
  • jako dokument zamieszczony na stronie internetowej,
  • w formie ogłoszenia (plakat, ulotka, komunikat w zakładzie pracy).

💡 Ważne: Pracodawca powinien udokumentować, że zrealizował obowiązek informacyjny – np. zachować potwierdzenie odbioru, e-mail, protokół lub wniosek podpisany przez pracownika.

Przykład praktyczny 🧩

🏭 Firma transportowa „Trans-Sprint” zatrudniała do 2017 r. ponad 150 kierowców. Obecnie aktywnych pracowników jest tylko 20. Dokumentacja starych pracowników (akta osobowe, karty czasu pracy) została zarchiwizowana.

Firma nie przekazała byłym pracownikom klauzuli informacyjnej po wejściu w życie RODO.

➡️ Co powinna zrobić?

  • Może udostępnić informację na stronie internetowej lub w siedzibie firmy (np. tablica ogłoszeń), jeśli nie ma możliwości skontaktowania się z wszystkimi byłymi pracownikami.
  • W przypadku kontaktu z byłym pracownikiem (np. prośba o świadectwo pracy), powinna przekazać mu klauzulę informacyjną dotyczącą przetwarzania danych w celach archiwizacyjnych.

Czy można wskazać odbiorców danych „z góry na przyszłość”? 🤔

Wielu pracodawców zastanawia się, czy w klauzuli informacyjnej można ogólnie zaznaczyć, że dane pracownika mogą być w przyszłości przekazywane np. biurom podróży, lekarzom medycyny pracy, firmom kurierskim, itp.

🔍 Zgodnie z art. 13 ust. 1 lit. e RODO, pracodawca musi wskazać informacje o odbiorcach danych osobowych lub kategoriach odbiorców, jeżeli istnieją – na dzień realizacji obowiązku informacyjnego.

🔴 Nie można wskazywać odbiorców „na zapas”, czyli takich, których jeszcze nie ma lub co do których nie wiadomo, czy będą mieli dostęp do danych pracownika.

Można natomiast posłużyć się kategoriami odbiorców, o ile są one wystarczająco precyzyjne, np.:

  • „biuro rachunkowe świadczące usługi kadrowo-płacowe”,
  • „placówki medyczne przeprowadzające badania wstępne, okresowe i kontrolne”,
  • „firmy świadczące usługi kurierskie na rzecz pracodawcy”.

💬 Zbyt ogólne określenia, jak np. „podmioty zewnętrzne”, „kontrahenci”, „instytucje współpracujące” – mogą być uznane za niezgodne z RODO.

Czy trzeba uzyskać zgodę pracownika na przekazanie jego danych? ❌

⚠️ To częste nieporozumienie: pracodawcy zakładają, że skoro mają zamiar przekazać dane pracownika innemu podmiotowi (np. do biura rachunkowego), muszą uzyskać jego zgodę. To błąd.

📜 Z art. 13 RODO nie wynika obowiązek uzyskania zgody na przekazanie danych – pod warunkiem, że przetwarzanie odbywa się:

  • na podstawie umowy o pracę lub cywilnoprawnej (art. 6 ust. 1 lit. b RODO),
  • lub w celu wypełnienia obowiązku prawnego ciążącego na pracodawcy (art. 6 ust. 1 lit. c RODO) – np. rozliczenia z ZUS, urzędem skarbowym, medycyną pracy.

Zgoda pracownika jest potrzebna tylko wtedy, gdy:

  • przetwarzanie nie ma innej podstawy prawnej,
  • jest dobrowolne i niezwiązane z zatrudnieniem,
  • pracownik może ją w każdej chwili wycofać bez konsekwencji.

📌 Przykład, kiedy zgoda jest potrzebna: – publikacja zdjęcia pracownika na stronie firmowej do celów marketingowych.

Jak udokumentować spełnienie obowiązku informacyjnego? 📝

Zasada rozliczalności (art. 5 ust. 2 RODO) zobowiązuje administratora do wykazania, że spełnił obowiązki informacyjne. Innymi słowy – to pracodawca musi umieć udowodnić, że poinformował pracownika o przetwarzaniu jego danych.

👉 Jak to zrobić praktycznie?

Przykładowe sposoby dokumentowania:

  • podpis pracownika na klauzuli informacyjnej,
  • lista zbiorcza z datami przekazania klauzul,
  • e-mail z załącznikiem PDF i potwierdzeniem odbioru,
  • zapis w systemie kadrowym (np. checkbox „Zapoznałem się z klauzulą”),
  • protokół przekazania dokumentów wraz z klauzulą.

💡 Najlepiej stosować zasadę „podwójnego śladu”: przekazujesz + dokumentujesz.

Przetwarzanie danych byłych pracowników – co trzeba wiedzieć?

📦 Pracodawcy często zapominają, że archiwizacja akt osobowych to również przetwarzanie danych osobowych. Oznacza to, że:

✔ wobec byłych pracowników również należy spełnić obowiązek informacyjny RODO,
✔ nie ma znaczenia, że dane nie są już aktywnie używane – sam fakt ich przechowywania (np. 50 lat zgodnie z przepisami o dokumentacji pracowniczej) wystarczy.

📌 Jeśli klauzula informacyjna została przekazana wcześniej i obejmowała również cel archiwizacji – nie trzeba jej powtarzać.

📌 Jeśli nie – pracodawca powinien uzupełnić obowiązek informacyjny, np. poprzez:

  • zamieszczenie informacji na stronie internetowej,
  • wywieszenie obwieszczenia w siedzibie firmy,
  • dołączenie klauzuli do odpowiedzi na wniosek byłego pracownika (np. o wydanie kopii świadectwa pracy).

Przykład praktyczny 🧩

🏢 Spółka „GeoWiert” miała ponad 300 pracowników, zanim została zrestrukturyzowana w 2018 r. Po reformie zatrudnia jedynie 20 osób. Dane byłych pracowników (akta, umowy, listy płac) są przechowywane w archiwum spółki.

🔍 Czy musi ich informować o przetwarzaniu danych?

✅ Tak – jeśli nie zrobiła tego wcześniej w formie zgodnej z art. 13 RODO. W praktyce może to zrobić poprzez zamieszczenie odpowiedniego komunikatu na stronie internetowej lub tablicy ogłoszeń.

❗Spółka powinna również być przygotowana, aby wykazać – w razie kontroli PUODO – że taki obowiązek zrealizowała, np. poprzez kopię komunikatu lub procedurę wewnętrzną.

💡 Podsumowanie i wskazówki dla pracodawców

Wdrożenie i przestrzeganie obowiązku informacyjnego to nie tylko wymóg formalny. To dowód, że Twoja firma odpowiedzialnie podchodzi do przetwarzania danych osobowych. Oto najważniejsze wnioski:

✅ Co musisz zrobić jako pracodawca:

  • Przekaż klauzulę informacyjną każdemu pracownikowi – bez względu na datę zatrudnienia.
  • Aktualizuj informacje, gdy zmienia się cel, sposób lub odbiorca danych.
  • Zadbaj o formę i przejrzystość – dokument musi być zrozumiały dla pracownika.
  • Wskaż konkretne kategorie odbiorców danych – nie używaj ogólników.
  • Nie wymagaj zgody, jeśli przetwarzanie odbywa się na podstawie przepisów prawa lub umowy.
  • Archiwizacja danych byłych pracowników = przetwarzanie – obowiązek informacyjny też tu obowiązuje.

❌ Czego unikać:

  • Nie odkładaj obowiązku „na później” – RODO nie przewiduje okresu przejściowego.
  • Nie powielaj informacji, jeśli nic się nie zmienia – stosuj art. 13 ust. 4 RODO.
  • Nie zakładaj, że „wszyscy wiedzą” – obowiązek musi być realnie zrealizowany.
  • Nie wskazuj potencjalnych odbiorców danych „na zapas”.

📚 Podstawa prawna

  • art. 4 pkt 1, 2, 9 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
  • art. 5 ust. 1 lit. a i ust. 2 – RODO
  • art. 6 ust. 1 lit. a, b, c, f – RODO
  • art. 9 ust. 2 lit. a, b, c – RODO
  • art. 13 ust. 1–4 – RODO
  • art. 14 ust. 1–2 – RODO
  • art. 15 – RODO
  • motyw 14 RODO

🔖 Tematy porad zawartych w poradniku:

  • obowiązek informacyjny pracodawcy RODO
  • klauzula informacyjna dla pracowników
  • RODO dla byłych pracowników
  • dane osobowe zatrudnionych
  • obowiązki administratora danych w firmie
Ostatnia aktualizacja: 31.03.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No