1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Jakie dane osobowe może zbierać pracodawca w procesie rekrutacji? Prawo, sztuczna inteligencja i pułapki RODO
Wyszukiwanie...

Jakie dane osobowe może zbierać pracodawca w procesie rekrutacji? Prawo, sztuczna inteligencja i pułapki RODO

Spis treści

Rekrutacja pracowników to dla każdego pracodawcy strategiczny proces, od którego często zależy przyszłość całej organizacji. W dobie cyfryzacji, rosnącej popularności narzędzi opartych na sztucznej inteligencji i jednoczesnej presji na zgodność z przepisami o ochronie danych osobowych, wybór odpowiednich rozwiązań może być trudny. W tym poradniku wyjaśniam, jakie dane osobowe pracodawca może legalnie zbierać od kandydatów, jaką rolę odgrywa zgoda kandydata, na co pozwalają obecne przepisy i gdzie kończy się granica automatyzacji.

Dlaczego znajomość przepisów o danych osobowych w rekrutacji jest kluczowa?

📌 Przetwarzanie danych osobowych kandydatów odbywa się w precyzyjnie określonych ramach prawnych. Przekroczenie tych granic może skutkować:

  • odpowiedzialnością cywilną lub administracyjną,
  • zarzutami dyskryminacji,
  • poważnym kryzysem wizerunkowym firmy.

📚 Dodatkowo, pojawiają się nowe wyzwania związane z wykorzystaniem AI, która – choć może przyspieszyć rekrutację – niesie też ryzyko naruszeń praw kandydatów. Właściwe zrozumienie przepisów i ich zastosowanie w praktyce to podstawa legalnej, skutecznej i etycznej rekrutacji.

📄 Katalog danych, jakie pracodawca może przetwarzać na podstawie Kodeksu pracy

Podstawowy katalog danych, jakich może zażądać pracodawca na etapie rekrutacji, określa art. 221 § 1 Kodeksu pracy, który brzmi:

„Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

  1. imię (imiona) i nazwisko;
  2. datę urodzenia;
  3. dane kontaktowe wskazane przez taką osobę;
  4. wykształcenie;
  5. kwalifikacje zawodowe;
  6. przebieg dotychczasowego zatrudnienia.”

🔍 Ale to nie wszystko — zgodnie z § 2 tego artykułu:

„Danych osobowych, o których mowa w pkt 4–6, pracodawca żąda, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.”

Oznacza to, że:

  • Imię, nazwisko, data urodzenia i kontakt mogą być zawsze wymagane.
  • Wykształcenie, kwalifikacje i doświadczenie zawodowe – tylko jeśli mają realne znaczenie dla stanowiska.

Przykład 1:

Firma IT z Gdańska szuka programisty do projektu związanego z cyberbezpieczeństwem. Może wymagać szczegółowych informacji o doświadczeniu zawodowym i certyfikatach, ale nie może żądać informacji o stanie cywilnym, zainteresowaniach czy przynależności do stowarzyszeń.

Przykład 2:

Sklep odzieżowy z Torunia rekrutuje kasjera. Nie ma podstaw, by domagać się informacji o wykształceniu wyższym lub wcześniejszych miejscach pracy, jeśli nie są one konieczne do wykonywania tego typu obowiązków.

Zgoda kandydata jako podstawa rozszerzenia zakresu przetwarzania danych

Pracodawcy, którzy chcą przetwarzać dane wykraczające poza katalog z art. 221 § 1 Kodeksu pracy, mogą to zrobić, ale tylko wtedy, gdy kandydat wyrazi na to zgodę. Taką możliwość przewidują zarówno przepisy RODO, jak i polskiego Kodeksu pracy.

Zgodnie z art. 6 ust. 1 lit. a RODO, przetwarzanie danych jest legalne, gdy:

„osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.

📌 Co ważne:

  • Zgoda musi być dobrowolna, świadoma, jednoznaczna i wyrażona przez wyraźne działanie (np. podpisanie klauzuli zgody).
  • Kandydat musi mieć prawo odmówić jej udzielenia bez żadnych konsekwencji.

Wzmocnienie ochrony w Kodeksie pracy

Kodeks pracy powtarza tę zasadę wprost:

📘 Art. 221a § 1 K.p.:

„Zgoda osoby ubiegającej się o zatrudnienie może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1, z wyjątkiem danych, o których mowa w art. 10 RODO.”

📘 Art. 221a § 2 K.p.:

„Brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania kandydata ani przyczyną odmowy zatrudnienia.”

🔍 Pracodawca musi więc:

  • jasno określić, w jakim celu chce dane przetwarzać,
  • zapewnić możliwość swobodnego wyrażenia i wycofania zgody,
  • nie wyciągać żadnych negatywnych konsekwencji z braku zgody.

Przetwarzanie danych wrażliwych i biometrycznych

RODO szczególnie chroni dane tzw. szczególnej kategorii – obejmujące m.in. poglądy polityczne, pochodzenie rasowe, dane genetyczne, dane o zdrowiu i dane biometryczne. Ich przetwarzanie w kontekście rekrutacji jest co do zasady zabronione, ale Kodeks pracy dopuszcza wyjątki.

📘 Art. 221b § 1 K.p.:

„Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych szczególnej kategorii […] wyłącznie w przypadku, gdy przekazanie tych danych następuje z inicjatywy osoby, której dane dotyczą.”

📘 Art. 221b § 2 K.p.:

„Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie chronionych informacji lub pomieszczeń.”

Przykład 3:

Kandydat do agencji ochrony przekazuje z własnej inicjatywy certyfikat potwierdzający zdolność psychofizyczną do pracy z bronią – zawierający dane o stanie zdrowia. Pracodawca może przetwarzać te dane wyłącznie na podstawie świadomej zgody i wyłącznie w celu związanym z rekrutacją.

Przykład 4:

Firma biotechnologiczna stosuje zabezpieczenia biometryczne (np. skan siatkówki) do pomieszczeń z danymi DNA pacjentów. Może zbierać dane biometryczne kandydatów do działu bezpieczeństwa – ale tylko jeśli uzasadni konieczność ich przetwarzania konkretną funkcją ochronną.

Wyjątki branżowe – kiedy można żądać dodatkowych danych?

Choć co do zasady pracodawca musi ograniczać się do danych wskazanych w art. 221 § 1 Kodeksu pracy, istnieją sytuacje, gdy prawo przewiduje szerszy zakres danych możliwy do pozyskania – szczególnie w sektorach, gdzie wykonywane obowiązki wiążą się z wysokim poziomem odpowiedzialności lub dostępem do informacji wrażliwych.

Przykład: sektor finansowy

📘 Zgodnie z art. 3 ust. 1 ustawy z 12.04.2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie w podmiotach sektora finansowego:

„Podmiot sektora finansowego może żądać od osoby ubiegającej się o zatrudnienie informacji o skazaniu prawomocnym wyrokiem za przestępstwo, jeżeli stanowisko dotyczy zarządzania mieniem, dostępu do informacji prawnie chronionych lub podejmowania decyzji obarczonych wysokim ryzykiem utraty mienia.”

Do takich stanowisk należą np. doradcy finansowi, agenci ubezpieczeniowi, brokerzy ubezpieczeniowi, członkowie zarządów funduszy inwestycyjnych.

📌 Taka regulacja ma na celu:

  • zabezpieczenie interesów klientów i instytucji,
  • eliminowanie ryzyka zatrudnienia osób skazanych za przestępstwa finansowe.

Przykład 5:

Bank hipoteczny w Poznaniu może zgodnie z ustawą żądać od kandydata na analityka informacji o niekaralności. Nie może jednak tego robić w przypadku kandydatów na stanowiska techniczne (np. serwisantów IT), chyba że mają dostęp do danych objętych tajemnicą bankową.

Automatyzacja decyzji rekrutacyjnych a art. 22 RODO

Rosnące zainteresowanie automatyzacją i narzędziami opartymi na AI w rekrutacji prowadzi do ważnego pytania: czy wolno podejmować decyzje o zatrudnieniu wyłącznie w oparciu o algorytmy?

📘 Art. 22 ust. 1 RODO brzmi:

„Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa.”

Co to oznacza w praktyce?

  • Kandydat nie może być odrzucony lub przyjęty wyłącznie na podstawie decyzji podjętej przez AI, bez udziału człowieka.
  • Rekrutacja z wykorzystaniem AI jest dopuszczalna, ale musi zawierać element oceny ludzkiej.

Trzy wyjątki od zakazu automatyzacji:

  1. Decyzja jest niezbędna do zawarcia lub wykonania umowy.
  2. Decyzja jest dozwolona prawem UE lub krajowym i zapewnia odpowiednie środki ochrony.
  3. Kandydat wyraził wyraźną zgodę.

⚠️ Jednak nawet wtedy administrator musi zapewnić:

  • prawo do zakwestionowania decyzji,
  • interwencję człowieka,
  • wyjaśnienie podstaw decyzji.

Przykład 6:

Platforma rekrutacyjna stosuje algorytmy do wstępnej selekcji CV, odrzucając aplikacje niespełniające określonych kryteriów. Firma nie może podejmować ostatecznej decyzji o odrzuceniu wyłącznie na tej podstawie – musi zaangażować człowieka w ocenę.

Podsumowanie – jak legalnie prowadzić rekrutację w zgodzie z RODO i Kodeksem pracy?

📌 Procesy rekrutacyjne muszą być prowadzone z poszanowaniem przepisów dotyczących ochrony danych osobowych. Niezależnie od tego, czy pracodawca korzysta z klasycznych metod selekcji kandydatów, czy nowoczesnych narzędzi opartych na AI, obowiązują go te same podstawowe zasady:

✔ Co wolno?

  • Żądać od kandydatów wyłącznie danych wskazanych w art. 221 § 1 Kodeksu pracy.
  • Przetwarzać dodatkowe dane tylko za wyraźną i dobrowolną zgodą.
  • Przetwarzać dane wrażliwe wyłącznie z inicjatywy kandydata i po uzyskaniu jego zgody.
  • Stosować automatyzację w rekrutacji, ale z zachowaniem kontroli ludzkiej.
  • Wymagać dodatkowych danych (np. informacji o niekaralności) w przypadkach przewidzianych przepisami szczególnymi, np. w sektorze finansowym.

✖ Czego nie wolno?

  • Przetwarzać danych o pochodzeniu, religii, poglądach czy orientacji bez zgody i poza inicjatywą kandydata.
  • Uzależniać udziału w rekrutacji od wyrażenia zgody na przetwarzanie dodatkowych danych.
  • Stosować wyłącznie automatycznych decyzji (AI bez udziału człowieka), które mają wpływ prawny na kandydata.
  • Gromadzić informacji wykraczających poza cel rekrutacyjny.

Rekomendacje dla pracodawców

🧩 Chcesz legalnie i efektywnie prowadzić rekrutację? Pamiętaj o poniższych zasadach:

  • Stosuj ograniczony katalog danych – nie pytaj o więcej niż pozwala Kodeks pracy.
  • Poinformuj kandydata o celu i podstawie przetwarzania jego danych (zgodnie z art. 13 RODO).
  • Uzyskaj zgodę na przetwarzanie danych dodatkowych – najlepiej w formie pisemnej lub elektronicznej.
  • Unikaj pozornych zgód – np. ukrytych w formularzach czy obowiązkowych do zaznaczenia.
  • Monitoruj algorytmy AI – zapewnij możliwość odwołania i weryfikacji decyzji.
  • Dokumentuj przetwarzanie – zadbaj o zgodność z zasadą rozliczalności z art. 5 ust. 2 RODO.

Podstawy prawne

  • art. 221 § 1 i § 2, art. 221a, art. 221b – Kodeks pracy
  • art. 5, art. 6 ust. 1 lit. a, art. 9, art. 13, art. 22 RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
  • art. 3 ust. 1 – ustawa z 12.04.2018 r. o zasadach pozyskiwania informacji o niekaralności w sektorze finansowym

Tematy porad zawartych w poradniku

  • legalne dane w rekrutacji
  • przetwarzanie danych osobowych kandydatów
  • AI w procesie rekrutacyjnym
  • RODO a rekrutacja
  • zgoda na przetwarzanie danych w CV

Przydatne adresy stron urzędowych

Ostatnia aktualizacja: 26.06.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: