Klauzula informacyjna RODO dla pracownika – wzór

Obowiązek informacyjny wobec pracownika to jeden z najczęściej błędnie realizowanych elementów RODO w firmach. Pracodawcy bardzo często kopiują „ogólną” klauzulę z art. 13, która nie uwzględnia realiów prawa pracy: wielu podstaw prawnych jednocześnie, długiej retencji danych, obowiązków ustawowych, monitoringu czy relacji z ZUS i instytucjami publicznymi. W tej sekcji pokazujemy, jak w praktyce powinien wyglądać obowiązek informacyjny wobec pracownika — jasno, zgodnie z RODO i Kodeksem pracy, bez prawniczego żargonu, ale z pełnym zabezpieczeniem interesów pracodawcy.

Materiał jest przeznaczony dla pracodawców, działów HR, kadr i compliance. Bazujemy na art. 13 RODO, przepisach prawa pracy oraz Wytycznych EROD dotyczących przejrzystości. Pokazujemy też, jak organ nadzorczy ocenia obowiązek informacyjny w praktyce — na podstawie decyzji Prezesa UODO.

Wróć do Ochrona danych w firmie

W skrócie — najważniejsze fakty

Obowiązek informacyjny wobec pracownika ma charakter „ustawowy”. W relacji pracowniczej dane osobowe są przetwarzane głównie na podstawie przepisów prawa pracy oraz umowy o pracę. Klauzulę informacyjną należy przekazać pracownikowi najpóźniej w chwili pozyskania danych – najczęściej przy zawarciu umowy lub podczas onboardingu, a nie „gdzieś w regulaminie”.

Klauzula dla pracownika musi uwzględniać wiele podstaw prawnych naraz. W przeciwieństwie do klientów czy kontrahentów, dane pracownika są przetwarzane równolegle na podstawie: umowy, obowiązku prawnego, uzasadnionego interesu, a czasem także przepisów o danych szczególnych kategorii (np. zdrowie, BHP). Jedna ogólna podstawa prawna to częsty i poważny błąd.

Retencja danych pracowniczych nie jest „umowna”. Okres przechowywania danych pracownika wynika głównie z przepisów prawa pracy i archiwizacji akt osobowych. Klauzula informacyjna powinna to jasno komunikować – zamiast ogólników typu „przechowujemy do czasu realizacji celu”, które w relacji pracowniczej są niewystarczające.

Monitoring, kontrola i bezpieczeństwo muszą być nazwane wprost. Jeżeli pracodawca stosuje monitoring wizyjny, kontrolę poczty służbowej, systemy dostępu lub inne formy nadzoru, informacja o tym powinna znaleźć się w klauzuli informacyjnej. Przejrzystość oznacza jasne wskazanie celu, podstawy prawnej i zakresu takiego przetwarzania.

Pytania i odpowiedzi: klauzula informacyjna RODO dla pracownika

1. Czym jest obowiązek informacyjny wobec pracownika?

Obowiązek informacyjny wobec pracownika to przekazanie mu — najpóźniej w chwili pozyskania danych — jasnej informacji o tym, kto i w jakim celu przetwarza jego dane, na jakiej podstawie prawnej, jak długo dane będą przechowywane oraz jakie prawa przysługują pracownikowi. W relacji pracowniczej obowiązek ten jest szczególnie rozbudowany, bo przetwarzanie danych opiera się nie tylko na RODO, ale również na przepisach prawa pracy.

2. Kiedy pracodawca musi spełnić obowiązek informacyjny?

Najpóźniej w momencie pozyskania danych osobowych pracownika — czyli przy zawarciu umowy o pracę. Dobrą praktyką jest przekazanie klauzuli informacyjnej już na etapie onboardingowym, wraz z dokumentami kadrowymi.

3. Dlaczego klauzula dla pracownika nie może być „ogólna”?

Ponieważ pracodawca przetwarza dane pracownika na wielu różnych podstawach jednocześnie: obowiązek prawny, umowa, uzasadniony interes, a czasem zgoda. Ogólna klauzula nie oddaje tej złożoności i nie spełnia wymogu przejrzystości.

4. Jakie podstawy prawne dominują w relacji pracowniczej?

Przede wszystkim: • art. 6 ust. 1 lit. b RODO – wykonanie umowy o pracę, • art. 6 ust. 1 lit. c RODO – obowiązki prawne pracodawcy (prawo pracy, ZUS, podatki), • art. 6 ust. 1 lit. f RODO – uzasadniony interes (np. bezpieczeństwo, monitoring, dochodzenie roszczeń), • art. 9 ust. 2 lit. b RODO – dane szczególnych kategorii (np. zdrowie, BHP, zwolnienia lekarskie).

5. Czy w relacji pracownik–pracodawca stosuje się zgodę?

Co do zasady – wyjątkowo. Ze względu na nierówność stron zgoda pracownika jest problematyczna i powinna być stosowana tylko tam, gdzie rzeczywiście jest dobrowolna (np. publikacja wizerunku, działania wizerunkowe niezwiązane z umową).

6. Jak opisać cele przetwarzania danych pracownika?

Cele powinny być opisane konkretnie, np.: realizacja umowy o pracę, prowadzenie akt osobowych, naliczanie wynagrodzeń, realizacja obowiązków BHP, obsługa ZUS i podatków, zapewnienie bezpieczeństwa mienia i osób.

7. Jak długo przechowuje się dane pracownika?

Okres przechowywania wynika głównie z przepisów prawa pracy. Akta osobowe przechowuje się co do zasady przez 10 lat od zakończenia stosunku pracy (w określonych przypadkach dłużej). Inne dane mogą być przechowywane krócej lub dłużej w zależności od celu.

8. Czy trzeba informować o monitoringu?

Tak. Jeżeli w miejscu pracy stosowany jest monitoring wizyjny, poczty elektronicznej lub inne formy kontroli, informacja o tym musi znaleźć się w klauzuli informacyjnej oraz w dokumentacji pracowniczej.

9. Jakie prawa przysługują pracownikowi?

Pracownik ma m.in. prawo dostępu do danych, ich sprostowania, ograniczenia przetwarzania, wniesienia sprzeciwu (w określonych przypadkach) oraz wniesienia skargi do Prezesa UODO.

10. Jakie są najczęstsze błędy pracodawców?

Najczęściej: brak informacji o retencji, brak rozróżnienia podstaw prawnych, kopiowanie klauzuli „dla klientów”, brak informacji o monitoringu oraz brak wskazania obowiązków ustawowych.

Kluczowe elementy art. 13: prawa, informacja i kontrola nad danymi

Tożsamość administratora i kontakt

Wskaż pełną nazwę, adres i kontakt. Jeśli masz IOD/DPO – podaj dane kontaktowe. Jeśli masz współadministratora – opisz to prosto.

Cele i podstawy prawne

Podaj cele „po ludzku” + podstawy (b/c/f/a). Przy lit. f opisz interes. Przy zgodzie dodaj: prawo cofnięcia zgody.

Retencja i odbiorcy

Napisz, jak długo trzymasz dane (albo kryteria). Wymień odbiorców lub kategorie odbiorców – zgodnie z realnym łańcuchem usług.

Prawa osoby i skarga do UODO

Wymień prawa, które faktycznie mają zastosowanie, i zawsze wskaż możliwość skargi do Prezesa UODO.

Klauzula informacyjna art. 13 – gdy dane przekazuje sama osoba Klauzula informacyjna art. 14 – gdy dane pochodzą z innych źródeł Prawo dostępu i kopii – art. 15 Sprostowanie – art. 16 Usunięcie danych – art. 17

Klauzula informacyjna RODO dla pracownika – wzór praktyczny

1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest [NAZWA PRACODAWCY] z siedzibą w [ADRES], wpisany do [KRS/CEIDG], NIP: [NIP] (dalej: „Pracodawca”).

2. Dane kontaktowe w sprawach ochrony danych
W sprawach związanych z przetwarzaniem danych osobowych możesz skontaktować się z Pracodawcą pod adresem: [E-MAIL], telefonicznie: [TELEFON].
Jeżeli Pracodawca wyznaczył Inspektora Ochrony Danych, kontakt z IOD jest możliwy pod adresem: [DANE KONTAKTOWE IOD].

3. Zakres danych osobowych
Przetwarzamy dane osobowe przekazywane przez Ciebie w związku z zatrudnieniem, w szczególności dane identyfikacyjne, kontaktowe, dane dotyczące wykształcenia, kwalifikacji zawodowych, przebiegu zatrudnienia, dane niezbędne do rozliczeń kadrowo-płacowych, a także – w zakresie wymaganym przepisami – dane dotyczące zdrowia (np. orzeczenia medycyny pracy).

4. Cele i podstawy prawne przetwarzania danych
Twoje dane osobowe są przetwarzane w następujących celach:
a) zawarcia i wykonania umowy o pracę – podstawa prawna: art. 6 ust. 1 lit. b RODO w zw. z art. 22¹ Kodeksu pracy;

b) wypełnienia obowiązków prawnych pracodawcy wynikających w szczególności z przepisów prawa pracy, ubezpieczeń społecznych, podatkowych oraz archiwizacyjnych – podstawa prawna: art. 6 ust. 1 lit. c RODO;

c) realizacji obowiązków z zakresu BHP i medycyny pracy, w tym prowadzenia dokumentacji medycznej pracownika – podstawa prawna: art. 9 ust. 2 lit. b RODO w zw. z przepisami prawa pracy;

d) organizacji pracy, zarządzania personelem i zapewnienia bezpieczeństwa, w tym stosowania monitoringu wizyjnego, kontroli dostępu, systemów IT oraz ochrony mienia i informacji – podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Pracodawcy polegający na zapewnieniu bezpieczeństwa i sprawnej organizacji pracy);

e) ustalenia, dochodzenia lub obrony roszczeń związanych z zatrudnieniem – podstawa prawna: art. 6 ust. 1 lit. f RODO;

f) realizacji dodatkowych uprawnień pracowniczych (np. świadczeń socjalnych, benefitów pozapłacowych) – w zakresie, w jakim przetwarzanie odbywa się na podstawie odrębnych przepisów lub Twojej zgody – podstawa prawna: art. 6 ust. 1 lit. c lub lit. a RODO (jeżeli dotyczy).

5. Odbiorcy danych osobowych
Twoje dane osobowe mogą być przekazywane wyłącznie w zakresie niezbędnym:
• podmiotom świadczącym na rzecz Pracodawcy usługi kadrowo-płacowe, księgowe, IT, hostingowe,
• podmiotom wykonującym zadania z zakresu medycyny pracy, BHP, ochrony osób i mienia,
• bankom i operatorom płatności – w związku z wypłatą wynagrodzenia,
• organom publicznym i instytucjom uprawnionym na podstawie przepisów prawa (np. ZUS, urząd skarbowy, PIP).

6. Przekazywanie danych poza UE/EOG
Twoje dane osobowe co do zasady nie są przekazywane poza Europejski Obszar Gospodarczy.
Jeżeli w wyjątkowych przypadkach dochodzi do takiego przekazania (np. korzystanie z globalnych narzędzi IT), odbywa się ono wyłącznie z zastosowaniem zabezpieczeń przewidzianych w RODO, takich jak standardowe klauzule umowne.

7. Okres przechowywania danych
Dane osobowe będą przetwarzane:
• przez cały okres trwania stosunku pracy,
• po jego zakończeniu – przez okres wynikający z przepisów prawa pracy oraz przepisów archiwizacyjnych dotyczących dokumentacji pracowniczej,
• w zakresie niezbędnym do dochodzenia lub obrony roszczeń – do upływu okresów przedawnienia.

8. Prawa pracownika
Przysługuje Ci prawo:
• dostępu do swoich danych osobowych,
• żądania ich sprostowania,
• żądania ograniczenia przetwarzania,
• wniesienia sprzeciwu wobec przetwarzania danych opartego na art. 6 ust. 1 lit. f RODO,
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

W zakresie, w jakim przetwarzanie odbywa się na podstawie zgody, masz prawo do jej cofnięcia w dowolnym momencie – bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

9. Obowiązek podania danych
Podanie danych osobowych jest obowiązkowe w zakresie wynikającym z przepisów prawa pracy oraz niezbędne do zawarcia i realizacji umowy o pracę.
Niepodanie danych może skutkować brakiem możliwości nawiązania lub kontynuowania stosunku pracy.

10. Zautomatyzowane podejmowanie decyzji
Twoje dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, o którym mowa w art. 22 RODO.

Jak spełnić obowiązek informacyjny wobec pracownika – krok po kroku

Krok 1. Zidentyfikuj procesy kadrowe

Ustal, jakie dane pozyskujesz od pracowników, w jakich dokumentach (umowa, akta osobowe, BHP, medycyna pracy) i jak wyglądają przepływy danych.

Krok 2. Ustal cele i podstawy prawne

Opisz cele: umowa o pracę, kadry i płace, ZUS/podatki, BHP, bezpieczeństwo, roszczenia. Dopasuj podstawy: art. 6 ust. 1 lit. b/c/f oraz art. 9 ust. 2 lit. b dla danych szczególnych kategorii.

Krok 3. Określ retencję akt osobowych

Uwzględnij 10-letni okres przechowywania akt osobowych (lub dłuższy, gdy wymagają tego przepisy) oraz inne okresy związane z rozliczeniami i przedawnieniem roszczeń.

Krok 4. Opisz monitoring i bezpieczeństwo

Jeśli stosujesz monitoring (wizyjny, poczty, systemów), uwzględnij to w klauzuli: cele, zakres, podstawa, czas przechowywania.

Krok 5. Przekaż klauzulę przy zatrudnieniu

Dołącz klauzulę do dokumentów onboardingowych i zadbaj, by pracownik faktycznie ją otrzymał (papier lub wersja elektroniczna), w momencie pozyskania danych.

Najczęstsze błędy w klauzulach dla pracownika (i jak ich uniknąć)

Najczęściej: kopiowanie ogólnej klauzuli „dla klientów” bez podstaw z prawa pracy, brak retencji akt osobowych, brak informacji o monitoringu i realnych odbiorcach (ZUS, US, kadry-płace), a także zbyt ogólne podstawy prawne. Dopasuj klauzulę do procesów kadrowych: opisz cele i podstawy, retencję, monitoring i prawa pracownika prostym językiem.

Podstawa prawna i źródła

RODO (UE) 2016/679 – art. 13, art. 6, art. 9 (obowiązek informacyjny, podstawy, dane szczególnych kategorii), art. 12 (przejrzystość), art. 15 (dostęp), art. 22 (decyzje zautomatyzowane) Wytyczne w sprawie przejrzystości (WP260 rev.01) – warstwowanie, jasny język, dostępność informacji (przyjęte 29.11.2017, zmienione 11.04.2018) Wytyczne 01/2022 dotyczące praw osób, których dane dotyczą – prawo dostępu (kontekst przejrzystości i praktyki udzielania informacji) Decyzja Prezesa UODO: ZSPR.421.3.2018 – naruszenie obowiązku informacyjnego (art. 14) i znaczenie realnego dotarcia z informacją Decyzja Prezesa UODO: ZKE.440.76.2019 – nakaz spełnienia obowiązku informacyjnego (cele, zakres, źródło, odbiorcy) Decyzja Prezesa UODO: DKE.523.18.2021 – obowiązek informacyjny (m.in. cele, retencja, źródło danych, numer telefonu) Kodeks pracy – art. 22¹ (zakres danych pracownika, relacja z obowiązkiem informacyjnym)