Zgoda RODO w rekrutacji – wzór do CV

Rekrutacja to jeden z obszarów, w których RODO bywa stosowane automatycznie – najczęściej przez dodawanie zgody do każdego CV, niezależnie od tego, czy jest ona w ogóle potrzebna. Tymczasem w wielu przypadkach przetwarzanie danych kandydatów wynika wprost z przepisów prawa lub z faktu, że strony zmierzają do zawarcia umowy.

Materiał został przygotowany w oparciu o RODO, Kodeks pracy, stanowiska Prezesa UODO oraz praktykę rynkową działów HR. Jest skierowany do pracodawców, rekruterów i osób odpowiedzialnych za procesy zatrudniania – także w małych i średnich firmach.

Wróć do Ochrona danych w firmie

W skrócie — najważniejsze fakty

Nie każda rekrutacja wymaga zgody kandydata. W przypadku umowy o pracę część danych przetwarzana jest na podstawie art. 22¹ Kodeksu pracy w celu przeprowadzenia rekrutacji, a następnie na podstawie art. 6 ust. 1 lit. b RODO – w celu zawarcia umowy.

Przetwarzanie CV na potrzeby przyszłych rekrutacji stanowi odrębny cel i co do zasady wymaga dobrowolnej, wyraźnej zgody kandydata, zgodnie z art. 6 ust. 1 lit. a RODO.

Zgoda w rekrutacji musi być rzeczywiście dobrowolna. Jej brak nie może wpływać na udział w bieżącym procesie, a kandydat musi mieć możliwość jej wycofania w dowolnym momencie.

Jednym z najczęstszych naruszeń jest brak jasnych zasad retencji danych – czyli przechowywanie CV „na zapas”, bez określenia okresu i bez realnej zgody.

Pytania i odpowiedzi: zgoda na rekrutację i przyszłe rekrutacje

1. Czy w każdej rekrutacji potrzebna jest zgoda na przetwarzanie CV?

Nie. Przy rekrutacji na etat pracodawca przetwarza podstawowe dane kandydata na podstawie art. 22¹ Kodeksu pracy, w celu przeprowadzenia rekrutacji, a następnie na podstawie art. 6 ust. 1 lit. b RODO – w celu zawarcia umowy. Zgoda nie jest wtedy konieczna i nie powinna być „dla zasady” wklejana do każdego ogłoszenia.

2. Jakie dane można żądać przy umowie o pracę na podstawie art. 22¹ Kodeksu pracy?

Ustawowo: imię, nazwisko, data urodzenia, dane kontaktowe wskazane przez kandydata oraz informacje o wykształceniu, kwalifikacjach i przebiegu dotychczasowego zatrudnienia – ale tylko gdy jest to niezbędne do danego stanowiska. Na dalszym etapie (po decyzji o zatrudnieniu) dochodzą dane wymagane do zawarcia umowy i zgłoszeń (PESEL, adres, dane do ZUS), a więc obowiązki prawne zgodnie z którymi pracodawca pozyskuje dane na podstawie art. 6 ust. 1 lit. c RODO.

3. A jak wygląda podstawa prawna przy współpracy B2B lub umowie zlecenia?

W relacjach cywilnoprawnych stosujemy art. 6 ust. 1 lit. b RODO (działania zmierzające do zawarcia umowy). Zakres danych powinien być adekwatny do tego celu – zazwyczaj imię, nazwisko, kontakt, dane do faktury. Nie ma tu katalogu z art. 22¹ KP, ale nadal obowiązuje zasada minimalizacji.

4. Czy zgoda jest potrzebna na przechowywanie CV do przyszłych rekrutacji?

Tak. To odrębny cel przetwarzania, nie wynikający ani z Kodeksu pracy, ani z bieżącej umowy. Wymaga dobrowolnej zgody (art. 6 ust. 1 lit. a RODO), udzielonej świadomie i konkretnie – najlepiej wprost w treści zgody na „przyszłe procesy rekrutacyjne”.

5. Co powinna zawierać prawidłowa zgoda na przyszłe rekrutacje?

Cel (udział w przyszłych procesach rekrutacyjnych), podmiot (konkretny pracodawca), okres przechowywania (np. 12 miesięcy), informację o dobrowolności oraz o prawie do cofnięcia zgody w dowolnym momencie bez negatywnych konsekwencji dla bieżącej rekrutacji.

6. Czy brak zgody na przyszłe rekrutacje może wpłynąć na wynik bieżącej rekrutacji?

Nie. Zgoda na przyszłe rekrutacje jest całkowicie dobrowolna i nie może warunkować udziału w obecnym procesie. Kandydat, który jej nie udzieli, powinien być traktowany identycznie jak inni – a jego dane po zakończeniu rekrutacji trzeba usunąć lub skrócić retencję do niezbędnego minimum.

7. Czy można prosić o dodatkowe dane, takie jak zdjęcie, stan cywilny czy link do profilu społecznościowego?

Tylko gdy są obiektywnie potrzebne do oceny kandydata na dane stanowisko. Zdjęcie, zainteresowania czy stan cywilny rzadko są niezbędne – zbieranie ich „dla porządku” narusza zasadę minimalizacji. Jeśli kandydat sam je zamieści, administrator powinien ocenić, czy są potrzebne; w razie wątpliwości – nie przetwarzać.

8. Co z danymi szczególnych kategorii (np. zdrowie, niepełnosprawność)?

Pracodawca nie powinien ich żądać na etapie rekrutacji, chyba że wynika to wprost z przepisu (np. uprawnienia do stanowisk chronionych, służby mundurowe). Jeżeli kandydat sam ujawni takie informacje, podstawą przetwarzania może być art. 9 ust. 2 lit. b RODO (prawa pracownicze) lub wyraźna, dobrowolna zgoda – i tak tylko w zakresie naprawdę niezbędnym.

9. Jak długo można przechowywać CV po zakończeniu rekrutacji?

Do momentu zakończenia procesu i rozstrzygnięcia ewentualnych roszczeń (np. 3 lata w oparciu o art. 291 § 1 KP). Jeśli kandydat udzielił zgody na przyszłe rekrutacje, retencja powinna być ograniczona do wskazanego okresu (np. 12 miesięcy), po którym dane trzeba usunąć lub ponownie uzyskać zgodę.

10. Jak udokumentować zgody i ich cofnięcie?

Zgody powinny być rejestrowane: data, treść zgody, kanał pozyskania, okres ważności. Cofnięcie zgody również wymaga odnotowania – z datą i potwierdzeniem wykonania, aby w razie kontroli UODO pokazać, że administrator reaguje na żądania.

11. Jak kandydat może cofnąć zgodę i co wtedy musi zrobić pracodawca?

Cofnięcie może nastąpić w dowolny sposób (e-mail, formularz, ustnie podczas rozmowy) i powinno być łatwe. Od momentu cofnięcia przetwarzanie na podstawie zgody musi się zakończyć, a dane przetwarzane tylko w tym celu należy usunąć lub zanonimizować – z potwierdzeniem dla kandydata.

12. Czy można wykorzystać CV do innych celów, np. marketingu lub budowy baz talentów?

Nie bez odrębnej podstawy. CV zebrane do rekrutacji nie mogą być używane do marketingu, sprzedaży czy testowania narzędzi HR bez jasnej, dobrowolnej zgody na taki cel. Nawet „baza talentów” to osobny cel – wymaga osobnej zgody lub innej wyraźnej podstawy prawnej.

Twoje prawa w procesie rekrutacji

Prawo do informacji i przejrzystości

Administrator musi wskazać cele, podstawy prawne i okres przechowywania danych kandydata, a także poinformować o prawie do cofnięcia zgody, jeżeli ją zbiera.

Prawo do cofnięcia zgody

Zgodę na przyszłe rekrutacje można wycofać w dowolnym momencie – bez wpływu na zgodność przetwarzania przed cofnięciem i bez negatywnego wpływu na bieżący proces.

Prawo do usunięcia danych

Po cofnięciu zgody lub zakończeniu rekrutacji kandydat może zażądać usunięcia danych przetwarzanych wyłącznie na potrzeby przyszłych rekrutacji.

Prawo do ograniczenia lub sprzeciwu

Kandydat może żądać ograniczenia przetwarzania danych, jeśli uważa, że pracodawca przetwarza je w zbyt szerokim zakresie albo bez podstawy prawnej.

RODO dla małych firm i JDG Obowiązki administratora danych – pełna checklista Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) Prawo do usunięcia danych po cofnięciu zgody (art. 17 RODO) Klauzula informacyjna dla pracownika – obowiązek pracodawcy (art. 13 RODO)

Wzory do skopiowania

Wzór zgody na przyszłe rekrutacje

Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w dokumentach aplikacyjnych przez [nazwa pracodawcy] w celu udziału w przyszłych procesach rekrutacyjnych prowadzonych przez tego pracodawcę przez okres [np. 12 miesięcy].

Zostałem/-am poinformowany/-a, że zgoda jest dobrowolna i może zostać wycofana w każdym czasie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Wzór cofnięcia zgody

Cofam zgodę na przetwarzanie moich danych osobowych w celach przyszłych rekrutacji. Proszę o usunięcie moich danych przetwarzanych na tej podstawie oraz o potwierdzenie wykonania tej czynności.

Jak prawidłowo przetwarzać CV kandydatów w rekrutacji – krok po kroku

Krok 1. Określ podstawę prawną bieżącej rekrutacji

Przy umowie o pracę korzystasz z art. 22¹ KP i art. 6 ust. 1 lit. b RODO. Przy zleceniu/B2B – z art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy).

Krok 2. Ogranicz zakres danych do niezbędnego minimum

Żądaj tylko tych informacji, które są potrzebne do oceny kandydata na konkretnym stanowisku. Usuń z formularzy pola „na zapas” (np. stan cywilny).

Krok 3. Spełnij obowiązek informacyjny i wskaż retencję

W ogłoszeniu lub formularzu podaj administratora, cele, podstawy prawne, okres przechowywania danych i prawa kandydata. Jasno rozdziel bieżącą rekrutację od ewentualnych przyszłych.

Krok 4. Uzyskaj i udokumentuj zgody na przyszłe rekrutacje

Jeśli chcesz trzymać CV na kolejne procesy, zbierz odrębną zgodę z okresem i możliwością cofnięcia. Zapisz jej treść, datę i sposób wyrażenia.

Krok 5. Zarządzaj retencją i cofnięciami zgód

Po zakończeniu rekrutacji usuń dane zebrane tylko na jej potrzeby. Przy zgodach na przyszłość ustaw przypomnienie o terminie wygaśnięcia i reaguj na cofnięcia zgód z potwierdzeniem wykonania.

Krok 6. Zapewnij bezpieczeństwo danych rekrutacyjnych

Ogranicz dostęp do CV, korzystaj z upoważnień, unikaj wysyłania dokumentów mailem bez potrzeby, a po zakończeniu procesu usuń pliki z dysków współdzielonych.

Uwaga: zgoda „dla formalności” to ryzyko

Automatyczne dokładanie klauzuli zgody do każdego CV to częsty błąd. Może sprawić, że zgoda nie będzie dobrowolna, a pracodawca narazi się na zarzut braku przejrzystości i zbyt długiej retencji. Jasno rozdziel cele i podstawy prawne – wtedy rekrutacja jest zgodna z prawem i bardziej przejrzysta dla kandydatów.

Podstawa prawna i źródła

Kodeks pracy – art. 22¹ RODO – art. 6 ust. 1 lit. a i b, art. 7 ust. 3 Poradnik Prezesa UODO dla pracodawców (2018 r.) Przykładowe ogłoszenie rekrutacyjne UODO