Opracodawcy
Jak to działa
Sourcing kandydatów Screening CV Analiza CV AI Scoring kandydatów Preselekcja kandydatów Umawianie rozmów Multiposting ogłoszeń
IT Produkcja Magazyn Handlowcy Rekrutacja masowa Agencje pracy Wszystkie →
Alternatywa dla eRecruiter Alternatywa dla Traffit Alternatywa dla HRappka Alternatywa dla Element (elementapp.ai) Ranking i porównanie systemów ATS
Cennik Blog
Wszystkie artykuły

Zgodność

RODO w rekrutacji: praktyczny przewodnik dla pracodawcy

RODO w rekrutacji w praktyce: jakie dane kandydatów możesz przetwarzać, jak zbierać zgody, jak długo przechowywać CV i jak prowadzić rejestr czynności oraz przechowywać dane w UE.

Zespół Opracodawcy · czerwiec 2026 · 11 min czytania

RODO w rekrutacji to dla wielu działów HR temat, który budzi więcej niepewności niż jakikolwiek inny aspekt zatrudniania. Z jednej strony wszyscy wiedzą, że dane kandydatów są danymi osobowymi i trzeba je chronić. Z drugiej strony codzienna praktyka pełna jest pytań bez prostej odpowiedzi: czy mogę zachować CV na przyszłość, jak długo wolno je trzymać, czy potrzebuję zgody, co zrobić, gdy kandydat poprosi o usunięcie danych. Ten praktyczny przewodnik porządkuje najważniejsze zasady i pokazuje, jak stosować je w realnym procesie rekrutacyjnym, także wtedy, gdy wspiera Cię narzędzie oparte na AI.

To nie jest porada prawna, lecz praktyczne kompendium, które pomoże Ci zadawać właściwe pytania i ustawić proces tak, żeby był zgodny z RODO. Przejdziemy przez podstawę prawną przetwarzania, minimalizację danych, czas przechowywania, prawa kandydatów, rejestr czynności, lokalizację danych i anonimizację.

Podstawa prawna przetwarzania danych kandydata

Każde przetwarzanie danych osobowych musi mieć podstawę prawną. W rekrutacji najczęściej spotykamy kilka sytuacji. Dane wymagane przepisami prawa pracy i niezbędne do przeprowadzenia rekrutacji przetwarzasz na podstawie przepisów i podjęcia działań przed zawarciem umowy. Dane wykraczające poza ten zakres, na przykład CV bogate w dodatkowe informacje, opiera się zwykle na zgodzie kandydata. Z kolei jeśli chcesz zachować aplikację na potrzeby przyszłych rekrutacji, potrzebujesz osobnej, wyraźnej zgody na ten konkretny cel.

Kluczowa zasada: zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Nie może być ukryta w gąszczu regulaminu ani domyślnie zaznaczona. Kandydat musi wiedzieć, na co się godzi, i móc tę zgodę wycofać.

Minimalizacja danych

RODO każe zbierać tylko te dane, które są naprawdę potrzebne do celu rekrutacji. To zasada minimalizacji i w praktyce oznacza, że nie pytasz o więcej, niż potrzebujesz do oceny dopasowania na dane stanowisko. Nie zbierasz informacji o stanie cywilnym, planach rodzinnych, wyznaniu czy poglądach. Nie wymagasz zdjęcia, jeśli nie jest niezbędne. Im mniej danych zgromadzisz, tym mniejsze ryzyko i tym prościej zachować zgodność.

Ta sama zasada dotyczy narzędzi AI. Dobry system do screeningu CV ocenia dopasowanie do realnych wymagań stanowiska, a nie cechy, które nie powinny mieć znaczenia. Co więcej, celowo nie ocenia cech chronionych, o czym piszemy w artykule o scoringu kandydatów bez dyskryminacji.

Czas przechowywania danych

Jednym z najczęstszych grzechów w rekrutacji jest trzymanie CV „na zawsze, na wszelki wypadek". RODO wymaga, żeby dane przechowywać tylko tak długo, jak to konieczne do celu, dla którego zostały zebrane. W praktyce:

  • Dane z zakończonej rekrutacji, jeśli kandydat nie wyraził zgody na przyszłe procesy, należy usunąć po jej zakończeniu, w rozsądnym, z góry określonym terminie.
  • Dane do przyszłych rekrutacji wolno trzymać tylko za zgodą i tylko przez okres wskazany w tej zgodzie.
  • Określ politykę retencji i trzymaj się jej konsekwentnie, zamiast podejmować decyzje doraźnie.

Jasna polityka przechowywania to nie tylko wymóg, lecz także ochrona przed ryzykiem. Im mniej starych danych zalega w systemie, tym mniejsza powierzchnia ewentualnego naruszenia.

Prawa kandydata

Kandydat, którego dane przetwarzasz, ma na gruncie RODO szereg praw. Powinieneś być gotowy je realizować, a najlepiej mieć do tego prostą procedurę. Najważniejsze z nich to:

  • Prawo dostępu. Kandydat może zapytać, jakie dane na jego temat przetwarzasz.
  • Prawo do sprostowania. Może żądać poprawienia nieprawidłowych danych.
  • Prawo do usunięcia. Może żądać usunięcia danych, gdy nie ma już podstawy do ich przetwarzania.
  • Prawo do ograniczenia i sprzeciwu. Może żądać ograniczenia przetwarzania albo wnieść sprzeciw.
  • Prawo do wycofania zgody. Jeśli przetwarzanie opiera się na zgodzie, kandydat może ją w każdej chwili wycofać.
  • Prawo związane z decyzjami zautomatyzowanymi. Art. 22 RODO daje kandydatowi prawo, by nie podlegać decyzji opartej wyłącznie na automatycznym przetwarzaniu, jeśli wywołuje istotne skutki.

To ostatnie prawo jest szczególnie ważne w kontekście AI. Dlatego dobre narzędzie nigdy nie odrzuca kandydata automatycznie, lecz pozostawia decyzję człowiekowi. Temat ten łączy się z obowiązkami z AI Act, które opisujemy w artykule o AI Act w rekrutacji.

Rejestr czynności przetwarzania

RODO wymaga prowadzenia rejestru czynności przetwarzania danych. W kontekście rekrutacji powinien on opisywać, jakie dane kandydatów przetwarzasz, w jakim celu, na jakiej podstawie, jak długo je przechowujesz, komu je udostępniasz i jak je zabezpieczasz. Rejestr to nie biurokratyczny dodatek, lecz dokument, który w razie kontroli albo skargi pozwala wykazać, że działasz zgodnie z prawem. Jeśli korzystasz z dostawcy oprogramowania, który przetwarza dane w Twoim imieniu, potrzebujesz też umowy powierzenia przetwarzania.

Dane w Unii Europejskiej

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy podlega dodatkowym wymaganiom i często bywa problematyczne. Najprostszym i najbezpieczniejszym rozwiązaniem jest korzystanie z narzędzi, które przechowują i przetwarzają dane kandydatów w Unii Europejskiej. Wybierając dostawcę, sprawdź, gdzie fizycznie znajdują się dane i czy nie są przekazywane do krajów spoza EOG bez odpowiednich zabezpieczeń. To jeden z punktów, które warto omówić, zanim podejmiesz decyzję. Opracodawcy przechowuje dane w UE, a szczegóły opisujemy na stronie o zgodności.

Anonimizacja i pseudonimizacja

Dwa pojęcia, które warto rozróżnić. Anonimizacja to nieodwracalne usunięcie danych pozwalających zidentyfikować osobę, po którym dane przestają być danymi osobowymi. Pseudonimizacja to zastąpienie danych identyfikujących pseudonimem, tak że bez dodatkowych informacji nie da się przypisać ich do konkretnej osoby, ale przy zachowaniu klucza identyfikacja pozostaje możliwa. Pseudonimizacja jest cennym środkiem bezpieczeństwa, na przykład przy raportowaniu czy testowaniu, i bywa zalecana jako element ochrony danych. Anonimizacja przydaje się tam, gdzie chcesz zachować dane statystyczne, ale nie potrzebujesz już identyfikować konkretnych kandydatów.

Jak AI może wspierać zgodność z RODO, a nie ją utrudniać

Wbrew obawom dobrze zaprojektowane narzędzie AI może wspierać zgodność z RODO. Po pierwsze, narzucając minimalizację: system ocenia dopasowanie do wymagań stanowiska, a nie cechy nieistotne. Po drugie, automatyzując politykę retencji: dane są usuwane zgodnie z ustalonymi regułami, a nie zalegają w skrzynkach mailowych poszczególnych rekruterów. Po trzecie, utrzymując porządek i ślad audytowy, który ułatwia wykazanie zgodności. Po czwarte, trzymając człowieka w pętli, co odpowiada na wymóg art. 22 RODO. Tak właśnie działa Opracodawcy: pozyskuje i ocenia kandydatów, ale każdą decyzję podejmuje rekruter, a dane pozostają uporządkowane i w UE.

Dane zwykłe a dane szczególnej kategorii

RODO rozróżnia zwykłe dane osobowe i dane szczególnej kategorii, czyli wrażliwe. Do tych drugich należą między innymi informacje o stanie zdrowia, pochodzeniu, wyznaniu, poglądach czy przynależności związkowej. Ich przetwarzanie jest co do zasady zabronione, z wąskimi wyjątkami, i obwarowane znacznie surowszymi wymaganiami. W rekrutacji oznacza to bardzo praktyczną zasadę: nie pytaj o takie informacje, jeśli nie masz ku temu wyraźnej, dopuszczonej prawem podstawy.

W praktyce kandydaci czasem sami umieszczają wrażliwe dane w CV, na przykład wzmiankę o stanie zdrowia albo zaangażowaniu w organizację światopoglądową. Twoim zadaniem jest nie wykorzystywać tych informacji w ocenie i nie przechowywać ich bez potrzeby. Dobre narzędzie wspiera tę zasadę, bo ocenia kandydatów wyłącznie pod kątem dopasowania do wymagań stanowiska i nie scoringuje cech wrażliwych ani chronionych.

Bezpieczeństwo danych kandydatów

RODO wymaga nie tylko właściwej podstawy i minimalizacji, ale też odpowiednich środków bezpieczeństwa. Dane kandydatów trzeba chronić przed nieuprawnionym dostępem, utratą i naruszeniem. W praktyce oznacza to kontrolę dostępu, tak by tylko upoważnione osoby widziały aplikacje, szyfrowanie danych, regularne kopie zapasowe oraz procedurę na wypadek naruszenia ochrony danych. Korzystając z zewnętrznego narzędzia, sprawdź, jak dostawca zabezpiecza dane i czy zapewnia odpowiednie gwarancje w umowie powierzenia. Bezpieczeństwo to nie dodatek, lecz integralna część zgodności z RODO.

Praktyczna lista kontrolna RODO w rekrutacji

  • Czy mam jasną podstawę prawną dla każdego rodzaju przetwarzanych danych?
  • Czy zbieram tylko dane niezbędne do oceny dopasowania na stanowisko?
  • Czy mam określoną politykę przechowywania i konsekwentnie usuwam dane?
  • Czy potrafię obsłużyć żądania kandydatów dotyczące ich praw?
  • Czy prowadzę rejestr czynności przetwarzania i mam umowy powierzenia z dostawcami?
  • Czy dane kandydatów są przechowywane w UE?
  • Czy żadna istotna decyzja nie zapada wyłącznie automatycznie, bez udziału człowieka?

Podsumowanie

RODO w rekrutacji opiera się na kilku praktycznych zasadach: zbieraj tylko to, co potrzebne, miej podstawę prawną, trzymaj dane nie dłużej niż to konieczne, szanuj prawa kandydatów, prowadź rejestr czynności i przechowuj dane w Unii. Sztuczna inteligencja nie stoi w sprzeczności z tymi zasadami, o ile narzędzie jest zaprojektowane z myślą o zgodności: minimalizuje dane, automatyzuje retencję, prowadzi ślad audytowy i zostawia decyzje człowiekowi.

Jeśli chcesz prowadzić rekrutację, która łączy realne wsparcie AI z poszanowaniem RODO, sprawdź Opracodawcy i uruchom demo na przykładowym stanowisku. Zobaczysz agenta, który pozyskuje i ocenia kandydatów w sposób uporządkowany, transparentny i zgodny z przepisami, zostawiając każdą decyzję w Twoich rękach.

// OPRACODAWCY · ZACZNIJ TERAZ

Wypróbuj to w praktyce z agentem AI

Opisz stanowisko, a agent pozyska kandydatów z Pracuj.pl, OLX Pracy i LinkedIn, oceni CV, zbuduje ranking i zaproponuje terminy rozmów. Ty zatwierdzasz każdą decyzję. Zgodnie z RODO i AI Act.

Zobacz, jak działa →
02

// CZYTAJ DALEJ

Więcej o rekrutacji AI.

Podstawy

Co to jest system ATS? Przewodnik dla pracodawcy

Co to jest system ATS, jak działa Applicant Tracking System, co realnie usprawnia w rekrutacji i czym agent AI na cały lejek różni się od klasycznego systemu ewidencji kandydatów.

czerwiec 2026 · 9 min czytania

 Zgodność

AI Act rekrutacja: co musi wiedzieć pracodawca w 2026

AI Act rekrutacja: dlaczego od sierpnia 2026 selekcja i ranking CV to system wysokiego ryzyka, jakie obowiązki spadają na pracodawcę i jak zapewnić nadzór człowieka oraz ślad audytowy.

czerwiec 2026 · 12 min czytania

 Poradniki

Jak AI skraca czas rekrutacji: gdzie znikają godziny

Jak skrócić czas rekrutacji dzięki AI: które etapy lejka pochłaniają najwięcej godzin, jak sourcing, screening i scoring przez agenta przyspieszają proces i jak mierzyć czas do zatrudnienia.

czerwiec 2026 · 9 min czytania

// ZACZNIJ TERAZ

Opisz stanowisko, resztę poprowadzi agent.

Sourcing, selekcja, scoring i umawianie rozmów w jednym miejscu. Ty zatwierdzasz każdą decyzję.

Zgodność z RODO i AI Act →