RODO w kadrach – jak zgodnie z prawem przetwarzać dane pracowników?

RODO w kadrach to temat, który nie kończy się na klauzuli informacyjnej w umowie o pracę. To cały zestaw obowiązków, decyzji i działań, które musisz podjąć jako pracodawca – od momentu publikacji ogłoszenia rekrutacyjnego, aż po archiwizację dokumentów byłego pracownika. Ochrona danych w kadrach wymaga nie tylko znajomości przepisów, ale też zrozumienia, gdzie w codziennej rutynie mogą pojawić się ryzyka. Ten poradnik pomoże Ci zrozumieć, kiedy wymagana jest zgoda na przetwarzanie danych osobowych kadry, jak zgodnie z prawem stosować monitoring, co powinno znaleźć się w rejestrze czynności przetwarzania i dlaczego warto unikać najczęstszych błędów, zanim zapuka do Ciebie kontrola z UODO.

Jak nie złamać RODO już w ogłoszeniu o pracę? Sprawdź, jakie dane wolno zbierać od kandydatów

Zanim jeszcze podpiszesz umowę z kandydatem, RODO w kadrach już Cię obowiązuje. Właściwie – obowiązuje Cię od pierwszego kontaktu z potencjalnym pracownikiem. Wielu rekruterów nieświadomie popełnia błędy już na etapie publikacji ogłoszenia o pracę. Wystarczy, że poprosisz o dane wykraczające poza katalog przewidziany w Kodeksie pracy, a przetwarzasz je bez podstawy prawnej. A to może mieć konsekwencje. Imię, nazwisko, kontakt, wykształcenie, kwalifikacje – to zestaw minimalny i tylko wtedy, gdy rzeczywiście są niezbędne. Jeśli chcesz więcej, np. zdjęcie, numer PESEL czy informacje o stanie cywilnym, musisz wiedzieć, że potrzebna będzie zgoda na przetwarzanie danych osobowych kadry – konkretna, świadoma i dobrowolna.

Tylko że z tą zgodą to nie takie proste. Nie możesz wrzucić do ogłoszenia formułki „przesyłając CV, wyrażasz zgodę…” i mieć temat z głowy. Takie praktyki są dziś już nie tylko nieaktualne, ale i ryzykowne. Zgoda musi być konkretna, jednoznaczna i odrębna od innych treści. Jeśli więc rzeczywiście chcesz ją pozyskać, zadbaj o to, by pojawiła się dopiero wtedy, gdy kandydat będzie miał możliwość świadomego wyboru – najlepiej osobno, w formularzu aplikacyjnym. To pozornie drobne detale, ale to właśnie one najczęściej decydują, czy ochrona danych w kadrach jest prowadzona zgodnie z przepisami, czy nie.

Rejestr czynności przetwarzania w kadrach – czy Twoja firma powinna go prowadzić? (I jak to zrobić bez bólu głowy)

Jeśli wydaje Ci się, że rejestr czynności przetwarzania to temat dla korporacji, a nie dla małej firmy zatrudniającej pięciu pracowników, to niestety – jesteś w błędzie. Przepisy jasno wskazują, że nawet mniejsze organizacje muszą go prowadzić, jeśli przetwarzają dane wrażliwe, np. dotyczące zdrowia, lub jeśli istnieje jakiekolwiek ryzyko naruszenia bezpieczeństwa danych osobowych pracowników. A w kadrach? To codzienność. Właśnie dlatego kadry RODO powinny traktować rejestr jak obowiązkowy element systemu ochrony danych, a nie coś „na wszelki wypadek”.

Co warto wiedzieć na początek? Rejestr to nie arkusz z listą nazwisk. To pełna dokumentacja tego, co dzieje się z danymi osobowymi w konkretnych procesach – np. zatrudnienia, rozliczeń, archiwizacji. Musisz w nim wskazać: kategorie danych, cele przetwarzania, podstawy prawne, odbiorców danych (np. ZUS czy banki), a także terminy usuwania danych i środki zabezpieczające. W teorii brzmi to skomplikowanie, ale dobrze opracowany szablon i uporządkowane procedury kadrowe RODO pozwalają wdrożyć ten dokument w jeden dzień. I spać spokojnie, nawet jeśli przyjdzie kontrola z UODO.

Zgoda na przetwarzanie danych w kadrach – kiedy jej potrzebujesz, a kiedy… lepiej jej unikać?

Zgoda na przetwarzanie danych to temat, który w działach kadr od lat budzi kontrowersje. Z jednej strony – wydaje się oczywista. Z drugiej – może wprowadzać więcej problemów niż korzyści. W praktyce najczęściej nie jest potrzebna – bo większość przetwarzania danych osobowych w kadrach opiera się na przepisach Kodeksu pracy lub obowiązkach pracodawcy. Ale zdarzają się sytuacje, gdy zgoda faktycznie jest niezbędna. Przykłady? Wykorzystanie wizerunku pracownika w materiałach firmowych, przetwarzanie danych kontaktowych do celów prywatnych czy zbieranie informacji wykraczających poza minimum ustawowe.

I tutaj wkracza cała sztuka – zgoda musi być naprawdę dobrze sformułowana. Nie może być domyślna, dorozumiana czy ukryta gdzieś w stopce formularza. Musi być oddzielona od innych zapisów, jasno określająca cel, zakres i przysługujące prawa. I – co kluczowe – musi być dobrowolna. To oznacza, że pracownik musi mieć realny wybór, a jego odmowa nie może powodować żadnych negatywnych konsekwencji. Dlatego wielu specjalistów ds. HR rezygnuje ze zbierania zgód tam, gdzie można oprzeć przetwarzanie na obowiązku prawnym. Bo zgoda, choć pozornie prostsza, niesie za sobą więcej formalności i potencjalnych pułapek.

Overline

Profesjonalne doradztwo prawne dla biznesu

Kompleksowe rozwiązania prawne dostosowane do potrzeb Twojej firmy

NAPISZ DO NAS

Monitoring w pracy a ochrona danych – czy kamera może wszystko? Zobacz, jak legalnie stosować nadzór

Wielu pracodawców decyduje się na wprowadzenie monitoringu w miejscu pracy – z powodów bezpieczeństwa, ochrony mienia, czasem też efektywności pracowników. To zrozumiałe. Ale zanim zainstalujesz kamerę, zatrzymaj się na moment i sprawdź, czy Twoje działania nie naruszają zasad ochrony danych w kadrach. Bo nawet najlepiej uzasadniony nadzór musi spełniać określone wymogi prawne – zarówno z Kodeksu pracy, jak i z RODO. Przede wszystkim: monitoring musi być proporcjonalny, czyli ograniczony do konkretnych, jasno określonych celów. Nie możesz rejestrować wszystkiego, wszędzie i wszystkich – nawet jeśli masz dobre intencje.

Co więcej, każdy pracownik musi być poinformowany o stosowaniu monitoringu – w sposób jasny, zrozumiały i najlepiej na piśmie. Potrzebna jest odpowiednia klauzula informacyjna, która wskaże cel, zakres i czas przechowywania nagrań. Warto też pamiętać, że niektóre obszary – jak toalety, szatnie czy pomieszczenia socjalne – są z monitorowania całkowicie wyłączone. Jeśli masz wątpliwości, przeprowadź test równowagi interesów, czyli sprawdź, czy Twoje potrzeby jako pracodawcy nie naruszają nadmiernie praw pracownika. To jedno z tych zagadnień, gdzie błędna decyzja może kosztować nie tylko finansowo, ale i wizerunkowo.

Naruszenie danych w dziale HR – co zrobić, gdy „wycieknie” PESEL pracownika? Reaguj zgodnie z RODO w 72h

Zgubiony pendrive z aktami osobowymi, omyłkowo wysłana lista płac do złego adresata, niezabezpieczona baza z danymi – takie rzeczy niestety się zdarzają. I to nie tylko w dużych korporacjach. Naruszenia danych osobowych w kadrach mogą przytrafić się każdej firmie, nawet tej najmniejszej. Kluczowe jest jednak, jak zareagujesz. Zgodnie z RODO, masz dokładnie 72 godziny od wykrycia incydentu, by zgłosić go do UODO, jeśli istnieje ryzyko dla praw lub wolności osób, których dane dotyczą. Czasu nie ma więc zbyt wiele – dlatego ważne, byś wiedział, co robić, zanim coś się wydarzy.

Dobrą praktyką jest stworzenie wewnętrznej procedury reagowania na incydenty. Kto zgłasza? Kto analizuje sytuację? Jakie dane musisz zebrać, zanim wyślesz zgłoszenie? Jak informować pracowników? Wszystko to warto mieć przygotowane zawczasu. Ułatwia to nie tylko sprawne działanie, ale również minimalizuje skutki ewentualnych konsekwencji. A te – jak wiadomo – mogą być poważne. Bo zmiany RODO w kadrach to nie tylko nowe formularze i klauzule, ale przede wszystkim obowiązek realnej ochrony danych. Nawet jedna pomyłka może podważyć zaufanie pracowników i narazić firmę na odpowiedzialność prawną. W uporządkowaniu procedur oraz weryfikacji zgodności z przepisami pomoże Ci profesjonalny audyt akt osobowych pracowników, który wskaże słabe punkty i pozwoli wdrożyć konkretne rozwiązania.

Również ochrona sygnalistów stanowi dziś kluczowy element odpowiedzialnego zarządzania w firmie – konieczne jest zapewnienie bezpieczeństwa pracownikom, którzy zgłaszają nieprawidłowości. Profesjonalna opinia prawna w tym zakresie pozwala wdrożyć odpowiednie procedury, dzięki którym osoby sygnalizujące nie będą narażone na przykre konsekwencje.

Najważniejsze informacje

Dane osobowe w kadrach można przetwarzać tylko wtedy, gdy istnieje podstawa prawna – najczęściej jest to obowiązek prawny wynikający z Kodeksu pracy.
Nie zawsze wolno żądać zgody – jej stosowanie jest zasadne tylko wtedy, gdy przetwarzasz dane wykraczające poza ustawowe minimum.
Rejestr czynności przetwarzania danych jest obowiązkowy nawet w mniejszych firmach, jeśli przetwarzasz dane wrażliwe lub Twoje działania mogą wiązać się z ryzykiem naruszenia praw pracownika.
Monitoring wizyjny w pracy musi być uzasadniony, proporcjonalny i dobrze opisany w dokumentacji kadrowej RODO oraz zgodny z art. 22² Kodeksu pracy.
Naruszenie ochrony danych należy zgłosić do UODO w ciągu 72 godzin – warto mieć opracowaną procedurę reagowania na incydenty.
Dokumenty kadrowe RODO muszą być aktualne i dostosowane do procesów firmy – szczególnie klauzule informacyjne, zgody i upoważnienia.
Szkolenia z ochrony danych w kadrach powinny być regularne, a każdy pracownik HR musi znać zasady minimalizacji i legalnego przetwarzania danych.
Okresy przechowywania danych są ściśle określone – np. akta osobowe zatrudnionych po 2019 r. należy przechowywać przez 10 lat.

Jeśli chcesz mieć pewność, że dane osobowe w Twoim dziale kadr są przetwarzane zgodnie z przepisami, a wszystkie procedury spełniają wymagania RODO i Kodeksu pracy, warto przeprowadzić audyt HR i Compliance. To kompleksowe rozwiązanie, które pozwoli Ci przeanalizować obowiązujące praktyki, zidentyfikować luki i wdrożyć spójny, przejrzysty system ochrony danych w kadrach. Audyt obejmuje nie tylko dokumenty kadrowe RODO, ale również realne działania pracowników, sposób archiwizacji danych, uprawnienia dostępu czy zgodność stosowanych formularzy ze stanem prawnym. Dzięki temu zyskasz nie tylko bezpieczeństwo prawne, ale także większą kontrolę nad procesami i komfort pracy w HR, bez ciągłego zastanawiania się, „czy na pewno robimy to dobrze”

Agnieszka Kuźmicka

Aplikantka adwokacka (nr wpisu WAW/APL/10106) i ekspertka w zakresie prawa pracy oraz BHP. Od ponad 9 lat wspiera biznesy w obszarze bezpieczeństwa pracy, a od 3 lat pełni funkcję Biegłego Sądowego w tej dziedzinie. Jako przedsiębiorca i manager łączy wiedzę techniczną z regulacjami prawnymi, pomagając firmom przygotować się do kontroli PIP i Sanepidu oraz doradzając w procedurach powypadkowych. Tworzy bezpieczne środowiska pracy, minimalizując ryzyko i koszty dla pracodawców.

RODO w kadrach – jak zgodnie z prawem przetwarzać dane pracowników?

Jak nie złamać RODO już w ogłoszeniu o pracę? Sprawdź, jakie dane wolno zbierać od kandydatów

Rejestr czynności przetwarzania w kadrach – czy Twoja firma powinna go prowadzić? (I jak to zrobić bez bólu głowy)

Zgoda na przetwarzanie danych w kadrach – kiedy jej potrzebujesz, a kiedy… lepiej jej unikać?

Profesjonalne doradztwo prawne dla biznesu

Monitoring w pracy a ochrona danych – czy kamera może wszystko? Zobacz, jak legalnie stosować nadzór

Naruszenie danych w dziale HR – co zrobić, gdy „wycieknie” PESEL pracownika? Reaguj zgodnie z RODO w 72h

Najważniejsze informacje

Komisja powypadkowa – kto musi w niej być i jak wygląda jej praca

Kontrola PIP – lista dokumentów, które musisz mieć pod ręką. Nie daj się zaskoczyć!

Co powinien zawierać regulamin wynagradzania? Praktyczny przewodnik

Nowe przepisy o stażach – czy to koniec pracy jako „wolontariusz„?

Jak według prawa powinna wyglądać kontrola czasu pracy pracownika?

Porady prawne online – jak szybko i bezpiecznie uzyskać pomoc prawną przez Internet?

Jak nie złamać RODO już w ogłoszeniu o pracę? Sprawdź, jakie dane wolno zbierać od kandydatów

Rejestr czynności przetwarzania w kadrach – czy Twoja firma powinna go prowadzić? (I jak to zrobić bez bólu głowy)

Zgoda na przetwarzanie danych w kadrach – kiedy jej potrzebujesz, a kiedy… lepiej jej unikać?

Profesjonalne doradztwo prawne dla biznesu

Monitoring w pracy a ochrona danych – czy kamera może wszystko? Zobacz, jak legalnie stosować nadzór

Naruszenie danych w dziale HR – co zrobić, gdy „wycieknie” PESEL pracownika? Reaguj zgodnie z RODO w 72h

Najważniejsze informacje

Przeczytaj także