Ochrona danych osobowych w procesie rekrutacji to jeden z najważniejszych obszarów nadzorowanych zarówno przez RODO, jak i polski Kodeks pracy. Pracodawca przetwarzający dane osobowe kandydata do pracy działa jako administrator danych osobowych, co oznacza, że wszystkie dane zbierane w trakcie rekrutacji muszą być gromadzone, przechowywane i usuwane zgodnie z przepisami RODO oraz krajowymi regulacjami dotyczącymi danych osobowych. RODO określa ogólne zasady przetwarzania danych osobowych, takie jak minimalizacja danych, prawna podstawa przetwarzania danych oraz obowiązek informacyjny pracodawcy. Natomiast Kodeks pracy precyzuje, które dane osobowe kandydat ma obowiązek podać, a których pracodawca żądać nie może. W praktyce oznacza to, że proces rekrutacji pracodawca musi prowadzić w sposób zgodny, przejrzysty i proporcjonalny do celu, a dane osobowe kandydata powinny być przetwarzane tylko w stopniu niezbędnym do realizacji rekrutacji. Jakie dane osobowe może zbierać pracodawca podczas rekrutacji? Zakres danych osobowych, które pracodawca może zbierać w procesie rekrutacji, określa art. 22¹ Kodeksu pracy. Jest to tzw. katalog danych osobowych, które pracodawca może legalnie przetwarzać bez konieczności uzyskania zgody kandydata. Co powinno znaleźć się w dokumentach aplikacyjnych? Dokumenty aplikacyjne, takie jak CV czy list motywacyjny, stanowią podstawowe źródło informacji o kandydacie w procesie rekrutacji. Zakres danych osobowych, których pracodawca może żądać i które może przetwarzać na etapie rekrutacji, jest jednak ściśle określony przepisami prawa, w szczególności art. 22¹ Kodeksu pracy oraz przepisami RODO. Oznacza to, że pracodawca nie ma pełnej dowolności w kształtowaniu treści dokumentów aplikacyjnych – może zbierać wyłącznie te dane, które są niezbędne do realizacji procesu rekrutacji i oceny przydatności kandydata do pracy na danym stanowisku. Dane osobowe w CV powinny więc ograniczać się do informacji, które mają realne znaczenie dla oceny kandydata w danej rekrutacji. Co do zasady, w dokumentach aplikacyjnych mogą znaleźć się następujące dane osobowe kandydata: imię (imiona) i nazwisko, które pozwalają na jednoznaczną identyfikację kandydata w procesie rekrutacji, dane kontaktowe, takie jak numer telefonu lub adres e-mail, umożliwiające pracodawcy prowadzenie komunikacji związanej z rekrutacją, data urodzenia, o ile jest niezbędna z punktu widzenia realizacji procesu rekrutacji, informacje o wykształceniu, w szczególności o ukończonych szkołach, kierunkach kształcenia czy uzyskanych tytułach zawodowych, jeżeli mają one znaczenie dla danego stanowiska, przebieg dotychczasowego zatrudnienia, obejmujący doświadczenie zawodowe, zajmowane stanowiska oraz zakres wykonywanych obowiązków, w zakresie niezbędnym do oceny kompetencji kandydata, posiadane kwalifikacje zawodowe, certyfikaty, uprawnienia lub umiejętności wymagane lub pożądane na danym stanowisku. Warto podkreślić, że dane osobowe zawarte w CV powinny pozostawać w bezpośrednim związku z realizacją procesu rekrutacji. Pracodawca może przetwarzać tylko te informacje, które rzeczywiście służą ocenie kwalifikacji i predyspozycji kandydata, a nie takie, które mają charakter prywatny lub nie są istotne z punktu widzenia przyszłego zatrudnienia. Jednocześnie należy pamiętać, że zakres danych osobowych w dokumentach aplikacyjnych nie powinien być nadmierny. Obowiązuje tu zasada minimalizacji danych, wynikająca z przepisów RODO, zgodnie z którą pracodawca jako administrator danych osobowych przetwarza wyłącznie te dane, które są adekwatne, stosowne i ograniczone do tego, co niezbędne dla osiągnięcia określonego celu. W praktyce oznacza to, że zarówno pracodawcy, jak i kandydaci powinni świadomie kształtować treść dokumentów aplikacyjnych, dostosowując ją do wymogów konkretnej rekrutacji oraz obowiązujących przepisów prawa. Taki sposób podejścia do dokumentów aplikacyjnych pozwala nie tylko zachować zgodność z przepisami dotyczącymi ochrony danych osobowych, ale również zwiększa przejrzystość i profesjonalizm całego procesu rekrutacyjnego. Zgodnie z art. 22¹ §1 Kodeksu pracy, pracodawca w procesie rekrutacji może żądać od kandydata także daty urodzenia, o ile jest ona niezbędna do realizacji procesu rekrutacji. Data urodzenia stanowi element danych identyfikacyjnych i, wbrew częstym wątpliwościom, znajduje się w katalogu danych osobowych, które mogą być przetwarzane na podstawie przepisów prawa, bez konieczności uzyskiwania odrębnej zgody kandydata. Jakie dane są zakazane? Pracodawca nie może żądać informacji, które nie są objęte katalogiem ustawowym ani nie mają podstawy prawnej wynikającej z innych przepisów. Do danych, których nie można wymagać, należą m.in.: stan cywilny, orientacja seksualna, wyznanie lub światopogląd, pochodzenie etniczne, dane dotyczące zdrowia (chyba że wynika to z przepisów BHP lub ustaw szczególnych), zdjęcie, jeśli nie jest konieczne ze względu na specyfikę stanowiska, Dane biometryczne - co do zasady zakazane, chyba że istnieje szczególna podstawa prawna. Są to tzw. dane wrażliwe (szczególne kategorie danych), których przetwarzanie jest ściśle ograniczone. Przepisy RODO wymagają, aby pracodawca zbierał wyłącznie dane osobowe dotyczące kandydata, które są adekwatne i proporcjonalne do celu rekrutacji. Obowiązki informacyjne pracodawcy wobec kandydata – jak je spełnić? Każdy pracodawca przetwarzający dane osobowe kandydatów w procesie rekrutacji jest zobowiązany do realizacji obowiązku informacyjnego, o którym mowa w art. 13 RODO. Obowiązek ten istnieje niezależnie od tego, czy rekrutacja prowadzona jest bezpośrednio przez pracodawcę, czy za pośrednictwem agencji rekrutacyjnej lub agencji pracy tymczasowej. Jego celem jest zapewnienie kandydatom pełnej przejrzystości w zakresie tego, jakie dane są przetwarzane, w jakim celu oraz jakie prawa im przysługują. Od 24 grudnia 2025 r. znaczenie obowiązku informacyjnego dodatkowo wzrasta w związku z nowelizacją Kodeksu pracy wdrażającą przepisy dotyczące transparentności wynagrodzeń. Choć – wbrew obiegowym opiniom – nowe regulacje nie wprowadzają bezwzględnego obowiązku publikowania widełek wynagrodzenia w ogłoszeniach o pracę, to nakładają na pracodawców obowiązek przekazania kandydatowi informacji o warunkach wynagradzania na określonym etapie procesu rekrutacyjnego. Informacja ta musi zostać przekazana w sposób jasny, rzetelny oraz w formie pisemnej lub elektronicznej, co istotnie wpływa na sposób realizacji obowiązków informacyjnych w praktyce. Jakie informacje musi przekazać pracodawca? Obowiązek informacyjny pracodawcy wobec kandydata powinien obejmować co najmniej następujące elementy: tożsamość oraz dane kontaktowe administratora danych osobowych, czyli pracodawcy lub innego podmiotu decydującego o celach i sposobach przetwarzania danych, cele przetwarzania danych osobowych, w szczególności realizację procesu rekrutacji, oraz prawną podstawę przetwarzania danych, np. przepisy Kodeksu pracy lub zgodę kandydata, informację o odbiorcach danych osobowych lub kategoriach odbiorców, takich jak dostawcy systemów rekrutacyjnych, firmy IT czy agencje rekrutacyjne, okres przechowywania danych osobowych albo kryteria jego ustalania, np. czas trwania rekrutacji lub okres wynikający z prawnie uzasadnionego interesu administratora, prawa kandydata w procesie rekrutacyjnym, w tym prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu, informację o możliwości wycofania zgody w dowolnym momencie – jeżeli przetwarzanie danych odbywa się na podstawie zgody kandydata, informację o prawie wniesienia skargi do Urzędu Ochrony Danych Osobowych, jako organu nadzorczego właściwego w sprawach ochrony danych osobowych. W świetle nowych przepisów warto również pamiętać, że informacje przekazywane kandydatom – w tym dotyczące zasad wynagradzania – powinny być spójne z treścią klauzuli informacyjnej i nie mogą pozostawać w sprzeczności z deklarowanym celem przetwarzania danych. Forma przekazania obowiązku informacyjnego – jak zrobić to zgodnie z RODO i nowymi przepisami? RODO nie narzuca jednej, sztywnej formy realizacji obowiązku informacyjnego, jednak wymaga, aby informacje były przekazane w sposób przejrzysty, zrozumiały i łatwo dostępny. Od 24 grudnia 2025 r. szczególnego znaczenia nabiera także wymóg formy pisemnej lub elektronicznej w odniesieniu do informacji przekazywanych kandydatom w procesie rekrutacji. W praktyce pracodawca może spełnić obowiązek informacyjny m.in.: poprzez zamieszczenie klauzuli informacyjnej w treści ogłoszenia o pracę, w odrębnym dokumencie dołączonym do ogłoszenia lub przesyłanym kandydatowi po złożeniu aplikacji, na stronie internetowej pracodawcy, w zakładce poświęconej rekrutacji lub polityce prywatności, w systemie rekrutacyjnym (ATS/HR), z którym kandydat zapoznaje się przed przesłaniem dokumentów, mailowo, po otrzymaniu aplikacji, przed rozpoczęciem dalszych etapów rekrutacji. Kluczowe jest, aby kandydat miał realną możliwość zapoznania się z treścią klauzuli informacyjnej jeszcze przed przystąpieniem do kolejnych etapów procesu. Klauzula RODO powinna być sformułowana prostym i jednoznacznym językiem, bez nadmiernego formalizmu, tak aby kandydat mógł w pełni zrozumieć, w jaki sposób i w jakim zakresie jego dane osobowe są przetwarzane. W kontekście nowych regulacji dotyczących rynku pracy i transparentności procesów rekrutacyjnych, prawidłowe i rzetelne spełnienie obowiązku informacyjnego staje się nie tylko wymogiem prawnym, ale również elementem budowania zaufania oraz profesjonalnego wizerunku pracodawcy. Zgoda kandydata na przetwarzanie danych – kiedy jest konieczna? Zgoda na przetwarzanie danych osobowych w procesie rekrutacji jest jedną z najbardziej nieprawidłowo stosowanych podstaw prawnych. Wbrew powszechnemu przekonaniu, zgoda kandydata nie jest standardową ani domyślną podstawą przetwarzania danych osobowych na etapie naboru. Co do zasady pracodawca przetwarza dane osobowe kandydata na podstawie przepisów prawa – w szczególności Kodeksu pracy – a nie na podstawie zgody. Zgoda kandydata staje się konieczna wyłącznie w sytuacjach, w których zakres przetwarzania danych wykracza poza ustawowy katalog danych, których pracodawca może żądać w procesie rekrutacji. Oznacza to, że zgoda powinna być stosowana wyjątkowo i tylko wtedy, gdy istnieje ku temu rzeczywista potrzeba. Zgoda na przetwarzanie danych osobowych jest wymagana w szczególności wtedy, gdy: przetwarzanie danych wykracza poza katalog danych wskazany w art. 22¹ Kodeksu pracy, a więc dotyczy informacji, których pracodawca co do zasady nie może żądać od kandydata, dotyczy danych szczególnych kategorii, określanych potocznie jako dane wrażliwe (np. dane dotyczące zdrowia), przy czym ich przetwarzanie w procesie rekrutacji powinno mieć charakter wyjątkowy i być uzasadnione specyfiką stanowiska lub przepisami szczególnymi, obejmuje przetwarzanie dodatkowych danych osobowych, które nie są niezbędne do realizacji procesu rekrutacji, a zostały przekazane przez kandydata dobrowolnie, np. w rozszerzonym CV lub portfolio. Warto podkreślić, że sama obecność zgody w dokumentach aplikacyjnych nie legalizuje automatycznie przetwarzania danych, jeżeli zgoda ta została pozyskana w sposób niezgodny z RODO lub dotyczy danych, których przetwarzanie jest co do zasady niedopuszczalne. Warto rozróżnić także przetwarzanie danych kandydata na potrzeby bieżącego naboru od przechowywania dokumentów aplikacyjnych „na przyszłość”. Jakie warunki musi spełniać zgoda kandydata? Aby zgoda kandydata na przetwarzanie danych osobowych była ważna, musi spełniać ściśle określone wymogi wynikające z RODO. Zgoda powinna być: dobrowolna – kandydat nie może być zmuszany do jej wyrażenia ani stawiany przed wyborem „zgoda albo brak udziału w rekrutacji”, świadoma – kandydat musi dokładnie wiedzieć, jakie dane są przetwarzane, w jakim celu i przez jaki okres, konkretna – zgoda nie może mieć charakteru ogólnego ani blankietowego; powinna odnosić się do jasno określonego zakresu danych i celu przetwarzania, jednoznaczna – wyrażona poprzez wyraźne działanie potwierdzające, możliwa do wycofania w dowolnym momencie, bez negatywnych konsekwencji dla kandydata. Na pracodawcy spoczywa również obowiązek zapewnienia, aby wycofanie zgody było tak samo łatwe, jak jej udzielenie. W praktyce oznacza to konieczność wskazania prostego kanału kontaktu (np. adres e-mail lub funkcjonalność w systemie rekrutacyjnym), za pośrednictwem którego kandydat może skutecznie wycofać swoją zgodę. Wycofanie zgody – prawa kandydata i obowiązki pracodawcy Jeżeli kandydat wyraził zgodę na przetwarzanie danych osobowych niewymaganych ustawowo, ma on prawo do jej wycofania w dowolnym momencie, bez konieczności podawania przyczyny. Prawo to stanowi jedno z fundamentalnych uprawnień kandydata wynikających z przepisów RODO. Po otrzymaniu informacji o wycofaniu zgody pracodawca jest zobowiązany niezwłocznie zaprzestać przetwarzania danych objętych zgodą oraz – o ile nie istnieje inna podstawa prawna do ich dalszego przetwarzania – usunąć je lub trwale zanonimizować. Wycofanie zgody nie może wpływać negatywnie na sytuację kandydata w procesie rekrutacyjnym, o ile przetwarzanie danych nie jest niezbędne do realizacji obowiązków wynikających z przepisów prawa. Z perspektywy praktyki HR oznacza to, że pracodawcy powinni szczególnie ostrożnie sięgać po zgodę jako podstawę przetwarzania danych osobowych w rekrutacji. Nadużywanie zgody nie tylko zwiększa ryzyko naruszenia przepisów RODO, ale również może prowadzić do podważenia legalności całego procesu rekrutacyjnego. Rekrutacja ukryta – czy jest dozwolona? Rekrutacja ukryta to model prowadzenia procesu rekrutacyjnego, w którym tożsamość pracodawcy nie jest ujawniana kandydatom na etapie publikacji ogłoszenia lub przyjmowania aplikacji. Najczęściej spotyka się ją w sytuacjach, gdy pracodawca chce zachować poufność planowanych zmian organizacyjnych, nowego projektu, restrukturyzacji albo zastępstwa na kluczowym stanowisku. Choć z perspektywy biznesowej taka praktyka bywa uzasadniana potrzebą dyskrecji, z punktu widzenia przepisów o ochronie danych osobowych wymaga ona szczególnej ostrożności. Co to jest rekrutacja ukryta i jakie ma konsekwencje? Zgodnie z RODO, już na etapie pozyskiwania danych osobowych kandydat musi zostać poinformowany, kto jest administratorem jego danych osobowych, czyli podmiotem decydującym o celach i sposobach ich przetwarzania. Jest to jeden z podstawowych elementów obowiązku informacyjnego, wynikający z zasady przejrzystości przetwarzania danych. Rekrutacja prowadzona w sposób całkowicie anonimowy – bez ujawnienia administratora danych osobowych – narusza przepisy RODO, ponieważ uniemożliwia kandydatowi realne korzystanie z przysługujących mu praw. Kandydat nie wie wówczas: kto przetwarza jego dane, do kogo może skierować wniosek o dostęp, sprostowanie lub usunięcie danych, kto ponosi odpowiedzialność za zgodność przetwarzania z prawem. Z tego względu należy jednoznacznie wskazać, że rekrutacja ukryta, w której nie ujawnia się administratora danych osobowych, co do zasady jest niedopuszczalna. Takie działania mogą skutkować naruszeniem obowiązku informacyjnego, a w konsekwencji odpowiedzialnością administracyjną pracodawcy. Wyjątki od reguły – kiedy rekrutacja ukryta jest możliwa? Przepisy dopuszczają jednak wyjątek od powyższej zasady. Rekrutacja może mieć charakter „ukryty” wówczas, gdy jest prowadzona przez agencję rekrutacyjną lub agencję pracy tymczasowej, która występuje jako odrębny administrator danych osobowych na początkowym etapie procesu. W takim modelu kandydat musi otrzymać pełną informację o: tożsamości agencji jako administratora danych, celach i podstawach prawnych przetwarzania danych, przysługujących mu prawach. Jednocześnie dane docelowego pracodawcy mogą zostać ujawnione dopiero na dalszym etapie rekrutacji, na przykład przed rozmową kwalifikacyjną lub przed przekazaniem CV pracodawcy użytkownikowi. Taki sposób działania jest akceptowany zarówno przez doktrynę prawa, jak i przez Urząd Ochrony Danych Osobowych, pod warunkiem pełnej realizacji obowiązku informacyjnego przez agencję. W praktyce oznacza to, że rekrutacja ukryta jest dopuszczalna wyłącznie wtedy, gdy anonimowość dotyczy pracodawcy końcowego, a nie administratora danych osobowych. Kandydat zawsze musi wiedzieć, kto przetwarza jego dane i do kogo może kierować swoje żądania wynikające z RODO. Jakie prawa przysługują kandydatom w procesie rekrutacji? Kandydaci uczestniczący w procesie rekrutacyjnym korzystają z pełnego katalogu praw wynikających z RODO, niezależnie od tego, czy ostatecznie dojdzie do nawiązania stosunku pracy. Przepisy o ochronie danych osobowych nie różnicują sytuacji kandydata i pracownika – już na etapie rekrutacji osoba fizyczna ma prawo do rzeczywistej kontroli nad swoimi danymi osobowymi oraz do uzyskania jasnej informacji o sposobie ich przetwarzania. W praktyce oznacza to, że kandydat ma prawo w szczególności do: uzyskania informacji, czy jego dane osobowe są przetwarzane oraz w jakim zakresie, dostępu do swoich danych osobowych, w tym otrzymania ich kopii, żądania sprostowania danych, jeżeli są one nieprawidłowe, nieaktualne lub niekompletne, żądania usunięcia danych w sytuacjach przewidzianych przepisami, ograniczenia przetwarzania danych, jeżeli istnieją ku temu podstawy, wniesienia sprzeciwu wobec przetwarzania danych, gdy odbywa się ono na podstawie prawnie uzasadnionego interesu administratora, wniesienia skargi do Urzędu Ochrony Danych Osobowych, jeżeli kandydat uzna, że jego dane są przetwarzane niezgodnie z prawem. Zakres tych praw powinien być jasno i przejrzyście komunikowany kandydatom w klauzuli informacyjnej. Jednocześnie na pracodawcy lub agencji rekrutacyjnej spoczywa obowiązek nie tylko formalnego poinformowania o tych uprawnieniach, ale również faktycznego przygotowania organizacyjnego do ich realizacji – w określonych terminach i zgodnie z wymogami RODO. Prawo do dostępu, sprostowania i usunięcia danych W procesie rekrutacji kandydat zachowuje pełnię praw wynikających z RODO, a wśród nich kluczowe znaczenie mają trzy uprawnienia: prawo dostępu do danych, prawo do ich sprostowania oraz prawo do usunięcia danych. Są to mechanizmy, które w praktyce pozwalają kandydatowi kontrolować, jakie informacje na jego temat posiada pracodawca, czy są one prawidłowe oraz czy nadal istnieje podstawa prawna do ich przechowywania. Prawo dostępu oznacza, że kandydat może zwrócić się do pracodawcy (lub agencji rekrutacyjnej) z pytaniem, czy jego dane osobowe są przetwarzane, a jeżeli tak – ma prawo uzyskać informacje m.in. o zakresie przetwarzanych danych, celu przetwarzania, podstawie prawnej, kategoriach odbiorców danych oraz planowanym okresie ich przechowywania. Kandydat może również zażądać kopii danych, co w rekrutacji najczęściej dotyczy informacji zgromadzonych w systemie ATS/HR, notatek rekrutacyjnych, wyników testów lub korespondencji związanej z rekrutacją – o ile stanowią dane osobowe i podlegają ujawnieniu zgodnie z RODO. Prawo do sprostowania dotyczy sytuacji, w których dane kandydata są nieprawidłowe lub nieaktualne. Kandydat może więc żądać poprawienia błędów (np. w danych kontaktowych czy przebiegu zatrudnienia) albo uzupełnienia informacji, jeśli są one niekompletne. Z perspektywy pracodawcy to istotne także operacyjnie: nieaktualny numer telefonu czy błędny adres e-mail mogą utrudnić kontakt, a nieprecyzyjne informacje mogą wpływać na ocenę kandydata. Dlatego organizacje powinny mieć jasny proces obsługi takich wniosków, zwłaszcza gdy rekrutacje są prowadzone masowo. Warto podkreślić, że realizacja tych praw nie jest „dobrą praktyką”, lecz obowiązkiem administratora danych osobowych. Pracodawca powinien mieć gotową, przejrzystą ścieżkę obsługi wniosków kandydatów oraz zapewnić, aby osoby zaangażowane w rekrutację rozumiały, jak reagować na żądania dotyczące danych osobowych – tak, aby proces rekrutacyjny pozostawał zgodny z RODO, a komunikacja z kandydatami była profesjonalna i transparentna. Prawo do bycia zapomnianym – kiedy dane należy usunąć? Szczególne znaczenie w kontekście rekrutacji ma prawo do usunięcia danych osobowych, potocznie określane jako prawo do bycia zapomnianym. Co do zasady, jeżeli proces rekrutacyjny zakończył się i nie doszło do zatrudnienia kandydata, dane osobowe powinny zostać usunięte niezwłocznie po jego zakończeniu. Obowiązek ten dotyczy w szczególności sytuacji, w których: kandydat nie wyraził zgody na dalsze przetwarzanie danych w celu udziału w przyszłych rekrutacjach, dane były przetwarzane wyłącznie na potrzeby konkretnego procesu rekrutacyjnego, a jego cel został już osiągnięty, kandydat cofnął wcześniej udzieloną zgodę na przetwarzanie danych osobowych wykraczających poza ustawowy katalog. Pracodawca nie ma prawa przechowywać danych kandydatów „na zapas” ani „na wszelki wypadek”. Każdorazowo dalsze przetwarzanie danych musi opierać się na konkretnej, aktualnej i legalnej podstawie prawnej, takiej jak zgoda kandydata lub prawnie uzasadniony interes administratora, np. związany z obroną przed potencjalnymi roszczeniami. Jeżeli taka podstawa nie istnieje lub przestaje obowiązywać, dane osobowe kandydata powinny zostać usunięte lub trwale zanonimizowane w sposób uniemożliwiający identyfikację osoby. Właściwa realizacja prawa do bycia zapomnianym stanowi jeden z kluczowych elementów zgodności procesu rekrutacyjnego z RODO oraz budowania zaufania kandydatów do pracodawcy. Przetwarzanie danych osobowych kandydata po zakończeniu rekrutacji Zakończenie procesu rekrutacyjnego nie oznacza automatycznie, że pracodawca może dowolnie dysponować danymi osobowymi kandydatów. Wręcz przeciwnie – to właśnie na tym etapie najczęściej dochodzi do naruszeń przepisów o ochronie danych osobowych. Zgodnie z RODO oraz przepisami Kodeksu pracy, dalsze przetwarzanie danych osobowych po zakończeniu rekrutacji wymaga każdorazowo istnienia konkretnej, aktualnej i legalnej podstawy prawnej. Co do zasady, dane osobowe kandydata powinny być przetwarzane wyłącznie tak długo, jak jest to niezbędne do realizacji celu, w jakim zostały zebrane, czyli przeprowadzenia konkretnego procesu rekrutacyjnego. Jeżeli rekrutacja zakończyła się wyborem innego kandydata lub decyzją o nierozpoczynaniu współpracy, pracodawca nie ma prawa przechowywać danych „na przyszłość” bez spełnienia dodatkowych warunków. Kiedy dane osobowe kandydata mogą być przechowywane po rekrutacji? Najczęstszą i jednocześnie podstawową przesłanką legalizującą dalsze przetwarzanie danych osobowych po zakończeniu rekrutacji jest wyraźna zgoda kandydata na ich dalsze przetwarzanie. Dotyczy to w szczególności sytuacji, w których pracodawca chce zachować dane aplikacyjne na potrzeby przyszłych rekrutacji lub tworzenia bazy kandydatów. Zgoda taka: musi być udzielona w sposób dobrowolny i świadomy, nie może być domyślna ani dorozumiana, powinna jasno określać cel dalszego przetwarzania danych, musi umożliwiać jej wycofanie w dowolnym momencie. Poza zgodą, w ograniczonym zakresie dopuszczalne jest również dalsze przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu pracodawcy, np. w celu zabezpieczenia się przed ewentualnymi roszczeniami związanymi z procesem rekrutacyjnym (np. zarzutami dyskryminacji). W takim przypadku zakres i czas przechowywania danych powinny być ściśle ograniczone do tego, co rzeczywiście niezbędne, a pracodawca powinien być w stanie wykazać, że interes ten nie narusza praw i wolności kandydata. Warto podkreślić, że brak sprzeciwu kandydata nie jest równoznaczny z wyrażeniem zgody. Jeżeli kandydat nie udzielił wyraźnej zgody na dalsze przetwarzanie danych po zakończeniu rekrutacji, dane te co do zasady powinny zostać usunięte. Jak długo dane mogą być przechowywane? Przepisy RODO nie wskazują konkretnych terminów przechowywania danych osobowych kandydatów po rekrutacji. Zamiast tego wprowadzają zasadę ograniczenia przechowywania, zgodnie z którą dane osobowe mogą być przetwarzane wyłącznie przez okres niezbędny do realizacji celu, dla którego zostały zebrane. W praktyce oznacza to, że: dane kandydatów, którzy nie zostali zatrudnieni i nie wyrazili zgody na dalsze przetwarzanie, powinny zostać usunięte niezwłocznie po zakończeniu rekrutacji, dane przetwarzane na podstawie zgody na przyszłe rekrutacje mogą być przechowywane przez okres wskazany w klauzuli informacyjnej lub do momentu cofnięcia zgody, dane przetwarzane w celu zabezpieczenia roszczeń powinny być przechowywane przez okres odpowiadający terminom przedawnienia potencjalnych roszczeń, a następnie trwale usunięte lub zanonimizowane. Po upływie okresu przechowywania dane osobowe kandydata muszą zostać trwale usunięte lub poddane anonimizacji w sposób uniemożliwiający identyfikację osoby fizycznej. Pracodawca powinien posiadać procedury regulujące zarówno moment usuwania danych, jak i sposób dokumentowania realizacji tego obowiązku – zwłaszcza w systemach rekrutacyjnych i HR. Prawidłowe zarządzanie danymi osobowymi po zakończeniu rekrutacji nie jest wyłącznie kwestią formalną. To jeden z kluczowych elementów budowania zaufania kandydatów, ograniczania ryzyka naruszeń RODO oraz odpowiedzialnego prowadzenia procesów rekrutacyjnych w zgodzie z obowiązującymi przepisami prawa. Podsumowanie Ochrona danych osobowych w procesie rekrutacji wymaga dziś nie tylko znajomości RODO i Kodeksu pracy, lecz także umiejętnego stosowania zasad przejrzystości, minimalizacji danych i ograniczenia celu. Kandydaci mają realne prawa, a pracodawcy i agencje rekrutacyjne ponoszą pełną odpowiedzialność za sposób ich realizacji. Dobrze zaprojektowany proces rekrutacyjny, oparty na jasnym obowiązku informacyjnym i świadomym zarządzaniu danymi osobowymi, to nie tylko wymóg prawny, ale również istotny element budowania zaufania i wiarygodności na rynku pracy.
