kontakt@infohr.pl
+48 661 770 090
Menu
Umów prezentację
RODO w HR 2026 – dane osobowe pracowników, akta, monitoring | InfoHR

RODO w HR

📅 Aktualizacja: maj 2026 ⏱️ 9 min czytania 📚 Słownik HR
⚡ Definicja w pigułce

RODO w HR to zbiór zasad ochrony danych osobowych pracowników i kandydatów do pracy wynikających z RODO (rozporządzenie UE 2016/679) oraz polskich przepisów uzupełniających, w szczególności art. 22¹ Kodeksu pracy. Pracodawca jako administrator danych może przetwarzać tylko ściśle określone kategorie informacji o pracowniku. Przetwarzanie szerszego zakresu wymaga zgody pracownika lub innej podstawy prawnej. Naruszenie RODO grozi karami do 20 mln EUR lub 4% obrotu rocznego.

Co to jest RODO w HR?

RODO (rozporządzenie ogólne o ochronie danych) to akt prawa UE z 2016 r., obowiązujący w Polsce od 25 maja 2018 r. W kontekście HR oznacza zbiór zasad, które pracodawca musi stosować przy przetwarzaniu danych osobowych: kandydatów do pracy, pracowników, byłych pracowników, ich rodzin.

HR to jeden z obszarów najbardziej wrażliwych z punktu widzenia RODO. Pracodawca przetwarza ogromne ilości danych osobowych — od podstawowych (imię, nazwisko, PESEL) przez wrażliwe (zdrowie, religia, przynależność związkowa) po finansowe (wynagrodzenia, świadczenia).

Polskie przepisy uzupełniają RODO w obszarze HR — głównie poprzez art. 22¹ KP, który określa, jakie dane pracodawca może żądać od kandydata i pracownika. Wymagana jest synchronizacja RODO + KP.

Podstawa prawna

  • rozporządzenie UE 2016/679 (RODO) — przetwarzanie danych osobowych
  • ustawa z 10 maja 2018 r. o ochronie danych osobowych — uzupełnienia krajowe
  • art. 22¹ Kodeksu pracy — dane osobowe pracownika i kandydata
  • art. 22²-22⁴ KP — monitoring pracowników
  • art. 22³ KP — kontrola trzeźwości pracowników (od 2023 r.)

Jakie dane pracownika można przetwarzać?

Dane od kandydata do pracy (art. 22¹ § 1 KP)

Pracodawca NIE może żądać od kandydata: PESEL, adresu zamieszkania, stanu cywilnego, liczby dzieci, planów rodzinnych, religii, orientacji politycznej, danych biometrycznych.

  • imię (imiona) i nazwisko
  • data urodzenia
  • dane kontaktowe wskazane przez kandydata (telefon, e-mail)
  • wykształcenie
  • kwalifikacje zawodowe
  • przebieg dotychczasowego zatrudnienia

Dane od pracownika po zatrudnieniu (art. 22¹ § 3 KP)

  • adres zamieszkania
  • numer PESEL
  • wykształcenie i przebieg dotychczasowego zatrudnienia
  • numer rachunku bankowego (jeśli pracownik nie poprosił o wypłatę w gotówce)
  • dane członków rodziny — tylko w zakresie niezbędnym do realizacji świadczeń

Akta osobowe a RODO

Akta osobowe pracownika (regulowane rozporządzeniem MRPiPS z 10 grudnia 2018 r.) stanowią zbiór danych osobowych wymagający szczególnej ochrony. Składają się z 5 części:

  • część A — dokumenty przedzatrudnieniowe (CV, referencje, świadectwa pracy)
  • część B — dokumenty z trakcie zatrudnienia (umowa, aneksy, ZUS, BHP)
  • część C — dokumenty związane z ustaniem zatrudnienia
  • część D — kary porządkowe i informacje o nich
  • część E — od 2023 r. — dokumenty związane z kontrolą trzeźwości

Z punktu widzenia RODO

  • dostęp do akt — tylko osoby upoważnione (HR, kierownictwo, kontrolerzy z PIP/ZUS/US)
  • przechowywanie — przez 50 lub 10 lat po ustaniu zatrudnienia
  • zabezpieczenie — fizyczne (szafy zamykane na klucz) i logiczne (systemy IT z autoryzacją)
  • pracownik ma prawo wglądu w akta i otrzymania kopii

Monitoring pracowników a RODO

Kodeks pracy reguluje 4 rodzaje monitoringu, każdy wymagający spełnienia warunków RODO:

Monitoring wizyjny (art. 22² KP)

  • dopuszczalny w celach: bezpieczeństwo, ochrona mienia, zachowanie tajemnicy
  • zakaz w pomieszczeniach: sanitariaty, szatnie, jadalnie, pomieszczenia związków zawodowych
  • nagrania przechowywane maks. 3 miesiące (chyba że są dowodem w postępowaniu)
  • pracownicy muszą być poinformowani na piśmie z wyprzedzeniem

Monitoring poczty elektronicznej (art. 22³ KP)

  • dopuszczalny w celach: zapewnienie organizacji pracy, kontrola wykorzystania zasobów
  • nie może naruszać tajemnicy korespondencji
  • wymaga regulaminu i pisemnej informacji dla pracowników

Inne formy monitoringu (art. 22³ § 4 KP)

  • GPS, kontrola dostępu, monitoring aktywności
  • wymaga uzasadnionego celu i informacji

Kontrola trzeźwości (art. 22³ KP od 2023 r.)

  • dopuszczalna w określonych branżach i okolicznościach
  • wymaga regulaminu w firmie
  • pracownik ma prawo do dwóch badań

Najczęstsze błędy

Żądanie nadmiernych danych od kandydata

Najczęstszy błąd — formularz rekrutacyjny pyta o stan cywilny, liczbę dzieci, plany rodzinne. To naruszenie art. 22¹ KP i RODO. Kara z PIP może wynieść 30 000 zł, a UODO może nałożyć karę do 20 mln EUR.

Niewłaściwe zabezpieczenie akt osobowych

Akta osobowe pozostawione bez nadzoru, dostępne dla każdego pracownika biura. To poważne naruszenie RODO — kara administracyjna może być wysoka. Wymóg: szafa zamykana, system uprawnień, logowanie dostępu w systemach elektronicznych.

Brak umowy powierzenia z dostawcą HR-SaaS

Każdy zewnętrzny dostawca usług HR (system kadrowy, biuro rachunkowe, pakiet medyczny) ma dostęp do danych pracowników. Wymaga umowy powierzenia przetwarzania (art. 28 RODO). Brak = naruszenie RODO i odpowiedzialność solidarna za naruszenia.

Najczęściej zadawane pytania

Czy mogę odmówić podania PESEL w rekrutacji?

Tak — pracodawca nie ma prawa żądać PESEL od kandydata do pracy (art. 22¹ § 1 KP). PESEL można żądać dopiero po zatrudnieniu, w celu zgłoszenia do ZUS i prowadzenia akt osobowych. Odmowa podania PESEL w trakcie rekrutacji to prawo kandydata.

Czy pracodawca może sprawdzić moje CV w internecie?

Tak — sprawdzanie publicznie dostępnych informacji w sieci (LinkedIn, opublikowane portfolio) jest dopuszczalne. Nie wymaga zgody kandydata. Pracodawca nie może natomiast: zlecać prywatnym detektywom, korzystać z baz nielegalnych, naruszać prywatności na portalach społecznościowych chronionych prywatnością.

Czy moje wynagrodzenie jest tajemnicą?

Wynagrodzenie indywidualne jest danymi osobowymi pracownika i podlega ochronie. Pracodawca nie może ujawniać wynagrodzenia konkretnego pracownika bez jego zgody. Od 2026 r. zmiana — dyrektywa UE 2023/970 wprowadza obowiązek transparentności wynagrodzeń.

Co zrobić, jeśli pracodawca naruszy RODO?

Można złożyć skargę do Prezesa UODO (Urzędu Ochrony Danych Osobowych) — formularz online dostępny na uodo.gov.pl. UODO może nałożyć kary do 20 mln EUR lub 4% obrotu rocznego. Niezależnie — pracownik może dochodzić odszkodowania w sądzie cywilnym.

Czy muszę zgodzić się na monitoring w pracy?

Monitoring (wizyjny, e-mail, GPS) z KP nie wymaga indywidualnej zgody — wymaga regulaminu pracy lub porozumienia ze związkami i wcześniejszej informacji dla pracowników. Pracownik nie może odmówić monitoringu, jeśli jest on prawidłowo wprowadzony. Może jednak kwestionować zakres lub sposób monitoringu w razie nadużyć.

Powiązane pojęcia

Akta osobowe pracownika Onboarding pracownika Praca zdalna Regulamin pracy Outsourcing pracowniczy

RODO w HR pod kontrolą z InfoHR

InfoHR jest zgodny z RODO — szyfrowanie danych, ślad audytowy, kontrola dostępu na poziomie ról, umowa powierzenia. Pełna dokumentacja gotowa na audyt UODO.

Dowiedz się więcej