kontakt@infohr.pl
+48 661 770 090
Menu
Umów prezentację

RODO w HR — audyt zgodności w 7 krokach

20
RODO w HR — audyt zgodności w 7 krokach (przewodnik 2026) | InfoHR
RODO 📅 maj 2026 ⏱️ 10 min czytania

Osiem lat po wejściu RODO obszar HR pozostaje jednym z najbardziej narażonych na naruszenia. Każdy pracodawca przetwarza setki kategorii danych — od podstawowych po wrażliwe medyczne. Sankcje za naruszenia mogą sięgnąć 20 milionów euro lub 4% obrotu rocznego. Przedstawiamy kompletny audyt zgodności w 7 krokach.

Dlaczego HR jest „gorącym” obszarem RODO

Dział kadr przetwarza więcej danych osobowych niż większość innych obszarów firmy. Przeciętna firma o 100 pracownikach przetwarza w HR około 500 różnych kategorii informacji — od imienia i nazwiska, przez PESEL i adres, po dane medyczne, finansowe, oceny pracy, dokumenty z postępowań dyscyplinarnych.

Specyfika HR jako obszaru wysokiego ryzyka RODO wynika z kilku czynników. Po pierwsze — dane są zwykle gromadzone długo (akta osobowe przechowuje się 10 lub 50 lat). Po drugie — często dotyczą kategorii wrażliwych (zdrowie, niepełnosprawność, religia w niektórych przypadkach). Po trzecie — krąg osób mających dostęp jest szeroki (kadry, kierownicy, czasem zewnętrzne biura rachunkowe).

Wreszcie — pracownicy są wyjątkowo aktywni w korzystaniu z praw RODO. Według raportu UODO za 2024 r., aż 31% skarg do urzędu dotyczyło relacji pracowniczych — to największa kategoria po marketingu.

31%
skarg do UODO w 2024 r. dotyczyło naruszeń RODO w relacjach pracowniczych

Audyt RODO w HR — 7 kroków

Krok 1: Inwentaryzacja przetwarzanych danych

Zacznij od mapy wszystkich danych osobowych, które przetwarza dział HR. Sporządź listę kategorii (dane podstawowe, kontaktowe, finansowe, medyczne, oceny pracy, dane członków rodziny, biometryczne), źródeł (od pracownika, od byłych pracodawców, od ZUS, od lekarza medycyny pracy), miejsc przechowywania (akta papierowe, system kadrowy, e-mail, dyski), okresów przechowywania.

Częsty błąd: gromadzenie danych „na zapas” — adresy członków rodziny pracownika, hobby, plany urlopowe na rok wprzód. Każda dana wymaga uzasadnienia. To, co nie ma uzasadnienia — musi zostać usunięte.

Krok 2: Weryfikacja podstaw prawnych

Każde przetwarzanie danych w HR musi mieć podstawę prawną z art. 6 RODO. W praktyce w HR występują głównie:

  • art. 6 ust. 1 lit. b — wykonanie umowy o pracę (większość danych podstawowych)
  • art. 6 ust. 1 lit. c — obowiązek prawny (PESEL, ZUS, podatki, akta osobowe)
  • art. 6 ust. 1 lit. f — prawnie uzasadniony interes (zarządzanie zasobami ludzkimi)
  • art. 6 ust. 1 lit. a — zgoda pracownika (tylko w wyjątkowych przypadkach, np. zdjęcie do intranetu)
  • art. 9 ust. 2 lit. b — dane wrażliwe (dotyczące zdrowia, wynikające z obowiązku prawnego)
Uwaga na zgodę

W relacjach pracowniczych zgoda pracownika rzadko bywa „swobodna” w rozumieniu RODO — pracownik jest stroną zależną. UODO konsekwentnie kwestionuje zgody pracownicze jako podstawę przetwarzania. Lepiej oprzeć się na innych podstawach prawnych.

Krok 3: Audyt akt osobowych

Akta osobowe muszą być prowadzone zgodnie z rozporządzeniem MRiPS z 10 grudnia 2018 r. — w pięciu częściach (A, B, C, D, od 2023 r. też E). Sprawdź czy:

  • Akta są podzielone na właściwe części (A, B, C, D, E)
  • Nie zawierają dokumentów spoza art. 22¹ KP (np. zdjęcia, dane członków rodziny niepotrzebne do realizacji świadczeń)
  • Są zabezpieczone fizycznie (szafa zamykana) lub logicznie (system z autoryzacją)
  • Dostęp mają tylko upoważnieni pracownicy
  • Czas przechowywania jest prawidłowy (10 lub 50 lat)
  • Pracownik może wglądnąć i otrzymać kopię na żądanie

Krok 4: Weryfikacja monitoringu pracowników

Kodeks pracy reguluje 4 rodzaje monitoringu, każdy wymagający spełnienia warunków RODO: wizyjny (art. 22²), poczty elektronicznej (art. 22³), inne formy (GPS, kontrola dostępu — art. 22³ § 4), kontrola trzeźwości (art. 22³ KP od 2023 r.).

Każdy monitoring wymaga: uzasadnionego celu, ujęcia w regulaminie pracy lub porozumieniu, pisemnej informacji dla pracowników z wyprzedzeniem 2 tygodni, oznaczeń miejsc objętych monitoringiem (przy wizyjnym), maksymalnego okresu przechowywania nagrań (3 miesiące).

Zakazany monitoring

Niedopuszczalny w pomieszczeniach: sanitariaty, szatnie, jadalnie, pomieszczenia związków zawodowych. Naruszenie = bezpośrednia podstawa do skargi do UODO i odszkodowania dla pracowników.

Krok 5: Umowy powierzenia z dostawcami

Każdy zewnętrzny dostawca usług HR — system kadrowy, biuro rachunkowe, pakiet medyczny, multisport, agencja pracy tymczasowej — ma dostęp do danych pracowników. To wymaga umowy powierzenia przetwarzania z art. 28 RODO.

Brak umowy = bezpośrednie naruszenie RODO + odpowiedzialność solidarna pracodawcy i procesora za każde naruszenie po stronie procesora.

  • Lista wszystkich zewnętrznych dostawców usług HR
  • Sprawdzenie istnienia umów powierzenia z każdym z nich
  • Weryfikacja treści umów — czy zawierają wszystkie wymagane elementy z art. 28 RODO
  • Audyt bezpieczeństwa po stronie procesora (przynajmniej raz w roku)
  • Aktualizacja umów po zmianach w usługach

Krok 6: Procedury obsługi praw pracowników

Pracownik ma kilka praw RODO, których realizację pracodawca musi zapewnić: prawo dostępu (art. 15), sprostowania (art. 16), usunięcia (art. 17 — z ograniczeniami w prawie pracy), ograniczenia przetwarzania (art. 18), przenoszenia (art. 20), sprzeciwu (art. 21).

W praktyce w HR najczęstsze są wnioski o dostęp do akt osobowych i kopię. Pracodawca ma 1 miesiąc na odpowiedź (z możliwością przedłużenia o 2 miesiące w skomplikowanych przypadkach).

Krok 7: Plan reagowania na naruszenia

Naruszenie ochrony danych w HR to nie kwestia „czy”, ale „kiedy”. Może to być kradzież laptopa z aktami, wysłanie maila z listą wynagrodzeń do złego odbiorcy, atak ransomware na system kadrowy. Pracodawca musi mieć procedurę reagowania.

Czas reakcji jest kluczowy: 72 godziny na zgłoszenie do UODO (art. 33 RODO) i niezwłocznie do osób, których dane naruszono (art. 34). Procedura powinna obejmować: identyfikację incydentu, ocenę ryzyka, decyzję o zgłoszeniu, komunikację z pracownikami, działania naprawcze, dokumentację.

Najczęstsze naruszenia RODO w HR i jak ich uniknąć

  • Żądanie nadmiernych danych od kandydata (np. PESEL na etapie rekrutacji) — naruszenie art. 22¹ KP
  • Akta osobowe pozostawione bez nadzoru — naruszenie zasady integralności
  • Brak umów powierzenia z dostawcami HR — solidarna odpowiedzialność z dostawcą
  • Wysłanie listy wynagrodzeń do złego odbiorcy — wymaga zgłoszenia do UODO w 72h
  • Monitoring w pomieszczeniach zakazanych (sanitariaty, jadalnie) — bezpośrednia podstawa skargi
  • Przechowywanie danych po upływie ustawowego okresu — naruszenie zasady ograniczenia
  • Dostęp pracowników do akt innych pracowników (np. wgląd w listy płac) — naruszenie poufności
Częstotliwość audytów

Pełen audyt RODO w HR — raz na 2 lata. Mini-audyt (przegląd kluczowych obszarów) — co rok. Audyt po każdej istotnej zmianie (nowy dostawca, nowa funkcjonalność, zmiana prawa). To minimum dla firmy zatrudniającej powyżej 50 osób.

RODO w HR to nie jednorazowy projekt wdrożeniowy z 2018 r. To proces ciągły. Co rok pojawiają się nowe ryzyka — praca zdalna, AI w rekrutacji, kontrola trzeźwości. Bez regularnych audytów firma traci kontrolę nad zgodnością.— praktyka inspektorów ochrony danych

Najczęściej zadawane pytania

Ile może wynieść kara UODO za naruszenie RODO w HR?

Maksymalnie 20 milionów EUR lub 4% obrotu rocznego firmy (wyższa z kwot). W praktyce kary UODO w Polsce w obszarze HR oscylują od kilku do kilkudziesięciu tysięcy euro. Wyższe kary (kilkaset tysięcy) zdarzają się przy poważnych naruszeniach masowych.

Czy muszę mieć inspektora ochrony danych (IOD)?

IOD jest obowiązkowy dla organów publicznych oraz firm, których podstawowa działalność polega na masowym przetwarzaniu danych lub przetwarzaniu danych wrażliwych. Dla zwykłej firmy 100+ pracowników IOD nie jest formalnie obowiązkowy, ale silnie rekomendowany.

Co zrobić, jeśli pracownik żąda usunięcia danych z akt?

Prawo do usunięcia (art. 17 RODO) w HR jest ograniczone — pracodawca musi przechowywać akta osobowe przez 10 lub 50 lat zgodnie z KP. Można usunąć dane nadmiarowe (te, które nie są wymagane prawnie). Pełne usunięcie akt — dopiero po upływie ustawowego okresu.

Czy mogę nagrywać rozmowy z pracownikami?

Tylko za zgodą pracownika (lub na podstawie konkretnej podstawy prawnej, np. szkolenia z weryfikacji jakości obsługi). Nagrywanie bez zgody jest zwykle naruszeniem RODO i KP. Pracownik powinien wiedzieć, że rozmowa jest nagrywana, i mieć możliwość odmowy.

Jak długo przechowywać CV niezatrudnionych kandydatów?

Po zakończeniu rekrutacji — niezwłocznie usunąć, chyba że kandydat wyraził zgodę na zachowanie CV do przyszłych rekrutacji (zwykle do 12 miesięcy). Przechowywanie CV „na zapas” bez zgody = naruszenie RODO. UODO konsekwentnie sprawdza ten obszar w skargach kandydatów.

Powiązane hasła ze słownika HR

RODO w HR pod kontrolą

InfoHR jest zgodny z RODO — szyfrowanie danych, ślad audytowy, kontrola dostępu na poziomie ról, umowa powierzenia. Pełna dokumentacja gotowa na audyt UODO.

Sprawdź zgodność z RODO

Related Posts