Rekrutacja15 czerwca 2026

RODO w rekrutacji: jak nie wpaść w prawne pułapki i jednocześnie przyciągnąć najlepszych kandydatów

Rekrutacja w IT to gra o wysoką stawkę, w której liczy się czas, doświadczenie kandydata i… zgodność z prawem. Jedno niedopatrzenie w zakresie RODO może kosztować firmę nie tylko pieniądze, lecz także reputację, która w środowisku specjalistów technologicznych rozchodzi się szybciej niż nowy framework na GitHubie.

Specjalistka od marketingu, która zna branżę IT od strony komunikacji i wie, co działa,…
8 min czytania
RODO w rekrutacji: jak nie wpaść w prawne pułapki i jednocześnie przyciągnąć najlepszych kandydatów

01Czym jest RODO i dlaczego ma znaczenie w rekrutacji

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, reguluje sposób przetwarzania danych osób fizycznych na terenie Unii Europejskiej. W kontekście rekrutacji oznacza to kontrolę nad każdym etapem pracy z CV, portfolio czy profilem LinkedIn kandydata.

W praktyce każdy rekruter, hiring manager czy founder startupu staje się administratorem danych. Odpowiada za ich bezpieczeństwo, zakres wykorzystania oraz transparentność wobec kandydatów. To zmienia sposób prowadzenia procesów rekrutacyjnych, ponieważ dane nie są już „zasobem”, tylko powierzonym zaufaniem.

Z punktu widzenia specjalisty IT ma to ogromne znaczenie. Kandydaci są coraz bardziej świadomi swoich praw, a jednocześnie coraz mniej tolerancyjni wobec chaosu w procesach rekrutacyjnych. Transparentność w zakresie RODO staje się więc elementem employer brandingu.

02Jakie dane można przetwarzać w procesie rekrutacji

Prawo jasno określa katalog danych, które pracodawca może zbierać na etapie rekrutacji. W Polsce podstawą jest Kodeks pracy, który wskazuje konkretne informacje:

Dane podstawowe

Pracodawca ma prawo przetwarzać dane takie jak:

  • imię i nazwisko kandydata
  • dane kontaktowe wskazane przez kandydata
  • wykształcenie, kwalifikacje zawodowe i przebieg zatrudnienia

Zakres ten nie jest przypadkowy. Każda informacja musi być uzasadniona celem rekrutacji. Jeśli nie ma bezpośredniego związku z oceną kompetencji, jej przetwarzanie może zostać zakwestionowane.

Dane dodatkowe i zgoda kandydata

W praktyce CV często zawiera więcej informacji, niż wymaga tego prawo. Zdjęcie, zainteresowania czy linki do projektów to standard w branży IT. W takim przypadku konieczna jest zgoda kandydata na przetwarzanie tych danych.

Zgoda musi być:

  • dobrowolna, czyli kandydat nie może być zmuszony do jej wyrażenia
  • konkretna, odnosząca się do określonego celu
  • świadoma, co oznacza jasne zrozumienie zakresu przetwarzania
  • jednoznaczna, czyli wyrażona aktywnym działaniem

W praktyce oznacza to, że klauzula „Wyrażam zgodę na przetwarzanie danych osobowych…” nie może być traktowana jako formalność. Jej treść powinna być aktualna i dopasowana do konkretnego procesu.

RODO a sourcing i aktywne pozyskiwanie kandydatów

Rekruterzy IT rzadko czekają na aplikacje. Zamiast tego aktywnie wyszukują kandydatów na portalach takich jak LinkedIn czy GitHub. Pojawia się pytanie: czy takie działanie jest zgodne z RODO?

Odpowiedź brzmi: tak, pod warunkiem spełnienia określonych zasad.

Podstawa prawna przetwarzania danych

W przypadku sourcingu najczęściej stosuje się tzw. uzasadniony interes administratora. Oznacza to, że firma ma prawo przetwarzać dane publicznie dostępne, jeśli robi to w celu rekrutacji i nie narusza praw osoby, której dane dotyczą.

Jednocześnie należy spełnić obowiązek informacyjny. Kandydat powinien otrzymać informację:

  • kto przetwarza jego dane
  • w jakim celu
  • jak długo będą przechowywane
  • jakie ma prawa

Najlepszym momentem na przekazanie tych informacji jest pierwszy kontakt. Wiadomość na LinkedIn powinna więc zawierać nie tylko ofertę pracy, lecz także skróconą informację o przetwarzaniu danych.

Przykład z rynku IT

Firma software house pozyskuje backend developerów przez LinkedIn. W pierwszej wiadomości oprócz opisu projektu dodaje link do polityki prywatności oraz krótką informację o administratorze danych. Dzięki temu spełnia obowiązek informacyjny i buduje profesjonalny wizerunek.

Jak długo można przechowywać CV kandydatów

Jednym z najczęstszych błędów w rekrutacji jest przechowywanie CV „na zapas”. RODO wprowadza zasadę ograniczenia przechowywania, która oznacza, że dane można trzymać tylko tak długo, jak jest to uzasadnione celem.

Rekrutacja na konkretne stanowisko

Jeśli kandydat aplikuje na określoną ofertę, jego dane powinny być usunięte po zakończeniu procesu, chyba że:

  • kandydat wyraził zgodę na udział w przyszłych rekrutacjach
  • istnieją inne podstawy prawne do dalszego przetwarzania

Baza talentów

W branży IT budowanie talent poola to standard. W takim przypadku konieczna jest odrębna zgoda na przetwarzanie danych w przyszłych procesach rekrutacyjnych.

Zgoda ta powinna jasno określać czas przechowywania danych. W praktyce często stosuje się okres 12 lub 24 miesięcy, po którym dane są usuwane lub zgoda jest odnawiana.

Obowiązek informacyjny w praktyce

Obowiązek informacyjny to jeden z filarów RODO, który w rekrutacji ma bardzo konkretne zastosowanie. Kandydat musi wiedzieć, co dzieje się z jego danymi od momentu wysłania CV aż po zakończenie procesu.

Co powinna zawierać klauzula informacyjna

Klauzula informacyjna powinna obejmować:

  • dane administratora
  • dane kontaktowe inspektora ochrony danych (jeśli został wyznaczony)
  • cele i podstawy przetwarzania
  • okres przechowywania danych
  • prawa kandydata
  • informacje o odbiorcach danych

Treść powinna być napisana zrozumiałym językiem. Kandydaci IT doceniają przejrzystość i szybko wychwytują ogólniki, które nie niosą wartości.

Gdzie umieścić klauzulę

Najczęściej klauzula pojawia się:

  • w ogłoszeniu o pracę
  • w formularzu aplikacyjnym
  • w stopce maila rekrutacyjnego

Każdy punkt styku z kandydatem powinien zapewniać dostęp do tych informacji. Dzięki temu firma unika ryzyka i jednocześnie pokazuje, że traktuje dane poważnie.

RODO a testy techniczne i zadania rekrutacyjne

W branży IT testy techniczne są standardem. Kandydaci rozwiązują zadania, przesyłają kod, a czasem pracują na danych testowych. To rodzi dodatkowe obowiązki w zakresie ochrony danych.

Przetwarzanie danych w zadaniach

Jeśli zadanie zawiera dane osobowe, nawet w formie przykładowej, należy zadbać o ich odpowiednie zabezpieczenie. Najlepszą praktyką jest korzystanie z danych anonimowych lub fikcyjnych.

Przechowywanie wyników testów

Wyniki testów stanowią dane osobowe, ponieważ są powiązane z konkretną osobą. Ich przechowywanie powinno być ograniczone do czasu trwania procesu rekrutacyjnego lub okresu wskazanego w zgodzie kandydata.

03Prawa kandydatów wynikające z RODO

Kandydaci mają szeroki zakres praw, które wpływają na sposób prowadzenia rekrutacji. Ignorowanie tych praw może prowadzić do skarg i kontroli.

Najważniejsze prawa

  • prawo dostępu do danych, które pozwala kandydatowi sprawdzić, jakie informacje są przetwarzane
  • prawo do sprostowania danych, które umożliwia poprawienie nieaktualnych informacji
  • prawo do usunięcia danych, znane jako „prawo do bycia zapomnianym”
  • prawo do ograniczenia przetwarzania, które pozwala wstrzymać operacje na danych
  • prawo do sprzeciwu wobec przetwarzania danych

Każde z tych praw wymaga reakcji ze strony pracodawcy w określonym czasie. Standardowo jest to 30 dni.

Realny przykład

Kandydat backend developer prosi o usunięcie swoich danych po nieudanej rekrutacji. Firma, która ma uporządkowane procesy, usuwa dane z systemu ATS oraz backupów operacyjnych. Dzięki temu minimalizuje ryzyko i buduje zaufanie.

Najczęstsze błędy w rekrutacji związane z RODO

Wiele organizacji traktuje RODO jako formalność, co prowadzi do powtarzalnych błędów.

Typowe problemy

  • brak aktualnych klauzul informacyjnych, które nie odpowiadają rzeczywistym procesom
  • przechowywanie CV bez ograniczeń czasowych
  • brak zgody na udział w przyszłych rekrutacjach
  • udostępnianie danych kandydatów osobom niezaangażowanym w proces
  • brak zabezpieczeń systemów ATS

Każdy z tych błędów może skutkować konsekwencjami finansowymi i reputacyjnymi.

04Jak wdrożyć RODO w procesie rekrutacji krok po kroku

Skuteczne wdrożenie RODO nie polega na dodaniu klauzuli do ogłoszenia. Wymaga uporządkowania całego procesu.

Kluczowe działania

  • przeanalizowanie, jakie dane są zbierane i w jakim celu
  • ograniczenie zakresu danych do niezbędnego minimum
  • wdrożenie procedur usuwania danych po zakończeniu rekrutacji
  • przeszkolenie zespołu rekrutacyjnego
  • wybór narzędzi ATS zgodnych z RODO

Technologia jako wsparcie

Nowoczesne systemy ATS oferują funkcje automatycznego usuwania danych, zarządzania zgodami oraz generowania raportów. Dzięki temu compliance przestaje być obciążeniem, a staje się elementem sprawnego procesu.

05RODO jako element przewagi konkurencyjnej

W środowisku IT doświadczenie kandydata ma ogromne znaczenie. Transparentność w zakresie przetwarzania danych wpływa na postrzeganie firmy.

Organizacje, które jasno komunikują zasady, szybciej budują relacje z kandydatami. Kandydaci chętniej wracają do takich firm, nawet jeśli nie zostali zatrudnieni w pierwszym podejściu.

Dane i statystyki

Badania pokazują, że ponad 70% kandydatów zwraca uwagę na sposób przetwarzania danych osobowych podczas rekrutacji. W branży IT odsetek ten jest jeszcze wyższy, ponieważ specjaliści są bardziej świadomi technologicznie.

Wpływ na employer branding

Dobrze wdrożone RODO:

  • zwiększa zaufanie kandydatów
  • skraca czas podejmowania decyzji o aplikacji
  • redukuje liczbę porzuconych procesów

To przekłada się na realne wyniki biznesowe, ponieważ lepsze doświadczenie kandydata oznacza większą skuteczność rekrutacji.

06RODO a współpraca z agencjami rekrutacyjnymi

Wiele firm IT korzysta z usług zewnętrznych agencji. W takim przypadku pojawia się kwestia odpowiedzialności za dane.

Umowa powierzenia przetwarzania danych

Każda współpraca z agencją powinna być uregulowana umową powierzenia. Określa ona:

  • zakres przetwarzania danych
  • obowiązki obu stron
  • środki bezpieczeństwa

Brak takiej umowy może prowadzić do poważnych konsekwencji prawnych.

Podział odpowiedzialności

Administrator danych i podmiot przetwarzający mają różne obowiązki. Jasne określenie ról pozwala uniknąć nieporozumień i usprawnia współpracę.

07Jak komunikować RODO kandydatom w sposób, który działa

Kandydaci IT nie mają czasu na analizowanie prawniczego języka. Komunikacja powinna być prosta, klarowna i osadzona w realnym kontekście.

Praktyczne podejście

Zamiast długich bloków tekstu warto:

  • używać krótkich akapitów i czytelnych sekcji
  • podawać konkretne informacje o czasie przechowywania danych
  • wskazywać realne działania firmy

Przykład komunikacji

„Twoje dane przetwarzamy wyłącznie w celu tej rekrutacji. Jeśli wyrazisz zgodę, zachowamy je przez 12 miesięcy, aby zaprosić Cię do przyszłych procesów.”

Taka forma buduje zaufanie i nie wymaga od kandydata dodatkowego wysiłku.

08Q&A

1. Czy mogę przechowywać CV kandydatów po zakończeniu rekrutacji?

Możesz to zrobić wyłącznie wtedy, gdy kandydat wyraził zgodę na udział w przyszłych procesach, a zakres tej zgody jasno określa czas przechowywania danych. W przeciwnym razie dane powinny zostać usunięte po zamknięciu rekrutacji.

2. Czy kontaktowanie kandydatów przez LinkedIn jest zgodne z RODO?

Tak, pod warunkiem że opierasz się na uzasadnionym interesie administratora i spełniasz obowiązek informacyjny już przy pierwszym kontakcie. Kandydat musi wiedzieć, kto przetwarza jego dane i w jakim celu.

3. Jakie dane mogę zbierać od kandydata bez dodatkowej zgody?

Prawo pozwala przetwarzać dane niezbędne do oceny kandydata, takie jak imię, nazwisko, doświadczenie czy kwalifikacje. Każda dodatkowa informacja, na przykład zdjęcie lub zainteresowania, wymaga wyraźnej zgody.

4. Jak długo mogę przechowywać dane w bazie talentów?

Okres przechowywania powinien być określony w zgodzie kandydata i najczęściej wynosi od 12 do 24 miesięcy. Po tym czasie dane należy usunąć lub ponownie uzyskać zgodę.

5. Co zrobić, gdy kandydat poprosi o usunięcie swoich danych?

Masz obowiązek usunąć dane bez zbędnej zwłoki, obejmując zarówno systemy rekrutacyjne, jak i inne miejsca ich przechowywania. Proces powinien być udokumentowany, aby w razie kontroli wykazać zgodność z RODO.

TagiRODOrozporządzenie o ochronie danych osobowychGDPRdane osobowebezpieczeństworekrutacjaUODOkandydat