Co oznacza ochrona danych w rekrutacji zgodnie z RODO w Polsce i kogo dotyczy?

Ochrona danych w rekrutacji to zestaw zasad RODO i przepisów krajowych, które regulują, jakie informacje o kandydatach wolno zbierać, na jakiej podstawie prawnej je przetwarzać, jak je zabezpieczać i jak długo przechowywać. Dotyczy to każdego pracodawcy, rekrutera, agencji pośrednictwa oraz dostawców narzędzi (ATS, testy, wideorekrutacje) działających jako administratorzy lub podmioty przetwarzające. Kluczowe pojęcia to minimalizacja danych, przejrzystość (obowiązek informacyjny), ograniczenie celu, integralność i poufność. Kandydat ma prawa: dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu, przenoszenia i skargi do UODO. Praktycznie oznacza to zbieranie tylko niezbędnych danych zawodowych, informowanie o celach i okresach, podpisanie umów powierzenia z dostawcami oraz wdrożenie środków technicznych i organizacyjnych adekwatnych do ryzyka naruszenia prywatności.

Jakie dane w CV może przetwarzać pracodawca podczas rekrutacji, a o co nie wolno pytać?

Co do zasady można przetwarzać podstawowe dane identyfikacyjne i kontaktowe wskazane przez kandydata, informacje o wykształceniu, kwalifikacjach i przebiegu zatrudnienia – wyłącznie w zakresie niezbędnym dla danej roli. Zwykle nie ma potrzeby żądania numeru PESEL, adresu zameldowania, stanu cywilnego czy fotografii; ich podanie powinno być dobrowolne i uzasadnione. Zabronione jest pozyskiwanie tzw. danych wrażliwych (zdrowie, poglądy polityczne, religia, orientacja seksualna, pochodzenie etniczne) oraz informacji o niekaralności, chyba że wynika to wprost z przepisu prawa dla konkretnego stanowiska. Nie wolno wymagać dostępu do prywatnych profili społecznościowych ani wyników testów psychologicznych bez podstawy prawnej. W razie wątpliwości należy ocenić niezbędność i proporcjonalność oraz zapewnić alternatywę bez podawania danych opcjonalnych.

Jak spełnić obowiązek informacyjny wobec kandydata i jaka jest podstawa prawna przetwarzania danych rekrutacyjnych?

Obowiązek informacyjny realizuje się poprzez klauzulę prywatności w ofercie, formularzu lub e-mailu. Powinna ona zawierać: dane administratora i kontakt do IOD, cele i podstawy prawne, kategorie odbiorców (np. dostawcy ATS), okresy przechowywania, prawa kandydata, informacje o transferach poza EOG oraz prawo skargi do UODO. Podstawy prawne są zróżnicowane: przepis prawa pracy dla zakresu danych wymaganych (art. 6 ust. 1 lit. c RODO), uzasadniony interes administratora dla oceny kompetencji i obrony przed roszczeniami (lit. f) oraz zgoda – wyłącznie dla danych dodatkowych lub na udział w przyszłych rekrutacjach (lit. a). Jeżeli pozyskujesz dane z LinkedIn lub od polecającego, ujawnij źródło i kategorie danych w ciągu rozsądnego terminu, najpóźniej przy pierwszym kontakcie.

Jak długo można przechowywać dokumenty z rekrutacji i jak poprawnie zebrać zgodę na przyszłe procesy (talent pool)?

Dane przetwarzaj do zakończenia konkretnej rekrutacji oraz dłużej tylko, gdy jest to niezbędne: w celu obrony przed roszczeniami przez okres ich przedawnienia (często przyjmuje się 3 lata) na podstawie uzasadnionego interesu, albo do czasu wycofania zgody w przypadku talent pool. Zgoda musi być dobrowolna, świadoma, jednoznaczna i rozdzielona od bieżącej rekrutacji; wskaż konkretny okres (np. 12–24 miesiące), cel „przyszłe rekrutacje” oraz łatwy sposób wycofania w każdym momencie bez negatywnych konsekwencji. Unikaj domyślnych checkboxów i łączenia zgody z innymi oświadczeniami. Regularnie weryfikuj przydatność danych, stosuj automatyczne przypomnienia o upływie terminu i bezpieczne usuwanie lub anonimizację po zakończeniu okresu retencji.

Co zrobić przy naruszeniu ochrony danych kandydatów oraz jak ograniczyć ryzyko w ATS i poczcie rekrutacyjnej?

Najpierw powstrzymaj incydent (zmień hasła, zablokuj dostęp, odłącz wadliwe konto), następnie oceń ryzyko dla praw i wolności osób. Jeśli jest prawdopodobne, zgłoś naruszenie do UODO w ciągu 72 godzin i – przy wysokim ryzyku – poinformuj kandydatów, opisując skutki i zalecane środki. Każde naruszenie odnotuj w rejestrze. Aby zmniejszyć ryzyko, stosuj MFA, silne hasła i szyfrowanie w ATS i e-mailu, role i zasady „need-to-know”, umowy powierzenia z dostawcami, testy phishingowe i szkolenia zespołu, szablony klauzul, hasłowane załączniki oraz automatyczne retencje i bezpieczne usuwanie. Unikaj rozproszonych arkuszy i wysyłek „Do/CC” zamiast „UDW”, a przy testach i zadaniach minimalizuj zakres danych osobowych.

Ochrona danych w rekrutacji - AI Power Recruiter

Ochrona danych osobowych kandydatów

Bezpieczeństwo danych w rekrutacji to podstawa zaufania między firmą a kandydatem. AI Power Recruiter dba w tym zakresie o pełną zgodność z przepisami, w tym z RODO, gwarantując, że każda informacja o kandydacie jest przetwarzana w bezpieczny i przejrzysty sposób.

Zaawansowane mechanizmy szyfrowania oraz automatyczna kontrola dostępu chronią dane przed nieautoryzowanym użyciem. Wszystkie informacje są przechowywane w sposób zabezpieczony i zgodny z najwyższymi standardami bezpieczeństwa. Dzięki temu możesz prowadzić procesy rekrutacyjne z pełnym spokojem, wiedząc, że prywatność kandydatów jest zawsze na pierwszym miejscu.

Sterowanie dostępem do danych

AI Power Recruiter pozwala precyzyjnie kontrolować dostęp do danych kandydatów i funkcji systemu. Możesz dowolnie definiować uprawnienia, przypisując role pracownikom zgodnie z ich zakresem obowiązków. Dzięki temu każdy użytkownik widzi wyłącznie te informacje, które są mu niezbędne. System umożliwia określenie, kto może przeglądać profile kandydatów, zarządzać parametrami rekrutacji czy usuwać dane. Zapewniając w ten sposób pełną zgodność z zasadami bezpieczeństwa i ochrony prywatności.

Określanie ról procesie rekrutacji

Rekrutacja to proces, w który zaangażowani są nie tylko rekruterzy, ale także menedżerowie i inni członkowie zespołu. AI Power Recruiter umożliwia precyzyjne przypisywanie ról i dostosowanie dostępu do danych kandydatów. Możesz łatwo udostępnić informacje o potencjalnych pracownikach ich przyszłemu przełożonemu, jednocześnie ograniczając mu dostęp do funkcji zarezerwowanych dla rekruterów. Dzięki temu każdy użytkownik ma dostęp tylko do tych zasobów, które są mu niezbędne, co zwiększa bezpieczeństwo i przejrzystość procesu rekrutacyjnego.

Historia zmian i audyt działań

Masz pełną kontrolę nad tym, co dzieje się w systemie ATS. Każda zmiana w profilu kandydata, edycja danych czy modyfikacja rekrutacji zapisuje się w historii AI Power Recruiter wraz z datą, godziną i informacją o użytkowniku.

Dzięki temu zawsze wiesz, kto wykonał daną akcję i możesz łatwo odtworzyć pełen przebieg działań. To dla Ciebie pewność, że rekrutacje są transparentne, zgodne z RODO i AI Act, a ewentualne nieprawidłowości można natychmiast wychwycić.

Uwierzytelnianie dwuetapowe i ograniczenia logowania

Dostęp do systemu zaczyna się od logowania, dlatego AI Power Recruiter stawia na sprawdzone zabezpieczenia. Każdy użytkownik może włączyć uwierzytelnianie dwuetapowe (2FA), które dodaje dodatkową warstwę ochrony – nawet jeśli hasło trafi w niepowołane ręce, konto pozostaje bezpieczne.

Administrator może dodatkowo ograniczyć logowanie wybranych osób do wskazanego adresu IP, eliminując ryzyko dostępu spoza firmy. Sam system pilnuje stosowania silnych haseł i umożliwia cykliczną ich zmianę, np. co 30 czy 90 dni. Dzięki temu bezpieczeństwo danych kandydatów i klientów jest chronione od pierwszego kontaktu z aplikacją.

Najczęściej zadawane pytania

Co oznacza ochrona danych w rekrutacji zgodnie z RODO w Polsce i kogo dotyczy?: Ochrona danych w rekrutacji to zestaw zasad RODO i przepisów krajowych, które regulują, jakie informacje o kandydatach wolno zbierać, na jakiej podstawie prawnej je przetwarzać, jak je zabezpieczać i jak długo przechowywać. Dotyczy to każdego pracodawcy, rekrutera, agencji pośrednictwa oraz dostawców narzędzi (ATS, testy, wideorekrutacje) działających jako administratorzy lub podmioty przetwarzające. Kluczowe pojęcia to minimalizacja danych, przejrzystość (obowiązek informacyjny), ograniczenie celu, integralność i poufność. Kandydat ma prawa: dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu, przenoszenia i skargi do UODO. Praktycznie oznacza to zbieranie tylko niezbędnych danych zawodowych, informowanie o celach i okresach, podpisanie umów powierzenia z dostawcami oraz wdrożenie środków technicznych i organizacyjnych adekwatnych do ryzyka naruszenia prywatności.
Jakie dane w CV może przetwarzać pracodawca podczas rekrutacji, a o co nie wolno pytać?: Co do zasady można przetwarzać podstawowe dane identyfikacyjne i kontaktowe wskazane przez kandydata, informacje o wykształceniu, kwalifikacjach i przebiegu zatrudnienia – wyłącznie w zakresie niezbędnym dla danej roli. Zwykle nie ma potrzeby żądania numeru PESEL, adresu zameldowania, stanu cywilnego czy fotografii; ich podanie powinno być dobrowolne i uzasadnione. Zabronione jest pozyskiwanie tzw. danych wrażliwych (zdrowie, poglądy polityczne, religia, orientacja seksualna, pochodzenie etniczne) oraz informacji o niekaralności, chyba że wynika to wprost z przepisu prawa dla konkretnego stanowiska. Nie wolno wymagać dostępu do prywatnych profili społecznościowych ani wyników testów psychologicznych bez podstawy prawnej. W razie wątpliwości należy ocenić niezbędność i proporcjonalność oraz zapewnić alternatywę bez podawania danych opcjonalnych.
Jak spełnić obowiązek informacyjny wobec kandydata i jaka jest podstawa prawna przetwarzania danych rekrutacyjnych?: Obowiązek informacyjny realizuje się poprzez klauzulę prywatności w ofercie, formularzu lub e-mailu. Powinna ona zawierać: dane administratora i kontakt do IOD, cele i podstawy prawne, kategorie odbiorców (np. dostawcy ATS), okresy przechowywania, prawa kandydata, informacje o transferach poza EOG oraz prawo skargi do UODO. Podstawy prawne są zróżnicowane: przepis prawa pracy dla zakresu danych wymaganych (art. 6 ust. 1 lit. c RODO), uzasadniony interes administratora dla oceny kompetencji i obrony przed roszczeniami (lit. f) oraz zgoda – wyłącznie dla danych dodatkowych lub na udział w przyszłych rekrutacjach (lit. a). Jeżeli pozyskujesz dane z LinkedIn lub od polecającego, ujawnij źródło i kategorie danych w ciągu rozsądnego terminu, najpóźniej przy pierwszym kontakcie.
Jak długo można przechowywać dokumenty z rekrutacji i jak poprawnie zebrać zgodę na przyszłe procesy (talent pool)?: Dane przetwarzaj do zakończenia konkretnej rekrutacji oraz dłużej tylko, gdy jest to niezbędne: w celu obrony przed roszczeniami przez okres ich przedawnienia (często przyjmuje się 3 lata) na podstawie uzasadnionego interesu, albo do czasu wycofania zgody w przypadku talent pool. Zgoda musi być dobrowolna, świadoma, jednoznaczna i rozdzielona od bieżącej rekrutacji; wskaż konkretny okres (np. 12–24 miesiące), cel „przyszłe rekrutacje” oraz łatwy sposób wycofania w każdym momencie bez negatywnych konsekwencji. Unikaj domyślnych checkboxów i łączenia zgody z innymi oświadczeniami. Regularnie weryfikuj przydatność danych, stosuj automatyczne przypomnienia o upływie terminu i bezpieczne usuwanie lub anonimizację po zakończeniu okresu retencji.
Co zrobić przy naruszeniu ochrony danych kandydatów oraz jak ograniczyć ryzyko w ATS i poczcie rekrutacyjnej?: Najpierw powstrzymaj incydent (zmień hasła, zablokuj dostęp, odłącz wadliwe konto), następnie oceń ryzyko dla praw i wolności osób. Jeśli jest prawdopodobne, zgłoś naruszenie do UODO w ciągu 72 godzin i – przy wysokim ryzyku – poinformuj kandydatów, opisując skutki i zalecane środki. Każde naruszenie odnotuj w rejestrze. Aby zmniejszyć ryzyko, stosuj MFA, silne hasła i szyfrowanie w ATS i e-mailu, role i zasady „need-to-know”, umowy powierzenia z dostawcami, testy phishingowe i szkolenia zespołu, szablony klauzul, hasłowane załączniki oraz automatyczne retencje i bezpieczne usuwanie. Unikaj rozproszonych arkuszy i wysyłek „Do/CC” zamiast „UDW”, a przy testach i zadaniach minimalizuj zakres danych osobowych.