Ochrona danych osobowych w procesach rekrutacyjnych należy do tych obszarów compliance, które w praktyce przedsiębiorstw zatrudniających cudzoziemców są systematycznie niedoszacowane. Tymczasem naruszenia w tym zakresie generują realne ryzyko finansowe i reputacyjne. Poniżej przedstawiamy pięć kluczowych obszarów, w których pracodawcy najczęściej popełniają błędy, oraz wskazówki dotyczące ich eliminacji.
Zasada równości – cudzoziemiec to taki sam kandydat
Fundamentalną kwestią, którą pracodawca musi mieć na uwadze jeszcze przed uruchomieniem jakiegokolwiek procesu rekrutacyjnego, jest to, że przepisy o ochronie danych osobowych stosuje się do kandydatów zagranicznych dokładnie tak samo jak do obywateli polskich. Nie istnieje żadna odrębna, łagodniejsza regulacja przeznaczona dla rekrutacji cudzoziemców. Podstawę prawną przetwarzania danych wyznacza ogólne rozporządzenie o ochronie danych (RODO), uzupełnione o przepisy Kodeksu pracy w przypadku rekrutacji do stosunku pracy, a także o regulacje szczególne, w tym ustawę o warunkach dopuszczalności powierzania pracy cudzoziemcom na terytorium Rzeczypospolitej Polskiej. Świadomość tej trójwarstwowej struktury normatywnej jest warunkiem koniecznym prawidłowego prowadzenia procesu.
Pułapka pierwsza: błędna konstrukcja zgody na przetwarzanie danych
Podstawą prawną przetwarzania danych osobowych kandydata do pracy jest w rekrutacji najczęściej jego zgoda. Przepisy nie nakładają wymogu udzielenia jej w formie pisemnej, jednak z punktu widzenia zasady rozliczalności – jednej z fundamentalnych zasad RODO –
pracodawca powinien dysponować mechanizmem dokumentowania faktu pozyskania zgody. W razie kontroli Urzędu Ochrony Danych Osobowych to na administratorze danych ciąży obowiązek wykazania, że zgoda została skutecznie pozyskana; samo twierdzenie o jej udzieleniu jest niewystarczające.
Najczęściej spotykanym błędem jest konstruowanie tzw. zgody łącznej, obejmującej jednocześnie udział w bieżącej rekrutacji oraz przetwarzanie danych na potrzeby przyszłych procesów rekrutacyjnych. Taka konstrukcja jest nieprawidłowa. Zgoda na konkretną rekrutację i zgoda na przetwarzanie danych w przyszłości stanowią dwa odrębne cele przetwarzania i wymagają dwóch niezależnych, rozdzielnych oświadczeń woli kandydata. Kandydat, który wyraził chęć udziału w jednym konkretnym procesie rekrutacyjnym, nie musi – i niekoniecznie chce – wyrażać zgody na figurowanie w bazie potencjalnych przyszłych pracowników. Łączenie tych zgód w jednym dokumencie nie tylko stoi w sprzeczności ze stanowiskiem UODO, ale może skutkować uznaniem całości przetwarzania za pozbawione ważnej podstawy prawnej.
Pułapka druga: dyskryminacja w ogłoszeniu i w trakcie rekrutacji
Zakaz dyskryminacji w zatrudnieniu obejmuje nie tylko moment podpisania umowy, ale cały proces rekrutacyjny – od treści ogłoszenia aż po decyzję o wyborze kandydata. Dotyczy to zarówno zatrudnienia pracowniczego (regulowanego przez Kodeks pracy), jak i umów cywilnoprawnych (objętych ustawą z 2010 roku o wdrożeniu niektórych przepisów Unii Europejskiej w zakresie równego traktowania). Kryteria zakazane obejmują m.in. płeć, rasę, pochodzenie etniczne, narodowość, wiek, niepełnosprawność, religię, światopogląd oraz orientację seksualną.
Istotnym, często pomijanym aspektem jest zakres podmiotowy pojęcia „kandydat do pracy”. Nie jest nim wyłącznie osoba, która przesłała CV lub uczestniczyła w rozmowie kwalifikacyjnej. Kandydatem jest każdy, kto zapoznał się z ogłoszeniem rekrutacyjnym – a zatem już sama treść ogłoszenia może stanowić podstawę roszczenia o odszkodowanie. Rekrutując cudzoziemców, pracodawcy nierzadko konstruują komunikaty sugerujące poszukiwanie osób określonej narodowości lub publikują ogłoszenia wyłącznie w kanałach dostępnych dla określonych grup cudzoziemców. Takie praktyki narażają na zarzut dyskryminacji ze względu na narodowość.
Praktycznym narzędziem weryfikacji, czy dane działanie rekrutacyjne nosi znamiona dyskryminacji, jest zastosowanie testu porównawczego: czy dana osoba byłaby potraktowana w taki sam sposób, gdyby nie posiadała cechy chronionej? Sformułowania sugerujące preferencje wiekowe (np. „młody i dynamiczny zespół”) również mogą stanowić punkt zaczepienia dla roszczenia dyskryminacyjnego – i w takiej sytuacji to pracodawca będzie zmuszony wykazać, że zastosowane kryterium miało obiektywne uzasadnienie.
Jedynym bezpiecznym sposobem na zaznaczenie w ogłoszeniu preferencji dotyczących statusu pobytowego lub prawa do pracy cudzoziemca jest pośrednie wskazanie wymagań proceduralnych – np. informacja, że w przypadku cudzoziemców poszukiwane są osoby korzystające z uproszczonej procedury oświadczeniowej, lub zwolnione z obowiązku uzyskiwania zezwolenia. Takie podejście nie zamyka rekrutacji wyłącznie dla określonej narodowości, lecz odwołuje się do obiektywnego kryterium gotowości do stosunkowo szybkiego podjęcia pracy.
Pułapka trzecia: zaniedbanie obowiązku informacyjnego
Administrator danych osobowych – a jest nim każdy podmiot prowadzący bezpośrednio rekrutację – ma obowiązek zrealizowania wobec kandydata klauzuli informacyjnej wynikającej z art. 13 RODO. Klauzula ta powinna zawierać m.in. informację o tożsamości administratora, celu i podstawie prawnej przetwarzania danych, przysługujących kandydatowi prawach oraz czasie przechowywania danych.
Obowiązek ten musi zostać spełniony najpóźniej w chwili pozyskania danych od kandydata. W praktyce może to nastąpić już na etapie ogłoszenia – np. poprzez umieszczenie linku do klauzuli informacyjnej opublikowanej na stronie internetowej pracodawcy. W sytuacji, gdy kandydat przesyła CV pocztą elektroniczną, prawidłową odpowiedzią jest potwierdzenie wpłynięcia aplikacji wraz z załączoną klauzulą. Pominięcie tego obowiązku należy do naruszeń, które UODO traktuje ze szczególną uwagą i które mogą skutkować nałożeniem dotkliwych administracyjnych kar pieniężnych.
Pułapka czwarta: błędne ustalenie okresu przechowywania danych
Dane osobowe kandydatów mogą być przechowywane wyłącznie tak długo, jak istnieje ku temu uzasadnienie prawne. W kontekście rekrutacyjnym należy rozróżnić dwa odrębne reżimy: dane zgromadzone na potrzeby zakończonej rekrutacji oraz dane przetwarzane w ramach bazy kandydatów pod przyszłe procesy rekrutacyjne.
Po zakończeniu rekrutacji – tj. po wyborze kandydatów i podpisaniu z nimi umów – dane pozostałych uczestników procesu mogą być przechowywane w trybie pasywnym przez okres odpowiadający terminowi przedawnienia ewentualnych roszczeń z tytułu dyskryminacji, który wynosi co do zasady trzy lata. Oznacza to jednak wyłącznie przechowywanie danych na wypadek sporu – bez jakiegokolwiek aktywnego wykorzystywania tych rekordów, w tym bez informowania tych osób o nowych rekrutacjach. Przetwarzanie danych w celu innym niż zabezpieczenie przed roszczeniami wymagałoby odrębnej podstawy prawnej, której po zamknięciu procesu najczęściej już nie ma.
W przypadku bazy przyszłych kandydatów przetwarzanie jest dopuszczalne wyłącznie na podstawie odrębnej, świadomie udzielonej zgody, przez czas określony przez politykę retencji danych. Praktycznym rozwiązaniem jest przyjęcie okresu przechowywania wynoszącego trzy lata od końca roku kalendarzowego, w którym zgoda została wyrażona, z jednoczesnym cyklicznym przeglądem bazy i usuwaniem rekordów nieaktualnych lub tych, których właściciele zgody nie odnowili.
Pułapka piąta: niekontrolowane przechowywanie danych w kanałach komunikacyjnych
Specyfika rekrutacji cudzoziemców polega na tym, że komunikacja z kandydatami prowadzona jest nierzadko za pośrednictwem komunikatorów internetowych, w tym aplikacji takich jak Telegram. W ramach tych kanałów gromadzone są dane osobowe, w tym skany dokumentów tożsamości i legalizacyjnych. Po zakończeniu procesu rekrutacyjnego dane te pozostają w pamięci urządzeń, na skrzynkach pocztowych lub w chmurach plików, najczęściej bez świadomości osoby odpowiedzialnej za compliance.
Zasada minimalizacji danych – jedna z podstawowych zasad RODO – nakazuje zbierać wyłącznie te dane, które są niezbędne do realizacji konkretnego, zdefiniowanego celu. W razie kontroli pracodawca będzie zobowiązany uzasadnić każdą kategorię zebranych informacji. Przechowywanie danych po ustaniu podstawy prawnej stanowi naruszenie przepisów, a ryzyko to jest szczególnie wysokie właśnie w przypadku rekrutacji cudzoziemców, gdzie ilość gromadzonych dokumentów jest zazwyczaj większa niż przy zatrudnianiu obywateli polskich.
Jak unikać tych pułapek – rekomendacje praktyczne
Skuteczna ochrona przed ryzykiem naruszenia RODO w rekrutacji cudzoziemców wymaga przede wszystkim przeprowadzenia audytu procesu rekrutacyjnego pod kątem zgodności z przepisami o ochronie danych. Audyt taki powinien objąć:
- weryfikację kanałów komunikacji i systemów rekrutacyjnych pod kątem miejsc, w których gromadzone są dane osobowe;
- ocenę stosowanych klauzul zgody – z uwzględnieniem rozdzielności zgody na bieżącą rekrutację od zgody na przyszłe cele;
- sprawdzenie treści i kompletności stosowanej klauzuli informacyjnej a także
- ustalenie i wdrożenie polityki retencji danych, z harmonogramem cyklicznych przeglądów bazy kandydatów.
Działania naprawcze zidentyfikowane w toku audytu powinny zostać wdrożone niezwłocznie, a ich stosowanie powinno podlegać bieżącemu monitorowaniu. Szczególną uwagę należy zwrócić na szkolenie rekruterów – jako pierwszego punktu kontaktu z kandydatem, a zarazem pierwszego ogniwa procesu przetwarzania danych.
Zapraszamy na najbliższe wydarzenia organizowane przez C&C Chakowski & Ciszek:
DOSTĘP DO NAGRANIA KONFERENCJI 24.03.2026 – NOWE PRAWO IMIGRACYJNE 2026 (KLIKNIJ)
NOWE UPRAWNIENIA PIP – UMOWY CYWILNOPRAWNE A STOSUNEK PRACY (KLIKNIJ)
WARSZTATOWY KURS ZATRUDNIANIA CUDZOZIEMCÓW (KLIKNIJ)
NOWOŚĆ! PODATKI I ZUS W ZATRUDNIENIU CUDZOZIEMSKIM (KLIKNIJ)
