RODO w miejscu pracy – co pracodawca może, a czego nie może

10 grudnia, 2025 Paczynski
Zdjęcie do artykułu: RODO w miejscu pracy – co pracodawca może, a czego nie może

Spis treści

Podstawy RODO w miejscu pracy

RODO w miejscu pracy budzi emocje zarówno u pracowników, jak i u pracodawców. Z jednej strony firmy potrzebują danych, by zatrudniać, rozliczać i organizować pracę. Z drugiej strony pracownicy oczekują prywatności i bezpieczeństwa informacji. Pomiędzy tymi potrzebami stoi prawo: RODO oraz Kodeks pracy, które wyznaczają czytelne granice. Warto je znać, żeby uniknąć sporów, skarg do UODO i kosztownych kar.

W środowisku pracy RODO nie zakazuje przetwarzania danych osobowych – ono je porządkuje. Kluczowa zasada brzmi: pracodawca może zbierać tylko te dane, które są niezbędne do realizacji jasno określonego celu, opartego na przepisach lub uzasadnionym interesie. Każde sięgnięcie po dane „na zapas” lub z czystej ciekawości jest ryzykowne. RODO wymaga też przejrzystości – pracownik powinien wiedzieć, jakie dane są przetwarzane i po co.

Granice wyznaczają cztery podstawowe filary: legalność, minimalizacja, bezpieczeństwo i rozliczalność. Legalność oznacza, że musi istnieć podstawa prawna do przetwarzania danych. Minimalizacja – że przetwarzamy tylko tyle informacji, ile trzeba. Bezpieczeństwo – że chronimy dane przed dostępem osób nieuprawnionych i wyciekami. Rozliczalność – że potrafimy wykazać zgodność z RODO w praktyce, np. za pomocą procedur, rejestrów i szkoleń.

Jakie dane pracownika może przetwarzać pracodawca

Zakres danych pracownika, które pracodawca może zbierać, nie wynika bezpośrednio z RODO, lecz z Kodeksu pracy. RODO jest ramą, a przepisy krajowe doprecyzowują szczegóły. Dlatego pierwszy krok to zawsze sprawdzenie, czy dana informacja jest wymieniona w przepisach lub oczywiście związana z wykonywaniem obowiązków służbowych, np. dane kontaktowe konieczne do organizacji pracy zdalnej lub dyżurów.

Na etapie zatrudnienia pracodawca może żądać m.in. imienia i nazwiska, daty urodzenia, danych kontaktowych wskazanych przez kandydata, wykształcenia i przebiegu zatrudnienia, jeśli to niezbędne do pracy. Po zawarciu umowy zakres poszerza się o numer PESEL lub inny identyfikator, adres zamieszkania, dane do rozliczeń podatkowych i ZUS, a także informacje o członkach rodziny, jeśli wpływają na uprawnienia pracownicze, np. zasiłki czy urlopy.

Pracodawca może także przetwarzać dane związane z oceną pracy, wynikami, nieobecnościami, szkoleniami czy odpowiedzialnością porządkową. Ważne, aby każdemu z tych obszarów towarzyszył jasno określony cel i odpowiedni czas przechowywania. Dane finansowe, np. numer konta bankowego, są dozwolone, jeśli służą wypłacie wynagrodzenia. Wykraczanie poza ten katalog wymaga szczególnej ostrożności i zazwyczaj nie może opierać się na „wymuszonej” zgodzie.

Czego pracodawca nie może robić z danymi pracowników

To, że pracodawca posiada dane pracownika, nie oznacza pełnej dowolności. Nie wolno wykorzystywać danych w celach sprzecznych z pierwotnym celem ich zebrania, np. przekazywać bazy adresów prywatnych pracowników partnerom marketingowym. Zabronione jest też profilowanie dotyczące cech osobistych w sposób nadmiernie ingerujący w prywatność, np. tworzenie „ukrytych rankingów” pod kątem zdrowia lub sytuacji rodzinnej.

Pracodawca nie może żądać informacji wrażliwych bez wyraźnej podstawy prawnej. Dotyczy to m.in. poglądów politycznych, wyznania, orientacji seksualnej czy przynależności związkowej. Szczególnie istotne są dane o zdrowiu – poza ściśle określonymi sytuacjami (np. orzeczenie lekarskie, dokumenty zwolnienia) nie wolno ich przetwarzać. Pracodawca nie powinien kopiować dokumentacji medycznej ani pytać o diagnozy.

Niedozwolone jest także zmuszanie pracownika do udzielenia zgody na przetwarzanie danych wykraczających poza przepisy. W relacji pracodawca–pracownik zgoda rzadko jest uznawana za dobrowolną, bo istnieje nierówność stron. Dlatego opieranie się na niej jest ryzykowne. Przykład: zgoda na publikację zdjęcia z wizerunkiem pracownika na stronie WWW. Powinna być naprawdę dobrowolna, a odmowa nie może rodzić negatywnych konsekwencji.

Monitoring pracowników – granice zgodne z RODO

Monitoring wizyjny, GPS w samochodach służbowych czy śledzenie aktywności w sieci firmowej to dziś codzienność. RODO nie zakazuje takich narzędzi, ale stawia warunki: muszą być proporcjonalne, przejrzyste i oparte na przepisach. W praktyce oznacza to, że monitoring można stosować tylko dla ściśle określonych celów, np. bezpieczeństwa mienia, kontroli dostępu, ochrony tajemnicy przedsiębiorstwa, a nie do stałego „podglądania” pracowników.

Kamery nie mogą obejmować pomieszczeń socjalnych, szatni, toalet ani miejsc przeznaczonych do odpoczynku, z wyjątkiem naprawdę wyjątkowych sytuacji przewidzianych w prawie. Pracownicy muszą być wyraźnie poinformowani o monitoringu – poprzez regulamin, komunikaty wewnętrzne oraz oznaczenia na terenie zakładu. Dane z monitoringu należy przechowywać nie dłużej, niż wymaga tego cel, zwykle maksymalnie kilka miesięcy, z wyjątkiem materiału dowodowego.

Kontrola poczty służbowej i aktywności na sprzęcie firmowym też ma swoje granice. Pracodawca może nadzorować korzystanie z narzędzi służbowych, ale nie może bez potrzeby czytać prywatnej korespondencji, nawet jeśli trafiła na służbowy adres. Pomagają tu czytelne zasady w regulaminie pracy: informacja, czy dozwolone jest korzystanie z poczty służbowej w celach prywatnych oraz w jakim zakresie wiadomości mogą być kontrolowane.

RODO w rekrutacji i teczce osobowej

Proces rekrutacji jest szczególnie wrażliwy, bo kandydaci często podają więcej danych, niż to konieczne. Pracodawca powinien jasno określić, jakie dane są wymagane, a jakie dobrowolne. Nie wolno żądać informacji o planach rodzinnych, stanie cywilnym, przekonaniach czy chorobach. Pytanie o takie kwestie, także „między wierszami”, może naruszać zarówno RODO, jak i zasadę równego traktowania w zatrudnieniu.

CV i listy motywacyjne należy przetwarzać tylko na potrzeby konkretnej rekrutacji. Wykorzystanie ich w przyszłych naborach wymaga wyraźnej zgody kandydata, najlepiej udzielonej poprzez dodatkową klauzulę. Po zakończeniu procesu dokumenty osób niezatrudnionych trzeba usunąć albo odpowiednio zanonimizować. Przechowywanie „na wszelki wypadek” przez lata to typowy błąd, który może zakończyć się interwencją organu nadzorczego.

W przypadku pracowników zatrudnionych dane trafiają do akt osobowych i innych zbiorów. Tu kluczowe są: porządek, ograniczony dostęp oraz ustalone okresy archiwizacji. Teczka osobowa powinna zawierać wyłącznie dokumenty związane z zatrudnieniem, a nie prywatne notatki przełożonego czy „czarne listy”. Dostęp powinni mieć tylko upoważnieni pracownicy działu kadr, a sposób przechowywania – papierowy czy elektroniczny – musi gwarantować poufność.

Obowiązki pracodawcy jako administratora danych

Pracodawca jest administratorem danych osobowych pracowników. Odpowiada więc za organizację całego procesu przetwarzania, od momentu zebrania danych, przez ich wykorzystanie, aż po usunięcie. To obejmuje m.in. prowadzenie rejestru czynności przetwarzania, wdrożenie polityk bezpieczeństwa, zawieranie umów powierzenia z podmiotami zewnętrznymi oraz regularne szkolenia personelu w zakresie ochrony danych osobowych.

Administrator musi też spełnić obowiązek informacyjny – najczęściej w formie klauzuli RODO przekazywanej pracownikowi lub kandydatowi. Powinna ona zawierać m.in. wskazanie administratora, cele i podstawy przetwarzania danych, okresy przechowywania, informacje o odbiorcach danych oraz o prawach osoby, której dane dotyczą. Dobrze przygotowana klauzula ogranicza późniejsze nieporozumienia i jest ważnym dowodem w razie kontroli.

Kolejny obowiązek to zapewnienie odpowiedniego poziomu bezpieczeństwa technicznego i organizacyjnego. Chodzi zarówno o zabezpieczenia IT (hasła, szyfrowanie, kopie zapasowe), jak i praktyki kadrowe (ograniczone uprawnienia, czyste biurko, niszczarki, procedury wydawania zaświadczeń). Naruszenia, np. wysłanie listy płac na zły adres e-mail, w niektórych przypadkach trzeba zgłosić do UODO oraz poinformować osoby, których dane dotyczą.

Prawa pracownika wobec pracodawcy (RODO)

Pracownik nie jest bezbronny wobec przetwarzania jego danych przez pracodawcę. RODO daje szereg praw, z których można korzystać również w relacji pracowniczej. Najważniejsze to prawo dostępu do danych, ich sprostowania, ograniczenia przetwarzania, a w określonych przypadkach – prawo do usunięcia danych lub sprzeciwu. Pracodawca musi reagować na takie wnioski bez zbędnej zwłoki, zwykle w ciągu miesiąca.

Osoba zatrudniona może zażądać informacji, jakie jej dane są przechowywane, w jakich celach i komu zostały udostępnione. Ma też prawo otrzymać kopię danych, np. z akt osobowych. Jeśli dane są nieprawidłowe lub nieaktualne, pracodawca ma obowiązek je poprawić. W przypadku sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie pracodawcy konieczne jest dokonanie ważenia interesów i uzasadnienie dalszego działania.

Pracownik ma też prawo wnieść skargę do Prezesa UODO, jeśli uważa, że jego dane są przetwarzane niezgodnie z przepisami. Może również dochodzić odszkodowania przed sądem cywilnym. Z praktycznego punktu widzenia warto jednak najpierw wyczerpać ścieżkę wewnętrzną: zgłosić problem do działu HR, inspektora ochrony danych lub przełożonego. Dobra dokumentacja wewnętrzna i przejrzysta komunikacja często pozwalają uniknąć eskalacji sporu.

Tabela: co wolno, a czego nie wolno pracodawcy

Dla uporządkowania najważniejszych zasad warto zestawić typowe sytuacje z praktyki HR i kadr. Poniższa tabela pokazuje, kiedy działania są co do zasady dopuszczalne, a kiedy mogą naruszać RODO i przepisy pracy. To oczywiście nie zastąpi indywidualnej analizy, ale ułatwi szybkie zorientowanie się w granicach, których lepiej nie przekraczać, planując procedury i narzędzia kontroli w firmie.

Sytuacja Co wolno Czego nie wolno Podstawa / uwagi
Rekrutacja Żądanie danych wskazanych w Kodeksie pracy Pytania o plany rodzinne, wyznanie, zdrowie Art. 221 KP, zasada minimalizacji danych
Monitoring Kamery przy wejściach, w magazynie, na hali Monitoring w toalecie, szatni, stołówce Cel: bezpieczeństwo, nie stała inwigilacja
Poczta służbowa Kontrola przestrzegania regulaminu IT Czytanie prywatnej korespondencji bez powodu Proporcjonalność, przejrzystość zasad
Zdjęcia pracownika Publikacja z dobrowolną zgodą Wymuszanie zgody lub brak możliwości odmowy Zgoda nie może wpływać na zatrudnienie

Praktyczne wskazówki dla pracodawców i HR

Aby pogodzić wymogi RODO z potrzebami biznesowymi, warto podejść do ochrony danych w sposób systemowy, a nie tylko „papierowy”. Zamiast produkować rozbudowane regulaminy, które nikt nie czyta, lepiej skupić się na kilku jasnych zasadach, prostych procedurach i regularnych, krótkich szkoleniach. Kluczowe jest też zaangażowanie menedżerów liniowych, którzy na co dzień decydują, jakie informacje zbiera się o pracownikach.

W praktyce dobrze sprawdzają się proste kroki wdrożeniowe:

  • przegląd formularzy (kwestionariusze osobowe, wnioski urlopowe, ankiety) pod kątem nadmiarowych danych,
  • aktualizacja klauzul informacyjnych dla pracowników i kandydatów,
  • ujednolicenie zasad dostępu do akt osobowych i systemów kadrowych,
  • określenie terminów archiwizacji i procedur niszczenia dokumentów,
  • jasne opisanie zasad monitoringu i kontroli narzędzi służbowych.

Warto także wyznaczyć w organizacji osobę lub zespół odpowiedzialny za ochronę danych, nawet gdy formalnie nie ma obowiązku powołania inspektora. Ułatwia to odpowiadanie na wnioski pracowników, obsługę incydentów i przygotowanie się do ewentualnej kontroli. Dobrą praktyką jest prowadzenie rejestru naruszeń i krótkich notatek z działań naprawczych – to mocny argument, że firma traktuje RODO poważnie, nawet jeśli zdarzą się błędy.

Równie istotna jest edukacja pracowników. Wiele naruszeń wynika z niewiedzy: wysłanie maila do całej listy zamiast do jednej osoby, wydrukowanie listy płac i pozostawienie jej na drukarce, przesłanie dokumentów kadrowych prywatnym komunikatorem. Proste zasady bezpieczeństwa i krótkie instrukcje „krok po kroku” często dają większy efekt niż najbardziej rozbudowana polityka ochrony danych funkcjonująca tylko na papierze.

  • Stosuj zasadę „need to know” – dostęp do danych tylko dla tych, którzy naprawdę go potrzebują.
  • Regularnie testuj procedury, np. symulując zgłoszenie naruszenia lub wniosek o dostęp do danych.
  • Dokumentuj decyzje dotyczące danych (monitoring, nowe systemy HR, przekazywanie danych partnerom).

Podsumowanie

RODO w miejscu pracy nie ma na celu sparaliżowania działań pracodawcy, lecz uporządkowanie sposobu obchodzenia się z danymi pracowników. Pracodawca może przetwarzać szeroki zakres informacji, ale tylko w jasno określonych celach, na podstawie przepisów i przy zachowaniu zasad minimalizacji. Nie może natomiast ingerować w sferę prywatną bez uzasadnienia ani wykorzystywać danych poza pierwotnym celem. Pracownicy zyskują realne prawa, a firmy – czytelne ramy działania. Przemyślane procedury, uczciwa komunikacja i konsekwentne stosowanie dobrych praktyk pozwalają pogodzić interesy obu stron i znacząco ograniczyć ryzyko prawne.

Podobne wpisy

You may have missed

Zdjęcie do artykułu: Dlaczego warto wychodzić ze swojej strefy komfortu

Dlaczego warto wychodzić ze swojej strefy komfortu

10 stycznia, 2026 Paczynski
Zdjęcie do artykułu: Najlepsze chłodzenia CPU w 2026 – powietrzne i AIO

Najlepsze chłodzenia CPU w 2026 – powietrzne i AIO

8 stycznia, 2026 Paczynski
Zdjęcie do artykułu: Nowy singiel Arctic Monkeys – czy wracają do rockowych korzeni?

Nowy singiel Arctic Monkeys – czy wracają do rockowych korzeni?

3 stycznia, 2026 Paczynski
Zdjęcie do artykułu: Jak analizować swoje wydatki, żeby wyciągać z nich wnioski

Jak analizować swoje wydatki, żeby wyciągać z nich wnioski

3 stycznia, 2026 Paczynski
Zdjęcie do artykułu: Procesy HR, które warto automatyzować

Procesy HR, które warto automatyzować

30 grudnia, 2025 Paczynski