Ochrona Danych

RODO w pracy: dane pracowników 2026

RODO dla pracodawcy: dane pracowników, monitoring, rekrutacja, KP art. 22^1^. Przewodnik dla działów HR i przedsiębiorców 2026.

W jednym zdaniu. Pracodawca może przetwarzać tylko dane wymienione enumeratywnie w art. 22^1^ Kodeksu pracy, a dodatkowe kategorie wymagają wyraźnej podstawy prawnej lub zgody, której dobrowolność jest przez UODO oceniana restrykcyjnie ze względu na nierównowagę stron.

Najważniejsze punkty

  • Podstawa: KP art. 22^1^, 22^1a^, 22^1b^, 22^2^, 22^3^.
  • Lista danych obowiązkowych w art. 22^1^ § 1 KP — zamknięta.
  • Zgoda pracownika rzadko ważna (nierównowaga stron).
  • Monitoring (CCTV, e-mail, GPS) wymaga procedury z art. 22^2^-22^3^.
  • Retencja dokumentacji pracowniczej: 10 lat (umowy po 2019), 50 lat (przed 2019).
  • DPIA wymagana dla monitoringu i geolokalizacji.

1. Kodeks pracy art. 22^1^ — fundament

Art. 22^1^ § 1 KP wymienia dane, których pracodawca może żądać od kandydata: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia. Art. 22^1^ § 3 KP — od pracownika dodatkowo: adres zamieszkania, PESEL, inne dane wymagane przepisami (np. konto bankowe do wynagrodzenia, dane członków rodziny do ZUS/PIT).

2. Dane spoza listy KP

Każde dane spoza art. 22^1^ wymagają:

  • innej podstawy prawnej (np. przepis sektorowy, BHP, AML),
  • zgody pracownika (art. 22^1a^) — z zachowaniem dobrowolności,
  • dla danych szczególnych kategorii (art. 9) — wyraźnej zgody (art. 22^1b^).

Brak prośby = brak prawa przetwarzania. UODO sankcjonował pracodawców za zbieranie zdjęcia, kopii dowodu osobistego, danych rodzinnych bez podstawy.

3. Dane szczególnych kategorii w HR

Dane art. 9 (zdrowie, pochodzenie, religia, biometria) mogą być przetwarzane:

  • BHP i medycyna pracy — obowiązek prawny.
  • Świadczenia socjalne (ZFŚS) — przepisy ustawy.
  • Niepełnosprawność — w zakresie uprawnień (PFRON, ulgi).
  • Biometria do kontroli dostępu — kontrowersyjne, wymaga DPIA i zgody (zwykle niezalecane).

4. Rekrutacja

Pracodawca może żądać tylko danych z art. 22^1^ § 1 KP. Dane wykraczające (zdjęcie, stan cywilny, dzieci, hobby, plany ciąży) — naruszenie. CV przechowywać tylko na czas rekrutacji + maks. 1 rok (UODO: 6-12 miesięcy) jeśli kandydat wyraził zgodę na przyszłe rekrutacje. Po terminie — usunąć z e-maila, SharePoint, ATS.

5. Monitoring pracowników (art. 22^2^-22^3^ KP)

Rodzaj Podstawa Wymogi
CCTV w miejscu pracy art. 22^2^ KP konsultacja, retencja 3 mies.
Poczta elektroniczna art. 22^3^ KP konsultacja, zakres
Inne formy (GPS, klawiatura) art. 22^3^ KP konsultacja, niezbędność

Procedura: konsultacja z przedstawicielami pracowników, informacja w regulaminie pracy 2 tygodnie przed wprowadzeniem, oznaczenie miejsc monitoringu, DPIA dla operacji wysokiego ryzyka.

6. Geolokalizacja pojazdów i pracowników terenowych

Geolokalizacja jest monitoringiem w rozumieniu art. 22^3^ KP. Wymaga: niezbędności (cel: bezpieczeństwo, organizacja pracy, ochrona mienia), proporcjonalności (tylko czas pracy, tylko pojazdy służbowe), informacji pracownikom, DPIA. Wykorzystanie GPS pojazdu pracownika dla celów dyscyplinarnych wymaga uprzedniej informacji.

7. Wynagrodzenia i ZUS/PIT

Dane do ZUS i US — obowiązek prawny (art. 6 ust. 1 lit. c). Zakres: określony przepisami (PESEL, członkowie rodziny, kody zawodów, składki, podatek). Wewnątrz firmy dostęp do listy płac — wyłącznie wskazane osoby (HR, księgowość, ograniczone kierownictwo). Publikacja list płac na tablicy = poważne naruszenie.

8. Dokumentacja pracownicza — retencja

Kategoria Okres
Akta osobowe (umowa po 2019) 10 lat od końca roku zakończenia stosunku
Akta osobowe (umowa do 2018) 50 lat
Listy płac jak akta osobowe
Ewidencja czasu pracy 10 lat (umowy po 2019)
Wnioski urlopowe 10 lat
Świadectwa pracy jak akta
BHP, zdrowie zgodnie z przepisami szczególnymi

9. RODO przy zwolnieniu pracownika

Po zakończeniu stosunku pracy: konto e-mail wyłączyć w 30 dni (z auto-odpowiedzią), dostępy systemowe odebrać natychmiast, służbowy telefon zwrócić, dane na prywatnych nośnikach — usunąć. Pracodawca może wyłączyć skrzynkę i przekierować ważne wiadomości — ale nie czytać prywatnej korespondencji.

10. Prawa pracownika na podstawie RODO

Pracownik ma prawa z art. 12-22 RODO:

  • Dostęp — kopia akt osobowych w 30 dni.
  • Sprostowanie — aktualizacja danych.
  • Usunięcie — ograniczone (retencja prawna).
  • Ograniczenie przetwarzania.
  • Sprzeciw — wobec interesu uzasadnionego.
  • Przenoszenie — dla niektórych danych w formie elektronicznej.

Wnioski rozpatrywane przez HR, z konsultacją IOD/Koordynatora.

11. ZFŚS — Zakładowy Fundusz Świadczeń Socjalnych

ZFŚS wymaga danych o sytuacji życiowej, rodzinnej, materialnej pracownika i jego rodziny — dane szczególnych kategorii. Podstawa: ustawa o ZFŚS + Kodeks pracy art. 8 ust. 2. Klauzula informacyjna dla pracownika i członków rodziny. Komisja socjalna — z poufnością. Decyzje udokumentowane, nie publikowane.

12. Plan zgodności HR

  • RCP z czynnościami: rekrutacja, zatrudnienie, BHP, ZFŚS, monitoring.
  • Klauzule informacyjne: rekrutacja, pracownik, członkowie rodziny.
  • DPIA dla monitoringu wizyjnego i geolokalizacji.
  • Regulamin pracy z procedurą monitoringu.
  • Polityka korzystania ze sprzętu służbowego.
  • Procedura wniosków pracowniczych RODO.
  • Szkolenie HR + kadry zarządcze.
  • Audyt akt osobowych raz w roku. Zobacz GDPR employees.

13. Sprawy enforcement HR i pracownicze 2022-2025

UODO sankcjonował: spółkę logistyczną (2023, 120 tys. zł) za nieproporcjonalny monitoring GPS pojazdów po godzinach pracy bez podstawy; sieć handlową (2024, 80 tys. zł) za monitoring wizyjny w pomieszczeniach socjalnych i toaletach; biuro projektowe (2023, 50 tys. zł) za zbieranie zdjęć i danych rodzinnych kandydatów; spółkę produkcyjną (2024, 240 tys. zł) za biometryczną kontrolę dostępu bez DPIA i wyraźnej zgody; agencję pracy tymczasowej (2025, 180 tys. zł) za przechowywanie CV ponad 3 lata bez podstawy; firmę IT (2024, 60 tys. zł) za publikację imion i nazwisk zwolnionych pracowników w mailingu wewnętrznym. Główny Inspektor Sanitarny (2024) — upomnienie za naruszenie danych kadrowych. P4 sp. z o.o. (operator Play) — kara za niewłaściwy monitoring konsultantów telefonicznych. UODO publikuje wytyczne sektorowe dla pracodawców, ostatnia aktualizacja 2024 r. Patrz Kary UODO 2025.

14. Przecięcie z Kodeksem pracy i sankcje

Naruszenia RODO w obszarze HR mogą skutkować podwójną odpowiedzialnością: UODO (kary do 10 mln EUR / 2% obrotu) + sąd pracy (powództwa pracowników na podstawie art. 18^3a^ KP lub art. 94^3^ KP — mobbing, dyskryminacja, naruszenie dóbr osobistych) + PIP (kontrola Państwowej Inspekcji Pracy). Pracownik poszkodowany ma trzy ścieżki: skarga do UODO, pozew cywilny (art. 82 RODO + art. 23-24 KC dla dóbr osobistych), pozew do sądu pracy. Wyrok TSUE C-300/21 Österreichische Post potwierdza, że odszkodowanie wymaga wykazania szkody, ale nie ma progu de minimis. Polskie sądy pracy zasądzają coraz wyższe odszkodowania za naruszenia RODO — w 2024 r. zanotowano wyrok 25 tys. zł dla pracownika za nieuzasadniony monitoring. Strategia obrony pracodawcy: dokumentacja konsultacji z pracownikami (protokół), klauzula informacyjna podpisana przez każdego pracownika, regulamin pracy z procedurą monitoringu, DPIA dla operacji wysokiego ryzyka, szkolenia kadry zarządzającej. Patrz RODO Art. 5 zasady, RODO Art. 32 bezpieczeństwo, umowa powierzenia wzór.

FAQ

Czy mogę żądać kopii dowodu osobistego od pracownika?

Tylko gdy wymaga tego przepis (np. niektóre stanowiska wymagające weryfikacji tożsamości). Standardowe stanowisko — wystarczy okazanie do weryfikacji, bez kopii.

Czy mogę monitorować e-maile służbowe pracownika?

Tak, na podstawie art. 22^3^ KP — po konsultacji, informacji w regulaminie, z poszanowaniem prywatności (nie czytamy prywatnej korespondencji oznaczonej jako prywatna).

Czy CV w skrzynce e-mail po roku to naruszenie?

Tak, jeśli nie ma podstawy (kandydat nie zgodził się na dalsze rekrutacje). UODO sankcjonował firmy za bezterminowe przechowywanie CV.

Czy zdjęcie pracownika na intranecie wymaga zgody?

Tak, zgody (dobrowolnej). Pracodawca nie może traktować zdjęcia jako obowiązku służbowego. Brak zgody — bez zdjęcia, bez konsekwencji.

Co z danymi pracowników w grupie kapitałowej?

Przekazywanie danych do spółki matki/siostrzanej wymaga podstawy: interes uzasadniony grupy (z LIA), zgoda pracownika, lub umowa o transferze danych w grupie (BCR). Klauzula informacyjna musi wskazywać odbiorców.

Czy mogę używać systemu biometrycznego do kontroli czasu pracy?

Tylko w wyjątkowych przypadkach. UODO konsekwentnie sankcjonuje biometryczne systemy ewidencji (odcisk palca, geometria ręki, rozpoznawanie twarzy) jako nieproporcjonalne — alternatywą są karty zbliżeniowe lub kody. Wymaga: wyraźnej zgody pracownika (dobrowolnej, z możliwością alternatywy bez konsekwencji), DPIA, konsultacji z reprezentacją pracowniczą, ograniczenia retencji wzorca biometrycznego (zwykle pseudonimizacja). Spółka produkcyjna w Polsce otrzymała w 2024 r. karę 240 tys. zł za biometryczną kontrolę dostępu bez DPIA i bez prawdziwej alternatywy dla pracowników odmawiających.

Jak postępować z pracownikiem w trakcie zwolnienia lekarskiego?

L4 nie zwalnia z RODO. Pracodawca ma prawo do informacji o nieobecności, ale nie do diagnozy ani szczegółów leczenia. Komunikacja z pracownikiem na L4 dozwolona w niezbędnym zakresie (administracyjnym), kontakt nadmierny może być uznany za naruszenie dóbr osobistych. Dostęp do akt pracownika na L4 — wyłącznie dla HR i kadry zarządzającej z uzasadnieniem. Po powrocie z długotrwałego L4 (powyżej 30 dni) pracodawca może żądać badania kontrolnego (KP art. 229) — wynik szczegółowy nie trafia do akt, tylko orzeczenie o zdolności do pracy.

Czy AI w rekrutacji (CV screening) wymaga DPIA?

Tak, bezwarunkowo. AI w rekrutacji łączy: automatyczne decyzje (art. 22 RODO), profilowanie (art. 4 RODO), potencjalną dyskryminację (art. 5 ust. 1 lit. a — rzetelność), nową technologię (kryterium DPIA z WP248). Wymaga: DPIA + FRIA (AI Act), wyraźnej informacji dla kandydatów, prawa do interwencji człowieka, regularnego audytu pod kątem bias, dokumentacji datasetu treningowego. AI Act klasyfikuje systemy rekrutacyjne jako “wysokiego ryzyka” (Załącznik III pkt 4). UODO i EROD wydały wspólne wytyczne dotyczące AI w HR (2024).

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →