KarieraPrawo

CV bez klauzuli RODO – dlaczego rekruterzy odrzucają takie aplikacje?

Filip Luchowski
przez
Filip Luchowski
przezFilip Luchowski
Redaktor zatoki biznesu
Filip Luchowski jest analitykiem finansowym w warszawskim oddziale międzynarodowej firmy doradczej. Ukończył Szkołę Główną Handlową w Warszawie na kierunku Finanse i Rachunkowość, a w ramach programu...
Follow:
- Redaktor zatoki biznesu
18 min. czytania
Pracownik prezentujący projekt wideo w domu w pobliżu Kobieta na wirtualnym spotkaniu

Niniejsza analiza ujawnia istotny rozdźwięk między wymaganiami prawnymi ogólnego rozporządzenia o ochronie danych (RODO/GDPR) a realnymi praktykami rekrutacyjnymi w Polsce i w całej Unii Europejskiej. Choć wielu rekruterów automatycznie odrzuca CV bez wyraźnej klauzuli zgody na przetwarzanie danych, podstawa prawna takiego postępowania jest sporna wśród ekspertów i organów nadzorczych.

Spis treści

Rzeczywistość wynika z połączenia formalnych obowiązków prawnych, praktyk zarządzania ryzykiem w organizacjach oraz utrwalonych mitów na temat wymagań RODO w rekrutacji. Zrozumienie przyczyn tego rozdźwięku wymaga wnikliwej analizy zarówno przepisów, jak i praktyki współczesnych procesów rekrutacyjnych.

Klauzula RODO – definicja, cel i kontekst prawny

Czym jest klauzula RODO w rekrutacji

Klauzula RODO, zwana też klauzulą zgody na przetwarzanie danych lub oświadczeniem zgodnym z GDPR/RODO, to krótka formuła umieszczana zwykle na dole życiorysu, w której kandydat wyraźnie oświadcza zgodę na przetwarzanie swoich danych osobowych przez potencjalnego pracodawcę.

Przykładowe proste brzmienie często stosowane przez kandydatów:

„Wyrażam zgodę na przetwarzanie moich danych osobowych przez [nazwa firmy] w celu przeprowadzenia procesu rekrutacji na stanowisko, na które aplikuję, zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) i obowiązującymi przepisami o ochronie danych osobowych”.

Bardziej rozbudowane wersje odwołują się do konkretnych przepisów RODO (rozporządzenie 2016/679), w tym do art. 6, który określa podstawy prawne przetwarzania danych.

Kontekst historyczny jest kluczowy dla zrozumienia dzisiejszych niejasności. Przed 25 maja 2018 r., kiedy zaczęło obowiązywać RODO, polscy pracodawcy działali na podstawie dawnej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, w której wyraźna zgoda w CV była standardowym wymaganiem prawnym. Po wejściu w życie RODO krajobraz prawny zasadniczo się zmienił, lecz wiele firm i specjalistów HR mechanicznie utrzymało dawną praktykę, nie w pełni rozumiejąc nową logikę przepisów. To, co kiedyś było koniecznością prawną, w wielu organizacjach stało się nawykiem lub elementem wewnętrznej zgodności – mimo że podstawa prawna uległa zmianie.

Kredyt za darmo? Jak działa sankcja kredytu darmowego PKO BP i innych bankach
Odszkodowanie z ZUS za uszczerbek na zdrowiu – jak ubiegać się o świadczenie?
Czy wrócą niedziele handlowe? Opinie branży i plany ustawodawcy
Rozwój firmy a prawo – jak skalować biznes bez ryzyka prawnego?

Celem włączenia takiej klauzuli do CV jest teoretycznie zapewnienie pracodawcy jasnej podstawy prawnej do przetwarzania danych kandydata zawartych w dokumentach aplikacyjnych. Kandydat rzekomo udziela zgody na wgląd, analizę i wykorzystanie informacji z CV w celach rekrutacyjnych. Coraz częściej jednak podkreśla się, że zgoda nie jest główną podstawą prawną przetwarzania danych w typowych sytuacjach rekrutacyjnych.

Struktura i umiejscowienie klauzuli RODO

W praktyce zawodowej utrwaliło się, by umieszczać klauzulę RODO na samym dole CV, nieraz mniejszą czcionką. Służy to oddzieleniu treści merytorycznych od oświadczenia prawnego i zachowaniu czytelności dokumentu. Niektórzy kandydaci umieszczają ją w stopce, podobnie jak numery stron.

Oto przykłady często spotykanych wariantów, które ilustrują różne zakresy zgody:

„Wyrażam zgodę na przetwarzanie moich danych osobowych do celów rekrutacji w [nazwa firmy]”.

„Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (RODO).”

„Wyrażam zgodę na przetwarzanie moich danych osobowych przez [nazwa firmy] na potrzeby bieżącej rekrutacji oraz przyszłych procesów rekrutacyjnych prowadzonych przez [nazwa firmy].”.

To rozróżnienie jest kluczowe, bo podstawa prawna przetwarzania danych w bieżącej rekrutacji różni się od podstawy niezbędnej do ich dalszego przechowywania do przyszłych celów.

Rzeczywiste ramy prawne – co RODO faktycznie wymaga

Artykuł 6 RODO i art. 22(1) kodeksu pracy – rzeczywiste podstawy prawne rekrutacji

Źródłem nieporozumień wokół obowiązku klauzuli RODO jest mylne rozumienie tego, co ustanawia art. 6 RODO jako podstawy zgodnego z prawem przetwarzania. Poniżej uporządkowane zestawienie możliwych podstaw:

  • zgoda (art. 6 ust. 1 lit. a) – wyraźne, dobrowolne oświadczenie woli osoby, której dane dotyczą;
  • umowa/działania przedumowne (lit. b) – niezbędność do zawarcia lub wykonania umowy albo działań podjętych na żądanie przed jej zawarciem;
  • obowiązek prawny (lit. c) – niezbędność do wypełnienia obowiązku ciążącego na administratorze;
  • żywotne interesy (lit. d) – ochrona życia lub zdrowia osoby fizycznej;
  • zadanie publiczne (lit. e) – wykonywanie zadania realizowanego w interesie publicznym lub w ramach władzy publicznej;
  • prawnie uzasadniony interes (lit. f) – interes administratora lub strony trzeciej, z poszanowaniem praw i wolności osoby, której dane dotyczą.

Polskie prawo pracy, a konkretnie art. 22(1) kodeksu pracy, wyraźnie pozwala pracodawcy żądać określonych informacji od kandydata: imienia i nazwiska, daty urodzenia, danych kontaktowych wskazanych przez kandydata, wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia. Ponieważ te dane są wymagane przez prawo, podstawą ich przetwarzania jest art. 6 ust. 1 lit. c RODO (niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze). Oznacza to, że pracodawca nie potrzebuje zgody kandydata, aby zgodnie z prawem przetwarzać te dane.

To rozróżnienie jest kluczowe. Jeśli CV zawiera wyłącznie dane wymagane przez kodeks pracy, pracodawca ma podstawę do ich przetwarzania bez jakiejkolwiek klauzuli zgody. Podstawą nie jest zgoda kandydata, lecz ustawowy obowiązek pracodawcy – z czysto prawnego punktu widzenia klauzula RODO nie jest konieczna do rozpatrzenia takiego CV.

Sytuacja jest subtelniejsza, gdy kandydat dodaje informacje wykraczające poza minimum ustawowe (np. zainteresowania, działalność wolontariacką, dodatkowe umiejętności językowe, certyfikaty czy inne osiągnięcia). Wtedy ujawnia je dobrowolnie. Podstawą przetwarzania może być tu „działanie wyraźnie potwierdzające” wolę udostępnienia danych – sam fakt ich przekazania może stanowić implicite zgodę w rozumieniu RODO. W takim wypadku formalna klauzula pisemna nie musi być niezbędna, choć z perspektywy dowodowej wzmacnia pozycję pracodawcy.

Dla łatwiejszej orientacji w tym, kiedy zgoda jest potrzebna, a kiedy nie – porównanie typowych scenariuszy:

Kontekst Podstawa prawna Czy wymagana zgoda Uwagi
Bieżąca rekrutacja – dane wymagane przez art. 22(1) k.p. obowiązek prawny (art. 6 ust. 1 lit. c RODO) Nie pracodawca może przetwarzać bez klauzuli zgody
Bieżąca rekrutacja – dane dodatkowe przekazane dobrowolnie zgoda dorozumiana / działanie potwierdzające Nie zawsze pisemna zgoda wzmacnia dowodowo, ale zwykle nie jest konieczna
Przechowywanie CV na przyszłe rekrutacje zgoda (art. 6 ust. 1 lit. a RODO) Tak wymagana odrębna, jednoznaczna zgoda na przyszłe nabory
Szczególne kategorie danych (np. zdrowie) wyjątki z art. 9 RODO, w tym wyraźna zgoda Najczęściej tak co do zasady przetwarzanie zabronione bez spełnienia przesłanek z art. 9

Różnica – kiedy zgoda rzeczywiście jest wymagana

Wyraźna zgoda staje się faktycznie konieczna przy przetwarzaniu danych do potrzeb przyszłych rekrutacji. Po zakończeniu procesu bieżącej rekrutacji podstawa prawna przetwarzania i przechowywania danych wygasa. Jeśli pracodawca chce zachować CV w bazie na poczet przyszłych naborów, musi uzyskać odrębną, jednoznaczną zgodę kandydata – stąd znaczenie rozszerzonej klauzuli obejmującej „przyszłe procesy rekrutacyjne”.

Jeszcze surowsze reguły dotyczą szczególnych kategorii danych. Najczęściej wymienia się:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • wyznanie lub światopogląd,
  • przynależność związkową,
  • dane genetyczne,
  • dane biometryczne wykorzystywane do identyfikacji,
  • dane o zdrowiu,
  • życie seksualne,
  • orientację seksualną.

Co do zasady przetwarzanie takich danych jest zabronione, chyba że zachodzi ściśle określony wyjątek; jedną z niewielu dopuszczalnych podstaw jest wyraźna zgoda. W rekrutacji ani pracodawca, ani kandydat nie powinni ich zamieszczać bez wyraźnej i legalnej przyczyny. Jeśli jednak takie dane trafią do CV, nie można polegać na zgodzie dorozumianej – potrzebna jest odrębna, udokumentowana, jednoznaczna zgoda.

Rozdźwięk – wymagania prawne a praktyka rekrutacyjna

Dlaczego rekruterzy odrzucają CV bez wyraźnej klauzuli

Mimo że analiza przepisów sugeruje, iż wyraźna zgoda nie jest konieczna dla danych wymaganych prawem w bieżącej rekrutacji, większość pracodawców i rekruterów nadal odrzuca CV bez takiej klauzuli – często już na etapie wstępnej selekcji. Wynika to z połączenia zarządzania ryzykiem oraz wdrożonych wewnętrznych procedur zgodności, które często wykraczają poza minimum ustawowe. Najczęstsze przyczyny to:

  • kultura compliance i minimalizacja ryzyka – wielu pracodawców przyjmuje zasadę „zgoda na wszystko”, bo łatwiej ją udokumentować i obronić w razie kontroli;
  • automatyzacja w ATS – systemy ATS (Applicant Tracking Systems) bywają konfigurowane tak, by automatycznie odrzucać dokumenty bez klauzuli RODO;
  • inercja organizacyjna – utrwalone przed RODO procedury, szablony i szkolenia wciąż wymuszają dodawanie klauzul.

Wielu pracodawców przyjmuje zasadę „zgoda na wszystko”, bo łatwiej ją udokumentować i obronić w razie kontroli – nawet jeśli prawo dopuszcza inne podstawy przetwarzania. Organy ochrony danych podkreślają, że ciężar dowodu zgodności spoczywa na administratorze. Z perspektywy organizacji posiadanie jednoznacznej, pisemnej zgody ogranicza spory o legalność przetwarzania.

ATS bywa konfigurowany tak, by automatycznie odrzucać dokumenty bez klauzuli RODO, co – choć ponad miarę restrykcyjne – spełnia cel zgodności operacyjnej. Zmiana wymaga świadomej rewizji prawnej i decyzji zarządczych – których wiele firm dotąd nie podjęło.

Rola działów compliance w organizacjach

Działy prawne i compliance z natury przyjmują ostrożne interpretacje. Choć RODO pozwala przetwarzać dane wymagane prawem na podstawie obowiązku prawnego, specjaliści ds. zgodności wolą dodatkową „poduszkę” dowodową w postaci zgody, bo koszt jej pozyskania jest niski względem ryzyka sankcji.

Poza tym zespoły te muszą wykazać aktywne zarządzanie ryzykiem. Wymóg klauzul RODO w każdym CV to widoczny, mierzalny przejaw „należytej staranności”. Z kolei oparcie się wyłącznie na argumentacji prawnej bez materialnych dowodów (jak zgoda) jest trudniejsze do zaprezentowania w audycie.

Dodatkowo wiele organizacji wprowadziło wewnętrzne polityki przetwarzania danych, które przewidują zgodę jako standard niezależnie od dostępności innych podstaw. HR ma obowiązek je stosować, a szkolenia utrwalają przekaz „każda aplikacja musi zawierać klauzulę”.

Najczęstsze nieporozumienia i źródła konfuzji

Mit, że klauzule RODO są prawnie obowiązkowe

Jednym z najbardziej utrwalonych mitów jest przekonanie, że klauzula RODO jest obowiązkowa w każdym CV. Tak twierdzą liczne portale, szablony i poradniki. W rzeczywistości – co potwierdzają eksperci oraz wytyczne UODO – w wielu wypadkach podstawą przetwarzania nie jest zgoda, lecz obowiązek prawny (art. 6 ust. 1 lit. c RODO) w powiązaniu z art. 22 kodeksu pracy.

Gdy pracodawca przetwarza wyłącznie dane wymagane przez art. 22 kodeksu pracy, nie potrzebuje zgody kandydata. Wymaganie klauzuli tam, gdzie nie jest konieczna, bywa próbą przerzucenia odpowiedzialności administratora na kandydata. Jak zauważają niektórzy prawnicy, „klauzula RODO w CV nie jest obligatoryjna, a w istocie stoi w sprzeczności z logiką przepisów, skoro podstawą jest obowiązek prawny, a nie zgoda”.

Problem alokacji odpowiedzialności

Na gruncie RODO odpowiedzialność za legalność przetwarzania spoczywa na administratorze (pracodawcy), który określa cele i sposoby przetwarzania. To on ma spełnić obowiązek informacyjny wobec kandydata (tzw. klauzula informacyjna), wskazując zakres, cele, podstawę i prawa osoby, której dane dotyczą – np. w ogłoszeniu lub formularzu.

W praktyce wielu pracodawców próbuje przesunąć część tej odpowiedzialności na kandydatów, żądając, by to oni dokładali do CV klauzulę zgody. Prawnicy coraz częściej piętnują to jako odwrócenie logiki przepisów i rekomendują, by kandydaci domagali się realizacji obowiązku informacyjnego przez pracodawcę, zamiast zastępować go treścią w CV.

Ewolucja rozumienia – od wdrożenia RODO do dziś

Po wejściu w życie RODO w 2018 r. panowała realna niepewność, jak stosować je w rekrutacji. Z czasem – wraz z orzecznictwem, wytycznymi UODO i analizami doktryny – stało się jasne, że wyraźna zgoda nie jest uniwersalnie wymagana, a często istnieją alternatywne podstawy przetwarzania.

Mimo to praktyka organizacyjna zmienia się wolno. Gdy raz wdrożono wymóg klauzul, szablony, szkolenia i konfiguracje ATS utrwaliły go na lata. Część organizacji, nawet rozumiejąc, że nie potrzebuje zgody, utrzymuje ją z powodów dowodowych i zarządzania ryzykiem.

Praktyczne konsekwencje dla kandydatów

Realny wpływ odrzucania za brak klauzuli

Skutki rozdźwięku między prawem a praktyką są dla kandydatów natychmiastowe: brak klauzuli RODO w CV często oznacza automatyczne odrzucenie – nierzadko zanim dokument zobaczy człowiek. Dzieje się to zwykle na etapie filtracji przez systemy ATS, które wychwytują brak określonego fragmentu tekstu, niezależnie od kwalifikacji kandydata.

Skala zjawiska jest duża. W 2024 r. opublikowano analizę dotyczącą praktyk RODO w rekrutacji, z której wynika, że tylko około 58% kandydatów zamieszcza w CV klauzule zgody, a wiele z nich nie jest dopasowanych do konkretnego pracodawcy. Oznacza to, że znaczna część kandydatów jest odrzucana z powodów, które nie wynikają wprost z prawa, lecz stały się de facto standardem rynkowym.

Szczególnie poszkodowane mogą być osoby starsze i kandydaci spoza UE, którzy mogą nie znać niuansów RODO i lokalnych praktyk, przez co ich aplikacje są systemowo eliminowane.

Dylemat kandydatów działających zgodnie z prawem

Powstaje paradoks: kandydat, który wie, że w bieżącej rekrutacji zgoda nie jest prawnie wymagana, i nie zamieszcza klauzuli, postępuje zgodnie z prawem – lecz w praktyce zwiększa ryzyko odrzucenia. Z kolei dodanie klauzuli – choć często zbędne prawnie i przerzucające akcent odpowiedzialności – znacząco poprawia szanse przejścia wstępnej selekcji.

W efekcie nawet kandydaci świetnie zorientowani w przepisach wybierają pragmatyzm i umieszczają klauzulę „na wszelki wypadek”, bo koszt potencjalnego odrzucenia jest zbyt wysoki wobec korzyści z dalszego udziału w procesie.

Droga naprzód – możliwe zmiany praktyki i rozwoju prawa

Pojawiające się wyzwania prawne wobec tego wymogu

Część prawników i kandydatów zaczyna kwestionować wymóg klauzul, wskazując, że organizacje, które systemowo odrzucają aplikacje bez klauzul, mimo że nie potrzebują ich do przetwarzania danych wymaganych prawem, mogą działać wbrew literze i duchowi RODO (w tym zasadzie równego traktowania).

Pada też argument, że żądanie zgody tam, gdzie dostępne są inne podstawy, jest formą „przenoszenia regulacji” na jednostkę. W miarę jak organy ochrony danych doprecyzowują wytyczne, rośnie presja, by pracodawcy rzetelnie realizowali obowiązek informacyjny w ogłoszeniach i formularzach zamiast wymagać od kandydatów dodawania klauzul do CV.

Rola kultury organizacyjnej i reputacji pracodawcy

Młodsi kandydaci, wychowani już w realiach RODO, coraz częściej postrzegają wymóg zbędnych zgód jako oznakę słabej kultury zgodności. Firmy, które jasno komunikują zasady przetwarzania (poprzez właściwą klauzulę informacyjną), spełniają własne obowiązki i nie wymagają niepotrzebnych oświadczeń, zyskują reputacyjnie i łatwiej przyciągają talenty – zwłaszcza w branżach konkurencyjnych.

Wraz z rosnącym znaczeniem sztucznej inteligencji i automatyzacji decyzji w HR odpowiedzialne i transparentne praktyki ochrony danych stają się elementem przewagi konkurencyjnej. Organizacje, które racjonalizują wymagania i opierają się na solidnych podstawach prawnych, będą postrzegane jako dojrzalsze i bardziej godne zaufania.

Wnioski – jak pogodzić wymagania prawne z oczekiwaniami praktyki

Z prawnego punktu widzenia wyraźne klauzule zgody nie są uniwersalnie potrzebne do przetwarzania podstawowych danych wymaganych przez art. 22 kodeksu pracy, bo podstawą jest obowiązek prawny (art. 6 ust. 1 lit. c RODO), a nie zgoda kandydata. Z perspektywy praktyki wiele firm nadal jednak wymaga klauzul, by wzmocnić pozycję dowodową i wypełnić wyśrubowane standardy wewnętrznej zgodności.

Do czasu szerszej zmiany praktyk rynkowych i/lub wyraźniejszej egzekucji przez organy nadzorcze pragmatyczna rekomendacja dla kandydatów brzmi: dołącz do CV wyraźną klauzulę RODO, aby zminimalizować ryzyko automatycznego odrzucenia.

Dla pracodawców rosnąca dojrzałość interpretacyjna przepisów to szansa na racjonalizację procesów: rzetelnie realizować obowiązek informacyjny w ogłoszeniach i formularzach, opierać przetwarzanie bieżących danych na właściwych podstawach (głównie obowiązku prawnym i działaniach przedumownych), a zgodę zastrzec dla przyszłych rekrutacji i szczególnych kategorii danych. To upraszcza rekrutację i poprawia kulturę zgodności.

Szerzej rzecz ujmując, zgodność z RODO w rekrutacji to nadal obszar z wieloma nieporozumieniami i luką między literą prawa a praktyką. Z czasem – wraz z rozwojem orzecznictwa, wytycznych i świadomości organizacyjnej – praktyki powinny lepiej odzwierciedlać realne wymagania przepisów. Do tego czasu warto rozumieć, że wymaganie klauzuli w CV częściej wynika z praktycznych oczekiwań rynku niż z bezwzględnej konieczności prawnej.

ZOBACZ:

Podziel się artykułem
przezFilip Luchowski
Redaktor zatoki biznesu
Follow:
Filip Luchowski jest analitykiem finansowym w warszawskim oddziale międzynarodowej firmy doradczej. Ukończył Szkołę Główną Handlową w Warszawie na kierunku Finanse i Rachunkowość, a w ramach programu Erasmus studiował również na University of Amsterdam. Specjalizuje się w modelowaniu finansowym dla sektora nowych technologii, gdzie łączy wiedzę ekonomiczną z pasją do innowacji. Po godzinach wspiera młode start-upy jako mentor w inkubatorze przedsiębiorczości.
Poprzedni Caroler Pracownik sezonowy w świątecznym poranku abstrakcyjny projekt Roshen właściciel – kim jest Petro Poroszenko i jak zarządza gigantem słodyczy?
Następny Bzines Elektroniczny Obieg Dokumentów – co to jest i dlaczego warto go wdrożyć
Brak komentarzy

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Najnowsze

Magazyn
Biznes

System do inwentaryzacji – jak usprawnić kontrolę stanów magazynowych w firmie? 

4 min. czytania
Zbuduj karierę Sekretarka w biurze Pracująca para biznesowa Para w biurze Rozłóż zobowiązania i zorganizuj zespół pracy Szef kierownika Dyrektor Raport biznesowy Udany biznes Mężczyzna i kobieta
KarieraPrawo

Czy po stażu pracodawca musi mnie zatrudnić? Zasady współpracy z Urzędem Pracy

10 min. czytania
Młoda kobieta na leżaku przy basenie, pracując na komputerze przenośnym podłączonym do bezprzewodowego internetu, wpisując tekst na klawiszach w letnim kurorcie
BiznesPrawo

Urlop na B2B w kontrakcie – jak zabezpieczyć prawo do wypoczynku?

12 min. czytania
LLM
Marketing

Pozycjonowanie w LLM – jak zadbać o widoczność marki w odpowiedziach AI?

8 min. czytania

Możesz również przeczytać

Środkowa sekcja bizneswoman zwolnienie biznesmena w biurze
BiznesPrawo

Zmiana nazwy JDG – jak formalnie przeprowadzić rebranding firmy?

14 min. czytania
Młoda kobieta czytająca notatki
FinansePrawo

550 zł dla sierot zupełnych – jak złożyć wniosek o dodatek z ZUS?

9 min. czytania
Widok z przodu ładnej kobiety kładącej rękę na brodzie podczas pracy w biurze
FinansePrawo

Ile może zabrać komornik z pensji? Kwota wolna od zajęcia w umowie o pracę

9 min. czytania
Środkowa sekcja mężczyzny dającego kobiecie papierową walutę, stojąc na lądzie
BiznesPrawo

CEIDG a KRS różnice – gdzie zarejestrować swoją formę działalności?

10 min. czytania
Czytaj więcej