TL;DR: Tak, możesz przechowywać CV kandydatów dłużej niż na czas jednej rekrutacji, ale wymaga to żelaznej dyscypliny proceduralnej. Najnowsze orzecznictwo daje Ci silny argument do retencji tych danych nawet przez trzy lata, jednak Prezes Urzędu Ochrony Danych Osobowych wciąż może ocenić Twoje działania inaczej. Kluczem do bezpieczeństwa jest posiadanie udokumentowanej podstawy prawnej – świadomej zgody kandydata lub precyzyjnie przeprowadzonego testu Twojego uzasadnionego interesu.
Jak długo można przechowywać CV po rekrutacji?
Każde CV, które ląduje w Twojej skrzynce mailowej lub systemie ATS, to zbiór danych osobowych, a Ty, jako pracodawca, stajesz się ich administratorem. To potężna rola, która wiąże się z ogromną odpowiedzialnością. Rozporządzenie o Ochronie Danych Osobowych (RODO) nie podaje sztywnego terminu, np. 90 dni, na przechowywanie aplikacji.
Zamiast tego wprowadza nadrzędną zasadę ograniczenia czasowego, która mówi, że dane można przetwarzać tylko tak długo, jak jest to niezbędne do celu, w którym zostały zebrane.
Aby zrozumieć, jak ta zasada działa w praktyce, musimy precyzyjnie rozdzielić dwie fundamentalnie różne sytuacje. Pierwsza to przetwarzanie danych w trakcie trwającego procesu rekrutacyjnego. Tutaj Twoją podstawą prawną jest przede wszystkim art. 22¹ Kodeksu Pracy w połączeniu z art. 6 ust. 1 lit. c RODO, ponieważ prawo nakłada na Ciebie obowiązek pozyskania określonych informacji od kandydata. Działasz również w oparciu o art. 6 ust. 1 lit. b RODO, podejmując kroki niezbędne do potencjalnego zawarcia umowy. Ten etap kończy się jednak wraz z formalnym zamknięciem rekrutacji – momentem, w którym zatrudniasz wybraną osobę lub informujesz pozostałych o zakończeniu procesu.
Druga sytuacja, znacznie bardziej złożona, to przetwarzanie danych po zakończeniu rekrutacji, z myślą o przyszłych wakatach. W tym momencie pierwotny cel przetwarzania wygasł. Aby legalnie zachować CV w swojej bazie talentów, musisz oprzeć się na jednej z dwóch odrębnych podstaw prawnych: albo na dobrowolnej i świadomej zgodzie kandydata, albo na swoim prawnie uzasadnionym interesie. To właśnie na tym polu od lat toczy się kluczowy spór, który definiuje strategię zarządzania danymi w działach HR.
Sprawdź również: Czy rekrutacja z wykorzystaniem AI jest legalna?
Spór pomiędzy UODO i Sądami Administracyjnymi
Przez lata działy HR w Polsce funkcjonowały w stanie prawnej niepewności. Z jednej strony intuicja biznesowa podpowiadała, że budowanie bazy wartościowych kandydatów jest kluczowe, z drugiej – nad działami HR unosiło się widmo rygorystycznej interpretacji przepisów przez Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Tradycyjne i niezwykle ostrożne stanowisko Prezesa UODO opierało się na założeniu, że po zakończeniu rekrutacji cel przetwarzania danych definitywnie wygasa. Jedyną furtką do dalszego przechowywania CV była jednoznaczna, dobrowolna zgoda kandydata. Bez niej, aplikacje powinny być niezwłocznie usuwane. Każde inne działanie organ nadzorczy uznawał za potencjalne naruszenie.
Jednak tę konserwatywną wykładnię zaczęły przełamywać sądy administracyjne, które wsłuchały się w argumentację pracodawców. Przełom nastąpił wraz z wyrokami Wojewódzkiego Sądu Administracyjnego, a zwłaszcza z kluczowym orzeczeniem Naczelnego Sądu Administracyjnego z lutego 2024 roku (sygn. III OSK 2700/22). NSA orzekł, że pracodawca ma prawo przechowywać dane kandydatów, którzy nie zostali zatrudnieni, przez okres niezbędny do obrony przed ewentualnymi roszczeniami, na przykład o dyskryminację w procesie rekrutacji.
Okres ten, wynikający z Kodeksu pracy, wynosi do 3 lat. Sąd uznał, że takie działanie mieści się w ramach prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) i nie wymaga pozyskiwania odrębnej zgody. Orzeczenie to stanowi potężny argument w rękach firm, ale nie jest uniwersalnym immunitetem.
Ścieżka 1: Przechowywanie CV na podstawie zgody kandydata
Zgoda pozostaje złotym standardem przetwarzania danych – jest najbezpieczniejszą i najbardziej transparentną podstawą prawną. Jest absolutnie niezbędna, gdy chcesz przechowywać CV kandydata nie w celu obrony przed roszczeniami, ale z myślą o aktywnym wykorzystaniu go w innych, przyszłych procesach rekrutacyjnych. To fundamentalna różnica.
Aby zgoda była ważna w świetle RODO, musi być dobrowolna, konkretna, świadoma i jednoznaczna. Zapomnij o ukrytych checkboxach czy domyślnie zaznaczonych polach. Kandydat musi wykonać aktywne działanie, potwierdzając, że rozumie, na co i na jak długo się zgadza. Prawidłowo sformułowana klauzula RODO powinna być integralną częścią Twojego formularza aplikacyjnego.
Jako wzór podstawowej klauzuli, niezbędnej do przeprowadzenia bieżącej rekrutacji, możesz potraktować następującą formułę: „Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w dokumentach aplikacyjnych przez [Nazwa Firmy] w celu przeprowadzenia obecnego postępowania rekrutacyjnego”. Pamiętaj jednak, że taka zgoda jest jednorazowa.
Jeśli chcesz budować bazę talentów, potrzebujesz wzoru rozszerzonego, który jasno komunikuje ten cel, na przykład: „Wyrażam dobrowolną zgodę na przetwarzanie moich danych osobowych zawartych w CV przez [Nazwa Firmy] również na potrzeby przyszłych procesów rekrutacyjnych prowadzonych w okresie najbliższych [np. 24 miesięcy]”.
Pamiętaj, aby zawsze poinformować kandydata o jego prawie do wycofania zgody w dowolnym momencie. Zanim jednak skopiujesz powyższe wzory, skonsultuj ich ostateczne brzmienie ze swoim prawnikiem, aby idealnie dopasować je do procesów w Twojej firmie.
Ścieżka 2: Przechowywanie CV na podstawie „uzasadnionego interesu”
Orzeczenie NSA otworzyło przed firmami nową, potężną możliwość, ale korzystanie z niej wymaga znacznie więcej niż tylko decyzji „przechowujemy”. Prawnie uzasadniony interes, o którym mowa w art. 6 ust. 1 lit. f RODO, to w tym kontekście Twoje prawo jako pracodawcy do zabezpieczenia się na wypadek, gdyby odrzucony kandydat pozwał firmę o dyskryminację. To interes realny i biznesowo zrozumiały.
Jednak samo powołanie się na ten interes to za mało. RODO nakłada na Ciebie obowiązek udowodnienia, że Twój interes jest nadrzędny wobec praw i wolności kandydata. Narzędziem do tego jest wewnętrzny dokument znany jako test równowagi lub test uzasadnionego interesu. Musisz go przeprowadzić i zarchiwizować, zanim zaczniesz przechowywać dane na tej podstawie. Jest to Twój kluczowy dowód na wypadek kontroli UODO.
Test ten składa się z trzech kluczowych kroków, które musisz skrupulatnie udokumentować. Po pierwsze, precyzyjnie zdefiniuj swój interes – w tym przypadku jest to ochrona przed potencjalnymi roszczeniami z art. 18³ᵈ Kodeksu pracy.
Po drugie, przeprowadź test niezbędności, czyli wykaż, że przechowywanie pełnych danych aplikacyjnych jest konieczne do realizacji tego celu i nie da się go osiągnąć mniej inwazyjnymi metodami.
Po trzecie, wykonaj test równowagi, w którym analizujesz, czy realizacja Twojego interesu nie narusza nadmiernie praw i wolności osoby, której dane dotyczą, biorąc pod uwagę jej rozsądne oczekiwania. Tylko pozytywny wynik udokumentowanego testu daje Ci zielone światło.
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?
Jak wdrożyć bezpieczną procedurę w 5 krokach?
Teoria jest ważna, ale to wdrożenie konkretnych procedur decyduje o bezpieczeństwie. Aby uporządkować proces, przejdź przez pięć następujących po sobie etapów.
Krok pierwszy to strategiczna decyzja. Wybierz dominującą podstawę prawną dla danych przechowywanych po rekrutacji. Czy będzie to zgoda, czy uzasadniony interes? A może model hybrydowy?
Krok drugi to przygotowanie niezbędnej dokumentacji. Jeśli wybrałeś zgodę, opracuj finalne wersje klauzul informacyjnych. Jeśli opierasz się na uzasadnionym interesie, skrupulatnie przeprowadź i zarchiwizuj test równowagi.
Krok trzeci to techniczna konfiguracja Twoich systemów, zwłaszcza platformy ATS. Ustaw automatyczne przypomnienia lub reguły usuwania danych po upływie zdefiniowanego okresu, np. 24 miesięcy od wyrażenia zgody lub 3 lat od zakończenia rekrutacji.
Krok czwarty polega na przeszkoleniu całego zespołu HR. Każdy rekruter musi rozumieć, na jakiej podstawie działa, i potrafić odpowiedzieć na pytania kandydatów.
Krok piąty, absolutnie kluczowy, to stworzenie i przetestowanie wewnętrznej procedury reagowania na żądania kandydatów, zwłaszcza na wniosek o usunięcie danych. Musisz być w stanie wykonać go sprawnie i bezbłędnie.
Problematyczne scenariusze – odpowiedzi na najtrudniejsze pytania
Rzeczywistość rekrutacyjna rzadko jest podręcznikowa. Co zrobić, gdy pojawiają się komplikacje?
Gdy kandydat, który wcześniej wyraził zgodę, nagle ją wycofuje, Twoje działanie musi być natychmiastowe. Prawo do bycia zapomnianym jest jednym z filarów RODO. Musisz bez zbędnej zwłoki usunąć jego dane ze wszystkich aktywnych baz i systemów. Procedura powinna również obejmować usunięcie danych z kopii zapasowych, choć RODO dopuszcza w tym zakresie pewną elastyczność czasową. Kluczowe jest, abyś mógł udokumentować, że żądanie zostało przyjęte i wykonane.
Coraz częściej CV nie trafia do Ciebie bezpośrednio od kandydata, ale pochodzi z agencji rekrutacyjnej lub z polecenia pracownika. W takim scenariuszu kluczowe jest ustalenie, kto i kiedy ma obowiązek dopełnienia obowiązku informacyjnego. Zazwyczaj to agencja, jako odrębny administrator danych, jest odpowiedzialna za pozyskanie pierwotnej zgody kandydata na udział w procesie. Jednak w momencie, gdy przejmujesz dane, stajesz się ich nowym administratorem i na Tobie spoczywa obowiązek poinformowania kandydata o tym fakcie i celu dalszego przetwarzania.
Pojawia się również pytanie o anonimizację CV jako alternatywę dla usunięcia. To kusząca perspektywa, by zachować dane do celów statystycznych. Należy jednak podchodzić do niej z najwyższą ostrożnością. Skuteczna anonimizacja, po której identyfikacja osoby jest trwale niemożliwa, jest procesem bardzo trudnym. Usunięcie tylko imienia, nazwiska i zdjęcia to pseudonimizacja, która wciąż podlega reżimowi RODO. Jeśli unikalna kombinacja doświadczenia i umiejętności wciąż pozwala zidentyfikować konkretną osobę, dane nie są anonimowe.
Jakie kary grożą za błędy? Przykłady z naszego podwórka
Ryzyko związane z nieprawidłowym przetwarzaniem danych kandydatów nie jest teoretyczne. Chociaż Prezes UODO nie nałożył jeszcze spektakularnej kary stricte za zbyt długie przechowywanie CV, to incydenty związane z bezpieczeństwem danych rekrutacyjnych już kończyły się dotkliwymi sankcjami finansowymi.
Głośnym echem odbiły się sprawy Szkoły Głównej Gospodarstwa Wiejskiego (SGGW) czy Szkoły Głównej Handlowej (SGH), gdzie nałożono kary w związku z naruszeniami bezpieczeństwa danych, które dotyczyły również kandydatów na studia i pracowników. Te przykłady dobitnie pokazują, że UODO traktuje dane z procesów rekrutacyjnych z najwyższą powagą, a brak odpowiednich zabezpieczeń technicznych i organizacyjnych może prowadzić do strat finansowych i wizerunkowych.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Podsumowanie: Zgoda czy uzasadniony interes w rekrutacji – co wybrać?
Nie ma jednej, uniwersalnej odpowiedzi. Wybór strategii zależy od apetytu na ryzyko i dojrzałości organizacyjnej Twojej firmy. Ścieżka zgody jest bezpieczniejsza, bardziej transparentna i buduje zaufanie kandydatów, ale wymaga ciągłego zarządzania zgodami i ich odnawiania. Ścieżka uzasadnionego interesu, wzmocniona wyrokiem NSA, jest bardziej elastyczna i nie wymaga interakcji z kandydatem, ale przenosi cały ciężar dowodowy na Ciebie – musisz mieć perfekcyjnie przygotowany i udokumentowany test równowagi.
Najbardziej rozsądnym podejściem wydaje się strategia hybrydowa. Możesz oprzeć się na uzasadnionym interesie, aby przechowywać dane przez okres przedawnienia roszczeń, a jednocześnie, w odrębnym procesie, aktywnie prosić najlepszych kandydatów o dobrowolną zgodę na udział w przyszłych rekrutacjach. Niezależnie od wybranej drogi, kluczem jest posiadanie solidnej dokumentacji. W świecie RODO to nie Ty jesteś niewinny, dopóki nie udowodnią Ci winy. To Ty musisz w każdej chwili być w stanie udowodnić, że działasz zgodnie z prawem.
Ochrona danych osobowych – Kancelaria After Legal
Kancelaria After Legal specjalizuje się w prawie nowych technologii i ochronie danych osobowych. Dla naszych klientów przeprowadzamy audyty zgodności z RODO i AI Act, opracowujemy niezbędną dokumentację i wdrażamy zmiany organizacyjne oraz prawne. Zapewniamy wsparcie doświadczonych profesjonalistów, którzy nie tylko doskonale znają obowiązujące przepisy, ale także rekomendacje organów nadzorczych i dobre praktyki. Zabezpieczymy Twój biznes!