Zgoda na przetwarzanie danych osobowych w pracy co możesz odmówić podpisania bez konsekwencji

Przez
Tomasz Ostrowski
-
0
3
Rate this post

Z tego artykułu dowiesz się:

Po co pracodawcy twoje dane i jaki masz cel jako pracownik?

Jakie dane podajesz w praktyce: od CV po akta osobowe

Na starcie dobrze zadać sobie dwa pytania: jakie dane rzeczywiście muszę przekazać oraz po co pracodawca je zbiera? Od odpowiedzi na te pytania zależy, czy w ogóle potrzebna jest zgoda na przetwarzanie danych osobowych w pracy oraz co możesz odmówić podpisania bez konsekwencji.

Już na etapie wysyłania CV przekazujesz podstawowy pakiet informacji. Zwykle są to:

  • imię i nazwisko,
  • dane kontaktowe (e-mail, numer telefonu),
  • informacja o wykształceniu i kwalifikacjach,
  • przebieg dotychczasowego zatrudnienia,
  • czasem dodatkowe dane, które sam ujawniasz (zainteresowania, wolontariat, działalność społeczna).

Te dane są potrzebne do oceny, czy nadajesz się na dane stanowisko. Niektóre z nich pracodawca może przetwarzać bez twojej zgody, bo zezwala mu na to Kodeks pracy i RODO. Inne podajesz dobrowolnie – a to już robi różnicę.

Po podpisaniu umowy o pracę zakres danych rośnie. Dochodzą m.in.:

  • adres zamieszkania lub pobytu,
  • numer PESEL lub inny numer identyfikacyjny,
  • dane do zgłoszenia do ZUS,
  • informacje o dzieciach (np. do celów podatkowych, zasiłków, opieki),
  • informacje o zdrowiu, jeżeli ubiegasz się o szczególne uprawnienia (np. niepełnosprawność).

Pojawia się tu kluczowe pytanie: jaki masz cel jako pracownik? Chcesz maksymalnie ograniczyć liczbę przetwarzanych danych, czy wolisz „mieć święty spokój” i podpisywać wszystko, co ci podsuwają? Od tego zależy twoja strategia: czy każdą zgodę analizujesz, czy raczej reagujesz dopiero, gdy pojawi się problem.

Dane zwykłe a dane wrażliwe – dlaczego ma to znaczenie przy zgodzie

RODO odróżnia dwie główne kategorie:

  • dane zwykłe – np. imię, nazwisko, adres, wykształcenie, numer telefonu,
  • dane szczególnych kategorii (tzw. wrażliwe) – np. zdrowie, niepełnosprawność, poglądy polityczne, przekonania religijne, życie seksualne, przynależność związkowa.

Dlaczego to rozróżnienie jest tak ważne, gdy analizujesz zgody na przetwarzanie danych osobowych w pracy? Bo dane wrażliwe podlegają znacznie ostrzejszej ochronie, a pracodawca może je przetwarzać tylko w wyjątkowych sytuacjach i zazwyczaj na wyraźną inicjatywę pracownika.

Jeżeli więc w formularzach pojawiają się pytania o:

  • stan zdrowia, który nie ma żadnego związku z twoją zdolnością do pracy,
  • przynależność związkową lub partię polityczną,
  • wyznanie, przekonania, orientację seksualną,

masz bardzo silny sygnał ostrzegawczy. Niezależnie od tego, jak ładnie jest to opakowane w „zgodę”, w większości przypadków nie musisz tego podawać, a odmowa nie powinna rodzić konsekwencji zawodowych.

Rola pracodawcy jako administratora danych

Pracodawca nie jest tylko „odbiorcą” twoich danych – staje się ich administratorem. To określenie z RODO oznacza, że:

  • decyduje o celach i sposobach przetwarzania danych,
  • musi mieć podstawę prawną do każdego celu przetwarzania,
  • ma obowiązek informować cię, co, po co i jak długo przetwarza,
  • odpowiada za bezpieczeństwo danych – także przed organem nadzorczym (UODO).

Ty natomiast jesteś osobą, której dane dotyczą. Masz konkretne prawa: dostępu, sprostowania, ograniczenia przetwarzania, a przy danych przetwarzanych na podstawie zgody – także cofnięcia zgody. Klucz w tym, byś potrafił odróżnić, gdzie pracodawca opiera się na przepisie prawa, a gdzie potrzebuje <strongtwojej dobrowolnej zgody.

Zadaj sobie teraz pytanie: czy wiesz, jakie dokładnie dane o tobie znajdują się w aktach osobowych i systemach HR, a na jakiej podstawie są przechowywane? Jeśli nie – to dobry moment, by to uporządkować.

Dlaczego pracodawcy zbierają „na wszelki wypadek” za dużo zgód

W praktyce wielu pracodawców działa według zasady: „jak pracownik podpisze, to będzie bezpieczniej”. Efekt?

  • formularze rekrutacyjne przeładowane pytaniami,
  • pakiety zgód na przetwarzanie danych osobowych „na przyszłość”,
  • zgody „na wszystko” dorzucone do umowy o pracę lub regulaminu.

Tymczasem RODO wymaga minimalizacji danych – zbierania tylko tych informacji, które są naprawdę niezbędne do konkretnego celu. Jeżeli pracodawca zbiera dane „bo może się kiedyś przydadzą”, działa niezgodnie z zasadami ochrony danych, niezależnie od tego, ilu pracowników zgodziło się podpisać formularz.

Tu pojawia się twoje podstawowe zadanie: oddzielić dane, które musisz przekazać z mocy prawa, od tych, które są tylko „ładnie poproszone” w formularzu zgody. Od tej granicy zależy, co możesz odmówić podpisania bez konsekwencji.

Zbliżenie dłoni składającej podpis na dokumencie na drewnianym biurku
Źródło: Pexels | Autor: Matheus Lara

Podstawy prawne przetwarzania danych w pracy – nie wszystko na „zgodę”

RODO, Kodeks pracy i inne przepisy jako twarda podstawa

RODO wymienia kilka podstaw prawnych przetwarzania danych (art. 6). W relacji pracodawca–pracownik kluczowe są przede wszystkim:

  • obowiązek prawny – np. przepisy Kodeksu pracy, ustaw podatkowych, ZUS, BHP,
  • niezbędność do wykonania umowy – np. umowy o pracę, zlecenia, kontraktu,
  • uzasadniony interes administratora – np. zabezpieczenie mienia, dochodzenie roszczeń, organizacja pracy,
  • zgoda osoby – dopiero na końcu i tylko w pewnych sytuacjach.

Wielu pracowników zakłada, że skoro coś jest w formularzu „zgody na przetwarzanie danych osobowych w pracy”, to bez podpisu nie zostaną zatrudnieni lub spotkają ich kłopoty. Tymczasem znaczna część przetwarzania opiera się nie na zgodzie, ale na przepisach prawa, więc nawet gdybyś nie podpisał zgody, pracodawca i tak może (i musi) te dane przetwarzać.

Pojawia się więc pytanie diagnostyczne: czy wiesz, na jakiej podstawie prawnej dziś twoje dane są przetwarzane? Jeśli wszystkie klauzule, które widzisz, mówią wyłącznie o „zgodzie”, najprawdopodobniej pracodawca upraszcza temat, co niekoniecznie działa na twoją korzyść.

Jakie dane pracodawca może przetwarzać bez twojej zgody

Bez twojej zgody, ale na podstawie prawa, pracodawca może przetwarzać w szczególności:

  • dane wskazane w Kodeksie pracy (art. 221 i kolejne),
  • dane konieczne do realizacji umowy o pracę i obowiązków z niej wynikających,
  • dane niezbędne do prowadzenia dokumentacji pracowniczej, rozliczeń, BHP, szkoleń wymaganych przepisami.

Przykładowo, nie musisz składać osobnej zgody na:

  • przetwarzanie twojego numeru PESEL do zgłoszenia do ZUS,
  • przechowywanie umowy o pracę i dokumentów płacowych,
  • przekazywanie danych do urzędu skarbowego, PFRON czy innych instytucji publicznych wynikających z przepisów.

Jeżeli więc dostajesz do podpisu „zgodę na przetwarzanie danych osobowych do celów związanych z zatrudnieniem” – w dużym zakresie jest to zbędne, ponieważ i tak pracodawca ma podstawę prawną do przetwarzania tych danych. Taka „zgoda” może być wręcz myląca, bo sugeruje, że możesz nagle „wycofać” te dane, co w praktyce nie jest możliwe – przepisy wciąż obowiązują.

Dlaczego zgoda jest „ostatnią” podstawą przetwarzania w stosunku pracy

RODO wyraźnie wskazuje, że zgoda powinna być dobrowolna. W relacji pracodawca–pracownik masz do czynienia z nierównością sił. To pracodawca decyduje o przyjęciu, awansie, wynagrodzeniu, a ty boisz się utraty pracy. Trudno więc mówić o całkowicie swobodnym wyborze.

Dlatego zgoda pracownika na przetwarzanie danych w pracy powinna być stosowana tylko w wyjątkowych sytuacjach, wtedy, gdy:

  • brakuje innej podstawy prawnej (umowy, przepisu),
  • odmowa zgody nie może prowadzić do negatywnych konsekwencji,
  • pracownik rzeczywiście ma wybór i rozumie, na co się godzi.

Jeżeli więc widzisz zgody „z automatu” dorzucone do umowy o pracę lub regulaminu, zadaj sobie pytanie: czy to jest naprawdę dobrowolne, jeżeli brak podpisu może utrudnić zatrudnienie? W wielu sytuacjach taka „zgoda” nie spełnia kryteriów RODO i – w razie sporu – może zostać uznana za nieskuteczną.

Nierówność relacji a realna dobrowolność zgody

Wyobraź sobie dwie sytuacje:

  1. Podpisujesz formularz zgody w banku jako klient – możesz pójść do innego banku, negocjować, odrzucić marketing.
  2. Podpisujesz zgodę w pracy albo podczas rekrutacji – wiesz, że od tej osoby lub działu zależy twoje zatrudnienie.

W pierwszym przypadku dobrowolność jest dużo większa. W drugim – często jedynie teoretyczna. Dlatego RODO i wytyczne organów nadzorczych podkreślają, że w stosunku pracy trzeba szczególnie ostrożnie korzystać z podstawy „zgoda”. W przeciwnym razie zgoda może zostać zakwestionowana jako wymuszona.

Możesz zadać sobie pytanie: czy podpisałeś kiedyś „zgodę na wszystko”, bo „tak trzeba było”, bez czytania? Jeśli tak – nie jesteś wyjątkiem. Istotne jest jednak to, że wiele z tych zgód można:

  • zakwestionować,
  • cofnąć,
  • a przede wszystkim – odmówić ich udzielenia na przyszłość, bez negatywnych konsekwencji, jeśli nie są niezbędne do zatrudnienia.
Odcisk palca mężczyzny składany na dokumencie służbowym
Źródło: Pexels | Autor: Kefuoe Josenta

Jakie dane pracodawca może żądać „z urzędu”, a o jakie tylko prosić

Katalog danych z Kodeksu pracy – co jest obowiązkowe

Kodeks pracy (art. 221) szczegółowo określa, jakie dane osobowe pracodawca może żądać od kandydata, a jakie od pracownika. To dobra baza, żeby odróżnić, co jest „z urzędu”, a co wymaga twojej zgody.

Od kandydata pracodawca może żądać m.in.:

  • imienia (imion) i nazwiska,
  • daty urodzenia,
  • danych kontaktowych wskazanych przez kandydata,
  • informacji o wykształceniu,
  • informacji o kwalifikacjach zawodowych,
  • informacji o przebiegu dotychczasowego zatrudnienia.

Od pracownika dodatkowo może żądać m.in.:

  • adresu zamieszkania,
  • numeru PESEL lub innego numeru identyfikacyjnego,
  • danych członków najbliższej rodziny, jeżeli jest to konieczne z powodu szczególnych uprawnień (np. zasiłki rodzinne),
  • innych danych, jeżeli jest to niezbędne do realizacji obowiązku wynikającego z przepisu prawa.

Każda prośba o dane wykraczające poza ten katalog powinna uruchomić w tobie „czerwoną lampkę”. Jeżeli przy takich dodatkowych danych pojawia się zgoda na przetwarzanie danych osobowych w pracy, to sygnał, że pracodawca sam przyznaje, że bez twojej dobrowolnej zgody nie ma solidnej podstawy prawnej.

Dane wykraczające poza katalog – kiedy są dopuszczalne

Pracodawca może poprosić o dane wykraczające poza to, co wynika wprost z Kodeksu pracy, jeżeli:

  • istnieje inny przepis, który to dopuszcza (np. przepisy dla służb mundurowych),
  • dane są niezbędne ze względu na specyfikę stanowiska (np. zaświadczenia o niekaralności dla określonych zawodów),
  • ty sam inicjujesz podanie dodatkowych danych (np. przedstawiasz orzeczenie o niepełnosprawności, by skorzystać z ochrony).

Przykładowo:

  • jeśli firma organizuje wyjazd integracyjny i prosi o informację o diecie (wegetariańska, alergie), to są to dodatkowe dane, ale ich podanie jest dobrowolne – brak zgody nie może wpływać na zatrudnienie,
  • jeśli w rekrutacji na programistę pada pytanie o stan cywilny czy plany prokreacyjne, to takie dane są co do zasady niedopuszczalne – niezależnie od „zgody”.

Dane wrażliwe w pracy – kiedy zgoda ma znaczenie szczególne

Przy danych wrażliwych stawka rośnie. Chodzi o informacje o zdrowiu, wyznaniu, poglądach, seksualności, przynależności związkowej czy karalności. Zadaj sobie pytanie: czy naprawdę chcesz, żeby pracodawca miał do tego wgląd, jeśli nie ma takiego obowiązku z ustawy?

RODO co do zasady zabrania przetwarzania danych szczególnych kategorii, chyba że zachodzi jeden z wyjątków – jednym z nich jest wyraźna zgoda osoby. W praktyce w pracy dotyczy to najczęściej:

  • danych o zdrowiu (orzeczenia lekarskie, dokumentacja badań, informacje o chorobie przewlekłej),
  • danych o niepełnosprawności (orzeczenia, stopień niepełnosprawności),
  • danych o przynależności związkowej (składki na związki zawodowe),
  • danych ujawniających wyznanie lub światopogląd (np. dieta religijna, święta religijne).

Zadaj sobie kolejne pytanie: kto pierwszy wychodzi z inicjatywą przekazania takich danych – ty czy pracodawca? To często przesądza o tym, czy zgoda rzeczywiście jest dobrowolna.

Kiedy podanie danych wrażliwych pomaga właśnie tobie

Są sytuacje, w których to ty masz interes, by odsłonić więcej kart. Przykłady:

  • przekazujesz orzeczenie o niepełnosprawności, żeby korzystać z dodatkowych przerw, urlopów czy ochrony zatrudnienia,
  • informujesz o chorobie przewlekłej, żeby dostosować stanowisko pracy albo uniknąć zagrożeń (np. praca na wysokości, nocne zmiany),
  • zgłaszasz przynależność do związku zawodowego, by korzystać z ochrony działaczy.

W takiej sytuacji zgoda ma sens – bez niej pracodawca nie może legalnie tych danych przetwarzać. Kluczowy jest jednak warunek: odmowa nie może powodować pogorszenia twojej sytuacji względem stanu wyjściowego. Innymi słowy – jeśli nie chcesz podawać orzeczenia, pracujesz „standardowo”, bez dodatkowych uprawnień. To ty wybierasz.

Pomyśl: czy naprawdę korzystasz z przysługujących ci uprawnień, czy rezygnujesz z nich ze strachu przed ujawnieniem danych? Czasem większym ryzykiem jest milczenie niż świadome przekazanie informacji na jasnych zasadach.

Dłonie podpisujące formularz na białym biurku
Źródło: Pexels | Autor: Kindel Media

Zgoda na przetwarzanie danych osobowych – co to naprawdę znaczy w relacji z pracodawcą

Jak powinna wyglądać ważna zgoda pracownika

Teoretycznie zgoda brzmi niewinnie: podpisujesz formularz i „po sprawie”. Problem pojawia się, gdy zapytasz: na co dokładnie się zgodziłeś?

Żeby zgoda była ważna w relacji z pracodawcą, musi być:

  • konkretna – opisuje konkretny cel (np. „marketing wewnętrzny”, „uczestnictwo w programie benefitów”), a nie „wszelkie cele związane z zatrudnieniem”,
  • świadoma – wiesz, kto, po co i jak długo będzie przetwarzał twoje dane oraz komu je udostępni,
  • dobrowolna – możesz odmówić bez strachu przed sankcją lub gorszym traktowaniem,
  • odwoływalna – w każdej chwili możesz ją cofnąć tak łatwo, jak ją wyraziłeś.

Przeczytaj swoją ostatnią „zgodę na przetwarzanie danych w pracy”. Czy potrafisz w jednym zdaniu powiedzieć, do czego tak naprawdę się odniosła? Jeżeli nie – coś poszło nie tak.

„Zgoda na wszystko” – sygnał ostrzegawczy

Często pojawiają się klauzule o treści zbliżonej do:

„Wyrażam zgodę na przetwarzanie moich danych osobowych w najszerszym dopuszczalnym przez prawo zakresie, we wszelkich celach związanych z zatrudnieniem, także po jego ustaniu”.

To typowy przykład zbyt ogólnej i w praktyce nieważnej zgody. Dlaczego?

  • nie określa konkretnych celów,
  • miesza dane przetwarzane z obowiązku prawnego z działaniami opcjonalnymi,
  • sugeruje nieograniczony czas przetwarzania.

Możesz podejść do tego praktycznie: jeśli zgoda dotyczy całego zatrudnienia „jak leci”, zadaj pytanie pisemne o doprecyzowanie celów i zakresu. Często sama prośba o wyjaśnienie powoduje, że pracodawca modyfikuje swoje druki.

Wycofanie zgody – co faktycznie się zmienia

Wielu pracowników boi się wycofać zgodę, bo „szef się obrazi”. Zanim poddasz się temu lękowi, zrób prostą analizę: czy zgoda dotyczy kwestii, które są naprawdę opcjonalne?

Jeśli cofasz zgodę na:

  • używanie wizerunku w materiałach promocyjnych,
  • marketing wewnętrzny lub zewnętrzny,
  • program lojalnościowy realizowany przez zewnętrznego dostawcę benefitów,
  • przekazywanie danych partnerom biznesowym w celach promocyjnych,

pracodawca powinien to uszanować i w tych obszarach przestać dane wykorzystywać. Nie może natomiast przestać przetwarzać danych potrzebnych z ustawy lub umowy – tu zgoda nie była podstawą, więc cofnięcie nic nie zmienia.

Zastanów się: czy wiesz, jakie realne skutki przyniesie cofnięcie konkretnej zgody? Jeżeli nie – poproś o wyjaśnienie na piśmie, zanim coś podpiszesz albo odwołasz.

Jakie zgody możesz odmówić podpisania bez konsekwencji – konkretne przykłady

Wizerunek pracownika – zdjęcia, nagrania, media społecznościowe

Pracodawcy lubią chwalić się zespołem na stronie WWW, w mediach społecznościowych, w materiałach rekrutacyjnych. Często przy okazji wdrożenia intranetu lub nowej strony pojawia się formularz:

„Wyrażam zgodę na nieodpłatne utrwalanie i rozpowszechnianie mojego wizerunku w materiałach promocyjnych pracodawcy”.

Tu ogólna zasada jest prosta: wizerunek jest chroniony, a jego wykorzystanie co do zasady wymaga twojej zgody (poza wyjątkami typu zdjęcie „z tłumu” przy wydarzeniu publicznym). W relacji z pracodawcą:

  • nie ma przepisu, który nakazuje ci godzić się na publikację zdjęcia na stronie firmy,
  • odmowa zgody nie może wpływać na zatrudnienie, ocenę pracy, premię.

Możesz zatem:

  • nie wyrazić zgody w ogóle,
  • ograniczyć ją (np. tylko do wewnętrznego intranetu, bez mediów społecznościowych),
  • cofnąć zgodę później – od tego momentu pracodawca powinien przestać używać twoich zdjęć w nowych materiałach.

Zadaj sobie pytanie: jaki masz cel – czy chcesz dbać o prywatność, czy np. budować swoją markę eksperta razem z firmą? W zależności od odpowiedzi ustawiasz zakres zgody.

Marketing, newslettery i „informacje o ofertach partnerów”

Czasem wraz z umową lub regulaminem benefitów dostajesz pakiet zgód, gdzie między wierszami pojawia się:

  • zgoda na otrzymywanie informacji handlowych od pracodawcy,
  • zgoda na przekazywanie danych partnerom handlowym, ubezpieczycielom, bankom,
  • zgoda na kontakt telefoniczny lub mailowy w celach marketingowych.

Tu sytuacja jest klarowna: marketing to klasyczny obszar, w którym zgoda musi być dobrowolna. Możesz więc spokojnie:

  • nie zaznaczyć checkboxów,
  • wybrać tylko część kanałów (np. e-mail, ale nie SMS),
  • cofnąć zgodę w dowolnym momencie.

Konsekwencje? W praktyce utracisz wyłącznie dodatkowe informacje marketingowe, zniżki czy oferty. Na twoją podstawową relację pracowniczą to nie powinno mieć wpływu. Jeżeli masz obawę, że pracodawca „krzywo spojrzy”, zadaj sobie pytanie: czy chcesz wiązać swoją przyszłość zawodową z miejscem, gdzie oczekuje się oddania prywatności w zamian za „święty spokój”?

Programy benefitowe i zewnętrzni dostawcy usług

Karty sportowe, opieka medyczna, ubezpieczenia grupowe – to wszystko zwykle wiąże się z przekazywaniem danych zewnętrznym podmiotom. Formularze często zawierają sformułowania typu:

„Wyrażam zgodę na przekazanie moich danych osobowych do X sp. z o.o. w celu realizacji programu benefitowego Y”.

Tu warto oddzielić dwie płaszczyzny:

  • relacja pracownicza – pracodawca nie ma obowiązku zapewniać benefitów, to element dodatkowy,
  • relacja z dostawcą – żeby dostać kartę lub pakiet medyczny, musisz podać dane tej firmie.

Jeśli odmówisz zgody na przekazanie danych do dostawcy:

  • pracodawca nie powinien wyciągać żadnych konsekwencji kadrowych,
  • po prostu nie skorzystasz z danego benefitu lub pozostaniesz przy wersji podstawowej (np. pakiet NFZ zamiast prywatnej opieki).

Pytanie, które warto sobie zadać: czy ten benefit jest dla ciebie na tyle ważny, że akceptujesz przekazanie ograniczonego zestawu danych zewnętrznemu podmiotowi? Możesz też sprawdzić, czy dostawca umożliwia korzystanie z usługi na podstawie odrębnej umowy bez pośrednictwa pracodawcy.

Dobrowolne ankiety osobowe, badania satysfakcji i „profil psychologiczny”

Coraz częściej w firmach pojawiają się rozbudowane ankiety: o twojej sytuacji rodzinnej, stylu życia, planach życiowych, zdrowiu psychicznym, wartościach. Czasem są one elementem:

  • programu „wellbeing”,
  • oceny 360°,
  • sesji coachingowych finansowanych przez firmę.

Jeśli w takiej ankiecie pracodawca prosi o dane wykraczające poza to, co niezbędne do wykonywania pracy, mówimy o dodatkowej, dobrowolnej aktywności. Masz wtedy kilka opcji:

  • odmówić udziału bez jakiegokolwiek uzasadniania,
  • wypełnić tylko część pytań, pomijając te najbardziej wrażliwe,
  • poprosić o jasne wskazanie, kto ma dostęp do wyników i czy będą anonimowe.

Pomyśl szczerze: czy komfortowo czujesz się z tym, że przełożony może czytać twoje odpowiedzi o zdrowiu psychicznym czy planach na dziecko? Jeżeli nie – traktuj udział jako opcję, nie obowiązek, nawet jeśli w komunikacji wewnętrznej padają słowa „zachęcamy wszystkich”.

Dane biometryczne – odciski palców, skan twarzy, kontrola dostępu

Część firm kusi wygoda: zamiast kart dostępu – odcisk palca, zamiast loginu – skan twarzy. Technicznie wygląda to nowocześnie, ale prawnie wchodzimy na obszar danych szczególnie wrażliwych.

Co tu jest kluczowe?

  • dane biometryczne podlegają szczególnej ochronie,
  • co do zasady ich przetwarzanie wymaga wyraźnej zgody lub innej szczególnej podstawy prawnej,
  • w relacji pracodawca–pracownik zgoda na dane biometryczne jest szczególnie problematyczna pod kątem dobrowolności.

Jeżeli pracodawca proponuje system oparty na danych biometrycznych, zadaj kilka prostych pytań:

  • czy istnieje alternatywny sposób wejścia do budynku (karta, identyfikator) bez użycia biometrii,
  • jak dane są przechowywane (szablon vs pełen obraz odcisku/twarzy),
  • jak długo będą przetwarzane, kto ma do nich dostęp.

Jeżeli nie ma alternatywy, a użycie biometrii jest warunkiem wejścia do pracy, trudno mówić o dobrowolnej zgodzie. Masz wtedy argument, by odmówić, a w razie sporu odwołać się do RODO i stanowisk organu nadzorczego. Pytanie do ciebie: czy wygoda szybkiego wejścia do biura jest warta oddania pracodawcy unikalnych danych biologicznych?

„Zgoda na monitoring” – obraz, dźwięk, lokalizacja

Monitoring wizyjny czy GPS w samochodach służbowych zwykle nie opiera się na twojej zgodzie, lecz na przepisach prawa i uzasadnionym interesie pracodawcy. Mimo to w dokumentach czasem pojawia się:

„Wyrażam zgodę na stosowanie wobec mnie monitoringu wizyjnego, poczty elektronicznej, lokalizacji pojazdu”.

Taka „zgoda” to często tylko mylny dodatek. Monitoring można wprowadzić:

  • w określonych przez prawo celach (bezpieczeństwo, ochrona mienia, kontrola produkcji),
  • pod warunkiem odpowiedniego poinformowania pracowników i opisania tego w regulaminach.

Twoja zgoda nie jest tu wymagana, więc:

  • odmowa podpisu nie wyłącza legalnie wprowadzonego monitoringu,
  • jednocześnie pracodawca nie może używać zgody jako „alibi” dla zbyt daleko idącej inwigilacji (np. podsłuch w szatni).

Przekazanie danych do grupy kapitałowej i „centrów usług wspólnych”

W dużych organizacjach standardem są centra usług wspólnych, holdingi, spółki-córki. W pakietach dokumentów kadrowych pojawiają się wtedy klauzule:

„Wyrażam zgodę na przekazanie moich danych osobowych innym spółkom z grupy kapitałowej w celach administracyjnych i kadrowych”.

Zatrzymaj się na chwilę i zapytaj: czy pracodawca naprawdę potrzebuje twojej zgody, żeby księgowość w innej spółce mogła naliczyć pensję? Z prawnego punktu widzenia:

  • jeżeli inna spółka z grupy świadczy na rzecz pracodawcy usługi kadrowo-płacowe, zwykle staje się jego podmiotem przetwarzającym,
  • wtedy podstawą przekazania danych jest umowa powierzenia między spółkami, a nie twoja zgoda,
  • taka zgoda jest więc często zbędnym dodatkiem – odmawiasz podpisu, a proces i tak działa legalnie.

Inaczej, gdy grupa kapitałowa chce wykorzystywać dane szerzej: do wspólnego marketingu, programów lojalnościowych, budowania bazy talentów dla całej grupy. Tu pojawia się pytanie: czy zgadzasz się, aby twoje dane „krążyły” między spółkami w celach wykraczających poza obsługę umowy o pracę?

Masz wtedy kilka sensownych opcji:

  • nie zgadzać się na jakiekolwiek przekazywanie danych w celach marketingowych lub HR-owych,
  • ograniczyć zgodę np. tylko do rekrutacji wewnątrz grupy, ale już nie do wspólnych akcji promocyjnych,
  • zażądać doprecyzowania, które konkretnie spółki wchodzą w skład grupy i w jakich celach będą przetwarzać dane.

Jeśli widzisz ogólnik typu „wszystkie aktualne i przyszłe spółki grupy X, w dowolnych celach zgodnych z prawem” – zadaj sobie pytanie: czy chcesz podpisywać czek in blanco na swoje dane osobowe?

Dobrowolne zgody w procesie rekrutacji wewnętrznej i przyszłych rekrutacjach

W wielu firmach formularze rekrutacyjne (także wewnętrzne) zawierają rozbudowany blok zgód. Oprócz tej niezbędnej – dotyczącej bieżącej rekrutacji – pojawiają się:

  • zgoda na udział w przyszłych rekrutacjach,
  • zgoda na przekazanie CV do innych działów lub spółek z grupy,
  • zgoda na profilowanie pod kątem dopasowania do stanowisk.

Zastanów się: czy chcesz, aby twoja aplikacja „żyła własnym życiem” po zakończeniu konkretnej rekrutacji? Jeśli nie masz co do tego jasności, zrób krok w tył.

Jako pracownik możesz:

  • udostępnić dane tylko na potrzeby konkretnego procesu rekrutacyjnego – bez zgody na „przyszłe okazje”,
  • nie zgodzić się na przekazanie aplikacji do innych działów bez twojego odrębnego potwierdzenia,
  • zaznaczyć, że profilowanie (algorytmiczne dopasowanie cię do ról) akceptujesz tylko na potrzeby tej jednej rekrutacji, jeśli w ogóle.

Odmowa takich zgód nie powinna wpływać na ocenę w trwającym procesie, bo do jego przeprowadzenia pracodawca ma inną podstawę prawną (np. działania przed zawarciem umowy). Możesz więc świadomie zdecydować: czy wygoda „bycia w bazie” jest dla ciebie ważniejsza niż kontrola nad tym, gdzie trafia twoje CV?

„Zgody dla świętego spokoju” – podpis pod kompletem dokumentów

Częsta sytuacja: pierwszego dnia pracy dostajesz pokaźny plik papierów. Goni czas, kolejka do działu HR, więc słyszysz: „Proszę wszystko podpisać tu i tu, żeby było kompletne”. W takich pakietach pojawiają się często:

  • zgody na różne formy przetwarzania danych,
  • oświadczenia o zrozumieniu regulaminów, których jeszcze nie widziałeś,
  • klauzule „prewencyjne”, których znaczenia nikt ci nie tłumaczy.

Jaki masz cel w takiej sytuacji? Załatwić formalności szybko czy zachować kontrolę nad treścią? Jeżeli zależy ci na tym drugim, możesz podejść do sprawy inaczej:

  • poprosić o kopię dokumentów do spokojnego przeczytania i podpisać je następnego dnia,
  • zaznaczyć, że podpisujesz tylko obowiązkowe oświadczenia (np. te wymagane przez kodeks pracy), a resztę chcesz omówić,
  • przy problematycznych punktach dopisać adnotację typu: „nie wyrażam zgody” przy konkretnej klauzuli, zamiast odmawiać podpisu pod całym dokumentem.

Jeżeli widzisz, że w jednym formularzu zmieszano informacje obowiązkowe (np. klauzulę informacyjną RODO) z dobrowolnymi zgodami, zapytaj: która część jest warunkiem zatrudnienia, a która nie? To często wystarczy, aby HR sam przyznał, że część zgód jest naprawdę opcjonalna.

Jak reagować na presję: „wszyscy podpisują, czemu ty nie?”

Bywa, że formalnie zgody są dobrowolne, ale w praktyce towarzyszy im presja: spojrzenia przełożonych, uwagi „nie rób problemu”, żarty z nadmiernej ostrożności. Wtedy teoretyczna dobrowolność zmienia się w iluzję.

Co możesz zrobić, żeby nie wchodzić w otwarty konflikt, a jednak obronić swoje granice?

  • odnieść się do procedury, nie osób: „Chcę tylko mieć pewność, które zgody są obowiązkowe z punktu widzenia przepisów, a które dodatkowe” – nie atakujesz nikogo, tylko pytasz o standard,
  • poprosić o potwierdzenie na piśmie, że odmowa danej zgody nie wpływa na zatrudnienie – jeśli HR nie chce tego napisać, to sygnał ostrzegawczy,
  • skorzystać z prawa do konsultacji – np. z inspektorem ochrony danych, prawnikiem związkowym, zewnętrznym prawnikiem.

Zadaj sobie proste pytanie: czy realnie boisz się konsekwencji, czy tylko ulegasz automatycznemu odruchowi „żeby nie odstawać”? Często sama świadomość, że presja jest bardziej kulturowa niż prawna, pozwala spokojniej powiedzieć „nie”.

Kiedy lepiej jednak wyrazić zgodę – świadomie i na swoich warunkach

Odmowa nie zawsze jest najlepszą strategią. Czasem zgoda może realnie ułatwić ci życie albo wesprzeć twoje cele zawodowe. Kluczowe jest pytanie: co chcesz dzięki niej zyskać?

Przykłady sytuacji, gdy sensowna, ograniczona zgoda może być dla ciebie korzystna:

  • wizerunek w roli eksperta – jeśli chcesz występować na konferencjach, publikować artykuły firmowe, warto dopuścić wykorzystywanie twojego imienia, nazwiska i zdjęcia w określonych materiałach,
  • kontakt marketingowy w zakresie produktów, z którymi pracujesz na co dzień – to czasem źródło wiedzy o rynku, której inni nie mają,
  • benefity zdrowotne – zgoda na przekazanie ograniczonego zestawu danych do placówki medycznej w zamian za szybki dostęp do specjalistów może być racjonalnym kompromisem.

Kluczem jest „ograniczony zestaw”. Zawsze możesz zapytać: czy da się zawęzić zakres danych, okres przetwarzania albo cel zgody? Zdarza się, że pracodawca przewidział tylko standardowy formularz, ale indywidualne doprecyzowanie (np. w mailu, aneksie) jest możliwe – trzeba tylko o nie spokojnie poprosić.

Jak czytać klauzule zgody – sygnały ostrzegawcze

Jeśli masz przed sobą kartkę z kilkoma „wyrażam zgodę…”, przyjrzyj się jej jak prawnik-amator. Na co warto zwrócić uwagę, zanim złożysz podpis?

  • Zbyt ogólny cel, np. „we wszystkich celach związanych z działalnością pracodawcy” – to znak, że praktycznie oddajesz kontrolę nad tym, co się dzieje z danymi.
  • Brak informacji o możliwości cofnięcia zgody – sam fakt braku zapisu nie pozbawia cię prawa, ale pokazuje podejście firmy.
  • Łączenie różnych zgód w jednym zdaniu – np. marketing + przekazanie danych + profilowanie, bez możliwości zaznaczenia ich osobno.
  • Brak wskazania odbiorców danych – pojawia się tylko hasło „partnerzy biznesowi”, bez doprecyzowania branż czy kategorii podmiotów.

Gdy widzisz takie czerwone lampki, zadaj jedno z dwóch pytań: czy mogę otrzymać bardziej precyzyjną treść zgody, albo: czy mogę zaznaczyć tylko część punktów? Sam fakt, jak pracodawca reaguje na te pytania, wiele mówi o jego kulturze ochrony danych.

Co zrobić, gdy już podpisałeś „za dużo”

Możesz być w sytuacji, w której dopiero po czasie zorientowałeś się, że udzieliłeś kilku zgód „z rozpędu”. Nie oznacza to, że musisz się z tym pogodzić. Pytanie brzmi: jak chcesz tę sytuację naprawić?

Masz kilka narzędzi:

  • cofnięcie zgody – najlepiej w formie pisemnej, z dokładnym wskazaniem, jaką zgodę i kiedy wycofujesz,
  • żądanie informacji – możesz poprosić o wykaz, jakie dane na podstawie tej zgody są przetwarzane i komu je przekazano,
  • ograniczenie przetwarzania – w przypadkach spornych możesz zażądać, aby pracodawca czasowo „zamroził” korzystanie z danych do czasu wyjaśnienia.

Jeśli boisz się reakcji bezpośredniego przełożonego, rozważ kontakt z inspektorem ochrony danych (IOD) w firmie – w wielu organizacjach to odrębna rola, często bardziej niezależna od struktur HR czy biznesu.

Zadaj sobie na koniec jedno pytanie: czy twoje obecne zgody odzwierciedlają to, jak chcesz zarządzać swoją prywatnością i wizerunkiem zawodowym dzisiaj? Jeśli odpowiedź brzmi „nie”, masz prawo je skorygować – nawet jeśli kiedyś podpisałeś coś „dla świętego spokoju”.

Najczęściej zadawane pytania (FAQ)

Czy muszę podpisywać zgodę na przetwarzanie danych osobowych przy przyjęciu do pracy?

Najpierw zadaj sobie pytanie: czy pracodawca prosi o dane, do których ma prawo z ustawy, czy o coś „ponad standard”? Dane takie jak imię, nazwisko, adres, PESEL, wykształcenie czy przebieg zatrudnienia może przetwarzać bez Twojej zgody – podstawą jest Kodeks pracy i RODO, a nie formularz z rubryką „ZGODA”.

Zgoda bywa potrzebna dopiero wtedy, gdy pracodawca chce przetwarzać dane wykraczające poza katalog ustawowy, np. zdjęcie do strony www, prywatny numer telefonu do newslettera firmowego czy informacje o zainteresowaniach w celach wizerunkowych. Tego podpisywać nie musisz – zatrudnienie nie może być uzależnione od takich zgód.

Jakich danych osobowych pracodawca może ode mnie żądać bez mojej zgody?

Sprawdź najpierw etap: rekrutacja czy już zatrudnienie. W czasie rekrutacji pracodawca może zwykle wymagać danych takich jak: imię i nazwisko, dane kontaktowe, informacja o wykształceniu, kwalifikacjach i dotychczasowym zatrudnieniu. To wystarcza, żeby ocenić, czy pasujesz do stanowiska.

Po podpisaniu umowy dochodzą kolejne obowiązkowe dane: adres zamieszkania/pobytu, PESEL lub inny numer identyfikacyjny, dane potrzebne do ZUS i podatków, a także informacje o dzieciach w zakresie potrzebnym do ulg, zasiłków czy opieki. Do tych danych pracodawca ma podstawę prawną wprost z przepisów, więc nie opiera się na Twojej „zgodzie”, tylko na obowiązku ustawowym.

Czy mogę odmówić podania danych wrażliwych (np. o zdrowiu, wyznaniu, przynależności związkowej)?

Tu kluczowe pytanie brzmi: czy te dane mają związek z Twoją pracą i czy to Ty o coś występujesz. Dane o zdrowiu czy niepełnosprawności możesz przekazać z własnej inicjatywy, gdy chcesz skorzystać z konkretnych uprawnień (np. dodatkowych przerw, ułatwień dla osoby z niepełnosprawnością). Wtedy przetwarzanie ma sens i zwykle jest zgodne z prawem.

Jeśli jednak formularz „na wejściu” pyta o stan zdrowia „tak ogólnie”, wyznanie, poglądy polityczne, orientację seksualną czy przynależność związkową – masz prawo odpowiedzieć: „tych danych nie udostępniam”. Odmowa co do zasady nie powinna rodzić żadnych konsekwencji zawodowych, bo pracodawca zwykle nie ma podstawy prawnej, by tego żądać.

Co mogę odmówić podpisania bez ryzyka utraty pracy?

Zacznij od rozróżnienia: czy podpis dotyczy obowiązku ustawowego (np. informacja o przetwarzaniu danych, potwierdzenie zapoznania z regulaminem), czy dobrowolnej zgody na „dodatki”. Odmówić możesz zgód, które nie są konieczne do zatrudnienia, np. na: publikację Twojego wizerunku na stronie internetowej, otrzymywanie materiałów marketingowych od firm współpracujących, zbieranie szczegółowych danych o zainteresowaniach do celów „employer branding”.

Nie grożą Ci konsekwencje za brak podpisu pod zgodą, która jest z definicji dobrowolna. Jeśli słyszysz: „bez tego nie zatrudnimy”, a dokument dotyczy informacji wykraczających poza standard z Kodeksu pracy, to sygnał ostrzegawczy – możesz poprosić o wyjaśnienie na piśmie, na jakiej podstawie pracodawca uzależnia umowę od tej zgody.

Czy mogę wycofać zgodę na przetwarzanie danych osobowych w pracy i co się wtedy dzieje?

Zastanów się najpierw: jakiego rodzaju zgody udzieliłeś. Jeżeli dane są przetwarzane wyłącznie na podstawie Twojej zgody (np. zdjęcie w materiałach promocyjnych, udział w firmowym newsletterze, dodatkowe dane o hobby w profilu pracownika), możesz ją w każdej chwili wycofać – bez podawania powodu.

Po cofnięciu zgody pracodawca nie powinien dalej używać tych danych w pierwotnym celu, np. powinien zdjąć Twoje zdjęcie z nowych materiałów reklamowych. Cofnięcie zgody nie wpływa natomiast na przetwarzanie danych, które i tak muszą być używane na podstawie przepisów prawa (np. w aktach osobowych, dokumentacji ZUS).

Czy pracodawca może mnie zwolnić za to, że nie podpiszę zgody na przetwarzanie danych?

Zadaj sobie jedno kontrolne pytanie: czy ta konkretna zgoda jest naprawdę potrzebna do wykonywania pracy? Jeśli dotyczy danych, których pracodawca nie musi mieć (np. zgoda na publikację wizerunku w mediach społecznościowych firmy), zwolnienie z tego powodu mogłoby naruszać prawo – zgoda powinna być dobrowolna, a nie „wymuszona groźbą utraty pracy”.

Inaczej wygląda sytuacja, gdy odmawiasz podania danych wymaganych przez przepisy, np. nie chcesz podać PESEL-u lub adresu, choć jest to konieczne do zgłoszenia do ZUS. Wtedy problemem nie jest brak zgody, tylko brak podstawowych danych – bez nich zawarcie i realizacja umowy może być po prostu niemożliwa.

Jak sprawdzić, czy zgoda na przetwarzanie danych osobowych w pracy jest naprawdę dobrowolna?

Zapytaj sam siebie: „co się stanie, jeśli nie podpiszę?”. Jeżeli z treści formularza albo z rozmowy wynika, że brak zgody nie wpłynie na zatrudnienie, wynagrodzenie czy traktowanie w pracy – jest duża szansa, że zgoda jest rzeczywiście dobrowolna. Dobrze, jeśli dokument wyraźnie to podkreśla.

Jeśli natomiast słyszysz, że bez podpisu nie dostaniesz umowy, premii albo awansu, a dotyczy to danych wykraczających poza wymagania prawa, zgoda staje się iluzoryczna. W takiej sytuacji możesz poprosić o wskazanie konkretnej podstawy prawnej (przepisu lub obowiązku) i rozważyć kontakt z działem kadr, inspektorem ochrony danych albo – w razie potrzeby – z prawnikiem lub UODO.

Co warto zapamiętać

  • Na każdym etapie – od CV po akta osobowe – zadaj sobie dwa pytania: jakie dane są naprawdę niezbędne i po co pracodawca je zbiera; od tej odpowiedzi zależy, czy zgoda na przetwarzanie jest w ogóle potrzebna.
  • Część danych (np. imię, nazwisko, wykształcenie, przebieg zatrudnienia, PESEL, adres, dane do ZUS) pracodawca może przetwarzać bez twojej zgody, bo wynika to z Kodeksu pracy i RODO – tu odmowa podania może uniemożliwić zatrudnienie.
  • Dodatkowe informacje, które ujawniasz dobrowolnie (np. zainteresowania, działania społeczne), są inną kategorią – możesz ich nie podawać i nie powinno to rodzić konsekwencji, o ile nie są konieczne do oceny twoich kwalifikacji.
  • Dane wrażliwe (zdrowie, niepełnosprawność, poglądy polityczne, religia, orientacja seksualna, przynależność związkowa) podlegają szczególnej ochronie – pracodawca co do zasady nie może ich żądać „na zapas” ani ukrywać tego w ogólnej zgodzie.
  • Jeśli widzisz w formularzu pytania o zdrowie niezwiązane z pracą, poglądy, wyznanie czy związek zawodowy, masz silny sygnał ostrzegawczy – możesz odmówić ich podania i podpisania takiej zgody bez zawodowych konsekwencji.
  • Pracodawca jako administrator danych musi jasno wskazać podstawę prawną, cele i czas przetwarzania oraz zadbać o bezpieczeństwo informacji; twoim zadaniem jest sprawdzić, gdzie opiera się na przepisach, a gdzie faktycznie prosi o zgodę.

    • Bibliografia i źródła

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Dziennik Urzędowy Unii Europejskiej (2016) – Podstawowe zasady przetwarzania danych, zgoda, dane szczególnych kategorii
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Dziennik Ustaw RP (2018) – Przepisy krajowe uzupełniające RODO, rola UODO
  • Kodeks pracy. Komentarz. C.H.Beck (2023) – Komentarz do przepisów o danych osobowych pracownika i aktach osobowych
  • RODO w pracy. Ochrona danych osobowych pracowników i kandydatów. Wolters Kluwer Polska (2020) – Praktyczne omówienie przetwarzania danych w zatrudnieniu
  • Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679. Europejska Rada Ochrony Danych (2020) – Interpretacja pojęcia zgody, dobrowolność, możliwość wycofania
  • Wytyczne dotyczące przetwarzania danych w kontekście zatrudnienia. Grupa Robocza art. 29 (2001) – Zasady przetwarzania danych pracowników i kandydatów
  • Ochrona danych osobowych w miejscu pracy. Urząd Ochrony Danych Osobowych – Poradnik UODO o danych pracowników, podstawach prawnych i zgodach
  • Dane osobowe pracownika – poradnik dla pracodawców. Państwowa Inspekcja Pracy – Zakres danych żądanych od kandydata i pracownika, obowiązki pracodawcy
  • Ochrona danych osobowych w stosunkach pracy. Difin (2019) – Monografia o RODO i krajowych przepisach w relacji pracownik–pracodawca

Więcej na ten temat:

Poprzedni artykułPraktyczny przewodnik po MLOps: jak zautomatyzować wdrażanie modeli AI w środowisku produkcyjnym
Tomasz Ostrowski
Tomasz Ostrowski
Prawnik z doświadczeniem w obsłudze małych firm i osób zatrudnionych na umowach cywilnoprawnych. Na co dzień analizuje umowy, regulaminy i pisma urzędowe, tłumacząc je klientom na zrozumiały język. Na blogu pokazuje, jak w praktyce korzystać z przysługujących praw – od pierwszego pisma do urzędu po odwołanie czy skargę. Każdą poradę opiera na konkretnych przepisach i przykładach z praktyki, unikając teoretyzowania. Regularnie aktualizuje treści po zmianach w prawie, dbając, by czytelnik otrzymał rzetelne i aktualne wskazówki.