Rekrutacja pod kontrolą. Czyli pozyskiwanie pracowników zgodnie z prawem

Pierwszym skojarzeniem z nieuczciwością w rekrutacji jest brak informacji o wynagrodzeniu. Pracodawcy często ukrywają stawki, by zachować przewagę negocjacyjną, uniknąć napięć w zespole lub elastycznie dopasować ofertę do doświadczenia kandydata. Czasem chcą też sprawdzić, czy motywacją jest tylko pensja, a nie wartości niematerialne, jak rozwój czy kultura organizacyjna. Ukrywanie wynagrodzenia bywa też strategią konkurencyjną, chroniącą politykę płacową firmy. Inne nieuczciwe praktyki to fałszywe informacje o warunkach pracy, dyskryminacja w selekcji, obowiązki wykraczające poza ogłoszenie czy pozorowane oferty służące zbieraniu danych. Możliwości nadużyć jest więc wiele.

Obowiązek publikowania widełek

Dyrektywa (UE) 2023/970¹ przede wszystkim wprowadza obowiązek jawności wynagrodzeń już na etapie rekrutacji. Oznacza to, że każdy pracodawca będzie zobowiązany do podania widełek płacowych w ogłoszeniu o pracę albo – najpóźniej – do przekazania takiej informacji kandydatowi przed pierwszą rozmową kwalifikacyjną. Jednocześnie wprowadzony zostanie zakaz zadawania pytań o dotychczasowe zarobki kandydata, co ma zapobiegać nieuczciwemu ustalaniu wynagrodzenia na podstawie wcześniejszych warunków zatrudnienia.

Drugim filarem nowych przepisów jest zapewnienie równości wynagrodzeń za pracę o takiej samej wartości, bez względu na płeć pracownika. Każdy zatrudniony będzie mógł wystąpić z wnioskiem o informację o średnich zarobkach osób pracujących na takim samym lub równoważnym stanowisku, z podziałem na płeć. W przypadku dużych firm (powyżej 100 pracowników) wprowadzono także obowiązek raportowania luki płacowej, a gdy okaże się, że różnice w wynagrodzeniach przekraczają 5 proc. i nie mają uzasadnienia, pracodawca będzie musiał przeprowadzić analizę wynagrodzeń. Dyrektywa przewiduje również zakaz stosowania klauzul poufności wynagrodzeń oraz odwrócony ciężar dowodu w sporach dotyczących nierównego traktowania w zakresie płac.

Państwa członkowskie, w tym Polska, mają czas na wdrożenie wszystkich wymogów dyrektywy do 7 czerwca 2026 r. W naszym kraju pierwsze zmiany w tym zakresie zostały przyjęte przez Sejm w maju 2025 r. Nowelizacja Kodeksu pracy, która zacznie obowiązywać pod koniec 2025 r., obejmuje przede wszystkim:

• obowiązek ujawniania widełek płacowych na etapie rekrutacji,
• zakaz pytań o poprzednie wynagrodzenie,
• możliwość uzyskania przez pracowników informacji o średnich zarobkach na podobnych stanowiskach (nowy przepis 183¹c k.p.).

RODO i zakres danych

Kolejną ze zmian, które w ostatnich latach w znaczącym stopniu wpłynęły na proces rekrutacji, jest owiane złą sławą RODO. Rozporządzenie Ogólne o Ochronie Danych Osobowych dla przedsiębiorców oznacza dodatkowe procedury, zgody oraz rejestry przetwarzania danych. Może być dla nich „kulą u nogi” blokującą możliwość swobodnej komunikacji np. poprzez zakaz możliwości publikacji zdjęć bez dodatkowych zgód, odmowy wydania dokumentów lub ukrywania pracowników/klientów pod ciągami cyfr.

Często pomija się jednak korzyści wynikające z tej regulacji. Oprócz oczywistych – takich jak większa kontrola nad danymi osobowymi, ograniczenie spamu i niechcianego marketingu – warto dostrzec również obowiązki, jakie RODO nakłada na pracodawcę wobec potencjalnego pracownika. Strona prowadząca nabór, jako administrator danych, ma obowiązek przekazać kandydatowi klauzulę informacyjną. Powinna ona zawierać m.in.: dane administratora, podstawę prawną przetwarzania danych (art. 22¹ k.p. oraz art. 6 RODO), okres przechowywania danych, informacje o odbiorcach danych, prawach przysługujących kandydatowi (m.in. wniesienia skargi do UODO), a także o dobrowolności lub obowiązku ich podania wraz z konsekwencjami odmowy².

Błędy i nadużycia pracodawców

Przy omawianiu błędów popełnianych przez pracodawców w procesach rekrutacyjnych warto odwoływać się do aktualnego orzecznictwa – rzeczywistych przypadków rozpatrywanych przez UODO i sądy administracyjne. Istnieją zachowania, które budzą wątpliwości kandydatów. Typowe „czerwone flagi” to m.in. brak klauzuli informacyjnej RODO, kserowanie dowodu osobistego „na wszelki wypadek” czy żądanie szczegółowych informacji o życiu prywatnym już na etapie wstępnej selekcji. Znacznie ciekawsze są jednak przypadki mniej oczywiste – te, w których istnieją rozbieżności między stanowiskiem organu nadzorczego a orzeczeniami sądów.

Okres przechowywania danych osobowych kandydatów

W poradniku UODO pt. „Ochrona danych osobowych w miejscu pracy” z 2018 r. urząd wskazywał wprost, że dane osób niezatrudnionych należy co do zasady usunąć niezwłocznie po zakończeniu procesu rekrutacji (czyli po podpisaniu umowy), chyba że istnieje inna, jasno określona podstawa dalszego przetwarzania. Podkreślano wymóg z góry określonego celu, ograniczonego okresu przechowywania i zakaz „trzymania na zapas” na wypadek hipotetycznych roszczeń. Praktyka rynkowa bywała inna – wielu pracodawców zatrzymywało CV, argumentując koniecznością obrony przed zarzutami dyskryminacji. Spór ten urósł do rangi precedensu. Urząd Ochrony Danych Osobowych jasno rozstrzygał, że jeśli nie dochodzi do podpisania umowy z kandydatem, jego dane należy usunąć niezwłocznie po zakończeniu procesu rekrutacji. Tymczasem inne zdanie miał Naczelny Sąd Administracyjny, który orzekł, że pracodawca może przechowywać dane osobowe kandydatów do pracy, którzy nie zostali zatrudnieni, przez okres do trzech lat. Wynika to z terminu przedawnienia potencjalnych roszczeń związanych z dyskryminacją w procesie rekrutacyjnym.

Sprawa, którą zajmował się Sąd (III OSK 2700/22), dotyczyła skargi kobiety, która aplikowała do znanej firmy wysyłkowej w systemie elektronicznym. Po negatywnym zakończeniu rekrutacji zażądała usunięcia swoich danych, jednak pracodawca odmówił, argumentując, że zachowanie danych jest konieczne w celu ewentualnej obrony przed zarzutami naruszenia zasad równego traktowania w zatrudnieniu. Prezes UODO uznał, że doszło do naruszenia RODO i udzielił firmie upomnienia. Wojewódzki Sąd Administracyjny w Warszawie uchylił tę decyzję (II SA/Wa 542/22), a NSA (III OSK 2700/22) potwierdził, że firma działała zgodnie z prawem. NSA wskazał, że przetwarzanie danych może być uzasadnione prawnie, jeśli jest niezbędne do realizacji uzasadnionych interesów administratora (art. 6 ust. 1 lit. f RODO). Sądy uznały, że przy zachowaniu zasady minimalizacji i odpowiednich zabezpieczeń pracodawca może przechowywać dane kandydatów niezatrudnionych przez okres uzasadniony potencjalnymi roszczeniami, zwykle nie dłużej niż wynika to z przedawnienia. To ważny sygnał dla działów HR: polityka retencji nie musi oznaczać natychmiastowego niszczenia wszystkiego, ale musi być przemyślana, udokumentowana i proporcjonalna. W ocenie sądu interes prawny pracodawcy – zabezpieczenie przed roszczeniami dyskryminacyjnymi – ma charakter nadrzędny wobec prawa do usunięcia danych przez kandydata, o ile okres przechowywania nie przekroczy 3 lat.

Zbyt szeroki zakres danych wymaganych od kandydata

Kolejnym nadużyciem w procesie rekrutacji jest żądanie nadmiarowych danych, mimo że ich zakres określa art. 22¹ k.p. (zobacz obok). Artykuł 9 RODO zaznacza dodatkowo, że „Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”.

W ust. 2 wymienia jednak sytuacje, w których możliwe jest przetwarzanie określonych danych. Należą do nich: wyraźna zgoda osoby, której dane dotyczą, obowiązki w prawie pracy lub zabezpieczeniu społecznym wynikające z przepisów oraz ochrona żywotnych interesów, gdy osoba nie może wyrazić zgody. Dotyczy to również działalności organizacji non-profit wobec jej członków oraz danych jawnie upublicznionych przez osobę. Ważna jest także potrzeba ustalenia, dochodzenia lub obrony roszczeń oraz ważny interes publiczny przewidziany prawem. Ponadto obejmuje cele medycyny pracy, opieki zdrowotnej czy zabezpieczenia społecznego oraz ochronę zdrowia publicznego. Do tego dochodzą cele archiwalne, naukowe, historyczne lub statystyczne, o ile przewidziano odpowiednie zabezpieczenia praw i wolności.

Swobodny dostęp do wszelkiego rodzaju danych może stanowić dla pracodawców nie lada pokusę, aby przed zatrudnieniem pracownika, przy okazji researchu, wykorzystać informacje znalezione w sieci. Nie jest żadną tajemnicą, że wiele firm korzysta z treści, które sami umieszczamy w internecie. Profile na Facebooku, X czy Instagramie to kopalnie wiedzy o kandydatach, ich poglądach, zainteresowaniach i działalności. Problem w tym, że takie „prześwietlanie” kandydata może wchodzić w kolizję z RODO. Prezes UODO wielokrotnie podkreślał, że co do zasady niedopuszczalne jest gromadzenie przez pracodawców informacji o kandydatach pochodzących z mediów społecznościowych i innych ogólnodostępnych źródeł, jeżeli nie ma do tego podstawy prawnej i nie jest to niezbędne do procesu rekrutacji. Innymi słowy: fakt, że coś jest publiczne, nie daje licencji do przetwarzania.

Tu podejście UODO jest bardziej pragmatyczne. Jeżeli kandydat świadomie publikuje dane zawodowe na portalu biznesowym i akceptuje jego regulamin, korzystanie z tych informacji przez pracodawcę jest co do zasady akceptowalne – oczywiście przy zachowaniu zasady minimalizacji i przejrzystości. UODO wskazywał w poradnikach, że portale tego typu ułatwiają znalezienie pracy i pracownika. Ważne jednak, by rekruter nie „zbierał” danych ponad to, co potrzebne oraz by poinformował kandydata, jeśli dane z profilu będą wykorzystywane poza samą platformą (np. w wewnętrznym ATS, przez e mail). Inną kwestią natomiast będzie możliwość kontaktowania się (przetwarzania danych w związku z tym) przez pracodawcę z kandydatem w innej formie, np. e-mailowej (poza portalem, na którym doszło do kontaktu)”³.

Jak wynika z powyższego, nawet publiczne treści nie zwalniają pracodawcy z przestrzegania zasady minimalizacji i celu przetwarzania, które, jak zaznacza UODO, mogą prowadzić do nieświadomego profilowania i wpływać na ocenę kandydata.

Rekrutacja z AI

Zgodnie z AI Act⁴ systemy AI używane w selekcji kandydatów lub do oceny osoby pod kątem zatrudnienia klasyfikują się jako systemy wysokiego ryzyka, a pracodawcy już dziś bardzo chętnie sięgają do sztucznej inteligencji w procesach rekrutacyjnych. Będą to robić coraz częściej w przyszłości, bowiem dzięki AI pracodawca może znacznie zaoszczędzić czas i zasoby, jednocześnie poprawiając jakość prowadzonych rekrutacji. Sztuczna inteligencja może być w różny sposób wykorzystywania w rekrutacji m.in. do:

• screeningu CV (proces przeszukiwania CV kandydatów pod kątem wymagań pracodawcy i tworzenia profili kandydatów na podstawie ustalonych kryteriów),
• oceny testów kompetencji wykonanych przez kandydatów do pracy,
• prowadzenia części rozmów rekrutacyjnych poprzez chatboty,
• analizy danych z różnych źródeł, takich jaki profile w mediach społecznościowych (social scoring), czy historii aktywności w internecie dotyczącej kandydata,
• analizy danych, takich jak tonu głosu, mimika, modele zachowań kandydatów podczas rozmów kwalifikacyjnych, w tym systemy identyfikacji biometrycznej,
• minimalizacji uprzedzeń związanych z określonymi wrażliwymi grupami (płcią, wiekiem, rasą, stopniem niepełnosprawności kandydatów).

Wykorzystanie AI w procesach HR wiąże się też z wyzwaniami i ryzykami. Źle zaprojektowane algorytmy mogą powielać ukryte uprzedzenia, prowadząc do nieświadomej dyskryminacji kandydatów ze względu na płeć, wiek czy pochodzenie. Istotne jest także ryzyko naruszenia prywatności – przetwarzanie danych z mediów społecznościowych bez wiedzy kandydata może być sprzeczne z RODO. Problemem bywa również brak przejrzystości działania systemów, tzw. black box AI, co utrudnia wyjaśnianie podejmowanych decyzji i może prowadzić do sporów. Nie można też zapominać o błędach technicznych oraz nowych wymogach prawnych.

Na systemy rekrutacyjne AI nałożony jest obowiązek prowadzenia oceny ryzyka, testów i audytów w celu wykrycia ewentualnych uprzedzeń w danych. Zgodnie z art. 13 AI Act kandydaci muszą być wyraźnie informowani o tym, że w procesie wykorzystywane są algorytmy, a art. 14 wymaga zapewnienia nadzoru człowieka nad decyzjami podejmowanymi przez sztuczną inteligencję. Dodatkowo, zgodnie z art. 10, pracodawcy są zobowiązani do prowadzenia szczegółowej dokumentacji technicznej systemów i rejestrowania ich w unijnym rejestrze systemów wysokiego ryzyka. Równolegle nadal obowiązują przepisy RODO – w szczególności art. 22, który daje kandydatom prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, oraz art. 5 i 25, nakazujące stosowanie zasad privacy by design i privacy by default. W praktyce oznacza to konieczność audytów algorytmów, transparentnego informowania kandydatów o zasadach działania systemów AI, zapewnienia możliwości odwołania się od automatycznych rekomendacji oraz ochrony danych osobowych przed nadmiernym i nieuprawnionym wykorzystaniem.

Rekrutacja wewnętrzna a prawo pracy

Choć Kodeks pracy nie reguluje wprost obowiązku przeprowadzania rekrutacji wewnętrznej ani też informowania pracowników o wolnych wakatach, to jednak takie obowiązki można pośrednio wyprowadzić z ogólnych zasad prawa pracy, zwłaszcza z zasady równego traktowania w zatrudnieniu.

Zgodnie z przepisem art. 94 pkt 1 k.p. pracodawca jest zobowiązany m.in. do „zapewnienia pracownikom bezpiecznych i higienicznych warunków pracy”, ale także – co kluczowe w kontekście rekrutacji – do „prowadzenia polityki zatrudnienia w sposób sprawiedliwy i zgodny z zasadą równego traktowania”. Artykuł 11³ k.p. stanowi jednoznacznie: „Jakakolwiek dyskryminacja w zatrudnieniu, bezpośrednia lub pośrednia, w szczególności ze względu na płeć, wiek, niepełnosprawność, rasę, religię, narodowość, przekonania polityczne, przynależność związkową, pochodzenie etniczne, wyznanie, orientację seksualną – jest niedopuszczalna”.

W kontekście wewnętrznej rekrutacji oznacza to, że pracodawca nie może faworyzować wybranych pracowników przez nieujawnianie informacji o wolnych stanowiskach innym członkom zespołu. Choć nie istnieje jednoznaczny przepis, który nakazywałby informowanie o wakatach wewnętrznych, to brak takiej informacji może prowadzić do pośredniej dyskryminacji – np. poprzez utrudnienie dostępu do awansu lub rozwoju zawodowego.

Dobrym rozwiązaniem – i coraz częściej stosowanym – jest publikowanie ogłoszeń o rekrutacjach wewnętrznych w firmowym intranecie czy w systemie HR lub na tablicy ogłoszeń. Taka praktyka nie tylko sprzyja transparentności, lecz także buduje zaufanie do procesów zarządzania kadrami.

Różnorodność i równe traktowanie w rekrutacji

Współczesne podejście do rekrutacji, również tej wewnętrznej, coraz częściej uwzględnia zasady DEI (diversity, equity, inclusion), czyli różnorodności, równości i włączenia. Choć nie jest to jeszcze obowiązujący standard prawny w Polsce, wiele firm – zwłaszcza międzynarodowych – wdraża polityki DEI jako część swojej strategii HRM. W praktyce oznacza to podejmowanie działań, które eliminują bariery dostępu do rozwoju zawodowego, promują awanse osób z niedoreprezentowanych grup i zapewniają równe szanse wszystkim pracownikom niezależnie od ich cech osobistych.

Włączenie zasad DEI do wewnętrznych rekrutacji może objawiać się m.in. w przeglądzie języka ogłoszeń pod kątem inkluzywności, analizie danych demograficznych kandydatów wewnętrznych, czy też zapewnianiu dostosowań dla osób z niepełnosprawnościami. W dłuższym czasie działania te nie tylko ograniczają ryzyko naruszenia przepisów o równości, ale realnie wpływają na budowę sprawiedliwszego, bardziej różnorodnego środowiska pracy.

Sankcje za łamanie prawa

Rekrutacja to nie tylko sztuka wyłowienia najlepszego kandydata. To proces, który coraz częściej staje się testem zgodności z prawem, przejrzystości organizacyjnej i etycznej odpowiedzialności. W erze dyrektyw unijnych, przepisów RODO, nacisku na równość i różnorodność oraz błyskawicznego rozprzestrzeniania się opinii w sieci, rekrutacja staje się polem, na którym nawet drobny błąd może skutkować poważnymi konsekwencjami — finansowymi, prawnymi i wizerunkowymi.

Z pozoru niewinna decyzja, by pominąć widełki wynagrodzenia w ogłoszeniu, może przyciągnąć uwagę Państwowej Inspekcji Pracy. Nieskładne pytanie podczas rozmowy o dotychczasowe zarobki może otworzyć drzwi do pozwu o dyskryminację. Przeskanowanie profilu kandydata w mediach społecznościowych bez wyraźnej podstawy prawnej? RODO mówi jasno: tylko dane adekwatne, aktualne i legalnie pozyskane mogą być przetwarzane. Każde odstępstwo może skończyć się nie tylko karą finansową — nawet do 20 mln euro, lecz także utratą zaufania i reputacji.

Prawo pracy i regulacje unijne nie pozostawiają dziś niedomówień. Pracodawcy są zobowiązani do przejrzystości: publikowania widełek wynagrodzeń, informowania o wakatach wewnętrznych, unikania wszelkich form dyskryminacji — także tej niezamierzonej, algorytmicznej. Wraz z rozwojem narzędzi AI do rekrutacji odpowiedzialność za ich działanie spada bezpośrednio na organizację, nawet jeśli decyzje podejmował system. Kandydaci mają dziś prawo wiedzieć, jak działają mechanizmy selekcji, czy systemy są neutralne, czy oceniają wszystkich jednakowo. I mają też prawo się temu sprzeciwić. Nie bez znaczenia jest też wizerunek. W epoce mediów społecznościowych i publicznych ocen firm przez kandydatów jedna niefortunna rozmowa kwalifikacyjna, jedno pytanie niezgodne z zasadami DEI, jeden niewłaściwy e-mail mogą wystarczyć, by ucierpiała marka pracodawcy. A wizerunkowe straty bywają równie kosztowne jak mandaty.

Dziś nie wystarczy już dobra wola czy doświadczenie działu HR. Liczy się zgodność z przepisami, przejrzystość, systemowe podejście do etyki i odpowiedzialności. Pracodawcy muszą wiedzieć, że każda decyzja w procesie rekrutacji może zostać zakwestionowana, każda nieudokumentowana odmowa może być źródłem sporu, a każdy brak procedury może kosztować więcej niż cała kampania employer brandingowa. Rekrutacja stała się sprawdzianem tego, jak bardzo organizacja naprawdę wierzy w swoje wartości i jak dobrze zna prawo. ©

Pracodawca, zgodnie z art. 22¹ k.p., może żądać następujących danych osobowych od kandydata w procesie rekrutacji:

• imienia i nazwiska,
• daty urodzenia,
• danych kontaktowych,
• informacji dotyczących wykształcenia, kwalifikacji zawodowych,
• przebiegu dotychczasowego zatrudnienia;

po zatrudnieniu nowego pracownika:

• adresu zamieszkania,
• numeru PESEL (lub innego dokumentu),
• innych danych osobowych pracownika i jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy (np. urlop rodzicielski),
• rachunku numeru konta;

poza tym art. 22¹ § 4 k.p. pozwala pracodawcy żądać dodatkowych danych, jeżeli jest to niezbędne do zrealizowania obowiązku wynikającego z przepisów prawa, tzn.:

• badań lekarskich i BHP,
• uprawnień zawodowych (np. prawo jazdy),
• zaświadczenia o niekaralności.

Małgorzata Krzyżowska
Adwokat, Head of Central Europe
Practice at Aliant® International Law Firm

Mateusz Bronisz
Stażysta w Aliant® Krzyżowska,
w dziale prawa pracy, korporacyjnym
i międzynarodowym