Klauzula RODO w CV w 2026 roku pozostaje wymagana zgodnie z ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) oraz Rozporządzeniem 2016/679 (RODO). Bez podpisanej zgody kandydata pracodawca nie ma prawa przetwarzać CV w procesie rekrutacji ani zachować dokumentów na potrzeby przyszłych naborów. Maksymalna kara administracyjna UODO za naruszenia w rekrutacji to 20 mln euro lub 4% rocznego obrotu firmy.
Key Takeaways
- Klauzula w CV jest obowiązkowa dla legalnego przetwarzania danych — bez niej rekruter łamie przepisy art. 6 ust. 1 lit. a RODO.
- Aktualny wzór z 2026 powołuje się na ustawę z 10 maja 2018 r. (Dz.U. 2018 poz. 1000) i Rozporządzenie 2016/679.
- Dla przyszłych rekrutacji — kandydat musi wyrazić oddzielną, jasno wskazaną zgodę.
- Pracodawca ma obowiązek poinformować kandydata o celu, podstawie prawnej i okresie przechowywania danych przy pierwszym kontakcie.
- Kary UODO za naruszenia: do 20 mln euro lub 4% rocznego obrotu — wyższa z kwot.
Czy klauzula RODO w CV jest obowiązkowa w 2026 roku?
Tak — i to z dwóch niezależnych powodów. Pierwszy: bez wyraźnej zgody kandydata pracodawca nie ma podstawy prawnej do przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 lit. a RODO. Drugi: Urząd Ochrony Danych Osobowych traktuje rekrutację jako etap przedumowny, gdzie zgoda kandydata jest niezbędnym warunkiem dalszej współpracy.
W praktyce CV bez klauzuli powinno zostać niezwłocznie usunięte przez rekrutera. Brak reakcji firmy oznacza naruszenie RODO — z konsekwencjami prawnymi, które rosną z roku na rok. Portal Prawo.pl w analizie z 2026 r. potwierdza, że UODO coraz częściej kontroluje firmy rekrutacyjne i HR pod kątem zgodności procedur z RODO.
Co zmieniło się od 2024 roku?
Treść klauzuli pozostała ta sama, ale zmieniło się otoczenie regulacyjne. Po pierwsze, UODO opublikował w 2025 r. zaktualizowane wytyczne dotyczące rekrutacji (dostępne na stronie urzędu), które precyzują obowiązki informacyjne pracodawców. Po drugie, sądy administracyjne potwierdziły kary za przechowywanie CV bez zgody na przyszłe rekrutacje — najwyższa zasądzona kara to 1,2 mln zł dla agencji pracy w 2025 r. Po trzecie, rośnie świadomość kandydatów: odsetek aplikacji z prawidłowo sformułowaną klauzulą wzrósł z 71% w 2023 r. do 89% w 2025 r.
Jak brzmi aktualna klauzula RODO do CV w 2026 roku?
Standardowy, bezpieczny wzór sformułowany przez LexDigital:
„Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych, Dz.U. 2018 poz. 1000, oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych — RODO)."
Klauzula powinna być umieszczona na końcu CV. Najlepiej małym fontem, ale czytelnie — UODO konsekwentnie wskazuje, że zgoda musi być świadoma i jednoznaczna. Klauzula ukryta białą czcionką na białym tle albo ujęta w przypis trzy razy mniejszy od reszty tekstu nie spełnia wymogu „świadomej zgody".
Jak wygląda klauzula dla przyszłych rekrutacji?
To oddzielna zgoda — RODO nie pozwala automatycznie zachować CV „na przyszłość" bez wyraźnego upoważnienia. Wzór z CV-Maker:
„Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu tej oraz przyszłych rekrutacji prowadzonych przez [nazwa firmy] (zgodnie z RODO)."
Najlepszą praktyką jest oddzielenie obu zgód i pozostawienie kandydatowi wyboru — np. dwa oddzielne checkboxy w formularzu aplikacyjnym. Jedna zgoda na proces bieżący, druga na zachowanie CV w bazie. Łączenie ich w jednym zdaniu narusza zasadę dobrowolności i może być uznane za nieważne.
Jakie obowiązki ma pracodawca po otrzymaniu CV?
Po otrzymaniu aplikacji pracodawca staje się administratorem danych w rozumieniu RODO i ma cztery podstawowe obowiązki:
| Obowiązek | Termin realizacji | Sankcja za naruszenie |
|---|---|---|
| Obowiązek informacyjny (art. 13 RODO) | Przy pierwszym kontakcie | Do 20 mln EUR / 4% obrotu |
| Zabezpieczenie techniczne danych | Stale | Do 10 mln EUR / 2% obrotu |
| Usunięcie CV po zakończonej rekrutacji | Do 6 miesięcy (chyba że kandydat zezwoli na dłużej) | Do 20 mln EUR / 4% obrotu |
| Realizacja praw kandydata (dostęp, sprostowanie, usunięcie) | Do 1 miesiąca od żądania | Do 20 mln EUR / 4% obrotu |
Najczęstszy błąd pracodawców to przetrzymywanie CV w skrzynce mailowej rekrutera po zakończonej rekrutacji. UODO traktuje to jako naruszenie zasady minimalizacji danych — i w 2024-2025 nałożył kilkanaście kar właśnie z tego tytułu.
Jak sformułować obowiązek informacyjny dla kandydata?
Obowiązek informacyjny musi zostać przekazany przy pierwszym kontakcie z kandydatem. Kancelaria Rachelski rekomenduje umieszczenie informacji w trzech miejscach: w ogłoszeniu o pracę, w autoresponderze potwierdzającym otrzymanie aplikacji oraz w pierwszym mailu od rekrutera.
Treść musi obejmować dziewięć obowiązkowych elementów wynikających z art. 13 RODO:
- tożsamość i dane kontaktowe administratora,
- dane kontaktowe inspektora ochrony danych (jeśli wyznaczony),
- cele przetwarzania i podstawę prawną,
- uzasadnione interesy administratora (jeśli to podstawa),
- odbiorców danych (np. agencja rekrutacyjna, ATS),
- ewentualny transfer danych poza EOG,
- okres przechowywania danych,
- prawa kandydata (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw),
- prawo wniesienia skargi do UODO.
Brak choćby jednego elementu naraża pracodawcę na zarzut niespełnienia obowiązku informacyjnego. To częsta podstawa kar w branży HR.
Jak długo można przechowywać CV po zakończonej rekrutacji?
Standardowo do 6 miesięcy od zakończenia procesu rekrutacyjnego — dłużej tylko za wyraźną zgodą kandydata. Portal iSecure tłumaczy ten okres tym, że ewentualne roszczenia kandydata wobec procesu rekrutacyjnego (np. dyskryminacja) przedawniają się właśnie po 6 miesiącach.
| Sytuacja | Okres przechowywania | Podstawa prawna |
|---|---|---|
| Standardowa rekrutacja | Do 6 miesięcy | Art. 5 ust. 1 lit. e RODO |
| Zgoda na przyszłe rekrutacje | Do 1-2 lat (zalecane) | Art. 6 ust. 1 lit. a RODO |
| Postępowanie sądowe / UODO | Do prawomocnego zakończenia | Art. 6 ust. 1 lit. f RODO |
| Zatrudnienie kandydata | 10 lat (akta osobowe) | Art. 94 § 9a Kodeksu pracy |
Po upływie okresu przechowywania CV powinno zostać trwale usunięte — nie tylko z głównej bazy, ale również z kopii zapasowych i archiwów. To wymóg techniczny, który wiele firm pomija — i który UODO weryfikuje podczas kontroli.
Jakie kary grożą za brak klauzuli RODO?
Maksymalne kary administracyjne wynikają wprost z RODO i wynoszą do 20 mln euro lub 4% rocznego światowego obrotu firmy — w zależności co jest wyższe. W praktyce UODO stosuje gradację kar w zależności od skali naruszenia, intencji i rozmiarów firmy.
W 2024-2025 r. zasądzone kary w branży HR i rekrutacji obejmowały m.in.: 1,2 mln zł dla agencji pracy za przechowywanie CV bez zgody, 460 tys. zł dla portalu rekrutacyjnego za niewłaściwe zabezpieczenie danych, 250 tys. zł dla średniej firmy IT za brak realizacji prawa do usunięcia danych. To nie są kwoty teoretyczne — UODO rzeczywiście je egzekwuje.
Czy mała firma jest bezpieczniejsza?
Nie. RODO obowiązuje wszystkich administratorów danych, niezależnie od wielkości. Mała firma, która zatrudnia 10 osób, podlega tym samym zasadom co korporacja zatrudniająca 10 000. Różni się jedynie wysokość kary — ale dla 10-osobowego zespołu nawet 50 tys. zł kary może być egzystencjalnie groźne. Polecam też nasz tekst o dokumentacji pracowniczej i zasadach jej prowadzenia.
Co zrobić z CV otrzymanym bez klauzuli?
Krótka odpowiedź: usunąć w ciągu 24 godzin. Dłuższa: jeśli CV trafiło do firmy bez wyraźnej zgody na przetwarzanie, rekruter ma dwie opcje:
- Niezwłocznie usunąć dokument z systemu, skrzynki mailowej i ewentualnych kopii. Brak zgody = brak podstawy prawnej do przetwarzania.
- Skontaktować się z kandydatem z prośbą o uzupełnienie zgody — np. mailem zwrotnym z linkiem do checkboxa w systemie ATS.
Druga opcja jest częściej stosowana w przypadku silnie pożądanych kandydatów. Ale wymaga, żeby do momentu uzyskania zgody dane nie były dalej przetwarzane — czyli rekruter nie może przekazać CV menedżerowi działu „do oceny" bez wcześniejszej zgody.
Jakie są najczęstsze błędy działów HR w 2026 roku?
Z analiz ODO24 i kontroli UODO wynika pięć powtarzających się błędów:
- Brak obowiązku informacyjnego w ogłoszeniu o pracę — kandydat dowiaduje się o zasadach przetwarzania dopiero po wysłaniu CV.
- Łączenie zgód na bieżącą i przyszłe rekrutacje w jednej klauzuli — narusza zasadę dobrowolności.
- Przetrzymywanie CV w skrzynce mailowej rekrutera po zakończonej rekrutacji — naruszenie zasady minimalizacji.
- Brak procedury usuwania danych — po 6 miesiącach CV powinno zniknąć z wszystkich systemów, a najczęściej zostaje w archiwach.
- Niezabezpieczone systemy ATS — kandydaci dostają się do CV innych aplikujących przez błędy w uprawnieniach lub niezaszyfrowanych eksportach.
Każdy z tych błędów jest podstawą kary administracyjnej — i każdy jest stosunkowo łatwy do naprawienia, jeśli dział HR ma napisaną i wdrożoną politykę ochrony danych w rekrutacji.
Podsumowanie — co zrobić w 2026 roku?
Klauzula RODO w CV w 2026 r. pozostaje fundamentem legalnej rekrutacji. Pracodawca powinien zaktualizować trzy dokumenty: szablon ogłoszenia o pracę z pełnym obowiązkiem informacyjnym, autoresponder potwierdzający otrzymanie aplikacji oraz politykę przechowywania CV po zakończeniu rekrutacji. Standardowy okres to 6 miesięcy, dłuższy tylko za zgodą kandydata. Maksymalna kara UODO za naruszenia — do 20 mln euro lub 4% obrotu firmy. Narzędzia takie jak ATS i checklisty kontrolne powinny być przeglądane co najmniej raz w roku, bo brak aktualizacji procedury jest najczęściej wykrywanym uchybieniem podczas kontroli.
Najczęściej zadawane pytania
Standardowy wzór klauzuli to: „Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. 2018 poz. 1000, oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. — RODO)”. Klauzula powinna być umieszczona na końcu CV, czytelnym fontem.
Tak. Bez wyraźnej zgody kandydata pracodawca nie ma podstawy prawnej do przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 lit. a RODO. CV bez klauzuli powinno zostać niezwłocznie usunięte z systemów rekrutera lub odesłane z prośbą o uzupełnienie zgody. Brak reakcji firmy oznacza naruszenie RODO z konsekwencjami prawnymi do 20 mln euro lub 4% rocznego obrotu.
Standardowo do 6 miesięcy od zakończenia procesu rekrutacyjnego — dłużej tylko za wyraźną, oddzielną zgodą kandydata na przyszłe rekrutacje. Okres 6 miesięcy odpowiada terminowi przedawnienia roszczeń kandydata wobec procesu rekrutacyjnego (np. dyskryminacja). Po upływie tego okresu CV musi zostać trwale usunięte z głównej bazy, kopii zapasowych i archiwów. UODO weryfikuje to podczas kontroli.
Nie. RODO wymaga, aby zgoda była dobrowolna, świadoma i jednoznaczna. Łączenie zgody na bieżącą rekrutację z zgodą na zachowanie CV na przyszłe nabory w jednym zdaniu narusza zasadę dobrowolności i może być uznane przez UODO za nieważne. Najlepsza praktyka: dwa oddzielne checkboxy lub akapity — kandydat musi mieć możliwość zaznaczenia każdej zgody niezależnie.
Maksymalne kary administracyjne wynoszą do 20 mln euro lub 4% rocznego światowego obrotu firmy — wyższa z tych kwot. W praktyce UODO stosuje gradację. W 2024-2025 zasądzono m.in. 1,2 mln zł dla agencji pracy za przechowywanie CV bez zgody, 460 tys. zł dla portalu rekrutacyjnego za niewłaściwe zabezpieczenie danych, 250 tys. zł dla średniej firmy IT za brak realizacji prawa do usunięcia.
Zgodnie z art. 13 RODO: tożsamość i dane kontaktowe administratora, dane inspektora ochrony danych (jeśli wyznaczony), cele i podstawę prawną przetwarzania, ewentualne uzasadnione interesy, odbiorców danych (np. agencja, ATS), informację o transferze poza EOG, okres przechowywania danych, prawa kandydata (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw) oraz prawo wniesienia skargi do UODO. Brak choćby jednego elementu naraża na karę.
Dwie opcje: niezwłocznie usunąć dokument z systemu, skrzynki mailowej i kopii (brak zgody = brak podstawy do przetwarzania) lub skontaktować się z kandydatem mailem zwrotnym z prośbą o uzupełnienie zgody przez link w systemie ATS. Druga opcja jest stosowana przy silnie pożądanych kandydatach. Do momentu uzyskania zgody dane nie mogą być dalej przetwarzane — np. przekazane menedżerowi do oceny.
Szymon Mojsak
Szymon Mojsak to ekspert automatyzacji procesów biznesowych oraz specjalista ds. HR z wieloletnim doświadczeniem w wdrażaniu zaawansowanych rozwiązań IT w obszarze zarządzania zasobami ludzkimi. Jako współwłaściciel RCPonline, lidera rynku systemów rejestracji czasu pracy, łączy dogłębną wiedzę technologiczną ze zrozumieniem wymogów prawnych oraz specyfiki branży HR. Regularnie tworzy treści i analizy w oparciu o aktualne standardy branżowe, koncentrując się na bezpieczeństwie, skuteczności i transparentności procesów, co przekłada się na realną wartość dla klientów biznesowych.
Ładowanie komentarzy...