Compliance · Poradnik

RODO a przetwarzanie CV w 2026: praktyczny przewodnik dla działów HR

Opublikowano 22 kwietnia 2026· Zaktualizowano 30 kwietnia 20269 min czytania· Autor: HR AI Assistant Team

RODO ma osiem lat, unijny AI Act już obowiązuje, a większość działów HR wciąż prowadzi pipeline'y CV, które nie przetrwałyby porządnego audytu. To praktyczny przewodnik — nie porada prawna — po tym, jak naprawdę wygląda zgodne przetwarzanie CV w 2026, łącznie z kwestią AI-screeningu, która jest dziś największym punktem ekspozycji dla rekruterów.

Co RODO faktycznie wymaga przy przetwarzaniu CV

CV staje się danymi osobowymi w momencie, gdy ląduje w twoim inboxie. To uruchamia sześć podstawowych obowiązków z RODO (art. 5 i 6):

  1. Podstawa prawna. Potrzebujesz powodu prawnego — najczęściej zgody kandydata albo "uzasadnionego interesu" w ocenie pod konkretne stanowisko.
  2. Ograniczenie celu. CV złożone na rolę A nie może być po cichu użyte do roli B sześć miesięcy później bez nowej zgody albo jasno zakomunikowanej podstawy "talent pool".
  3. Minimalizacja danych. Zbieraj to, co potrzebne do decyzji rekrutacyjnej. Zdjęcia, daty urodzenia, stan cywilny i numery PESEL zwykle oblewają ten test.
  4. Prawidłowość. Kandydaci mają prawo poprawić informacje, które o nich trzymasz.
  5. Ograniczenie przechowywania. CV nie może żyć w skrzynce w nieskończoność. Zdefiniuj okres retencji i go pilnuj.
  6. Integralność i poufność. Szyfrowanie w transporcie i spoczynku, kontrole dostępu, logi audytowe.

Dla HR konkretnie najczęstsze wpadki to ograniczenie celu, retencja i — coraz częściej — udział AI, omawiany osobno poniżej.

Podstawa prawna: zgoda vs uzasadniony interes

Praktycznie są dwie opcje przy przychodzących CV:

  • Zgoda. Kandydat zaznacza checkbox z wyraźnym tekstem "Zgadzam się, by moje CV było przetwarzane w celu oceny aplikacji na stanowisko [rola]". To najczystsza ścieżka i zgodna z ogólnym kierunkiem UE.
  • Uzasadniony interes. Argumentowalny, gdy kandydat sam wysyła CV na konkretną rolę — ma jasne oczekiwanie, że zostanie ono przeczytane. Bardziej kruchy i wymaga udokumentowanej Oceny Uzasadnionego Interesu (LIA).

Większość nowoczesnych zespołów HR używa zgody, bo jest jaśniejsza dla kandydatów i łatwiejsza do obrony. Tekst zgody musi:

  • Nazwać cel (ocena tej konkretnej roli).
  • Nazwać administratora (twoją firmę).
  • Linkować do polityki prywatności z pełnymi szczegółami.
  • Być oddzielony od innych zgód (bez łączenia z marketingowymi).
  • Być odwoływalny tak samo łatwo, jak udzielony.

Retencja: najczęstsza wpadka compliance

Większość zespołów HR ma politykę retencji CV na papierze i praktykę, która ją ignoruje. Realistyczna baza:

  • Aktywny proces rekrutacyjny: tak długo, jak rola jest otwarta + 30–90 dni na trwającą ocenę.
  • Odrzuceni kandydaci, brak zgody na przyszłe role: usunięcie w ciągu 30 dni od decyzji.
  • Odrzuceni kandydaci z wyraźną zgodą na talent pool: typowo do 12 miesięcy, z odnowieniem.
  • Zatrudnieni kandydaci: CV staje się częścią dokumentacji pracowniczej pod innymi zasadami.

Jeśli nie potrafisz z pewnością powiedzieć, jaka jest twoja polityka retencji i że jest egzekwowana automatycznie — to pierwsza rzecz do naprawy. Ręczne usuwanie nigdy nie dzieje się niezawodnie.

Minimalizacja danych w praktyce

Zgodny europejski proces CV zbiera: imię i nazwisko, dane kontaktowe, historię pracy, edukację, umiejętności, linki, które kandydat sam zdecydował się udostępnić. Nie wymaga: zdjęcia, daty urodzenia, stanu cywilnego, numeru PESEL, religii, poglądów politycznych. Jeśli CV, które dostajesz, to zawierają — to w dużej mierze poza twoją kontrolą — ale test polega na tym, czy używasz lub przechowujesz te dane.

Czysta zasada: zaczerniaj lub ignoruj cechy chronione podczas screeningu. Narzędzia AI mogą tu pomóc — dobry screener ocenia umiejętności i doświadczenie, nie zdjęcia i dane osobowe.

Unijny AI Act i screening AI

To duża zmiana w 2026. Unijny AI Act klasyfikuje systemy AI wykorzystywane do "oceny, screeningu lub filtrowania kandydatów" jako wysokiego ryzyka. Co oznacza:

  • Obowiązki transparentności. Kandydaci muszą być poinformowani, że AI bierze udział w decyzji.
  • Nadzór człowieka. Człowiek, nie model, musi podejmować ostateczną decyzję accept/reject.
  • Dokumentacja. Potrzebujesz zapisów systemu, jego celu i tego, jak jest monitorowany.
  • Monitoring uprzedzeń. Wykazalne testowanie nieproporcjonalnego wpływu na grupy chronione.

Praktycznie oznacza to:

  • Dodaj zdanie do polityki prywatności i flow zgody: "AI może być wykorzystywane do wsparcia oceny aplikacji. Ostateczne decyzje podejmuje rekruter."
  • Trzymaj rekrutera — nie model — jako formalnego decydenta. Nie odrzucaj automatycznie na podstawie wyniku.
  • Używaj narzędzi, które tworzą pisemne uzasadnienia wyników, by przegląd człowieka był substancjalny.

Praktyczna checklista konfiguracji

Zgodny pipeline przychodzących CV dla europejskiego HR:

  • Formularz aplikacyjny z wyraźnym checkboxem zgody, oddzielonym od jakiejkolwiek zgody marketingowej.
  • Polityka prywatności linkowana z formularza, nazywająca narzędzie AI screeningowe, jeśli używane.
  • Przechowywanie w systemie z kontrolą dostępu (nie współdzielona skrzynka albo folder na Drive).
  • Reguły retencji egzekwowane automatycznie — przypomnienia w kalendarzu to nie egzekwowanie.
  • Proces prawa dostępu. Gdy kandydat pyta "co o mnie macie", odpowiadasz w 30 dni.
  • Proces prawa do usunięcia. To samo — SLA 30 dni, automatyzacja gdzie to możliwe.
  • Due diligence dostawców. Dla każdego zewnętrznego narzędzia, które dotyka CV (ATS, AI screener, narzędzie do video-rozmów), DPA i jasne zrozumienie, gdzie dane są przetwarzane.

O co pytać dostawcę AI do CV

Jeśli kupujesz narzędzie AI do screeningu, pytania istotne pod RODO:

  • Gdzie przetwarzane są dane? UE, USA, gdzie indziej?
  • Czy są przechowywane i jak długo? Najsilniejsza odpowiedź to "tylko w sesji, nigdy nie zapisywane długoterminowo".
  • Czy CV są wykorzystywane do trenowania? To musi być jasne "nie" u każdego dostawcy, któremu ufasz dane kandydatów.
  • Co jest w DPA? Lista subprocesorów, lokalizacja danych, SLA powiadomień o naruszeniach.
  • Czy dokumentuje uzasadnienie scoringu? Wymagane dla sensownego nadzoru człowieka pod AI Act.

HR AI Assistant jest zbudowany pod te odpowiedzi: CV są przetwarzane w sesji użytkownika, nie są przechowywane na naszych serwerach, nie są używane do treningu, a każdy wynik ma pisemne uzasadnienie, które czyni przegląd człowieka substancjalnym.

Częste błędy do naprawienia w tym tygodniu

Jeśli odpowiadasz za pipeline HR — najwyższa dźwignia napraw:

  • Wyciągnij CV ze współdzielonych skrzynek mailowych. Brak kontroli dostępu, brak audit logu, brak retencji. To najczęstszy pojedynczy punkt awarii.
  • Dodaj zdanie o AI do polityki prywatności. To akapit. Wymagane od 2026.
  • Postaw kalendarz na faktyczne usuwanie odrzuconych CV. Albo to zautomatyzuj. Plan "ogarniemy to" nie przeżyje audytu.
  • Udokumentuj swoją podstawę prawną. Akapit na czynność przetwarzania. Audytorzy pytają o to pierwsze.

Uczciwe podsumowanie

Zgodne przetwarzanie CV nie jest szczególnie trudne, ale wymaga jawnych decyzji: podstawa prawna, którą potrafisz nazwać, polityka retencji, którą faktycznie egzekwujesz, i narzędzie AI, które wspiera — a nie zastępuje — osąd rekrutera. Zespoły, które robią to dobrze, mają przy okazji lepszy candidate experience, bo dyscyplina, która zadowala regulatora (jasność, szybkość, profesjonalizm), to ta sama, którą doceniają kandydaci.

Ten artykuł to praktyczny przegląd, nie porada prawna. Dla decyzji z realną ekspozycją porozmawiaj z prawnikiem lub IOD w swojej jurysdykcji.

Uruchom AI screening bez bólu compliance

HR AI Assistant przetwarza CV w sesji, nie przechowuje ich na naszych serwerach i tworzy pisemne uzasadnienia — taki ślad audytowy, jakiego oczekują RODO i AI Act.

Zobacz, jak to działa

Najczęściej zadawane pytania

Czy mogę używać AI do screeningu CV pod RODO?

+

Tak, pod warunkami: kandydaci muszą być poinformowani o udziale AI, człowiek musi podjąć ostateczną decyzję rekrutacyjną, a przetwarzanie danych przez narzędzie musi być zgodne (podstawa prawna, brak nieautoryzowanej retencji, udokumentowani subprocesorzy). Unijny AI Act dokłada do RODO obowiązki dokumentacyjne i monitoringu uprzedzeń dla systemów AI w rekrutacji.

Jak długo można trzymać CV kandydata?

+

Tak długo, jak potrzebne dla konkretnej roli, plus krótkie okno po decyzji — typowo 30 do 90 dni. Aby trzymać CV dłużej dla przyszłych ról ('talent pool'), potrzebujesz wyraźnej, oddzielnej zgody i zdefiniowanego okresu retencji, zwykle nie dłużej niż 12 miesięcy bez odnowienia.

Czy potrzebuję zgody na przetwarzanie CV, które kandydat sam wysłał?

+

Większość zespołów używa wyraźnej zgody (checkbox w formularzu aplikacyjnym), bo to najczystsza podstawa prawna. 'Uzasadniony interes' jest obroniony dla niesolicytowanych aplikacji na konkretną rolę, ale wymaga udokumentowanej oceny. Cokolwiek wybierzesz, udokumentuj to w polityce prywatności.

Co się dzieje, gdy kandydat poprosi o usunięcie CV?

+

Pod RODO art. 17 zwykle musisz usunąć w ciągu 30 dni, chyba że masz silną podstawę prawną do zachowania (czynne zatrudnienie, postępowanie sądowe). Udokumentuj prośbę i usunięcie. Jeśli CV jest w wielu systemach — ATS, mail, Drive, narzędzie AI — musisz usunąć ze wszystkich.

Czy AI screenery są zgodne z RODO out of the box?

+

Żaden dostawca nie jest zgodny domyślnie — zgodność to właściwość sposobu, w jaki używasz narzędzia plus jego obsługi danych. Minimalna poprzeczka: przetwarzanie w sesji bez długoterminowego storage, brak treningu na danych kandydatów, lokalizacja przetwarzania w UE lub właściwy mechanizm transferu i DPA. HR AI Assistant jest zbudowany pod te ograniczenia.

Powiązane artykuły

Rekrutacja · Playbook

Jak szybko przejrzeć 100+ CV: praktyczny poradnik dla rekruterów

Sprawdzony w boju workflow do przeglądania setek CV bez wypalenia. Zawiera framework rankingowy, budżety czasowe i narzędzia AI, które utrzymują tempo.

Rekrutacja · Poradnik

AI do analizy CV w 2026: jak działa i ile naprawdę oszczędza czasu

Praktyczny przewodnik po analizie CV przez AI — jak działa scoring, gdzie wygrywa z filtrami słów kluczowych i jak wdrożyć to zgodnie z RODO.

Wszystkie artykuły