RODO

RODO przy onboardingu pracownika: co wolno zbierać, jak długo przechowywać

Jakie dane osobowe możesz zbierać od pracownika przy zatrudnieniu? Jak długo je przechowywać? Wzór klauzuli informacyjnej i lista wymaganych zgód RODO przy onboardingu.

Zespół Onboardly··9 min czytania

RODO a zatrudnienie — podstawowe zasady

Rozporządzenie RODO (GDPR) nakłada na pracodawcę szereg obowiązków związanych z przetwarzaniem danych osobowych pracowników i zleceniobiorców. Kluczowe zasady to minimalizacja danych (zbierasz tylko to, co niezbędne), ograniczenie celu (dane zebrane do zawarcia umowy nie mogą być używane do marketingu bez odrębnej zgody) oraz ograniczenie czasu przechowywania.

Podstawą prawną przetwarzania danych pracowniczych jest art. 6 ust. 1 lit. b RODO (wykonanie umowy) w połączeniu z przepisami krajowymi — przede wszystkim art. 22¹ Kodeksu pracy oraz art. 108a ustawy o systemie ubezpieczeń społecznych.

Jakie dane możesz zbierać od pracownika przy zatrudnieniu?

Dane zbierane obligatoryjnie (art. 22¹ KP)

  • Imię (imiona) i nazwisko
  • Data urodzenia
  • Dane kontaktowe (adres zamieszkania lub do korespondencji)
  • Wykształcenie i przebieg dotychczasowego zatrudnienia
  • Numer PESEL (do celów ZUS i podatkowych)

Dane zbierane na potrzeby wypłaty wynagrodzenia

  • Numer rachunku bankowego
  • NIP (jeśli pracownik prowadzi działalność)
  • Dane do urzędu skarbowego (np. US właściwy dla miejsca zamieszkania)

Dane zbierane za zgodą pracownika

  • Numer telefonu (kontakt operacyjny)
  • Adres e-mail prywatny
  • Zdjęcie do identyfikatora lub systemu dostępu
  • Dodatkowe certyfikaty i uprawnienia

Czego NIE możesz zbierać bez szczególnej podstawy?

  • Informacji o stanie zdrowia — tylko zaświadczenie lekarskie potwierdzające zdolność do pracy na konkretnym stanowisku
  • Danych o przynależności do związków zawodowych
  • Informacji o karalności — tylko jeśli przepisy szczególne to nakazują (np. praca z dziećmi, ochrona)
  • Wizerunku biometrycznego do celów innych niż kontrola czasu pracy (art. 22²a KP)

Obowiązek informacyjny — co musi zawierać klauzula?

Przed zebraniem danych musisz przekazać pracownikowi informację o przetwarzaniu danych (art. 13 RODO). Klauzula musi zawierać:

  1. Tożsamość i dane kontaktowe administratora (firma, adres, e-mail)
  2. Dane inspektora ochrony danych (jeśli został powołany)
  3. Cele i podstawy prawne przetwarzania
  4. Ewentualne odbiorcy danych (np. biuro rachunkowe, ZUS, US)
  5. Czy dane będą przekazywane poza EOG — i na jakiej podstawie
  6. Okres przechowywania danych
  7. Prawa osoby: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw
  8. Prawo wniesienia skargi do UODO
  9. Informacja, czy podanie danych jest obowiązkowe i jakie są konsekwencje niepodania

Klauzula powinna być wręczona pracownikowi przed lub w momencie zbierania danych — nie po.

Jak długo przechowywać dokumenty pracownicze?

Okresy przechowywania akt pracowniczych są ściśle określone przez przepisy:

  • Akta osobowe pracownika zatrudnionego od 01.01.2019: 10 lat od zakończenia roku, w którym stosunek pracy ustał (art. 94 pkt 9b KP)
  • Akta pracownika zatrudnionego przed 01.01.2019: 50 lat — chyba że złożono raport informacyjny ZUS RIA, wtedy 10 lat
  • Dokumentacja płacowa: 10 lat (od 2019) lub 50 lat (przy starszych umowach)
  • Dokumentacja ZUS: 5 lat od złożenia deklaracji
  • Faktury VAT, dokumenty podatkowe: 5 lat od końca roku, w którym upłynął termin płatności podatku

Podstawa prawna 10-letniego okresu przechowywania: art. 94 pkt 9b KP oraz art. 108a ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych — to właśnie te przepisy stanowią uzasadnienie opłaty za archiwizację w chmurze.

KYC (weryfikacja tożsamości) a RODO

Weryfikacja tożsamości pracownika przez skan dokumentu i biometrię to przetwarzanie danych szczególnych kategorii (art. 9 RODO — dane biometryczne). Wymaga to:

  • Wyraźnej zgody pracownika (art. 9 ust. 2 lit. a RODO) — lub
  • Niezbędności do wypełnienia obowiązku prawnego (np. przepisy AML przy niektórych stanowiskach)

Dane biometryczne do KYC powinny być przechowywane przez dostawcę KYC (np. Sumsub) przez ściśle określony czas, a po weryfikacji zastąpione wynikiem weryfikacji (PASS/FAIL) — bez dalszego przechowywania skanu przez pracodawcę.

Powierzenie przetwarzania — kiedy jest wymagane?

Jeśli korzystasz z zewnętrznego narzędzia do onboardingu (np. Onboardly), zewnętrznego biura rachunkowego lub archiwum dokumentów, musisz zawrzeć umowę powierzenia przetwarzania danych osobowych (DPA) na podstawie art. 28 RODO. Bez niej przetwarzanie jest niezgodne z prawem, a kara ze strony UODO może sięgnąć 4% rocznego obrotu globalnego lub 20 mln EUR.

Onboardly jest zgodny z RODO

Automatyczna klauzula informacyjna, DPA z każdym podwykonawcą, serwery w UE, 10-letnie archiwum — to standard w każdym planie. Sprawdź pełną listę podwykonawców na onboardly.work/legal/sub-processors.

Tagi

RODOdane osobowe pracownikaklauzula informacyjnaonboardingUODOdokumentacja kadrowa

Zautomatyzuj onboarding z Onboardly

14-dniowy trial z pełnym dostępem — bez karty kredytowej. KYC, e-podpis umowy, auto-ZUS w jednym miejscu.

Zacznij 14-dniowy trial za darmo →

Czytaj również

Prawo pracy

Kontrola PIP przy umowie zlecenia — co sprawdza inspektor i jak się przygotować

7 min czytania

e-podpis

E-podpis na umowie zlecenia w Polsce — czy jest prawnie ważny? [2026]

5 min czytania

← Wróć do bloga
§08 — Zacznij teraz

Twój następny pracownik
onboarding zajmie 15 minut.

14-dniowy trial z pełnym dostępem. Zatrudnij 3 osoby z prawdziwymi danymi — KYC, podpis z pieczątką, teczka w Drive, eksport do kadr.

Jeśli nie zobaczysz wartości — nie kupujesz. Bez karty kredytowej.

Zacznij za darmo — 14 dni →Umów 15-minutowe demohello@onboardly.work