Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
CV

CV a RODO: jak długo można przechowywać dokumenty kandydatów?

5.08.2025

CV

W procesach rekrutacyjnych pracodawcy gromadzą wiele informacji o osobach ubiegających się o zatrudnienie – od danych kontaktowych, przez przebieg kariery zawodowej, aż po szczegóły dotyczące wykształcenia, zainteresowań czy osiągnięć. Takie dane – nawet jeśli przesłane dobrowolnie – podlegają pełnej ochronie na gruncie przepisów RODO. W praktyce oznacza to, że organizacje muszą dokładnie wiedzieć, jakie dane, dlaczego i jak długo przetwarzają. Jednym z najczęstszych pytań, jakie pada w kontekście zgodności rekrutacji z przepisami o ochronie danych, jest: jak długo można przechowywać CV kandydatów?

Rekrutacja a podstawa prawna przetwarzania danych

W pierwszej kolejności należy rozróżnić sytuację, w której organizacja przetwarza CV w ramach konkretnego procesu rekrutacyjnego, od przypadku, gdy chce zatrzymać dane na potrzeby przyszłych naborów. To kluczowa różnica z punktu widzenia podstawy prawnej:

  • Art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy – dotyczy kandydatów, którzy biorą udział w danej rekrutacji.
  • Art. 6 ust. 1 lit. a RODO – zgoda osoby, której dane dotyczą – dotyczy przechowywania CV na potrzeby przyszłych rekrutacji.

Oznacza to, że po zakończeniu naboru, jeśli kandydat nie został zatrudniony, pracodawca nie ma prawa dalej przechowywać jego dokumentów – chyba że uzyska od niego odrębną, świadomą i dobrowolną zgodę na ten cel.

Jak długo można przechowywać dane po zakończeniu rekrutacji?

Jeśli kandydat nie wyraził zgody na udział w przyszłych rekrutacjach, jego dane osobowe – w tym CV – należy usunąć niezwłocznie po zakończeniu konkretnego procesu rekrutacyjnego, czyli po wyborze kandydata i podpisaniu z nim umowy. Przechowywanie takich danych „na wszelki wypadek” byłoby niezgodne z zasadą minimalizacji i ograniczenia celu przetwarzania (art. 5 ust. 1 lit. c i e RODO).

W przypadku, gdy kandydat wyraził zgodę na przetwarzanie danych na potrzeby przyszłych rekrutacji, możliwe jest ich dalsze przechowywanie. Taka zgoda musi być dobrowolna, konkretna i udzielona w sposób świadomy. Należy jednak pamiętać, że osoba, której dane dotyczą, może w każdej chwili ją wycofać, a organizacja ma obowiązek dane wówczas usunąć.

Rekomenduje się określenie maksymalnego okresu przechowywania danych, np. 6 lub 12 miesięcy – zarówno w klauzuli informacyjnej dla kandydatów, jak i w wewnętrznych procedurach (np. w polityce ochrony danych osobowych). Przejrzyste zasady to nie tylko zgodność z przepisami, ale też wyraz szacunku wobec kandydatów i ich prywatności.

Dobre praktyki w zakresie przechowywania CV

  1. Rozdziel dane bieżące i archiwalne
    Po zakończeniu rekrutacji dokumenty kandydatów, którzy nie zostali zatrudnieni, powinny być wyodrębnione i – w razie braku zgody na dalsze przetwarzanie – niezwłocznie usunięte lub zanonimizowane.
  2. Zadbaj o poprawne klauzule informacyjne
    Każda osoba aplikująca na ofertę pracy powinna otrzymać jasną informację: kto jest administratorem danych, w jakim celu i jak długo dane będą przetwarzane, jakie prawa jej przysługują oraz na jakiej podstawie prawnej odbywa się przetwarzanie.
  3. Stosuj automatyzację procesów
    W systemach e-rekrutacji warto wdrożyć funkcje automatycznego usuwania CV po określonym czasie lub przypomnienia o konieczności usunięcia danych, których termin przechowywania już upłynął.
  4. Zabezpieczaj dane przed nieuprawnionym dostępem
    Dostęp do CV powinni mieć wyłącznie upoważnieni pracownicy HR lub osoby biorące udział w rekrutacji. Udostępnianie danych dalej (np. w ramach „przesyłania CV dalej do znajomego działu”) bez zgody kandydata narusza zasadę ograniczenia celu.
  5. Nie przechowuj CV „na wszelki wypadek”
    Brak wyraźnego celu przetwarzania (np. „może się kiedyś przyda”) oznacza, że dane powinny zostać usunięte. Przechowywanie „na zapas” narusza RODO.

Co grozi za nieprzestrzeganie zasad?

UODO przypomina, że nawet tak podstawowy błąd, jak brak zgody na przetwarzanie CV po zakończeniu rekrutacji, może skutkować skargą kandydata i wszczęciem postępowania. W praktyce, najczęstsze nieprawidłowości to:

  • przechowywanie CV bez zgody lub po upływie okresu retencji,
  • brak odpowiednich informacji w klauzulach informacyjnych,
  • dostęp do danych kandydatów przez osoby nieupoważnione.

W skrajnych przypadkach może to skutkować karą finansową, choć często organ nadzorczy stosuje najpierw środki naprawcze – nakaz usunięcia danych lub dostosowania procesu do przepisów.,

Podsumowanie

Rekrutacja to jeden z najbardziej wrażliwych procesów z punktu widzenia ochrony danych osobowych. CV zawierają często bardzo szczegółowe dane – w tym szczególne kategorie (np. informacje o niepełnosprawności, przynależności związkowej, itp.). Kluczem do zgodności z RODO jest jasne określenie celu przetwarzania, ograniczenie czasu przechowywania danych oraz przejrzystość wobec kandydatów. Organizacja, która wdroży odpowiednie zasady i dokumentację, nie tylko zminimalizuje ryzyko prawne, ale również wzmocni swój wizerunek jako odpowiedzialnego pracodawcy.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści