Ochrona danych osobowych pracowników i kandydatów w dobie obowiązkowej jawności wynagrodzeń

16 czerwca 2025

Wprowadzenie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2023/970 z dnia 10 maja 2023 r. w sprawie wzmocnienia stosowania zasady równości wynagrodzeń kobiet i mężczyzn za taką samą pracę lub pracę o tej samej wartości rodzi szereg nowych obowiązków dla pracodawców, szczególnie w zakresie przejrzystości wynagrodzeń. Wprowadzanie tych regulacji nie może odbywać się kosztem prywatności pracowników i kandydatów do pracy. Ochrona danych osobowych – regulowana przede wszystkim przez RODO – stanowi naturalne ograniczenie i jednocześnie wyzwanie przy wdrażaniu postanowień dyrektywy 2023/970. Punktem wspólnym tych regulacji staje się więc potrzeba zapewnienia transparentności przy jednoczesnym zachowaniu wysokiego poziomu ochrony danych osobowych pracowników.

 

Wpływ dyrektywy 2023/970 na proces rekrutacji

 

Jednym z głównych obszarów, na które wpływa dyrektywa 2023/970, jest proces rekrutacji. Nowe przepisy nakładają na pracodawców obowiązek ujawnienia przed rozmową kwalifikacyjną informacji o początkowym poziomie wynagrodzenia lub przedziale wynagrodzenia przewidzianym dla danego stanowiska. Celem tego rozwiązania jest eliminacja luki płacowej oraz zwiększenie równości płacowej już na etapie ubiegania się o pracę. Z perspektywy ochrony danych osobowych, pracodawcy muszą jednak zachować szczególną ostrożność przy przetwarzaniu informacji kandydatów w procesie rekrutacyjnym, by nie doszło do nadmiernego zbierania danych, ich nieuprawnionego ujawnienia lub przetwarzania niezgodnego z zasadą minimalizacji. Dodatkowo konieczne może być przeszkolenie osób prowadzących rekrutacje w zakresie rozgraniczenia danych jawnych (jak przedziały płacowe stanowisk) i danych osobowych kandydatów.

 

Techniczne i organizacyjne zabezpieczenia informacji o wynagrodzeniu zgodnie  z dyrektywą 2023/970

 

W związku z obowiązkiem ujawniania oraz przetwarzania danych dotyczących wynagrodzenia, kluczowe staje się wdrożenie odpowiednich środków technicznych i organizacyjnych, zgodnych z RODO. Takie środki muszą być adekwatne do stwierdzonych ryzyk związanych z przetwarzaniem danych osobowych – w tym ryzyka ujawnienia informacji o wynagrodzeniu osobom nieuprawnionym. Wymaga się, by środki te zapewniały wysoki poziom bezpieczeństwa, w szczególności poufność przetwarzanych danych. Co istotne, administrator danych – czyli najczęściej pracodawca – jest zobowiązany nie tylko do wdrożenia, ale także do wykazania skuteczności tych rozwiązań, ich regularnego przeglądu i aktualizacji. Nie wystarczy ich jednorazowe wdrożenie – niezbędne jest ciągłe monitorowanie poziomu zagrożeń i reagowanie na incydenty, co zostało potwierdzone m.in. decyzją Prezesa UODO.

W praktyce środki te mogą obejmować opracowanie polityk ochrony danych oraz konkretnych procedur, takich jak: zgłaszanie naruszeń, realizacja praw osób, których dane dotyczą, czy ograniczenie dostępu do danych o wynagrodzeniu jedynie do uprawnionych osób. Pracodawcy mogą również korzystać z zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji. Warto również stosować środki wynikające z zasady „privacy by design”, takie jak pseudonimizacja, szyfrowanie danych, ograniczenie zbieranych informacji do niezbędnego minimum, zapewnienie przejrzystości procesów przetwarzania czy umożliwienie osobom monitorowania, jak ich dane są wykorzystywane. Niezbędne jest także regularne testowanie oraz ocenianie skuteczności tych środków w celu zapewnienia ciągłości ochrony.

 

Aby dowiedzieć się więcej, zachęcamy do zapoznania się z publikacjami dostępnymi w LEX ODO:

 

Maja Pichlak | Młodsza Redaktorka
Czytaj więcej w LEX

Bez zobowiązań

Natychmiastowy dostęp

Polecane

Zapisaliśmy Twój kod rabatowy.

Twój kod rabatowy automatycznie wczyta się w koszyku.