Pracodawcy coraz częściej sięgają po narzędzia AI w codziennej pracy działów HR - od generowania opisów stanowisk, przez analizę umów, po tworzenie raportów kadrowych. Problem pojawia się w momencie, gdy do zewnętrznego systemu AI trafiają dokumenty zawierające dane osobowe pracowników. A te dane podlegają szczególnej ochronie - zarówno na gruncie RODO, jak i Kodeksu pracy.
Jakie dane pracowników przetwarza pracodawca
Art. 221 Kodeksu pracy precyzyjnie określa katalog danych, których pracodawca może żądać od pracownika. Na etapie rekrutacji są to: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe i przebieg dotychczasowego zatrudnienia. Po nawiązaniu stosunku pracy katalog rozszerza się o adres zamieszkania, numer PESEL (lub dokument tożsamości), numer rachunku bankowego i dane dotyczące dzieci (jeśli pracownik korzysta ze świadczeń).
W praktyce pracodawca dysponuje znacznie szerszym zbiorem informacji. Akta osobowe zawierają umowy o pracę, aneksy, świadectwa pracy, zaświadczenia lekarskie, informacje o wynagrodzeniu, oceny okresowe, notatki dyscyplinarne i korespondencję kadrową. Każdy z tych dokumentów zawiera dane osobowe - często w dużym zagęszczeniu.
Dane szczególnych kategorii: Pracodawca może przetwarzać dane wrażliwe pracowników (stan zdrowia, orzeczenia o niepełnosprawności, przynależność związkowa) wyłącznie wtedy, gdy istnieje ku temu wyraźna podstawa prawna - np. obowiązek zapewnienia bezpiecznych warunków pracy lub realizacja uprawnień pracowniczych. Wysłanie takich danych do zewnętrznego systemu AI bez odpowiedniej podstawy prawnej stanowi poważne naruszenie art. 9 RODO.
Kiedy pracodawca może użyć narzędzi AI do przetwarzania danych pracowników
Samo korzystanie z narzędzi AI przez dział HR nie jest zakazane. Pracodawca może używać sztucznej inteligencji do analizy dokumentów kadrowych, generowania pism, porównywania warunków umów czy tworzenia zestawień. Kluczowe jest jednak rozróżnienie między przetwarzaniem lokalnym a wysyłaniem danych do zewnętrznych systemów.
Jeżeli narzędzie AI działa lokalnie - na komputerze lub serwerze pracodawcy - dane nie opuszczają infrastruktury administratora. To najprostsza sytuacja z perspektywy RODO: pracodawca pozostaje jedynym administratorem danych i nie dochodzi do powierzenia przetwarzania.
Problem zaczyna się, gdy pracodawca korzysta z zewnętrznych narzędzi AI dostępnych przez internet - takich jak ChatGPT, Claude, Gemini czy Copilot. Wklejenie dokumentu kadrowego do takiego narzędzia oznacza przekazanie danych osobowych pracownika podmiotowi trzeciemu. I tu wchodzą w grę wszystkie obowiązki wynikające z RODO.
Podstawy prawne przetwarzania danych HR w kontekście AI
Pracodawca przetwarza dane pracowników przede wszystkim na podstawie art. 6 ust. 1 lit. b RODO (wykonanie umowy o pracę) oraz lit. c (obowiązek prawny - np. prowadzenie akt osobowych, rozliczenia z ZUS i US). Te podstawy są wystarczające do standardowego przetwarzania kadrowego.
Przekazanie danych do zewnętrznego systemu AI to jednak dodatkowa operacja przetwarzania, która wymaga odrębnej oceny. Samo istnienie stosunku pracy nie uzasadnia wysyłania danych pracownika do dowolnego narzędzia. Pracodawca musi wykazać:
- podstawę prawną dla tego konkretnego przetwarzania (najczęściej: prawnie uzasadniony interes administratora - art. 6 ust. 1 lit. f RODO)
- przeprowadzenie testu równowagi interesów - czy interes pracodawcy przeważa nad prawami pracownika
- zawarcie umowy powierzenia przetwarzania danych z operatorem narzędzia AI (art. 28 RODO)
- spełnienie obowiązku informacyjnego wobec pracowników (art. 13-14 RODO)
- w przypadku transferu danych poza EOG - zapewnienie odpowiednich zabezpieczeń (Rozdział V RODO)
W praktyce oznacza to, że pracodawca nie może po prostu wkleić listy płac do ChatGPT, żeby poprosić o analizę kosztów personalnych. Nawet jeśli intencja jest czysto operacyjna.
Ryzyka RODO przy wysyłaniu dokumentów kadrowych do zewnętrznych systemów AI
Wysłanie dokumentu kadrowego do zewnętrznego modelu AI generuje kilka kategorii ryzyka jednocześnie:
Brak umowy powierzenia
Większość pracowników i menedżerów HR korzysta z narzędzi AI na kontach indywidualnych - darmowych lub płatnych. Takie konta nie są objęte umowami powierzenia spełniającymi wymogi art. 28 RODO. Samo przekazanie danych w ten sposób stanowi naruszenie, niezależnie od tego, czy doszło do wycieku.
Transfer danych poza EOG
Serwery większości popularnych narzędzi AI znajdują się w Stanach Zjednoczonych. Przekazanie danych osobowych pracowników do USA wymaga dodatkowych zabezpieczeń - standardowych klauzul umownych (SCC) lub decyzji o adekwatności. Indywidualny użytkownik narzędzia AI nie ma możliwości spełnienia tych wymogów.
Utrata kontroli nad danymi
Regulaminy wielu narzędzi AI przewidują wykorzystanie danych wejściowych do dalszego treningu modeli. Nawet jeśli operator deklaruje brak retencji - pracodawca traci faktyczną kontrolę nad tym, co dzieje się z danymi po ich wysłaniu. A RODO wymaga, żeby administrator zachował kontrolę nad przetwarzaniem przez cały jego cykl.
Naruszenie zasady minimalizacji danych
Art. 5 ust. 1 lit. c RODO nakazuje przetwarzanie wyłącznie tych danych, które są niezbędne do realizacji celu. Jeśli pracodawca chce użyć AI do analizy struktury wynagrodzeń, nie potrzebuje imion, nazwisk ani numerów PESEL pracowników. Wysłanie pełnego dokumentu kadrowego narusza zasadę minimalizacji.
Kary w praktyce: W 2025 roku UODO nałożył karę ponad 1,4 mln zł na pracodawcę, który bez odpowiedniej podstawy prawnej przekazywał dane pracowników do zewnętrznego systemu monitorowania wydajności. Organ wprost wskazał, że pracodawca nie przeprowadził wymaganej oceny skutków dla ochrony danych (DPIA) przed wdrożeniem systemu.
Praktyczne rozwiązanie: anonimizacja dokumentów HR przed wysłaniem do AI
Najprostszym sposobem na wyeliminowanie ryzyk RODO jest usunięcie danych osobowych z dokumentu przed jego wysłaniem do narzędzia AI. Zanonimizowany dokument - taki, w którym imiona, nazwiska, numery PESEL, adresy i inne dane identyfikujące zostały zastąpione neutralnymi tokenami - nie podlega przepisom RODO. Można go wysłać do dowolnego narzędzia bez umowy powierzenia, bez DPIA i bez ryzyka naruszenia.
Proces wygląda następująco:
- Dokument kadrowy (umowa, lista płac, ocena okresowa) jest ładowany do narzędzia anonimizującego działającego lokalnie na komputerze pracodawcy.
- Narzędzie automatycznie wykrywa i zastępuje dane osobowe - imiona, nazwiska, numery PESEL, NIP, adresy, nazwy firm - neutralnymi identyfikatorami (np. OSOBA_1, PESEL_1, ADRES_1).
- Zanonimizowana treść jest wysyłana do narzędzia AI w celu analizy.
- Po otrzymaniu odpowiedzi od AI, użytkownik może lokalnie przywrócić oryginalne dane - deanonimizując wynik bez ponownego wysyłania danych osobowych na zewnątrz.
To podejście spełnia jednocześnie zasadę minimalizacji danych (art. 5 RODO), eliminuje konieczność umowy powierzenia (bo nie dochodzi do przekazania danych osobowych) i zachowuje pełną użyteczność narzędzia AI.
Anonimizuj dokumenty kadrowe przed wysłaniem do AI
Beznazwisk.pl automatycznie wykrywa i usuwa dane osobowe z dokumentów HR - imiona, nazwiska, numery PESEL, adresy, nazwy pracodawców. Wszystko działa lokalnie, na Twoim komputerze, bez wysyłania danych do chmury.
Pobierz bezpłatnieStanowisko UODO wobec profilowania pracowników przez AI
Prezes UODO wielokrotnie wypowiadał się na temat wykorzystania systemów automatycznego podejmowania decyzji w kontekście zatrudnienia. Stanowisko organu jest jednoznaczne: profilowanie pracowników za pomocą narzędzi AI podlega rygorom art. 22 RODO, który przyznaje osobom prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.
W praktyce oznacza to, że pracodawca nie może:
- podejmować decyzji o awansie, zwolnieniu lub wysokości premii wyłącznie na podstawie wyniku algorytmu AI - bez udziału człowieka
- stosować systemów oceny wydajności opartych na AI bez poinformowania pracowników o logice takiego systemu i jego konsekwencjach
- wykorzystywać narzędzi AI do monitorowania aktywności pracowników (e-maile, aktywność na komputerze, lokalizacja) bez przeprowadzenia DPIA i bez wyraźnej podstawy prawnej
UODO podkreśla również, że AI Act - który od lutego 2025 roku zakazuje określonych praktyk, a od 2027 roku wprowadza pełne wymogi dla systemów wysokiego ryzyka - klasyfikuje systemy AI stosowane w zatrudnieniu jako systemy wysokiego ryzyka. To nakłada na pracodawców dodatkowe obowiązki: ocenę zgodności, dokumentację techniczną, nadzór ludzki i przejrzystość wobec pracowników.
Praktyczne zasady dla działów HR
- Przed wysłaniem jakiegokolwiek dokumentu kadrowego do zewnętrznego narzędzia AI sprawdź, czy zawiera dane osobowe. Jeśli tak - zanonimizuj go lokalnie.
- Nie wklejaj list płac, umów o pracę, świadectw pracy ani ocen okresowych do narzędzi AI na kontach indywidualnych.
- Jeśli firma wdraża system AI do celów HR (rekrutacja, ocena wydajności, planowanie szkoleń) - przeprowadź ocenę skutków dla ochrony danych (DPIA) przed uruchomieniem.
- Poinformuj pracowników o wykorzystaniu narzędzi AI w procesach kadrowych - obowiązek informacyjny z art. 13-14 RODO dotyczy również tego kontekstu.
- Dokumentuj każde narzędzie AI używane w dziale HR w rejestrze czynności przetwarzania (art. 30 RODO).
- Pamiętaj, że zgoda pracownika nie jest dobrą podstawą prawną dla przetwarzania jego danych przez AI - ze względu na nierównowagę stron w relacji pracownik-pracodawca (motyw 43 RODO).
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.