Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

Kilka informacji o przetwarzaniu danych osobowych w ramach Pracowniczych Planów Kapitałowych (RODO, a PPK)

Pracodawca będzie zobowiązany w szczególności do utworzenia PPK, zapisania pracowników do PPK, finansowania i dokonywania wpłat do PPK, jak również do zapisywania nowo zatrudnionych osób do PPK. Takie nowe obowiązki dotyczące Pracowniczych Planów Kapitałowych wiążą się z przetwarzaniem danych osobowych uczestników PPK.

„Dane identyfikujące uczestnika PPK” to imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL lub data urodzenia w przypadku osób nieposiadających numeru PESEL, seria i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego.

Prezes Urzędu Ochrony Danych Osobowych stanął jednak na stanowisku, że dane pracownika, który będzie uczestnikiem PPK, przekazywane w umowie o prowadzenie PPK mają go identyfikować. Natomiast dane takie jak numer telefonu i adres poczty elektronicznej są to dane służące do szybszego – niż za pośrednictwem poczty tradycyjnej – kontaktu z osobą fizyczną. Zatem to nie przepis prawa powinien być podstawą do zbierania takich danych tylko udzielona przez pracownika zgoda, której warunki udzielenia muszą odpowiadać art. 221a Kodeksu pracy oraz art. 6 ust. 1 lit. a) RODO. Zdaniem Prezesa UODO ważny jest cel ich pozyskiwania, którym nie powinna być identyfikacja uczestnika PPK w sytuacji kiedy będzie on już identyfikowany numerem PESEL lub serią i numerem dowodu osobistego lub numerem paszportu albo innego dokumentu potwierdzającego tożsamość oraz spełnienie wobec pracownika obowiązku informacyjnego z art. 13 RODO. Stanowisko takie wydaje się dość kontrowersyjne, w szczególności, że ustawodawca w definicji legalnej wymienia dane, które mogą być przetwarzane jako dane identyfikujące uczestnika PPK. Praktyka wskazania podstawy prawnej do przetwarzania danych w zakresie numeru telefonu oraz adresu poczty elektronicznej pokaże czy organy kontrolne w takim przypadku będą wymagały zgody uczestnika PPK, skoro podstawa do zbierania tych danych wynika z ustawy.

Pracodawcy powinni również prawidłowo przechowywać dane osobowe i usunąć je gdy zrealizowany zostanie cel w jakim zostały zebrane. Skoro podstawą do przetwarzania numeru telefonu oraz adresu poczty elektronicznej pracownika ma być zgoda, to w przypadku rezygnacji z dokonywania wpłat do PPK czy w sytuacji cofnięcia zgody na przetwarzanie danych, ww. dane powinny zostać co do zasady usunięte.

Ustawa o pracowniczych planach kapitałowych nie wskazuje wprost okresu przez jaki pracodawca może przetwarzać zebrane na jej podstawie dane osobowe uczestników PPK. Prezes UODO wyjaśnił, że instytucja PPK jest ściśle powiązana z dokumentacją dotyczącą ustalania wymiaru wynagrodzenia, zatem okres przechowywania takiej dokumentacji wynosił będzie 10 lat od końca roku kalendarzowego, zgodnie z art. 125a ust. 4a ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych. Podobnie art. 94 ust. 9b Kodeksu pracy nakłada na pracodawcę obowiązek przechowywania dokumentacji pracowniczej przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej. Zdaniem Prezesa UODO ww. przepisy powinny mieć odpowiednie zastosowanie do przechowywania dokumentacji uczestnika PPK niezależnie od formy jego zatrudnienia.

Pracodawcy zawierający umowy o zarządzanie PPK powinni również pamiętać o zaktualizowaniu rejestru czynności przetwarzania, o ile takie rejestry prowadzą lub są zobowiązani do ich prowadzenia.