Aktualności

Obowiązki pracodawcy w związku z przetwarzaniem danych osobowych pracowników - Pracownicze Plany Kapitałowe

Obowiązki pracodawcy w związku z przetwarzaniem danych osobowych pracowników - Pracownicze Plany Kapitałowe

Zakładanie pracowniczych planów kapitałowych (PPK) wiąże się dla pracodawców z wieloma wyzwaniami, również w sferze ochrony danych osobowych.

Poniższy artykuł zawiera wskazówki jak przygotować się do wdrożenia PPK zgodnie z wymogami w zakresie ochrony danych osobowych.

  1. czy pracodawca musi zawrzeć umowę przetwarzania danych osobowych z instytucją finansową?

Co do zasady nie ma potrzeby zawierania takiej umowy. Dane osobowe uczestników PPK przekazywane są przez pracodawcę instytucji finansowej na zasadzie udostępnienia pomiędzy niezależnymi administratorami.

Z samej umowy o prowadzenie PPK z instytucją finansową może jednak wynikać, że zleci ona pracodawcy działanie w jej imieniu w ramach wybranych czynności związanych z realizacją umowy, które będzie wymagało przetwarzania danych osobowych. W takim przypadku konieczne może okazać się zawarcie umowy powierzenia przetwarzania danych osobowych dotyczącej określonego zakresu działań. Pracodawca będzie wtedy występował w podwójnej roli - administratora danych udostępniającego dane identyfikujące uczestników PPK oraz procesora co do danych powierzonych w związku z wykonywaniem czynności na rzecz instytucji finansowej. Podobna konstrukcja jest często stosowana np. w przypadku umów z podmiotami świadczącymi usługi benefitów pracowniczych.

  1. jakie dane osobowe pracowników należy przekazać do instytucji finansowej?

Zakres danych osobowych uczestników pracowniczych planów kapitałowych przekazywanych do instytucji finansowej obejmuje:

- imię (imiona), nazwisko,
- adres zamieszkania,
- adres do korespondencji,
- numer telefonu,
- adres poczty elektronicznej,
- numer PESEL lub datę urodzenia w przypadku osób nieposiadających numeru PESEL,

serię i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego.

Dane te stanowią załącznik do umowy o prowadzenie PPK.

Uwaga! Numer telefonu i adres poczty elektronicznej należy przekazać tylko w sytuacji, jeżeli pracownik udostępni je pracodawcy. Posiadanie skrzynki mailowej i telefonu przez pracowników jest dobrowolne i nie można od nich wymagać, by założyli je na potrzeby uczestnictwa w PPK.

  1. na jakiej podstawie pracodawca przekazuje dane osobowe pracowników instytucji finansowej?

Podstawą przetwarzania danych osobowych pracowników - uczestników PPK jest art. 6 ust. 1 lit. c RODO, a więc wypełnianie obowiązków prawnych ciążących na pracodawcy jako administratorze danych osobowych.

W związku z tym nie ma potrzeby uzyskiwania zgód pracowników na przetwarzanie ich danych osobowych w tym celu, również wtedy jeżeli przekazali oni pracodawcy swój numer telefonu lub adres email.

Oparcie przetwarzania danych osobowych uczestników PPK na art. 6 ust. 1. lit. c RODO potwierdził ostatecznie Prezes Urzędu Ochrony Danych Osobowych (UODO), mimo że we wcześniejszych zaleceniach Urząd Ochrony Danych Osobowych wskazywał na konieczność zbierania dodatkowych zgód pracowników na przekazanie do instytucji finansowej ich adresu email i numeru telefonu.

  1. jak długo należy przechowywać dane osobowe przetwarzane w związku z obsługą PPK?

Okres przechowywania danych osobowych uczestników PPK nie wynika wprost z przepisów ustawy. Pewne wskazówki w tym zakresie dla administratorów przekazał jednak w newsletterze dla inspektorów ochrony danych UODO. Według jego oceny, termin przechowywania dokumentacji powinien wynosić tyle samo, co w przypadków innych dokumentów związanych z określaniem wysokości wynagrodzenia, a więc 10 lat.

Część ekspertów poddaje jednak w wątpliwość, czy dane te faktycznie mają związek z ustalaniem wynagrodzenia, a w związku z tym, czy wskazany przez Prezesa UODO okres nie jest zbyt długi. Dotyczy to zwłaszcza dokumentów nie związanych z wpłatami na PPK takich jak np. deklaracja odstąpienia od PPK, dla której okres 4 letni wydaje się bardziej odpowiedni. Ponieważ Prezes UODO zapowiedział przygotowanie dla pracodawców wskazówek w związku z prowadzeniem PPK, być może kwestia ta zostanie poddana dalszej analizie.

  1. co jeszcze trzeba zrobić by proces przetwarzania danych osobowych w związku z PPK był zgodny z RODO?

Założenie PPK jak każdy nowy proces przetwarzania w organizacji, powinien być wdrożony z uwzględnieniem zasad privacy by design i privacy by default. Należy więc przede wszystkim zweryfikować ryzyko związane z przetwarzaniem w tym celu danych osobowych, a w razie potrzeby przeprowadzić dodatkowo ocenę skutków - DPIA i na tej podstawie dostosować środki bezpieczeństwa. W szczególności warto zastanowić się w jaki sposób bezpiecznie przekazywać dane osobowe do instytucji finansowej tak by uniknąć ich przypadkowego ujawnienia osobom trzecim.

Pracodawca powinien również uzupełnić rejestr czynności przetwarzania o nowy proces oraz przejrzeć dotychczasowe klauzule informacyjne dla pracowników. W przypadku szczegółowego określenia celów i podstaw przetwarzania, mogą one wymagać aktualizacji. Jeżeli obsługę PPK powierzono konkretnym pracownikom, należy również zweryfikować zakres ich upoważnień do przetwarzania danych osobowych.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa