RODO w PPK

Warto jednak przypomnieć, że od 1 stycznia bieżącego roku kolejna grupa firm została objęta ustawą z dnia 4 października 2018 r. o Pracowniczych Planach Kapitałowych (PPK). To podmioty zatrudniające co najmniej 50 osób (według stanu na 30 czerwca 2019 r.).  Z powodu pandemii zmianie uległy terminy wdrożenia PPK dla tych pracodawców. Na podstawie art. 54 ustawy z 31 marca 2020 r. o zmianie ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych oraz niektórych innych ustaw (Dz.U. z 2020 r. poz. 568, dalej ustawa o tzw. Tarczy Antykryzysowej 1.0) zyskali oni dodatkowy czas na:

• zawarcie umowy o zarządzanie PPK do 27 października 2020 r.,
• zawarcie umowy o prowadzenie PPK do 10 listopada 2020 r.

Od 1 lipca br. ustawą o PPK zostanie objęta kolejna grupa przedsiębiorców  zatrudniających co najmniej 20 pracowników, tak aby od 1 stycznia2021 r. objąć ustawą pozostałe podmioty. Wskazane podmioty to średni lub mali pracodawcy, którzy nie mają rozbudowanej administracji i niejednokrotnie na pracowników ich działów płac zostaną nałożone dodatkowe obowiązki związane z wdrożeniem PPK a potem rozliczaniem składek. W większości tych podmiotów nie został wskazany inspektor ochrony danych osobowych. Zatem ochrona danych osobowych osób zatrudnionych a w szczególności pracowników, zależy w dużej mierze od wiedzy pracowników działów płac z zakresu ochrony danych osobowych. Dlatego poniżej wskazujemy na najistotniejsze kwestie związane z RODO w PPK.

Administrator danych PPK

Ustawa o PPK nie reguluje wprost, kto jest administratorem danych dotyczących PPK. Z jej treści wynika, że to podmiot zatrudniający (m. in. pracodawca) organizuje ten proces w firmie. Wyznacza cele i środki przetwarzania danych osobowych, a następnie jako administrator udostępnia dane uczestników PPK instytucji obowiązanej, z którą zawiera umowę. Po przekazaniu danych osobowych, samodzielnie zarządza nimi już wybrana przez pracodawcę instytucja finansowa, która określając cele i środki przetwarzania tych informacji, staje się ich administratorem.

W przypadku PPK mamy zatem dwóch administratorów a kluczowym momentem przejścia odpowiedzialności za proces przetwarzania na instytucję finansową jest zawarcie umowy o prowadzenie PPK, a tym samym udostępnienie instytucji finansowej danych uczestników PPK przez pracodawcę. 

 Polecamy: INFORLEX Księgowość i Kadry

Polecamy: Monitor prawa pracy i ubezpieczeń

Dane osobowe przetwarzane w procesie PPK

W art. 2 pkt 3 ustawy o PPK zostały wskazane dane identyfikujące uczestnika PPK:

• imię (imiona), nazwisko,
• adres zamieszkania,
• adres do korespondencji,
• numer telefonu,
• adres poczty elektronicznej,
• numer PESEL lub
• data urodzenia w przypadku osób nieposiadających numeru PESEL,
• seria i numer dowodu osobistego, lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego.

Lista danych identyfikujących uczestnika PPK jest bardzo długa a firmy/pracodawcy na mocy dotychczas obowiązujących przepisów nie były zobligowane ustawowo do przetwarzania części ww. danych osobowych. Pojawiła się wątpliwość, czy te dane identyfikujące to dane niezbędne do zawarcia umowy o prowadzenie PPK oraz jaka byłaby podstawa prawna ich przetwarzania.

Podstawa do przetwarzania danych osobowych uczestników PPK

Skoro mamy dwóch administratorów, to warto zastanowić się na jakiej podstawie prawnej przetwarzają dane osobowe pracowników. Co do zasady, pracodawca jako podmiot zatrudniający jest ustawowo zobowiązany do organizacji PPK w swojej firmie, zatem w jego przypadku podstawą przetrwania będzie art. 6 ust. 1 c RODO, ponieważ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Taka też podstawa powinna być wpisana do klauzuli informacyjnej na podstawie art. 13 RODO.

Natomiast wybrana instytucja finansowa, dane osobowe uczestników PPK przetwarzać będzie na podstawie art. 6 ust. 1 b RODO. Przetwarzanie jest niezbędne do wykonania umowy o prowadzenie PPK, gdzie stroną  jest osoba, której dane dotyczą. Warto wskazać, że umowę o prowadzenia PPK zawiera wprawdzie pracodawca, ale w imieniu i na rzecz danej osoby zatrudnionej. 

Podstawa przetwarzania adresu email i numeru telefonu

Na etapie wdrażania PPK w największych firmach, pojawiły się pytania dotyczące podstawy przetwarzania adresu e-mail i telefonu pracowników oraz niezbędności tych danych dla procesu zawierania przez pracodawcą umowy o prowadzenie PPK. Zgodnie z pierwotnymi wskazówkami Prezesa UODO z września 2019 r. (newsletter UODO numer 6/2019), dane identyfikujące uczestnika PPK to otwarty katalog informacji, które należy przekazać w związku z umową o prowadzenia PPK, a nie katalog obligatoryjnych danych koniecznych do zawarcia umowy. W publikacji pojawiły się argumenty odwołujące do przepisów, które wskazują, że dane  są przekazywane w celu identyfikacji uczestnika. Zatem jeśli wskazujemy imię i nazwisko, adres zamieszkania i numer PESEL, to uczestnik PPK zostaje wystarczająco zidentyfikowany, a więc adres e-mail, czy numer telefonu nie są w tym celu konieczne. Prezes UODO wskazywał wówczas, że celem pobrania adresu e-mail, czy numeru telefonu jest ułatwienie kontaktu z uczestnikiem a nie jego identyfikacja. Tego  stanowiska nie podzielały instytucje finansowe, dlatego opinia Prezesa UODO uległa zmianie i aktualnie stoi on na stanowisku, że pracodawca w związku z obowiązkiem zawarcia umowy o PPK z wybraną instytucją finansową, musi jej przekazać numer telefonu i adres e-mail pracownika, pod warunkiem, że takimi danymi dysponuje.

Aktualnie zdaniem Prezesa UODO „pracodawca ma prawny obowiązek do pozyskania adresu poczty elektronicznej oraz numeru telefonu uczestnika PPK oraz przekazania tych danych do wybranej instytucji finansowej, ponieważ stanowią one załącznik do umowy o PPK i zostały uznane za dane identyfikujące”. Oznacza to, że na przełomie kilku miesięcy Prezes UODO całkowicie zmienił swoje stanowisko w tej sprawie. Niektóre instytucje finansowe zinterpretowały to jako obowiązek pracodawcy do podania adresu e-mail i numeru telefonu , nawet jeśli pozyskane zostały 10 lat temu i w zupełnie innym celu. Z taką nadinterpretacją stanowiska Prezesa UODO nie można się zgodzić.

Gdybyśmy jednak mieli przyjąć założenie, że to na podmiocie zatrudniającym (pracodawcy) spoczywa kolejny obowiązek przekazania takich danych instytucji finansowej, warto rozważyć następujące kwestie:

• pracodawca może nie mieć wiedzy o aktualności i kompletności tych danych, bo pozyskał je dawno i tylko je archiwizuje,
• pracodawca może nawet nie mieć wiedzy, że je przetwarza, bo zostały zanotowane w aktach osobowych 40 lat temu, które są w archiwum,
• pracodawca korzystał z nich tylko na etapie rekrutacji,
• pracodawca pozyskał  dane w wyjątkowych sytuacjach z inicjatywy pracownika z braku innej możliwości komunikacji z nim i wyłącznie w konkretnym celu np. w związku z wypadkiem przy pracy i kontaktu z pracownikiem na zwolnieniu w celu sporządzenia protokołu wypadkowego, powiadomienia o nieobecności z prywatnego e-maila pracownika, prywatnych relacji pomiędzy pracownikami i wpisania prywatnego numeru telefonu do służbowego telefonu komórkowego,
• - pracownik może zrezygnować z PPK przed zawarciem umowy o prowadzenia PPK, a  wówczas brak już podstawy prawnej do przetwarzania jego danych przez instytucję finansową.

Warto wskazać, że w większości firm osoby zatrudnione to pracownicy a z punktu widzenia przepisów prawa pracy, pracodawca dotychczas nie był zobowiązany do gromadzenia ww. danych. Większość firm, po wejściu w życie RODO usunęła ze swoich systemów i dokumentacji wszelkie nadmiarowe dane pracowników, aby nie naruszać przepisów. Dodatkowo, pracownicy nie muszą mieć adresu e-mail czy telefonu, ponieważ żaden przepis polskiego prawa ich do tego nie obliguje. Nie mają również obowiązku ujawnienia tych danych, nawet jeśli są w ich posiadaniu, np. dla celów prywatnej komunikacji, zakupów przez internet. Pracodawca wcale tych danych nie musi mieć i przy prawidłowej interpretacji aktualnego stanowiska Prezesa UODO, wcale nie musi ich poszukiwać w dokumentacji.  W związku z tym, pracodawcy zanim przekażą instytucji finansowej dane o adresie e-mail oraz telefonie powinny zadać sobie pytanie, w jakiej sytuacji je pozyskały i dla jakich celów. Jeśli udostępnią dane, które pozyskali dla zupełnie innych celów i dojdzie do ich przetwarzania niezgodnie z celem, narażą się na odpowiedzialność na podstawie RODO i kary administracyjne.

Pracodawca chcąc zastosować się z ostrożności do aktualnego stanowiska Prezesa UODO i w ochronie własnego interesu (nie biorąc na siebie odpowiedzialności za przekazanie nieprawdziwych bądź nieaktualnych danych), może jedynie dokonać próby pozyskania takich informacji dla celów PPK (nie ma narzędzi do przymuszenia pracownika do ich podania). Pozyskując dane adresu e-mail i numer telefonu powinien wskazać, że ich podanie przez pracownika jest dobrowolne i pozyskuje je wyłącznie w celu ich przekazania do wybranej instytucji finansowej oraz dopełnić pozostałych obowiązków informacyjnych wobec pracowników zgodnie z art. 13 RODO. Tylko wówczas będzie miał pewność, co do ich aktualności i zgodności ich przetwarzania z prawem.

Oczywiście pracodawca mógłby poprosić pracowników o zgodę na udostępnienie takich danych instytucji finansowej, spełniając jednocześnie obowiązek informacyjny z art. 13 RODO. Jednak stanowisko Prezesa UODO jasno wskazuje i słusznie, że zgoda nie jest w tym przypadku właściwą podstawą przetwarzania. Dodatkowo, przetwarzanie danych osobowych na podstawie zgody niesie ryzyko jej wycofania w przyszłości a wówczas konieczne byłoby zaprzestanie przetwarzania tych danych, czego pracodawca nie jest w stanie zapewnić.       

Należy mieć też na uwadze, że już sam proces wdrożenia PPK jest dla średnich i małych przedsiębiorstw  wyzwaniem organizacyjnym. Firmy z reguły zainteresowane są wykonaniem niezbędnego minimum, szczególnie, że przeciętnie tylko 40% ich pracowników chce opłacać składki na PPK. Pracownikom, którzy nie są zainteresowani uczestnictwem w PPK i chcą zrezygnować, warto zarekomendować złożenie deklaracji o rezygnacji przed zawarciem przez pracodawcę umowy o prowadzenie PPK, zanim powstanie podstawa prawna do pozyskania ich danych osobowych przez instytucję finansową.

Obowiązki podmiotu zatrudniającego z uwagi na przetwarzania danych osobowych

Z uwagi na realizację obowiązków wynikających z ustawy o PPK, na pracodawcy w związku z przetwarzaniem danych osobowych w nowym procesie, ciążą następujące obowiązki:

• udostępnienie danych osobowych instytucji finansowej będącej odrębnym administratorem danych osobowych,
• realizacja obowiązku informacyjnego, o którym mowa w art. 13 RODO w stosunku do podlegających im uczestników PPK,
• aktualizacja rejestru czynności przetwarzania (przetwarzanie danych w związku z PPK),
• ocena ryzyka naruszenia praw i wolności podmiotów danych w związku z PPK,
• ocena ochrony prywatności w fazie projektowania ewentualnych nowych rozwiązań służących m.in. wymianie danych przy procesie realizacji swych zadań powiązanych z PPK, korzystania z systemów informatycznych do obsługi PPK.

Pozostałe aspekty, na które należy zwrócić uwagę:

• weryfikacja informacji przekazywanych pracownikom przez instytucje finansowe,
• czasami  obowiązek realizacji obowiązku informacyjnego, o którym mowa w art. 14 RODO w imieniu instytucji wybranej do zarządzania lub prowadzenia PPK, jeśli wynika z umowy zawartej z instytucją finansową,
• zasady przetwarzania danych w umowie o prowadzenie PPK,
• zasady przechowywania i archiwizacji dokumentacji.

Okres przechowywania dokumentów związanych z PPK

Ustawa o PPK nie reguluje wprost również kwestii retencji danych osobowych. W dokumencie można znaleźć co najmniej kilka stanowisk dotyczących okresu przechowywania tych danych:

1. dokumentacja PPK związana jest z dokumentacją dotyczącą ustalania wymiaru wynagrodzenia, a zatem zgodnie z art. 125a ust. 4a ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych powinna być przechowywana odpowiednio przez 10 lat niezależnie od podstawy zatrudnienia,
2. art. 94 ust. 9b Kodeksu pracy, który dotyczy obowiązku pracodawcy by przechowywać dokumentację pracowniczą w sposób gwarantujący zachowanie jej poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących uszkodzeniem lub zniszczeniem przez okres zatrudnienia, a także przez okres 10 lat dla pracowników zatrudnionych po 1 stycznia 2019 r. (50 lat dla pozostałych pracowników), licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej,
3. okres przedawnienia roszczeń z tytułu wpłat do PPK wynosi 5 lat, zgodnie z art. 29 ust. 2 ustawy o PPK, więc dane o wpłatach nie powinny być dłużej przetwarzane,
4. okres odnawiania automatycznych zapisów osób, które zrezygnowały z PPK wynosi 4 lata, zatem dane tych osób nie powinny być przechowywane dłużej niż ten okres do czasu kolejnej rezygnacji lub zapisu.

Prezes UODO zdaje się optować za pierwszym 10-letnim terminem z art. 125a ust. 4a ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych. Z uwagi na treść art. 94 ust. 9b Kodeksu pracy dotyczy on wszystkich grup osób zatrudnionych (a nie tylko pracowników). Natomiast pogląd ten jest krytykowany, ponieważ składki na PPK nie wpływają na ustalenie prawa do emerytury (to system oszczędzania a nie system emerytalny). Aktualnie obronić da się każdy z powyżej wskazanych terminów, najważniejsze, aby pracodawca spełniając obowiązek informacyjny wskazał okres retencji.

Obowiązki z ustawy AML a dane osobowe uczestników

Przy przetwarzaniu danych osobowych w związku z PPK pojawiła się jeszcze jedna wątpliwa kwestia dotycząca wykonywania przez instytucje finansowe obowiązków nałożonych na nie przez ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej: ustawa AML). Ustawa ta zakłada, że każda instytucja finansowa ma obowiązek identyfikacji swoich klientów.

Zgodnie z ustawą o PPK i zawieranymi umowami o prowadzenia PPK, klientami instytucji finansowej są osoby zatrudnione (m. in. pracownicy), w których imieniu umowa jest zawierana przez pracodawcę. Powstała więc wątpliwość, czy pracodawca ma obowiązek dostarczania instytucji finansowej danych umożliwiających weryfikację pracowników w postaci numeru dowodu tożsamości. Szczególnie, że zgodnie z  art. 2 pkt 3) ustawy o PPK, spośród danych identyfikujących uczestnika PPK takich jak seria i numer dowodu osobistego, numer paszportu albo innego dokumentu potwierdzającego tożsamość podaje się wyłącznie w przypadku osób, które nie posiadają obywatelstwa polskiego a zgodnie z Kodeksem pracy, pracodawca przetwarza numer dowodu tożsamości pracownika tylko wtedy, gdy nie posiada on numeru PESEL.

Kwestią tą zajął się Generalny Inspektor Informacji Finansowej i wskazał, że uczestnictwo w PPK powinno wiązać się (zasadniczo) z niższym ryzkiem prania pieniędzy oraz finansowania terroryzmu. W związku z tym instytucja obowiązana, po spełnieniu odpowiednich procedur, może zastosować uproszczone środki bezpieczeństwa finansowego a sama informacja powinna być traktowana jako pochodząca z niezależnego i wiarygodnego źródła. Tym bardziej, że  informacja zawierająca dane identyfikacyjne uczestnika PPK (wskazane w art. 36 ust. 1 pkt 1 ustawy AML) przekazywana jest instytucji obowiązanej bezpośrednio przez podmiot zatrudniający, który opłaca z tego tytułu składki i podatki do instytucji publicznych. Informacja ta potwierdza, że podmiot zatrudniający jest płatnikiem składek na ubezpieczenie społeczne w stosunku  do uczestnika PPK, w imieniu i na rzecz którego podmiot zatrudniający zawarł umowę o prowadzenie PPK.

Stanowisko GIIF wskazuje również, że podmiotem obowiązanym do przeprowadzenia procedur wynikających z ustawy AML jest instytucja obowiązana a nie podmiot zatrudniający (pracodawca). Zatem pracodawcy nie powinni dopuszczać do sytuacji, gdy na mocy umowy o zarządzanie PPK to na nich przerzucane są obowiązki z ustawy AML m. in identyfikacji klientów (uczestników PPK) a w jej efekcie przetwarzają serię i numer dowodu osobistego, lub numer paszportu, albo innego dokumentu potwierdzającego tożsamość bez podstawy prawnej. Instytucje finansowe posiadają bowiem dużo większą wiedzę z zakresu ustawy AML a po zawarciu umowy o uczestnictwa w PPK mają możliwość samodzielnej weryfikacji uczestników PPK.

Katarzyna Małaniuk, radca prawny, Manager w poznańskim oddziale Rödl & Partner