Ochrona Danych Osobowych
PPK Pracownicze plany kapitałowe ochrona danych osobowych

25 października 2019 roku upływa dla firm zatrudniających ponad 250 pracowników termin na zawarcie umowy o prowadzenie pracowniczych planów kapitałowych. Zakres postanowień, jakie musi zawierać taka umowa określa art. 20 ust. 1 ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych.. O jakich kwestiach w związku z przetwarzaniem danych osobowych należy pamiętać w związku z PPK?

Podstawa prawna przetwarzania danych osobowych

Zgodnie z punktem 2 - obowiązkowym elementem umowy jest wskazanie danych identyfikujących uczestnika PPK. Ustawa określa w części definicyjnej czym są dane identyfikujące, są to: imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL lub datę urodzenia wprzypadku osób nieposiadających numeru PESEL, serię i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego.

I tutaj pojawiła się wątpliwość wielu administratorów danych – na jakiej podstawie prawnej udostępniać instytucji zarządzającej PPK dane osobowe? Co z danymi, których pracodawca nie ma obowiązku posiadać?

Podstawowe dane identyfikacyjne

Wydaje się, że podstawowe dane identyfikacyjne, tj. imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer PESEL lub datę urodzenia w przypadku osób nieposiadających numeru PESEL pracodawca przekazuje w wypełnieniu obowiązku prawnego, jaki nałożyła na niego ustawa.

Dane dodatkowe

Porównanie zakresu odbieranych danych wynikających z art. 221kodeksu pracy z danymi identyfikacyjnymi członków PPK wskazanymi w art. 2 ust. 3 ustawy, wskazuje na 3 dane, których pracodawca nie musi posiadać na gruncie kodeksu pracy, są nimi:

1) numer telefonu,

2) adres e-mail,

3) rodzaj i serię dokumentu potwierdzającego tożsamość.

Numer telefonu i adres e-mail

Stanowisko odnośnie dwóch pierwszych danych, tj. numeru telefonu i adresu e-mail zajął niedawno Prezes Urzędu Ochrony Danych Osobowych (m.in. w newsletterze nr 6). Prezes wskazał, że dane uczestników PPK mają ich identyfikować, zaś numer telefonu i adres e-mail służą do szybszego kontaktu, a nie identyfikacji. Tym samym ich przekazanie w ramach umowy o zarządzanie PPK powinno się odbywać na podstawie zgody udzielonej przez pracownika zgodnie z wymaganiami art. 221ak.p. i art. 6 ust. 1 lit a RODO.

Rodzaj i seria dokumentu potwierdzającego tożsamość

Rodzaj i seria dowodu osobistego lub paszportu budzi wątpliwości z dwóch powodów. Pierwszym jest argumentacja zaprezentowana przez Prezesa UODO, który w swoim stanowisku wskazuje na identyfikacyjny walor przekazywanych informacji. Tym samym Prezes zdaje się wskazywać na konieczność podania jednej z alternatywnych 4 danych: „ważny jest cel ich pozyskiwania [numeru telefonu lub adresu e-mail], którym nie powinna być identyfikacja uczestnika PPK w sytuacji, kiedy będzie on już identyfikowany numerem PESEL lub serią i numerem dowodu osobistego lub numerem paszportu albo innego dokumentu potwierdzającego tożsamość”. Zgodnie z zasadą minimalizacji - imię i nazwisko, adres zamieszkania, adres do korespondencji wraz z numerem PESEL pozwalają niewątpliwie na identyfikację członka, pozostałe dane mogą być uznane za nadmiarowe.

Z drugiej strony, nie można nie uwzględnić obowiązków, jakie na instytucje finansowe nakładają przepisy AML. Na ich podstawie instytucja musi dostosować środki bezpieczeństwa finansowego do przeprowadzonej przez siebie oceny ryzyka. To wynik tej oceny ryzyka może prowadzić instytucje, ale nie musi, do zastosowania uproszczonych środków bezpieczeństwa. O konieczności pobierania danych odnośnie rodzaju i serii dokumentu potwierdzającego tożsamość  decyduje zatem instytucja finansowa, to ona jest bowiem wyłącznie odpowiedzialna za wypełnienie obowiązków zastosowania odpowiednich środków bezpieczeństwa finansowego.

Wydaje się zatem, że przekazanie tych danych może odbyć się w związku z uzasadnionym prawnie interesem osoby trzeciej, tj. instytucji finansowej.

Czas przechowywania danych

Prezes UODO pomógł także pracodawcom w określeniu okresu przechowywania dokumentacji związanej z PPK. Zastosowanie znajdzie norma z art. art. 125a ust. 4a ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, mówiąca o konieczności przechowywania dokumentacji powiązanej z wymiarem wynagrodzenia przez 10 lat, a także art. 94 ust. 9b Kodeksu pracy, który nakłada na pracodawcę obowiązek przechowywania dokumentacji pracowniczej przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł.

Pozostałe obowiązki

Przetwarzanie danych w ramach PPK będzie stanowiło także nową czynność i cel przetwarzania danych osobowych. Pracodawca nie powinien zatem zapominać o konieczności uzupełnienia rejestru czynności przetwarzania, a także przekazania pracownikom nowego obowiązku informacyjnego.