PPK a RODO
W celu ustanowienia i prowadzenia PPK dla osób zatrudnionych konieczne jest przede wszystkim podpisanie umowy o zarządzanie PPK z instytucją finansową, podpisanie umowy o prowadzenie PPK z osobą zatrudnioną oraz pobranie i przekazanie odpowiednich danych identyfikujących pracownika, które powędrują do instytucji finansowej, a następnie do ewidencji uczestników PPK. W związku z tym pojawiają się pytania dotyczące zakresu i podstaw przetwarzania danych osobowych osób zatrudnionych w celu prowadzenia dla nich PPK oraz tego, czy przedsiębiorca ma jakieś, i ewentualnie jakie, dodatkowe obowiązki wynikające dla niego w związku z wdrożeniem PPK. Odpowiadamy na nie poniżej. Zapraszamy na wpis omawiający zagadnienie PPK a RODO.
Czy RODO może utrudnić zakładanie PPK?
Przedsiębiorca nie musi podpisać umowy o powierzenie przetwarzania danych osobowych z instytucją finansową PPK. Nie ma takiej potrzeby, ponieważ przekazywanie danych do instytucji finansowej przez podmiot zatrudniający (administratora tych danych) jest ustawowym obowiązkiem przedsiębiorcy w związku z zapisaniem osoby zatrudnionej do PPK i wynika wprost z ustawy o pracowniczych planach kapitałowych, podobnie jak w wypadku przekazywania danych zatrudnionych osób do ZUS lub urzędu skarbowego. Z chwilą przekazania danych do instytucji finansowej, staje się ona ich administratorem. Tak więc podmiot zatrudniający, jak i instytucja finansowa pełnią w systemie PPK rolę administratorów danych osobowych.
Administratorem danych podmiotów zatrudniających jak i uczestników PPK jest również PFR, który prowadzi ewidencje w systemie PPK, m.in. ewidencję uczestników.
Postawą prawną przetwarzania danych osobowych osób zatrudnionych jest przepis art. 6 ust. 1 lit. c RODO, a więc obowiązek prawny ciążący na administratorze, czyli przetwarzanie jest niezbędne do wypełniania obowiązku prawnego ciążącego na administratorze – w tym wypadku chodzi o obowiązki wynikające z Ustawy PPK.
Kliknij i napisz do nas. Zapraszamy na konsultacjeCzy pracownicy muszą wyrazić zgodę na przetwarzanie danych osobowych dla celów PPK?
Nie ma takiej potrzeby. Należy wskazać, że pracodawca może przekazać dane osoby zatrudnionej, która uczestniczy w PPK, do instytucji finansowej, również jeśli osoba ta wskazała wcześniej, że nie życzy sobie przekazywania jej danych żadnym podmiotom zewnętrznym – ponieważ przekazywanie danych w tym wypadku jest obowiązkiem, a nie uprawnieniem przedsiębiorcy, związanym z ustawowym obowiązkiem wynikającym z prowadzenia PPK.
PPK a Rejestr Czynności Przetwarzania UODO – czy trzeba go zaktualizować?
W związku z koniecznością przetwarzania danych w celach związanych z prowadzeniem PPK będzie trzeba przejrzeć rejestr przetwarzania danych, i w zależności od tego jak dany podmiot w swoim rejestrze opisuje czynności przetwarzania może okazać się konieczna aktualizacja rejestru. Jeśli czynności związane z przetwarzaniem danych pracowników w swoim rejestrze opisujemy bardzo szczegółowo rozbijając je na poszczególne czynności przetwarzania może się okazać, że należy dopisać do niego czynność przetwarzania danych na potrzeby PPK. Jeśli zaś w naszym rejestrze operujemy bardziej ogólnymi nazwami kategorii to nie będzie konieczności wprowadzania zmian jeśli kategoria ta swoim zakresem obejmuje przetwarzane danych dla celów PPK (np. przetwarzanie danych związane z zatrudnieniem pracowników).
Co z oceną ryzyka przetwarzania danych osobowych dla celów PPK?
Ocenę ryzyka przetwarzania danych osobowych trzeba będzie zaktualizować w związku z celem przetwarzania danych dla celów PPK, należy m.in. uwzględnić ryzyka związane z przekazywaniem danych do instytucji finansowej, i służących do tego celu narzędzi lub systemów i procesów.
Obowiązek informacyjny PPK
Zgodnie z art. 13 ust. 4 RODO należy poinformować osoby zatrudnione o nowym celu przetwarzania oraz nowym odbiorcy danych i czasie przetwarzania. Pracownika informujemy w takim zakresie przetwarzania o jakim wcześniej go nie informowaliśmy. Należy też poinformować o możliwościach i zasadach dotyczących wycofania zgody na przetwarzanie.
Czy można przekazać numer telefonu i e-mail pracownika bez jego zgody?
Ten temat budził przez jakiś czas kontrowersje, lecz obecnie zgodnie ze stanowiskiem Prezesa UODO z dnia 8 listopada 2019 roku pracodawca w związku z obowiązkiem zawarcia umowy o prowadzenie Pracowniczych Planów Kapitałowych z wybraną instytucją finansową, musi jej przekazać numer telefonu i adres e-mail pracownika – jeżeli dysponuje tymi danymi.
Stanowisko wskazuje, że zgodnie z art. 221 § 4 kodeksu pracy pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3 (jak m.in. imię, nazwisko, adres zamieszkania czy numer PESEL), gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Takim obowiązkiem w przypadku ustawy o Pracowniczych Planach Kapitałowych, jest pozyskanie przez pracodawcę danych pracownika potrzebnych do zawarcia umowy z wybraną instytucją finansową.
Prezes UODO uznał, że jeżeli pracownik udostępnił pracodawcy swoje swój adres poczty elektronicznej oraz numeru telefonu, to pracodawca przekazuje je do instytucji finansowej bez konieczności wyrażenia na to zgody przez pracownika. Obowiązek ten ciąży na przedsiębiorcy na podstawie ustawy.
Kliknij i napisz do nas. Zapraszamy na konsultacjeJak długo przechowywać dokumentację dotyczącą danych osobowych w PPK?
Dokumentację dotyczącą uczestnika (dane osoby zapisanej do PPK) przechowujemy przez 10 lat.
W przepisach Ustawy PPK nie ma przepisów dotyczących okresu przechowywania dokumentów dotyczących udziału osób zatrudnionych w PPK, lecz do tej kwestii odniósł się również Prezes UODO, w newsletterze dla inspektorów ochrony danych z września 2019 roku, uznając, że dokumenty PPK są powiązane z dokumentacją dotyczącą ustalania wymiaru wynagrodzenia, i konsekwentnie okres ich przechowywania wynosi 10 lat, jest to okres wskazany w art. 125a ust. 4a ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych oraz § 6 pkt 3 rozporządzenia w sprawie dokumentacji pracowniczej, a także art. 94 ust. 9b kodeksu pracy, który to nakłada na pracodawcę obowiązek przechowywania dokumentacji pracowniczej przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Takie same okresy przechowywania dokumentacji powinny mieć zastosowanie do przechowywania przez przedsiębiorcę dokumentacji dotyczącej pracowniczych planów kapitałowych niezależnie od formy zatrudnienia osoby zatrudnionej, której ta dokumentacja dotyczy.
Zapisz się na newsletterPodobne artykuły
Administrator Danych Osobowych: Korespondencja z UODO w 6 krokach
Postrzeganie RODO z uwzględnieniem przepisów o zatrudnieniu pracowników
