Pracownicze plany kapitałowe – podstawy i okresy przechowywania danych
Podstawa i okres przechowywania danych. Pracownicze Plany Kapitałowe a przetwarzanie danych zgodnie z RODO. Zbieranie danych o uczetnikach PPK
Dane identyfikujące uczestników Pracowniczych Planów Kapitałowych
Dane uczestników PPK w postaci adresu e-mail i numeru telefonu osoby zatrudnionej pracodawcy powinni przekazywać na podstawie zgody tej osoby. Przekazywanie danych osobowych pracowników w związku z tworzeniem, wdrażaniem i prowadzeniem pracowniczych planów kapitałowych musi odbywać się z poszanowaniem zasady ograniczenia przechowywania danych osobowych bez względu na podstawę zatrudnienia. W przypadku dokumentacji dotyczącej uczestnika PPK okres jej przechowywania, zgodnie z przepisami prawa, wynosi 10 lat.
Ustawa o pracowniczych planach kapitałowych a przetwarzanie danych
Od 1 stycznia 2019 r. zaczęła obowiązywać ustawa o pracowniczych planach kapitałowych zobowiązująca pracodawców do terminowego wdrożenia PPK. Do 26 września pracodawcy zatrudniający co najmniej 250 osób powinni zawrzeć umowy o zarządzenie PPK. Ponieważ okazało się, że nowe przepisy mogą rodzić wątpliwości pracodawców co do podstaw prawnych przetwarzanych danych oraz okresów ich przechowywania, Prezes UODO – w odpowiedzi na kierowane do niego pytania – przedstawił swoje stanowisko w tym zakresie. Wskazał, że przepisy regulujące funkcjonowanie PPK wskazują otwarty katalog informacji, które należy przekazać w związku z umową o prowadzenie PPK. Wśród tych informacji wymieniono „dane identyfikujące uczestnika PPK”. Na gruncie tej ustawy „danymi identyfikującymi uczestnika PPK” mogą być: imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL (data urodzenia w przypadku osób nieposiadających numeru PESEL), seria i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego.
Dane identyfikujące pracownika a zapisy RODO
W oparciu o umowę o prowadzenie PPK pracodawca przekazuje dane identyfikujące uczestnika PPK, czyli osoby przez siebie zatrudnionej (w tym również dane o numerze telefonu i adresie poczty elektronicznej). Pozyskiwanie przez pracodawcę danych pracowników w postaci numeru telefonu i adresu poczty elektronicznej nie wynika z przepisów ustawy o PPK, ani z przepisów Kodeksu pracy. Co więcej, pracodawca może nie posiadać takich danych. Poza tym brak jest w polskim porządku prawnym przepisów zobowiązujących osoby fizyczne do posiadania numeru telefonu i poczty elektronicznej. W związku z tym należy zachować prawo do dobrowolności posiadania takich środków komunikacji i ich ujawniania. Prezes UODO podkreślił, że dane pracownika, który będzie uczestnikiem PPK, przekazywane w umowie o prowadzenie PPK mają go identyfikować. Natomiast dane takie jak numer telefonu i adres poczty elektronicznej są to dane służące do szybszego – niż za pośrednictwem poczty tradycyjnej – kontaktu z osobą fizyczną. Zatem to nie przepis prawa powinien być podstawą do zbierania takich danych tylko udzielona przez pracownika zgoda, której warunki udzielenia muszą odpowiadać art. 221 a Kodeksu pracy oraz art. 6 ust. 1 lit. a RODO. Nie jest przy tym istotne czy dane zostaną zebrane przed, czy po zawarciu umowy o zarządzanie PPK. Ważny jest cel ich pozyskiwania, którym nie powinna być identyfikacja uczestnika PPK, w sytuacji kiedy będzie on już identyfikowany numerem PESEL, serią i numerem dowodu osobistego lub numerem paszportu albo innego dokumentu potwierdzającego tożsamość oraz spełnienie wobec pracownika obowiązku informacyjnego z art. 13 RODO. Dodatkowo trzeba pamiętać, że w sytuacji, w której przedmiotowe dane nie będą już niezbędne do celu, w jakim zostały zebrane powinny zostać usunięte (cofnięcie zgody na przetwarzanie danych, rezygnacja z dokonywania wpłat do PPK).
Przechowywanie dokumentacji uczestnika PPK
Co do okresu przechowywania dokumentacji dotyczącej uczestnika PPK, Prezes UODO wyjaśnił, że w przepisach ustawy o PPK brak jest regulacji w tym zakresie. Kwestia ta nie została też szczegółowo uregulowana również w przepisach wykonawczych odnośnie dokumentacji pracowniczej. Należy jednak mieć na uwadze, że instytucja PPK jest ściśle powiązana z dokumentacją dotyczącą ustalania wymiaru wynagrodzenia, zatem okres przechowywania takiej dokumentacji wynosił będzie 10 lat, zgodnie z przepisami ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (art. 125 a ust. 4 a). Obowiązek prowadzenia przez pracodawcę dokumentacji pracowniczej dotyczącej wypłaconego wynagrodzenia reguluje też §6 pkt. 3 rozporządzenia w sprawie dokumentacji pracowniczej. Ponadto art. 94 ust. 9 b Kodeksu pracy nakłada na pracodawcę obowiązek przechowywania dokumentacji pracowniczej przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej. W związku z powyższym słuszne będzie stosowanie takich samych zasad przechowywania dokumentacji uczestnika PPK niezależnie od formy jego zatrudnienia.
Źródło: Newsletter UODO dla Inspektorów Ochrony Danych, nr 6/2019 (6), wrzesień 2019 r.