W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Korzystając z naszej strony akceptujesz zasady Polityki Cookie.
  • Podstawa prawna przetwarzania danych osobowych przez instytucję finansową prowadzącą i zarządzającą PPK
Artykuł:

Podstawa prawna przetwarzania danych osobowych przez instytucję finansową prowadzącą i zarządzającą PPK

29 kwietnia 2021

Małgorzata Mędrala , Radca Prawny, Doktor Nauk Prawnych |
Wiktor Sanok , Stażysta |

Ustawą z dnia 4 października 2018 r. (t.j.: Dz. U. z 2020 r. poz. 1342 z późn. zm.), która weszła w życie 1 stycznia 2019 roku zostały powołane pracownicze plany kapitałowe – prywatny, dobrowolny system długoterminowego oszczędzenia, który wchodzi w skład III filaru polskiego systemu emerytalnego. Z pewnymi wyjątkami większość podmiotów zatrudniających jest zobowiązania do tworzenia PPK dla swoich pracowników. System jest prowadzony przez instytucje finansowe, na podstawie umów o zarządzanie oraz umów o prowadzenie PPK, zawieranych przez podmioty zatrudniające w imieniu i na rzecz osób zatrudnianych. W tym kontekście pojawia się kwestia przetwarzania danych uczestników PPK, w szczególności pracowników.

Dane osobowe uczestnika PPK

Zgodnie z art. 20 ust. 1 pkt 2 ustawy o PPK umowa o prowadzenie PPK określa w szczególności dane identyfikujące uczestnika PPK. Pracodawca ma obowiązek zebrać od pracownika i przekazać odpowiedniej instytucji finansowej dane identyfikujące uczestnika PPK, do których zgodnie z ustawą należą (art. 2 ust. 1 pkt 3 ustawy o PPK):

  1. imię i nazwisko,
  2. adres zamieszkania i do korespondencji,
  3. numer telefonu,
  4. adres poczty elektronicznej,
  5. numer PESEL lub data urodzenia - w przypadku osób nieposiadających numeru PESEL,
  6. seria/numer dowodu osobistego lub numer pasportu lub innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego.

W kontekście powyższego UODO wydał stanowisko, w którym potwierdził, że pozyskanie danych identyfikujących odbywa się na podstawie przesłanki z art. 6 ust.1 lit. c RODO, tj. obowiązku prawnego ciążącego na administratorze danych. Nie ma potrzeby uzyskiwania zgody uczestnika na przetwarzania danych. Brak zgody pracownika na przetwarzanie jego danych nie będzie sprzeczny z zasadami przetwarzania danych zawartymi w RODO. Przepisy rozporządzenia ogólnego uprawniają bowiem administratora do przetwarzania danych osobowych, gdy jest to niezbędne do wypełniania ciążącego na nim obowiązku prawnego, czyli pracodawca ma obowiązek prawny przekazania danych osobowych takich jak adres poczty elektronicznej i numer telefonu od pracownika bez wyrażenia jego zgody do wybranej instytucji finansowej, jeśli pracownik takie dane mu udostępni. Z drugiej strony pracownik nie ma obowiązku posiadania własnego telefonu komórkowego czy adresu poczty elektronicznej. Dlatego też zgodnie z obecnym stanowiskiem UODO pracodawca musi przekazać numer telefonu czy poczty elektronicznej pracownika, pod warunkiem że nimi dysponuje.

Administrator danych osobowych dla celów PPK

W ustawie o PPK nie przesądzono wprost, kto jest administratorem danych dotyczących PPK. Przyjąć należy jednak, iż mamy do czynienia z dwoma odrębnymi administratorami danych osobowych, którymi są podmiot zatrudniający oraz instytucja PPK. W tym przypadku nie można mówić o powierzeniu przetwarzania danych osobowych. Administratorem danych osobowych jest  podmiot zatrudniający, który zbiera dane osobowe osób zatrudnionych dla celów PPK, wyznacza  cele i sposoby przetwarzania danych osobowych, przekazuje je instytucji finansowej, z którą zawarł umowę o prowadzenie PPK. Z kolei instytucja finansowa dla swoich własnych celów staje się odrębnym, samodzielnym administratorem danych osobowych. Przejście odpowiedzialności za przetwarzane dane osobowe następuje z datą ich przekazania przez podmiot zatrudniający instytucji finansowej.

Klauzula informacyjna

Obowiązki związane z pracowniczymi planami kapitałowymi wymagają odpowiedniej aktualizacji klauzul informacyjnych dla pracowników w zakresie przetwarzania danych osobowych dla potrzeb PPK. Podstawą prawną przetwarzania danych osobowych przez pracodawców dla celów PPK jest art. 6 ust. 1 lit. c RODO, który stwarza podstawę prawną przetwarzania danych osobowych w postaci obowiązku prawnego ciążącego na administratorze. Taką podstawą może stanowić również art. 221 § 4 kodeksu pracy, zgodnie  z którym pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3 (mię, nazwisko, adres zamieszkania, numer PESEL), gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten „nie tworzy obowiązku ujawniania danych, stwarza natomiast upoważnienie dla pracodawcy do ich żądania. Gromadzone dane muszą przy tym wykazywać związek z zatrudnieniem, a ich ujawnienia pracodawca może żądać w zależności od sytuacji podpadającej pod regulacje art. 221 k.p. albo od kandydata do pracy, albo pracownika” [M. Tomaszewska [w:] Kodeks pracy. Komentarz. Tom I. Art. 1-113, wyd. V, red. K. W. Baran, Warszawa 2020, art. 22(1).]. Obowiązkiem prawnym ciążącym na administratorze w przypadku ustawy o Pracowniczych Planach Kapitałowych, jest pozyskanie przez pracodawcę danych pracownika potrzebnych do zawarcia umowy z wybraną instytucją finansową[1]. W klauzuli informacyjnej powinna znaleźć się informacja o celu pozyskiwania przez podmiot zatrudniających danych osobowych, jak również dobrowolności ich przekazania.

Z obowiązkami aktualizacji klauzul informacyjnych (art. 13 RODO) powiązane są też obowiązki aktualizacji rejestrów czynności przetwarzania danych osobowych oraz oceny ryzyka.

Dlatego też w tym kontekście warto zadbać o odpowiednie zredagowanie klauzul informacyjnych, jak również aktualizacje pozostałych obowiązków z zakresu ochrony danych osobowych podmiotów zatrudniających.

Źródło:

  • https://uodo.gov.pl/pl/138/1251;
  • ustawa z dnia 4 października 2018 r. o pracowniczych planach kapitałowych (t.j. Dz. U. z 2020 r. poz. 1342 z późn. zm.);
  • M. Tomaszewska [w:] Kodeks pracy. Komentarz. Tom I. Art. 1-113, wyd. V, red. K. W. Baran, Warszawa 2020.

 


  1. https://uodo.gov.pl/pl/138/1251