Pracownicze Plany Kapitałowe są nowością dla polskich przedsiębiorców, a ich wdrożenie wymaga udostępniania danych pracowników podmiotom zewnętrznym. Przepisy te rodzą wiele wątpliwości wśród firm, co do legalności przetwarzania i przekazywania informacji, podstaw prawnych czy okresów przechowywania dokumentacji.
Warto wspomnieć, że Pracownicze Plany Kapitałowe wiążą się z czynnością przetwarzania danych, w którym równocześnie występuje dwóch niezależnych administratorów danych – pracodawca oraz instytucja finansowa obsługująca PPK. Każdy z tych podmiotów realizuje swoje obowiązki wynikające z ustawy, w zakresie w jakim uzyskali oni dostęp do poszczególnych informacji.
Zgodnie z przyjętą definicją, która mówi, że czynność przetwarzania to zespół powiązanych ze sobą operacji na danych, które można określić w sposób zbiorczy, w związku z celem, w jakim są one podejmowane, należy uwzględnić PPK w rejestrach czynności przetwarzania prowadzonych przez administratorów danych – wskazuje adw. Marcin Zadrożny, ekspert ds. ochrony danych.
Na ten moment pewne jest to, że wdrożenie PPK nie zawsze będzie wymagało spełnienia dodatkowego obowiązku informacyjnego wynikającego z art. 13 RODO wobec pracowników, szczególnie jeżeli klauzula informacyjna skonstruowana była w sposób ogólny i wskazuje, że administrator przetwarza dane osób zatrudnionych, w celach związanych z realizacją obowiązków prawnych ciążących na nim jako pracodawcy. Warto to jednak zrobić, ponieważ i tak pracownika należy poinformować o nowej kategorii odbiorcy danych, czyli instytucji finansowej obsługującej PPK. Jest to nowy cel przetwarzania, o którym pracownik nie był wcześniej informowany podczas zatrudniania. W tym wypadku obowiązek wystarczy wypełnić w zakresie, o których nie ma on wiedzy – chodzi o cel, podstawę prawną i czas przetwarzania.
Firma – w ramach PPK – powinna pozyskać adres poczty elektronicznej oraz numer telefonu i przekazać je do wybranej instytucji finansowej. Zgodnie z ustawą te informacje są uznawane za dane identyfikujące uczestnika PPK. Jednak nie wpisują się w standardowe informacje, których może wymagać firma zatrudniająca. Warto wskazać, że pracodawca może pozyskać inne dane pracownika – niż te zawarte w art. 22 z indeksem 1 § 4 kodeksu pracy (m.in. imię, nazwisko, PESEL) – w momencie konieczności zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Należy podkreślić, że organizacja musi przetwarzać takie dane jedynie w celu ich przekazania do wybranej instytucji finansowej. Przekazanie takich informacji nie wymaga zgody pracownika, ponieważ jest to niezbędne do wypełniania ciążącego na pracodawcy obowiązku prawnego (art. 6 ust. 1 lit. c RODO).
Należy pamiętać, że w polskim porządku prawnym nie istnieje, żaden przepis, który zobowiązywałby osobę fizyczną będącą pracownikiem do posiadania takich środków komunikacji. Wobec tego pracodawca ma obowiązek prawny przekazania danych osobowych w postaci adresu poczty elektronicznej i numeru telefonu pracownika bez posiadania jego zgody na udostępnienie danych do instytucji finansowej, jeżeli takie dane pozyskał od pracownika – podkreśla adw. Marcin Zadrożny.
Coraz więcej danych spływa do bazy PPK. Według raportu pt. Poziom partycypacji w Pracowniczych Planach Kapitałowych średni deklarowany poziom uczestnictwa w PPK w 2019 roku wynosi ponad 40 proc.
[PR]