Czy przekazując te dane do TFI, musimy mieć zgodę zatrudnionego na przetwarzanie jego danych osobowych? Prezes Urzędu Ochrony Danych Osobowych uważa, że tak. Resort pracy i eksperci twierdzą, że nie. To nadmierny wymóg. Podstawa prawna do tego wynika wprost z ustawy o pracowniczych planach kapitałowych – przekonują.
UODO uważa, że adres e-mail i numer telefonu można przekazać TFI wyłącznie wtedy, gdy pracownik wyrazi wcześniej zgodę na przetwarzanie tych danych osobowych. Organu nadzoru nie przekonuje, że podstawa do tego jest w ustawie o pracowniczych planach kapitałowych. W newsletterze wysłanym do inspektorów ochrony danych pisze wyraźnie i stanowczo, że dane identyfikujące uczestników pracowniczych planów kapitałowych należy przekazywać na podstawie zgody. A art. 2 ust. 1 pkt 3 ustawy o PPK nie wystarczy, by nimi rozporządzać.
Stanowisko urzędu to duże zaskoczenie, bo dotychczas dominował pogląd, że w opisywanym przypadku zgoda wymagana przez RODO nie jest potrzebna. – Podstawą przetwarzania danych kontaktowych przez instytucję finansową jest niezbędność do wykonania umowy z pracownikiem, a więc przesłanka z art. 6 ust. 1 pkt b RODO – tłumaczy dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. A Katarzyna Sawicka, senior associate w kancelarii Maruta Wachta, dodaje, że uzasadnieniem dla przekazania danych takich, jak e-mail czy numer telefonu, jest realizacja jednego z celów ustawy o PPK, tj. umożliwienie skutecznego kontaktu pomiędzy instytucją finansową a uczestnikiem tego systemu.
W podobnym tonie wypowiada się resort cyfryzacji. „Należy zgodzić się ze stanowiskiem UODO, że nie można nikogo zobowiązać do posiadania numeru telefonu i poczty elektronicznej. Taki pogląd (skądinąd słuszny) nie powinien być jednak jednoznaczny z wymaganiem zgody na przekazanie tych danych. Oddzielną kwestią jest bowiem dobrowolność podania danych osobowych oraz ewentualne konsekwencje ich niepodania, a odmienną ‒ kwestia podstawy prawnej (dopuszczalności) przetwarzania danych. Jeśli zatem uczestnik PPK nie posiada adresu e-mail lub numeru telefonu, to nie można uzależniać uczestnictwa w planie od posiadania tych danych. Trzeba zgodzić się, że podanie takich danych powinno być dobrowolne i nie powinno wiązać się z negatywnymi konsekwencjami dla uczestnika planu. Nie oznacza to jednak automatycznie, że podstawą przetwarzania danych ma być zgoda osoby, której dane dotyczą” – czytamy w stanowisku wydanym na prośbę DGP. Opisywany spór to kolejna odsłona dyskusji o danych identyfikacyjnych z ustawy o PPK. W wakacje dyskutowano (o czym pisaliśmy w tygodniku Kadry i Płace), czy instytucjom finansowym należy przekazywać serię i numer dowodu osobistego. Polski Fundusz Rozwoju i Ministerstwo Finansów twierdziły, że nie. Dane identyfikacyjne z ustawy o PPK urzędy dzieliły na obowiązkowe i fakultatywne i, co ciekawe, wśród tych drugich wskazywały oprócz serii i numeru dowodu osobistego również dane kontaktowe, takie jak numer telefonu i adres e-mail.
„Dane identyfikujące uczestników Pracowniczych Planów Kapitałowych w postaci adresu e-mail i numeru telefonu osoby zatrudnionej pracodawcy powinni przekazywać [instytucjom finansowym zarządzającym PPK – przyp. autorki] na podstawie zgody tej osoby” – tak brzmi stanowisko prezesa Urzędu Ochrony Danych Osobowych, zawarte we wrześniowym „Newsletterze PUODO dla inspektorów ochrony danych”. [stanowisko 1]

stanowisko 1

Fragment stanowiska prezesa UODO z września 2019 r., zawarty w newsletterze dla inspektorów ochrony danych
Dane identyfikujące uczestników PPK w postaci adresu e-mail i numeru telefonu osoby zatrudnionej, pracodawcy powinni przekazywać na podstawie zgody tej osoby. Co więcej, przekazywanie danych osobowych pracowników w związku z tworzeniem, wdrażaniem i prowadzeniem pracowniczych planów kapitałowych musi odbywać się z poszanowaniem zasady ograniczenia przechowywania danych osobowych bez względu na podstawę zatrudnienia. (…)
Ponieważ okazało się, że nowe przepisy mogą rodzić wątpliwości pracodawców co do podstaw prawnych przetwarzanych danych oraz okresów ich przechowywania, Prezes UODO ‒ w odpowiedzi na kierowane do niego pytania ‒ przedstawił swoje stanowisko w tym zakresie.
(…)
W oparciu o umowę o prowadzenie PPK pracodawca przekazuje dane identyfikujące uczestnika PPK, czyli osoby przez siebie zatrudnionej (w tym również dane o numerze telefonu i adresie poczty elektronicznej). Pozyskiwanie danych przez pracodawcę danych pracowników w postaci numeru telefonu i adresu poczty elektronicznej nie wynika z przepisów ustawy o PPK, ani z przepisów Kodeksu pracy. Co więcej, pracodawca może nie posiadać takich danych. Poza tym brak jest w polskim porządku prawnym przepisów zobowiązujących osoby fizyczne do posiadania numeru telefonu i poczty elektronicznej i w związku z tym należy zachować prawo do dobrowolności posiadania takich środków komunikacji i ich ujawniania.
Prezes UODO podkreślił, że dane pracownika, który będzie uczestnikiem PPK, przekazywane w umowie o prowadzenie PPK mają go identyfikować. Natomiast dane takie jak numer telefonu i adres poczty elektronicznej są to dane służące do szybszego – niż za pośrednictwem poczty tradycyjnej – kontaktu z osobą fizyczną. Zatem to nie przepis prawa powinien być podstawą do zbierania takich danych tylko udzielona przez pracownika zgoda, której warunki udzielenia muszą odpowiadać art. 221a Kodeksu pracy oraz art. 6 ust. 1 lit. a RODO. Nie jest przy tym istotne, czy dane zostaną zebrane przed czy po zawarciu umowy o zarządzanie PPK. Ważny jest cel ich pozyskiwania, którym nie powinna być identyfikacja uczestnika PPK, w sytuacji kiedy będzie on już identyfikowany numerem PESEL lub serią i numerem dowodu osobistego lub numerem paszportu albo innego dokumentu potwierdzającego tożsamość oraz spełnienie wobec pracownika obowiązku informacyjnego z art. 13 RODO.
Dodatkowo trzeba pamiętać, że w sytuacji, w której przedmiotowe dane nie będą już niezbędne do celu, w jakim zostały zebrane, powinny zostać usunięte (cofnięcie zgody na przetwarzanie danych, rezygnacja z dokonywania wpłat do PPK).
Co do okresu przechowywania dokumentacji dotyczącej uczestnika PPK prezes UODO wyjaśnił, że w przepisach ustawy o PPK brak jest regulacji w tym zakresie. Kwestia ta nie została też szczegółowo uregulowana również w przepisach wykonawczych odnośnie do dokumentacji pracowniczej. Należy jednak mieć na uwadze, że instytucja PPK jest ściśle powiązana z dokumentacją dotyczącą ustalania wymiaru wynagrodzenia, zatem okres przechowywania takiej dokumentacji wynosił będzie 10 lat, zgodnie z przepisami ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (art. 125a ust. 4a).
Obowiązek prowadzenia przez pracodawcę dokumentacji pracowniczej dotyczącej wypłaconego wynagrodzenia reguluje też § 6 pkt 3 rozporządzenia w sprawie dokumentacji pracowniczej. Ponadto art. 94 ust. 9b Kodeksu pracy nakłada na pracodawcę obowiązek przechowywania dokumentacji pracowniczej przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej. W związku z powyższym słuszne będzie stosowanie takich samych zasad przechowywania dokumentacji uczestnika PPK niezależnie od formy jego zatrudnienia.

stanowisko 2

Stanowisko Ministerstwa Cyfryzacji z 20 września 2019 r. wydane dla DGP
Definicja danych identyfikujących uczestnika PPK zawarta w art. 2 ust. 1 pkt 3 ustawy o PPK wymienia numer telefonu i adres poczty elektronicznej uczestnika PPK. A zatem wszędzie tam, gdzie w ustawie mowa jest o danych identyfikacyjnych, należy przez to rozumieć także te dane. Chociaż językowo nazwa „dane identyfikacyjne” jest faktycznie nieco niefortunna w odniesieniu do numeru telefonu i adresu e-mail, to jednak z prawnego punktu widzenia obejmuje ona także dane kontaktowe. Jeśli więc ustawa przewiduje, że w umowie o prowadzenie PPK określa się dane identyfikacyjne, oznacza to, że można, a wręcz jest wskazane, aby znalazły się tam informacje o numerze telefonu i adresie email uczestnika PPK (por. art. 20 ust. 1 ustawy o PPK). Za zamieszczeniem w umowie o prowadzenie PPK danych kontaktowych przemawia także interes samego uczestnika PPK np. w związku z kontynuacją uczestnictwa w PPK po zmianie pracodawcy.
Dla oceny dopuszczalności przekazania przez pracodawcę analizowanych kategorii danych istotne znaczenie ma także art. 66 ustawy o PPK. Zgodnie z tym przepisem Polski Fundusz Rozwoju S.A. jest administratorem tych danych (w rozumieniu RODO) w zakresie, których dostęp uzyskano na podstawie umowy o zarządzanie PPK, a także danych zawartych w ewidencjach, o których mowa w art. 72‒74 analizowanej ustawy.
Co istotne, jedną z nich jest ewidencja uczestników PPK. Ewidencja ta obejmuje m.in. dane identyfikujące uczestników PPK, a więc także wspomniany adres email i numer telefonu uczestnika. Aby dane te mogły znaleźć się w ewidencji muszą zostać przekazane w łańcuchu podmiotów zaangażowanych w proces przetwarzania danych uczestnika PPK. Fakt, że umowa o zarządzanie PPK ma katalog otwarty, nie stoi na przeszkodzie ich udostępnienia przez pracodawcę. Należy zgodzić się ze stanowiskiem UODO, że nie można nikogo zobowiązać do posiadania numeru telefonu i poczty elektronicznej. Taki pogląd (skądinąd słuszny) nie powinien być jednak jednoznaczny z wymaganiem zgody na przekazanie tych danych. Oddzielną kwestią jest bowiem dobrowolność podania danych osobowych oraz ewentualnych konsekwencji ich niepodania, a odmienną ‒ kwestia podstawy prawnej (dopuszczalności) przetwarzania danych.
Jeśli zatem uczestnik PPK nie posiada adresu email lub numeru telefonu, to nie ma podstaw do uzależniania uczestnictwa w planie od posiadania tych danych. Trzeba zgodzić się, że podanie takich danych powinno być dobrowolne i nie powinno wiązać się z negatywnymi konsekwencjami dla uczestnika planu. Nie oznacza to jednak automatycznie, że podstawą przetwarzania danych ma być zgoda osoby, której dane dotyczą. Ustawodawca nie utożsamia dobrowolności podania danych czy braku negatywnych konsekwencji niepodania danych z koniecznością uzyskania w każdym takim przypadku zgody osoby, której dane dotyczą.
Joanna Noga-Bogomilska
radca prawny w departamencie zarządzania danymi w Ministerstwie Cyfryzacji
Odbiło się ono szerokim echem, gdyż wśród inspektorów ochrony danych oraz prawników zajmujących się ochroną danych osobowych było powszechne przekonanie, że w tym przypadku podstawa przetwarzania danych kontaktowych wynika z ustawy i tym samym obowiązek uzyskania zgody od pracownika jest nadgorliwością. Dla przedsiębiorców interpretacja UODO oznacza bowiem problemy praktyczne. Po pierwsze, musieliby teraz od pracowników objętych PPK pozyskać zgody na przetwarzanie tego rodzaju danych osobowych. Po drugie zaś, np. zgoda pracownika na przetwarzanie danych może być przez niego wycofana. I co wtedy?
Zdaniem prezesa UODO argumentem przemawiającym za wymaganiem w tym przypadku zgody uczestnika PPK jako podstawy przetwarzania danych osobowych jest brak przepisów ustawy z 4 października 2018 r. o pracowniczych planach kapitałowych (Dz.U. poz. 2215 ze zm.) lub kodeksu pracy umożliwiających pracodawcy wprost pozyskiwanie numerów telefonów i adresów e-mail pracowników. Ponadto prezes UODO uznał, że samo posiadanie takich środków komunikacji i ujawnianie ich danych powinno być dobrowolne.
Tylko czy rzeczywiście przedsiębiorcy muszą uciekać się do uzyskiwania od pracowników zgód na przetwarzanie danych osobowych i czy na pewno nie mogą oprzeć przetwarzania danych kontaktowych uczestników PPK o inną podstawę prawną wypływającą z ustawy? Odpowiedź może dać analiza przepisów.

Co dane osobowe mają wspólnego z wdrożeniem PPK

Przypomnijmy: od 1 lipca 2019 r. pracodawcy zatrudniający co najmniej 250 osób zostali objęci obowiązkiem przystąpienia do pracowniczych planów kapitałowych. W ramach wdrożenia PPK firmy będą m.in. wybierały instytucję finansową zarządzającą PPK i zawierały z nią w imieniu pracowników umowy o prowadzenie PPK.
Zakres danych osobowych uczestnika PPK (określonych zbiorczo nieco myląco jako „dane identyfikujące uczestnika”), jakie powinna zawierać umowa o prowadzenie PPK, jest wskazany wprost w ustawie o PPK w art. 2 ust. 1 pkt 3. Są to: „imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL lub data urodzenia w przypadku osób nieposiadających numeru PESEL, seria i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość”. Spośród tych informacji nie tylko adres e-mail i numer telefonu pracownika wykraczają poza podstawowy katalog danych, jakich pracodawca zasadniczo może żądać od pracownika na gruncie przepisów prawa pracy. Do danych „obowiązkowych” nie zaliczają się również adres do korespondencji oraz (co bywa niesłusznie kwestionowane) seria i numer dowodu osobistego.

Jasne podstawy prawne przetwarzania

Skoro to pracownik jest stroną umowy o prowadzenie PPK, to podstawą przetwarzania jego danych osobowych przez instytucję finansową jest ich niezbędność do realizacji tej umowy (art. 6 ust. 1 lit. b RODO). Z kolei przetwarzanie danych przez pracodawcę powinno opierać się na ich niezbędności do realizacji jego obowiązku wynikającego z przepisu prawa (art. 6 ust. 1 lit. c RODO w zw. z art. 221 par. 4 kodeksu pracy). Rozkładając podstawę kodeksową na czynniki pierwsze: skoro na pracodawcy ciąży wynikający z przepisów ustawy o PPK obowiązek zawarcia umowy o prowadzenie PPK, której – moim zdaniem – obligatoryjnymi elementami są adres e-mail i numer telefonu pracownika, to ma on prawo żądać od pracownika podania tych danych.

Działać zgodnie ze stanowiskiem PUODO czy iść pod prąd

Stanowisko prezesa UODO zostało opisane tylko w „Newsletterze UODO dla inspektorów ochrony danych”. Na stronie internetowej organu – do której dostęp mają wszyscy ‒ go nie znajdziemy. Pojawia się więc pytanie o charakter wydanych wytycznych oraz konieczność stosowania przez przedsiębiorców zasad wskazanych w publikacji.
Uzyskanie zgód od uczestników PPK na przetwarzanie ich danych kontaktowych (adresu e-mail i numeru telefonu) oraz udostępnienie tych informacji instytucji finansowej zarządzającej PPK jest niewątpliwe podejściem bezpiecznym dla przedsiębiorcy. Oczywiste jest bowiem, że jeśli (np. na skutek skargi pracownika) kontrolerzy UODO zapukają do drzwi firmy, to będą oceniali legalność przetwarzania, najprawdopodobniej prezentując spójne podejście z interpretacją przepisów przedstawioną w ww. stanowisku prezesa UODO. Idąc jednak tą drogą, należy pamiętać:
  • aby zgoda spełniała warunki przewidziane w art. 4 pkt 11 i art. 7 RODO (tj. była dobrowolna, konkretna, świadoma i jednoznaczna oraz równie łatwa do wycofania jak jej wyrażenie);
  • że odmowa udzielenia zgody (ani jej udzielenie) nie może być podstawą niekorzystnego traktowania pracownika czy powodować wobec niego jakichkolwiek negatywnych konsekwencji (wymóg art. 221a kodeksu pracy);
  • o spełnieniu wobec pracowników objętych PPK obowiązku informacyjnego (aktualizacja treści, jeśli zgoda ma być nową podstawą przetwarzania danych pracowników).
Przedsiębiorcom niezdecydowanym, jaką interpretację przepisów powinni przyjąć, pomóc może fragment uzasadnienia decyzji Hellenic Data Protection Authority (HDPA – grecki urząd ds. ochrony danych osobowych): „W przypadku gdy administrator danych ma wątpliwości co do legalności przetwarzania danych, powinien usunąć te wątpliwości przed przetwarzaniem danych lub powstrzymać się od ich przetwarzania, dopóki wątpliwości nie zostaną usunięte”. W praktyce oznacza to powstrzymanie się od zbierania adresów e-mail i numerów telefonów pracowników oraz przerzucenie na podmiot zarządzający PPK obowiązku ich uzyskania na potrzeby realizacji umowy o prowadzenie PPK już po jej zawarciu. W tym wariancie pracodawca nie będzie pośredniczył w przetwarzaniu danych z jego perspektywy nadmiarowych i uchroni się przed ewentualnym zarzutem nieuprawnionego przetwarzania danych kontaktowych pracowników. Ponadto HDPA w jednej ze swoich decyzji uznał, że nadużywanie podstawy prawnej przetwarzania danych osobowych w formie zgody też może być sankcjonowane. [ramka 1]

Ramka 1

Grecja: sankcje za nadgorliwość
Nadużywanie podstawy prawnej przetwarzania danych osobowych w formie zgody może być sankcjonowane – tak wynika z decyzji greckiego organu nadzorczego ds. ochrony danych (o której wzmianka również pojawia się w news letterze prezesa UODO dla IOD). Hellenic Data Protection Authority (HDPA) wymierzył dużej firmie doradczej karę w wysokości 150 tys. euro za przetwarzanie danych pracowników na podstawie ich zgody, podczas gdy istniały inne podstawy prawne przetwarzania danych (w tym przypadku niezbędność do realizacji umowy o pracę, wypełnianie obowiązków prawnych pracodawcy oraz jego uzasadniony interes w postaci zapewniania sprawnego i skutecznego działania przedsiębiorstwa).
W wydanej decyzji HDPA wskazał, że przetwarzanie danych w oparciu o zgodę może mieć miejsce jedynie wtedy, gdy nie istnieją inne podstawy prawne przetwarzania w tym samym celu. Takie podejście jest związane z koniecznością zapewnienia rzeczywistej odwołalności zgody. Odbieranie zgody od pracownika sugeruje mu możliwość jej cofnięcia, skutkującego zaprzestaniem przetwarzania danych przez pracodawcę. W sytuacji gdy istnieją inne podstawy przetwarzania, konieczność wyrażenia zgody przez pracownika wprowadza go w błąd nie tylko co do faktycznych podstaw przetwarzania danych, ale też co do jego realnego wpływu na dalsze przetwarzanie danych po wycofaniu przez niego zgody.
Jednocześnie kwestią otwartą pozostaje odpowiedź na pytanie: jak działać w przypadku nieudzielenia zgody przez pracownika lub jej cofnięcia. Jak powinien w takim przypadku postąpić pracodawca? Na tym etapie UODO nie wypowiedział się szczegółowo w tym zakresie.

Ramka 2

Dane z dowodu osobistego też podzieliły rynek
Opisywany przez nas spór o dane identyfikacyjne ujawniane przez pracownika przystępującego do PPK nie jest jedyny. Już w lipcu pojawiło się pytanie, czy seria i numer dowodu osobistego muszą być podawane przez pracownika. Polski Fundusz Rozwoju i Ministerstwo Finansów przedstawiły stanowisko rozbieżne z opiniami instytucji finansowych. Podzieliły dane na obowiązkowe i fakultatywne, a wśród tych drugich wskazały oprócz serii i numeru dowodu osobistego również dane kontaktowe, takie jak numer telefonu i adres e-mail.
Dziś spór idzie dalej i dotyczy tego, czy podstawa przetwarzania tych danych wynika z ustawy czy też podstawą do ich przetwarzania powinna być zgoda zatrudnionego.

Co, jeśli dane przekazano

Przedsiębiorcy, którzy już zdążyli przekazać dane kontaktowe pracowników instytucjom finansowym, nie uzyskując uprzednio zgód na ich przetwarzanie, mogą w toku ewentualnego postępowania przed prezesem UODO powoływać się na swój obowiązek prawny jako podstawę przetwarzania danych kontaktowych uczestników PPK. Oczywiście istnieje ryzyko, że prezes UODO nie podzieli ich stanowiska. Warto jednak pamiętać, że ewentualna kara administracyjna jest środkiem stosowanym przez organ ochrony danych w ostateczności, jeśli inne uprawnienia naprawcze prezesa UODO nie będą adekwatne do stopnia naruszenia przepisów o ochronie danych osobowych. Bardziej prawdopodobne w przypadku stwierdzenia przez prezesa UODO naruszenia ochrony danych w oparciu o jego zdaniem błędną, ale przekonująco uzasadnianą przez przedsiębiorcę podstawę prawną, jest:
  • nakazanie mu dostosowania operacji przetwarzania danych do przepisów rozporządzenia, tj. odebrania od pracowników zgód i spełnienia wobec nich obowiązku informacyjnego lub
  • zakazanie dalszego przetwarzania danych.
Warto na marginesie podkreślić, że w przypadku kontroli kluczowa jest współpraca firmy z UODO na każdym etapie postępowania, a ewentualna negatywna dla przedsiębiorcy decyzja może być zaskarżona do sądu.

Ramka 3

Kłopotliwe konsekwencje
Przyjęcie, że podstawą przetwarzania danych osobowych pracownika objętego PPK jest jego zgoda – oznacza dla pracodawcy dodatkowe obowiązki, w tym m.in.:
• przygotowanie klauzul zgód na przetwarzanie danych kontaktowych pracownika (adresu e-mail oraz numeru telefonu) w celu udostępnienia ich instytucji finansowej zarządzającej PPK;
• przekazanie projektów oświadczeń o wyrażeniu zgody pracownikom z prośbą o ich akceptację oraz faktyczne zebranie tych zgód (w takiej formie, aby móc udowodnić ich wyrażenie, zgodnie z zasadą rozliczalności);
• zaktualizowanie treści obowiązków informacyjnych administratora (uwzględnienie zgody jako nowej podstawy przetwarzania danych osobowych oraz faktu, że podmiot zarządzający PPK stanie się nowym odbiorcą danych).

W poszukiwaniu innego rozwiązania

Czy jest inne rozwiązanie? Wydaje się, że nie. Załóżmy hipotetycznie, że pracodawca uznał, iż nie ma ustawowej podstawy do przetwarzania danych uczestnika PPK. W takim przypadku pracodawca zbierając od pracowników dane na potrzeby zawieranych w ich imieniu umów o prowadzenie PPK, mógłby działać jako podmiot przetwarzający dane na polecenie instytucji finansowej jako administratora. Wówczas instytucja finansowa byłaby zobowiązana do zawarcia z pracodawcą umowy powierzenia danych do przetwarzania. W ramach realizacji umowy pracodawca jako procesor wykonywałby na polecenie administratora operacje na danych osobowych polegające na zbieraniu, utrwalaniu, a następnie ujawnianiu instytucji finansowej przez przesłanie danych osobowych, których zakres odpowiada katalogowi „danych identyfikacyjnych uczestnika”, określonemu w ustawie o PPK.
Konieczność zawierania dodatkowej umowy byłaby niewątpliwie dodatkowym utrudnieniem dla przedsiębiorców, jednak nie większym niż konieczność odebrania zgód na przetwarzanie danych od każdego z ponad 250 pracowników oraz aktualizacji wobec nich obowiązku informacyjnego.
Oba te podejścia generują zatem dodatkowe obowiązki dla pracodawców, które wydają się zbędne wobec istniejących innych podstaw prawnych przetwarzania danych pracowników objętych PPK. Trzeba jednak wyraźnie zaznaczyć, że uznanie pracodawcy za procesora w relacji z podmiotem zarządzającym PPK jest oczywiście założeniem abstrakcyjnym. Przedsiębiorca, mając własne, wynikające z przepisów kodeksu pracy i ustawy o PPK, podstawy przetwarzania, jest (podobnie jak instytucja finansowa) administratorem danych osobowych. Przekazanie instytucji finansowej danych osobowych pracowników jest zatem ich udostępnieniem odrębnemu i niezależnemu administratorowi, opierającemu przetwarzanie o własną podstawę prawną.

opinia eksperta

Jest dokładnie odwrotnie, niż to twierdzi urząd

dr Paweł Litwiński adwokat w kancelarii Barta Litwiński
Stanowisko zaprezentowane przez Urząd Ochrony Danych Osobowych budzi wiele wątpliwości. Zakres danych osobowych udostępnianych przez pracodawcę w związku z umową o prowadzenie PPK określa ustawa o PPK. Są to „dane identyfikujące uczestnika PPK”, wśród których znajduje się m.in. jego numer telefonu i adres poczty elektronicznej. Ustawodawca nie czyni tutaj rozróżnienia na dane służące do kontaktu z pracownikiem, jak – wbrew przepisowi – stara się to czynić UODO. Nie jest więc tak, jak widzi to UODO, że „przepisy regulujące funkcjonowanie PPK wskazują otwarty katalog informacji, które należy przekazać w związku z umową o prowadzenie PPK”. Jest dokładnie odwrotnie, mamy tutaj katalog zamknięty wynikający z art. 20 ust. 1 pkt 2 w zw. z art. 3 ust. 1 pkt 3 ustawy o PPK. Skoro więc katalog danych został określony w ustawie o PPK, pracownikowi nie pozostawiono wolnej woli co do możliwości podania tych danych lub nie.
Ustawowy katalog danych oznacza, że pracownik musi je podać. Jest to sytuacja przewidziana w kodeksie pracy w art. 221 par. 4, zgodnie z którym pracodawca żąda podania innych danych osobowych pracownika niż wskazane w tym przepisie, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Takim obowiązkiem jest właśnie obowiązek przekazania danych do instytucji finansowej na potrzeby umowy o prowadzenie PPK.
Jest rzeczą naturalną, że pracodawca może nie dysponować numerem telefonu czy adresem poczty elektronicznej każdego swojego pracownika. W takim przypadku musi je pozyskać w celu udostępniania instytucji finansowej w związku z umową o PPK. Podstawą przetwarzania takich danych przez instytucję finansową nie jest jednak zgoda pracownika, ale niezbędność do wykonania umowy z pracownikiem, a więc przesłanka z art. 6 ust. 1 pkt b RODO. Pracodawca z kolei pozyskuje takie dane, ponieważ ma prawny obowiązek je przekazać do instytucji finansowej, a więc również nie musi zbierać zgód od swoich pracowników. Stosowanie w tym przypadku reguł wynikających z art. 221a kodeksu pracy byłoby zwyczajnie błędem.
Podstawa prawna
Art. 2 ust. 1 pkt 3, art. 3 ust. 1 pkt 3, art. 20 ust. 1, art. 66, art. 72‒74 ustawy z 4 października 2018 r. o pracowniczych planach kapitałowych (Dz.U. poz. 2215 ze zm.).
Art. 221 par. 4, art. 221a, art. 94 ust. 9b ustawy z 26 czerwca 1974 r. ‒ Kodeks pracy (t.j. Dz.U. z 2019 r. poz. 1040).
Art. 4 pkt 7 i 11, art. 6 ust. 1 lit. a, b i c, art. 7, art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), RODO (Dz.Urz. UE z 2016 r. L 119, s. 1).
Art. 125a ust. 4a ustawy z 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (t.j. Dz.U. z 2018 r. poz. 1270 ze zm.).