Przede wszystkim należy zaznaczyć, że dane zawarte w dokumencie PIT-11 są danymi osobowymi pracownika wskazanego w tym dokumencie i powinny być przetwarzane wyłącznie przez upoważnione do tego osoby. Informacje te – jako stanowiące dane osobowe – korzystają z ochrony prawnej określonej w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). To zaś oznacza, że pracodawca jako administrator tych danych osobowych odpowiada za przetwarzanie ich zgodnie z zasadami zawartymi w RODO. To również administrator zgodnie z art. 4 pkt 7 RODO określa cele i sposoby przetwarzania. Trzeba przy tym podkreślić, że forma przekazania PIT-11 pracownikowi jest dowolna. Pracodawca może przekazać formularz osobiście lub listownie albo też może skorzystać z wysyłki elektronicznej.
W przedstawionej sytuacji szczególnie istotne jest zapewnienie przestrzegania określonej w art. 5 ust. 1 lit. f RODO zasady integralności i poufności danych osobowych. Stanowi ona, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, oraz być zabezpieczone przed przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych. Odnosząc te zasady do przedstawionej sytuacji, należy stwierdzić, że przekazanie pracownikom dokumentów PIT-11 musi być dokonane z poszanowaniem wyżej wskazanych zasad w zakresie wyboru sposobu przetwarzania danych. Decyzję powinien podjąć administrator danych.