Wydaliśmy pracownikom informację o dochodach PIT-11 za 2022 r. Dokumenty były wydawane bez ich indywidualnego kopertowania, ale poprzez częściową anonimizację polegającą na złożeniu oraz zszyciu arkuszy PIT-11 w taki sposób, że widocznymi dla wydającego, czyli np. dla bezpośredniego przełożonego, danymi osobowymi było jedynie imię i nazwisko oraz numer PESEL pracownika. Jeden z pracowników zarzucił nam, że stanowi to naruszenie przepisów o ochronie danych osobowych, ponieważ PIT-11 powinien zostać wydany w kopercie.

Przede wszystkim należy zaznaczyć, że dane zawarte w dokumencie PIT-11 są danymi osobowymi pracownika wskazanego w tym dokumencie i powinny być przetwarzane wyłącznie przez upoważnione do tego osoby. Informacje te – jako stanowiące dane osobowe – korzystają z ochrony prawnej określonej w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). To zaś oznacza, że pracodawca jako administrator tych danych osobowych odpowiada za przetwarzanie ich zgodnie z zasadami zawartymi w RODO. To również administrator zgodnie z art. 4 pkt 7 RODO określa cele i sposoby przetwarzania. Trzeba przy tym podkreślić, że forma przekazania PIT-11 pracownikowi jest dowolna. Pracodawca może przekazać formularz osobiście lub listownie albo też może skorzystać z wysyłki elektronicznej.
W przedstawionej sytuacji szczególnie istotne jest zapewnienie przestrzegania określonej w art. 5 ust. 1 lit. f RODO zasady integralności i poufności danych osobowych. Stanowi ona, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, oraz być zabezpieczone przed przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych. Odnosząc te zasady do przedstawionej sytuacji, należy stwierdzić, że przekazanie pracownikom dokumentów PIT-11 musi być dokonane z poszanowaniem wyżej wskazanych zasad w zakresie wyboru sposobu przetwarzania danych. Decyzję powinien podjąć administrator danych.
Warto przy tym zwrócić uwagę na użyte przez czytelnika sformułowanie „częściowa anonimizacja”. Należy zauważyć, że:
  • anonimizacja to proces polegający na usunięciu wszystkich informacji, które w jakikolwiek sposób umożliwiają identyfikację określonej osoby, której dane dotyczą, przez administratora danych lub osobę trzecią;
  • w RODO nie występuje definicja „anonimizacji”, jednak w postanowieniach motywu 26 RODO jest o niej mowa. Zgodnie z przywołanym motywem zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. RODO nie dotyczy więc przetwarzania danych poddanych anonimizacji;
  • RODO posługuje się pojęciem „pseudonimizacji” (art. 4 ust. 5 RODO), co oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Potrącenia od pracowników tylko na podstawie kodeksu pracy
Potrącenia od pracowników tylko na podstawie kodeksu pracy

Zobacz również
Pojęcie „częściowa anonimizacja” na gruncie przepisów o ochronie danych osobowych nie znajduje zastosowania. Jednak należy uznać, że pracodawca nie jest zobowiązany do „kopertowania” PIT-11, wystarczy, że zapewni wystarczającą ochronę danych zawartych w tym dokumencie. Można zatem uznać, że w opisywanej sytuacji dopełnił tego obowiązku, o ile osoby wydające dokument mają upoważnienie do przetwarzania danych osobowych. Zgodnie z określoną w RODO zasadą rozliczalności to pracodawca jako administrator danych jest odpowiedzialny za przestrzeganie zasad przetwarzania danych i musi być w stanie to wykazać ich przestrzeganie. ©℗
Podstawa prawna
• art. 4 pkt 7, art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. nr 119, s. 1; dalej: RODO)