Jeszcze jakiś czas temu NFT było nadzwyczaj popularnym tematem, w którego promocję zaangażowane były gwiazdy światowego formatu. Na dzień dzisiejszy (raczej) można stwierdzić, iż wielki szał sprzedaży cyfrowych obrazków, grafik czy gifów minął, a bańka NFT pękła. Jednakże, pojawia się zasadnicze pytanie, czy potencjał wykorzystania tej technologii zmalał? Czym jest NFT? NFT („non-fungible token”), w tłumaczeniu na język polski, jest to tzw. „niewymienialny token” będący unikalnym elementem kodu blockchain, charakteryzujący się tym, że nie można go wymienić na inny. Inaczej mówiąc, NFT to unikalny kod w łańcuchu bloków, stanowiący zapis własności dowolnego towaru cyfrowego lub fizycznego, a zarazem potwierdzający, że […]
Pracownicze plany kapitałowe,a RODO
11 października 2019 |
Wielkimi krokami zbliża się 25 października 2019 r. jest to termin do którego najpóźniej powinny zostać zawarte umowy o zarządzanie PPK przez podmioty zatrudniające co najmniej 250 osób według stanu na dzień 31 grudnia 2018 r. Natomiast najpóźniej do dnia 12 listopada 2019 r. podmioty te powinny zawrzeć umowy o prowadzenie PPK na rzecz i w imieniu osób zatrudnionych u siebie. Z uwagi na proponowane przez instytucje finansowe wzory umów o zarządzanie oraz o prowadzenie PPK i obowiązki podmiotu zatrudniającego pojawiają się pytania o wzajemne relacje między tymi podmiotami. W niniejszym artykule staramy odpowiedzieć się na klika istotnych pytań odnośnie wpływu RODO na PPK.
Czy potrzebna jest umowa powierzenia przetwarzania danych osobowych między instytucją finansową, a podmiotem zatrudniającym?
Odpowiedź na to pytanie jest negatywna. Zarówno instytucja finansowa jaki i podmiot zatrudniający są oddzielnymi administratorami, każdy w swoim własnym zakresie. Przekazanie danych osobowych osób zatrudnionych jest obowiązkiem prawnym ciążącym na podmiocie zatrudniającym. Udostępnianie danych osób zatrudnionych w tym aspekcie można porównać nawet do przekazywania danych do ZUS, czy medycyny pracy. Natomiast instytucja finansowa stanie się administratorem danych osób zatrudnionych od momentu przekazania ich przez podmiot zatrudniający.
Niemniej jednak gdyby instytucja finansowa przekazała podmiotowi zatrudniającemu na podstawie umowy część swoich obowiązków wynikających z ustawy o PPK to wówczas podmioty te powinny zawrzeć w tym zakresie umowę powierzenia przetwarzania danych osobowych, tak jak to ma miejsce np. przy umowach dotyczącej dodatkowej opieki zdrowotnej dla pracowników.
Jaka jest podstawa prawna przetwarzania danych osobowych osób zatrudnionych przez podmiot zatrudniający?
Naszym zdaniem postawą przetwarzania danych osobowych osób zatrudnionych jest przepis art. 6 ust. 1 lit. c RODO, a więc obowiązek prawny ciążący na administratorze.
Co z obowiązkiem informacyjnym?
Zgodnie z art. 13 ust. 3 RODO jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2 tego przepisu. Zatem podmiot zatrudniający powinien poinformować osoby przez niego zatrudniane, które będą uczestnikami PPK, w jakim celu i na jakiej podstawie będą przetwarzane ich dane, czas przetwarzania tych danych oraz o odbiorcy danych jakim będzie instytucja finansowa.
Może się również zdarzyć, że obowiązek informacyjny był sporządzony w sposób ogólny, np. jako cel przetwarzania został wskazany wymóg realizacji obowiązków wynikających z przepisów prawa, a jako odbiorcy np. kategoria podmiotów, z którymi pracodawca współpracuje z uwagi na wypełnianie nałożonych na niego obowiązków, to wówczas nie będzie potrzebna aktualizacja tego obowiązku.
Czy trzeba wskazać nową czynność przetwarzania w Rejestrze Czynności Przetwarzania?
Będzie to zależało od tego jakie zasady zostały przyjęte przy prowadzeniu tego rejestru. Jeżeli administrator określił tylko jedną czynność jaką jest zatrudnianie pracowników, to wówczas nie trzeba będzie uzupełniać takiego rejestru, ale jeżeli rozbił ten aspekt na mniejsze czynności (np. akta osobowe, zgłoszenie do ZUS, ZFŚS, wypadki itd.), to wówczas trzeba będzie ująć w tym rejestrze nową czynność.
Jak długo przechowywana powinna być dokumentacja związana z PPK?
Ustawa PPK nie zawiera regulacji w tym zakresie. Należy jednak zgodzić się ze stanowiskiem Prezesa UODO, że okres przechowywania dokumentacji dotyczącej uczestnika PPK powinien wynosić 10 lat od dnia zakończenia łączącego go z podmiotem zatrudniającym stosunku czy to pracy czy to cywilnego. Instytucja PPK jest bowiem ściśle powiązana z dokumentacją dotyczącą ustalania wymiaru wynagrodzenia, zatem okres przechowywania takiej dokumentacji wynosić będzie 10 lat, zgodnie z przepisami ustawy o emeryturach i rentach z FUS (art. 125a ust. 4a). Powyższe ma również poparcie w Kodeksie pracy (art. 94 pkt 9b). Zatem słuszne zdaniem Prezesa UODO jest stosowanie takich samych zasad w stosunku do przechowywania dokumentacji uczestników PPK.
Czy na przekazanie przez podmiot zatrudniający adresu e-mail i numeru telefonu osoby zatrudnionej, która będzie uczestnikiem PPK potrzebna jest jej zgoda?
Pozytywna odpowiedź na to pytanie dokonana przez Prezesa UODO spotkała się z daleko idącą krytyką. Zdaniem Prezesa UODO, dane identyfikujące uczestników PPK w postaci adresu e-mail i numeru telefonu osoby zatrudnionej pracodawcy powinni przekazywać na podstawie zgody tej osoby, gdyż pozyskiwanie przez podmiot zatrudniający tych danych nie wynika z przepisów ustawy o PPK, ani z przepisów Kodeku pracy. Ponadto pracodawca może nie posiadać wcale takich danych. Prezes UODO w swoim stanowisku podkreślił, również że dane takie jak numer telefonu i adres poczty elektronicznej są to dane, które tak naprawdę służą do szybszego niż za pośrednictwem poczty tradycyjnej – kontaktu z osobą fizyczną, a nie do identyfikacji uczestnika PPK, gdyż jest on identyfikowany już przez inne dane. Powyższe stanowisko zostało skrytykowane przez środowisko prawnicze, w odpowiedzi na co Prezes UODO wskazał, że wkrótce zaprezentuje wiążące stanowisko w tej sprawie i do czego czasu nie będzie restrykcyjnie patrzył na podejście administratorów do obowiązujących przepisów.
My również nie zgadzamy się z powyższym stanowiskiem. W art. 14 ust. 1 i 2 ustawy o PPK wskazane jest, że podmiot zatrudniający zawiera w imieniu i na rzecz osób zatrudnionych w podmiocie zatrudniającym umowę o prowadzenie PPK. Lista osób będących uczestnikami PPK stanowi załącznik do umowy o prowadzenie PPK, którego zmiana nie stanowi zmiany umowy o prowadzenie PPK. Umowa o prowadzenie PPK jest zawierana z instytucjami finansowymi, z którymi podmiot zatrudniający zawarł umowę o zarządzanie PPK. Natomiast zgodnie z art. 20 ust. 1 pkt 2 ustawy o PPK umowa o prowadzenie PPK określa m.in. dane identyfikujące uczestnika PPK, przez które na podstawie art. 2 ust. 1 pkt 3 ww. ustawy rozumie się imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL lub datę urodzenia w przypadku osób nieposiadających numeru PESEL, serię i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego. Zatem podstawą zbierania tych danych nie powinna być zgoda uczestników PPK i to tak długo jak długo nie zostanie zmieniony ww. przepis art. 2 ust. 1 pkt 3 ustawy o PPK.
Idąc dalej wniosek, że z uwagi na to, iż z ustawy PPK nie wynika bezpośrednio, że podmiot zatrudniający ma pozyskiwać od uczestników PPK dane w postaci e-mail i numeru telefonu powoduje, że pracodawca ma przekazywać te dane instytucji finansowej tylko wówczas, gdy je posiada, nie jest również naszym zdaniem prawidłowy. Przecież ani z art. 22(1) § 1, ani z art. 22(1) § 2 Kodeksu pracy nie wynika aby pracodawca miał obowiązek pozyskiwać od pracowników danych takich jak nazwisko rodowe, obywatelstwo, stopień niepełnosprawności, posiadanie ustalonego prawa do emerytury lub renty, itd., a jednak pobiera te dane, gdyż zgłoszenie tych danych wynika z art. 36 ust. 10 ustawy o systemie ubezpieczeń społecznych. W przepisie tym nie jest również wskazane bezpośrednio, że pracodawca pobiera te dane, a jedynie, że zgłoszenie do ubezpieczeń społecznych zawiera w szczególności dane dalej wymieniona, a dotyczące osoby zgłaszanej.
Jesteśmy niezmiernie ciekawi ostatecznego stanowiska Prezesa UODO ww. materii, a Państwo?
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.