W jaki sposób wprowadzenie Pracowniczych Planów Kapitałowych przekłada się na powstanie dodatkowych obowiązków dotyczących danych osobowych? Poniżej omówienie głównych kwestii.
Podsumowanie
- Podmiot zarządzający, w rozumieniu ustawy o PPK, ma status administratora danych osobowych m.in. w procesie zarządzania systemem PPK oraz podczas zawierania umowy o prowadzenie PPK (jednak pewne odstępstwa mogą być wynikiem regulacji umownych).
- Instytucje finansowe obsługujące PPK posiadają status odrębnych administratorów danych.
- Podmioty zarządzające, w związku ze swoim statusem administratora danych osobowych, mają do wykonania szereg zadań, który – w zależności od kształtu umowy z instytucją zarządzającą – może być poszerzony o dodatkowe czynności.
W związku z terminarzem przystępowania kolejnych przedsiębiorstw do systemu PPK, coraz więcej osób zaczyna zadawać praktyczne pytania dotyczące przetwarzania danych osobowych w kontekście obsługi PPK. Są one ze wszech miar zasadne. Zanim jednak omówimy najczęstsze z nich, uporządkujmy terminologię.
Podmiotami danych, których dane będą przetwarzane w związku z funkcjonowaniem PPK, są przede wszystkim osoby zatrudnione, które przystąpiły do PPK – uczestnicy PPK.
W ustawie o PPK posłużono się pojęciem podmiotu zatrudniającego, przez który możemy rozumieć m.in. pracodawcę, zleceniodawcę, nakładcę, czy też rolniczą spółdzielnię produkcyjną.
Pytanie 1. Podmiot zatrudniający = administrator?
W procesie zarządzania PPK podmiot zatrudniający ma status administratora danych osobowych, tj. status podmiotu decydującego o celach i środkach przetwarzania danych osobowych – wziąwszy pod uwagę poszczególne przepisy ustawy o PPK. Podmiot zatrudniający określi cel i środki przetwarzania danych osobowych, realizując swoje ustawowe obowiązki, tj. będzie przetwarzał dane osobowe zgodnie z przesłanką, o której mowa w art. 6 ust. 1 lit. c RODO. Status administratora danych osobowych jest również zarezerwowany dla podmiotu zatrudniającego podczas zawierania umowy o prowadzenie PPK. Ponadto podmioty zatrudniające zachowują pewną swobodę np. przy wyborze instytucji finansowej, która będzie zarządzała PPK.
Pytanie 2. Jaki status mają instytucje finansowe, obsługujące PPK?
Instytucje finansowe obsługujące PPK także są odrębnymi administratorami danych, realizując swoje obowiązki ustawowe określone w ustawie o PPK, czy też w ustawie o funduszach inwestycyjnych. Ustawodawca określił wprost status administratora danych osobowych tylko dla PFR, w zakresie w jakim PFR uzyska dostęp do danych na podstawie art. 8, art. 33 oraz 72-74 ustawy o PPK (tj. dane osobowe podmiotów zatrudniających, jak i uczestników PPK).
Pytanie 3. Jakie obowiązki spoczywają na pracodawcach w związku z PPK w zakresie RODO?
Oto lista czynności, z jakich powinny się wywiązać podmioty zatrudniające, z racji swego statusu administratora danych:
- udostępnić dane osobowe odbiorcom będącym odrębnymi administratorami danych osobowych,
- zrealizować obowiązek informacyjny, o którym mowa w art. 13 RODO w stosunku do podlegających im uczestników PPK,
- zaktualizować rejestr czynności przetwarzania,
- zrealizować inne obowiązki zarezerwowane dla administratorów danych, tj. dokonać oceny ryzyka naruszenia praw i wolności podmiotów danych, czy też dokonać oceny ochrony prywatności w fazie projektowania ewentualnych nowych rozwiązań służących m.in. wymianie danych przy procesie realizacji swych zadań powiązanych z PPK.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Pytanie 4. Jakie dodatkowe zadania mogą spaść na podmioty zarządzające?
Podmioty zatrudniające mogą zostać obarczone dość kłopotliwymi obowiązkami, w związku z przetwarzaniem danych osobowych odnośnie PPK, w zależności od kształtu umowy, jaką zawrą z instytucją zarządzającą, czy też prowadzącą PPK. Mogą to być np. następujące czynności:
- realizacja obowiązku informacyjnego, o którym mowa w art. 14 RODO – w imieniu instytucji wybranej do zarządzania lub prowadzenia PPK;
- rola procesora w stosunku do danych osobowych uczestników PPK – która może zostać narzucona przez instytucję finansową na podmiot zatrudniający (ta kłopotliwa relacja, znana m.in. z niektórych umów z agencjami pracy tymczasowej czy dodatkowych pakietów socjalnych, jest często zbędna, natomiast w praktyce wywołuje np. obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania realizowanych na rzecz innego administratora).
Pytanie 5. Czy relacja między podmiotami uczestniczącymi w przetwarzaniu danych uczestników PPK jest odgórnie ustalona?
Ustalenie relacji między podmiotami zaangażowanymi w przetwarzanie danych osobowych pracowników-uczestników PPK może wymagać analizy konkretnych zapisów umów. Przypisanie roli administratora danych, czy też procesora bywa niejednokrotnie przedmiotem dyskusji. Należy przy tym pamiętać, że krajowy organ nadzorczy, a także unijne instytucje, unikają wskazywania wprost na podział ról w stosunku do konkretnych podmiotów. Przykładem opracowania, które pozostawia pewną swobodę interpretacyjną przy określenia ról administratora i procesora, jest choćby jeden z owoców prac Grupy Roboczej Artykułu 29, tj. Opinia 1/2010 z 16 kwietnia 2010 r., która została poświęcona koncepcji ról procesora i administratora. Zatem decyzje dotyczące kształtu zapisów umów w tym zakresie przynajmniej częściowo pozostają w gestii stron umowy. Warto im poświęcić należytą uwagę.
Przewodnik po PPK dla zespołów kadr i płac