Zakłady pracy muszą przestrzegać przepisów dotyczących RODO także w obszarze ZFŚS. Przyznając pokrywane ze środków przeznaczonych na działalność socjalną określone świadczenia, pracodawcy powinni poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. W celu realizacji tych potrzeb podmioty zatrudniające zobligowane są więc przetwarzać dane osobowe tych osób, ale tylko te dane, które są niezbędne dla realizacji celu, w jakim je pozyskał. Mają również w obowiązku dokonywać przeglądu tych danych co najmniej raz w roku.
Warto zwrócić uwagę, że obowiązujące od 4 maja 2019 r. zmiany w ustawie o zakładowym funduszu świadczeń socjalnych (dalej: ustawa ZFŚS) nie wpływają na zmianę stanowiska Urzędu Ochrony Danych Osobowych dotyczącego zasad przetwarzania danych na potrzeby korzystania z usług i świadczeń finansowanych z zakładowego funduszu świadczeń socjalnych.
Pracodawca prowadzący ZFŚS ma prawo przetwarzać dane pracowników…
Zgodnie z przepisami tej ustawy, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Artykuł 8 ust. 1 wspomnianej ustawy zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.
Oznacza to, że pracodawca musi poznać i ocenić sytuację życiową, a także materialną wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Dlatego też w celu realizacji tych potrzeb musi przetwarzać dane osobowe pracownika i członków jego rodziny. Przetwarzanie tych danych nie może jednak prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane te są pozyskiwane. Dodany w 2019 roku art. 8 ust. 1a ustawy określa, że pracownik przekazuje te dane pracodawcy w formie oświadczenia. Natomiast potwierdzenie danych w nim zawartych może odbywać się m.in. na podstawie oświadczeń i zaświadczeń o sytuacji życiowej.
… ale tylko w takim zakresie, jaki jest niezbędny do realizacji celów
W opinii UODO, jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to powołana regulacja umożliwia pracodawcy jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii czy innego utrwalania. Powodowałoby to gromadzenie danych w szerszym zakresie niż jest to niezbędne do celu przetwarzania. PIT współmałżonka to dokument zawierający również takie dane, jak np. nazwa zakładu pracy czy numer PESEL, które nie są niezbędne do potwierdzenia danych przedstawionych w oświadczeniu pracownika.
Tymczasem administratorzy, przetwarzając dane osobowe, nie powinni też zapominać o zasadach określonych w ogólnym rozporządzeniu o ochronie danych (RODO). Jedną z nich jest zasada minimalizacji danych, zgodnie z którą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przyjęło się, że adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora (w tym przypadku pracodawcy).
Przepisy ustawy o ZFŚS nigdzie nie wskazują, by członkowie rodzin pracowników musieli podpisywać dodatkowe oświadczenia. Z regulacji tych wynika, że oświadczenie na temat sytuacji rodzinnej, życiowej i materialnej przedstawia pracownik.
Powyższe wyjaśnienia mają zastosowanie również w odniesieniu do przetwarzania danych o stanie zdrowia.
ZFŚS a RODO
Podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych i ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO.
Pierwszy z powołanych przepisów legalizuje przetwarzanie danych osobowych, gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Drugi natomiast ma zastosowanie w przypadku przetwarzania szczególnych kategorii danych (np. dotyczących zdrowia). Umożliwia on przetwarzanie takich danych, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.
Pracodawca musi co najmniej raz w roku sprawdzić, jakie dane przetwarza
Przepisy ustawy o ZFŚS zakładają, że pracodawca w ramach Funduszu przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia czy też dopłaty z tego źródła oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń (np. zobowiązania podatkowe ulegają przedawnieniu po pięciu latach).
Od 4 maja 2019 r. nowe przepisy nakładają również obowiązek dokonywania przez pracodawcę przeglądu danych osobowych zawartych w dokumentacji wytworzonej w ramach prowadzenia Funduszu – nie rzadziej niż raz w roku kalendarzowym, w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca jest zobowiązany również mocą powyższych przepisów do usuwania danych osobowych, których dalsze przechowywanie jest zbędne.
Prezes UODO wskazuje, że RODO wymaga nieprzerwanego, ciągłego, prawidłowego przetwarzania danych, w każdym procesie wykonywania operacji na danych. Nie wystarczy więc dokonać jednorazowego przeglądu danych w istniejących zasobach. Przepisy te nakazują pracodawcy usuwać dane osobowe, których dalsze przechowywanie jest zbędne, jest ściśle związane z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), tj. przyznawanie świadczeń socjalno-bytowych w ramach działania Funduszu.
W praktyce oznacza to, że zarówno w podmiotach publicznych, jak i niepublicznych, pracodawcy prowadzący ZFŚS muszą dokonywać corocznych przeglądów, aby zweryfikować, czy przetwarzają jedynie dane niezbędne do realizacji celów świadczeń socjalnych swoich pracowników. Co ważne, przegląd dotyczy całości dokumentacji.
Pracodawca nie może zapomnieć o archiwizacji, jeśli dotyczy go ten wymóg
W przypadku pracodawcy będącego podmiotem publicznym, który zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach ma obowiązek archiwizowania wytworzonej dokumentacji, istotne znaczenie przy realizacji obowiązków wynikających z ustawy o ZFŚS będą miały przepisy dotyczące archiwizacji. Oznacza to, że jeżeli dokumentacji z działania Funduszu zostanie przypisana kategoria archiwizacyjna z jednolitego rzeczowego wykazu akt, to dokumenty niezbędne do realizacji celów, dla których prowadzony jest Fundusz będą musiały być przechowywane przez określony w tej kategorii czas. Wówczas nie można ich zniszczyć aż do czasu, kiedy będą one podlegały brakowaniu. Zatem podmioty publiczne będą realizowały zarówno cele związane z ochroną danych osobowych w ramach działania Funduszu, jak i cele archiwizacyjne.
Odnosząc się natomiast do pracodawców działających jako podmioty prywatne, będą oni realizować jedynie obowiązki wynikające z ustawy o ZFŚS. Zgodnie z zasadą celowości pracodawcy mający status podmiotu prywatnego są zobowiązani dokonywać minimum raz w roku przeglądu danych osobowych oraz usuwać te dane, które dla celów związanych z prowadzeniem Funduszu są zbędne.
Źródło: https://uodo.gov.pl/