Kadry i Płace w Administracji

Strona główna » Listopad - Grudzień 2019 » Stosunek pracy » Przetwarzanie danych osobowych w zfśs
 
Tomasz Cygan

Przetwarzanie danych osobowych w zfśs

Wejście w życie, a następnie od 25 maja 2018 r. rozpoczęcie stosowania rodo spowodowało zmiany także w zakresie przetwarzania danych osobowych w zfśs. Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rodo zawierała także propozycje zmian w uzfśs.

Jak wskazano w uzasadnieniu projektu ustawy (https://www.sejm.gov.pl/sejm8.nsf/PrzebiegProc.xsp?nr=3050 [dostęp: 21.11.2019]): „art. 8 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (dalej: zfśs) zawiera generalną zasadę uwzględniania sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z zfśs przy przyznawaniu jej ulgowych usług i świadczeń z funduszu oraz ustalaniu ich wysokości. Szczegółowe zasady i warunki ustalania sytuacji socjalnej osób uprawnionych, w tym ich potwierdzania, są przedmiotem regulaminu zfśs. Realizacja zasady zawartej w tym przepisie w zakresie obowiązku przetwarzania przez pracodawcę danych osobowych osób uprawnionych do korzystania z funduszu, w tym danych wrażliwych, gdyż dotyczących ich sytuacji zdrowotnej, na potrzeby zakładowej działalności socjalnej wymaga jej sprecyzowania i dostosowania do regulacji zawartych w RODO”. To było powodem, dla którego 4 maja 2019 r. weszła w życie nowelizacja uzfśs obejmująca:

  • uzależnienie przyznawania ulgowych usług i świadczeń oraz wysokość dopłat z zfśs od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z zfśs (art. 8 ust. 1 uzfśs);

  • określenie sposobu udostępniania danych pracodawcy w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z zfśs i ustalenia ich wysokości (art. 8 ust. 1a uzfśs);

  • obowiązek nadania upoważnień do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rodo wraz z obowiązkiem zobowiązania się do zachowania poufności danych przez te osoby (art. 8 ust. 1b uzfśs);

  • określenie okresu przechowywania danych przez pracodawcę (art. 8 ust. 1c uzfśs);

  • obowiązek dokonywania corocznych przeglądów danych w celu ustalenia niezbędności ich dalszego przechowywania (art. 8 ust. 1d uzfśs);

  • obowiązek uwzględnienia w regulaminie zfśs obowiązków określonych w art. 8 ust. 1–1b ustawy wskazanych wcześniej (art. 8 ust. 2 uzfśs).

Te zmiany należy odczytywać przez pryzmat przepisów rodo. Przetwarzanie danych osobowych w zfśs stanowi oddzielną czynność przetwarzania, co powinno znaleźć swoje wewnątrzorganizacyjne odzwierciedlenie w realizacji obowiązku informacyjnego (art. 12–14 rodo) oraz wpisu w rejestrze czynności przetwarzania (art. 30 rodo).

Administrator danych

Obowiązki i odpowiedzialność za realizację obowiązków wiążących się z ochroną danych osobowych obciążają przede wszystkim administratora. W związku z tym należy rozważyć, kto pełni tę rolę. Zgodnie z treścią art. 4 pkt 7 rodo „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Przepis wskazuje, że dla określania roli administratora nie ma znaczenia jego forma prawna czy posiadanie osobowości prawnej. Rozstrzygające znaczenie ma jedynie określanie celów i sposobów przetwarzania danych osobowych.

Ustawodawca w art. 3 ust. 1 uzfśs przesądza o statusie administratora: „fundusz tworzą pracodawcy”.

Jednym z podstawowych obowiązków administratora jest ustalenie celu i podstawy prawnej przetwarzania danych osobowych. Wynika on bezpośrednio z zasady rozliczalności określonej w art. 5 ust. 2 rodo (administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych osobowych określonych w art. 5 ust. 1 rodo i musi być w stanie wykazać ich przestrzeganie). Z kolei zasady dotyczące przetwarzania danych osobowych zawarte w art. 5 ust. 1 rodo wskazują m.in. na konieczność przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”), a także na zbieranie danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzanie dalej w sposób niezgodny z tymi celami („ograniczenie celu”).

Praktyczną realizacją tych zasad jest wskazanie celu przetwarzania danych osobowych oraz stosownej podstawy prawnej w klauzuli informacyjnej oraz w rejestrze czynności przetwarzania.

Na cel przetwarzania danych osobowych w zfśs wskazuje art. 8 ust. 1 uzfśs. Jest nim przyznanie ulgowej usługi i świadczenia oraz dopłaty z zfśs i ustalenie ich wysokości. Z kolei podstawę prawną przetwarzania danych osobowych stanowi art. 6 ust. 1 lit. c rodo („Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”). W przypadku przetwarzania szczególnych kategorii danych, zwłaszcza informacji o stanie zdrowia, podstawą prawną przetwarzania danych będzie art. 9 ust. 2 lit. b rodo („przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą”) w zakresie wykonywania szczególnych obowiązków przez pracodawcę oraz szczególnych praw przez osobę, której dane dotyczą.

Zgody

Przepisy o zfśs nie wymagają zbierania żadnych zgód na przetwarzanie danych osobowych. Na etapie prac nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rodo pojawiały się co prawda propozycje oparcia przetwarzania danych osobowych pracownika oraz osób innych niż pracownik, np. członków rodziny pracownika, na ich zgodzie. Uzasadnienie projektu ustawy z dnia 13 września 2017 r. wskazywało wprost, że: „zgodnie z projektowaną regulacją w celu uzyskania ulgowej usługi i świadczenia osoba uprawniona wyraża zgodę na podanie jej danych osobowych, danych osobowych członków jej rodziny oraz innych osób pozostających z nią we wspólnym gospodarstwie domowym, obejmujących: imię i nazwisko, datę urodzenia, stopień pokrewieństwa, adres zamieszkania, a także innych danych osobowych tych osób, jeżeli podanie takich danych jest niezbędne do ustalenia sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej. Wyrażenie zgody następuje w oświadczeniu złożonym w postaci papierowej lub elektronicznej”.

Propozycja ta nie została uwzględniona w ostatecznym brzmieniu nowelizacji uzfśs. Ustawodawca w art. 8 ust. 1 uzfśs zaznacza, że: „przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu uzależnia się od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu”, a dane osobowe pracodawcy udostępnia osoba uprawniona do korzystania z zfśs.

Jednocześnie w newsletterze dla inspektorów ochrony danych Zasady przetwarzania danych osobowych członków rodziny pracownika w związku z korzystaniem ze świadczeń ZFŚS (nr 4 z 2019 r.) UODO wskazał m.in., że:

  • „zgodnie z przepisami tej ustawy, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Zgodnie natomiast z art. 8 ust. 1 ww. ustawy pracodawca ma obowiązek uzależnić udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. Przy ustalaniu wysokości świadczenia znaczenie ma sytuacja życiowa i materialna wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Jeżeli zatem przyznawanie świadczeń jest uzależnione od kryterium socjalnego, to oznacza, że sytuacja pracownika lub innej osoby uprawnionej do korzystania z funduszu wymaga każdorazowo jej określenia, czyli przetwarzania danych osobowych pracownika i członków jego rodziny”;

  • „przepisy ustawy o zakładowym funduszu świadczeń socjalnych nigdzie nie wskazują, aby członkowie rodzin pracowników musieli podpisywać dodatkowe oświadczenia. Z regulacji tych wynika, że oświadczenie na temat jego sytuacji rodzinnej (w tym zdrowotnej) przedstawia pracownik”.

[...]

Tomasz Cygan
adwokat, konsultant, wykładowca, autor publikacji, współautor bloga o ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.