Pracownicze plany kapitałowe (PPK) a RODO
Pracownicze plany kapitałowe – system prywatnego i długoterminowego oszczędzania dla pracowników. Obowiązkowy dla pracodawców i dobrowolny dla pracowników. Jako trzeci filar systemu emerytalnego tworzony i współfinansowany przez pracowników, pracodawców i państwo. Z jednej strony szansa na lepszą przyszłość z drugiej dodatkowe obowiązki pracodawcy jako administratora danych osobowych.
Pracownicze plany kapitałowe (PPK) – informacje podstawowe
1 stycznia 2019 r. weszła w życie ustawa o Pracowniczych Planach Kapitałowych na mocy, której wprowadzono powszechny, dobrowolny i w pełni prywatny system długoterminowego gromadzenia i pomnażania oszczędności na emeryturę. Podstawowym założeniem programu jest automatyczne objęcie nim wszystkich pracowników pomiędzy 18 a 55 rokiem życia, za których pracodawca odprowadza składki na obowiązkowe ubezpieczenia emerytalne i rentowe. Środki mają być systematycznie gromadzone przez cały okres świadczenia pracy z przeznaczeniem na wypłatę po osiągnięciu przez pracownika 60. roku życia lub na inne cele dokładnie wskazane w ustawie (np. w sytuacji ciężkiej choroby). Pierwsza wypłata po zakończonym okresie objętym składakami będzie stanowić 25% zgromadzonych środków a kolejne 75% wypłacane będzie w co najmniej 120 miesięcznych ratach. Program dedykowany jest osobom zatrudnionym zarówno w ramach umowy o pracę, jak i na umowach zlecenie. Ustawodawca nie przewidział jednak możliwości włączenia do systemu tzw. jednoosobowych działalności gospodarczych, czyli coraz powszechniejszego samozatrudnienia.
System wprowadzany będzie etapami. Od 1 lipca 2019 r. do PPK zobowiązane są przystąpić przedsiębiorstwa zatrudniające co najmniej 250 pracowników. Organizacje te muszą również do 25 września bieżącego roku zawrzeć umowę z instytucją zarządzającą funduszami. Wybór ten powinien zostać uzgodniony z pracownikami. W kolejnych etapach aż do stycznia 2021 roku do programu będą wprowadzane coraz to mniejsze podmioty, a finalnie również jednostki sektora finansów publicznych.
Uczestnictwo w PPK jest dobrowolne – pracownik może w każdej chwili zrezygnować z dokonywania wpłat do systemu poprzez złożenie pisemnej deklaracji u pracodawcy (art. 23 ust. 1 Ustawy). Analogicznie również może w każdym momencie powrócić do programu, co jednak nie wiąże się z koniecznością wprowadzania zmian w umowie o prowadzenie PPK między instytucją, a pracodawcą (art. 23 ust. 10).
Podstawowe wpłaty będą dokonywane przez pracowników, pracodawców oraz rząd, w wielkości 2% wynagrodzenia brutto przez pracownika (art. 27 Ustawy), 1,5% wynagrodzenia brutto przez pracodawcę (art. 26 Ustawy) oraz 20 zł miesięcznie wpłacane przez państwo (240 zł rocznie zgodnie z art. 32 ust. 1 Ustawy).
Ważne, jest to, że o ile dla pracowników jest to program dobrowolny, tak każdy pracodawca jest zobowiązany do przystąpienia do programu oraz prowadzenia odpowiedniej dokumentacji, a za niewywiązywanie się z obowiązku grożą kary finansowe w wysokości do 1000 do 1 000 000 zł (art. 107 Ustawy). Organem odpowiedzialnym za przeprowadzanie kontroli jest Państwowa Inspekcja Pracy. Ustawa dopuszcza pewne wyłączenia z obowiązku utworzenia PPK dla organizacji, które w dniu rozpoczęcia stosowania przepisów posiadały Pracownicze Programy Emerytalne (PPE). Warunkiem wspomnianego zwolnienia jest udokumentowane uczestnictwo przynajmniej 25% pracowników w PPE oraz minimalna wysokość składki nie może być niższa niż 3,5% wynagrodzenia zasadniczego brutto.
Obsługa PPK i podział obowiązków
PPK będą obsługiwane przez towarzystwa funduszy inwestycyjnych, w tym fundusze inwestycyjne, fundusze emerytalne lub zakłady ubezpieczeń społecznych, które posiadają zezwolenie na prowadzenie działalności w Polsce oraz minimum 3 letnie doświadczenie w zarządzaniu funduszami inwestycyjnymi. Umowa pomiędzy pracodawcą, a instytucją zgodnie z art. 7 ust. 2 Ustawy powinna być zawarta w postaci elektronicznej, pozwalającej na utrwalenie jej treści na trwałym nośniku. Podlegać będzie ona również rejestracji w tzw. ewidencji PPK prowadzonej przez Polski Fundusz Rozwoju (dalej: PFR), który został zobligowany do nadzorowania spełnienie zobowiązania przez przedsiębiorców (art. 8 ust 2-6 Ustawy).
PPK a ochrona danych osobowych
Biorąc pod uwagę fakt, że PPK są nowością dla polskich przedsiębiorców, a ich wdrożenie wymaga tworzenia nowej dokumentacji oraz udostępniania danych pracowników ich identyfikujących (imię i nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL, numer i serię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość w przypadku obcokrajowców) do podmiotów zewnętrznych, aspekty Programów powinny zostać rozważone w kontekście ochrony danych osobowych pracowników. Obecnie wciąż jednak nowe przepisy rodzą wiele wątpliwości pracodawców co do legalności przetwarzania i przekazywania danych, podstaw prawnych czy okresów przechowywania dokumentacji.
Rozważmy zatem najbardziej istotne kwestie z tym związane.
PPK – nowy proces przetwarzania danych dla organizacji
Pracownicze Plany Kapitałowe stanowią odrębny proces przetwarzania danych, w którym równocześnie występuje dwóch niezależnych administratorów danych – pracodawca oraz instytucja finansowa obsługująca PPK. Każdy z podmiotów realizuje swoje obowiązki wynikające z ustawy, w zakresie w jakim uzyskali oni dostęp do danych. Przyjęło się również uważać, że Pracodawca jest administratorem danych na etapie ich przekazywania do instytucji, przy czym dokładne rozwiązanie tej sytuacji ma miejsce na etapie podpisywania umowy i ustalania warunków współpracy pomiędzy zainteresowanymi stronami.
Obowiązki pracodawcy jako administratora danych w związku z PPK
Zgodnie z przyjętą definicją, która mówi, że czynność przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub klika osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane, należy uznać, że PPK powinny zostać uwzględnione w rejestrach czynności przetwarzania (RCP) prowadzonych przez administratorów danych. PPK mają przecież jasno sprecyzowany cel, określony został zakres niezbędnych danych oraz kategorie osób, których dotyczą, mają silne umocowanie w przepisach prawa, czy wskazanych odbiorców.
Konsekwencją uznania PPK jako nowego procesu dla organizacji jest przeprowadzenie oceny ryzyka naruszenia praw i wolności podmiotów danych, która będzie bazą do podjęcia kolejnych kroków związanych z wdrożeniem odpowiednich środków organizacyjnych i technicznych służących bezpieczeństwu danych oraz wskaże czy konieczne będzie podjęcie dalszych kroków związanych z oceną skutków dla ochrony danych (DPIA/OSOD). Idealnie byłoby, gdyby taka ocena wykonana została w fazie projektowania, w której uwzględnione będą czynniki związane z wymianą danych pomiędzy podmiotami uczestniczącymi. Zaleca się również aktywne włączenie Inspektora ochrony danych lub innych pracowników odpowiedzialnych za system ochrony danych, w wybór instytucji finansowej i negocjacje warunków umowy.
Wdrożenie PPK nie zawsze będzie wymagało spełnienia dodatkowego obowiązku informacyjnego wynikającego z art. 13 RODO wobec pracowników, szczególnie jeżeli klauzula informacyjna skonstruowana była w sposób ogólny i wskazuje, że administrator przetwarza dane pracowników, w celach związanych z realizacją obowiązków prawnych ciążących na nim jako pracodawcy. Mimo wszystko zalecane jest poinformowanie pracowników o fakcie wdrożenia Programów w przedsiębiorstwie, wskazanie instytucji, której dane będą udostępniane, zakresu tych danych oraz przysługującym im prawie odstąpienia od udziału na mocy art. 23 ust. 2 Ustawy o PPK.
Wiele kontrowersji budzi okres przechowywania dokumentacji związanej z Pracowniczymi Planami Kapitałowymi. Kwestia ta nie została uregulowana ani w Ustawie o PPK, ani w przepisach wykonawczych odnoszących się do dokumentacji pracowniczej. W Ustawie podano dwa terminy, które powinno się uwzględnić przy dokonywaniu oceny czasu retencji danych – 5 lat (okres przedawnienia roszczeń z tytułu wpłat do PPK (art. 29 ust. 2 Ustawy) oraz 4 lata, ponieważ w takich interwałach pracodawca dokonuje ponownej wpłaty do PPK, za uczestników, którzy początkowo zrezygnowali z udziału w programie (art. 23 ust. 2,5,6 Ustawy). Przy ustalaniu czasu konieczne jest uwzględnienie zasady wprowadzonej w art. 5 ust. 1 lit. c RODO dane osobowe muszą być adekwatne, stosowane oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (”minimalizacja danych”).
Biorąc pod uwagę fakt, że PPK stanowią jeden z elementów dokumentacji dotyczącej ustalania wymiaru wynagrodzenia, zgodnie z ustawą o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (art. 125a ust. 4a) powinny być one przechowywane przez 10 lub 50 lat, w zależności do tego, czy pracownik został zatrudniony po czy przed 1 stycznia 2019 r. Obowiązek prowadzenia wspomnianej dokumentacji znajduje również umocowanie w §6 pkt. 3 rozporządzenia w sprawie dokumentacji pracowniczej oraz w art. 94 ust. 9b Kodeksu pracy. Takie też jest stanowisko Urzędu Ochrony Danych Osobowych z dnia 6 maja 2019 r.
Pogląd ten jest jednak szeroko krytykowany, ze względy na fakt, że wpłaty na PPK nie mają wpływu na ustalenie prawa do emerytury lub renty i będą wypłacane niezależnie. Specjaliści zwracają również uwagę, że w skład dokumentacji PPK wchodzą pisemne deklaracje o odstąpieniu lub ponownym przystąpieniu do programu i te powinny być przechowywane przez maksymalnie 4 lata, czyli do czasu ponownego automatycznego wpisania pracownika na listę uczestników.
Kolejną kwestią sporną jest wskazanie przez UODO konieczności zbierania zgód od pracowników w związku z przekazywaniem ich danych kontaktowych, takich jak numer telefonu czy adres poczty elektronicznej do instytucji finansowych. Prezes UODO uważa, że udostępniane dane osobowe pracownika na mocy obowiązujących przepisów mają go identyfikować, a numer telefonu czy adres e-mail służą innym celom tj. ułatwią szybki kontakt z uczestnikiem. Co więcej Urząd jasno zaznacza, że nie ma uregulowań, które uprawniałyby pracodawcę do przetwarzania takiego rodzaju dane, a pracownik obligowały do ich posiadania.
Ustawa wprowadzająca Pracownicze Plany Kapitałowe obowiązuje od 1 stycznia 2019 r. jednak wciąż wiele aspektów związanych z wdrożeniem jej postanowień w organizacjach jest niejasnych, szczególnie w kontekście systemu ochrony danych osobowych. Jako pracodawcy powinniśmy jednak pamiętać, że jest to obowiązek ustawowy i musimy się do niego dostosować śledząc przy tym kolejne wytyczne organów władzy, w tym także opinie Urzędu Ochrony Danych Osobowych.
Pamiętaj
Przystępując do systemu Pracowniczych Planów Kapitałowych pamiętaj o kilku zasadach:
– przy doborze instytucji finansowej miej na uwadze nie tylko cele biznesowe, ale również ochronę danych osobowych jaką ona gwarantuje,
– uzupełnij rejestr czynności przetwarzania o nowy proces,
– przeprowadź analizę ryzyka naruszenia praw i wolności pracowników,
– jeżeli przetwarzanie niesie ze sobą wysokie ryzyko naruszeń ochrony danych przeprowadź ocenę skutków dla ochrony danych,
– poinformuj pracowników o programie oraz możliwości odstąpienia od niego,
– wprowadź zasady bezpiecznego przechowywania dokumentacji i nadzoru nad czasem jej retencji.
Podstawa prawna
ustawa z dnia 4 października 2018 r. o pracowniczych planach kapitałowych (Dz.U. poz. 2215)
ustawa z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz.U. poz. 1118 ze zm.)
ustawa z dnia 26 czerwca 1977 r. Kodeks pracy (Dz.U. z 2019 r. poz. 1495)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej