"Jeśli pracodawca prowadzi ZFŚS, dotyczy go także RODO" - przypomina Urząd Ochrony Danych Osobowych i publikuje wytyczne dla zakładów pracy.

Ograniczenia w przetwarzaniu danych

Żeby przyznać pracownikowi świadczenie z zakładowego funduszu świadczeń socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. Oznacza to, że musi więc przetwarzać dane tych osób.

"Ale tylko te dane, które są niezbędne dla realizacji celu, w jakim je pozyskał" - podkreśla UODO.

Przetwarzanie danych nie może prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane te są pozyskiwane. Art. 8 ust. 1a ustawy o ZFŚS określa, że pracownik przekazuje pracodawcy dane o swojej sytuacji materialnej w formie oświadczenia. Natomiast potwierdzenie danych w nim zawartych może odbywać się m.in. na podstawie oświadczeń i zaświadczeń o sytuacji życiowej.

"W opinii UODO, jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to powołana regulacja umożliwia pracodawcy jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii czy innego utrwalania. Powodowałoby to gromadzenie danych w szerszym zakresie niż jest to niezbędne do celu przetwarzania. PIT współmałżonka to dokument zawierający również takie dane, jak np. nazwa zakładu pracy czy numer PESEL, które nie są niezbędne do potwierdzenia danych przedstawionych w oświadczeniu pracownika" - podkreśla Urząd.

UODO zaznacza te, że przepisy ustawy o ZFŚS nigdzie nie wskazują, by członkowie rodzin pracowników musieli podpisywać dodatkowe oświadczenia. Z regulacji tych wynika, że oświadczenie na temat sytuacji rodzinnej, życiowej i materialnej przedstawia wyłącznie pracownik.

Powyższe wyjaśnienia mają zastosowanie również w odniesieniu do przetwarzania danych o stanie zdrowia.

ZFŚS a RODO

Podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych i ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO.

Pierwszy z powołanych przepisów legalizuje przetwarzanie danych osobowych, gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Drugi natomiast ma zastosowanie w przypadku przetwarzania szczególnych kategorii danych (np. dotyczących zdrowia). Umożliwia on przetwarzanie takich danych, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Pracodawco: sprawdź co przetwarzasz

Przepisy ustawy o ZFŚS zakładają, że pracodawca w ramach Funduszu przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia czy też dopłaty z tego źródła oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń (np. zobowiązania podatkowe ulegają przedawnieniu po pięciu latach).

Od 4 maja 2019 r. nowe przepisy nakładają również obowiązek dokonywania przez pracodawcę przeglądu danych osobowych zawartych w dokumentacji wytworzonej w ramach prowadzenia Funduszu - nie rzadziej niż raz w roku kalendarzowym, w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca jest zobowiązany również mocą powyższych przepisów do usuwania danych osobowych, których dalsze przechowywanie jest zbędne.

Prezes UODO wskazuje, że RODO wymaga nieprzerwanego, ciągłego, prawidłowego przetwarzania danych, w każdym procesie wykonywania operacji na danych. Nie wystarczy więc dokonać jednorazowego przeglądu danych w istniejących zasobach. Przepisy te nakazują pracodawcy usuwać dane osobowe, których dalsze przechowywanie jest zbędne.

W praktyce oznacza to, że zarówno w podmiotach publicznych, jak i niepublicznych, pracodawcy prowadzący ZFŚS muszą dokonywać corocznych przeglądów, aby zweryfikować, czy przetwarzają jedynie dane niezbędne do realizacji celów świadczeń socjalnych swoich pracowników. Co ważne, przegląd dotyczy całości dokumentacji.

Pamiętać o archiwizacji

W przypadku pracodawcy będącego podmiotem publicznym, który zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach ma obowiązek archiwizowania wytworzonej dokumentacji, istotne znaczenie przy realizacji obowiązków wynikających z ustawy o ZFŚS będą miały przepisy dotyczące archiwizacji. Oznacza to, że jeżeli dokumentacji z działania Funduszu zostanie przypisana kategoria archiwizacyjna z jednolitego rzeczowego wykazu akt, to dokumenty niezbędne do realizacji celów, dla których prowadzony jest Fundusz będą musiały być przechowywane przez określony w tej kategorii czas. Wówczas nie można ich zniszczyć aż do czasu, kiedy będą one podlegały brakowaniu.

Zatem podmioty publiczne będą realizowały zarówno cele związane z ochroną danych osobowych w ramach działania Funduszu, jak i cele archiwizacyjne.

js/