Czy RODO wymaga aktualizacji danych gromadzonych w ramach ZFŚS?

Jak wiadomo, temat RODO w praktyce biznesowej budzi wiele pytań. Jednym z często zadawanych jest to: „Czy RODO wymaga aktualizacji danych gromadzonych w ramach ZFŚS?”

 

Do kiedy trzeba zrobić przegląd zbioru danych?

 

Przepisy RODO zostały wdrożone do krajowej praktyki w zakresie ZFŚS za pomocą nowelizacji przepisów ustawy o zakładowym funduszu świadczeń socjalnych, które weszły w życie 04.05.2019 roku. Zgodnie z nowym art. 8 ust. 1d, pracodawca dokonuje przeglądu danych osobowych zebranych w toku przyznawania świadczeń i ulgowych usług dla osób uprawnionych, nie rzadziej niż raz w roku kalendarzowym, w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu, w jakim zostały zebrane. Oznacza to, że pierwszy taki przegląd powinien być wykonany do końca 2019 roku.

 

Jaki jest zakres weryfikacji?

 

Kwestią otwartą pozostaje zakres takiej weryfikacji; przepis nie wskazuje bowiem, czy chodzi tu o cały zebrany przez pracodawcę materiał, często obejmujący wiele lat funkcjonowania Funduszu, czy jedynie dane pobrane w 2019 roku?

 

Urząd Ochrony Danych Osobowych (UODO) stoi na stanowisku, że 1) przeglądy takie należy realizować corocznie, począwszy od 2019 roku, oraz że 2) to pracodawca ma ustalić zakres przeglądu biorąc pod uwagę cele gromadzenia tych danych, wynikające z ustawy o ZFŚS. Te cele to reguły dotyczące zasad udostępnienia pracodawcy danych osobowych przez osoby uprawnione do korzystania z ZFŚS (w tym zakresie przewidziano formę oświadczenia z możliwością pobierania dodatkowych zaświadczeń lub oświadczeń o sytuacji życiowej, rodzinnej i materialnej uprawnionego). UODO stwierdził również, że analizie powinna być poddana cała zgromadzona przez pracodawcę dokumentacja (stanowisko UODO z 6 grudnia 2019 r. wydane w odpowiedzi na zapytanie DGP).

 

Jak długo przechowywać dane ZFŚS podlegające ochronie RODO?

 

Dodatkowo, pod uwagę brać trzeba okres przez który dane takie mogą lub nawet powinny być przez pracodawcę przechowywane (retencja danych).

Chodzi tu przede wszystkim o czas konieczny do przyznania świadczeń z ZFŚS, ale dodatkowo, o okres uzasadniony dochodzeniem praw lub roszczeń. Dla przypomnienia: przyjmuje się, że okres przedawnienia roszczeń z tytułu świadczeń socjalnych wynosi 3 (trzy) lata od ich wymagalności (art. 291 kp). Do tego dochodzi kwestia podatków i ZUS. Świadczenia socjalne są wyłączone z podstawy wymiaru składek ZUS, a część z nich jest także nieopodatkowana, co uzasadnia przechowywanie dokumentów z nimi związanych do czasu przedawnienia zobowiązań publicznoprawnych z wymienionych tytułów, czyli do upływu 5 (pięć) lat od końca roku, w którym upłynął termin płatności PIT.

 

Podsumowanie

Jak zatem wszystkie związane z tym obowiązki wyglądają w skrócie?

 

a) minimalizujemy pobierane dane osobowe, ograniczając je do tych naprawdę niezbędnych (art. 5 RODO),

 

b) przeglądamy archiwa ZFŚS i sprawdzamy, które z posiadanych danych są nam potrzebne dla obrony przed roszczeniami osób uprawnionych         (do 3 lat) a których potrzebujemy dla celów ewentualnej kontroli zobowiązań publicznoprawnych (5 lat); dane nie-potrzebne usuwamy,

 

 c) zmieniamy na przyszłość praktykę Komisji Socjalnych; to znaczy: zaprzestajemy przyznawania świadczeń w oparciu o samo „zatwierdzenie   wniosku” podpartego plikiem dokumentów otrzymanych od pracownika, a w miejsce tego zwyczaju, zaczynamy opisywać motywy przyznania     świadczenia w uzasadnieniu decyzji o przyznaniu środków z ZFŚS; dokumenty źródłowe po wykorzystaniu zwracamy pracownikowi, bez   przechowywania kopii przez pracodawcę.