Żeby przyznać pracownikowi świadczenie z zakładowego funduszu świadczeń socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. W celu realizacji tych potrzeb musi więc przetwarzać dane osobowe tych osób, ale tylko te dane, które są niezbędne dla realizacji celu, w jakim je pozyskał. Pracodawca jest zobowiązany również do dokonywania przeglądu tych danych co najmniej raz w roku.

Warto zwrócić uwagę, że obowiązujące od 4 maja 2019 r. zmiany w ustawie o zakładowym funduszu świadczeń socjalnych (dalej: ustawa ZFŚS) nie wpływają na zmianę stanowiska Urzędu Ochrony Danych Osobowych dotyczącego zasad przetwarzania danych na potrzeby korzystania z usług i świadczeń finansowanych z zakładowego funduszu świadczeń socjalnych.

Pracodawca prowadzący ZFŚS ma prawo przetwarzać dane pracowników…

Zgodnie z przepisami tej ustawy, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Artykuł 8 ust. 1 wspomnianej ustawy zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.

Oznacza to, że pracodawca musi poznać i ocenić sytuację życiową, a także materialną wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Dlatego też w celu realizacji tych potrzeb musi przetwarzać dane osobowe pracownika i członków jego rodziny. Przetwarzanie tych danych nie może jednak prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane te są pozyskiwane. Dodany w 2019 roku art. 8 ust. 1a ustawy określa, że pracownik przekazuje te dane pracodawcy w formie oświadczenia. Natomiast potwierdzenie danych w nim zawartych może odbywać się m.in. na podstawie oświadczeń i zaświadczeń o sytuacji życiowej.

… ale tylko w takim zakresie, jaki jest niezbędny do realizacji celów

W opinii UODO, jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to powołana regulacja umożliwia pracodawcy jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii czy innego utrwalania. Powodowałoby to gromadzenie danych w szerszym zakresie niż jest to niezbędne do celu przetwarzania. PIT współmałżonka to dokument zawierający również takie dane, jak np. nazwa zakładu pracy czy numer PESEL, które nie są niezbędne do potwierdzenia danych przedstawionych w oświadczeniu pracownika.

Tymczasem administratorzy, przetwarzając dane osobowe, nie powinni też zapominać o zasadach określonych w ogólnym rozporządzeniu o ochronie danych (RODO). Jedną z nich jest zasada minimalizacji danych, zgodnie z którą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przyjęło się, że adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora (w tym przypadku pracodawcy).

Przepisy ustawy o ZFŚS nigdzie nie wskazują, by członkowie rodzin pracowników musieli podpisywać dodatkowe oświadczenia. Z regulacji tych wynika, że oświadczenie na temat sytuacji rodzinnej, życiowej i materialnej przedstawia pracownik.

Powyższe wyjaśnienia mają zastosowanie również w odniesieniu do przetwarzania danych o stanie zdrowia.

ZFŚS a RODO

Podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych i ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO.

Pierwszy z powołanych przepisów legalizuje przetwarzanie danych osobowych, gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Drugi natomiast ma zastosowanie w przypadku przetwarzania szczególnych kategorii danych (np. dotyczących zdrowia). Umożliwia on przetwarzanie takich danych, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Pracodawca musi co najmniej raz w roku sprawdzić, jakie dane przetwarza

Przepisy ustawy o ZFŚS zakładają, że pracodawca w ramach Funduszu przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia czy też dopłaty z tego źródła oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń (np. zobowiązania podatkowe ulegają przedawnieniu po pięciu latach).

Od 4 maja 2019 r. nowe przepisy nakładają również obowiązek dokonywania przez pracodawcę przeglądu danych osobowych zawartych w dokumentacji wytworzonej w ramach prowadzenia Funduszu – nie rzadziej niż raz w roku kalendarzowym, w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca jest zobowiązany również mocą powyższych przepisów do usuwania danych osobowych, których dalsze przechowywanie jest zbędne.

Prezes UODO wskazuje, że RODO wymaga nieprzerwanego, ciągłego, prawidłowego przetwarzania danych, w każdym procesie wykonywania operacji na danych. Nie wystarczy więc dokonać jednorazowego przeglądu danych w istniejących zasobach. Przepisy te nakazują pracodawcy usuwać dane osobowe, których dalsze przechowywanie jest zbędne, jest ściśle związane z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), tj. przyznawanie świadczeń socjalno-bytowych w ramach działania Funduszu.

W praktyce oznacza to, że zarówno w podmiotach publicznych, jak i niepublicznych, pracodawcy prowadzący ZFŚS muszą dokonywać corocznych przeglądów, aby zweryfikować, czy przetwarzają jedynie dane niezbędne do realizacji celów świadczeń socjalnych swoich pracowników. Co ważne, przegląd dotyczy całości dokumentacji.

Pracodawca nie może zapomnieć o archiwizacji, jeśli dotyczy go ten wymóg

W przypadku pracodawcy będącego podmiotem publicznym, który zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach ma obowiązek archiwizowania wytworzonej dokumentacji, istotne znaczenie przy realizacji obowiązków wynikających z ustawy o ZFŚS będą miały przepisy dotyczące archiwizacji. Oznacza to, że jeżeli dokumentacji z działania Funduszu zostanie przypisana kategoria archiwizacyjna z jednolitego rzeczowego wykazu akt, to dokumenty niezbędne do realizacji celów, dla których prowadzony jest Fundusz będą musiały być przechowywane przez określony w tej kategorii czas. Wówczas nie można ich zniszczyć aż do czasu, kiedy będą one podlegały brakowaniu. Zatem podmioty publiczne będą realizowały zarówno cele związane z ochroną danych osobowych w ramach działania Funduszu, jak i cele archiwizacyjne.

Odnosząc się natomiast do pracodawców działających jako podmioty prywatne, będą oni realizować jedynie obowiązki wynikające z ustawy o ZFŚS. Zgodnie z zasadą celowości pracodawcy mający status podmiotu prywatnego są zobowiązani dokonywać minimum raz w roku przeglądu danych osobowych oraz usuwać te dane, które dla celów związanych z prowadzeniem Funduszu są zbędne.

Prezes Urzędu Ochrony Danych Osobowych, odpowiadając na liczne pytania kierowane do Urzędu, wyjaśnia, że wprowadzanie do systemu informacji oświatowej danych o tym, który nauczyciel bierze udział w strajku, nie ma podstaw prawnych.

Ustawa z dnia 15 stycznia 2011 r. o systemie informacji oświatowej określa rodzaj i zakres danych gromadzonych w systemie informacji oświatowej, a w tym dane identyfikacyjne i dane dziedzinowe nauczycieli. Artykuł 29 tej ustawy definiuje, co należy rozumieć przez dane dziedzinowe nauczyciela.   Są to między innymi dane dotyczące przyczyn nieprowadzenia zajęć (art. 29 ust. 1 pkt 1 lit. h i ust. 1 pkt 1a lit. h oraz ust. 3 pkt 1 lit. f).

Ustawa nie mówi, co dokładnie należy rozumieć przez przyczyny nieprowadzenia zajęć. Tę kwestię doprecyzowuje rozporządzenie Ministra Edukacji Narodowej z 11 sierpnia 2017 r. sprawie szczegółowego zakresu danych dziedzinowych gromadzonych w systemie informacji oświatowej oraz terminów przekazywania niektórych danych do bazy danych systemu informacji oświatowej (wydane na podstawie art. 31 tej ustawy).

Przepis § 27 tego rozporządzenia określa czym są dane dziedzinowe nauczycieli dotyczące przyczyn nieprowadzenia zajęć. Zgodnie z nim taką przyczyną może być tylko:

1. urlop macierzyński, urlop rodzicielski, urlop ojcowski lub urlop na warunkach urlopu macierzyńskiego;
2. urlop wychowawczy;
3. urlop bezpłatny udzielony na podstawie ustawy – Karta Nauczyciela (art. 17 ust. 2 i art. 17 ust. 2a);
4. urlop udzielony na podstawie ustawy o związkach zawodowych (art. 25 ust. 1);
5. zwolnienie z obowiązku świadczenia pracy na podstawie ustawy o związkach zawodowych (art. 31 ust. 1);
6. urlop dla poratowania zdrowia;
7. zwolnienie z obowiązku prowadzenia zajęć na podstawie ustawy – Karta Nauczyciela (art. 42 ust. 6);
8. zawieszenie w pełnieniu obowiązków na podstawie ustawy – Karta Nauczyciela (art. 85t ust. 1-3);
9. urlop udzielony na podstawie ustawy – Karta Nauczyciela (art. 68 ust. 1);
10. urlop bezpłatny, o którym mowa w Kodeksie pracy (art. 174 § 1);
11. przeniesienie w stan nieczynny;
12. niezdolność do pracy, o której mowa w Kodeksie pracy (w art. 92 § 1);
13. zwolnienie od wykonywania pracy z powodu konieczności osobistego sprawowania opieki, o którym mowa w ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (art. 32 ust. 1);
14. urlop uzupełniający, o którym mowa w ustawie – Karta Nauczyciela (art. 66 ust. 1)

Związek zawodowy ma prawo pozyskiwać od pracodawcy imiona i nazwiska pracowników oraz dane umożliwiające poinformowanie pracownika o referendum strajkowym – informuje Prezes UODO.

Przepisy dotyczące zarówno związków zawodowych, jak i regulacje z zakresu sporów zbiorowych nie określają wprost uprawnienia do pozyskiwania przez związki zawodowe danych pracowników na potrzeby referendum strajkowego.

Ustawa o rozwiązywaniu sporów zbiorowych w art. 20 ust. 1 określa, że strajk zakładowy ogłasza organizacja związkowa po uzyskaniu zgody większości głosujących pracowników, jeżeli w głosowaniu wzięło udział co najmniej 50% pracowników zakładu pracy.

Zaś kolejny ustęp tego przepisu mówi, że strajk wielozakładowy ogłasza organ związku wskazany w statucie po uzyskaniu zgody większości głosujących pracowników w poszczególnych zakładach pracy, które mają być objęte strajkiem, jeżeli w głosowaniu w każdym z tych zakładów wzięło udział co najmniej 50 proc. pracowników.

Przepisy te jednak nic nie mówią o tym, skąd i jaki zakres danych pracowników mogą pozyskać związki na potrzeby zorganizowania głosowania w związku z planowanym strajkiem.

Ustawa o związkach zawodowych określa, że pracodawca jest zobowiązany udzielić na żądanie związku zawodowego informacji niezbędnych do prowadzenia działalności związkowej, na co wskazuje art. 28 ust. 1 tej ustawy. Nie precyzuje jakiego rodzaju informacje są niezbędne do prowadzenia działalności związkowej oraz w jakiej formie pracownicy mają być poinformowani o planowanym referendum strajkowym.

W związku z tym, że powyższe regulacje nie odnoszą się bezpośrednio do kwestii pozyskiwania danych osobowych przez związki zawodowe w celu realizacji ich zadań, pojawiły się wątpliwości w  kontekście przeprowadzenia referendum strajkowego.

– W wielu sytuacjach przeprowadzenie referendum strajkowego jest – bez posiadania informacji, kto w jakim zakładzie pracuje oraz w jaki sposób można się z nim skontaktować – bardzo utrudnione, a nawet niemożliwe. Okoliczność ta powoduje, że pracodawca ma obowiązek przekazać związkowi zawodowemu imiona i nazwiska zatrudnionych oraz informację umożliwiającą nawiązanie z nimi kontaktu, bowiem tylko w ten sposób związek będzie w stanie takie referendum przeprowadzić – tłumaczy dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych.

Dodaje, że dane te mogą obejmować m.in.: adres e-mail, numer telefonu czy adres do korespondencji, o ile nie istnieje inna możliwość skontaktowania się z pracownikiem.

Jako podstawę uprawniającą związek zawodowy do pozyskiwania danych osobowych w zakresie imion, nazwisk oraz danych kontaktowych wskazuje art. 6 ust. 1 lit. f rozporządzenia ogólnego o ochronie danych (RODO), czyli prawnie uzasadniony interesu realizowany przez administratora.

– Uzasadnionym interesem związku zawodowego, czyli organizatora referendum strajkowego, będzie poinformowanie wszystkich pracowników o planowanym referendum strajkowym, a zatem dotarcie do wszystkich pracowników danego zakładu pracy, w tym takich osób, którzy swoją pracę świadczą poza siedzibą zakładu pracy, bądź są nieobecni z innych przyczyn – wyjaśnia Prezes UODO.

Zaznacza jednak, że dane osobowe pracowników mogą być ujawnione związkowi zawodowemu na podstawie art. 6 ust. 1 lit. f RODO jedynie po to, aby poinformować i przeprowadzić referendum strajkowe. Ponadto dane takie powinny być pozyskiwane przez związek zawodowy tylko w niezbędnym zakresie, adekwatnym do celu, w jakim będą przez niego przetwarzane.

Związek zawodowy powinien więc dokonać analizy, jakie dane są mu niezbędne do realizacji tego celu, unikając zbierania danych nadmiarowych (np. łączne pozyskiwanie numeru telefonu oraz adresu e-mail i adresu do korespondencji). Może on żądać udostępnienia wspomnianych danych wyłącznie w przypadku, gdy nie jest on w stanie poinformować pracownika o planowanym referendum w inny sposób.

Prezes UODO przypomina też, że organizator referendum strajkowego będzie zobowiązany do spełnienia wobec osób, których dane pozyska od pracodawców, obowiązku informacyjnego określonego w art. 14 RODO.