To ostatni moment, by z jej weryfikacją zdążyć do końca roku. Nie jest to obowiązek jednorazowy, powinien być cyklicznie powtarzany w kolejnych latach.
Od 4 maja 2019 r. w ustawie o zakładowym funduszu świadczeń socjalnych (dalej: ustawa o ZFŚS) wprowadzono obowiązek dokonywania corocznych przeglądów danych osobowych osób uprawnionych do korzystania z funduszu socjalnego. Artykuł 8 ust. 1d ustawy o ZFŚS przewiduje, że taki przegląd powinien mieć miejsce nie rzadziej niż raz w roku, a jego celem ma być ustalenie niezbędności dalszego przechowywania zgromadzonych danych osobowych osób uprawnionych do świadczeń.
Cykliczny obowiązek
Pracodawcy posiadający ZFŚS muszą więc po raz pierwszy jeszcze w 2019 r. przeprowadzić przegląd dokumentacji zgromadzonej w związku z przyznawaniem świadczeń socjalnych (na spełnienie tego obowiązku nie pozostało im więc zbyt wiele czasu).W praktyce pojawiła się jednak wątpliwość co do zakresu przeprowadzenia takiego pierwszego przeglądu. Czy powinien on dotyczyć całości dokumentacji ZFŚS posiadanej przez pracodawcę i zawartych w niej danych (np. z kilku lat), czy też np. przegląd dokonany w tym roku ma dotyczyć tylko dokumentacji z 2019 r.?
Ministerstwo Rodziny, Pracy i Polityki Społecznej w swoim stanowisku z 4 grudnia 2019 r. wskazało, że właściwym do odpowiedzi na te pytania jest Urząd Ochrony Danych Osobowych. Z jego stanowiska wynikają dwie wskazówki. Po pierwsze resort potwierdza konieczność przeprowadzania przeglądów corocznie, począwszy od 2019 r., przy czym wybór bardziej szczegółowego terminu należy tu do pracodawcy. Po drugie pracodawca ma obowiązek dokonywać analizy niezbędności przechowywania danych pod kątem realizacji celów wynikających z ust. 1a i 1c art. 8 ustawy o ZFŚS.
Pierwszy z wymienionych przepisów (art. 8 ust. 1a) dotyczy zasad udostępnienia danych osobowych pracodawcy przez osoby uprawnione do korzystania z ZFŚS i w tym zakresie przewidziano formę oświadczenia. Pracodawca może jednak żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia, co może oznaczać konieczność złożenia dodatkowych zaświadczeń lub oświadczeń o sytuacji życiowej, rodzinnej i materialnej uprawnionego. Dane te powinny być przetwarzane przez okres niezbędny do przyznania ulgowej usługi lub świadczenia, ustalenia ich wysokości oraz dochodzenia praw lub roszczeń. [przykład 1]
przykład 1
E-maile do komisji
Pracodawca, przyznając świadczenia z tytułu wczasów pod gruszą, przewidział w regulaminie ZFŚS możliwość wyrywkowej weryfikacji oświadczeń o dochodzie na członka rodziny. W tym celu, jak wynika z regulaminu, może żądać przedłożenia do wglądu zeznania rocznego (PIT-11) pracownika oraz oświadczenia o dochodach jego małżonka. W 2019 r. zweryfikowano w ten sposób oświadczenia 20 pracowników. Ze względu na rozproszoną strukturę pracodawcy w tym zakresie obowiązuje procedura przesyłania skanów dokumentów na specjalny adres e-mailowy komisji socjalnej przyznającej świadczenia. Dane takie powinny być usuwane w ramach corocznych przeglądów dokumentacji ZFŚS, gdyż nie ma dalszych podstaw do ich przechowywania po przyznaniu świadczeń pracownikom.
przykład 2
Kontrola skarbowa czy RODO
Pracownik otrzymał od pracodawcy z ZFŚS zapomogę w związku z długotrwałą chorobą w wysokości 10 tys. zł. Zgodnie z przepisami podatkowymi takie świadczenie jest zwolnione z opodatkowania niezależnie od jego wysokości. Pracownik, składając wniosek o zapomogę, przyniósł i przedłożył komisji socjalnej dokumentację medyczną z ostatniego roku, w trakcie którego leczył się na nowotwór. Komisja socjalna po przyznaniu zapomogi nie powinna przechowywać całości dokumentacji medycznej, gdyż są w niej zawarte dane szczególnie chronione. Taką dokumentację należałoby więc zwrócić. Jednak w razie kontroli skarbowej komisja powinna dysponować dowodem potwierdzającym spełnienie przesłanki zwolnienia podatkowego, jakim była „długotrwała choroba”. Każda decyzja wiąże się tu z ryzykiem odpowiedzialności pracodawcy – wobec UODO lub organów kontroli skarbowej.
Z drugiego przepisu (art. 8 ust. 1c) wynika natomiast, że dane mogą być przechowywane nie tylko przez okres niezbędny do przyznania świadczeń z ZFŚS, lecz także przez okres uzasadniony dochodzeniem praw lub roszczeń. W tym zakresie należy więc wziąć pod uwagę termin przedawnienia roszczeń z tytułu świadczeń socjalnych – przyjmuje się, że wynosi on trzy lata od ich wymagalności (świadczenia te wynikają ze stosunku pracy, a więc stosuje się w tym zakresie ogólną zasadę wynikającą z art. 291 kodeksu pracy). Świadczenia socjalne są wyłączone z podstawy wymiaru składek ZUS, a część z nich jest także nieopodatkowana, co uzasadnia dłuższe przechowywanie dokumentów z nimi związanych do czasu przedawnienia zobowiązań publicznoprawnych z wymienionych tytułów.
Prawidłowe przetwarzanie
Na prośbę DGP stanowisko zajął także UODO – i jest ono bardziej konkretne. Urząd zwraca uwagę, że administratorzy danych powinni w sposób ciągły prawidłowo przetwarzać dane osobowe w każdym procesie. I co najważniejsze – zauważa w nim, że przegląd dokonany w 2019 r. powinien być kompleksowy. W związku z wynikającą z art. 5 RODO zasadą minimalizacji UODO uznaje bowiem, że przegląd powinien dotyczyć całości dokumentacji zgromadzonej na potrzeby przyznawania świadczeń socjalnych. Wydaje się zatem, że pracodawcy jeszcze w 2019 r. powinni dokonać przeglądu całości przechowywanej dokumentacji ZFŚS – przy czym warto zauważyć, że może być ona nadal przechowywana za okres maksymalnie od 2014 r., gdyż z podatkowego punktu widzenia okres przedawnienia wynosi pięć lat od końca roku, w którym upłynął termin płatności PIT. Tak więc przegląd powinien objąć najdalej wstecz także świadczenia, które zostały wypłacone w 2014 r. i w tym roku mogły stać się przychodem podatkowym – dotyczące ich należności podatkowe przedawnią się bowiem dopiero z końcem 2019 r. Starsze dokumenty powinny zostać zniszczone przez pracodawców już bez dokonywania przeglądu zawartych w nich danych.
Zaświadczenia do wglądu
Tak naprawdę uproszczenie ciążącego na pracodawcy obowiązku jest możliwe, jeśli komisje socjalne przyznające świadczenia będą gromadziły minimum dokumentów, domagając się ewentualnie jedynie okazania dowodów czy przedłożenia przez osoby uprawnione zaświadczeń do wglądu. W tym zakresie pojawia się jednak w praktyce problem, gdyż trzeba znaleźć złoty środek pomiędzy ryzykiem kontroli skarbowej w zakresie zwolnień podatkowych dla niektórych świadczeń a przestrzeganiem zasad RODO. [przykład 2]
Wydaje się, że w wielu firmach konieczna jest zmiana zasad działania komisji socjalnych, które dotychczas, aby ograniczyć ilość pracy, pisały w swoich decyzjach jednozdaniowo, że „w związku z długotrwałą chorobą przyznaje pracownikowi zapomogę w wysokości ... zł”, a do wniosku dołączana była kopia dokumentacji medycznej pracownika (na co wskazuje także przykład 2). Wydaje się, że teraz w takiej decyzji komisji powinny być wymienione przedłożone do wglądu dokumenty, na podstawie których została ona podjęta. Dokumenty te należy oddać pracownikowi bezpośrednio po przyznaniu świadczenia. Dylemat praktyczny będzie jednak dotyczył odpowiedzi na pytanie, czy w dokumentacji socjalnej pracodawcy nie może być żadnych dokumentów zawierających dane medyczne, czy jednak ogólny dokument (taki jak np. opinia lekarza prowadzącego, z której wynika, że choroba jest długotrwała) mógłby być przechowywany, aby wykazać zasadność zwolnienia podatkowego. Zdrowy rozsądek wskazywałby, że prawidłowe jest to drugie rozwiązanie, ale praktyka zweryfikuje to podejście.
Stanowisko MRPiPS z 4 grudnia 2019 r. w sprawie przeglądów danych osobowych dotyczących ZFŚS dla DGP
Zgodnie z dyspozycją art. 8 ust. 1d ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz.U. z 2019 r., poz. 1352, z późn. zm.), pracodawca dokonuje przeglądu danych osobowych osób uprawnionych do korzystania z funduszu nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane, których dalsze przechowywanie jest zbędne dla realizacji celu określonego w art. 8 ust. 1a i 1c.
Powołane przepisy zawierają obowiązek dokonywania przez pracodawcę corocznego przeglądu danych osobowych przetwarzanych na potrzeby działalności socjalnej wskazując na konieczność realizacji tej czynności nie rzadziej niż raz w roku kalendarzowym. W związku z tym, o częstotliwości i terminie dokonywania tego przeglądu w roku kalendarzowym decyduje pracodawca, uwzględniając cel takiego przeglądu.
Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania ogólnego rozporządzenia o ochronie danych (RODO) (Dz.U. z 2019 r., poz. 730), wprowadzająca m.in. obowiązek dokonywania corocznego przeglądu danych osobowych na potrzeby socjalne (art. 27) weszła w życie z dniem 4 maja br. W świetle powyższej regulacji od tego dnia pracodawca ma obowiązek przeprowadzenia corocznego przeglądu danych osobowych osób uprawnionych do korzystania z Funduszu, które przetwarza na potrzeby działalności socjalnej.
Organem właściwym w sprawie zajmowania stanowiska w sprawie stosowania powołanej ustawy z dnia 21 lutego 2019 r. jest Urząd Ochrony Danych Osobowych. Ministerstwo Rodziny, Pracy i Polityki Społecznej nie jest uprawnione do wydawania powszechnie obowiązującej wykładni przepisów ustaw. W związku z tym, prezentowane poglądy prawne nie są wiążące.
Stanowisko UODO z 6 grudnia 2019 r. w sprawie przeglądów danych osobowych dotyczących ZFŚS dla DGP
Przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO) wymagają nieprzerwanego, ciągłego prawidłowego przetwarzania danych, w każdym procesie wykonywania operacji na danych. Nie wystarczy więc raz dokonać przeglądu danych w istniejących zasobach i o tym zapomnieć.
Z kolei znowelizowane 4 maja 2019 r. przepisy ustawy o zakładowym funduszu świadczeń socjalnych (dalej „Fundusz”) nakładają na pracodawców obowiązek dokonywania przeglądu danych osobowych zawartych w dokumentacji wytworzonej w ramach prowadzenia Funduszu – nie rzadziej niż raz w roku kalendarzowym, w celu ustalenia niezbędności ich dalszego przechowywania. Jest to minimalna częstotliwość dokonywania takiego przeglądu, określona przez ustawodawcę.
Przepisy te nakazują pracodawcy usuwać dane osobowe, których dalsze przechowywanie jest zbędne. Powyższe jednoznacznie wskazuje konkretny cel przetwarzania tych danych, a więc jest ściśle związane z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO) – tj. przyznawanie świadczeń socjalno-bytowych w ramach działania Funduszu.
W podmiotach publicznych, jak i niepublicznych pracodawcy muszą więc dokonywać corocznych przeglądów – tak, aby przetwarzać jedynie dane niezbędne do realizacji celów świadczeń socjalnych swoich pracowników. Wskazać również należy, że zgodnie z ww. zasadą ograniczenia celu dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Pracodawcy zatem przetwarzają te dane osobowe pracowników, które są niezbędne do celów związanych z przyznaniem świadczenia w ramach Funduszu.
Wprowadzenie, z dniem 4 maja br., obowiązku dokonywania przez pracodawcę przeglądu danych osobowych przetwarzanych w związku z działaniem zakładowego funduszu świadczeń socjalnych oznacza, że pracodawca dokonuje przeglądu całości tej dokumentacji. Dzięki temu będzie realizował obowiązek określony w art. 8 ust. 1d ustawy o zakładowym funduszu świadczeń socjalnych oraz będzie przetwarzał dane zgodnie z przepisami o ochronie danych, w szczególności zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO).
Podstawa prawna
•art. 8 ust. 1a, 1c i 1d ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (t.j. Dz.U. z 2019 r. poz. 1352; ost.zm. Dz.U. z 2019 r. poz. 1907)
•art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO; Dz.Urz. UE z 2016 r. L 119, s. 1)
•art. 291 ustawy z 26 czerwca 1974 r. ‒ Kodeks pracy (t.j. Dz.U. z 2019 r. poz. 1040; ost.zm. Dz.U. z 2019 r. poz. 1495)