Coroczny przegląd danych osobowych z Zakładowego Funduszu Świadczeń Socjalnych

Coroczny przegląd danych osobowych z Zakładowego Funduszu Świadczeń Socjalnych.

Funkcjonowanie w zakładzie pracy Zakładowego Funduszu Świadczeń Socjalnych („ZFŚS”) wiąże się z licznymi korzyściami zarówno dla pracowników jak i pracodawcy. Nie należy jednak zapominać, że wiążą się z nim również obowiązki. Jednym z takich obowiązków jest konieczność corocznego dokonywania przeglądu danych osobowych w celu ustalenia niezbędności ich dalszego przechowywania.

Zasady rządzące wydatkowaniem środków z Zakładowego Funduszu Świadczeń Socjalnych wymuszają na pracodawcy pozyskiwanie i przetwarzanie danych pracowników i ich rodzin. Dane te podlegają ochronie, wobec czego pracodawca, będący administratorem tych danych, zobowiązany jest do przestrzegania w szczególności zasady minimalizmu. Zgodnie z tą zasadą dane osobowe powinny być adekwatne, czyli pozwalające realizować cel w jaki są gromadzone, stosowne oraz ograniczone do tego, co niezbędne do realizacji celu. Dane nie mogą być gromadzone na „zapas” lub na „wszelki wypadek”. W przypadku ZFŚS kluczowe dla realizacji tej zasady będą zapisy regulaminu Funduszu. W nim powinny bowiem znaleźć się szczegółowe regulacje proceduralne ze wskazaniem danych i dokumentów jakie osoba ubiegająca się o świadczenie powinna przekazać. Ponadto przetwarzanie danych osobowych na podstawie przepisów ustawy o zakładowym funduszu świadczeń socjalnych, jest dopuszczalne tylko przez okres niezbędny do przyznania świadczenia oraz ustalenia jego wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń. W celu realizacji tychże zasad ustawodawca zdecydował się na wprowadzenie obowiązku przeglądu danych osobowych w celu ustalenia niezbędności ich dalszego przechowywania. Taki przegląd powinien być dokonywany nie rzadziej niż raz w roku kalendarzowym. Ustawodawca nie zdecydował się na uregulowanie szczegółowych procedur w tym zakresie, więc warto wprowadzić zasady tegoż przeglądu w regulaminie Zakładowego Funduszu Świadczeń Socjalnych. Jakkolwiek ustawa ZFŚS wprost wskazuje na jeden przegląd w roku to nie można zapominać, że pracodawca jest nie tylko zobowiązany do przestrzegania ustawy o zakładowym funduszu świadczeń socjalnych, ale także innych przepisów z zakresu ochrony danych osobowych. Powinien, więc on na bieżąco monitorować, czy dane osobowe są przetwarzane w sposób zgodny przede wszystkim z art. 5 RODO[1].

Po przeprowadzeniu kontroli corocznej (lub doraźnej) w przypadku uznania zbędności przechowywania pewnego zakresu danych pracodawca ma obowiązek usunięcia danych osobowych, których dalsze przechowywanie jest zbędne do realizacji celu, dla którego były gromadzone. Obowiązkowe jest zatem usunięcie tych danych, które nie są już niezbędne do przyznania ze środków Zakładowego Funduszu Świadczeń Socjalnych usług, świadczeń, dopłat czy też określenia ich wysokości, jak też tych, których dalsze przetwarzanie jest zbędne z perspektywy dochodzenia praw lub roszczeń.

Ustawa nie wskazuje kto i kiedy ma dokonać przeglądu, zatem pozostaje to do swobodnej decyzji pracodawcy. Jest więc również dopuszczalne, aby pracodawca powierzył dokonanie corocznego przeglądu danych podmiotowi zewnętrznemu. Należy jednak pamiętać, że każda osoba mająca dostęp do danych osobowych powinna być odpowiednio umocowana do ich przetwarzania oraz winna być przeszkolona ze wszelkich procedur dotyczących ochrony danych osobowych.

Warto również pamiętać, że z takiej kontroli powinien pozostać jakiś „ślad”, który pozwoli nam w razie potrzeby udowodnić, że wymóg ten został spełniony. Najbardziej praktycznym rozwiązaniem jest sporządzenie protokołu z kontroli w formie dokumentowej. Ma to istotne znaczenie w kontekście konsekwencji nieprzestrzegania tegoż obowiązku, gdyż niestosowanie się do ustawy o zakładowym funduszu świadczeń socjalnych zagrożone jest karą grzywny. Ponadto pozostaje również ogólna odpowiedzialność związana z nieprzestrzeganiem przepisów o ochronie danych osobowych.

Podsumowując, jakkolwiek ustawa o zakładowym funduszu świadczeń socjalnych wymaga dokonywania przeglądu gromadzonych danych raz do roku, tak ogólne przepisy o ochronie danych osobowych wymagają ciągłego prawidłowego przetwarzania danych osobowych. Temat ochrony danych osobowych w zakładowym funduszu świadczeń socjalnych powinien więc być monitorowany na bieżąco.

[1] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Z DNIA 27 KWIETNIA 2016 R. W SPRAWIE OCHRONY OSÓB FIZYCZNYCH W ZWIĄZKU Z PRZETWARZANIEM DANYCH OSOBOWYCH I W SPRAWIE SWOBODNEGO PRZEPŁYWU TAKICH DANYCH ORAZ UCHYLENIA DYREKTYWY 95/46/WE (OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1)

Art. 5.

  1. Dane osobowe muszą być:
  2. a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  3. b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  4. c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  5. d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  6. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (,,ograniczenie przechowywania”);
  7. f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  8. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

 

Monika Pawłowska-Bielas   |   01.11.2024

Autor :

Monika Pawłowska-Bielas

Monika Pawłowska-Bielas

Mogą Cię zainteresować

02.22.2024

Shareholders' meeting in a limited liability company

Shareholders’ meeting in a limited liability company

02.22.2024

Zgromadzenie wspólników w spółce z ograniczoną odpowiedzialnością

Zgromadzenie wspólników w spółce z ograniczoną odpowiedzialnością

01.25.2024

ZGŁASZANIE DO SĄDU REJESTROWEGO ZMIAN W SPÓŁCE Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

ZGŁASZANIE DO SĄDU REJESTROWEGO ZMIAN W SPÓŁCE Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
Wszystkie wpisy