Od co najmniej kilku miesięcy żyjemy pod presją lęku przed wykonywaniem obowiązków wynikających z wejścia w życie europejskiego rozporządzenia o ochronie danych osobowych osób fizycznych (RODO). Słusznie, bo choć ten akt jest w swej logice słuszny, to jest trudny w czytaniu, a czasem – jak się wydaje – jednak nieproporcjonalny do ryzyk których dotyczy. Choć równocześnie RODO tak silnie akcentuje, że zakres obowiązków spoczywających na administratorach danych ma być proporcjonalny do skali przetwarzania.
W niniejszym opracowaniu zajmuję się jedną ze sfer stosowania RODO, a mianowicie funkcjonowaniem przy zakładach pracy zakładowych funduszy świadczeń socjalnych. Co więcej, odnoszę się tylko do kilku aspektów. Wśród pracodawców zobowiązanych do utworzenia zakładowego funduszu świadczeń socjalnych może bowiem powstać wątpliwość, na jakiej podstawie mogą oni przetwarzać dane osobowe, a w szczególności, czy konieczna jest w tym celu zgoda osób, których dane dotyczą.
Socjalny, czyli czyj?
Przy analizie kwestii dotyczących przetwarzania danych osobowych w ramach działalności związanej z prowadzeniem zakładowego funduszu świadczeń socjalnych trzeba rozpocząć od zupełnie podstawowego pytania, a mianowicie - czyje są środki zgromadzone na koncie (subkoncie) funduszu. Odpowiedź na to pytanie jest bowiem zupełnie kluczowa. Problem zarazem w tym, że pytania tego nie stawialiśmy od lat, co skutkuje tym, że kwestii funduszu w dyskursie publicznym można dostrzec szereg wypowiedzi niespójnych, nieprecyzyjnych a wręcz błędnych.
Pracodawca nie jest właścicielem środków zgromadzonych na funduszu
W pierwszej kolejności należy odpowiedzieć na pytanie, czy pracodawca jest właścicielem środków zgromadzonych na funduszu. Odpowiedź na nie jest negatywna. Pracodawca ma prawny obowiązek dokonania odpisów środków na fundusz, którymi potem administruje. Nie jest więc ich właścicielem lecz administratorem. Z tego zresztą powodu związki zawodowe mają współdecydujący wpływ na wydatkowanie środków z funduszu, albowiem współdecydują o środkach publicznych, a nie prywatnych. Innymi słowy, zakładowy fundusz świadczeń socjalnych jest publicznym funduszem celowym, realizującym w sposób politykę społeczną państwa, powstającym co do zasady z obowiązkowych danin publicznych w przypadku przedsiębiorców, lub ze środków budżetowych w sektorze publicznym.
Czytaj też: Listy obecności muszą być zgodne z RODO >
Na powyższe istnieje zresztą szereg innych dowodów. Pracodawca nie ma np. możliwości samodzielnie korzystać ze środków, nie może pobierać z nich pożytków i dochodów oraz nie może nimi swobodnie rozporządzać. Oznacza to, że nie posiada on podstawowych uprawnień właścicielskich względem środków z funduszu, co w znacznej mierze podważa twierdzenie, jakoby miał on być właścicielem tych środków. Ponadto, środki z Funduszu nigdy nie trafiają zwrotnie do przedsiębiorcy. W przypadku likwidacji funduszu, transferów pracowników czy też upadłości, raz dopisane środki muszą być przeznaczone na działalność socjalną, a precyzyjniej – społeczną, lub przekazane do administrowania innemu pracodawcy. A powyższe wywody to tylko niektóre argumenty uzasadniające postrzeganie funduszu jako formę aktywności publicznej.
Kto jest administratorem danych osobowych?
Pytanie o to, kto jest administratorem danych osobowych w kontekście działalności zakładowego funduszu świadczeń socjalnych jest niezwykle ciekawe. Powyższe wynika z tego, że proces decyzyjny w zakresie działania zakładowego funduszu świadczeń socjalnych obejmuje czasem dwa lub nawet trzy podmioty. Pomijam oczywiście osoby obsługujące fundusz od strony technicznej, z pracowniami księgowości włącznie. Mam tu raczej na myśli przypadki, w których w zakładzie działa związek zawodowy lub komisja socjalna, albo też i związek i komisja łącznie.
Zacznijmy od pracodawcy, który jest niewątpliwie administratorem danych osobowych, albowiem jest zarazem administratorem funduszu. Administratorem, czyli podmiotem ponoszącym odpowiedzialność za zgodne z prawem wydatkowanie środków finansowych funduszu. Można więc powiedzieć, że pracodawca jest administratorem w podwójnym znaczeniu, administruje środkami publicznymi i danymi osobowymi.
Cena promocyjna: 103.2 zł
|Cena regularna: 129 zł
|Najniższa cena w ostatnich 30 dniach: zł
Przejdźmy teraz do komisji socjalnej. Ocena komisji z perspektywy przepisów RODO jest o tyle prosta, że komisja – tam gdzie jest powołana – funkcjonuje z woli pracodawcy lub pracodawcy i związków. Komisja nie jest więc bytem ustawowym, dlatego musi być postrzegana jako podmiot działający w imieniu administratora. Tym samym członkowie komisji przetwarzają dane na podstawie upoważnień, czyli są podmiotami przetwarzającymi.
Najciekawsza jest w tym kontekście sytuacja związków zawodowych. Przypomnijmy bowiem, że zgodnie z art. 27 ust. 2 ustawy o związkach zawodowych przyznawanie pracownikom świadczeń z funduszu dokonywane jest w uzgodnieniu z zakładową organizacją związkową.
Na tle powyższego przepisu powstaje zupełnie kluczowe pytanie, czy powyższy przepis jest podstawą do współdecydowania przez związki o przyznaniu świadczeń konkretnej osobie, czyli de facto współpodejmowania decyzji, czy też przepis stanowi jedynie o tym, że związki zawodowe podejmują wraz pracodawcą decyzję kierunkową o uruchomieniu środków funduszu w celu przyznania świadczeń w ramach zasad określonych w regulaminie, podczas gdy decyzje indywidualne podejmuje pracodawca-administrator. Inaczej rzecz ujmując, akcent należy położyć na wyrażoną w przepisie liczbę mnogą tj. „ przyznawanie świadczeń” a nie „przyznanie świadczenia”. Ujmując rzecz jeszcze inaczej, w preliminarzach wydatków związki współdecydują o tym, jakie świadczenia i w ramach jakiego budżetu mogą być przyznawane, a nie o tym, komu konkretnie świadczenie przyznać. Z powyższego wynika, że jeśli z regulaminy zakładowego funduszu świadczeń socjalnych nie wynika nic innego, to pracodawca nie może uruchamiać środków bez zgody związków, jednak gdy już taką zgodę otrzyma, to decyzje podejmuje sam. To, czy skorzysta z konsultacji z osobami wskazanymi przez związki np. do komisji socjalnej to zupełnie inna rzecz.
Przez długi czas przyjmowałem, że związki podejmują decyzję w sprawach indywidualnych. Mam jednak w tym zakresie narastające wątpliwości, które RODO jedynie pogłębia. Za przyjęciem, że powyższy przepis stanowi o prawie współdecydowania o każdym świadczeniu przemawia argument o demokratyzowaniu zarządzania środkami publicznymi.
Jednak argumenty przeciw są równie ważkie. Przede wszystkim związki zawodowe spełniają funkcję kontrolną, czego kluczowym dowodem jest regulacja art. 8 ust. 3 ustawy, zgodnie z którą związkom zawodowym przysługuje prawo wystąpienia do sądu pracy z roszczeniem o zwrot Funduszowi środków wydatkowanych niezgodnie z przepisami ustawy lub o przekazanie należnych środków na Fundusz. Z powyższej regulacji nie wynika przy tym, że związkowi nie przysługuje takie roszczenie, jeśli współdecydował o niezgodnym z prawem wydatkowaniu środków. Przepis ten zachowuje spójność tylko przy założeniu, że związki nie biorą udziału w podejmowaniu konkretnych decyzji.
Innych argumentów dostarcza z kolei RODO. Gdyby przyjąć, że związki zakładowe biorą udział w procesie podejmowania decyzji indywidualnych, oraz mając na uwadze to, że w zakładach pracy może działać wiele związków zawodowych mających często bardzo rozbudowane zarządy, to skala dystrybucji danych osobowych może być tak znaczna, że opisane przez RODO wymogi staną się iluzoryczne.
Dlatego – jak wspomniałem – bliski mi jest obecnie pogląd, że art. 27 ust. 2 ustawy o związkach zawodowych nie dotyczy podejmowania decyzji, a tym samym nie stanowi podstawy do przekazywania związkom zawodowym danych osobowych osób ubiegających o świadczenia ani danych osób, które muszą być przekazane w celu rozpatrzenia zasadności wniosku.
Czytaj też: Dane pracowników są niezasadnie ujawniane związkom zawodowym >
Gdyby jednak uznać inaczej, to pojawiłoby się pytanie o status związku zawodowego w kontekście RODO. Odpowiedź na powyższe pytanie zależałaby od tego, w jaki sposób związek realizowałby swoje uprawnienie do wyrażania zgody. Gdyby związek czynił to poprzez ocenę dokumentacji dokonywaną przez swoich przedstawicieli czy to poprzez uczestniczenie w komisji socjalnej czy też w bezpośrednich spotkaniach z pracodawcą, to z związek z pewnością nie byłby administratorem danych w rozumieniu RODO. Za powyższym przemawiają dwa argumenty. Po pierwsze, argument natury technicznej. Otóż związek nie przetwarzałby danych ani w formie zbioru danych ani w formie automatycznej, a miałby jedynie wgląd do danych administrowanych przez pracodawcę po to tylko, aby wyrazić lub nie wyrazić zgody. Po drugie, związki nie ustalałyby celu dla przetwarzania danych a jedynie uczestniczyły w procesie realizacji tego celu, ustalonego przez pracodawcę-administratora. Wydaje się, że związek należałoby potratować jako odbiorcę danych i to tylko na potrzeby wyrażenia opinii. Trudno byłoby bowiem uznać go za podmiot przetwarzający, albowiem związek nie przetwarzałby danych w imieniu pracodawcy.
Sytuacja wyglądałaby inaczej, gdyby proces współpracy pracodawcy ze związkami zawodowymi z pracodawcą polegał na tym, że zarząd związku podejmowałby decyzję o wyrażeniu lub niewyrażeniu zgody na przyznanie świadczenia konkretnej osobie. W takim bowiem przypadku związek przetwarzałby dane osobowe w celu wykonania swojego ustawowego uprawnienia a tym samym byłby administratorem danych. Związek mógłby w tym celu prowadzić np. zbiór danych właśnie na potrzeby procedowania podjęcia decyzji i przekazania jej pracodawcy. W tym zakresie sam ustalałaby cel i sposób przetwarzania. Byłby więc administratorem obok pracodawcy, choć cel przetwarzania byłby nieco inny. Decyzję o przyznaniu świadczenia lub usługi podejmuje bowiem zawsze pracodawca a nie pracodawca i związki zawodowe łącznie. Dlatego przetwarzanie danych w celu uzgodnienia z pracodawcą decyzji nie jest tym samym co przetwarzanie danych w celu jej podjęcia i zakomunikowania osobie uprawnionej.
Czytaj też: Pięć najczęstszych błędów przy stosowaniu RODO >
Zresztą powyższe odróżnienie jest kluczowe, albowiem uznanie związku zawodowego za współadministratora danych osobowych zbieranych przez fundusz oznaczałoby uwikłanie związków we wszystkie inne obowiązki administratora danych przetwarzanych w związku z działalnością fundusz (informowanie, usuwanie, sprostowanie). Wreszcie, za taką wykładnia przemawia i to, że to jednak pracodawca a nie związki zawodowe jest administratorem funduszu. To ostatecznie pracodawca ustala cele i sposoby przetwarzania danych osobowych. Nawet jeśli czyni to za pośrednictwem regulaminu funduszu którego treść co do zasady powinna być uzgodniona ze związkami lub przedstawicielem pracowników. Bo uzgodnienie treści regulaminu nie zmienia tego, że regulamin wprowadza pracodawca a nie pracodawca i przedstawiciele załogi łącznie.
Kończąc ten fragment rozważań podkreślę jedynie raz jeszcze, że dostarczają one w moim przekonaniu dodatkowych argumentów za tym, że jednak związki nie uczestniczą w procesach indywidulanego przyznawania świadczeń. Pominąwszy argumenty systemowe, o których wspomniałem, to skala problemów związanych z przetwarzaniem danych osobowych oraz ryzyka ich niewspółmiernego rozproszenia czyni tą ochronę pozorną.
Podstawa przetwarzania danych osobowych
Jak wspomniałem wyżej, konstatacja, że działalność prowadzona w ramach zakładowego funduszu świadczeń socjalnych stanowi działalność w interesie publicznym ma bardzo ważne konsekwencje z perspektywy przetwarzania danych osobowych. Zgodnie bowiem z art. 6 ust. 1 lit. e RODO przetwarzanie w celu wykonania zadania realizowanego w interesie publicznym stanowi osobną podstawę przetwarzania danych osobowych, co oznacza, że w tym zakresie nie jest wymagana zgoda osób, których dane są przetwarzane. Powyższe dotyczy więc nie tylko danych wnioskodawców, ale także danych osób, których sytuacja ma wpływ na ocenę, czy wnioskodawca spełnia kryteria określone w art. 8 ustawy w związku z regulacjami regulaminu funduszu.
Oczywiście, podobnie jak w odniesieniu do wszystkich danych przetwarzanych na podstawie RODO, podstawa ta znajdzie zastosowanie tylko w zakresie danych, których przetwarzanie jest niezbędne, w tym przypadku, dla realizacji zadań w interesie publicznym. Innymi słowy, osoba uprawniona składająca wniosek obejmujący swą treścią dane osobowe swoje lub swoich bliskich nie będzie dodatkowo wyrażała zgody na ich przetwarzanie, jak również nie będzie musiała załączać zgody innych osób.
Pracodawca – jako administrator zarówno funduszu jak i administrator danych pozyskiwanych w związku z działalnością funduszu – będzie przetwarzał dane na podstawie przepisów prawa a nie zgody osób, których dane dotyczą. Pewne wątpliwości w tym zakresie można mieć w stosunku do poręczycieli pożyczek – najczęściej mieszkaniowych ale i tu podstawą będzie wykonywanie umowy poręczenia z a nie zgoda.
Wskazana wyżej podstawa przetwarzania danych będzie także aktualna dla zakładowych organizacji związkowych przy założeniu, że rzeczywiście uczestniczą one w podejmowaniu decyzji indywidulanych. Nie budzi bowiem wątpliwości, że przy powyższym założeniu związek zawodowy współrealizuje zadanie z zakresu polityki społecznej, czyli zadanie publiczne.
Przejdźmy teraz do art. 9 RODO, który co do zasady zakazuje przetwarzać np. dane dotyczące zdrowia, które z kolei są jedną z oczywistych przesłanek uzasadniających przyznawanie ulgowych świadczeń (zapomoga na leki) lub usług (sfinansowanie operacji). Mając w pamięci zasadę minimalizacji danych, czyli unikanie przetwarzania danych nadmiarowych można powiedzieć, że występuje co najmniej kilka podstaw uzasadniających przetwarzanie danych dotyczących zdrowia, choć koronną podstawą będzie jednak zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit a). Wydaje się jednak, że podstawą taką może być czasem przewidziany w art. 9 ust. 2 lit. b przypadek wypełniania obowiązku z zakresu polityki społecznej lub ochrony socjalnej w przypadku, w którym regulamin funduszu przewiduje świadczenia z tego zakresu.
Przyjmując, że fundusz realizuje cele społeczne można bronić tezy, że mogą występować przypadki obowiązkowego udzielenia pomocy osobie potrzebującej, będącej osobą uprawnioną w rozumieniu ustawy, która z uwagi na stan zdrowia nie może sam złożyć wniosku lub wyrazić zgody. Tym samym w grę wchodzi art. 9 ust. 2 lit. c.
prof. dr hab. Arkadiusz Sobczyk
Więcej przydatnych materiałów znajdziesz w SIP LEX:
Obowiązki pracodawcy w świetle RODO >
Wpływ RODO na obowiązki pracodawcy w zakresie dokumentacji powypadkowej >
Nowe zasady gromadzenia danych osobowych pracowników >
Zasada rozliczalności w ochronie danych osobowych >
Umowa powierzenia danych osobowych >
Pseudonimizacja i szyfrowanie danych >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.