Na podstawie stale napływających do nas pytań związanych z PPK stworzyliśmy krótkie opracowanie najbardziej palących problemów. Mamy nadzieję, że ułatwi ono administratorom danych podjęcie wyzwania, jakim niewątpliwie jest prawidłowe uregulowanie przepływu danych osobowych na linii pracownik – pracodawca – instytucja finansowa.
Czym jest PPK?
W dużym skrócie: zgodnie z ustawą z dnia 4 października 2018 r. o pracowniczych planach kapitałowych (dalej jako: „ustawa o PPK”) każda firma/instytucja, która zatrudnia co najmniej jedną osobę podlegającą obowiązkowo ubezpieczeniom emerytalnemu i rentowemu, musi otworzyć PPK dla swoich pracowników i zleceniobiorców (dalej jako: „pracownicy”). PPK są prowadzone przez instytucję finansową na podstawie umowy o prowadzenie PPK, zawieranej przez pracodawcę w imieniu i na rzecz pracowników. Organizacje przystępują do programu stopniowo: po największych podmiotach, zatrudniających ponad 250 osób, przyszedł czas na te mniejsze – kolejno zatrudniające do 50 osób (data przystąpienia do PPK: 1 stycznia 2020 r.), do 20 osób (1 lipca 2020 r.) i pozostałe podmioty zatrudniające (1 stycznia 2021 r.). Środki zgromadzone w ramach PPK dzięki odprowadzaniu składek przez pracownika, pracodawcę i w drobnym zakresie również przez państwo zostaną wypłacone osobie zatrudnionej (czyli uczestnikowi PPK) po ukończeniu przez nią 60. roku życia (niezależnie od płci i granicy wieku emerytalnego).
Polecamy: Jak przygotować się do zmian w 2020 r.
W którym momencie wkracza RODO?
Niektórym może się wydawać, że obsługa PPK to po prostu część działań dokonywanych na danych pracowników, w związku z czym przy procesie zatrudnienia prawidłowo dostosowanym do wymogów RODO nie ma konieczności podejmowania żadnych dodatkowych działań w tym kierunku. Nic bardziej mylnego. Czynności związane z obsługą PPK to kolejna operacja przetwarzania, nakierunkowana na odrębny cel przetwarzania i w związku z tym wymagająca konkretnych danych osobowych pracowników – w niektórych sytuacjach przekraczających swoim zakresem dane, którymi na temat swojego pracownika dysponuje pracodawca.
Jaki zakres danych pracodawca powinien pozyskać od uczestnika PPK i na jakiej podstawie?
Dane pracownika, które zgodnie z ustawą o PPK pracodawca ma obowiązek zebrać od pracownika i przekazać odpowiedniej instytucji finansowej, czyli tzw. dane identyfikujące uczestnika PPK, to: imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL lub data urodzenia w przypadku osób nieposiadających numeru PESEL, seria i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego (art. 2 ust. 1 pkt 3 ustawy o PPK).