Jak przetwarzać dane osobowe w ramach zakładowego funduszu świadczeń socjalnych (ZFŚS)?

Zakładowy fundusz świadczeń socjalnych to środki finansowe, które gromadzi pracodawca, przeznaczone na wsparcie socjalne osób uprawnionych do korzystania z funduszu, czyli pracowników danego zakładu pracy, ich rodzin, ale także emerytów, rencistów – byłych pracowników i innych osób, które mogą z niego korzystać na mocy regulaminu. Z założenia ma on wspierać gorzej sytuowane osoby, a tym samym w miarę możliwości wyrównać ich szanse i pomagać im finansowo wtedy, gdy tego potrzebują. Formy tej pomocy mogą być różne, do najczęstszych zalicza się jednak świadczenia urlopowe, dofinansowanie do działalności kulturalno-oświatowej i pomoc materialną (zarówno finansową, jak i rzeczową) np. dla pracownika dotkniętego poważnym zdarzeniem losowym czy samotnie wychowującego dzieci.

Decyzja o przyznaniu ulgowych usług lub świadczeń oraz ich wysokość są uzależnione od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z ZFŚS. Oznacza to, że aby ubiegać się o dofinansowanie z ZFŚS, konieczne jest dostarczenie pracodawcy danych, na podstawie których będzie on w stanie podjąć decyzję, czy takiego wsparcia udzielić, a jeśli tak, to w jakiej wysokości i w jakiej formie. Dane te mają oczywiście charakter danych osobowych, ponieważ dotyczą osoby ubiegającej się o wsparcie z ZFŚS (a często także osób trzecich, czyli np. członków rodziny takiej osoby). Co więcej, bardzo często pojawią się tzw. dane wrażliwe, np. w postaci danych dotyczących stanu zdrowia (czyli dane szczególnych kategorii, o których mowa w art. 9 ust. 1 RODO).

Kwestie związane z przetwarzaniem danych osobowych w ramach ZFŚS należy ustalać nie tylko na podstawie samego RODO, lecz także zgodnie z ustawą o ZFŚS (ustawa z dnia 4 marca 1994 r. o zakładowych funduszu świadczeń socjalnych, t.j. Dz.U. z 2019 r. poz. 1352), która 4 maja 2019 r. została znowelizowana (ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, czyli RODO).

Jakie zmiany zaszły w ustawie o ZFŚS z dniem 4 maja 2019 r.?

Jak już wspomniano, przyznanie środków z ZFŚS jest uzależnione od sytuacji osoby uprawnionej. O ile do tej pory art. 8 ust. 2 ustawy o ZFŚS oprócz tego zakładał jeszcze, że „Zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu (…) oraz zasady przeznaczania środków Funduszu na poszczególne cele i rodzaje działalności socjalnej określa pracodawca w regulaminie”, o tyle w znowelizowanej ustawie znalazły się dodatkowe przepisy. Do art. 8 dodano następujące ustępy:

• art. 8 ust. 1a – ustawodawca określił formę oświadczenia przy udostępnianiu pracodawcy informacji o sytuacji socjalnej osób uprawnionych, z zachowaniem możliwości żądania udokumentowania danych osobowych jedynie w zakresie niezbędnym do ich potwierdzenia, w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej. Tym samym od pracodawców egzekwowane jest przestrzeganie wyrażonej w RODO zasady minimalizacji danych, zgodnie z którą administratorzy powinni zbierać wyłącznie dane niezbędne do realizacji celu przetwarzania. W tym przypadku ustawodawca uznał, że niezbędnymi danymi będą co do zasady informacje zadeklarowane przez pracownika (lub inną osobę ubiegającą się o świadczenie). Pracodawca został wyposażony w prawo weryfikacji informacji dostarczonych przez pracownika – rozumianej jako żądanie przedłożenia dokumentów potwierdzających informacje pozyskane od pracownika, bez możliwości dokonania ich kopii/skanu.

Przykład:
Pracownik ubiegający się o dofinansowanie po stracie członka rodziny deklaruje, że średni dochód na członka jego rodziny wynosi 800 zł miesięcznie. Pracodawca ma prawo zweryfikować tę informację, żądając wglądu choćby do deklaracji PIT i aktu zgonu.

• art. 8 ust. 1b – do przetwarzania danych osobowych dotyczących zdrowia (czyli danych szczególnych kategorii z art. 9 ust. 1 RODO) w ramach ZFŚS mogą być dopuszczone jedynie osoby, które posiadają pisemne upoważnienie do przetwarzania takich danych, wydane przez pracodawcę. Osoby te są obowiązane do zachowania tych danych w tajemnicy. O ile do tej pory wymóg nadawania upoważnień wynikał pośrednio z art. 29 RODO (on jednak dotyczy samego faktu dopuszczania osób upoważnionych do przetwarzania, a nie oficjalnego nadawania pisemnych upoważnień), o tyle teraz przepisy ustawy o ZFŚS mówią o tym wprost. Jako ciekawostkę można wskazać, że podobnie obowiązek nadawania upoważnień uregulowano w art. 221b § 3 Kodeksu pracy.

Przykład:
Jak powinno wyglądać takie upoważnienie? Przykładowo, do standardowego wzoru upoważnienia do przetwarzania można dodać następujący akapit:
[TAK/NIE – wybierz właściwe] Niniejszym dodatkowo upoważniam Panią/Pana do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 RODO, w ramach obsługi wniosków o przyznanie świadczenia z zakładowego funduszu świadczeń socjalnych.

• art. 8 ust. 1c – dodając ten ustęp, ustawodawca określił okres, przez który pracodawca (jako administrator) może przetwarzać dane zebrane na potrzeby prowadzenia ZFŚS. Mianowicie mogą być one przetwarzane przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z ZFŚS oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.

Wskazany w ustawie o ZFŚS okres niezbędny do dochodzenia roszczeń należy rozumieć jako czas, przez który organ skarbowy (rentowy) może dochodzić roszczeń związanych z przyznaniem świadczenia, tj. 5 lat od zakończenia roku podatkowego, w którym świadczenie zostało przyznane.

• art. 8 ust. 1d – ostatni, lecz nie najmniej ważny z dodanych do art. 8 ustawy o zfśs ustępów nakłada na pracodawcę obowiązek corocznego („nie rzadziej niż raz w roku kalendarzowym”) przeglądu danych przetwarzanych w ramach ZFŚS i usuwania danych zbędnych do realizacji celu określonego w ust. 1a i 1c. Rekomenduje się, aby coroczny przegląd tych dokumentów znalazł odzwierciedlenie w polityce usuwania danych czy w rejestrze czynności przetwarzania – przypominamy, że zgodnie z zasadą rozliczalności administrator musi być w stanie wykazać, że przestrzega zasad przetwarzania danych.

Jaka jest podstawa prawna przetwarzania danych w ramach ZFŚS?

W opinii autorki dane osoby ubiegającej się o dofinansowanie, a także dane innych osób, które podała, w tym dane członków jej rodziny, administrator będzie przetwarzał w celu realizacji obowiązków prawnych na nim ciążących na podstawie art. 6 ust. 1 lit. c RODO – w zakresie prowadzenia ZFŚS – oraz art. 9 ust. 2 lit. b RODO – w zakresie danych szczególnych kategorii.

Przypominamy, że art. 3 ustawy o ZFŚS nakłada na pracodawców obowiązek utworzenia ZFŚS, jeśli na 1 stycznia danego roku zatrudniają co najmniej 50 pracowników w przeliczeniu na pełne etaty lub – bez względu na liczbę pracowników – jeśli prowadzą działalność w formie jednostek budżetowych lub samorządowych zakładów budżetowych. Dodatkowo ZFŚS może zostać utworzony na wniosek zakładowej organizacji związkowej przy stanie zatrudnienia co najmniej 20 i mniej niż  50 pracowników w przeliczeniu na pełne etaty.

Jakie dane można przetwarzać w ramach ZFŚS?

Pierwotnie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO przewidywał katalog danych osobowych osoby uprawnionej (a także członków jej rodziny i osób pozostających z nią we wspólnym gospodarstwie domowym), które pracodawca może przetwarzać w związku z ubieganiem się tej osoby o ulgową usługę czy świadczenie. Mogły to być m.in. imię, nazwisko, data urodzenia, stopień pokrewieństwa i inne dane niezbędne do ustalenia sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej. Ostatecznie jednak ta propozycja się nie utrzymała – ustawa o ZFŚS nie wymienia danych osobowych, do których przetwarzania może dochodzić w ramach prowadzenia ZFŚS. Tę kwestię pozostawiono pracodawcy do uregulowania w regulaminie ZFŚS.

Pracodawca może wskazać w regulaminie ZFŚS dokumenty, o których przedstawienie do wglądu może zostać poproszony ubiegający się o świadczenie (przykładowo deklaracje podatkowe czy akty urodzenia/zgonu). Rekomendujemy, aby ta lista nie miała charakteru enumeratywnego, ponieważ w trakcie sporządzania regulaminu trudno przewidzieć wszystkie możliwe dokumenty, które będą niezbędne do potwierdzenia sytuacji życiowej, rodzinnej i materialnej osoby ubiegającej się o świadczenie.

Co pracodawca powinien zawrzeć w regulaminie ZFŚS?

Jakie obowiązki pojawiają się po stronie pracodawcy w procesie dostosowywania ZFŚS do wymogów RODO i znowelizowanej ustawy o ZFŚS? Przede wszystkim należy uzupełnić regulamin ZFŚS o kwestie dotyczące danych osobowych. Co do zasady będzie się to sprowadzało do zamieszczenia w nim paragrafu z klauzulą informacyjną, kierowaną do osoby ubiegającej się o świadczenie oraz do osób trzecich, których dane zostały pozyskane za pośrednictwem składającego wniosek o dofinansowanie (co oznacza, że obowiązek informacyjny powinien zostać spełniony zgodnie z treścią art. 14 RODO).

Druga kwestia to weryfikacja wniosku o udzielenie ulgowej usługi/świadczenia/dopłaty z ZFŚS pod kątem zasady minimalizacji danych. Powinien być on tak skonstruowany, żeby pracownikowi (lub innej osobie ubiegającej się o świadczenie) pozostało jedynie wypełnienie odpowiednich pól. Dzięki temu zostaną zebrane tylko dane niezbędne do rozpatrzenia wniosku – i nic ponad to.

Dodatkowo warto w regulaminie zapisać, że co do zasady dane niezbędne do rozpatrzenia wniosku będą zbierane w formie oświadczeń pracownika (lub innej osoby ubiegającej się o świadczenie), jednak pracodawca ma prawo do weryfikacji złożonych oświadczeń i żądania wglądu do dokumentów, które potwierdzają informacje podane przez pracownika. Należy również pamiętać, aby okres przechowywania danych zebranych w ramach ZFŚS znalazł odzwierciedlenie w procedurze usuwania danych lub innym dokumencie, na podstawie którego organizacja usuwa dane osobowe po ustaniu celu przetwarzania danych osobowych.

Komu mogą zostać ujawnione dane osób uprawnionych do skorzystania z ZFŚS?

Nie ulega wątpliwości, że w ramach prowadzenia ZFŚS pracodawca pełni funkcję administratora danych osobowych osób ubiegających się o świadczenie oraz osób, których dane są przetwarzane w związku ze złożonym wnioskiem. Jednocześnie jest on administratorem samego ZFŚS, przez co należy rozumieć, że jest podmiotem odpowiedzialnym za zgodne z prawem wydatkowanie środków z ZFŚS.

W ramach wykonywania obowiązków wynikających z prowadzenia ZFŚS pracodawca może udostępniać zewnętrznym podmiotom pozyskane w związku z tym dane. Przykładowo takie dane mogą zostać udostępnione podmiotom do tego uprawnionym na podstawie przepisów prawa, jak ZUS czy urząd skarbowy. Informacja o odbiorcach danych powinna znaleźć się w treści klauzuli informacyjnej, zgodnie z art. 13 (lub 14) RODO.

Znaczącą rolę w procesie udzielania świadczeń z ZFŚS odgrywają związki zawodowe (art. 27 ust. 2 ustawy o związkach zawodowych w zw. z art. 8 ust. 2 ustawy o ZFŚS). Przede wszystkim sam regulamin ZFŚS musi być skonsultowany ze związkami. Co więcej, również przyznawanie świadczeń z ZFŚS jest dokonywane w uzgodnieniu ze związkiem zawodowym. W tej sytuacji związek zawodowy należy uznać za odbiorcę danych osobowych w rozumieniu art. 4 pkt 9 RODO, tj. za podmiot, któremu ujawnia się dane.

Podsumowanie

Niedawne zmiany w ustawie o ZFŚS nie pozostają bez znaczenia dla kształtu regulaminu ZFŚS i sposobu przetwarzania danych osobowych pozyskiwanych w ramach ZFŚS. Aby dostosować proces prowadzenia ZFŚS, pracodawca powinien przede wszystkim wprowadzić do regulaminu odpowiednie zmiany, zweryfikować zakres danych zbieranych przy pomocy wniosku o świadczenie, zadbać o spełnienie obowiązku informacyjnego wobec osób, których dane przetwarza, a także dopilnować, aby w organizacji nie dochodziło do przetwarzania danych, co do których ustał cel przetwarzania i które zgodnie z ustawą o ZFŚS powinny zostać usunięte.

Chcesz rozwiać wszelkie wątpliwości dotyczące przepisów RODO? Skontaktuj się z Marcinem Kuźniakiem. Udzieli Ci wsparcia i niezbędnych informacji.