Polski Ład a RODO - udostępniamy wzór klauzuli

W kontekście nowych regulacji pojawia się potrzeba pozyskiwania przez pracodawców/organy podatkowe dodatkowych danych, co rodzi konieczność weryfikacji podstawy prawnej ich przetwarzania, adekwatności przetwarzanego zakresu danych, zapewnienia prawidłowej realizacji obowiązku informacyjnego, a także ustalenia uprawnionego kręgu odbiorców danych czy właściwego okresu ich przechowywania.

W artykule skupimy się na obowiązkach ciążących na pracodawcach - płatnikach.

Kiedy pracodawca będzie przetwarzał dodatkowe dane w związku z Polskim Ładem?

W Polskim Ładzie rozszerzono katalog zwolnień od podatku dochodowego od osób fizycznych m.in. o przychody podatnika, który np. przeniósł miejsce zamieszkania na terytorium Polski, czy też przychody podatnika, który w stosunku do co najmniej czworga dzieci wykonywał władzę rodzicielską/pełnił funkcję opiekuna prawnego, jeżeli dziecko z nim zamieszkiwało, lub sprawował funkcję rodziny zastępczej.

Przewidziane też zostały inne ulgi i zmiany wpływające na wysokość comiesięcznych zaliczek odprowadzanych do skarbówki przez pracodawcę - płatnika podatku od dochodu uzyskiwanego przez pracownika (będzie to oznaczało konieczność zebrania od pracowników dodatkowych oświadczeń).

Podstawa prawna przetwarzania danych osobowych

Dla pracodawcy podstawą prawną przetwarzania danych osobowych zawartych w nowych oświadczeniach będzie art. 6 ust. 1 lit. c RODO, czyli niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze (pracodawcy) w związku z odpowiednim przepisem ustawy o podatku dochodowym od osób fizycznych, ewentualnie innym przepisem szczególnym wskazanym w ustawach podatkowych.

Czy pracodawca może żądać dowodów poświadczających stan faktyczny?

Należy mieć na uwadze, że jeżeli ustawa wyraźnie nie przewiduje możliwości żądania dokumentów poświadczających okoliczności wskazane w oświadczeniu pracownika, pracodawca musi się opierać wyłącznie na treści oświadczenia. Ostatecznie podatnikiem, czyli osobą podlegającą obowiązkowi podatkowemu (od której dochodów odprowadzany jest podatek), jest pracownik. Płatnik-pracodawca musi jedynie prawidłowo wyliczyć miesięczną zaliczkę i ją wpłacić.

Ustawa wprowadzająca Polski Ład przewiduje sytuacje, kiedy należy udowodnić za pomocą odpowiednich dokumentów swoje prawo do skorzystania z ulgi (np. przy uldze dla osób wychowujących co najmniej 4 dzieci), ale wówczas dowody przedstawia się organowi podatkowemu. Dla przykładu, jeden z zapisów ustawy wprowadzającej Polski Ład stanowi, że na żądanie organów podatkowych podatnik jest obowiązany przedstawić zaświadczenia, oświadczenia oraz inne dowody niezbędne do ustalenia prawa do zwolnienia związanego z wychowaniem 4 lub więcej dzieci, w szczególności odpis aktu urodzenia dziecka, zaświadczenie sądu rodzinnego o ustaleniu opiekuna prawnego dziecka, odpis orzeczenia sądu o ustaleniu rodziny zastępczej lub umowę zawartą między rodziną zastępczą a starostą, zaświadczenie o uczęszczaniu pełnoletniego dziecka do szkoły.

Obowiązek informacyjny – czy należy go realizować?

Standardowo klauzulę informacyjną dotyczącą przetwarzania danych osobowych pracownika pracodawca przedstawia zainteresowanemu w momencie nawiązywania z nim stosunku pracy.

W przytoczonym wzorze, w części „Cele i podstawy przetwarzania” zostało wskazane, że dane będą przetwarzane na podstawie art. 6 ust. 1 lit. c w celu wykonania obowiązków wynikających z prawa pracy, przez co rozumiemy także rozliczanie wszelkich należności a także wykonywanie obowiązków względem urzędów skarbowych. Art. 13 RODO stanowi, że obowiązek informacyjny spełnia się „podczas pozyskiwania danych osobowych”. Co zatem zrobić w sytuacji, kiedy przekazana wcześniej pracownikowi klauzula informacyjna zawiera już informacje na temat przetwarzania jego danych osobowych dla celów wypełnienia obowiązków pracodawcy jako płatnika podatku, natomiast de facto w nowych oświadczeniach zbieramy nowe dane osobowe?

Pierwszym rozwiązaniem jest umieszczenie w treści nowych oświadczeń pełnej klauzuli informacyjnej dotyczącej przetwarzania danych osobowych na potrzeby Polskiego Ładu.

Wzór klauzuli informacyjnej dla pracownika, dotyczącej przetwarzania danych na potrzeby Polskiego Ładu

Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) informujemy, że:

1. Administratorem Pana/Pani danych osobowych jest ……… [nazwa administratora danych osobowych] z siedzibą w ……… [adres].
2. W sprawach związanych z ochroną danych osobowych można kontaktować się z inspektorem ochrony danych, pisząc na adres e-mail ……… [e-mail lub inne dane kontaktowe] lub adres siedziby. 
3. Pana/Pani dane osobowe będą przetwarzane na podstawie art. 6 ust. 1 lit. c RODO, w celu prawidłowego wykonania obowiązków Administratora jako płatnika podatku dochodowego.
4. Odbiorcami Pana/Pani danych osobowych będą [np. organy podatkowe oraz podmioty dostarczające narzędzia IT, firma świadcząca usługi kadrowe, biuro rachunkowe].
5. Pana/Pani dane osobowe będą przechowywane przez okres wskazany w przepisach podatkowych, w szczególności w Ordynacji podatkowej oraz Ustawie o podatku dochodowym od osób fizycznych.
6. Posiada Pan/Pani, w granicach wskazanych w RODO, prawo:
   - dostępu do swoich danych osobowych,
   - sprostowania swoich danych osobowych,
   - usunięcia swoich danych osobowych,
   - ograniczenia przetwarzania swoich danych osobowych,
   - cofnięcia zgody na przetwarzanie danych osobowych przez ……… [jeśli to możliwe, należy wskazać sposób, w jaki można cofnąć zgodę] – jeżeli uprzednio     wyraził(a) Pan/Pani taką zgodę i przetwarzanie dotyczących Pana/Pani danych odbywa się na jej podstawie,
   - przenoszenia swoich danych osobowych, g. wniesienia sprzeciwu wobec przetwarzania swoich danych osobowych z przyczyn związanych z Pana/Pani szczególną sytuacją, zgodnie z art. 21 RODO.
7. 

   Praktyczny kurs IOD
   potwierdzi Twoje wysokie kompetencje

   Przygotuj się do pełnienia funkcji inspektora ochrony danych. Zapraszamy!

   WYBIERZ TERMIN
   Przysługuje Panu/Pani uprawnienie do wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych, gdy uzna Pan/Pani, że przetwarzanie Pana/Pani danych osobowych narusza przepisy RODO.
8. Podanie przez Pana/Panią danych osobowych jest wymogiem ustawowym w przypadku chęci skorzystania z ulg podatkowych przewidzianych w Polskim Ładzie. W przypadku niepodania przez Pana/Panią danych osobowych Administrator nie będzie mógł uwzględnić prawa do tych ulg przy obliczaniu zaliczki na podatek dochodowy od pracownika.
9. [I wersja] Pani/Pana dane osobowe nie będą przekazywane poza terytorium Europejskiego Obszaru Gospodarczego/do organizacji międzynarodowej.
   [II wersja, najpewniej będzie miała zastosowania jedynie w kontekście infrastruktury IT, z której korzysta pracodawca] Pani/Pana dane osobowe będą przekazywane poza terytorium Europejskiego Obszaru Gospodarczego/do organizacji międzynarodowej: na podstawie decyzji Komisji Europejskiej, stwierdzającej odpowiedni stopień ochrony ……… [wskazać odpowiednią decyzję]. [lub] w tym zakresie nie został stwierdzony przez Komisję Europejską odpowiedni stopień ochrony w drodze decyzji, niemniej dane będą odpowiednio zabezpieczone za pomocą:
   - prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi: ……… [wskazać jakiego], lub
   - wiążących reguł korporacyjnych: ……… [wskazać jakich], lub 
   - zatwierdzonych przez Prezesa Urzędu Ochrony Danych Osobowych standardowych klauzul ochrony danych przyjętych przez Komisję Europejską: ……… [wskazać jakich], lub
   standardowych klauzul ochrony danych przyjętych przez Prezesa Urzędu Ochrony Danych Osobowych i zatwierdzonych przez Komisję Europejską: ……… [wskazać jakich], lub
   zatwierdzonego przez Prezesa Urzędu Ochrony Danych Osobowych kodeksu postępowania: ……… [wskazać jakiego], lub
   certyfikatu ochrony danych osobowych: ……… [wskazać jakiego].
10. Pana/Pani dane osobowe nie będą przetwarzane w sposób zautomatyzowany (w tym w formie profilowania), tak że w wyniku takiego zautomatyzowanego przetwarzania mogłyby zapadać jakiekolwiek decyzje.

Niemniej jednak, w ocenie autora artykułu, można zastosować rozwiązanie polegające na zamieszczeniu pod każdym oświadczeniem, w którym zbierane są dane, krótkiej informacji o przykładowej treści „Administratorem Twoich danych osobowych jest ……. [pełna nazwa podmiotu]. Dane będą przetwarzane na podstawie art. 6 ust. 1 lit. c RODO, w celu prawidłowego wykonania obowiązków Administratora jako płatnika podatku dochodowego.

Pozostałe informacje na temat zasad przetwarzania danych osobowych zostały przekazane w klauzuli informacyjnej przedstawionej przy nawiązywaniu stosunku pracy, których otrzymanie pracownik niniejszym potwierdza”. Taka skrócona klauzula może też odsyłać np. do intranetu pracowniczego, gdzie zamieszczona będzie pełna treść klauzuli informacyjnej dla pracownika.

Co z danymi osobowymi osób trzecich?

W oświadczeniach mogą się oczywiście pojawić dane innych osób, choćby dzieci pracownika – biologicznych bądź przysposobionych. Czy wobec nich również należy spełnić obowiązek informacyjny? Wydaje się, że w tym przypadku możemy przetwarzanie danych innych osób traktować analogicznie jak w przypadku przetwarzania danych członków rodziny pracownika na potrzeby zgłoszenia ich do ubezpieczenia zdrowotnego. Zgodnie ze stanowiskiem UODO, przetwarzanie danych członka rodziny w zgłoszeniu do ubezpieczenia jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli pracodawcy-płatniku (art. 6 ust. 1 lit. c RODO), a ponadto pozyskiwanie tych danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Zdaniem UODO, spełniona jest w tym przypadku wskazana w art. 14 ust. 5 lit. c RODO przesłanka uprawniająca do odstąpienia od obowiązku dopełniania obowiązku informacyjnego wobec osób, których dane są pozyskiwane w sposób inny niż bezpośrednio od nich.

Podobna sytuacja będzie miała miejsce w przypadku przetwarzania przez pracodawcę danych dzieci pracownika, wskazanych w oświadczeniu składanym w celu uzyskania ulgi przewidzianej w Polskim Ładzie.

Podsumowanie

Choć Polski Ład nie wprowadza rewolucji w obszarze ochrony danych osobowych, jest to dobra okazja do przeglądu obowiązujących w organizacji procedur przetwarzania danych pracowników na potrzeby rozliczeń z fiskusem.