Coroczny przegląd danych zgromadzonych w ramach Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS) to jeden z kluczowych obowiązków pracodawcy w obszarze ochrony danych osobowych. Przepisy dotyczące obowiązku przeglądu danych obowiązują już kilka lat, ale ich praktyczna realizacja wciąż budzi wątpliwości. 

Podstawa prawna i treść obowiązku

Zgodnie z art. 8 ust. 1 d ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych pracodawca ma obowiązek dokonywania przeglądu danych osobowych nie rzadziej niż raz w roku kalendarzowym.  Celem tego procesu jest ustalenie niezbędności dalszego przechowywania danych i usunięcie danych, których dalsze przechowywanie jest zbędne. 

Jak wynika z treści tego przepisu, obowiązek przeglądu danych jest ściśle związany z zasadą minimalizacji danych.

Cel przetwarzania (art. 8 ust. 1a)

Dane (często o wysokim stopniu wrażliwości, jak sytuacja zdrowotna czy majątkowa) zbierane są w celu przyznania ulgowej usługi, świadczenia lub dopłaty z Funduszu oraz ustalenia ich wysokości. Pracownik udostępnia te dane w formie oświadczenia, a pracodawca może żądać ich udokumentowania (np. zaświadczeń) jedynie w zakresie niezbędnym do potwierdzenia zawartych w oświadczeniu informacji.

Okres przechowywania (art. 8 ust. 1c)

Pracodawca może przetwarzać dane osobowe przez okres:

• niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości,
• a także przez okres niezbędny do dochodzenia praw lub roszczeń.

Pracodawcy, do których zastosowanie mają przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach sa dodatkowo zobowiązani do przechowywania dokumentów zgromadzonych w ramach ZFŚS przez wymagany okres archiwizacji dokumentów.

Przegląd danych a retencja danych – na co uważać?

Przegląd danych jest obowiązkiem dodatkowym, niezależnym od ogólnego obowiązku retencji danych wynikającym z ogólnych przepisów dotyczących ochrony danych osobowych.

W ramach ZFŚS pracodawca może zbierać szeroki zakres danych dotyczących sytuacji życiowej pracownika (w tym zdrowotnej, rodzinnej i materialnej). Zebranie tych danych może być zasadne na etapie weryfikacji wniosku i podejmowania decyzji przez pracodawcę. Po podjęciu tej decyzji, w szczególności w przypadku uwzględnienia wniosku, dalsze przechowywanie części pozyskanych danych (np. danych o stanie zdrowia, danych o prawie do własności lokalu) może nie być zasadne, mimo, że nie upłynął jeszcze ogólny okres retencji danych ustalony u pracodawcy (np. okres przedawnienia roszczeń publicznoprawnych).

Strategia „okazania” zamiast „gromadzenia”

Pierwszym krokiem do optymalizacji działań pracodawcy powinno być zweryfikowanie, czy na potrzeby ustalania prawa do świadczenia potrzebne są dokumenty zawierające szeroki zakres danych dotyczących sytuacji życiowej pracownika. W praktyce może okazać się, że pozyskanie informacji możliwe jest w inny sposób. Pracownik może jedynie okazać dokument, co potwierdzi  w dokumentacji  upoważniony pracownik działu świadczeń socjalnych. Przyjęcie takiego rozwiązania eliminuje nadmiarowe zbieranie danych i zmniejsza zakres prac w ramach przeprowadzanego przeglądu danych.

Jak zrealizować obowiązek?

Aby proces był zgodny z przepisami pracodawca powinien:

• zweryfikować niezbędność – Czy zgromadzone dane są nadal niezbędne do celu, w którym zostały zebrane?
• podjąć decyzję o usunięciu – Jeśli zgromadzone dane nie są już potrzebne do realizacji celów  w postaci przyznania świadczenia, ustalenia jego wysokości lub dochodzenia roszczeń i obrony przed roszczeniami .– dane należy trwale usunąć.
• sporządzić protokół – Z przeprowadzonego przeglądu oraz czynności usunięcia danych warto sporządzić protokół (dokumentacja wewnątrzorganizacyjna stanowiąca dowód realizacji obowiązku ustawowego).
• zachować cykliczność – Przegląd musi odbyć się przynajmniej raz w każdym roku kalendarzowym.

Podsumowanie

Systematyczny przegląd danych ZFŚS to nie tylko biurokratyczny wymóg, ale element budowania dojrzałej kultury ochrony danych. Minimalizacja zbieranych informacji „na starcie” oraz rzetelna, cykliczna  selekcja dokumentacji to najskuteczniejszy sposób na ograniczenie ryzyka prawnego w organizacji.

radca prawny Patrycja Wasilewska, szefowa praktyki prawa ochrony danych osobowych

Więcej informacji prawnych dla pracodawców.