Szkopuł w tym, że ustawa o zakładowym funduszu świadczeń socjalnych (dalej: ustawa o ZFŚS) nie mówi wyraźnie, jaki minimalny zakres danych powinien posiadać pracodawca, by móc wykazać w trakcie kontroli ZUS lub urzędu skarbowego prawidłowość rozliczenia działalności socjalnej.
Jaki ma być minimalny zakres danych
Przepis art. 8 tej ustawy mówi jedynie, że przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z funduszu uzależnia się od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu. Udostępnienie zaś pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. A potwierdzenie to może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu.
Sprawdź w LEX: Czy pracownik składając zaświadczenie od lekarza do ZFŚS musi dołączyć także oświadczenie, w którym opisuje swój stan zdrowia? >
Wątpliwości przedsiębiorców, którzy zasygnalizowali nam ten problem, dotyczą przetwarzania danych wrażliwych, którymi są informacje o stanie zdrowia pracownika lub jego bliskich. - Przedsiębiorcy mają wątpliwości co do tego, jaki zakres danych można zbierać w związku z prowadzonym ZFŚS i jak daleko mogą się posunąć w zbieraniu danych, i to nawet tych udostępnianych pracodawcom do wglądu. Tym bardziej, że w wielu przypadkach ingerujemy w obszar danych osób trzecich dotyczących ich stanu zdrowia. Pytanie więc, czy bez pewnych danych wrażliwych urząd skarbowy i ZUS w razie kontroli nie zakwestionuje odliczeń na fundusz socjalny – powiedział nam Robert Lisicki, dyrektor Departamentu Pracy Konfederacji Lewiatan.
Czytaj w LEX: Dokumentowanie praw do świadczeń z ZFŚS pracowników oraz członków rodziny >
Dr Grzegorz Sibiga, adwokat z kancelarii Traple Konarski Podrecki i Wspólnicy, pracownik naukowy w Zakładzie Prawa Administracyjnego w Instytucie Nauk Prawnych Polskiej Akademii Nauk w Warszawie nie ma wątpliwości, że to pracodawca ma określić owe minimum danych, także wrażliwych, które są niezbędne do tego, by rozpoznać wniosek i przyznać świadczenie.
Sprawdź w LEX: Kto powinien przeprowadzić coroczny przegląd danych w ZFŚS - komisja, która działa w imieniu pracodawcy czy inspektor ochrony danych? >
- Być może pomocne byłoby wydanie przez Zakład Ubezpieczeń Społecznych i urzędy skarbowe wytycznych, w których określony zostałby minimalny zakres danych i dokumentów, jakie będą wymagane w ramach ewentualnej kontroli – mówi mec. Sibiga.
Pracodawca wykonuje zadanie publiczne
Zdaniem Przemysława Hinca, doradcy podatkowego ze spółki PJH Doradztwo Gospodarcze, przy analizie kwestii przetwarzania danych osobowych w związku z realizacją zadania publicznego powierzonego podmiotowi będącemu pracodawcą, punktem wyjścia musi być konstytucja, a dokładnie jej art. 71 ust. 1 i 2 oraz art. 75. Potem można, a nawet należy, sięgnąć do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO), a dokładnie do tez zawartych w pkt od 45 i 52, a następnie do przepisów ustawy o ZFŚS.
- Przepis art. 6 ust. 1 RODO mówi wyraźnie, kiedy przetwarzanie danych jest zgodne z prawem, a jego art. 88 ust. 1 wprost odnosi się do przetwarzania danych w kontekście zatrudnienia – zaznacza Hinc. Wskazuje, iż sama ustawa o zakładowym funduszu świadczeń socjalnych jest wykonaniem konstytucyjnych obowiązków państwa w zakresie zabezpieczenia socjalnego zatrudnionych. Pracodawcy wykonują zatem w interesie publicznym zadanie publiczne, które na nich nakłada ustawa.
Czytaj również: Odpis na fundusz socjalny nauczycieli bez zmian>>
W myśl art. 8 ust. 1, 1a i 1b ustawy o ZFŚS, warunkiem niezbędnym do przetwarzania danych osobowych jest oświadczenie osoby ubiegającej się o dofinansowanie z funduszu, które winno być zaopatrzone w zgodę na przetwarzanie danych. Takim oświadczeniem może być wniosek o przyznanie konkretnego świadczenia, np. o refundację „wczasów pod gruszą” lub wniosek o paczki świąteczne dla dzieci, o ile zostanie w jego treści zawarte odpowiednie pouczenie i można będzie na tej podstawie stwierdzić, że pracownik świadomie wyraził zgodę na przetwarzanie swoich danych lub danych innych osób, których świadczenie dotyczy, a same nie są one zdolne do skutecznego złożenia takiego oświadczenia.
– Podstawę stanowi właściwie sporządzony regulamin funduszu, z którego ma wprost wynikać prawo lub obowiązek przetwarzania i przechowywania danych osobowych beneficjentów świadczeń – zaznacza Hinc.
Czytaj w LEX: Zwrot nieprawidłowo wydanych środków z ZFŚS >
Zabezpieczenie to podstawa
Jak w takim razie zabezpieczyć się przed zarzutem, że przetwarza się dane wrażliwe? Zdaniem ekspertów, z którymi rozmawialiśmy, najlepiej, jeśli pracodawca ma dwa zabezpieczenia: organizacyjne i techniczne.
Magdalena Marcinowska, partner w kancelarii Grant Thornton Frąckowiak, mówi krótko: żeby się zabezpieczyć musi posiadać oświadczenie osób przetwarzających dane, że są do tego uprawnione. Przede wszystkim jednak, jak twierdzi, należało zadbać o dostosowanie wewnętrznych procedur, regulaminów i upoważnień do przepisów zmieniających się od 4 maja 2019 roku.
- Trzeba pamiętać, że pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się na podstawie oświadczeń i zaświadczeń, w tym o sytuacji życiowej, zdrowotnej, rodzinnej i materialnej osoby uprawnionej do uzyskania świadczeń z ZFŚS – podkreśla Marcinowska. I dodaje: - Pracodawca może żądać od wnioskodawcy przedłożenia dodatkowych dokumentów, w szczególności zaświadczenia z banku lub deklaracji PIT czy zaświadczeń lekarskich potwierdzających stan zdrowia.
Jak wyjaśnia, właśnie dane dotyczące zdrowia są danymi tzw. wrażliwymi, a do przetwarzania takich danych osobowych są uprawnione wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Według niej, sam fakt powołania członków komisji socjalnej nie jest wystarczający do przetwarzania danych osobowych. Każdy z członków komisji powinien mieć imiennie wystawione upoważnienie do przetwarzania danych osobowych, w tym danych dotyczących zdrowia.
Sprawdź w LEX: Czy można uzależnić świadczenia z ZFŚS od braku posiadania zaległego urlopu? >
- Jeżeli pracodawca powierza prowadzenie funduszu pracownikowi, to musi też zadbać o upoważnienie go do zajmowania się sprawami funduszu i przyjąć od niego oświadczenia o zachowaniu w tajemnicy danych przetwarzanych w ramach ZFŚS – podkreśla z kolei Przemysław Hinc.
Czytaj również: Odmrożenie odpisu na ZFŚS dołoży pracodawcom pracy na koniec roku>>
W jakim okresie można przetwarzać dane z ZFŚS?
Zgodnie z art. 8 ust. 1c ustawy o ZFŚS, pracodawca przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.
Co ważne, jak zaznacza Magdalena Marcinowska, zmiana przepisów wymaga od pracodawców przetwarzania danych tylko i wyłącznie przez czas niezbędny do ustalenia świadczeń czy ochrony roszczeń z tego tytułu, ale co więcej – również przynajmniej raz w roku pracodawca powinien dokonać przeglądu danych osobowych pod kątem konieczności ich dalszego przetrzymywania.
Sprawdź w LEX: Czy w przypadku złożenia fałszywego oświadczenia można pracownika pozbawić prawa do świadczeń z ZFŚS? >
Z kolei Przemysław Hinc zwraca uwagę na fakt, iż obowiązek przechowywania dokumentów stanowiących podstawę do dokonania odpisów na fundusz socjalny trwa tak długo, jak długo jest to niezbędne dla prawidłowego wypełnienia zadań funduszu. Na przykład przy pożyczce mieszkaniowej z funduszu przetwarzanie może trwać przez cały okres spłaty pożyczki.
Istotne jest też, aby zgodnie z art. 8 ust. 1d ustawy o ZFŚS, pracodawca przeglądał zgromadzone dane osobowe, by ocenić, czy nadal niezbędne jest ich dalsze przechowywanie. Jeśli uzna, że nie, to musi je usunąć.
Taki audyt musi przeprowadzać nie rzadziej niż raz w roku.
Czytaj więcej: Odpis na fundusz socjalny może być kosztem podatkowym>>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
