Surowe zasady ochrony danych osobowych pracownika, których wyrazem jest art. 221 k.p., są poważnie ograniczone, gdy pracodawca prowadzi działalność finansowaną z zakładowego funduszu świadczeń socjalnych. Ograniczenia te narzuca konieczność przestrzegania przyjętego w art. 8 ust. 1 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (tekst jedn. DzU z 2012 r., poz. 592, dalej ustawa o zfśs) wymogu różnicowania świadczeń przy zastosowaniu tzw. kryterium socjalnego. Oznacza to uzależnienie ich wysokości i/lub prawa do nich od sytuacji życiowej, rodzinnej i materialnej pracownika. Ustawa o zfśs nie przewiduje w tym zakresie żadnych wyjątków.
Co wolno zbierać
Naturalną konsekwencją udzielania świadczeń na określone cele oraz ich różnicowania według kryterium socjalnego jest konieczność przetwarzania danych o beneficjentach świadczeń dokumentujących ich sytuację (zob. wyrok Sądu Najwyższego z 8 maja 2002 r., I PKN 267/01).
Ustawa o zfśs nie określa katalogu, a nawet rodzaju informacji, które administrujący funduszem szef powinien pozyskać od pracowników w związku z prowadzoną działalnością socjalną. Nie zawiera też regulacji, które choćby pośrednio wskazywałyby na sposoby pozyskiwania takich danych (zob. uzasadnienie wyroku Sądu Apelacyjnego w Poznaniu z 27 września 2012 r., III AUa 429/12).
W ten sposób zakres, jak i sposób pozyskiwania informacji stają się naturalną materią dla unormowań w autonomicznych źródłach prawa pracy, a wśród nich przede wszystkim w regulaminie zakładowego funduszu świadczeń socjalnych. Wprawdzie art. 8 ust. 2 ustawy o zfśs ramowo określa przedmiot regulaminu jako „zasady i warunki korzystania z usług i świadczeń finansowanych z funduszu", to jednak wobec zakresu i sposobów pozyskiwania informacji niezbędnych do prowadzenia działalności socjalnej nie oznacza braku jakichkolwiek granic dla przetwarzania związanych z działalnością socjalną danych pracowników i innych osób uprawnionych do świadczeń.
Jaki cel
Przede wszystkim trzeba pamiętać, że przetwarzanie danych osobowych nie może prowadzić do gromadzenia ich w szerszym zakresie, niż jest to konieczne do realizacji celu, w jakim są one pozyskiwane, czyli w pojęciu ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926 ze zm.) – przetwarzane. Zgodnie bowiem z jej art. 26 ust. 1 pkt 3 administrator danych osobowych przetwarzający dane osobowe powinien dołożyć szczególnej staranności, aby ochronić interesy osób, których dane dotyczą. W szczególności musi zapewnić to, aby były one merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane. Adekwatność powinna być rozumiana jako równowaga między uprawnieniem osoby do dysponowania swoimi danymi a interesem administratora danych.
