Chociaż ustawa z 4 października 2018 r. o pracowniczych planach kapitałowych (DzU poz. 2215; dalej: ustawa o PPK) obowiązuje od jakiegoś czasu, nie ma jednoznacznego stanowiska co do kwestii przekazywania przez pracodawców serii i numerów dowodów osobistych pracowników przy zapisywaniu ich do PPK. Problem wynika z konieczności pogodzenia wielu regulacji prawnych i uzgodnienia wspólnego stanowiska różnych instytucji nadzoru. Ponadto takie stanowisko musi być zgodne z regulacjami europejskimi. Analiza tego zagadnienia wyłącznie na gruncie ustawy o PPK jest nadmiernym uproszczeniem.
Czytaj także: Pracownicze plany kapitałowe - wątpliwości po wprowadzeniu nowelizacji
Stanowisko urzędu
W czerwcu 2019 r. ukazał się komunikat nr 10 Generalnego Inspektora Informacji Finansowej (GIIF), w której poruszono temat numeru i serii dowodów tożsamości uczestników PPK zbieranych przez instytucje finansowe. Komunikat stanowi skrótową analizę relacji PPK do obowiązków instytucji finansowych wynikających z ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tekst jedn. DzU z 2019 r., poz. 1115; dalej: ustawa o AML). W komunikacie GIIF wskazano, że „wydaje się", iż instytucja finansowa może potraktować przekazywane przez pracodawców informacje zawierające dane identyfikujące uczestnika PPK jako pochodzące z wiarygodnego źródła. Taki sposób weryfikacji tożsamości klienta przewiduje art. 37 ustawy o AML.
To stanowisko stanowi kanwę do poglądu zaprezentowanego na portalu mojeppk.pl. Można w nim przeczytać, że „w przypadku zapisywania do PPK osoby zatrudnionej posiadającej numer PESEL, podmiot zatrudniający nie ma obowiązku wskazania dokumentu potwierdzającego tożsamość. Tym samym, instytucja finansowa, z którą zawierana jest umowa o prowadzenie PPK, na potrzeby jej zawarcia może nie wymagać przekazania jej przez podmiot zatrudniający rodzaju dokumentu tożsamości oraz jego serii i numeru".
Dwa podkreślenia w cytacie nie są przypadkowe. Wskazują na istotę problemu. Podkreślone fragmenty tego stanowiska mogłyby się wydawać logicznie sprzeczne. Z jednej strony mowa o tym, że „podmiot zatrudniający nie ma obowiązku wskazania dokumentu potwierdzającego tożsamość". W kolejnym zdaniu wskazuje się jednak, że „instytucja finansowa ... może nie wymagać przekazania jej przez podmiot zatrudniający rodzaju dokumentu". Logika nakazywałaby zatem zadać pytanie, czy w sytuacji, gdy instytucja będzie jednak oczekiwać od pracodawcy już na etapie zawierania umowy o prowadzenie PPK danych o serii i numerze dokumentu tożsamości (istnieje bowiem zasadnicza różnica między „nie może wymagać", a „może nie wymagać"), to pracodawca ów obowiązek przekazania danych z dowodu tożsamości będzie musiał spełnić? Dalsza analiza prowadzi do wniosku, że w takim przypadku obowiązek pracodawcy może zaistnieć.
Zatem w stanowisku na portalu mojeppk.pl nie ma sprzeczności. Jest za to zasadnicza niejasność, a także duże pole do nieuprawnionej nadinterpretacji. Przesłanie może być mylnie odczytywane, jako brak konieczności zbierania przez instytucję finansową danych o serii i numerze dokumentu tożsamości uczestnika. Taka konkluzja wcale nie wynika z treści komunikatu GIIF, a także (chociaż zawiłość wypowiedzi może utrudniać dojście do tego) nie wynika ze stanowiska opublikowanego na portalu mojeppk.pl.
Poczytuję to jako mankament, biorąc pod uwagę fakt, że ze względu na funkcję przewidzianą dla portalu w ustawie o PPK (portalowi jest poświęcony cały rozdział 11 ustawy), prezentowane na nim stanowiska prawne stanowią pewien wyznacznik dla postępowania pracodawców i instytucji finansowych. Chociaż sam portal informuje, że umieszczane na nim „treści (...) nie stanowią porady prawnej, finansowej ani oficjalnej interpretacji obowiązujących przepisów prawa", to jednak jego rola w przekazywaniu stanowisk prawnych jest nie do przecenienia.
Problem z przepisami
Aby określić, o co dokładnie chodzi w kwestii numerów dowodów tożsamości uczestników PPK, należy ustalić, jaki jest zakres regulacji, które dotyczą tej kwestii. A regulacji prawnych w tym zakresie nie jest mało. W grę mogą wchodzić przepisy kodeksu pracy, ustawy o PPK, ustawy o AML, a także rozporządzenia RODO (dalej: RODO).
Wydaje się to istotne. Prowadzenie dyskusji wyłącznie na gruncie przepisów ustawy o PPK jest bowiem nadmiernie dużym uproszczeniem. Z uwagi na szczątkową regulację tej kwestii w ustawie ani nie pomoże znaleźć adekwatnej odpowiedzi, ani nie pozwoli rozwiać wszystkich wątpliwości podmiotów, które będą administratorami danych osobowych uczestników PPK. A rolę tę można przypisać kilku podmiotom.
Argument: bo RODO
Nie ulega wątpliwości, że seria i numer dokumentu tożsamości ma charakter danych osobowych. Przetwarzanie tych danych musi być zatem zgodne z przepisami rozporządzenia RODO. Jakkolwiek argument „bo RODO" w ostatnim czasie zdaje się być nadmiernie nadużywany w celach całkowicie sprzecznych z motywami tej regulacji, to nie ulega wątpliwości, że RODO ma zastosowanie w zakresie dotyczącym uczestników PPK.
Art. 5 RODO wprowadza podstawowe zasady przetwarzania danych. Dla zobrazowania dylematu PPK kluczowa jest zasada zgodności z prawem, rzetelności i przejrzystości, zasada ograniczenia celu oraz zasada minimalizacji danych.
Przetwarzanie danych osobowych wymaga spełnienia przesłanki legalności, wskazanych przede wszystkim w art. 6 ust. 1 RODO. Wśród nich wymienia się zgodę osoby, której dane dotyczą. Przetwarzanie jest legalne także wtedy, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, o której dane chodzi, a także gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Nie można przy tym zapomnieć o zasadzie minimalizacji danych. Zgodnie z nią wolno przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania.
Kodeks pracy i ustawa o PPK
Z perspektywy pracodawców, na których spoczywają obowiązki prawne dotyczące zapisywania uczestników do PPK, znaczenie może mieć zakres danych, jakie posiadają z racji zatrudniania pracowników.
W stosunkach pracy kwestię tę reguluje art. 221 kodeksu pracy. Zgodnie z nim, pracodawca przetwarza m.in. takie dane pracownika, jak: imię i nazwisko, data urodzenia, numer PESEL, a dla osób które tego numeru nie posiadają – także numer dokumentu tożsamości. W nowym porządku prawnym „ery RODO" nadal aktualny pozostaje pogląd, że ten przepis mocno ogranicza pracodawców w przetwarzaniu danych niewskazanych w k.p. lub w przepisach szczególnych.
Ta kwestia ma istotne znaczenie praktyczne o tyle, że w myśl aktualnych przepisów k.p. pracodawca nie przetwarza wszystkich danych, które stanowią dane identyfikujące uczestnika PPK zgodnie z art. 2 ust. 1 pkt 3 ustawy o PPK. Gdyby zatem pracodawcy byli zobowiązani do przekazania wszystkich danych zdefiniowanych w ustawie o PPK, oznaczałoby to dla nich konieczność zebrania od pracowników dodatkowych danych. Definicja danych identyfikujących uczestnika PPK zawiera bowiem dodatkowo takie dane, jak:
? numer telefonu,
? adres poczty elektronicznej, a także:
? seria i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego.
Rozbieżność i dylemat prawny dotyczy tego ostatniego. W myśl przepisów k.p. pracodawca przetwarza numer dowodu tożsamości pracownika tylko wtedy, gdy nie posiada on numeru PESEL. Ustawa o PPK takiego ograniczenia nie wprowadza.
Bez obowiązku przekazania?
Problematyczna jest sama podstawa prawna przetwarzania (tj. udostępnienia instytucji finansowej) danych pracowników w związku z PPK. Ustawa o PPK milczy w tym zakresie. Dane identyfikujące uczestnika wskazuje jedynie w art. 20 ust. 1 pkt 2 wśród postanowień umowy o prowadzenie PPK (umowy łączącej uczestnika PPK i instytucję finansową, którą dla uczestnika zawiera pracodawca). Umowa powinna zatem zawierać dane identyfikujące uczestnika, chociaż nie jest wskazane, że w momencie zawierania jej dla pracownika dane te udostępnia pracodawca.
Można także spotkać się z poglądem, że podstawę do udostępnienia danych regulują ... przepisy karne ustawy o PPK, a dokładnie art. 107 pkt 3 tej ustawy. Ma on związek zwłaszcza z obowiązkami ewidencyjnymi instytucji finansowych, dotyczącymi zgłaszania danych do subewidencji uczestników PPK, prowadzonej w ramach ewidencji PPK (art. 74 ustawy o PPK). Należy jednak pamiętać, że zgłoszenie danych do ewidencji jest obowiązkiem instytucji finansowej, a nie samego pracodawcy (por. art. 70 ustawy o PPK).
Nadgorliwcy mogliby uznać taki stan rzeczy za niezgodny z przepisami RODO. Przepisy ustawy w zasadzie pomijają bowiem kwestię podstawy prawnej i celu przetwarzania danych przez pracodawcę (udostępnianie danych, czyli przekazywanie ich innemu administratorowi, jest formą przetwarzania danych). Nawet mimo, że art. 6 ust. 3 RODO stanowi, że „cel przetwarzania musi być określony w tej podstawie prawnej" prawa państwa członkowskiego.
Można jednak przyjąć, że udostępnienie danych osobowych pracowników przy podpisywaniu umowy o prowadzenie PPK jest wykonaniem obowiązku prawnego spoczywającego na pracodawcy jako administratorze. Jest to bowiem niezbędne w celu identyfikacji osoby, dla której pracodawca zawiera umowę o prowadzenie PPK z instytucją finansową.
W takim przypadku należałoby jednak wrócić do jednej z zasad wskazanych w rozporządzeniu RODO – zasady minimalizacji danych. Realizując obowiązek dotyczący zawarcia umowy o prowadzenie PPK pracodawca powinien zatem przekazać tylko te dane osobowe, które są niezbędne do zawarcia umowy i jej późniejszego wykonywania. Z perspektywy ustawy o PPK i ogólnych zasad cywilistycznych udostępnienie danych identyfikujących uczestnika PPK wynika z konieczności zapewnienia drugiej stronie umowy o prowadzenie PPK (instytucji finansowej) prawidłowej identyfikacji osoby, dla której umowa została zawarta. Pracodawca może zatem udostępnić: imię i nazwisko, datę urodzenia, adres zamieszkania i zameldowania oraz numer PESEL. Dla obywateli polskich są to dane wystarczające do ich identyfikacji. Uwzględniając regulację RODO, zasada minimalizacji danych oznaczałaby, że przetwarzanie przez pracodawcę w tym celu numeru i serii dokumentu tożsamości dla osoby, której PESEL został przekazany, jest zbędne. Pracodawca zrealizowałby swój obowiązek – przekazał inne dane (spójne z tymi, które przetwarza jako administrator z tytułu zatrudnienia), bez konieczności przekazania innych danych.
Ustawa o praniu pieniędzy
Jednak sytuacja diametralnie się zmienia, gdy pod uwagę weźmie się regulacje, jakie musi w tym przypadku stosować instytucja finansowa, czyli druga strona umowy o prowadzenie PPK. Jako administrator danych osobowych uczestników PPK, będzie ona przetwarzać ich dane także do celów określonych w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Na mocy przepisów tej ustawy instytucja finansowa ma obowiązek zidentyfikować klienta i zweryfikować jego tożsamość. Odbywa się to m.in. na podstawie danych identyfikujących, wskazanych w art. 36 ust. 1 pkt 1 ustawy o AML. Wśród tych danych wymienia się m.in. ... serię i numer dokumentu stwierdzającego tożsamość danej osoby.
W przypadku PPK instytucja finansowa może stosować tzw. uproszczone środki bezpieczeństwa (art. 42 ustawy o AML). Stosowanie uproszczonych środków oraz sposób „uproszczenia" zależy przy tym od instytucji finansowej. Nie wydaje się jednak, że oznacza to możliwość zrezygnowania z weryfikacji tożsamości lub odstąpienia od zebrania określonych danych służących do identyfikacji klienta i weryfikacji jego tożsamości (np. rezygnacji ze zbierania serii i numeru dokumentu tożsamości). Uproszczenie ma się przejawiać np. w określeniu późniejszego momentu, w którym środki te będą zastosowane (np. późniejsze zebranie określonych danych pozwalających na identyfikację uczestnika PPK), jak też sprawdzeniu tożsamości na podstawie jednego, rzetelnego i wiarygodnego źródła.
Wiarygodne źródło
Tego też w istocie dotyczy stanowisko GIIF. Wskazuje ono, że w ramach PPK instytucja finansowa może dokonać weryfikacji w myśl art. 37 ustawy o AML nie na podstawie fizycznej weryfikacji danych na dokumencie tożsamości, ale uznać, iż informacje pochodzące od pracodawcy stanowią wiarygodne źródło.
Wczytując się w komunikat można wręcz zauważyć, że potwierdza on konieczność weryfikacji tożsamości uczestnika PPK na podstawie serii i numeru jego dokumentu tożsamości. Wskazano w nim, że „jako informację pochodzącą z niezależnego i wiarygodnego źródła należy potraktować informację zawierającą dane identyfikacyjne uczestnika PPK, o których mowa w art. 36 ust. 1 pkt 1 ustawy, przekazaną instytucji obowiązanej przez podmiot zatrudniający". Mowa o wszystkich danych określonych w art. 36 ust. 1 pkt 1 ustawy, w tym także serii i numerze dokumentu tożsamości (wymienionych w art. 36 ust. 1 pkt 1 ustawy o AML).
Serie i numery do wiadomości
To, co najważniejsze w tym stanowisku, zostało zawarte na końcu. W podsumowaniu komunikatu nr 10 czytamy: „podkreślania wymaga fakt, że za dopełnienie obowiązku zastosowania środków bezpieczeństwa finansowego odpowiedzialna jest wyłącznie instytucja obowiązana".
O stosowaniu środków bezpieczeństwa finansowego zgodnie z ustawą o AML decyduje instytucja finansowa. Samo stosowanie uproszczonych środków bezpieczeństwa jest wyłącznie jej uprawnieniem, a nie obowiązkiem (art. 42 ustawy o AML). Co więcej, instytucja nie musi zrezygnować z oczekiwania przekazania jej danych o serii i numerze dowodu tożsamości uczestnika już przy zawieraniu umowy o prowadzenie PPK. Kierując się wąską interpretacją komunikatu nr 10 GIIF mogłaby jedynie podjąć decyzję, że pełne dane wskazane w art. 36 ust. 1 pkt 1 ustawy o AML (zatem także dane o serii i numerze dowodu tożsamości) potraktuje za pochodzące z wiarygodnego źródła, jeżeli zostaną przekazane przez pracodawcę na tym etapie.
Jeżeli zatem instytucja finansowa oczekuje przekazania danych o serii i numerze dowodu w celu ustalenia danych niezbędnych do weryfikacji uczestników w procedurach AML, to pracodawca powinien poczuć się zobowiązany do ich przekazania. Dlaczego?
Ustawa o AML daje instytucji finansowej podstawę do odmowy zawarcia umowy, jeżeli nie może wypełnić ona swoich obowiązków w tym zakresie. Taka odmowa nie stanowiłaby naruszenia żadnych obowiązków instytucji finansowej, gdyż miałaby oparcie w przepisach ustawy o AML. Jakkolwiek trudno sobie wyobrazić taką sytuację w PPK, to na tle stosowanych regulacji może ona zaistnieć.
Dla pracodawcy oznacza to jednak, że wykonanie własnego obowiązku ustawowego i zapisanie pracowników do PPK wymaga spełnienia opartych na prawie żądań instytucji finansowej, w tym dotyczących przekazania serii i numeru dowodu tożsamości wszystkich zapisywanych pracowników, jeżeli takie są wymagane już przy podpisywaniu umowy o prowadzenie PPK. W takiej sytuacji przetwarzanie danych dotyczących serii i numeru dowodu tożsamości stałoby się niezbędne do wykonania obowiązku ustawowego pracodawcy, a ten musiałby zebrać dane od uczestników.
Adrian Prusik radca prawny Kancelaria Wojewódka i Wspólnicy Sp.k.
Na szczęście dla pracodawców praktyka większości instytucji finansowych zdaje się iść w kierunku rezygnacji z ustalania serii i numeru dokumentu tożsamości dla wszystkich uczestników na etapie zawierania umowy o prowadzenie PPK. Nie zmienia to jednak faktu, że opisane podejście może oznaczać, że brak takiego obowiązku po stronie pracodawcy wynika wyłącznie z wewnętrznej decyzji instytucji finansowej. Należy także pamiętać, że stosowanie takiej praktyki niekoniecznie musi być trwałe. Nie można wykluczyć zmiany podejścia w przyszłości. Przed wyborem instytucji finansowej dobrze ustalić tę kwestię.