Kto jest administratorem danych osobowych w PPK i jaka jest podstawa prawna do przetwarzania danych przez wybraną instytucję finansową?

Ustawa o PPK nie reguluje wprost kwestii dot. Administratora danych. Natomiast z jej treści wynika, że podmiot zatrudniający (pracodawca) organizuje proces przetwarzania danych w firmie. Wyznacza on cele i środki przetwarzania danych osobowych, jest administratorem tych danych, a następnie udostępnia dane uczestników PPK instytucji obowiązanej z którą zawiera umowę.

Według Ustawy o pracowniczych planach kapitałowych instytucja obowiązana art.1 pkt.39 jest to wybrana instytucja finansowa, z którą, w imieniu i na rzecz uczestnika PPK, podmiot zatrudniający zawarł umowę o prowadzenie PPK, lub instytucja finansowa, która zgodnie z ustawą o funduszach inwestycyjnych lub ustawą o organizacji i funkcjonowaniu funduszy emerytalnych, wstąpiła w prawa i obowiązki wynikające z tej umowy.

Po przekazaniu tych danych, instytucja finansowa samodzielnie nimi zarządza, określa cele i środki ich przetwarzania, tym samym staje się ich administratorem.

Uzasadnienie

Z powyższego wynika, że w przypadku PPK mamy dwóch relację dwóch administratorów danych osobowych. Należy tutaj zaznaczyć, że umowę o prowadzeniu PPK zawiera wprawdzie pracodawca, ale w imieniu i na rzecz danej osoby zatrudnionej.

Pracodawca (podmiot zatrudniający) jako administrator przetwarza dane osobowe na podstawie art.6 ust.1. lit. c) RODO, ponieważ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Natomiast podstawą prawną do przetwarzania (udostępnienia) danych osobowych przez wybraną instytucję finansową jest art.6 ust.1. lit. b) RODO.

Przetwarzanie to jest niezbędne do wykonania umowy o prowadzenie PPK, gdzie stroną jest osoba, której dane dotyczą. Dodatkowo polecamy zapoznanie się ze stanowiskiem UODO dotyczącym przekazywania danych kontaktowych > https://uodo.gov.pl/pl/138/1251