Jednym z niewątpliwych wyzwań, jakie czekają pracodawców w toku wdrażania PPK, jest prawidłowe ustawienie procesów związanych z przetwarzaniem danych osobowych. Dane identyfikujące uczestnika PPK, czyli jego imię (imiona) i nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL (lub data urodzenia w przypadku osób nieposiadających numeru PESEL), seria i numer dowodu osobistego (lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego), stanowią jeden z obligatoryjnych elementów umowy o prowadzenie PPK. W praktyce oznacza to, że pracodawca powinien dysponować tymi danymi na etapie zapisywania danej osoby do PPK.  

O ile nie powinno rodzić to problemów w przypadku osób, które mogą oszczędzać w PPK na wniosek (będzie można łatwo odebrać od nich dane niezbędne do zapisu na etapie składania takiego wniosku), to nie jest jasne, w jaki sposób ustawodawca wyobraża sobie zgromadzenie tych danych od osób objętych zapisem automatycznym.

Sprawę komplikuje fakt, iż zakres danych gromadzonych na potrzeby prowadzenia PPK jest szerszy, niż katalog danych, do przetwarzania których jest uprawniony pracodawca w związku z zatrudnieniem. W konsekwencji części danych (np. numer telefonu, adres poczty elektronicznej, seria i numer dowodu osobistego) pracodawca może po prostu nie posiadać w swoich zasobach. 

Podmioty zatrudniające objęte ustawą o PPK od 1 lipca 2019 roku powinny więc po tej dacie rozpocząć gromadzenie danych osobowych na potrzeby prowadzenia PPK. Przy czym podstawą ich przetwarzania będą bezpośrednio przepisy ustawy o pracowniczych planach kapitałowych. W konsekwencji nie będzie konieczne pozyskiwane zgód na przetwarzanie od potencjalnych uczestników programu. 

Z dużym prawdopodobieństwem pracodawcy nie uda się pozyskać wszystkich tych danych. Mając na uwadze cel ustawy o PPK wydaje się, że pracodawca powinien ustalić z wybraną instytucją finansową zakres danych osobowych uczestnika, których brak nie uniemożliwi jego identyfikacji i skutecznego zapisu do PPK. 

Rekomendujemy również precyzyjne uregulowanie sposobu zabezpieczenia danych osobowych podczas ich udostępniania wybranej instytucji finansowej, kwestie te mogą stanowić element tzw. porozumienia technicznego zawieranego między podmiotem zatrudniającym a wybraną instytucją finansową.