Przejdź do treści
Strona główna » Blog » Przetwarzanie danych osobowych w kasie zapomogowo-pożyczkowej

Przetwarzanie danych osobowych w kasie zapomogowo-pożyczkowej

Przetwarzanie danych osobowych w kasie zapomogowo-pożyczkowej sprawia kilka problemów. Stało się tak przez niefortunną regulację ustawową, zgodnie z którą przetwarzanie danych osobowych opiera się na zgodzie osoby uprawnionej. W dzisiejszym wpisie omówię podstawowe zagadnienia przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej i zaprezentuję związane z tym wątpliwości.

Kto jest administratorem danych osobowych?

Akurat w tym aspekcie ustawa nie pozostawia złudzeń. Funkcję administratora danych pełni kasa zapomogowo-pożyczkowa. I tutaj uwaga – skoro KZP jest administratorem, to spoczywają na niej obowiązki wynikające z RODO. Powinna więc prowadzić rejestr czynności przetwarzania, a także zająć się dobraniem odpowiednich środków ochrony danych. To KZP realizuje obowiązek informacyjny i odpowiada na żądania osób fizycznych, a w przypadku takiej konieczności zgłasza naruszenia do Prezesa UODO. To oczywiście nie wszystkie obowiązki.

O ile nie ma wątpliwości co do tego, kto jest administratorem, to w praktyce mogą pojawić się problemy z wykonywaniem jego zadań oraz zapewnieniem rozliczalności. Dlaczego? Wydaje się, że KZP jako odrębny administrator – ale ściśle powiązany z zakładem pracy – może korzystać z tych samych procedur, co pracodawca. Co jednak w przypadku międzyzakładowej kasy zapomogowo-pożyczkowej? W takim przypadku mogą wystąpić różnice w przyjętych rozwiązaniach, a w konsekwencji konieczne będzie ustalenie zasad przetwarzania danych dla KZP.

Jakie dane osobowe może przetwarzać KZP?

Ustawodawca daje jasną odpowiedź także na to pytanie. Jak możemy przeczytać w przepisie art. 43 ust. 2 ustawy o kasach zapomogowo-pożyczkowych:

KZP przetwarza dane osobowe:
1) członka KZP obejmujące:
a) imię (imiona) i nazwisko,
b) numer PESEL, a w przypadku braku numeru PESEL – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało,
c) adres do korespondencji oraz numer telefonu lub adres poczty elektronicznej,
d) stan cywilny oraz ustrój majątkowy,
e) stan zdrowia,
f) otrzymywane wynagrodzenie lub zasiłek;
2) osoby uprawnionej obejmujące dane, o których mowa w pkt 1 lit. a-c;
3) poręczyciela obejmujące dane, o których mowa w pkt 1 lit. a-d.

Pamiętaj, że zakresy danych różnią się w odniesieniu do członka KZP, osoby uprawnionej oraz poręczyciela. Nie powinny one być rozszerzane, aby nie narazić się na zarzut nadmiarowości. Jeżeli natomiast zastanawiasz się, jak długo możesz przechowywać te dane osobowe, to śpieszę z odpowiedzią. W przypadku danych osobowych:

  • członka KZP to okres 10 lat od ustania członkostwa;
  • osoby uprawnionej to okres 5 lat od dnia wypłaty wkładu członkowskiego;
  • poręczyciela to okres 5 lat od dnia spłaty poręczanej pożyczki.

Czy na pewno zgoda na przetwarzanie danych osobowych?

Tutaj również ustawodawca pokusił się o jasną odpowiedź. Niestety w tym przypadku nie ułatwiła ona sprawy, a ją skomplikowała. Rzućmy okiem na brzmienie przepisu art. 43 ust. 1 ustawy o kasach zapomogowo-pożyczkowych:

Przetwarzanie przez KZP danych osobowych w celu realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń, następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela.

Jak wskazuje przepis, przetwarzanie w celu realizacji zadań ustawowych związanych z członkostwem w KZP następuje na podstawie zgody, czyli art. 6 ust. 1 lit. a) RODO lub art. 9 ust. 2 lit. a) RODO w odniesieniu do szczególnych kategorii danych, jak dane dotyczące zdrowia. Wśród zadań ustawowych wymienione zostało gromadzenie wkładów, udzielanie pomocy materialnej i dochodzenie praw lub roszczeń.

W czym tkwi problem? Już tłumaczę.

Przetwarzanie danych osobowych na podstawie zgody osoby uprawnionej wiąże się ze szczególnym uprawnieniem tej osoby do cofnięcia zgody w dowolnym momencie. Wycofanie zgody powoduje, że administrator traci zasadniczo podstawę przetwarzania. Zasadniczo, bo może dysponować także innymi, jak np. obowiązkiem prawnym, zgodnie z którym jest zobowiązany do przechowywania dokumentacji.

Jeżeli nie zgoda, to jaka podstawa przetwarzania?

Regulacje ustawowe należy potraktować jako przejaw zgodozy, o której pisałem już niejednokrotnie. Dla przypomnienia – zgodoza to przypadłość, która objawia się nadużywaniem zgody jako podstawy przetwarzania. Tak jest w tym przypadku, bo bez problemu możemy znaleźć inne.

Zarówno pożyczka, jak i poręczenie stanowią umowy uregulowane przepisami Kodeksu cywilnego. Przetwarzanie danych w tym zakresie może więc podlegać przesłance z art. 6 ust. 1 lit. b) RODO, zgodnie z którą przetwarzanie jest niezbędne do zawarcia lub realizacji umowy.

Zadania ustawowe stanowią natomiast prawny obowiązek administratora, czyli przetwarzanie danych z tym związane podlega przesłance z art. 6 ust. 1 lit. c) RODO. Do zadań tych należą m.in. wskazane w przytoczonym przepisie, ale również dalsze przechowywanie dokumentacji.

Wreszcie dochodzenie roszczeń należy oprzeć na prawnie uzasadnionym interesie administratora, tj. art. 6 ust. 1 lit. f) RODO. Dochodzenie roszczeń na podstawie zgody osoby uprawnionej jest o tyle absurdalne, że można by tę zgodę wycofać, tym samym uniemożliwiając dalsze czynności. W przypadku prawnie uzasadnionego interesu przysługuje prawo do sprzeciwu, ale skorzystanie z niego nie uniemożliwia prowadzenia sprawy.

Zostaje jeszcze przetwarzanie danych dotyczących zdrowia, ale to możemy oprzeć na przesłance z art. 9 ust. 2 lit. b) RODO. Zgodnie z nią przetwarzanie jest niezbędne do wypełniania obowiązków i wykonywania praw w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.

Z czego wynika ta zgodoza i jak żyć w KZP?

Zgodoza może w tym przypadku mieć źródło w oświadczeniu, które składają poszczególne osoby w ramach kasy zapomogowo-pożyczkowej. Ponieważ przystąpienie i skorzystanie z KZP jest dobrowolne oraz inicjowane właśnie w formie oświadczenia, to automatycznie kojarzy się to z wyrażeniem zgody na przetwarzanie danych osobowych. Jak więc działać w tym przypadku?

Moim zdaniem należy z jednej strony zadbać o spełnienie wymogów ustawy, a z drugiej o prawidłowość przetwarzania z RODO. Rozwiązaniem w wymiarze praktycznym jest oparcie przetwarzania na zgodzie w rozumieniu zainicjowania dalszych działań, które są później prowadzone na innych podstawach przetwarzania, zgodnie ze wskazanymi przeze mnie możliwościami.

W telegraficznym skrócie:

  • Zasady przetwarzania danych osobowych są w dużej mierze uregulowane w ustawie o kasach zapomogowo-pożyczkowych.
  • Przetwarzanie danych podlega ustawowo zgodzie, ale w praktyce są również inne podstawy.
  • KZP działa jako administrator, a więc jest odpowiedzialna za realizację obowiązków spoczywających na administratorze.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *