- Zgoda na przetwarzanie danych osobowych
- Osoby dopuszczone do przetwarzania danych osobowych
- Terminy przechowywania danych osobowych
- Administrator danych osobowych
- Sposób przetwarzania danych osobowych
Zgoda na przetwarzanie danych osobowych
Przede wszystkim wprowadzono wymóg uzyskania zgody na przetwarzanie danych osobowych. Zgoda dotyczy członka kasy, poręczyciela i osoby uprawnionej do odbioru wkładów. Zgoda jest obligatoryjna. Uważam, że zgoda jest zbędna, skoro kasa w stosunku do członka realizuje swoje ustawowe obowiązki. W odniesieniu do poręczyciela – trudno uzasadnić wymóg zgody, skoro umowa poręczenia uregulowana jest w kodeksie cywilnym. Odnośnie osoby uprawnionej zgoda na przetwarzanie danych również jest zbędna i stanowi utrudnienie dla członka kasy, który jest zobligowany do wskazania osoby uprawnionej do odbioru wkładów.
Jak wspomniano wyżej, na gruncie obecnych przepisów zgoda jest obowiązkowa, a jej brak stanowi naruszenie RODO oraz przepisów ustawy o KZP.
Zgodnie z art. 43 ust.2. ustawy KZP przetwarza dane osobowe:
1) członka KZP obejmujące:
a) imię (imiona) i nazwisko,
b) numer PESEL, a w przypadku braku numeru PESEL - nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało,
c) adres do korespondencji oraz numer telefonu lub adres poczty elektronicznej,
d) stan cywilny oraz ustrój majątkowy,
e) stan zdrowia,
f) otrzymywane wynagrodzenie lub zasiłek;
2) osoby uprawnionej obejmujące dane, o których mowa w pkt 1 lit. a-c;
3) poręczyciela obejmujące dane, o których mowa w pkt 1 lit. a-d.
Powyższy zakres jest bardzo ograniczony i znacznie węższy od koniecznego zakresu danych, które kasa przetwarza z uwagi na swoje statutowe zadania. Przede wszystkim brakuje informacji o rachunku bankowym. Brakuje także informacji zawartych w Krajowym Rejestrze Zadłużonych, z którego kasa ma prawo korzystać. W ustawie nie zawarto także informacji o zadłużeniach czy postępowaniach egzekucyjnych, a przecież kasa bywa adresatem zajęć komorniczych. Brakuje także informacji o ewentualnej upadłości członka kasy czy poręczyciela. Kasa posiada interes prawny w celu ustalenia tych okoliczności. Przecież kasa przed wypłatą pożyczki musi ocenić, czy pożyczkobiorca rokuje na spłatę pożyczki.
W ustawie wskazano, że KZP może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczenia lub zaświadczenia.
Osoby dopuszczone do przetwarzania danych osobowych
Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez zarząd. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy oraz ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem. To rozwiązanie jest racjonalne, niemniej wymusza na kasie wprowadzenie odpowiednich upoważnień.
Terminy przechowywania danych osobowych
Ustawodawca wprowadził także terminy przechowywania danych osobowych.
1) w przypadku członka kasy- do upływu 10 lat od dnia ustania członkostwa;
2) w przypadku osoby uprawnionej - do upływu 5 lat od dnia wypłaty wkładu członkowskiego;
3) w przypadku poręczyciela do upływu 5 lat od dnia spłaty poręczanej pożyczki.
W mojej ocenie regulacja terminu przechowywania danych dla osoby uprawnionej została sporządzona błędnie. Wynika to z faktu, że przecież członkostwo części członków kasy ustaje nie na skutek śmierci, a rezygnacji czy zmiany pracodawcy. Tym samym kasa winna zaprzestawać przetwarzania danych osoby uprawnionej z dniem ustania członkostwa, skoro do wypłaty wkładów osobie uprawnionej w takiej sytuacji nigdy nie dojdzie.
W ust. 6 art. 43 ustawy o KZP wskazano, że upływ terminów wskazanych w ust. 5 obliguje administratora do niezwłocznego zniszczenia dokumentów zawierających dane osobowe w wersji papierowej i trwałego ich usunięcia z nośników elektronicznych.
Administrator danych osobowych
Administratorem danych osobowych jest KZP. Pracodawca, u którego funkcjonuje KZP, przetwarza dane osobowe w zakresie określonym ustawą w celu świadczenia KZP pomocy w zakresie:
1) udzielania informacji umożliwiających dokonanie weryfikacji, czy określona osoba jest zatrudniona w zakładzie pracy i czy spełnia warunki do poręczenia pożyczki (za wyjątkiem stanu cywilnego osoby);
2) prowadzenia rachunkowości, obsługi kasowej i prawnej;
3) dokonywania na rzecz KZP potrąceń wpisowego, miesięcznych wkładów członkowskich i rat pożyczek na listach płac, listach wypłat i zasiłków, a w przypadku braku możliwości dokonania takiego potrącenia - informuje o tym zarząd;
4) niezwłocznego odprowadzania wpłat wpisowego, miesięcznych wkładów członkowskich i rat pożyczek na rachunek płatniczy KZP;
5) przekazywania przez zarząd członkom KZP informacji o stanie ich wkładów członkowskich i zadłużenia.
Zgodnie ze stanowiskiem UODO (link do stanowiska https://uodo.gov.pl/pl/225/1619) pracodawca i kasa winny zawrzeć nie umowę powierzenia przetwarzania danych osobowych, a porozumienie, o którym mowa w art. 26 RODO, tak zwaną umowę o współadministrowaniu. Wskazane stanowisko zostało zaprezentowane na stronie Urzędu w dniu 28.07.2020 roku, czyli podczas obowiązywania rozporządzenia w sprawie pracowniczych kas zapomogowo-pożyczkowych oraz spółdzielczych kas oszczędnościowo-kredytowych w zakładach pracy. Sądzę jednak, że można je odnieść także do aktualnego stanu prawnego. Chociaż w ustawie nie wskazano, że pracodawca co do danych przetwarzanych przez siebie jest ich administratorem, jednak wyraźnie ustawa przyznaje pracodawcy prawo przetwarzania danych we własnym imieniu. Wobec tego wydaje się, że brak wskazania w ustawie, że pracodawca jest administratorem danych przetwarzanych na podstawie ustawy stanowi przeoczenie ustawodawcy. Dlatego w mojej ocenie nie nastąpiła aż taka zmiana przepisów, która zmieniałaby relacje pomiędzy kasą a pracodawcą w zakresie przetwarzania danych. Nawet udzielanie informacji umożliwiające weryfikację w zakresie wskazanym w ustawie nie wpływa na fakt, że dane ten pracodawca przetwarza i przekazuje na podstawie ustawy.
Sposób przetwarzania danych osobowych
Dane osobowe mogą być przetwarzane w postaci papierowej lub elektronicznej. Sposób przetwarzania danych oraz ich zabezpieczania reguluje statut KZP. W tym zakresie po wejściu w życie nowej ustawy kasy winny zmienić statut.
Zgodnie z ustawą zarząd dokonuje przeglądu danych osobowych nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Zarząd winien jest czuwać nad tym, aby przetwarzane były dane jedynie niezbędne oraz mieszczące się w terminach określonych w ustawie. Dalej wskazano, że zarząd usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu wskazanych w ustawie.
Zasady przetwarzania danych wprowadzone w ustawie narzucają na zarząd kasy obowiązek bieżącego monitorowania zakresu przetwarzania danych jak również czynnego zarządzania danymi. Tym samym kasa powinna wdrożyć procedury związane z ochroną danych osobowych.