iSecure logo
Blog

Ustawa o kasach zapomogowo pożyczkowych – czy zgoda jest właściwą podstawą prawną przetwarzania danych osobowych?

W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych zarówno członków KZP, poręczycieli jak i osób uprawnionych. Nic bardziej mylnego, analiza znowelizowanych przepisów przysparza jednak problemów w zakresie doboru właściwej podstawy prawnej przetwarzania danych osobowych w/w osób.

Art. 43 ust. 1 ustawy o kasach zapomogowo pożyczkowych wskazuje, iż:

Przetwarzanie przez KZP danych osobowych w celu realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń, następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela.

Ustawa o kasach zapomogowo pożyczkowych określa zasady tworzenia, organizowania i działania u pracodawcy kasy zapomogowo-pożyczkowej oraz jej likwidacji. Celem jej działania jest udzielanie jej członkom pomocy materialnej w formie nieoprocentowanych pożyczek, a w miarę posiadanych środków także zapomóg. Ustawa w dość szczegółowy sposób precyzuje zarówno prawa (m.in. gromadzenia wkładów członkowskich, zaciągania pożyczek) i obowiązki (m.in. wpłata wpisowego, wplata miesięcznych wkładów członkowskich) członków KZP.

Powołany przepis wskazuje zatem, iż dane przetwarzane są w celu realizacji zadań ustawowych (a więc intuicyjnym jest przypisanie temu podstawy wynikającej z art. 6 ust. 1 lit. c RODO), określając jednocześnie, iż podstawą takiego przetwarzania powinna być zgoda udzielona w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela (a zatem art. 6 ust. 1 lit. a RODO).

Mając na uwadze to, że zgoda jako podstawa prawna przetwarzania danych osobowych powinna być stosowana wówczas, kiedy nie ma możliwości zastosowania innej przesłanki legalizacyjnej oraz z uwagi na określone w w/w ustawie szczegółowe zasady funkcjonowania KZP, prawa i obowiązki jej członków, osób uprawnionych oraz poręczycieli, prawidłowym wydaje się zastosowanie podstawy prawnej jaką jest niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Kasa zapomogowo pożyczkowa jako administrator danych osobowych jej członków, osób uprawnionych oraz poręczycieli posiada stosowne (wynikające z ustawy) podstawy pozyskiwania i przetwarzania danych i czynności te nie powinny być determinowane wcześniejszym pozyskaniem zgody.

Próbując zrozumieć wskazanie zgody jako podstawy prawnej przetwarzania sięgam do art.

11 ustawy o KZP, który stanowi, iż:

Osoba wykonująca pracę zarobkową u danego pracodawcy jest przyjmowana w poczet członków KZP na podstawie deklaracji złożonej w formie pisemnej, dokumentowej lub elektronicznej.

I rzeczywiście analiza powyższego artykułu pozwala twierdzić, iż samo członkostwo może, a nawet powinno być oparte o zgodę złożoną w formie pisemnej deklaracji. Niemniej jednak uznanie zgody jako podstawy przetwarzania danych w całym procesie jakim jest członkostwo w KZP wydaje się niewłaściwe. Mając na uwadze możliwość wycofania zgody w dowolnym momencie, przyjąć należałoby, iż rezygnacja z niej oznaczać będzie brak możliwości realizacji ustawowych zdań ciążących na KZP.

Problem ten zauważył również Urząd Ochrony Danych Osobowych, który w Newsletterze nr 2/2022 Luty 2022 podniósł, iż:

(…) wskazywanie na przesłankę zgody jako jedyną uzasadniającą proces przetwarzania danych w omawianej sytuacji prowadzi do błędnego przekonania, że jest ona podstawą realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń. Tymczasem przetwarzanie danych osobowych członków KZP w tych celach jest niezbędne w celu realizacji ustawowych zadań KZP wyszczególnionych w art. 43 ustawy. Również wskazanie osoby uprawnionej wynika z przepisów ustawy (art. 12 ust. 1 pkt 4 ustawy o KZP). Z kolei poręczenie jest instytucją cywilnoprawną (uregulowaną w art. 876 i następnych ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny), w związku z czym poręczyciel nie musi wyrażać zgody na przetwarzanie danych, ponieważ z mocy przepisów staje się osobą uprawnioną. Takie brzmienie analizowanych przepisów stoi w sprzeczności z RODO, które w wielu motywach wskazuje na konieczność szczególnie starannego przyjrzenia się warunkom udzielania zgód. Nie są one przykładowo niezbędne tam, gdzie podstawa przetwarzania wynika z istniejącego przepisu prawa czy z zawartej umowy.

Urząd Ochrony Danych Osobowych nie poprzestał jedynie na wyrażeniu powyżej opinii. Jak informuje w Newsletterze, wystąpił do Minister Rodziny i Polityki Społecznej i wskazał, że jeżeli podstawą przetwarzania danych osobowych jest przepis prawa (art. 43 ustawy o KZP), nie można równocześnie traktować zgody jako przesłanki przetwarzania danych osobowych na realizację tego samego celu.

Pobierz wpis w wersji pdf

Podobne wpisy:

O ochronie danych osobowych w Nowoczesnej Firmie

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

Raport DLA Piper: Kary za naruszenia RODO i incydenty związane z ochroną danych

Pod koniec stycznia eksperci DLA Piper przedstawili wyniki raportu „GDPR Fines and Data Breach Survey[1]” (Raport dotyczący kar za naruszenia RODO oraz incydentów związanych z danymi) z okazji obchodów Europejskiego Dnia Ochrony Danych. Raport obejmuje 31 krajów europejskich. To już siódma edycja corocznego raportu DLA Piper, która wybitnie podsumowuje trendy na „rynku ochrony danych osobowych” […]

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo

Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki