iSecure logo
Blog

Ustawa o kasach zapomogowo pożyczkowych – czy zgoda jest właściwą podstawą prawną przetwarzania danych osobowych?

W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych zarówno członków KZP, poręczycieli jak i osób uprawnionych. Nic bardziej mylnego, analiza znowelizowanych przepisów przysparza jednak problemów w zakresie doboru właściwej podstawy prawnej przetwarzania danych osobowych w/w osób.

Art. 43 ust. 1 ustawy o kasach zapomogowo pożyczkowych wskazuje, iż:

Przetwarzanie przez KZP danych osobowych w celu realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń, następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela.

Ustawa o kasach zapomogowo pożyczkowych określa zasady tworzenia, organizowania i działania u pracodawcy kasy zapomogowo-pożyczkowej oraz jej likwidacji. Celem jej działania jest udzielanie jej członkom pomocy materialnej w formie nieoprocentowanych pożyczek, a w miarę posiadanych środków także zapomóg. Ustawa w dość szczegółowy sposób precyzuje zarówno prawa (m.in. gromadzenia wkładów członkowskich, zaciągania pożyczek) i obowiązki (m.in. wpłata wpisowego, wplata miesięcznych wkładów członkowskich) członków KZP.

Powołany przepis wskazuje zatem, iż dane przetwarzane są w celu realizacji zadań ustawowych (a więc intuicyjnym jest przypisanie temu podstawy wynikającej z art. 6 ust. 1 lit. c RODO), określając jednocześnie, iż podstawą takiego przetwarzania powinna być zgoda udzielona w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela (a zatem art. 6 ust. 1 lit. a RODO).

Mając na uwadze to, że zgoda jako podstawa prawna przetwarzania danych osobowych powinna być stosowana wówczas, kiedy nie ma możliwości zastosowania innej przesłanki legalizacyjnej oraz z uwagi na określone w w/w ustawie szczegółowe zasady funkcjonowania KZP, prawa i obowiązki jej członków, osób uprawnionych oraz poręczycieli, prawidłowym wydaje się zastosowanie podstawy prawnej jaką jest niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Kasa zapomogowo pożyczkowa jako administrator danych osobowych jej członków, osób uprawnionych oraz poręczycieli posiada stosowne (wynikające z ustawy) podstawy pozyskiwania i przetwarzania danych i czynności te nie powinny być determinowane wcześniejszym pozyskaniem zgody.

Próbując zrozumieć wskazanie zgody jako podstawy prawnej przetwarzania sięgam do art.

11 ustawy o KZP, który stanowi, iż:

Osoba wykonująca pracę zarobkową u danego pracodawcy jest przyjmowana w poczet członków KZP na podstawie deklaracji złożonej w formie pisemnej, dokumentowej lub elektronicznej.

I rzeczywiście analiza powyższego artykułu pozwala twierdzić, iż samo członkostwo może, a nawet powinno być oparte o zgodę złożoną w formie pisemnej deklaracji. Niemniej jednak uznanie zgody jako podstawy przetwarzania danych w całym procesie jakim jest członkostwo w KZP wydaje się niewłaściwe. Mając na uwadze możliwość wycofania zgody w dowolnym momencie, przyjąć należałoby, iż rezygnacja z niej oznaczać będzie brak możliwości realizacji ustawowych zdań ciążących na KZP.

Problem ten zauważył również Urząd Ochrony Danych Osobowych, który w Newsletterze nr 2/2022 Luty 2022 podniósł, iż:

(…) wskazywanie na przesłankę zgody jako jedyną uzasadniającą proces przetwarzania danych w omawianej sytuacji prowadzi do błędnego przekonania, że jest ona podstawą realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń. Tymczasem przetwarzanie danych osobowych członków KZP w tych celach jest niezbędne w celu realizacji ustawowych zadań KZP wyszczególnionych w art. 43 ustawy. Również wskazanie osoby uprawnionej wynika z przepisów ustawy (art. 12 ust. 1 pkt 4 ustawy o KZP). Z kolei poręczenie jest instytucją cywilnoprawną (uregulowaną w art. 876 i następnych ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny), w związku z czym poręczyciel nie musi wyrażać zgody na przetwarzanie danych, ponieważ z mocy przepisów staje się osobą uprawnioną. Takie brzmienie analizowanych przepisów stoi w sprzeczności z RODO, które w wielu motywach wskazuje na konieczność szczególnie starannego przyjrzenia się warunkom udzielania zgód. Nie są one przykładowo niezbędne tam, gdzie podstawa przetwarzania wynika z istniejącego przepisu prawa czy z zawartej umowy.

Urząd Ochrony Danych Osobowych nie poprzestał jedynie na wyrażeniu powyżej opinii. Jak informuje w Newsletterze, wystąpił do Minister Rodziny i Polityki Społecznej i wskazał, że jeżeli podstawą przetwarzania danych osobowych jest przepis prawa (art. 43 ustawy o KZP), nie można równocześnie traktować zgody jako przesłanki przetwarzania danych osobowych na realizację tego samego celu.

Pobierz wpis w wersji pdf

Podobne wpisy:

Po co mi retencja danych osobowych?

Jednym z obszarów ochrony danych osobowych, który nadal sprawia duże trudności przedsiębiorcom, jest obowiązek ustalenia i egzekwowania okresów retencji danych osobowych. Czyli tłumacząc z polskiego prawniczego na polski potoczny: chodzi o to, że danych osobowych (dokumentów, maili, plików, itp.) nie można trzymać w nieskończoność. Tylko dlaczego, jak się przed tym bronić i czy naprawdę trzeba […]

Dostosowanie przedsiębiorców do RODO okiem specjalisty

Czy po dwóch latach od wejścia w życie RODO przedsiębiorcy dostosowali swoje działania do nowych przepisów o ochronie danych osobowych? Jak wynika z ankiety przeprowadzonej przez GDPR Community, pewność większości specjalistów co wdrożenia RODO w organizacjach wynosi mniej niż 50%. Co niepokojące, tylko 6% ankietowanych zagłosowało na „Większość jest zgodna z przepisami (80%<)”. Autorka tekstu […]

Omówienie wytycznych AEPD dotyczących walidacji systemów kryptograficznych do ochrony przetwarzania danych osobowych

W dobie cyfrowej, gdzie dane osobowe stają się coraz bardziej cenne, ochrona tych danych jest kluczowa. W tym kontekście, Agencja Ochrony Danych w Hiszpanii (AEPD) opracowała szereg wytycznych dotyczących walidacji systemów kryptograficznych, które mają na celu ochronę przetwarzania danych osobowych. Te wytyczne są nie tylko odpowiedzią na rosnące zagrożenia dla prywatności, ale także próbą zdefiniowania standardów, które pomogą organizacjom w zabezpieczaniu danych, którymi zarządzają.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki