iSecure logo
Blog

Ustawa o kasach zapomogowo pożyczkowych – czy zgoda jest właściwą podstawą prawną przetwarzania danych osobowych?

W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych zarówno członków KZP, poręczycieli jak i osób uprawnionych. Nic bardziej mylnego, analiza znowelizowanych przepisów przysparza jednak problemów w zakresie doboru właściwej podstawy prawnej przetwarzania danych osobowych w/w osób.

Art. 43 ust. 1 ustawy o kasach zapomogowo pożyczkowych wskazuje, iż:

Przetwarzanie przez KZP danych osobowych w celu realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń, następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela.

Ustawa o kasach zapomogowo pożyczkowych określa zasady tworzenia, organizowania i działania u pracodawcy kasy zapomogowo-pożyczkowej oraz jej likwidacji. Celem jej działania jest udzielanie jej członkom pomocy materialnej w formie nieoprocentowanych pożyczek, a w miarę posiadanych środków także zapomóg. Ustawa w dość szczegółowy sposób precyzuje zarówno prawa (m.in. gromadzenia wkładów członkowskich, zaciągania pożyczek) i obowiązki (m.in. wpłata wpisowego, wplata miesięcznych wkładów członkowskich) członków KZP.

Powołany przepis wskazuje zatem, iż dane przetwarzane są w celu realizacji zadań ustawowych (a więc intuicyjnym jest przypisanie temu podstawy wynikającej z art. 6 ust. 1 lit. c RODO), określając jednocześnie, iż podstawą takiego przetwarzania powinna być zgoda udzielona w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela (a zatem art. 6 ust. 1 lit. a RODO).

Mając na uwadze to, że zgoda jako podstawa prawna przetwarzania danych osobowych powinna być stosowana wówczas, kiedy nie ma możliwości zastosowania innej przesłanki legalizacyjnej oraz z uwagi na określone w w/w ustawie szczegółowe zasady funkcjonowania KZP, prawa i obowiązki jej członków, osób uprawnionych oraz poręczycieli, prawidłowym wydaje się zastosowanie podstawy prawnej jaką jest niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Kasa zapomogowo pożyczkowa jako administrator danych osobowych jej członków, osób uprawnionych oraz poręczycieli posiada stosowne (wynikające z ustawy) podstawy pozyskiwania i przetwarzania danych i czynności te nie powinny być determinowane wcześniejszym pozyskaniem zgody.

Próbując zrozumieć wskazanie zgody jako podstawy prawnej przetwarzania sięgam do art.

11 ustawy o KZP, który stanowi, iż:

Osoba wykonująca pracę zarobkową u danego pracodawcy jest przyjmowana w poczet członków KZP na podstawie deklaracji złożonej w formie pisemnej, dokumentowej lub elektronicznej.

I rzeczywiście analiza powyższego artykułu pozwala twierdzić, iż samo członkostwo może, a nawet powinno być oparte o zgodę złożoną w formie pisemnej deklaracji. Niemniej jednak uznanie zgody jako podstawy przetwarzania danych w całym procesie jakim jest członkostwo w KZP wydaje się niewłaściwe. Mając na uwadze możliwość wycofania zgody w dowolnym momencie, przyjąć należałoby, iż rezygnacja z niej oznaczać będzie brak możliwości realizacji ustawowych zdań ciążących na KZP.

Problem ten zauważył również Urząd Ochrony Danych Osobowych, który w Newsletterze nr 2/2022 Luty 2022 podniósł, iż:

(…) wskazywanie na przesłankę zgody jako jedyną uzasadniającą proces przetwarzania danych w omawianej sytuacji prowadzi do błędnego przekonania, że jest ona podstawą realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń. Tymczasem przetwarzanie danych osobowych członków KZP w tych celach jest niezbędne w celu realizacji ustawowych zadań KZP wyszczególnionych w art. 43 ustawy. Również wskazanie osoby uprawnionej wynika z przepisów ustawy (art. 12 ust. 1 pkt 4 ustawy o KZP). Z kolei poręczenie jest instytucją cywilnoprawną (uregulowaną w art. 876 i następnych ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny), w związku z czym poręczyciel nie musi wyrażać zgody na przetwarzanie danych, ponieważ z mocy przepisów staje się osobą uprawnioną. Takie brzmienie analizowanych przepisów stoi w sprzeczności z RODO, które w wielu motywach wskazuje na konieczność szczególnie starannego przyjrzenia się warunkom udzielania zgód. Nie są one przykładowo niezbędne tam, gdzie podstawa przetwarzania wynika z istniejącego przepisu prawa czy z zawartej umowy.

Urząd Ochrony Danych Osobowych nie poprzestał jedynie na wyrażeniu powyżej opinii. Jak informuje w Newsletterze, wystąpił do Minister Rodziny i Polityki Społecznej i wskazał, że jeżeli podstawą przetwarzania danych osobowych jest przepis prawa (art. 43 ustawy o KZP), nie można równocześnie traktować zgody jako przesłanki przetwarzania danych osobowych na realizację tego samego celu.

Pobierz wpis w wersji pdf

Podobne wpisy:

Formularz kontaktowy – jaka podstawa prawna do udzielenia odpowiedzi?

Możliwość kontaktu to podstawa.   Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres […]

10 błędów przy wdrożeniu RODO – „papierowe” wdrożenie

Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji. Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów […]

Dzień z życia IOD-y – fabularyzowany opis obsługi incydentu – wszelkie podobieństwa do osób/klientów/niepotrzebne skreślić przypadkowe ;-)

I znowu mamy poniedziałek. W dodatku poniedziałek po długim weekendzie. Bajka…. Już z samego rana wszystkim IOD towarzyszy myśl, czy będzie to bajka, w której będzie nam towarzyszyć armia dobrych wróżek oraz krasnoludków (wiadomo – im większy zespół, tym więcej rąk do pracy), czy raczej zjawi się zła królowa, chcąca wcisnąć nam zatrute jabłko. Najważniejsze […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki