iSecure logo
Blog

Ustawa o kasach zapomogowo pożyczkowych – czy zgoda jest właściwą podstawą prawną przetwarzania danych osobowych?

W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych zarówno członków KZP, poręczycieli jak i osób uprawnionych. Nic bardziej mylnego, analiza znowelizowanych przepisów przysparza jednak problemów w zakresie doboru właściwej podstawy prawnej przetwarzania danych osobowych w/w osób.

Art. 43 ust. 1 ustawy o kasach zapomogowo pożyczkowych wskazuje, iż:

Przetwarzanie przez KZP danych osobowych w celu realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń, następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela.

Ustawa o kasach zapomogowo pożyczkowych określa zasady tworzenia, organizowania i działania u pracodawcy kasy zapomogowo-pożyczkowej oraz jej likwidacji. Celem jej działania jest udzielanie jej członkom pomocy materialnej w formie nieoprocentowanych pożyczek, a w miarę posiadanych środków także zapomóg. Ustawa w dość szczegółowy sposób precyzuje zarówno prawa (m.in. gromadzenia wkładów członkowskich, zaciągania pożyczek) i obowiązki (m.in. wpłata wpisowego, wplata miesięcznych wkładów członkowskich) członków KZP.

Powołany przepis wskazuje zatem, iż dane przetwarzane są w celu realizacji zadań ustawowych (a więc intuicyjnym jest przypisanie temu podstawy wynikającej z art. 6 ust. 1 lit. c RODO), określając jednocześnie, iż podstawą takiego przetwarzania powinna być zgoda udzielona w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela (a zatem art. 6 ust. 1 lit. a RODO).

Mając na uwadze to, że zgoda jako podstawa prawna przetwarzania danych osobowych powinna być stosowana wówczas, kiedy nie ma możliwości zastosowania innej przesłanki legalizacyjnej oraz z uwagi na określone w w/w ustawie szczegółowe zasady funkcjonowania KZP, prawa i obowiązki jej członków, osób uprawnionych oraz poręczycieli, prawidłowym wydaje się zastosowanie podstawy prawnej jaką jest niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Kasa zapomogowo pożyczkowa jako administrator danych osobowych jej członków, osób uprawnionych oraz poręczycieli posiada stosowne (wynikające z ustawy) podstawy pozyskiwania i przetwarzania danych i czynności te nie powinny być determinowane wcześniejszym pozyskaniem zgody.

Próbując zrozumieć wskazanie zgody jako podstawy prawnej przetwarzania sięgam do art.

11 ustawy o KZP, który stanowi, iż:

Osoba wykonująca pracę zarobkową u danego pracodawcy jest przyjmowana w poczet członków KZP na podstawie deklaracji złożonej w formie pisemnej, dokumentowej lub elektronicznej.

I rzeczywiście analiza powyższego artykułu pozwala twierdzić, iż samo członkostwo może, a nawet powinno być oparte o zgodę złożoną w formie pisemnej deklaracji. Niemniej jednak uznanie zgody jako podstawy przetwarzania danych w całym procesie jakim jest członkostwo w KZP wydaje się niewłaściwe. Mając na uwadze możliwość wycofania zgody w dowolnym momencie, przyjąć należałoby, iż rezygnacja z niej oznaczać będzie brak możliwości realizacji ustawowych zdań ciążących na KZP.

Problem ten zauważył również Urząd Ochrony Danych Osobowych, który w Newsletterze nr 2/2022 Luty 2022 podniósł, iż:

(…) wskazywanie na przesłankę zgody jako jedyną uzasadniającą proces przetwarzania danych w omawianej sytuacji prowadzi do błędnego przekonania, że jest ona podstawą realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń. Tymczasem przetwarzanie danych osobowych członków KZP w tych celach jest niezbędne w celu realizacji ustawowych zadań KZP wyszczególnionych w art. 43 ustawy. Również wskazanie osoby uprawnionej wynika z przepisów ustawy (art. 12 ust. 1 pkt 4 ustawy o KZP). Z kolei poręczenie jest instytucją cywilnoprawną (uregulowaną w art. 876 i następnych ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny), w związku z czym poręczyciel nie musi wyrażać zgody na przetwarzanie danych, ponieważ z mocy przepisów staje się osobą uprawnioną. Takie brzmienie analizowanych przepisów stoi w sprzeczności z RODO, które w wielu motywach wskazuje na konieczność szczególnie starannego przyjrzenia się warunkom udzielania zgód. Nie są one przykładowo niezbędne tam, gdzie podstawa przetwarzania wynika z istniejącego przepisu prawa czy z zawartej umowy.

Urząd Ochrony Danych Osobowych nie poprzestał jedynie na wyrażeniu powyżej opinii. Jak informuje w Newsletterze, wystąpił do Minister Rodziny i Polityki Społecznej i wskazał, że jeżeli podstawą przetwarzania danych osobowych jest przepis prawa (art. 43 ustawy o KZP), nie można równocześnie traktować zgody jako przesłanki przetwarzania danych osobowych na realizację tego samego celu.

Pobierz wpis w wersji pdf

Podobne wpisy:

Raport DLA Piper: Kary za naruszenia RODO i incydenty związane z ochroną danych

Pod koniec stycznia eksperci DLA Piper przedstawili wyniki raportu „GDPR Fines and Data Breach Survey[1]” (Raport dotyczący kar za naruszenia RODO oraz incydentów związanych z danymi) z okazji obchodów Europejskiego Dnia Ochrony Danych. Raport obejmuje 31 krajów europejskich. To już siódma edycja corocznego raportu DLA Piper, która wybitnie podsumowuje trendy na „rynku ochrony danych osobowych” […]

Kurs ochrony danych osobowych przez e-mail

Żądanie usunięcia danych osobowych

Wejście RODO w życie sprawiło, że upowszechniona została wiedza o prawach przysługujących osobom, których dane dotyczą. Z różnych przyczyn osoby takie kierują do administratorów swoje żądania, a to z kolei oznacza, że administrator danych musi się z nimi zmierzyć, pochylić nad ich zasadnością. Dzisiejszy wpis będzie traktował o jednym z takich praw, jakim jest prawo […]

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Czy musimy mieć zgodę na ciasteczka? Wskazówek irlandzkiego organu ciąg dalszy

Kontynuujemy wpis z ubiegłego miesiąca. Opisałem w nim wnioski z dokonanego przez Irlandzki Organ Ochrony Danych Osobowych (IDPC – Irish Data Protection Commision) audytu stron internetowych 38 administratorów danych. Teraz nadszedł czas na przedstawienie wskazówek, jakie zaprezentował wspomniany organ. Wstępne rozważania organu o plikach śledzących Na wstępie IDPC zaznacza, że nie tylko ciasteczkami człowiek żyje. […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki