Kasa zapomogowo-pożyczkowa a RODO
W listopadzie ze zdumieniem odkryłam, że 11 października weszła w życie ustawa o kasach zapomogowo-pożyczkowych. Wcześniej bardzo ogólne zasady funkcjonowania kas były określone w ustawie o związkach zawodowych i nie da się ukryć, że była naprawdę duża potrzeba wprowadzenia odrębnej ustawy regulującej zasady funkcjonowania kas. Przepisy zmieniają się bardzo dynamicznie i czasami łapię się na tym, jak w przypadku kasy, że nie odnotuję jakieś zmiany. Tym bardziej, że jako IOD nie siedzę z nosem w przepisach, tylko zajmuję się monitorowaniem zgodności z RODO, więc po określone przepisy sięgam, gdy są mi potrzebne do zweryfikowania legalności przetwarzania danych w ramach określonego przepisu.
Przypuszczam, że wspomniana ustawa o kasach zapomogowo-pożyczkowych (ustawa o KZP) będzie podlegała licznym nowelizacjom, bo już dzisiaj widać potrzebę zmian, więc weź proszę na to poprawkę i po przeczytaniu tego wpisu sięgnij do tekstu ustawy, żeby sprawdzić, czy nie zostały w niej wprowadzone istotne zmiany. Oczywiście w tym wpisie odnoszę się do kwestii ochrony danych osobowych 🙂
Administrator danych
Zgodnie z ustawą o KZP, administratorem członków kasy, poręczycieli oraz innych osób uprawnionych jest kasa zapomogowo-pożyczkowa (art. 43 ust. 7 ustawy). Jest to bardzo ważna informacja dla zarządu kasy działającej przy określonym pracodawcy. Nie ma znaczenia, że kasa działa na terenie zakładu pracy, że korzysta z zasobów administracyjnych pracodawcy, to kasa jest administratorem danych, a zarząd kasy ponosi odpowiedzialność za zapewnienie przetwarzania danych zgodnie z RODO.
Muszę tutaj zaznaczyć, że już wcześniej KZP była uważana za odrębnego administratora. Pisaliśmy o tym w Kodeksie RODO dla bibliotek. Prezes UODO także wydał opinię w tym zakresie.
Warunki legalizujące przetwarzanie
Przetwarzanie danych na potrzeby członkostwa (przyjęcie, składki, udział w zebraniach)
Dotychczas przepisy nie regulowały kwestii przetwarzania danych osobowych członków kasy. Wydawało się, że były dwie możliwości: zgoda członka kasy na przystąpienie do kasy i przetwarzanie jego danych w tym celu lub umowa zawarta z członkiem kasy w momencie podpisania przez niego deklaracji członkowskiej. Moim zdaniem właściwsze było przyjęcie, że podstawą przetwarzania danych członkow KZP jest zawarta z nimi umowa, ponieważ przystępując do KZP, członek akceptował zasady jej funkcjonowania, nabywał także swoje prawa i obowiązki członka. Zgoda moim zdaniem nie była właściwa, właśnie ze względu na konieczność przestrzegania przez członków kasy obowiązków wynikających ze statutu oraz uchwał.
W ustawie o KZP ten dylemat został rozwiązany. Zgodnie z art. 43 ust. 1 ustawy o KZP: Przetwarzanie przez KZP danych osobowych w celu realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń, następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela. Moim zdaniem o ile faktycznie członkostwo w KZP może być oparte o zgodę członka, uznanie, że dochodzenie praw lub roszczeń przez KZP w związku z przyznanymi pożyczkami, wydaje się niewłaściwe. Biorąc pod uwagę możliwość wycofania zgody w dowolnym momencie należałoby uznać, że wycofanie zgody stanowi furtkę do niespłacania pożyczki, zarónwo przez członka, jak i jego poręczycieli. Dodam, że nie można uczynić zgody „niodwoływalną” – byłoby to niezgodne z przepisami art. 7 RODO. Moim zdaniem w tym wypadku jedynym rozsądym wyjściem jest uznanie, że zgoda stanowi podstawę przyjęcia w poczet członków i przetwarzania danych w sprawach związanych z członkostwem. Natomiast należy wyłączyć tutaj kwestie zawierania umów pożyczki oraz ich spłaty lub dochodzenia roszczeń.
Przetwarzanie danych w związku z umową pożyczki
Pożyczki przez KZP są przyznawane na podstawie umowy zawartej z członkiem kasy, będącym pożyczkobiorcą, a także jego poręczycielami (art. 35 ustawy o KZP). Moim zdaniem wyraźnie odróżnia to kwestię przetwarzania danych na potrzeby członkostwa od przetwarzania w związku z przyznaniem pożyczki oraz jej spłatą. W tym wypadku należy uznać, że podstawą przetwarzania danych pożyczkobiorcy i jego poręczyceli będzie umowa z nimi zawarta, zgodnie z art. 6 ust. 1 lit. b RODO. Oczywiście o ile ktoś nie wpadnie na „genialny” pomysł, aby w treść umowy wrzucić zgodę na przetwarzanie danych w celu zawarcia i realizacji umowy pożyczki. Wtedy znowu pojawi się furtka na wycofanie zgody w celu uniknięcia spłaty.
Zakres przetwarzanych danych
W art. 43 wskzano także bardzo precyzyjnie, jakie dane przetwarza KZP.
W przypadku członka będą to:
- imię (imiona) i nazwisko
- PESEL, a w przypadku braku numeru PESEL – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało
- adres do korespondencji oraz numer telefonu lub adres poczty elektronicznej
- stan cywilny oraz ustrój majątkowy
- stan zdrowia (w przypadku starania się o zapomogę)
- otrzymywane wynagrodzenie lub zasiłek
W przypadku osoby uprawnionej do otrzymania wkładu członkowskiego w razie śmierci członka KZP:
- imię (imiona) i nazwisko
- PESEL, a w przypadku braku numeru PESEL – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało
- adres do korespondencji oraz numer telefonu lub adres poczty elektronicznej
W przypadku poręczyciela KZP będzie przetwarzać dane:
- imię (imiona) i nazwisko
- PESEL, a w przypadku braku numeru PESEL – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało
- adres do korespondencji oraz numer telefonu lub adres poczty elektronicznej
- stan cywilny oraz ustrój majątkowy
Obowiązki informacyjne
KZP będąc administratorem danych jest zobligowana do realizowania obowiązków informacyjnych zgodnie z art. 13 i 14 RODO. Moim zdaniem powinna posiadać przynajmniej trzy klauzule: dla członków na wniosku o przyjęcie, dla osób wskazanych przez członka KZP to otrzymnai jego wkładu w przypadku śmierci oraz w treści umowy pożyczki.
Czas przechowywnia danych
Wcześniej brakowało sprecyzowanych wytycznych w zakresie czasu przetwarzania poszczególnych kategorii danych przez kasę. W art. 43 ust. 5 wskazano prezyjne terminy przechowywania danych, a w ust. 6 pojawił się obowiązek niezwłocznego niszczenia danych po upływie tych terminów. Czas przechowywania danych przez KZP wynosi:
- Dane członków KZP są przetwarzane przez okres trwania członkostwa, a następnie 10 kolejnych lat.
- Dane osoby, uprawnionej do otrzymania wkładu w przypadku śmierci członka KZP przez okres, gdy jest wskazana jako uprawniona, a w przypadku śmierci członka, przez 5 kolejnych lat po wypłacie wkładu.
- Dane poręczycieli przez okres spłaty pożyczki, a następnie przez 5 kolejnych lat od dnia spłaty poręczanej pożyczki.
Status pracodawcy
Pracodawca jest odrębnym administratorem, któremu KZP udostępnia dane w celu realizacji jego obowiązków wskazanych w ustawie o KZP. Jego uprawnienie do przetwarzania danych członków wynika z art. 43 ust. 8 ustawy o KZP.