Nowe otwarcie dla PKZP w świetle ustawy o KZP, na co warto zwrócić uwagę w kontekście ochrony danych osobowych.
Czym właściwie jest kasa zapomogowo-pożyczkowa? Dla niektórych jest to obecnie mało znany temat, wydawało by się wręcz, że to chyba jakiś twór z poprzedniej epoki. Nie jest tak do końca. Kasy zapomogowo-pożyczkowe to organizacje tworzone przez pracowników danego zakładu pracy. Ich celem jest udzielanie pomocy materialnej swoim członkom w formie pożyczek. Funkcjonują obecnie w wielu zakładach pracy, głównie w sektorze publicznym oraz dużych firm działających na rynku od dawna. Kasy zapomogowo pożyczkowe mogą być tworzone w przedsiębiorstwach, w których co najmniej 10 pracowników zadeklaruje gotowość przynależności do kasy, członkami mogą być również byli pracownicy danego zakładu. Udzielanie pożyczek przez kasy, odbywa się ze środków pochodzących ze składek członkowskich. W ramach statutu kas jest również przewidziane udzielanie zapomóg w wyniku zdarzeń losowych, przy czym jest to rzadko wykorzystywana forma, zwłaszcza w zakładach w których funkcjonuje Zakładowy Fundusz Świadczeń Socjalnych. Kas zapomogowych nie należy mylić z ZFŚS, który jest tworzony przez pracodawcę. Kasy funkcjonują przy pracodawcy, są od niego niezależne, korzystają jedynie ze wsparcia organizacyjno-prawnego pracodawcy, co z resztą przewiduje ustawa.
Sama idea tworzenia kas nie jest jednak tematem tego artykułu. To co chciałbym Państwu przybliżyć to kwestia ochrony danych osobowych w ramach ich funkcjonowania. W październiku 2021 roku weszła w życie ustawa o kasach zapomogowo-pożyczkowych (ustawa KZP), która wprowadza wiele zmian w ich funkcjonowaniu. Między innym w przepisie doprecyzowano wiele kwestii związanych z zasadami przetwarzania i ochrony danych osobowych, część tych przepisów budzi wątpliwości, ale o tym trochę później. Wiedzieliśmy już wcześniej, kto jest administratorem danych osobowych przetwarzanych w ramach kas. Co zatem reguluje nowa ustawa KZP w zakresie ochrony danych? Przede wszystkim wskazano przesłanki przetwarzania oraz zamknięty katalog danych, jakie kasa może przetwarzać, określono okres retencji danych, zasady ich przeglądu oraz obowiązek ustanowienia przez zarząd kasy, formalnych zasad przetwarzania i ochrony danych w ramach statutu.
Jakie najważniejsze wyzwania stoją przed Zarządem jako administratorem danych w kontekście przepisów ustawy KZP? Na pewno nie muszą wyznaczać Inspektora ochrony danych, tutaj przepisy nic w tej kwestii nie zmieniły, kasa nie podlega obowiązkowi wyznaczenia IODa w myśl przepisów art. 37 RODO. Art. 43 ust. 9 ustawy KZP mówi: Sposób przetwarzania danych oraz ich zabezpieczania reguluje statut KZP. Co to oznacza, mniej więcej tyle, że w ramach statutu należy wprowadzić procedury dotyczące zasad przetwarzania i ochrony danych, czyli po prostu politykę ochrony danych. Ustawa określa okres retencji i zakres danych jakie można przetwarzać. Wymagany jest więc przegląd obecnie posiadanych danych, wydzielenie takich do przetwarzania, których kasa nie ma podstawy lub ich okres przechowywania minął, a następnie ich usunięcie lub anonimizacja. Ustawa nakłada obowiązkowe przeglądy danych pod kątem retencji raz w roku, ten pierwszy przegląd będzie najtrudniejszy, bo obejmie całościowo wszystkie dotychczas zgromadzone dane, kolejne będą obejmować tylko lata bieżące. Celowo nie wspominam tutaj o innych oczywistych obowiązkach administratora tj. obowiązek informacyjny. Co do zasady, Administrator powinien uwzględnić takie wymagania na etapie projektowania, przed przystąpieniem do pozyskiwania danych. Błędnym założeniem jest, jakie wrażenie można dziś odnieść, że punktem wyjścia do obowiązku zastosowania RODO dla Zarządów kas jest obecna ustawa o KZP. Obowiązek taki powstał w momencie wejścia w życie RODO i kasa jako administrator powinna mieć to uregulowane.
Pozostaje również kwestia uregulowania wzajemnego przepływu danych pomiędzy kasą oraz pracodawcą. Zarówno kasa jak i pracodawca są odrębnymi administratorami danych. Ustawa podobnie jak uchylone już Rozporządzenie Rady Ministrów z dnia 19 grudnia 1992 r. w sprawie pracowniczych kas zapomogowo-pożyczkowych oraz spółdzielczych kas oszczędnościowo-kredytowych w zakładach pracy, przewiduje pomoc ze strony pracodawcy przy realizacji zadań PKZP m.in. prowadzenia księgowości, obsługi kasowej i prawnej, dokonywania na rzecz PKZP potrąceń w listach płac, listach wypłat zasiłków, wpisowego, wkładów miesięcznych i rat pożyczek, pomoc prawną. Jak wskazał w swoich rekomendacjach Urząd Ochrony Danych: „W ramach tak prawnie ukształtowanych relacji, można zasadnie uznać, że podmioty te (PKZP i pracodawca) współdziałają ze sobą, a zatem wspólnie ustalają cele i sposoby przetwarzania danych osobowych wykorzystywanych w tym celu, przetwarzają je więc jako współadministratorzy.”*. UODO rekomenduje więc zawarcie porozumienia o współadministrowaniu danymi osobowymi pomiędzy PKZP a pracodawcą. W porozumieniu, podmioty te powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności, dotyczącej wypełniania obowiązków wynikających z RODO wobec podmiotu danych oraz organu nadzorczego. Co konkretnie powinno regulować porozumienie współadministratorów, określa art. 26 RODO.
Kwestie współadministrowania to nie jedyne co w ostatnim czasie na temat kas i nowych przepisów powiedział Urząd Ochrony Danych Osobowych. Urząd na podstawie zgłaszanych przez administratorów uwag i problemów z zastosowaniem nowych przepisów, zakwestionował zgodność z RODO, pozyskiwanie zgody jako podstawy do przetwarzania danych w ramach PKZP, co z resztą wydaje się jak najbardziej uzasadnione.
Wątpliwości budzi również zakres danych określony w art. 43 ust. 2, nie przewidziano tam przetwarzania przez kasę numeru rachunku bankowego członka kasy. Z kolei art. 36 tej ustawy mówi o możliwość przetwarzania tego rodzaju danych, wskazując, że wypłata pożyczki lub zapomogi jest dokonywana przez KZP na wskazany przez jej członka rachunek płatniczy.
UODO, w ostatnim newsletterze dla IODów, informuje, że zwrócił się do Ministra Rodziny i Polityki Społecznej o analizę przepisów ustawy i dokonanie zmian tak, aby były zgodne z RODO. W związku z czym możemy się spodziewać nowelizacji przepisów i należy wziąć to pod uwagę, projektując zmiany w PKZP.
Ile czasu ma kasa na dostosowanie się do RODO? Co do zasady, jak już wcześniej wspomniałem Administrator uwzględnia takie wymagania na etapie projektowania, przed przystąpieniem do pozyskiwania danych. Błędnym założeniem jest, że punktem wyjścia do obowiązku zastosowania takich rozwiązań jest obecna ustawa o KZP. Obowiązek taki powstał w momencie wejścia w życie RODO lub utworzenia PKZP, jeżeli miał miejsce po wejściu w życie RODO. Niemniej ustawa z dnia 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych, uszczegóławia wiele spraw nie wynikających wprost z RODO, w związku z tym, niezależnie od obecnie posiadanych procedur wymagane jest dostosowanie się do obecnej ustawy i zgodnie z jej art. 67, mamy na to 18 miesięcy od dnia wejścia w życie tj. od 11 października 2021 roku.