Obecny stan prawny regulują przepisy ZwZawU oraz rozporządzenia Rady Ministrów z 19.12.1992 r. w sprawie pracowniczych kas zapomogowo‑pożyczkowych oraz spółdzielczych kas oszczędnościowo-kredytowych w zakładach pracy (Dz.U. z 1992 r. poz. 502; dalej: rozporządzenie), wydanego na podstawie art. 39 ust. 5 ZwZawU. Ponadto w dniu 1 stycznia 2019 r. weszła w życie ustawa z  5.7.2018 r. o zmianie ustawy o związkach zawodowych oraz niektórych innych ustaw.

Ta ostatnia nowelizacja spowodowała szereg zmian, które doprowadziły do omawianej nowelizacji. 

Kontrola kasy

W uzasadnieniu do ustawy wskazano, że regulacja należy do prawa prywatnego, a nie do prawa publicznego, zatem podmioty, które mogą sprawować nadzór społeczny nad KZP, nie mają środków umożliwiających władczą ingerencję w działalność: stąd zmiana słowa „nadzór” na „kontrola”.

W pierwszej kolejności kontrolę nad KZP sprawuje zakładowa organizacja związkowa działająca u pracodawcy. W przypadku gdy u pracodawcy działa więcej niż jedna zakładowa organizacja związkowa, kontrolę nad KZP sprawują wspólnie te organizacje, tworząc wspólną reprezentację związkową, o której mowa w art. 30 ust. 4 ZwZawU.

Jeżeli u pracodawcy nie działa zakładowa organizacja związkowa, to wówczas kontrola nad KZP zostanie powierzona radzie pracowników, utworzonej na podstawie przepisów InfoPracowU.

Już zarządzanie nad kasą wymagać będzie dodatkowych danych. W art. 37 ust. 3 projektu do ustawy o kasach zapomogowo-pożyczkowych wyraźnie wskazano, że wzory podpisów osób mających prawo dysponowania rachunkami płatniczymi KZP zatwierdza zarząd. Ustawodawca wskazał więc expressis verbis obowiązek ich składania. 

Pomoc pracodawcy w zakresie RODO

W zakresie pomocy udzielanej kasie art. 6 projektu do ustawy o kasach zapomogowo-pożyczkowych określono zakres pomocy udzielanej KZP przez pracodawcę. Przepisy te stanowią w dużej mierze powtórzenie obecnie obowiązujących przepisów § 4 rozporządzenia. Pomoc pracodawcy w prowadzeniu księgowości i obsługi kasowej może w szczególności polegać na wyznaczeniu osoby posiadającej odpowiednie kwalifikacje do realizacji tych czynności. Udzielanie KZP pomocy prawnej ma na celu zagwarantowanie bezpieczeństwa prawnego KZP w jej bieżącej działalności (np. opiniowanie projektów umów lub uchwał, interpretacja obowiązujących przepisów, sporządzanie opinii prawnych).

Powyższe należy uzupełnić o wskazania Prezesa UODO, który wskazuje, że „wzajemne relacje pomiędzy tymi podmiotami w kwestiach nieuregulowanych przepisami rozporządzenia w sprawie PKZP powinny być określone, np. w porozumieniu lub umowie pomiędzy uprawnionymi podmiotami. W drodze wspólnych uzgodnień podmioty te powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. W myśl natomiast art. 26 ust. 2 RODO uzgodnienia, o których mowa w ust. 1, muszą należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą”.

Pracodawca, w ramach współadministrowania, może być uprawniony, np. do zapewnienia ochrony pomieszczeń, prowadzenia księgowości, obsługi kasowej i prawnej, dokonywania na rzecz PKZP potrąceń w listach płac, listach wypłat zasiłków chorobowych i zasiłków wychowawczych, wpisowego, wkładów miesięcznych i rat pożyczek. Należy wskazać, że co do zasady odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych w zakresie realizacji takich autonomicznych uprawnień kształtują przepisy prawa. Pracodawca i PKZP, w ramach wspólnych uzgodnień, powinni więc określić inne kwestie, nieuregulowane wprost w przepisach prawa, w tym m.in. kwestię nadawania upoważnień pracownikom wyznaczonym przez pracodawcę do prowadzenia księgowości, obsługi kasowej i prawnej PKZP, kwestię odpowiedniego zabezpieczenia danych osobowych członków PKZP czy też realizacji określonych obowiązków informacyjnych.

Ochrona danych osobowych – na co zwrócić uwagę?

Po pierwsze, członek KZP powinien przedłożyć oświadczenie tej osoby, z którego wynika, że wyraża ona zgodę na przetwarzanie jej danych osobowych przez KZP. Jest to wybór prawodawcy więc trzeba go zaakceptować.

Po drugie w art. 43 ust. 1 projektu do ustawy o kasach zapomogowo-pożyczkowych szczegółowo został określony cel przetwarzania przez KZP danych osobowych – jest nim realizacja zadań ustawowych związanych z członkostwem w KZP, w tym gromadzenie wkładów członkowskich oraz udzielanie pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzenie związanych z nimi praw. Doprecyzowano, że przetwarzanie danych osobowych następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela. 

Po trzecie jak wskazuje ustawodawca: „KZP może przetwarzać, opracowany w oparciu o zasady przetwarzania danych wynikające z art. 5 ust. 1 rozporządzenia RODO, tj. minimalizacji danych, ograniczenia celu, prawidłowości, ograniczenia przechowywania, rzetelności, przejrzystości, integralności i poufności. Z tego powodu zaproponowano, aby przetwarzanie przez KZP danych osobowych następowało z zachowaniem możliwości żądania ich udokumentowania jedynie w zakresie niezbędnym do ich potwierdzenia, w szczególności na podstawie oświadczenia i zaświadczenia np. o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej”.

Kwestia zasady minimalizmu została ujęta niezwykle szeroko. Stosownie do art. 43 (ust. 2) KZP przetwarza dane osobowe:

1)        członka KZP obejmujące:

  • imię (imiona) i nazwisko,
  • numer PESEL, a w przypadku braku numeru PESEL – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało,
  • adres do korespondencji oraz numer telefonu lub adres poczty elektronicznej,
  • stan cywilny oraz ustrój majątkowy,
  • stan zdrowia,
  • otrzymywane wynagrodzenie lub zasiłek;

2)        osoby uprawnionej obejmujące dane, o których mowa w pkt 1 lit. a–c;

3)        poręczyciela obejmujące dane, o których mowa w pkt 1 lit. a–d.

W związku z powyższym kluczowe będzie rozumienie przepisów art. 43 ust. 3 projektowanej ustawy, który wskazuje, że KZP może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Słowo może wskazywałoby, że nie jest to obowiązek, po drugie niezbędność do potwierdzenia. Wymagać to może sporo konsultacji od administratora oraz IOD dla opiniowania kwestii niezbędności do potwierdzenia.

Stosownie do art. 43 ust. 4 do przetwarzania danych osobowych, o których mowa w ust. 2, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez zarząd. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy oraz ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem. Zgodnie z poprzednimi wytycznymi Prezesa UODO – słowo pisemnie – oznacza również wersję elektroniczną.

Na plus należy wskazać, że przepisy wskazują również okres przetwarzania danych KZP przetwarza dane osobowe, o których mowa w ust. 2:

  • pkt 1 – od dnia złożenia oświadczenia, o którym mowa w ust. 1, do upływu 10 lat od dnia ustania członkostwa;
  • pkt 2 – od dnia złożenia oświadczenia, o którym mowa w ust. 1, do upływu 5 lat od dnia wypłaty wkładu członkowskiego;
  • pkt 3 – od dnia złożenia oświadczenia, o którym mowa w ust. 1, do upływu 5 lat od dnia spłaty poręczanej pożyczki.

Powyższe należy uzupełnić o dwa spostrzeżenia po pierwsze upływ terminów wskazanych powyżej obliguje administratora do niezwłocznego zniszczenia dokumentów zawierających dane osobowe w wersji papierowej i trwałego ich usunięcia z nośników elektronicznych. Po drugie Zarząd dokonuje przeglądu danych osobowych, o których mowa w ust. 2, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Zarząd usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu określonego w ust. 1.

Jak widać z powyższego konieczne będą istotne zmiany statutów, chociażby w zakresie RODO, a przecież zmiany dotyczą każdego aspektu działalności.

Przetwarzanie danych poręczycieli

W zakresie udzielania pożyczek należy również mieć na względzie art. 35 ust. 3 projektu do ustawy o kasach zapomogowo-pożyczkowych, który przesądza, że jeżeli suma pożyczki przekracza wysokość zgromadzonego wkładu członkowskiego, warunkiem udzielenia pożyczki jest zobowiązanie się co najmniej dwóch poręczycieli do spłaty zadłużenia członka KZP, w przypadku gdyby członek KZP nie spłacił zadłużenia w terminie. Statut KZP może określać inne warunki udzielenia pożyczki (…)”.

Ustawa przewiduje ponadto, że poręczyciel powinien spełniać poniższe wymagania. Oznaczać to będzie automatycznie obowiązek przetwarzania jego danych.

Poręczycielem może być osoba wykonująca pracę zarobkową u pracodawcy, u którego działa KZP, jeżeli (art. 35 ust. 4 projektu do ustawy o kasach zapomogowo-pożyczkowych):

  • świadczy pracę przez okres nie krótszy niż 6 miesięcy;
  • umowa lub inny akt, na podstawie których osoba wykonująca pracę zarobkową świadczy pracę, zostały zawarte co najmniej na okres spłaty pożyczki przez członka KZP;
  • stosunek prawny łączący ją z pracodawcą nie został wypowiedziany;
  • nie jest małżonkiem pożyczkobiorcy, chyba że między małżonkami została ustanowiona rozdzielność majątkowa (…)”.

Ostatecznie w zakresie przetwarzania danych poręczyciela należy wskazać, że  wraz z zobowiązaniem, (…), poręczyciel wyraża zgodę na potrącanie z przysługującego mu od pracodawcy wynagrodzenia lub zasiłku zobowiązań z tytułu pożyczki udzielonej członkowi KZP.

Administrator został zobligowany do informowania poręczycieli  (art. 39 ust. 1 projektu do ustawy o kasach zapomogowo-pożyczkowych) w razie opóźnienia w spłacie zadłużenia, KZP wzywa dłużnika na piśmie do uregulowania należności, wyznaczając mu termin spłaty, ust. 2. kopię wezwania, o którym mowa w ust. 1, doręcza się poręczycielom.

Ze względu na przyjęte rozwiązania wyraźnie należy wskazać, że zgoda będzie podstawową przesłanką przetwarzania. Biorąc pod uwagę, że zakres danych będzie również obejmować dane szczególnie chronione w rozumieniu art. 9 ust. 1 RODO, to właściwymi przesłankami przetwarzania będą art. 6 ust 1 lit a) RODO oraz art 9 ust 2 lit. a) RODO.

Pozostałe zmiany przepisów

Przepisy ustawy niektóre zagadnienia regulują w sposób stanowczy (jak np. liczba osób wykonujących pracę zarobkową niezbędna do założenia KZP czy też konieczność wpłaty przez członka KZP wpisowego w wysokości ustalonej przez walne zebranie członków), natomiast inne mogą być dowolnie regulowane przez KZP. Zgodnie z projektowanym przepisem art. 16 ust. 1 organami KZP są: walne zebranie członków, zarząd i komisja rewizyjna. Zgodnie z projektowanym przepisem art. 16 ust. 2, jeżeli KZP liczy więcej niż 100 członków, zamiast walnego zebrania członków zarząd może zwołać walne zebranie delegatów.

Co istotne: zgodnie z art. 16 ust. 3 projektu do ustawy o kasach zapomogowo-pożyczkowych, organy KZP mogą obradować na posiedzeniach prowadzonych z wykorzystaniem środków komunikacji elektronicznej, o których mowa w art. 2 pkt 5 ŚwiadUsłElektU, co może obejmować w szczególności: 

  • transmisję posiedzenia w czasie rzeczywistym między uczestnikami posiedzenia; 
  • wielostronną komunikację w czasie rzeczywistym, w ramach której uczestnicy posiedzenia mogą wypowiadać się w jego toku;
  • identyfikację osoby, która korzysta ze środków komunikacji elektronicznej;
  • oddanie głosu z wykorzystaniem środków komunikacji elektronicznej.

Powyższe również należy ocenić pod względem RODO: korzystanie z tego rozwiązania wymagać będzie przeprowadzenie oceny skutków dla ochrony danych (tzw. DPIA), o którym mowa art. 35 ust. 1 RODO. Przepis ten wskazuje, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Wyraźnie należy wskazać, że dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych.

Podsumowanie

Jedyną stałą rzeczą jest zmiana. Dotknęła ona również kas zapomogo- pożyczkowych. Należy wskazać, że część rozwiązań należy ocenić jednoznacznie pozytywnie: zwłaszcza zdalne obrady. Niestety zdaniem autora zakres możliwych do przetwarzania danych osobowych jest szeroki. Oznaczać to będzie wytężoną pracę również dla inspektora ochrony danych, aby zasada minimalizmu była w sposób należyty realizowana. 

Źródła:

druk nr 1313, Rządowy projekt ustawy o kasach zapomogowo-pożyczkowych https://sip.legalis.pl/document-full.seam?documentId=mfrxilrtg4ytmnbrge2doltwmvzc4mjyg44ds

Kto jest administratorem w przypadku PKZP działającej przy pracodawcy?, https://uodo.gov.pl/pl/225/1619