Kadry i Płace w Administracji

Strona główna » Wrzesień - Październik 2019 » Stosunek pracy » Ochrona danych osobowych w PKZP
 
Tomasz Cygan

Ochrona danych osobowych w PKZP

Jednym z obszarów przetwarzania danych osobowych pracowników wywołującym pewne wątpliwości jest działalność pracowniczych kas zapomogowo-pożyczkowych. Można spotkać się z problemami dotyczącymi oznaczenia administratora, podstaw prawnych przetwarzania danych osobowych członków kas, a także określenia wzajemnych relacji pomiędzy kasą a pracodawcą.

Zgodnie z treścią art. 39 ust. 1 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (dalej: uzz) u pracodawców mogą być tworzone pracownicze kasy zapomogowo-pożyczkowe (dalej: PKZP), których członkami mogą być osoby wykonujące pracę zarobkową, emeryci i renciści bez względu na przynależność związkową. Nadzór społeczny nad tymi kasami sprawują związki zawodowe. Z kolei szczegółowe zasady organizowania i działania kas oraz obowiązki zakładów pracy zostały określone w rozporządzeniu Rady Ministrów z dnia 19 grudnia 1992 r. w sprawie pracowniczych kas zapomogowo-pożyczkowych oraz spółdzielczych kas oszczędnościowo-kredytowych w zakładach pracy (DzU nr 100, poz. 502; dalej: rozporządzenie w sprawie PKZP).

To właśnie jego przepisy dostarczają materiału do oceny funkcjonowania PKZP w kontekście przepisów o ochronie danych osobowych.

Kto jest administratorem danych?

Odpowiedzialność za realizację obowiązków wiążących się z ochroną danych osobowych obciąża przede wszystkim administratora. W związku z tym należy rozważyć, kto – pracodawca czy PKZP – pełni tę rolę. Zgodnie z treścią art. 4 pkt 7 rodo „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Prawodawca unijny w tym przepisie wskazuje, że dla określania roli administratora nie ma znaczenia jego forma prawna czy posiadanie osobowości prawnej. Rozstrzygające znaczenie ma jedynie określanie celów i sposobów przetwarzania danych osobowych. Ustawodawca w art. 39 ust. 1 uzz w zasadzie wyklucza pracodawcę jako administratora danych. Wskazuje bowiem, że „u pracodawców mogą być tworzone kasy zapomogowo-pożyczkowe”.

Rolę administratora danych osobowych przetwarzanych przez kasę zapomogowo-pożyczkową można by przypisać pracodawcy, gdyby przepis brzmiał „pracodawca tworzy kasę zapomogowo-pożyczkową”. Tytułem przykładu można wskazać zakładowy fundusz świadczeń socjalnych, w przypadku którego art. 3 ust. 1 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (DzU z 2019 r., poz. 1352) przesądza o statusie administratora. Zgodnie z jego treścią „fundusz tworzą pracodawcy (…)”. Natomiast w przypadku kasy zapomogowo-pożyczkowej brakuje podobnej regulacji. Co więcej, nadzór społeczny nad kasami sprawują związki zawodowe. Jednocześnie rozporządzenie w sprawie PKZP określa w sposób autonomiczny choćby:

  • utworzenie PZKP – „O utworzeniu PKZP (…) decydują założyciele, którzy uchwalają statut i dokonują wyboru organów przewidzianych w statucie” (§ 3);
  • cele PKZP – „Celem PKZP jest udzielanie członkom pomocy materialnej w formie pożyczek długo- i krótkoterminowych oraz zapomóg – w miarę posiadanych środków – na zasadach określonych w statucie” (§ 6);
  • organy PKZP i ich kompetencje (§ 13–§ 27).

W przypadku PKZP rolę administratora pełni sama kasa. Oznacza to, że na PKZP ciążą obowiązki wynikające z przepisów o ochronie danych osobowych.

Obowiązki spoczywające na administratorze

Pracownicze kasy zapomogowo-pożyczkowe są zobowiązane do realizacji zasad przetwarzania danych osobowych określonych w art. 5 ust. 1 rodo. Zgodnie z jego treścią dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach  i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

W przypadku zapewnienia zgodności z prawem przetwarzania danych osobowych PKZP musi określić podstawę prawną przetwarzania. Co jednak istotne, w przypadku PKZP może pojawić się konieczność przetwarzania szczególnych kategorii danych osobowych określonych w art. 9 ust. 1 rodo (dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby). Wynika to z brzmienia § 9 pkt 3 rozporządzenia w sprawie PKZP, który wskazuje, że członek PKZP ma prawo w razie wydarzeń losowych ubiegać się o udzielenie zapomogi, co może wiązać się z przekazaniem danych o zdrowiu uzasadniających udzielenie zapomogi. W związku z tym konieczne jest rozważenie podstaw prawnych określonych zarówno w art. 6 ust. 1 rodo (podstawy prawne przetwarzania danych osobowych innych niż szczególne kategorie danych osobowych), jak i w art. 9 ust. 2 rodo (podstawy prawne przetwarzania szczególnych kategorii danych osobowych).

W przypadku art. 6 ust. 1 rodo podstawą prawną przetwarzania danych osobowych członków PKZP będzie:

  • art. 6 ust. 1 lit. b rodo – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy w zakresie zawieranych umów z członkami PKZP;
  • art. 6 ust. 1 lit. c rodo – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze w zakresie realizacji obowiązków podatkowych ciążących na PKZP;
  • art. 6 ust. 1 lit. f rodo – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem, w zakresie realizacji celów PKZP oraz prowadzenia czynności windykacyjnych.

[...]

Tomasz Cygan
adwokat, konsultant, wykładowca, autor publikacji, współautor bloga o ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.