W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych zarówno członków KZP, poręczycieli jak i osób uprawnionych. Nic bardziej mylnego, analiza znowelizowanych przepisów przysparza jednak problemów w zakresie doboru właściwej podstawy prawnej przetwarzania danych osobowych w/w osób.
Art. 43 ust. 1 ustawy o kasach zapomogowo pożyczkowych wskazuje, iż:
Przetwarzanie przez KZP danych osobowych w celu realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń, następuje na podstawie zgody udzielonej w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela.
Ustawa o kasach zapomogowo pożyczkowych określa zasady tworzenia, organizowania i działania u pracodawcy kasy zapomogowo-pożyczkowej oraz jej likwidacji. Celem jej działania jest udzielanie jej członkom pomocy materialnej w formie nieoprocentowanych pożyczek, a w miarę posiadanych środków także zapomóg. Ustawa w dość szczegółowy sposób precyzuje zarówno prawa (m.in. gromadzenia wkładów członkowskich, zaciągania pożyczek) i obowiązki (m.in. wpłata wpisowego, wplata miesięcznych wkładów członkowskich) członków KZP.
Powołany przepis wskazuje zatem, iż dane przetwarzane są w celu realizacji zadań ustawowych (a więc intuicyjnym jest przypisanie temu podstawy wynikającej z art. 6 ust. 1 lit. c RODO), określając jednocześnie, iż podstawą takiego przetwarzania powinna być zgoda udzielona w formie oświadczenia członka KZP, osoby uprawnionej lub poręczyciela (a zatem art. 6 ust. 1 lit. a RODO).
Mając na uwadze to, że zgoda jako podstawa prawna przetwarzania danych osobowych powinna być stosowana wówczas, kiedy nie ma możliwości zastosowania innej przesłanki legalizacyjnej oraz z uwagi na określone w w/w ustawie szczegółowe zasady funkcjonowania KZP, prawa i obowiązki jej członków, osób uprawnionych oraz poręczycieli, prawidłowym wydaje się zastosowanie podstawy prawnej jaką jest niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).
Kasa zapomogowo pożyczkowa jako administrator danych osobowych jej członków, osób uprawnionych oraz poręczycieli posiada stosowne (wynikające z ustawy) podstawy pozyskiwania i przetwarzania danych i czynności te nie powinny być determinowane wcześniejszym pozyskaniem zgody.
Próbując zrozumieć wskazanie zgody jako podstawy prawnej przetwarzania sięgam do art.
11 ustawy o KZP, który stanowi, iż:
Osoba wykonująca pracę zarobkową u danego pracodawcy jest przyjmowana w poczet członków KZP na podstawie deklaracji złożonej w formie pisemnej, dokumentowej lub elektronicznej.
I rzeczywiście analiza powyższego artykułu pozwala twierdzić, iż samo członkostwo może, a nawet powinno być oparte o zgodę złożoną w formie pisemnej deklaracji. Niemniej jednak uznanie zgody jako podstawy przetwarzania danych w całym procesie jakim jest członkostwo w KZP wydaje się niewłaściwe. Mając na uwadze możliwość wycofania zgody w dowolnym momencie, przyjąć należałoby, iż rezygnacja z niej oznaczać będzie brak możliwości realizacji ustawowych zdań ciążących na KZP.
Problem ten zauważył również Urząd Ochrony Danych Osobowych, który w Newsletterze nr 2/2022 Luty 2022 podniósł, iż:
(…) wskazywanie na przesłankę zgody jako jedyną uzasadniającą proces przetwarzania danych w omawianej sytuacji prowadzi do błędnego przekonania, że jest ona podstawą realizacji zadań ustawowych związanych z członkostwem w KZP, w tym gromadzeniem wkładów członkowskich oraz udzielaniem pomocy materialnej w formie pożyczek lub zapomóg, a także dochodzeniem związanych z nimi praw lub roszczeń. Tymczasem przetwarzanie danych osobowych członków KZP w tych celach jest niezbędne w celu realizacji ustawowych zadań KZP wyszczególnionych w art. 43 ustawy. Również wskazanie osoby uprawnionej wynika z przepisów ustawy (art. 12 ust. 1 pkt 4 ustawy o KZP). Z kolei poręczenie jest instytucją cywilnoprawną (uregulowaną w art. 876 i następnych ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny), w związku z czym poręczyciel nie musi wyrażać zgody na przetwarzanie danych, ponieważ z mocy przepisów staje się osobą uprawnioną. Takie brzmienie analizowanych przepisów stoi w sprzeczności z RODO, które w wielu motywach wskazuje na konieczność szczególnie starannego przyjrzenia się warunkom udzielania zgód. Nie są one przykładowo niezbędne tam, gdzie podstawa przetwarzania wynika z istniejącego przepisu prawa czy z zawartej umowy.
Urząd Ochrony Danych Osobowych nie poprzestał jedynie na wyrażeniu powyżej opinii. Jak informuje w Newsletterze, wystąpił do Minister Rodziny i Polityki Społecznej i wskazał, że jeżeli podstawą przetwarzania danych osobowych jest przepis prawa (art. 43 ustawy o KZP), nie można równocześnie traktować zgody jako przesłanki przetwarzania danych osobowych na realizację tego samego celu.