Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Kto jest administratorem w przypadku PKZP działającej przy pracodawcy?

Który podmiot należy uznać za administratora danych przetwarzanych w ramach działalności Pracowniczej Kasy Zapomogowo – Pożyczkowej działającej przy pracodawcy? Czy między PKZP a pracodawcą, jeśli PKZP uzna się za administratora danych, powinna być zawarta umowa powierzania przetwarzania danych osobowych ? Czy w statucie PKZP można zawrzeć informację, że do przetwarzania danych osobowych stosuje się zasady opisane w Polityce Ochrony Danych obowiązującej u pracodawcy?

Przesądzenie, jaki jest status Pracowniczej Kasy Zapomogowo-Pożyczkowej (PKZP) działającej u danego pracodawcy i który z podmiotów (PKZP czy zakład pracy) jest, w świetle przepisów o ochronie danych osobowych, administratorem danych osobowych przetwarzanych w związku z działaniem PKZP, wymaga przede wszystkim dokonania analizy konkretnych przepisów mających zastosowanie w określonej sytuacji. O tym, czy dany podmiot jest administratorem, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji oraz wyznaczone przepisami prawa zadania. Definicja administratora wskazuje, że jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO).

W odniesieniu do pracodawcy to w ramach stosunku pracy powstają określone prawa i obowiązki pomiędzy pracodawcą a pracownikiem, których realizacja wiąże się z koniecznością przetwarzania danych pracownika (na podstawie odpowiednich przepisów Kodeksu pracy bądź też innych przepisów prawa).

Natomiast art. 39 ustawy z dnia z dnia 23 maja 1991 r. o związkach zawodowych przewiduje możliwość tworzenia u pracodawców PKZP. Członkami tych kas mogą być pracownicy, emeryci, renciści. Szczegółowe zasady organizowania i działania tych kas określa rozporządzenie Rady Ministrów z dnia 19 grudnia 1992 r. w sprawie pracowniczych kas zapomogowo-pożyczkowych oraz spółdzielczych kas oszczędnościowo-kredytowych w zakładach pracy (dalej: rozporządzenie w sprawie PKZP). Kasy te zostały powołane do udzielania jej członkom pomocy materialnej w formie pożyczek oraz zapomóg na zasadach określonych w statucie.

Zarówno pracodawca (zakład pracy), jak i PKZP, w zakresie przetwarzanych przez siebie danych osobowych, samodzielnie ustalają własne cele i sposoby ich przetwarzania, dlatego też zasadnie można uznać, że powinni być traktowani jako oddzielni administratorzy.

Natomiast w § 4 rozporządzenia w sprawie PKZP przewidziano pomoc ze strony pracodawcy (zakładu pracy) przy realizacji zadań PKZP (m.in. prowadzenia księgowości, obsługi kasowej i prawnej, dokonywania na rzecz PKZP potrąceń w listach płac, listach wypłat zasiłków chorobowych i zasiłków wychowawczych, wpisowego, wkładów miesięcznych i rat pożyczek, przyjmowania wpłat wnoszonych przez emerytów i rencistów oraz osoby przebywające na urlopach wychowawczych, odprowadzania wpłat na rachunek bankowy PKZP oraz informowania przynajmniej raz w roku członków kas o stanie ich wkładów i zadłużeń), a szczegółowe warunki świadczonej pomocy ma określać umowa zawierana pomiędzy pracodawcą a PKZP. W ramach tak prawnie ukształtowanych relacji, można zasadnie uznać, że podmioty te współdziałają ze sobą, a zatem wspólnie ustalają cele i sposoby przetwarzania danych osobowych wykorzystywanych w tym celu, przetwarzają je więc jako współadministratorzy.

Dlatego nie ma podstaw, aby w opisanym przypadku zawierać umowy powierzenia przetwarzania danych. Podmiot przetwarzający ma bowiem zupełnie inny status – przetwarza dane osobowe w imieniu administratora i w tym zakresie podlega jego kontroli.

Dlatego też wzajemne relacje pomiędzy tymi podmiotami w kwestiach nieuregulowanych przepisami rozporządzenia w sprawie PKZP powinny być określone, np. w porozumieniu lub umowie pomiędzy uprawnionymi podmiotami. W drodze wspólnych uzgodnień podmioty te powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. W myśl natomiast art. 26 ust. 2 RODO uzgodnienia, o których mowa w ust. 1, muszą należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

Takie wspólne uzgodnienia muszą uwzględniać faktyczne obowiązki pracodawcy i PKZP związane z przetwarzaniem danych osobowych członków PKZP, wynikające m.in. z przepisów rozporządzenia w sprawie PKZP. Zarówno pracodawca, jak i PKZP mają swoje autonomiczne uprawnienia, z którymi związane jest przetwarzanie danych osobowych członków w innych celach. Przykładowo, jedynie PKZP reprezentowana przez zarząd uprawniona jest do podejmowania decyzji co do przyjmowania członków PKZP i skreślania ich z listy, przyznawania pożyczek i ustalania okresów ich spłaty, podejmowania decyzji w sprawie odroczenia spłaty pożyczek czy przyznawania zapomóg.

Pracodawca, w ramach współadministrowania, może być uprawniony, np. do zapewnienia ochrony pomieszczeń, prowadzenia księgowości, obsługi kasowej i prawnej, dokonywania na rzecz PKZP potrąceń w listach płac, listach wypłat zasiłków chorobowych i zasiłków wychowawczych, wpisowego, wkładów miesięcznych i rat pożyczek. Należy wskazać, że co do zasady odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych w zakresie realizacji takich autonomicznych uprawnień kształtują przepisy prawa. Pracodawca i PKZP, w ramach wspólnych uzgodnień, powinni więc określić inne kwestie, nieuregulowane wprost w przepisach prawa, w tym m.in. kwestię nadawania upoważnień pracownikom wyznaczonym przez pracodawcę do prowadzenia księgowości, obsługi kasowej i prawnej PKZP, kwestię odpowiedniego zabezpieczenia danych osobowych członków PKZP czy też realizacji określonych obowiązków informacyjnych.

Dokonanie wspólnych ustaleń pomiędzy współadministratorami, o których mowa w art. 26 RODO, umożliwia doprecyzowanie sposobu obsługi technicznej PKZP przez pracodawcę przy zachowaniu autonomicznych kompetencji PKZP w zakresie jej odrębnych zadań jako administratora.

W nawiązaniu do zagadnienia dotyczącego możliwości zawarcia w statucie PKZP informacji, że do przetwarzania danych osobowych stosuje się zasady opisane w Polityce Ochrony Danych obowiązującej u pracodawcy należy wskazać, że 24 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami tego rozporządzenia. Zgodnie z ust. 2 tego artykułu – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania – powyższe środki powinny obejmować wdrożenie przez administratora odpowiednich polityk ochrony danych. Biorąc jednak pod uwagę wynikającą z RODO zasadę rozliczalności, to od decyzji administratora zależy, w jaki sposób skonstruuje funkcjonujący u siebie system ochrony danych osobowych. Istotne jest, aby przetwarzanie odbywało się zgodnie z RODO i aby administrator mógł to wykazać. Na naszej stronie internetowej w zakładce Inspektor Ochrony Danych można znaleźć wskazówki prowadzenia wspólnej polityki ochrony danych w przypadku funkcjonowania 2 administratorów danych w ramach jednej jednostki organizacyjnej (Czy komendant straży miejskiej musi posiadać odrębną politykę ochrony danych?).

 

 

 

 

2020-07-28 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2020-07-28
Wprowadził‚ informację: Edyta Madziar 2020-07-28 07:07:09
Ostatnio modyfikował: Edyta Madziar 2020-07-28 07:45:01