Tylko do kwietnia przyszłego roku kilkaset działających w Polsce kas zapomogowo–pożyczkowych (KZP) ma czas na dostosowanie swojej działalności do zmienionych przepisów prawa. Przypominamy, że w październiku 2021 r. weszła w życie nowa ustawa. To z jej przepisów wynika właśnie 18 – miesięczny okres na wprowadzenie niezbędnych zmian do statutów.
Czasu tylko pozornie jest sporo
Zmiany, jakie wprowadziły nowe przepisy nie wydają się rewolucyjne. Nie oznacza to jednak, że pracy związanej ze zmianami w statutach będzie mało. Szczególnej uwagi wymaga uregulowanie kwestii ochrony danych osobowych przetwarzanych przez KZP. Wcześniej przepisy tej kwestii w ogóle nie dotykały, stąd w praktyce problematyczne było nawet określenie, jaką rolę w procesie przetwarzania danych członków KZP pełni kasa, a jaką pracodawca u którego ona działa, w szczególności – kto jest administratorem tych danych osobowych.
Obecnie ustawa wprost przesądza, że administratorem danych osobowych członków kas, osób uprawnionych oraz poręczycieli jest KZP, a pracodawca je przetwarza wyłącznie w celu świadczenia pomocy kasie w zakresie określonym ustawą. Na pierwszy rzut oka wydawać by się mogło, że tym samym pracodawcę, u którego działa KZP należałoby uznać za podmiot przetwarzający dane na zlecenie kasy (procesora). Czy tak jednak będzie w każdym przypadku? Czy pracodawca nie może być uznany za współadministratora, skoro w praktyce bardzo często to nie kasa, lecz on właśnie będzie decydować albo przynajmniej współdecydować o celach i sposobach przetwarzania danych, skoro to on będzie udostępniać kasie np. oprogramowanie niezbędne do prowadzenia rachunkowości KZP? To tylko jedna z istotnych kwestii, która trzeba będzie rozstrzygnąć.
Na tym nie kończą się obowiązki kasy w tym zakresie. Ustawa bowiem wymaga, aby w statucie KZP znalazły się m. in. postanowienia dotyczące sposobu przetwarzania danych osobowych oraz ich zabezpieczenia. Kasa powinna więc ustalić politykę bezpieczeństwa przetwarzanych danych osobowych, a jej ustalenia powinny znaleźć odzwierciedlenie w statucie. To z pewnością dobry moment dla zarządów KZP, aby dokonać inwentaryzacji posiadanych dokumentów, określić które z nich nie są już potrzebne i wymagają zniszczenia oraz zastanowić się, w jaki sposób ułożyć działalność kasy, aby dane przetwarzać zgodnie z prawem.
Skoro to KZP jest administratorem danych, to na jej zarządzie spoczywa obowiązek wypełnienia wszelkich związanych z tym obowiązków na gruncie przepisów dotyczących ochrony danych. To zarząd kasy (a nie pracodawca, u którego ona działa) ma udzielać upoważnień do przetwarzania danych osobowych. To na nim spoczywa również ciężar przygotowania odpowiednich klauzul informacyjnych wymaganych przez RODO, jak i formularzy zgód na przetwarzanie danych (taką bowiem podstawę przetwarzania przewidują nowe przepisy), jak i odpowiedzialność za odpowiednie zabezpieczenie danych przed utratą, zniszczeniem lub nieuprawnionym dostępem.
Oczywiście poza opisanymi wyżej kwestiami spraw wymagających uregulowania w zmienionym statucie KZP jest znacznie więcej. Tym bardziej więc nie warto zwlekać z przygotowaniem się do ich wprowadzenia. Pamiętać trzeba, że zmiana statutu możliwa jest tylko na walnym zebraniu członków KZP.
Kancelaria MERSKI zapewnia swoim klientom kompleksowe doradztwo również w zakresie dostosowania działalności KZP do nowych przepisów prawa.