Pytania uczestników  szkoleń oraz użytkownicy z forum portalu www.pkzp.com.pl

Pytanie 1

Czy art. 6 ust. 1 lit. a) , lit. c) oraz lit. e) RODO to prawidłowe podstawy prawne przetwarzania danych osobowych przez PKZP?

Podstawą przetwarzania danych członków Kasy w PKZP jest ich ZGODA; określa to art. 6 ust.1 lit. a) RODO;

Pytanie 2

Na jakiej podstawie Kasy mogą przetwarzać dane osób uposażonych ?

W przypadku osób uposażonych jako podstawę prawną przetwarzania danych należy podać art. 6 ust. 1 lit  f)  RODO, ponieważ przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Pytanie 3

Czy art. 14, ust. 5, lit. b) RODO może być podstawą nierealizowania obowiązku informacyjnego względem osób, których dane są pozyskiwane od członków PKZP (np. osoby upoważnione w deklaracjach np. współmałżonkowie, dzieci, osoby niespokrewnione itd.)?

Przepis RODO art. 14 wskazuje, że istnieje możliwość nie informowania osób trzecich o obowiązku informacyjnym jeśli udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.  Można byłoby powoływać się na ten zapis, gdyby Kasa np. zbierała tylko Nazwisko, imię oraz Pesel osoby uposażonej – mamy wtedy jednoznacznie określoną osobę, lecz nie mając danych kontaktowych trudno jest do takiej osoby dotrzeć.

Pytanie 4

Czy Kasy [PKZP] powinny mieć swojego IOD?

IOD – Inspektor Ochrony Danych (wg RODO). Radzi się, aby podmioty, które przetwarzają dane w dużej skali powołały Inspektora Ochrony Danych. Nigdzie nie jest powiedziane, że Kasy powinny mieć IOD, więc nie muszą go powoływać, ale … patrz zdanie powyżej. W dużych kasach (~kilka tys. członków Kasy) z dużą ilością operacji przetwarzania danych (przesyłania danych do kilku miejsc, np. Rachuby płac, poza biuro w którym mieści się PKZP, przez sieć internet itd.). Im większa Kasa, im bardziej skomplikowana struktura organizacyjna, im więcej zagrożeń dotyczących ochrony danych osobowych, tym bardziej warto powołać takiego inspektora. Inne rozwiązanie : zamiast IOD można powołać pełnomocnika zarządu Kasy ds. ochrony danych osobowych.

Pytanie 5

Czy IOD w Kasie może zostać ta sama osoba , która jest IOD u Pracodawcy ?

Jest to najlepsze wyjście (dla Kasy). Należy tylko do tego przekonać Pracodawcę 

Pytanie 6

Czy PKZP jest Administratorem danych osobowych [..]  a Pracodawca-Podmiotem przetwarzającym?
Jeśli tak, to jaką należy zawrzeć umowę? Umowę powierzenia danych pomiędzy stronami?

PKZP jest Administratorem Danych Osobowych (ADO) – danych osób, które zbiera PKZP w związku z jej działaniem (przede wszystkim danych z deklaracji przystąpienia). Jeżeli dane przetwarza także Pracodawca (np. baza danych PKZP jest zainstalowana na serwerach pracodawcy, lub też (co występuje u większości Kas,  pracodawca co miesiąc otrzymuje informacje z Kasy o potrąceniach do zrealizowania z wynagrodzeń pracowników – członków Kasy) należy podpisać z nim „umowę powierzenia przetwarzania danych osobowych”.

Więcej szczegółów na blogu: http://pkzp.com.pl/blog/103-temat-miesiaca-12

 Pytanie 7

Przewodniczący Kasy wydał członkom Zarządu i Komisji Rewizyjnej upoważnienia  do przetwarzania danych. A kto takie uprawnienia powinien nadać Przewodniczącemu, jeżeli nie został powołany Pełnomocnik ?

 Administratorem danych osobowych w PKZP (Kasie) jest cały podmiot PKZP (jako odrębna od pracodawcy organizacja). Za Ochronę danych osobowych w Kasie odpowiada Zarząd Kasy, i jeśli nie powołano IOD (inspektora ochrony danych) ani pełnomocnika zarządu, to zajmuje się tymi sprawami cały zarząd. Oczywiście zarząd może (do obsługi tego typy spraw) umocować ("mianować" pełnomocnikiem) przewodniczącego zarządu Kasy lub każdą inną osobę (decyduje o tym zarząd Kasy).

Pytanie 8

Kasa udziela członkom zapomóg, pracownicy dostarczają zaświadczenia lekarskie – czy powinniśmy je archiwować wraz z wnioskiem ?

Informacje dotyczące m. i. zdrowia są danymi szczególnymi (dawniej zwane wrażliwymi) i podlegają specjalnej ochronie. Kasa może zbierać te dane jeżeli są one niezbędne do , chociażby , przyznania zapomóg. Wszelkie dane osobowe (tym bardziej szczególne) przetrzymujemy tak długo, jak jest to nam niezbędne do płynnego funkcjonowania Kasy. Jak długo je przetrzymywać decyduje o tym zarząd Kasy (lub IOD lub pełnomocnik jeśli są powołani). Przez to, że dane są podstawą decyzji Zarządu Kasy (o przyznaniu zapomogi), na miejscu zarządu, trzymałbym te dane aż do Walnego zebrania, gdzie Zarząd otrzymuje absolutorium ze swojej działalności (z roku poprzedniego). W ciągu tego czasu oraz na Walnym dane te mogłyby być potrzebne Zarządowi do wytłumaczenia się z takiej a nie innej decyzji.

Pytanie 9

Do naszej Kasy należą także pracownicy innych zakładów pracy – czy należy z nimi także zawrzeć umowy powierzenia przetwarzania danych osobowych, są oni w końcu ich pracownikami, więc mają dane swoich pracowników ?

Należy zawrzeć umowy powierzenia danych osobowych z wszystkimi podmiotami, którym Kasa przesyła informacje dotyczące członków Kasy. Wydawałoby się na pierwszy rzut oka, że wszyscy pracodawcy mają te same dane (co Kasa) ponieważ są to ich pracownicy, ale niestety Kasa przesyła rachubie płac także dane, których pracodawca nie ma – chociażby informacje dotyczące wysokości udzielonych pożyczek, rat, wpisowego, wkładów, zapomóg.

Pytanie 10

Zgodnie z art. 13 ust 2a Administrator danych osobowych jest zobligowany powiadomić osobę, której dane przetwarza/zamierza przetwarzać o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, to wskazać kryteria ustalania tego okresu.

Pytanie w związku tym: jaki czasookres powinien być w takiej informacji zawarty w przypadku PKZP?

 Dokumenty księgowe należy przetrzymywać pełne 5 lat. O okresie przetrzymywania pozostałej dokumentacji decyduje zarząd PKZP. Po zakończeniu członkostwa w Kasie dane osoby mogą być ewentualnie potrzebne do spraw związanych z roszczeniami w stosunku do Kasy jak i Kasy w stosunku do dawnego członka. Generalnie okres przedawnienia roszczeń (finansowych) to 6 lat, ale w szczególnych wypadkach może być dłuższy (10 lub nawet 20 lat). Sugeruje się, aby okres (wspomniany w pytaniu) ustalić jako „czas działania/istnienia  PKZP przy danym pracodawcy”.

Komentarze  

#1 Wioletta 2020-07-30 08:17
Co w przypadku gdy PKZP posiada jedynie klauzule co do RODO dla każdego członka. Czy to wystarczy?? Każda kasa musi posiadać politykę przetwarzania danych itp. jeśli znajduję się np. przy szkole która posiada wszystkie dokumenty związane z RODO ??
Cytować

Podoba Ci się nasza strona? Uważasz, że jest godna polecenia? Poleć nas swoim znajomym. W celu uczestnictwa w programie „Poleć nas” należy wypełnić formularz rejestracyjny i podać adresy poczty e-mail osób, którym polecasz nasz serwis. W momencie potwierdzenia przez te osoby linku, będziesz brał udział w losowaniu nagród.

Mamy do rozdania:
- pendrivy,
- zestawy na biurko,
- zestawy gadżetów (smycz, długopisy, kubek).

WEŹ UDZIAŁ