Forum portalu PKZP

Witam serdecznie ,
Mam kilka zagadnień - bardzo proszę o pomoc

1. Czy w statucie Kasy zapomogowo-pożyczkowej można uwzględnić zapis, iż Polityka danych osobowych przedsiębiorstwa przy których działa PKZP reguluje kwestie związane bezpieczeństwem danych osobowych? Idąc dalej czy w umowie pomiędzy tymi dwoma podmiotami można przerzucić powołanie Pełnomocnika ds. danych osobowych z PKZP na zakład pracy. Pełnomocnik miałby za zadanie wdrożyć i pełnić nadzór nad realizacją Polityki bezpieczeństwa danych osobowych w PKZP. Czy należy wówczas to traktować jako zapewnienie obsługi prawnej przez zakład pracy?

Wspomnę, iż operacje związane z obsługą PKZP odbywają się na w systemie informatycznym, którego właścicielem jest zakład pracy (komputery, programy do obsługi kasy); dane członków do dokonania potrąceń w listach płac z KZP są przekazywane w formie papierowej i następnie wykaz możliwych potrąceń w formie papierowej wraca do KZP.

Jeżeli tak, to czy PKZP musi tworzyć odbrębną Politykę bezpieczeństwa danych osobowych od zakładu pracy przy którym funkcjonuje?
Kto w takiej sytuacji jest właścicielem zbioru danych osobowych członków PKZP: sama kasa czy zakład pracy. Może w obu podmiotach mają funkcjonować takie same zbiory? Kto kogo powinien upoważnić do przetwarzania danych osobowych? Czy powinna być zawarta umowa powierzenia przetwarzania danych osobowych pomiędzy PKZP a zakładem pracy?

2. Jeśli powołamy Pełnomocnika ds. ochrony danych osobowych w postaci Zakładowego ABI , czy w takim wypadku nie dojdzie do konfliktu np. podczas sprawdzenia zgodności przetwarzania danych osobowych -> kontrola swojej pracy ?

Dzień dobry,

Odpowiedzi:

1. Czy w statucie Kasy zapomogowo-pożyczkowej można uwzględnić zapis, iż Polityka danych osobowych przedsiębiorstwa przy których działa PKZP reguluje kwestie związane bezpieczeństwem danych osobowych? Idąc dalej czy w umowie pomiędzy tymi dwoma podmiotami można przerzucić powołanie Pełnomocnika ds. danych osobowych z PKZP na zakład pracy. Pełnomocnik miałby za zadanie wdrożyć i pełnić nadzór nad realizacją Polityki bezpieczeństwa danych osobowych w PKZP. Czy należy wówczas to traktować jako zapewnienie obsługi prawnej przez zakład pracy?

Zakład pracy w ramach pomocy prawnej może przejąć obowiązki PKZP związane z ochroną danych osobowych.
Administratorem danych osobowych (członków Kasy) jest PKZP, którą reprezentuje zarząd Kasy. Zarząd Kasy może powołać pełnomocnika ds. ochrony danych osobowych - może być nim np. osoba wyznaczona przez zakład pracy (np. tzw. ABI Zakładu pracy);
Tak jak Pani napisała, będzie on (ten pełnomocnik) "miał za zadanie wdrożyć i pełnić nadzór nad realizacją Polityki bezpieczeństwa danych osobowych w PKZP".

Wspomnę, iż operacje związane z obsługą PKZP odbywają się na w systemie informatycznym, którego właścicielem jest zakład pracy (komputery, programy do obsługi kasy); dane członków do dokonania potrąceń w listach płac z KZP są przekazywane w formie papierowej i następnie wykaz możliwych potrąceń w formie papierowej wraca do KZP. Jeżeli tak, to czy PKZP musi tworzyć odbrębną Politykę bezpieczeństwa danych osobowych od zakładu pracy przy którym funkcjonuje?

Tak odrębną.
Dane osobowe nie znajdują się tylko na komputerach (zakładu pracy), z której korzysta np. księgowa oddelegowana z Zakładu pracy do obsługi księgowości Kasy, ale dane osobowe znajdują się także w Kasie "na papierze" (np. deklaracje, wnioski itd.).

Kto w takiej sytuacji jest właścicielem zbioru danych osobowych członków PKZP: sama kasa czy zakład pracy.

Nie można mówić o właścicielu, a jedynie o administratorze danych osobowych (ADO). Właścicielami tych danych osobowych są poszczególni członkowie Kasy.
Administratorem jest PKZP jako organizacja.

Może w obu podmiotach mają funkcjonować takie same zbiory? Kto kogo powinien upoważnić do przetwarzania danych osobowych? Czy powinna być zawarta umowa powierzenia przetwarzania danych osobowych pomiędzy PKZP a zakładem pracy?

Po powołaniu pełnomocnika wszystkimi sprawami związanymi z ochroną danych osobowych zajmuje się pełnomocnik. On też podpisuje wszelkie dokumenty np. upoważnienia dla osób mających styczność z danymi oraz przyjmuje oświadczenia od tych osób.
Umowy powierzenia danych nie musi być, wystarczą upoważnienia dla wszystkich osób, które mają kontakt z tymi danymi; osoby te powinny także złożyć stosowne oświadczenia, że są świadomi że powinny chronić dane osobowe, co im grozi itd. ...

2. Jeśli powołamy Pełnomocnika ds. ochrony danych osobowych w postaci Zakładowego ABI , czy w takim wypadku nie dojdzie do konfliktu np. podczas sprawdzenia zgodności przetwarzania danych osobowych -> kontrola swojej pracy ?

Nie widzę konfliktu. Jako ABI będzie prowadził sprawy zakładu pracy, a jako pełnomocnik zarządu PKZP sprawy dotyczące PKZP.
(nie wiem jakie funkcje pełni jeszcze ta osoba w zakładzie pracy, to może wpłynąć, że pojawi się ewentualny konflikt).


Pozdrawiam
Jan Trzciński

Witam serdecznie i proszę o pomoc w uzyskaniu odpowiedzi.
Kto powinien wystąpić do członków PKZP o wyrażenie zgody na przetwarzanie danych osobowych, Administrator, czy podmiot przetwarzający dane osobowe, w PKZP jest około 50 członków. Jest podpisana umowa między Administratorem (zarząd PKZP), a podmiotem przetwarzającym (zakładem pracy reprezentowanym przez dyrektora).

1.Ten kto zbiera dane - ADO - administrator danych osobowych (czyli zarząd PKZP).

Nie wiem jak wygląda umowa.
2.Mógłbym sobie wyobrazić, że jeśli jest w umowie zapis, że "dyrektor" jest pełnomocnikiem zarządu PKZP ds. ochrony danych osobowych to wtedy on może wystąpić do członków o wyrażenie zgody.
3.Inna możliwość. Umowa określa, że podmiot przetwarzający zbiera dane osobowe (deklaracje członkowskie z podpisaną zgodą), to rozumie się samo przez się, że
to przetwarzający zbiera zgody w imieniu ADO.
4...

Czyli generalnie jak w punkcie 1. chyba, że umowa określa, że konkretną czynnością (zbieraniem zgód) zajmuje się przetwarzający.

Pozdrawiam:)

P.S>
Najlepiej byłoby, aby umowę przejrzał Radca Prawny.