Nujnost ohranitve ustreznih standardov varstva osebnih podatkov v okviru SISBON in pravic potrošnikov

zahvaljujemo se vam za vaše vprašanje in prošnjo za mnenje v teh izrednih razmerah. Kot navajate, naj bi banke želele dostop do sistema SISBON na način brez identifikacije strank, kot se sicer zahteva upoštevajoč temeljna pravila varstva podatkov in Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16, v nadaljevanju ZCKR), na izvedbeni ravni pa to določajo tudi Pravila sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON (Uradni list RS, št. 65/17, 6/18 in 68/18, v nadaljevanju Pravila SISBON).

Glede na to, da je vaše vprašanje splošno in ne navaja konkretnih predlogov bank, v nadaljevanju na podlagi informacij, ki ste nam jih posredovali, skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo spčošna pojasnila IP ter ključne vidike, ki jih je treba upoštevati ob iskanju rešitve.

Ocenjujemo, da bi lahko šlo za resen problem, ki zahteva premišljeno in odgovorno rešitev. Ureditev, ki bi omogočala poslovanje bank brez ustrezne identifikacije strank, pa bi lahko imela resne posledice za posameznike tako z vidika varstva osebnih podatkov kot tudi širše z vidika varovanja pravic potrošnikov nasploh, saj gre dejansko za vprašanje zakonitega sklepanja poslov zadolževanja (na daljavo). V danih razmerah ko so se številni posamezniki znašli tudi z gospodarskega vidika v stiskah, zato dopis v vednost posredujemo tudi ostalim deležnikom, ki bi se v nastalih razmerah lahko srečali z izzivi posameznikov v zvezi z urejanjem razmerij posameznikov do bank.

Uvodoma pojasnjujemo, da IP nikoli ni ne v mnenju ne na katerem od sestankov nobeni banki svetoval, da bi lahko v izrednih razmerah znižala standarde varovanja osebnih podatkov ali celo ravnala v nasprotju z določbami Splošne uredbe o varstvu podatkov in Zakona o centralnem kreditnem registru.

IP pa opaža iz oglaševalskih pristopov nekaterih bank v nastalih izrednih razmerah epidemije, da te aktivneje oglašujejo različne pristope zadolževanja. Po mnenju IP je pri tem pomembna okoliščina, da se nahajamo v obdobju, ko se nekateri posamezniki dejansko ali zgolj v strahu za to, kaj nas čaka, počutijo ekonomsko ogroženi, zaradi česar so nedvomno bolj ranljivi. Zato ocenjujemo, da bi v nastalih razmerah epidemije zniževanje standardov identifikacije, kot so opredeljeni z veljavnimi predpisi lahko prineslo pomembno tveganje ne le za nezakonito obdelavo osebnih podatkov, ampak tudi druge zlorabe, ki bi lahko imele resne posledice za posameznike.

V zvezi s tem želimo najprej pojasniti, da je načelo točnosti in ažurnosti podatkov eno temeljnih načel varstva podatkov kot ustavno varovane pravice, konkretno pa to izhaja tudi iz člena 5 Splošne uredbe o varstvu podatkov, ki med drugim določa, da morajo biti osebni podatki:

• obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);
• zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni;
• ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);
• točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“).

IP tako ocenjuje, da pri dostopih do SISBON ne bi smelo priti do splošnih in nepremišljenih odstopanj od zakonskih določb, četudi gre za izredne razmere. V zvezi z izzivi, ki so povezani z reorganizacijo dela zaradi izolacije, večjega obsega dela od doma in zaprtjem poslovalnic pa je treba iskati tehnične rešitve, ki ne bodo na račun varstva posameznikov in njihovih pravic.

V zvezi s tem izpostavljamo z vidika varstva osebnih podatkov zlasti dva vidika, ki morata ostati fokus varstva, ko gre za obdelavo osebnih podatkov. Prvi je povezan z dostopom pooblaščenih oseb v bankah do sistema SISBON. Veljavni predpisi določajo, da lahko do podatkov v SISBON v banki dostopajo le osebe, ki so pooblaščene za dostop do zaupnih podatkov zaradi nalog ocenjevanja kreditnih tveganj (4. odst. 19. člena ZCKR) in imajo posledično urejene dostopne pravice pri Banki Slovenije. V kolikor bi izzivi nastopili v tem delu, predlagamo, da v nastalih razmerah reorganizacije dela Banka Slovenije preveri in poišče različne možnosti, kako se v primeru odsotnosti pooblaščenih oseb, te osebe lahko nadomeščajo oz. dobijo pooblastila v skladu z ZCKR in Pravili SISBON nove pooblaščene osebe (tako interno v sami banki, kot na Banki Slovenije).

Drugi vidik, kjer tveganja nedvomno niso povezana zgolj z varstvom podatkov, ampak tudi z varstvom pravic potrošnikov in preprečevanjem zlorab ob zadolževanju, pa je sama identifikacija stranke za namen zakonite sklenitve posla npr. kredita ali drugega posla zadolževanja. V tem delu Pravila SISBON določajo, da je interes posameznika za sklenitev kreditnega posla izkazan, če banka kot dajalec kreditov nedvoumno potrdi istovetnost osebe, ki je izkazala interes, z vpogledom v uradni osebni dokument osebe ob njeni osebni navzočnosti ali z uporabo sredstva elektronske identifikacije takšne ravni zanesljivosti, ki ob izdaji zahteva osebno navzočnost stranke in ga izda izdajatelj sredstva elektronske identifikacije s sedežem v Republiki Sloveniji v skladu s predpisi, ki urejajo elektronsko identifikacijo (2. odst. 18. člena Pravil SISBON).

Izvajanje tega pravila je sedaj nedvomno močno oteženo - ni javnega prevoza, stroga samoizolacija v krogu ožjih članov družine (zaželeno neobiskovanje starejših in bolnih). Gre za določbo, ki jo nadzira neposredno Banka Slovenije, ki je sprejela Pravila SISBON. V praksi pa to pravilo pomeni, da če stranka ni pravilno identificirana, kot to določajo Pravila SISBON, tudi niso izpolnjeni pogoji za izkazan interes za sklenitev kreditne pogodbe in ni izpolnjen pogoj za obdelavo osebnih podatkov iz sistema SISBON in drugih podatkov v zvezi s kreditom. Gre torej za ključen element ne le za zagotavljanje zakonite obdelave osebnih podatkov, ampak za zakonito sklenitev posla.

Upoštevajoč vse navedeno ocenjujemo, da bi morala Banka Slovenije v sodelovanju z bankami, najprej:

• preveriti, kaj je dejanski izziv v nastali situaciji,
• katere težave se dejansko pojavljajo in
• glede na to opredeliti ustrezen nabor varovalk, ki so v danih razmerah izvedljive, ter hkrati zagotavljajo ustrezno identifikacijo strank ter zakonito poslovanje, predvsem pa ustrezno znižajo tveganja hudih zlorab.

Nikakor pa po mnenju IP ni primerna rešitev zgolj ukinitev zahteve po obveznosti identifikacije strank, kot jo določajo Pravila SISBON, brez ustreznih drugih varovalk.

V upanju na ustrezno rešitev, ki bo zagotovila ustrezno varstvo pravic posameznikov v teh zahtevnih razmerah, vas lepo pozdravljamo in smo na voljo za dodatna vprašanja,

Mojca Prelesnik, univ. dipl. prav.

 informacijska pooblaščenka

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke