Zahteva banke, da stranka pošlje kopijo osebnega dokumenta

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 14. 10. 2020 z vaše strani prejel posredovano sporočilo banke, iz katerega izhaja, da vas banka prosi, da jim pošljete podatke svojega veljavnega dokumenta na način, da pošljete kopijo po elektronski pošti, klasični pošti ali se oglasite v najbližji poslovalnici. IP se je odločil, da bo vaše sporočilo obravnaval kot zaprosilo za mnenje, ali je ravnanje banke, ko od vas zahteva kopijo osebnega dokumenta, zakonito.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Glede na to, da zakonito obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe predstavlja tudi obdelava, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, pridobivanje osebnih podatkov v obliki veljavnega osebnega dokumenta pa je mogoče uvrstiti med ukrepe za poznavanje strank, ki so jih banke dolžne izvajati v skladu z določbami Zakona o preprečevanju pranja denarja in financiranja terorizma, ima banka v vašem primeru po mnenju IP ustrezno pravno podlago za pridobivanje kopij osebnih dokumentov od strank. Banka pa vam je kot upravljavec osebnih podatkov takrat, ko na zakoniti pravni podlagi od vas pridobiva osebne podatke, dolžna predstaviti določene informacije v skladu s 13. členom Splošne uredbe, vključno s pravno podlago in namenom njihove obdelave.

Splošna uredba v prvem odstavku 6. člena opredeljuje zakonite pravne podlage za obdelavo osebnih podatkov, in sicer: privolitev, sklenitev ali izvajanje pogodbe, izvajanje zakonskih zahtev oziroma izvajanje javnih nalog in zakoniti interesi, ki prevladajo nad interesi posameznika; pri tem je za zakonitost obdelave dovolj, da je izpolnjena ena od navedenih pravnih podlag – npr. če zakon banki nalaga pridobivanje določenih osebnih podatkov o posamezniku, banka za obdelavo teh osebnih podatkov ne potrebuje še njegove privolitve oziroma dovoljenja.

Iz posredovanega dopisa, ki ste ga prejeli od banke, izhaja, da banka v svoji evidenci ne vodi ustreznih podatkov o vašem osebnem dokumentu, zato vas prosi, da jim kopijo veljavnega osebnega dokumenta posredujete po elektronski pošti, navadni pošti, ali pa se z veljavnim dokumentom oglasite v poslovalnici banke. Podlaga za takšno zahtevo banke bi lahko izhajala iz določb Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, 81/19 in 91/20, v nadaljevanju: ZPPDFT-1), v skladu s katerimi so banke dolžne izvajati ukrepe za poznavanje svojih strank, med drugim ugotavljati istovetnost strank in preverjati njihovo istovetnost na podlagi verodostojnih, neodvisnih in objektivnih virov.

ZPPDFT-1 v prvem in drugem odstavku 12. člena določa, da zavezanci (med njimi so tudi banke) pri opravljanju svojih dejavnosti izvajajo naloge, ki med drugim obsegajo izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon. V skladu s prvim odstavkom 16. člena pregled stranke zajema tudi ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov. V prvem odstavku 23. člena je določeno, da zavezanec (banka) za stranko, ki je fizična oseba oziroma njen zakoniti zastopnik, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost, oziroma za zakonitega zastopnika pravne osebe, ugotovi in preveri njegovo istovetnost ter pridobi potrebne podatke (v skladu z drugo točko prvega odstavka 137. člena so to: osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta) z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. V določenih primerih lahko banka kopijo uradnega dokumenta od stranke pridobi tudi v digitalni obliki.

Po definiciji iz 47. točke 3. člena ZPPDFT-1 je »uraden osebni dokument« vsaka s fotografijo opremljena veljavna listina, ki jo izda pristojni državni organ Republike Slovenije ali druge države in ki se po pravu države izdajateljice šteje za javno listino. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke (1. odstavek 23. člena). Če banka ukrepov iz 1., 2. in 3. točke prvega odstavka 16. člena zakona ne more izvesti, ne sme skleniti poslovnega razmerja ali opraviti transakcije oziroma mora prekiniti poslovno razmerje, če je to že sklenjeno. ZPPDFT-1 v prvem odstavku 49. člena še določa, da je banka dolžna skrbno spremljati poslovne aktivnosti, ki jih izvajajo stranke, kar vključuje tudi preverjanje in posodabljanje pridobljenih listin in podatkov o stranki.

Iz dopisa, ki ste ga prejeli od banke, bi bilo mogoče sklepati, da je osebnemu dokumentu, ki ga imajo v bančni evidenci in s katerim je banka izvedla identifikacijski postopek, potekla veljavnost, in da bi lahko banka v primeru, da podatki o vašem identifikacijskem dokumentu ne bi bili posodobljeni, odstopila od vzpostavljenega poslovnega razmerja. Ne glede na to, da banka zakonske podlage za svojo prošnjo za posredovanje vaših osebnih podatkov v dopisu ni opredelila, IP domneva, da njena zahteva temelji na predhodno navedenih določbah ZPPDFT-1 in bi posledično lahko bila zakonsko dopustna. IP sicer ni pristojen za tolmačenje izvajanja zahtev, ki jih bankam nalaga ZPPDFT-1, temveč je to Urad RS za preprečevanje pranja denarja.

Glede na to, da zakonito obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe predstavlja tudi obdelava, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, pridobivanje osebnih podatkov v obliki veljavnega osebnega dokumenta pa je mogoče uvrstiti med zgoraj opisane ukrepe za poznavanje strank, ki so jih dolžne izvajati banke v skladu z določbami ZPPDFT-1, ima banka v vašem primeru po mnenju IP ustrezno pravno podlago za pridobivanje kopij osebnih dokumentov od strank. Vsekakor pa vam je to dolžna pojasniti tudi banka in tudi sicer vam mora takrat, ko na zakoniti pravni podlagi od vas pridobiva osebne podatke, v skladu s 13. členom Splošne uredbe predstaviti določene informacije.

V kolikor dvomite o podlagi za predmetno zbiranje osebnih podatkov, vam predlagamo, da se obrnete na banko, ki vam je dolžna pojasniti, na kateri pravni podlagi zahteva od vas predložitev kopije osebnega dokumenta ter vam podati ostale informacije o obdelavi osebnih podatkov iz predložene kopije osebnega dokumenta.

Če ocenjujete, da pošiljanje kopje osebnega dokumenta po elektronski pošti za vas predstavlja preveliko varnostno tveganje, vam banka daje na voljo tudi možnost pošiljanja kopije po navadni pošti oziroma možnost obiska poslovalnice.

S spoštovanjem,

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka