Elektronske kopije osebnih izkaznic
+ -Številka: 07121-1/2021/685
Kategorije: Bančništvo, Pravne podlage, Informiranje posameznika
Informacijski pooblaščenec (v nadaljevanju: IP) je dne 26. 3. 2021 prejel vašo prošnjo za mnenje glede hrambe kopij osebnih dokumentov pri uporabi dokumentnega sistema oziroma pri elektronskem poslovanju. V prošnji navajate, da ste se na IP s podobnim vprašanjem obrnili že novembra 2018 in prejeli odgovor, iz katerega izhaja, da upravljavec digitalizacije ne sme izvajati glede kopij osebnih izkaznic in potnih listov, razen če gre za postopek pregleda stranke v skladu z Zakonom o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-1). Sedaj so se vam v zvezi z obdelavo osebnih podatkov oziroma hrambo kopij osebnih dokumentov zaradi dela od doma pojavila številna dodatna vprašanja. Prav tako ste pred časom na IP naslovili vprašanje v zvezi z elektronsko hrambo kopij osebnih izkaznic v postopku ugotavljanja in preverjanja istovetnosti stranke v skladu z ZPPDFT-1 in prejeli odgovor, da je elektronska hramba osebnih izkaznic v skladu z 32. členom ZPPDFT-1 dopustna le v primeru elektronske identifikacije stranke na podlagi 26. in 27. člena ZPPDFT-1. Menite, da 32. člen ZPPDFT-1 ne pogojuje elektronske hrambe kopij osebnih izkaznic z identifikacijo na podlagi 26. in 27. člena ZPPDFT-1, pač pa dovoljuje elektronsko hrambo v vsakem primeru, če je kopija pridobljena »v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah tega zakona«. Zanima vas, ali se določba 32. člena ZPPDFT-1 lahko razlaga na način, kot ga razumete sami.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše pisno neobvezno mnenje v zvezi z vašim vprašanjem.
Pred kratkim sprejeta novela Zakona o osebni izkaznici (ZOIzk-1), objavljena v Uradnem listu RS dne 19. 3. 2021, odpravlja splošno prepoved hrambe kopije osebne izkaznice v elektronski obliki. Noveliran zakon se prične uporabljati devet mesecev po njegovi uveljavitvi, tj. z januarjem 2022. Še vedno pa bo prepoved hrambe kopij v elektronski obliki veljala za potne listine. To pomeni, da mnenja, ki ste jih že prejeli od IP in zadevajo hrambo osebnih dokumentov v elektronski obliki, še vedno veljajo, od uveljavitve noveliranega ZOIzk-1 pa se bodo nanašala zgolj na kopije potnih listin v elektronski obliki. Hramba kopij osebnih izkaznic v elektronski obliki bo z novelo ZOIzk-1 dopustna, če bo izpolnjevala tudi ostale pogoje za zakonito obdelavo v skladu s predpisi o varstvu osebnih podatkov in morebitnimi področnimi predpisi.
Obrazložitev:
Splošna uredba v 4. členu opredeljuje pojme varstva osebnih podatkov. V skladu s 1. točko 4. člena Splošne uredbe pomenijo »osebni podatki« katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Pojem »obdelava« pa v skladu z 2. točko 4. člena Splošne uredbe pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
Splošna uredba v prvem odstavku 6. člena[1] opredeljuje zakonite pravne podlage za obdelavo osebnih podatkov. Zahteve Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, 81/19, 91/20 in 2/21 – popr., v nadaljevanju: ZPPDFT-1), v skladu s katerim so zavezanci po ZPPDFT-1 dolžni izvajati ukrepe za poznavanje svojih strank, kar med drugim vključuje ugotavljanje in preverjanje istovetnost strank na podlagi verodostojnih, neodvisnih in objektivnih virov (npr. uradnih osebnih dokumentov), tako po mnenju IP predstavljajo zakonito podlago za obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe.
Finančne družbe, ki opravljajo finančne storitve, smejo na podlagi določb 4. člena Zakona o osebni izkaznici (Uradni list RS, št. 35/11 in 41/21, v nadaljevanju: ZOIzk-1) in 4.a člena Zakona o potnih listinah (Uradni list RS, št. 29/11 – uradno prečiščeno besedilo, v nadaljevanju: ZPLD-1) kopirati osebne dokumente strank, če jih potrebujejo za dokazovanje istovetnosti državljana, ob kopiranju osebnega dokumenta pa morajo z ustrezno oznako na kopiji zagotoviti, da se kopija osebnega dokumenta ne bo uporabljala za druge namene, in upoštevati, da je nadaljnje kopiranje kopije prepovedano. Na zahtevo imetnika osebnega dokumenta so dolžne izdati tudi potrdilo o kopiji osebnega dokumenta, na katerem je naveden namen rabe in rok hrambe kopije. Pred kratkim sprejeta novela Zakona o osebni izkaznici, objavljena v Uradnem listu RS dne 19. 3. 2021, ki se bo pričela uporabljati devet mesecev po uveljavitvi, tj. z januarjem 2022, odpravlja splošno prepoved hrambe kopij osebnih izkaznic v elektronski obliki, še vedno pa bo ta prepoved veljala glede elektronske hrambe kopij potnih listin (sedmi odstavek 4.a člena ZPLD-1). Za osebne izkaznice (do pričetka uporabe noveliranega ZOIzk-1) in za potne listine je hramba kopij v elektronski obliki izjemoma še vedno dovoljena pod pogoji iz 32. člena ZPPDFT-1.
V zvezi z vsemi osebnimi podatki in dokumenti, ki jih od posameznika ali o posamezniku pridobi, pa je upravljavec dolžan upoštevati vse relevantne določbe Splošne uredbe, v prvi vrsti načela obdelave osebnih podatkov, ki so opredeljena v prvem odstavku 5. člena Splošne uredbe, vključno z zagotavljanjem ustrezne hrambe oziroma varnosti osebnih podatkov (točka (f)), ter posamezniku ob pridobivanju osebnih podatkov (kar kopiranje osebnega dokumenta nedvomno je) zagotoviti informacije v zvezi z obdelavo njegovih osebnih podatkov v skladu s 13. členom Splošne uredbe.
Glede na predhodno navedeno omejitve hrambe osebnih dokumentov v elektronski obliki, ki jih IP navaja v mnenjih, ki ste jih že prejeli, še vedno veljajo, od pričetka uporabe noveliranega ZOIzk-1 pa se bodo nanašala zgolj na kopije potnih listin v elektronski obliki. Hramba kopij osebnih izkaznic v elektronski obliki bo z januarjem 2022 dopustna, če bo izpolnjevala ostale pogoje za zakonito hrambo oziroma obdelavo v skladu s predpisi o varstvu osebnih podatkov in morebitnimi področnimi predpisi. Bodoča ureditev hrambe kopij osebnih dokumentov v elektronski obliki žal ne ureja sistemsko, bodo pa imeli upravljavci možnost, da poenostavijo poslovanje z elektronskimi kopijami osebnih izkaznic.
IP zaenkrat torej nima podlage za spremembo stališč v zvezi z elektronskimi kopijami osebnih dokumentov. Tudi sicer IP izven inšpekcijskega postopka ni pristojen za presojo konkretnih pravil in postopkov, ki jih ima sprejete in jih izvaja upravljavec v smislu upoštevanja predpisov o varstvu osebnih podatkov. V zvezi z določbo 32. člena ZPPDFT-1 naj dodatno omenimo, da je IP seznanjen, da si jo določeni upravljavci (banke) tolmačijo drugače in osebne dokumente strank hranijo v elektronski obliki tudi v primeru, ko istovetnosti ne ugotavljajo in preverjajo na podlagi sredstva elektronske identifikacije. Ker IP sicer ni pristojen za tolmačenje izvajanja zahtev, ki jih bankam nalaga ZPPDFT-1, temveč je to Urad RS za preprečevanje pranja denarja, http://www.uppd.gov.si/, vam predlagamo, da se obrnete nanje.
S spoštovanjem,
Pripravila:
Mojca Leitinger Okršlar,
državna nadzornica za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka