Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Obdelava osebnih podatkov pooblaščenih strokovnih delavcev CSD s strani bank

+ -
Datum: 17.06.2022
Številka: 07120-1/2022/211
Kategorije: Bančništvo, Informiranje posameznika, Postopki na centrih za socialno delo, Pravica do seznanitve z lastnimi osebnimi podatki, Upravni postopki

Pri Informacijskem pooblaščencu (IP) smo 14. 6. 2022 prejeli vaše zaprosilo za mnenje. Pojasnjujete, da v primeru, ko se osebi za skrbnika imenuje center za socialno delo, ta pooblasti svojega delavca za odgovorno osebo za izvajanje skrbništva. Strokovni delavci, zaposleni na centru za socialno delo, tako na podlagi pooblastila izvršujejo upravičenja, ki jih je skrbniku (centru za socialno delo) podelilo sodišče. Izpostavljate, da se težava pojavi pri izvrševanju skrbniških upravičenj, natančneje pri zastopanju na bankah, saj operacijski sistemi, ki jih uporabljajo banke, ne omogočajo, da se v sistem kot skrbnika vnese pravno osebo. Bančni uslužbenci tako vsakič, ko strokovni delavci na podlagi pooblastila izvršujejo upravičenja skrbnika, v sistem kot skrbnika vnesejo strokovnega delavca osebno, fizično osebo, ter v sistem vpišejo osebne podatke strokovnega delavca, ki se nahajajo na osebni izkaznici (na nekaterih bankah ob tem vprašajo še po kraju, kjer je bil strokovni delavec rojen, želijo kopirati osebni dokument strokovnega delavca itd.). Izpostavljate, da za zbiranje teh osebnih podatkov banke nimajo pravne podlage ter da gre za poseg v človekove pravice strokovnih delavcev. Navedba strokovnega delavca kot skrbnika je namreč napačna iz formalnega vidika, saj je skrbnik center za socialno delo in ne strokovni delavec. Dodajate, da imajo strokovni delavci podobno izkušnjo tudi s sodišči, kjer pa ste naleteli na razumevanje. Ob tem poudarjate, da ni težava sama identifikacija strokovnega delavca, saj se zavedate, da mora bančni uslužbenec preveriti, če pred njim res stoji oseba, ki se izkazuje s pooblastilom. Težava je vpis strokovnega delavca z vsemi osebnimi podatki kot skrbnika določenega varovanca. Osebni podatki strokovnih delavcev se tako zbirajo in obdelujejo brez privolitve, listine pa se posledično nahajajo v spisih vaših zadev, z njimi se lahko seznanijo stranke, ki pa so žal lahko tudi sovražno nastrojene, grozijo in celo ogrožajo varnost strokovnih delavcev. Seznanitev stranke z naslovom stalnega prebivališča strokovnega delavca tako lahko pomeni tudi nepredstavljive posledice. Zato IP prosite za obravnavo zadeve in podajo mnenja v zvezi z opisano problematiko.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

Banke lahko osebne podatke s strani centrov za socialno delo pooblaščenih strokovnih delavcev pridobivajo in nadalje obdelujejo, če imajo za to ustrezno pravno podlago. Takšna podlaga med drugim izhaja iz določb ZPPDFT-2 v zvezi s členom 6(1)(c) Splošne uredbe o varstvu podatkov. Banka pa je v takih primerih pooblaščencem dolžna zagotoviti informacije v skladu s členom 13 Splošne uredbe o varstvu podatkov.

 

 

O b r a z l o ž i t e v:

 

IP je na podobna vprašanja že odgovarjal, npr. v mnenjih št. 07121-1/2021/334 z dne 19. 2. 2021, št. 07120-1/2020/494 z dne 28. 8. 2020 in št. 07120-1/2020/94 z dne 28. 2. 2020, ki so objavljena in dostopna na spletni strani https://www.ip-rs.si/mnenja-gdpr/. Ta mnenja sicer temeljijo na določbah prej veljavnega Zakona o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-1), vendar so še vedno aktualna. Bistvena razlika je le, da pravno podlago za to, da banka od posameznika pridobiva in nadalje obdeluje določene osebne podatke, sedaj predstavlja novi Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22; v nadaljevanju ZPPDFT-2).

 

ZPPDFT-2 v 17. členu določa naloge in obveznosti zavezancev (to so skladno s 4. členom ZPPDFT-2 tudi banke), ki med drugim obsegajo izvajanje ukrepov za poznavanje stranke (v nadaljnjem besedilu: pregled stranke) na način in pod pogoji, ki jih določa ta zakon. Po 21. členu ZPPDFT-2 obsega pregled stranke tudi ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov, pri čemer zavezanec preveri, da ima vsaka oseba, ki nastopa v imenu stranke, pravico zastopanja ali pooblastilo te stranke, ter v skladu s tem zakonom ugotovi in preveri istovetnost vsake osebe, ki nastopa v imenu stranke.

 

Iz prvega odstavka 30. člena ZPPDFT-2 nadalje izhaja, da če sklepa poslovno razmerje v imenu stranke, ki je fizična oseba, njen pooblaščenec, zavezanec ugotovi in preveri istovetnost pooblaščenca ter pridobi podatke iz 2. točke prvega odstavka 150. člena tega zakona z vpogledom v osebni dokument pooblaščenca ob njegovi osebni navzočnosti. Če iz tega dokumenta ni mogoče dobiti vseh podatkov iz 2. točke prvega odstavka 150. člena tega zakona, se manjkajoči podatki pridobijo iz druge javne listine, ki jo predloži pooblaščenec, oziroma neposredno od njega. Po 31. členu ZPPDFT-2 velja podobno, in sicer če poslovno razmerje v imenu stranke, ki je pravna oseba, namesto njenega zakonitega zastopnika sklepa njegov pooblaščenec, zavezanec ugotovi in preveri istovetnost pooblaščenca ter pridobi podatke iz 2. točke prvega odstavka 150. člena tega zakona z vpogledom v osebni dokument pooblaščenca ob njegovi osebni navzočnosti. Če iz tega dokumenta ni mogoče pridobiti vseh podatkov iz 2. točke prvega odstavka 150. člena tega zakona, se manjkajoči podatki pridobijo iz druge javne listine, ki jo predloži pooblaščenec, oziroma neposredno od njega.

 

Podatki iz 2. točke prvega odstavka 150. člena ZPPDFT-2 so: osebno ime, naslov stalnega prebivališča; naslov začasnega prebivališča v Republiki Sloveniji, če naslov stalnega prebivališča ni v Republiki Sloveniji; naslov začasnega prebivališča v tujini, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta, datum izdaje, datum prenehanja in naziv izdajatelja uradnega osebnega dokumenta:

-  fizične osebe oziroma njenega zakonitega zastopnika, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ki sklene poslovno razmerje ali opravi transakcijo, oziroma fizične osebe, za katero se sklene poslovno razmerje ali opravi transakcija;

-  zakonitega zastopnika pravne osebe, ki sklene poslovno razmerje ali opravi transakcijo,

-  pooblaščenca fizične osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ki sklene poslovno razmerje ali opravi transakcijo,

-  pooblaščene osebe, ki za pravno osebo ali drugo osebo civilnega prava iz 5. točke 3. člena tega zakona sklene poslovno razmerje ali opravi transakcijo;

 

Če banka ukrepov iz 1., 2. in 3. točke prvega odstavka 21. člena ZPPDFT-2 ne more izvesti v skladu z določbami tega zakona, po 26. členu istega zakona ne sme skleniti poslovnega razmerja ali opraviti transakcije oziroma mora prekiniti poslovno razmerje, če je to že sklenjeno. ZPPDFT-2 poleg osnovnega pregleda stranke določa tudi poenostavljen in poglobljen pregled stranke.

 

Na podlagi prvega odstavka 244. člena Družinskega zakonika (Uradni list RS, št. 15/17, 21/18 – ZNOrg, 22/19, 67/19 – ZMatR-C in 200/20 – ZOOMTVI; v nadaljevanju DZ) center za socialno delo ali sodišče lahko odloči, da se osebi za skrbnika imenuje center za socialno delo. Ta pooblasti svojega delavca za odgovorno osebo za izvajanje skrbništva. Skladno s prvim odstavkom 245. člena DZ skrbnik zastopa varovanca.

 

Iz navedenih zakonskih določb izhaja, da če banka osebne podatke pooblaščenega strokovnega delavca centra za socialno delo pridobiva na podlagi ZPPDFT-2, njegove osebne podatke obdeluje na zakoniti pravni podlagi, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (člen 6(1)(c) Splošne uredbe o varstvu podatkov). IP ob tem pojasnjuje, da je za zakonitost obdelave dovolj, da je izpolnjena ena od samostojnih pravnih podlag, ki jih določa člen 6(1) Splošne uredbe o varstvu podatkov. To pomeni, da če upravljavec osebne podatke obdeluje na podlagi zakona, za te podatke privolitve v smislu člena 6(1)(a) Splošne uredbe o varstvu podatkov ni dolžan pridobivati. Je pa v skladu s členom 13 Splošne uredbe o varstvu podatkov banka kot upravljavec dolžna pooblaščencu zagotoviti določene informacije, med drugim tudi, na kakšni pravni podlagi in za kakšen namen obdeluje njegove osebne podatke. Če banka pravne podlage za obdelavo osebnih podatkov pooblaščenca nima, potem je takšna obdelava nezakonita. Vsakdo, ki meni, da kdo krši Splošno uredbo o varstvu podatkov, lahko pri IP vloži prijavo.

 

IP ob tem dodaja, da na vprašanje dopustnosti obdelave osebnih podatkov s strani banke ne vpliva dejstvo, da je navedba strokovnega delavca kot skrbnika napačna iz formalnega vidika, saj je skrbnik center za socialno delo kot pravna oseba in ne pooblaščeni strokovni delavec. Banke se v zvezi z opravljanjem bančnih storitev na podlagi ZPPDFT-2 za namen identifikacije fizične osebe, ki dejansko nastopa v imenu stranke, namreč morajo seznaniti tudi z določenimi osebnimi podatki pooblaščenega strokovnega delavca, ki izvršuje skrbniške naloge. Ugotavljanje in preverjanje istovetnosti pooblaščenca, ki dejansko sklepa poslovno razmerje in nastopa v imenu centra za socialno delo, ki zastopa varovanca, se lahko torej izvaja na način, predpisan z določbami ZPPDFT-2, in v tem okviru se lahko zbirajo in obdelujejo osebni podatki pooblaščenca iz 150. člena tega zakona. Te situacije pa ni mogoče enačiti z nastopanjem strokovnih delavcev centra za socialno delo pred sodišči, saj sodišča niso zavezanci po ZPPDFT-2.

 

Glede problematike seznanitve strank z osebnimi podatki pooblaščenega strokovnega delavca IP še pojasnjuje, da bi v primeru, ko bi varovanec uveljavljal pravico dostopa posameznika, na katerega se nanašajo osebni podatki, v skladu s členom 15 Splošne uredbe o varstvu podatkov, banka ali center za socialno delo kot upravljavec lahko varovancu razkrila le podatke, ki se nanašajo na varovanca. Prav tako se pravica do dostopa skladno z določbo 15(4) Splošne uredbe o varstvu podatkov lahko omeji v primeru, če bi to lahko negativno vplivalo na pravice in svoboščine drugih. Glede vaših navedb, da se listine z osebnimi podatki pooblaščenih strokovnih delavcev nahajajo v spisu in se z njimi lahko seznanijo stranke, kar ima v določenih primerih lahko hude posledice, pa IP dodaja, da za interpretacijo 82. člena Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07, 65/08, 8/10, 82/13, 175/20 – ZIUOPDVE in 3/22 – ZDeb) ni pristojen, vendar meni, da bi se lahko rešitev iskala na primer v specialni zakonodaji oziroma organizaciji samega upravnega spisa.

 

 

Lepo vas pozdravljamo,

 

 

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka