Pridobivanje kopije osebne izkaznice s strani banke

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 15. 6. 2022 prejel vaše elektronsko sporočilo, iz katerega izhaja, da ste od banke prejeli dopis, v katerem vas prosijo, da jim dostavite vaš veljaven dokument (osebno izkaznico, potni list ali vozniško dovoljenje). Zanima vas, zakaj ga potrebujejo, saj jim ga lahko vedno pokažete.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Po mnenju IP ima banka v vašem primeru ustrezno pravno podlago za pridobivanje kopije vašega osebnega dokumenta, vam je pa kot upravljavec osebnih podatkov takrat, ko od vas pridobiva osebne podatke, dolžna predstaviti vse potrebne informacije o njihovi obdelavi.

Splošna uredba v prvem odstavku 6. člena[1] opredeljuje zakonite pravne podlage za obdelavo osebnih podatkov, in sicer: privolitev, sklenitev ali izvajanje pogodbe, izvajanje zakonskih zahtev oziroma izvajanje javnih nalog in zakoniti interesi, ki prevladajo nad interesi posameznika; pri tem je za zakonitost obdelave dovolj, da je izpolnjena ena od navedenih pravnih podlag – npr. če zakon banki nalaga pridobivanje določenih osebnih podatkov o posamezniku, banka za obdelavo teh osebnih podatkov ne potrebuje še njegove privolitve oziroma dovoljenja.

Iz dopisa, ki ste ga prejeli od banke, izhaja, da je banka pri pregledu podatkov o veljavnosti osebnega dokumenta, s katerim ste se identificirali, zaznala, da veljavnost tega osebnega dokumenta poteče, zato vas prosi, da jim kopijo veljavnega osebnega dokumenta posredujete po elektronski pošti, se z veljavnim dokumentom oglasite v poslovalnici banke ali obiščete Pošto Slovenije in tam oddate obojestransko kopijo veljavnega dokumenta.

Po mnenju IP bi podlaga za takšno zahtevo banke lahko izhajala iz določb Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, v nadaljevanju: ZPPDFT-2), v skladu s katerimi so banke dolžne izvajati določene ukrepe. ZPPDFT-2 v 3. točki drugega odstavka 17. člena določa, da zavezanci (med katerimi so tudi banke) pri opravljanju svojih dejavnosti izvajajo naloge, ki med drugim obsegajo izvajanje ukrepov za poznavanje stranke (pregled stranke), kar zajema tudi ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov (1. točka prvega odstavka 21. člena ZPPDFT-2). V prvem odstavku 29. člena je določeno, da zavezanec (banka) za stranko, ki je fizična oseba, ugotovi in preveri njeno istovetnost ter pridobi potrebne podatke (v skladu z 2. točko prvega odstavka 150. člena ZPPDFT-2 so to: osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta) z vpogledom v osebni dokument stranke ob njeni osebni navzočnosti. V skladu z drugim odstavkom 32. člena ZPPDFT-2 pa banka v okviru ugotavljanja in preverjanja istovetnosti stranke lahko dobi zahtevane podatke o stranki iz 2. točke prvega odstavka 150. člena tudi iz kopije uradnega osebnega dokumenta, ki jo te osebe pošljejo zavezancu v papirnati ali digitalni obliki; če na ta način ni mogoče pridobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo neposredno od stranke.

Po definiciji iz 55. točke 3. člena ZPPDFT-2 je »osebni dokument« vsaka s fotografijo opremljena veljavna listina, ki jo izda pristojni državni organ Republike Slovenije ali druge države in ki se po pravu države izdajateljice šteje za javno listino. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke (1. odstavek 29. člena). Če banka ukrepov iz 3. točke prvega odstavka 17. člena ne more izvesti, v skladu s prvim odstavkom 26. člena ne sme skleniti poslovnega razmerja ali opraviti transakcije oziroma mora prekiniti poslovno razmerje, če je to že sklenjeno. ZPPDFT-2 v prvem odstavku 54. člena določa še, da je banka dolžna skrbno spremljati poslovne aktivnosti, ki jih izvajajo stranke, kar vključuje tudi preverjanje in posodabljanje pridobljenih listin in podatkov o stranki.

Iz dopisa, ki ste ga prejeli od banke, izhaja, da je osebnemu dokumentu, ki ga imajo v bančni evidenci in s katerim je banka izvedla identifikacijski postopek, potekla veljavnost. Ne glede na to, da banka zakonske podlage za svojo prošnjo za posredovanje vaših osebnih podatkov v dopisu ni opredelila, IP domneva, da njena zahteva temelji na predhodno navedenih določbah ZPPDFT-2 in bi posledično lahko bila zakonsko dopustna, pri čemer izpostavljamo, da IP sicer ni pristojen za tolmačenje izvajanja zahtev, ki jih bankam nalaga ZPPDFT-2 (temveč je to Urad RS za preprečevanje pranja denarja).

Glede na to, da zakonito obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe predstavlja tudi obdelava, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, pridobivanje osebnih podatkov v obliki veljavnega osebnega dokumenta pa je mogoče uvrstiti med zgoraj opisane ukrepe za poznavanje strank, ki so jih dolžne izvajati banke v skladu z določbami ZPPDFT-2, ima banka v vašem primeru po mnenju IP ustrezno pravno podlago za pridobivanje kopije vašega osebnega dokumenta. Vse to vam je dolžna pojasniti tudi banka in vam takrat, ko od vas pridobiva osebne podatke, v skladu s 13. členom Splošne uredbe[2] predstaviti vse potrebne informacije.

Če o podlagi za predmetno zbiranje osebnih podatkov še vedno dvomite, vam predlagamo, da se obrnete na banko, ki vam je dolžna pojasniti vse relevantne okoliščine zahteve za predložitev kopije osebnega dokumenta, tj. osebnih podatkov, ter vam podati vse potrebne informacije o njihovi obdelavi.

Lep pozdrav,

Pripravila:

Mojca Leitinger Okršlar, 

državna nadzornica za varstvo osebnih podatkov

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

[1] Prvi odstavek 6. člena Splošne uredbe se glasi: Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev: (a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;  (b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;  (c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;  (d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe; (e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;  (f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Pri tem se točka (f) prvega pododstavka ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

[2] Prvi odstavek 13. člena Splošne uredbe se glasi: Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije: (a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja; (b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja; (c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo; (d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba; (e) uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo; (f) kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo. Drugi odstavek istega člena nadalje določa, da upravljavec takrat, ko pridobi osebne podatke o posamezniku, na katerega se ti nanašajo, zagotovi dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave: (a) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja; (b) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov; (c) kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica; (d) pravico do vložitve pritožbe pri nadzornem organu; (e) ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in (f) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.