Pridobivanje OP s strani banke ob nakupu tuje valute

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 13. 8. 2021 prejel vaše elektronsko sporočilo, v katerem navajate, da ste v banki, v kateri niste komitent, želeli kupiti 400 kun (za cca. 50 EUR) in da je bančna uslužbenka od vas zahtevala osebni dokument. Ob vnašanju podatkov iz vašega vozniškega dovoljenja v računalnik vam je povedala, da ste nekoč že nekaj urejali v njihovi banki in da mora obnoviti vaše podatke. Sledila so vprašanja, ali ste poročeni, naslov, telefonska številka, elektronski naslov, poklic, kje delate, kaj delate... Povedali ste ji, da ne želite odgovarjati na vprašanja, ampak le kupiti kune, saj se vam ne zdi potrebno da ima banka, v kateri niste komitent, vse vaše podatke. Pristopila je tudi pomočnica vodje poslovalnice in vam razložila, da kun ne morete kupiti, če ne odgovorite na zastavljena vprašanja. Zanima vas, ali je zakonito, da morate za nakup kun navesti cel kup svojih osebnih podatkov na banki, pri kateri niste komitent, in ali lahko sprožite kakšen postopek pri pristojni inšpekcijski službi.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Po mnenju IP bi banka ob izvajanju transakcije nakupa tuje valute, četudi niste njen komitent, lahko imela ustrezno podlago za pridobivanje vaših osebnih podatkov, ki izhaja iz zakonskih zahtev (točka (c) prvega odstavka 6. člena Splošne uredbe), pri čemer je dolžna spoštovati vsa načela varstva osebnih podatkov, vključno z načelom najmanjšega obsega podatkov, ter vas ob pridobivanju osebnih podatkov seznaniti z ustreznimi informacijami po 13. členu Splošne uredbe, vključno z namenom in pravno podlago obdelave.    

Obrazložitev:

Splošna uredba v prvem odstavku 6. člena opredeljuje zakonite pravne podlage za obdelavo osebnih podatkov, in sicer: privolitev, sklenitev ali izvajanje pogodbe, izvajanje zakonskih zahtev oziroma izvajanje javnih nalog in zakoniti interesi, ki prevladajo nad interesi posameznika; pri tem je za zakonitost obdelave dovolj, da je izpolnjena ena od navedenih pravnih podlag – npr. če zakon banki nalaga pridobivanje določenih osebnih podatkov o posamezniku, banka za obdelavo teh osebnih podatkov ne potrebuje še njegove privolitve oziroma dovoljenja.

Banka je pri opravljanju bančnih storitev podvržena zahtevam številnih zakonov, ki ji med drugim nalagajo obdelavo (pridobivanje, hrambo…) različnih osebnih podatkov za različne namene, npr. Zakon o potrošniških kreditih, Zakon o preprečevanju pranja denarja in financiranja terorizma, Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih itd. Lahko pa banka osebne podatke posameznikov obdeluje tudi na drugih pravnih podlagah iz prvega odstavka 6. člena Splošne uredbe, zlasti na podlagi privolitve ali zaradi sklepanja ali izvajanja pogodbe. V vsakem primeru je banka dolžna posameznikom ob vsakem pridobivanju njihovih osebnih podatkov nuditi ustrezne informacije v skladu s 13. členom Splošne uredbe, med drugim o namenu in pravni podlagi obdelave in obdobju hrambe, česar pa v vašem primeru očitno ni storila. IP sklepa, da bi zahteva po podatkih v vašem primeru lahko izhajala iz predpisov o preprečevanju pranja denarja, pri čemer pa je banka še vedno dolžna spoštovati osnovna načela obdelave osebnih podatkov iz prvega odstavka 5. člena Splošne uredbe, med drugim načelo najmanjšega obsega podatkov, ki določa, da morajo biti podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Glede na navedeno bi banka ob izvajanju transakcije nakupa tuje valute, četudi niste njen komitent, po mnenju IP lahko imela podlago za pridobivanje vaših osebnih podatkov (ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo), ki izhaja iz zakonskih zahtev (točka (c) prvega odstavka 6. člena Splošne uredbe), vas je pa bila banka ob pridobivanju vaših osebnih podatkov dolžna seznaniti z informacijami po 13. členu Splošne uredbe, vključno z namenom in pravno podlago obdelave.

V primeru, da se želite seznaniti z informacijami, ki vam bi jih banka morala na podlagi 13. člena Splošne uredbe zagotoviti ob pridobivanju vaših osebnih podatkov, oziroma se želite seznaniti s podatki, ki jih banka vodi o vas, vam predlagamo, da naknadno zahtevate informacije po 13. členu Splošne uredbe oziroma zahtevate dostop do vaših osebnih podatkov in informacije v skladu s 15. členom Splošne uredbe (pri tem si lahko pomagate z obrazcem, objavljenim na spletni strani IP - Obrazec SLOP). Banka vam zahtevane informacije mora zagotoviti, v primeru, da vam jih ne bi želela posredovati, ali da bi se izkazalo, da za obdelavo vaših osebnih podatkov, kot ste jo opisali, nima ustrezne pravne podlage, ali da od posameznikov zahteva več podatkov, kot jih potrebuje za dosego zakonitega namena, pa lahko pri IP podate prijavo oziroma pritožbo.

Na podlagi odgovora banke glede pravne podlage za obdelavo vaših osebnih podatkov ob nakupu tuje valute se boste lahko obrnili tudi na kak drug pristojni nadzorni organ (npr. Urad za preprečevanje pranja denarja ali Banko Slovenije), v primeru, da boste ocenili, da gre za kršitev predpisov s pripadajočega področja, ki jih banka navaja kot pravno podlago za obdelavo vaših osebnih podatkov, kršitev pa presega pristojnosti IP.       

S spoštovanjem,

Pripravila:                                                                                

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka