Informacijski pooblaščenec Republika Slovenija
Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Javno dostopna davčna številka samostojnega podjetnika na AJPES v postopkih preverjanja identitete posameznika

+ -
Datum: 13.09.2023
Številka: 07121-1/2023/1141
Kategorije: Davčni postopki, EMŠO in davčna, Pravica do seznanitve z lastnimi osebnimi podatki, Svetovni splet

Na podlagi vašega zaprosila podajamo mnenje Informacijskega pooblaščenca (IP) glede javno objavljene davčne številke samostojnih podjetnikov v evidenci AJPES, ki je enaka davčni številki posameznika, ki ustanovi s.p. in njene uporabe v postopkih preverjanja identitete posameznika, kar po vašem mnenju predstavlja veliko tveganje za zlorabo in krajo identitete. Navajate, da ste s strani bank, mobilnih operaterjev, zavarovalnic in ostalih verodostojnih institucij že večkrat bili pozvani k identifikaciji s pomočjo davčne številke.

Opirate se na dejstvo, da je ob ustanovitvi s.p. zavezancu avtomatsko dodeljena davčna številka, ki je enaka osebni davčni številki fizične stranke (osebe, ki ne opravlja dejavnosti). Do nedavnega, ko svojega s.p. niste imeli odprtega, vaša davčna številka ni bila javno objavljena, z ustanovitvijo s.p. pa je podatek postal popolnoma javen. Po pregledu zakonodaje ste ugotovili, da zakon o davčnem postopku ne predvideva možnosti dodelitve ločene davčne številke, tako kot jo lahko zavezanci pridobijo v drugih oblikah pravnih oseb (d.o.o., d.n.o., ipd.). Izpostavljate izjavo z IP portala, da je davčna številka (tako kot EMŠO), enolični identifikacijski znak, ki posameznika nedvoumno določi in zato menite, da bi dodelitev nove, ločene davčne številke ob ustanovitvi s.p. morala biti pravica in v interesu javnosti, saj je davčna številka državljana neizbrisljiv in nezamenljiv osebni podatek.

Informacijski pooblaščenec (v nadaljevanju: IP) na podlagi 5. točke prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/23, v nadaljevanju: ZVOP-2), 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) uvodoma poudarja, da ne more mnenju presojati dopustnosti konkretnih obdelav osebnih podatkov ali ustreznosti njihove varnosti, zato vam v zvezi z vašim zaprosilom posredujemo naše neobvezujoče mnenje.

Način in pogoje dodelitve davčne številke davčnemu zavezancu urejata zakon, ki ureja davčni postopek in zakon, ki ureja finančno upravo, javnost podatka davčne številke samostojnega podjetnika pa zakon, ki določa pravila ustanovitve gospodarskih družb in samostojnih podjetnikov posameznikov, v povezavi z zakonom, ki predpisuje vodenje in vzdrževanje poslovnega registra AJPES.

Prevzem identitete druge osebe ali izkoriščanje njenih pravic z obdelavo njenih osebnih podatkov (lahko že zgolj z enkratno, nepooblaščeno uporabo identifikatorja kot je davčna številka), da se na njen račun pridobiva (ne)premoženjsko korist ali prizadene njeno dostojanstvo je kaznivo dejanje, ki se v skladu s kazenskih zakonikom preganja na predlog.

Upravljavec osebnih podatkov mora skladno z določbami 32. člena Splošne uredbe zagotavljati ustrezno raven varnosti (zbirk) osebnih podatkov glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati in pod izpolnjenimi dokazljivimi pogoji iz drugega odstavka 11. člena in šestega odstavka 12. člena Splošne uredbe zagotavljati vse razumne ukrepe za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki in ki zahteva dostop do podatkov ali uresničevanje drugih svojih pravic, še zlasti v okviru telefonskih in spletnih storitev.

IP k zapisanemu v vašem zaprosilu dodaja, da se zaveda problematike, ki jo izpostavljate glede podatkov z dvojno naravo, kamor se umešča tudi podatek davčne številke samostojnih podjetnikov in fizičnih oseb, ki opravljajo dejavnost, ki se vsebinsko v celoti prekriva s podatkom posameznikov kot fizičnih oseb, na kar posameznik nima nobene možnosti vpliva, saj vsebinsko isti podatek predstavlja v določenem kontekstu podatek fizične osebe, hkrati pa v kontekstu obstoja poslovnega subjekta že po samem zakonu tudi podatek poslovnega subjekta. Glede javno objavljenih podatkov samostojnih podjetnikov z dvojno naravo je IP v svojih mnenjih že večkrat odgovarjal, zato vas v zvezi s tem vabimo, da se seznanite z njimi in zgolj primeroma navajamo nekaj hitrih spletnih povezav do mnenj s predmetno vsebino na IP spletnih straneh:

https://www.ip-rs.si/mnenja-gdpr/6048a64137f85

https://www.ip-rs.si/mnenja-gdpr/6048a57a366a8

https://www.ip-rs.si/mnenja-gdpr/6048a4879ea99

Način in pogoje dodelitve davčne številke davčnemu zavezancu urejata zakon, ki ureja davčni postopek in zakon, ki ureja finančno upravo, javnost podatka davčne številke samostojnega podjetnika pa zakon, ki določa pravila ustanovitve gospodarskih družb in samostojnih podjetnikov posameznikov, v povezavi z zakonom, ki predpisuje vodenje in vzdrževanje poslovnega registra. V primeru, ko in dokler posameznik nastopa kot aktivni nosilec pridobitne dejavnosti, je pravica do varstva osebnih podatkov posameznika kot fizične osebe okrnjena (zlasti) iz razloga varnosti pravnega prometa, v javnem interesu, ki prevlada nad pravico do varstva zasebnosti, torej tudi nad pravico varovanja podatkov z dvojno naravo. IP tako nima neposrednega vpliva na ta del izpostavljene problematike in bi na vprašanje, ali so obravnavani posegi zakonodajalcev v konkretnem primeru nujen in primeren (ukrep) za zagotovitev zasledovanih ciljev, lahko odgovorila ustavnopravna presoja.

V obravnavanem zaprosilu je z vidika pristojnosti IP in nadzora skladnosti upravljavcev osebnih podatkov s predpisi varstva osebnih podatkov veliko bolj pereča problematika zagotavljanja ustrezne ravni varnosti (zbirk) osebnih podatkov glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati, skladno z določbami 32. člena Splošne uredbe, v razmerju z zagotavljanjem vseh razumnih (sorazmernih) ukrepov za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki in ki zahteva dostop do podatkov ali uresničevanje drugih svojih pravic, zlasti v okviru telefonskih in spletnih storitev, pod izpolnjenimi pogoji iz drugega odstavka 11. člena in šestega odstavka 12. člena Splošne uredbe, katere mora upravljavec biti zmožen dokazati. IP se ves čas srečuje s primeri, ko so ukrepi za identifikacijo posameznikov v postopkih preverjanja identitete za dostop do osebnih podatkov neustrezni (npr. podnormirani - v primerih preverjanja klicateljev na podlagi enega samega identifikatorja ali prenormirani - v primerih zbiranja osebnih podatkov za posredovanje splošnih informacij ali spletnega preverjanja posameznikov na podlagi predložitve sebka oz. »selfi« ipd.) in tudi s primeri, ko upravljavci IP kot nadzornemu organu ne morejo dokazati upravičenih dvomov ali drugih razlogov, zaradi katerih od posameznikov zahtevajo zagotovitev dodatnih informacij v zvezi z njihovo identifikacijo.

Kot že sami ugotavljate, številni zavezanci po Splošni uredbi zlasti ne posvečajo dovolj pozornosti ustrezni identifikaciji posameznikov za dostop do osebnih podatkov po telefonu (npr. storitve po sklenjeni pogodbi, stanje o neplačanih računih, podatki o dolgu, podatki na izstavljenih računih ipd.). Upoštevajoč dejstvo, da so davčne številke vseh samostojnih podjetnikov, kulturnikov, sobodajalcev in drugih, ki kot posamezniki opravljajo kako dejavnost, javno objavljene v številnih bazah podatkov in na številnih spletnih straneh, preverjanje klicateljev, kjer se zahteva zgolj ta identifikator, praviloma ni ustrezen, saj omogoča krajo identitete in zlorabe osebnih podatkov ter lahko predstavlja kršitev določb Splošne uredbe o varnosti podatkov, razkritje davčne ali bančne tajnosti ter drugih zaupnih podatkov, kot so npr. podatki o zdravstvenem stanju. Je pa k temu treba pripomniti, da je tudi telefonska številka s katere posamezniki kličejo lahko eden od identifikatorjev, ki ga upravljavci lahko imajo zakonito zabeleženega v svoji zbirki kontaktnih podatkov in ga upoštevajo v postopku identifikacije skupaj z davčno številko, pa se posameznikom zgolj zdi, da se preverja le slednja.

Glede na navedeno, IP zavezance posamezno v nadzoru ali sistematično prek relevantnih združenj v okviru svojih preventivnih aktivnosti na podlagi določb 57. člena Splošne uredbe, redoma poziva k preverjanju in prilagoditvi postopkov za identifikacijo posameznikov, še zlasti v okviru dejavnosti posredovanja osebnih podatkov po telefonu, kjer priporoča, da se vedno, ko oseba po telefonu zahteva svoje osebne podatke, od nje zahteva navedba vsaj dveh identifikatorjev in ne samo davčna številka ali samo EMŠO. Drugi podatek bi moral biti tak, da je malo verjetno, da bi lahko z njimi razpolagala tretja oseba in jih zlorabila za nepooblaščeno seznanitev z osebnimi podatki (odvisno od okoliščin – npr. številka zadnjega računa, številka dohodninske odločbe, številka zadeve, vnaprej določeno geslo, datum zadnjega obiska ali določenega dokumenta) ali tak, da ga lahko zavezanec preveri v svojih zbirkah podatkov.

IP še enkrat poudarja, da zgoraj navedeno velja takrat, ko je identifikacija posameznika potrebna (npr. ko posameznik uveljavlja svoje pravice, spreminja pogodbo, zahteva dostop do svojih osebnih podatkov, itd.), ne pa tudi splošno za vse klice, tudi ko preverjanje identitete kličočega ni potrebno (npr. ko posameznik povprašuje po splošnih informacijah).