Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pridobivanje informacij o vpogledih v transakcijski račun s strani banke

+ -
Datum: 09.03.2023
Številka: 07121-1/2023/339
Kategorije: Pravica do seznanitve z lastnimi osebnimi podatki

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da se je na vas obrnila stranka, ki meni, da ji je nekdo neupravičeno posegel v osebne podatke, in sicer opravil vpogled v njen osebni transakcijski račun. S strani banke ste dobili odgovor samo, kdaj in kolikokrat je bilo vpogledano v TRR vaše stranke, ne želijo pa odgovoriti, s kakšnim namenom so bili vsi vpogledi opravljeni. Zanima vas, ali lahko vaša stranka s pomočjo IP pridobi podatke o točnem datumu vpogleda v TRR vaše stranke ter o namenu vpogleda za konkreten datum in uro.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Posameznik ima skladno s prvim odstavkom 15. člena Splošne uredbe pravico prejeti določene informacije o obdelavi njihovih osebnih podatkov, med drugim tudi informacije o namenu obdelave. IP se v neobveznem mnenju, torej izven konkretnega nadzornega postopka, žal ne more opredeliti do vprašanja, do katerih informacij o obdelavi osebnih podatkov konkretno je vaša stranka upravičena, saj bi s tem prejudiciral morebitno odločitev v nadzornem postopku. Glede datuma in ure vpogleda se IP na tem mestu torej ne more opredeliti, saj je med drugim presoja odvisna tudi od postavljene zahteve, načina vodenja teh informacij pri upravljavcu in morebitnih drugih okoliščin.

V primeru zavrnjene pravice do informacij po 15. členu Splošne uredbe, se lahko vaša stranka zoper odločitev banke pritoži pri Informacijskem pooblaščencu, možna pa je tudi pritožba oz. prijava v primeru suma kršitve varstva osebnih podatkov, kot je denimo nepooblaščeno vpogledovanje v osebne podatke v transakcijskem računu.

O b r a z l o ž i t e v:

IP pojasnjuje, da ima vsak posameznik skladno z določbami Splošne uredbe pravico pridobiti v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku določene informacije o obdelavi osebnih podatkov ter dostop do samih osebnih podatkov.

Posameznik ima tako skladno s prvim odstavkom 15. člena pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a) namene obdelave;

(b) vrste zadevnih osebnih podatkov;

(c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f) pravico do vložitve pritožbe pri nadzornem organu;

(g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Informacije o obdelavi lahko torej vaša stranka zahteva od upravljavca osebnih podatkov, pri čemer si lahko pomaga z neobveznim obrazcem zahteve za dostop do lastnih osebnih podatkov, ki je dosegljiva na spletni strani: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/ - obrazec Zahteva za seznanitev z lastnimi osebnimi podatki.

Upravljavec osebnih podatkov ima nato dolžnost, da vaši stranki zahtevane informacije o obdelavi osebnih podatkov zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve, ali pa vas obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.

Kot razumemo, je vaša stranka zahtevo že podala, ta pa je bila vsaj delno zavrnjena.

Če je torej upravljavec zahtevo vaše stranke že zavrnil (skupaj z razlogi za zavrnitev ter pravico do pravnega sredstva) ali o zahtevi ni vsebinsko odločil v roku enega meseca (kot določa Splošna uredba), se lahko s pritožbo v roku 15 dni obrne na Informacijskega pooblaščenca, ki je nadzorni organ, pristojen za obravnavo takšnih pritožb. Tudi za ta primer si lahko vaša stranka pomaga z obrazcem, objavljenim na zgornji povezavi (obrazec Pritožba).

IP se v neobveznem mnenju, torej izven konkretnega nadzornega postopka, ne more opredeliti do vprašanja, do katerih informacij o obdelavi osebnih podatkov je vaša stranka upravičena, saj bi s tem prejudiciral morebitno odločitev v nadzornem postopku. Vendar si lahko pri presoji vsekakor pomagate z zgoraj opredeljenimi pravicami do informacij, ki med drugim zajemajo pravico do informacije o namenih obdelave, in sicer iz prakse IP izhaja, da se pravica nanaša na vsako obdelavo osebnih podatkov. Glede datuma in ure vpogleda pa se IP na tem mestu ne more opredeliti, saj je med drugim presoja odvisna tudi od postavljene zahteve, načina vodenja teh informacij pri upravljavcu in morebitnih drugih okoliščin.

Nadalje lahko iz prakse IP dodatno navedemo še, da posameznik ni upravičen do podatka o tem, »kdo« znotraj upravljavca obdeluje osebne podatke posameznika, temveč le, katerim »uporabnikom« so bili ali jim bodo razkriti osebni podatki. Uporabnik pa je pojem, ki se nanaša na t.i. zunanje subjekte, ne na notranje, torej na osebe izven organizacijske strukture upravljavca.

V primeru suma zlorabe osebnih podatkov lahko vaša stranka vloži tudi prijavo zaradi kršitve varstva osebnih podatkov, pri čemer ima nato IP kot nadzorni organ vsa potrebna pooblastila za preiskavo suma kršitve varstva osebnih podatkov, kot je denimo nepooblaščeno vpogledovanje v osebne podatke v transakcijskem računu.

Če povzamemo, IP žal konkretno ne more odgovoriti na vaše vprašanje, zato smo v mnenju podali le nekaj usmeritev, lahko pa o pritožbi vaše stranke odloči v morebitnem nadzornem postopku glede uveljavljanja pravice do informacij po prvem odstavku 15. člena Splošne uredbe ali v morebitnem nadzornem postopku zaradi suma kršitve varstva osebnih podatkov (pri tem roka za vložitev prijave ni, kot to velja v primeru izpodbijanja odločitve upravljavca o pravici do informacij o obdelavi osebnih podatkov).

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov