Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 22.11.2007
Naslov: Zbiranje EMŠO in davčne, fotokopiranje osebnih dokumentov
Številka: 0712-995/2007/2
Vsebina: Bančništvo
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je prejel vaš dopis, v katerem nas seznanjate s svojimi stališči glede zbiranja obeh identifikacijskih znakov (tako enotne matične številke občana kot tudi davčne številke) in glede fotokopiranja osebnih dokumentov v finančnih organizacijah. Kot razloge za zbiranje obeh identifikacijskih znakov med drugim navajate, da potrebujejo banke tako davčno številko kot tudi enotno matično številko občana (v nadaljevanju EMŠO) zaradi poizvedb sodišč (ki uporabljajo za identifikacijo EMŠO) in v zvezi z nekaterimi drugimi dejanji (npr. EMŠO v zvezi s hipoteko, zastavno pravico) ter zaradi davčnih zadev (kjer se za identifikacijo in povezljivost uporablja davčna številka). Hkrati pojasnjujete, da gre po vašem mnenju v primeru fotokopiranja osebnih dokumentov za izjemo po tretjem odstavku 10. člena Zakona o varstvu osebnih podatkov, torej uresničevanje zakonitih interesov zasebnega sektorja, ki po vašem mnenju v tem primeru očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

V zvezi s stališči, na katera opozarjate, je z vidika varstva osebnih podatkov, za katerega je pristojen Pooblaščenec, pomembno predvsem:

1.    Ali in v katerih primerih obstaja pravna podlaga za zbiranje obeh identifikacijskih znakov?
2.    Ali in v katerih primerih obstaja pravna podlaga za fotokopiranje osebnih dokumentov in shranjevanje takšnih fotokopij?


V nadaljevanju vam zato na podlagi vašega elektronskega sporočila ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo; ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji:

1.    Banke v skladu z ZVOP-1, predvsem načelom sorazmernosti, nimajo pravne podlage, da bi 'avtomatično' za vse stranke zbirale poleg davčne številke tudi EMŠO, torej oba enolična identifikatorja hkrati. To lahko storijo le za tiste primere in namene, ko obstaja ustrezna pravna podlaga za zbiranje obeh identifikacijskih številk o posameznikih npr. v primeru vpisa hipotek v zemljiško knjigo.

2.    Banke v področnih zakonih nimajo pravne podlage za fotokopiranje osebnih dokumentov posameznikov, slednje je v nasprotju s 1. odstavkom 8. člena ZVOP-1, saj pomeni prekomerno obdelavo osebnih podatkov.

O b r a z l o ž i t e v:

1. Pravna podlaga za zbiranje obeh identifikatorjev (EMŠO in davčne številke) s strani bank
Splošno pravno podlago za obdelavo osebnih podatkov v zasebnem sektorju ureja 10. člen ZVOP-1, ki v prvem odstavku določa, da se v zasebnem sektorju osebni podatki (kamor nedvomno sodita EMŠO in davčna številka) lahko obdelujejo na podlagi zakona ali osebne privolitve. Pri vprašanju dopustnosti obdelave obeh osebnih podatkov o EMŠO in davčni številki pa je pomembno upoštevati tudi načelo sorazmernosti, ki ga določa 3. člen ZVOP-1 ter določila specialnih zakonov. Načelo sorazmernosti zahteva, da so osebni podatki, ki se obdelujejo ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Načelo velja za vsakršno obdelavo osebnih podatkov, tudi za obdelavo, ki jo izvajajo subjekti zasebnega sektorja na podlagi osebne privolitve posameznika ali če so z njim v pogodbenem razmerju. V primeru EMŠO in davčne številke sta bistvena tudi specialna zakona, ki v določeni meri v zvezi z obdelavo obeh omenjenih osebnih podatkov nadgrajujeta določila ZVOP-1. Za razumevanje obravnavane problematike je zato najprej treba osvetliti osnovne pojme, kot izhajajo iz področne zakonodaje in iz katerih so razvidni zakonsko dopustni okviri tolmačenja uporabe EMŠO ter davčne številke z vidika ustavno in zakonsko opredeljenega varstva pravice posameznika do varstva osebnih podatkov.

1.1. Posebna pravna podlaga za obdelavo EMŠO
Zakon o centralnem registru prebivalstva (Uradni list RS, št. 72/06, uradno prečiščeno besedilo; ZCRP) v prvem odstavku 6. člena določa, da je EMŠO v Republiki Sloveniji osebna identifikacijska številka (temeljni, z matematično metodo izračunani numerični standard) in je identifikacija za enoznačno opredelitev posameznika. V drugem odstavku istega člena pa ZCRP določa, da je identifikacija namenjena vodenju in vzdrževanju zbirk podatkov o prebivalstvu, povezovanju podatkov v teh zbirkah ter racionalizaciji dela državnih organov in drugih uporabnikov, ki imajo zakonsko podlago. ZCRP je za uporabo EMŠO specialni zakon, kar pomeni, da ZCRP glede osebnega podatka o EMŠO sledi oziroma še zaostruje splošno določilo ZVOP-1, ko v 9. členu določa upravljavce zbirk podatkov (registrov, evidenc ipd.), ki morajo uporabljati EMŠO (mednje banke ne sodijo) ter druge upravljavce, ki še lahko obdelujejo EMŠO in morajo, ko pridobivajo EMŠO navesti zakonsko podlago in namen pridobivanja EMŠO, v primeru pisne privolitve pa posameznika seznaniti z namenom pridobivanja.

1.2. Posebna pravna podlaga za obdelavo davčne številke
V zvezi z obdelavo osebnega podatka o davčni številki je bistven predvsem Zakon o davčnem postopku (Uradni list RS, št. 117/06; ZDavP-2), ki v 33. členu določa, da se zavezancu za davek pod določenimi zakonskimi pogoji dodeli davčna številka, ki se uporablja v zvezi z vsemi davki. Iz 34. člena ZDavP-2 izhaja, da mora zavezanec za davek davčno številko navesti med drugim tudi na vseh dokumentih, če je tako določeno z ZDavP-2, zakonom o obdavčenju ali drugim zakonom. V zvezi s tem 35. člen v tretjem odstavku določa, da mora vsaka oseba ob odprtju računa pri banki ali hranilnici ali pri izvajalcu plačilnega prometa po zakonu, ki ureja plačilni promet, predložiti svojo davčno številko, razen če v skladu z zakonom, ki ureja davčni register, ni vpisana v davčni register. Obveznosti izvajalcev plačilnega prometa v povezavi s tem pa so opredeljene v 37. členu ZDavP-2, in sicer smejo ti, razen v primerih v zvezi z izplačilom dohodka iz petega oziroma šestega odstavka 35. člena tega zakona, odpirati transakcijske račune pravnih in fizičnih oseb le ob predložitvi njihove davčne številke, če so ti vpisani v davčni register.

1.3. Hkratno zbiranje obeh identifikacijskih številk
Pooblaščenec najprej opozarja na odločbo Ustavnega Sodišča Republike Slovenije, št. U-I-229/03, z dne 9.2.2006, kjer je sodišče med drugim zapisalo, da popolno identifikacijo posameznika omogoča tako podatek o EMŠO kot tudi podatek o davčni številki. Po mnenju Ustavnega sodišča RS to pomeni, da je določitev kar dveh podatkov, ki omogočata popolno identifikacijo posameznika odveč, saj zadostuje zgolj eden.

EMŠO pomeni primarni ključ za posamično identifikacijo osebe. Iz njega je mogoče preprosto razbrati tudi podatke o starosti posameznika, njegovem spolu, rojstnem datumu. Vsi ti podatki niso za sklenitev pogodbe z banko ne potrebni in ne primerni, za namene identifikacije tako zadošča davčna številka. Pooblaščenec na podlagi navedenega, zato ne spreminja svojega stališča, da je za enoznačno identifikacijo v primeru bank dovolj le ena številka, in sicer davčna številka, katere zbiranje je za banke v večini primerov tudi obvezno po ZDavP-2, zbiranje obeh pa pomeni lahko prekomerno obdelavo osebnih podatkov in je nedvomno v neskladju z načelom sorazmernosti iz 3. člena ZVOP-1, saj je že eden od teh osebnih podatkov dovolj, da se posameznika nedvoumno določi.

Argumenta, ki ga navajate, in sicer, da je zbiranje EMŠO potrebno za kasnejšo morebitno identifikacijo v zvezi z morebitnimi poizvedbami tretjih oseb (npr. sodišč) po mnenju Pooblaščenca ni mogoče razumeti kot pravno podlago, ki bi razveljavila določila ZVOP-1 in prevladala nad pravico posameznika do zasebnosti. Tovrstnih podatkov namreč ni in ne more biti dopustno zbirati 'na zalogo' za morebitne potrebe v prihodnosti, do katerih v večini primerov niti ne pride. Pri tem je poleg dejstva, da ne obstaja konkretna zakonska podlaga za zbiranje obeh identifikacijskih številk in načela sorazmernosti, kot ga je v zg. cit.odločbi opredelilo Ustavno sodišče, pomembno tudi to, da je podatek o EMŠO za posameznika zelo pomemben z vidika potencialnih zlorab v zvezi s krajo identitete.

Pooblaščenec se zato ne strinja z interpretacijo, da potrebo po zbiranju obeh identifikacijskih številk opravičuje dejstvo, da tretje osebe (navajate le primer sodišč) v svojih poizvedbah uporabljajo EMŠO. Sodišča bi namreč lahko poizvedbe opravljala tudi z uporabo davčne številke. V skladu s 13. členom Zakona o sodiščih (Uradni list RS, št. 94/07, uradno prečiščeno besedilo; ZS) so namreč upravljavci zbirk osebnih in drugih varovanih podatkov, ki razpolagajo s podatki, ki so sodišču potrebni za ugotovitev ali presojo dejstev v zvezi z vodenjem postopkov ali za odločanje v postopkih iz pristojnosti sodišč, dolžni, na obrazloženo zahtevo sodnika, brezplačno in v najkrajšem možnem roku posredovati zahtevane podatke. Iz tega izhaja, da imajo sodišča pravico in ustrezno zakonsko podlago, da pridobijo davčno številko, ki zadošča kot popoln identifikator za pridobivanje podatkov od bank.

V kolikor za posamezne primere obstaja zakonska podlaga, bi lahko bilo zbiranje obeh osebnih podatkov dopustno, vendar zgolj v takšnih posameznih primerih in ne na splošno vnaprej za vse. Takšen primer je vpis hipoteke v zemljiško knjigo v skladu z Zakonom o zemljiški knjigi (Uradni list RS, št. 58/03, uradno prečiščeno besedilo; ZZK-1). Tako v zvezi z zemljiškoknjižnim dovolilom 32. člen ZZK-1 določa, da  mora biti v njem oseba, ki dovoljuje vpis v zemljiško knjigo, označena s podatki, s katerimi je vpisana v zemljiški knjigi (v skladu s 24. členom ZZK-1 so to: ime in priimek, EMŠO in naslov stalnega prebivališča).

Podobno Stvarnopravni zakonik (Uradni list RS, št. 87/02; SPZ) v 177. členu in podrobneje Uredba o registru neposestnih zastavnih pravic in zarubljenih premičnin (Uradni list RS, št. 24/04 in 66/06) v 15. členu, kot pravilno ugotavljate v zvezi z registrom neposestnih zastavnih pravic določa, da se v register poleg identifikacije premičnine in zastavne pravice vpišejo podatki o zastavitvi ter podatki o upniku, dolžniku in zastavitelju, če ta ni ista oseba kot dolžnik (osebno ime, prebivališče, rojstni datum in EMŠO fizične osebe ali firma, sedež, matična in davčna številka pravne osebe).

Da je brez eksplicitne zakonske podlage upravičeno zbiranje le enega enoličnega identifikatorja, izhaja ne nazadnje tudi iz Zakona o nematerializiranih vrednostnih papirjih (Uradni list RS, št. 2/07, uradno prečiščeno besedilo; ZNVP), ki v 40. in 44. členu opredeljuje vpis pravic tretjih na nematerializiranem vrednostnem papirju iz prvega odstavka 28. člena ZNVP v centralni register na podlagi naloga imetnika vrednostnega papirja, ki mora poleg drugih podatkov vsebovati tudi enolično identifikacijo imetnika in upravičenca. V skladu s 84. členom Pravil poslovanja KDD – Centralne klirinško depotne družbe, d.d., Ljubljana (Uradni list RS, št. 137/04) je enolična identifikacija v primeru, če je subjekt vpisan v centralni register prebivalstva EMŠO, razen če zahteva, da se mu dodeli KID (enolična identifikacijska številka, ki jo imetniku oziroma upravičencu dodeli klirinškodepotna družba).

V zvezi s potrebnimi osebnimi podatki, povezanimi z izvršbo Zakon o izvršbi in zavarovanju (Uradni list RS, št. 3/07, uradno prečiščeno besedilo; ZIZ) določa ustrezno pravno podlago za pridobitev EMŠO oziroma govori v predlogu za izvršbo o ustrezni identifikacijski številki (v teh primerih zadošča uporaba davčne številke), zato vnaprejšnje zbiranje davčne številke za potrebe morebitne izvršbe ni dopustno. ZIZ namreč v 40. členu določa, da morajo biti v predlogu za izvršbo, ki se lahko pošlje na predpisanem obrazcu, navedeni: upnik in dolžnik ter dolžnikove identifikacijske številke, če upnik z njimi razpolaga (npr. EMŠO, davčna številka), izvršilni naslov ali verodostojna listina, dolžnikova obveznost, sredstvo in predmet izvršbe ter drugi podatki, ki so potrebni, da se izvršba lahko opravi. V teh primerih torej EMŠO ni potrebna. Za vse druge primere pa ZIZ v 4. členu določa dolžnost posredovanja podatkov, in sicer so državni organi, organizacije z javnimi pooblastili ter druge pravne osebe in samostojni podjetniki posamezniki za namene izvedbe izvršilnega postopka dolžni na zahtevo sodišča temu brezplačno posredovati podatke, ki se nanašajo na dolžnika, na njegovo premično in nepremično premoženje, denarna sredstva pri organizacijah za plačilni promet ter druge podatke, pomembne za uspešno izvedbo izvršilnega postopka. Ti so za namene opravljanja neposrednih dejanj izvršbe in zavarovanja dolžni podatke o naslovu prebivališča in zaposlitvi dolžnika brezplačno posredovati tudi na zahtevo izvršitelja. Izvršitelji pa lahko za namene opravljanja neposrednih dejanj izvršbe in zavarovanja iz registra motornih vozil brezplačno pridobivajo podatke o motornih vozilih, ki so dolžnikova last, za namene prodaje vrednostnih papirjev iz centralnega registra prebivalstva EMŠO dolžnika ter iz evidenc davčnih organov davčno številko dolžnika.

Zato Pooblaščenec še enkrat poudarja, da nikakor ne drži navedba, da bi bilo v vsakem primeru neizogibno potrebno vnaprejšnje zbiranje obeh identifikacijskih številk komitentov bank za morebitne druge primere, kjer poseben zakon ne določa takšnega zbiranja. Pooblaščenec za zaključek tako ponovno opozarja, da avtomatično vnaprejšnje zbiranje EMŠO in davčne številke vseh komitentov brez izpolnjenih potrebnih zakonskih določil ni dopustno. Ne nazadnje mora biti po določbi 2. odstavka 8. člena ZVOP-1 namen obdelave osebnih podatkov določen v zakonu, v primeru obdelave na podlagi posameznikove osebne privolitve, pa mora biti posameznik predhodno seznanjen z namenom obdelave osebnih podatkov. Iz tega izhaja, da vnaprejšnje zbiranje osebnih podatkov že po naravi stvari skoraj nikoli ne more slediti zakonski zahtevi po vnaprejšnji natančni seznanitvi z namenom njihovega zbiranja.  

2. Neobstoj pravne podlage za fotokopiranje osebnih dokumentov s strani bank
Za osebne dokumente v Republiki Sloveniji veljajo osebna izkaznica, potni list, vozniško dovoljenje, ali katera druga javna listina, ki jo izda ustrezen organ, in je opremljena s fotografijo državljana. Zakon o osebni izkaznici (Uradni list RS, št. 100/05, uradno prečiščeno besedilo; ZOizk) v prvem odstavku 3. členu določa, da mora državljan osebno izkaznico ali javno listino omenjeno zgoraj, na zahtevo uradne osebe, ki je po zakonu za to pooblaščena, dati na vpogled (poudaril Pooblaščenec). Drugi odstavek istega člena določa, da državljan svoje osebne izkaznice ne sme dati ali posoditi drugi osebi ali uporabiti tuje osebne izkaznice kot svojo. V tretjem odstavku tega člena pa je določeno, da se osebne izkaznice ne sme zastaviti niti tuje osebne izkaznice vzeti z namenom zavarovanja kakšne koristi ali pravice. Smiselno enako, kot določa tretji odstavek omenjenega člena, določa tudi drugi odstavek 4. člena Zakona o potnih listinah (Uradni list RS, št. 3/2006, uradno prečiščeno besedilo; ZPLD-1), v katerem je zapisano, da je prepovedano zastaviti potno listino ali vzeti tujo potno listino z namenom zavarovanja kakšne koristi oziroma pravice. Iz izpostavljenih določb ZOizk in ZPLD-1 je s pomočjo logične razlage mogoče sklepati, da je prepovedano tudi vsakršno pridobivanje fotokopij osebnih dokumentov z namenom zavarovanja kakšne koristi oz. pravice.

Hkrati drugi odstavek 18. člena ZVOP-1 določa, da lahko upravljavec osebnih podatkov pred vnosom v zbirko osebnih podatkov preveri točnost osebnih podatkov z vpogledom (poudaril Pooblaščenec) v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se nanaša. Pri tem pa ZVOP-1 striktno uporabi dikcijo (tako tudi ZOizk) »z vpogledom«, torej izbere zgolj eno od možnosti načina obdelav, ki jih sicer eksemplifikativno našteva v tretji točki prvega odstavka 6. člena ZVOP-1. Do takšnega zaključka pridemo tudi z uporabo razlagalnega argumenta argumentum a fortiori. Kot navaja Pavčnik (Teorija prava, Ljubljana, 1997, str. 384) gre za »razlagalni argument, s katerim ugotavljamo, da pravna posledica, ki se navezuje na določeno primarno ali sekundarno hipotezo, velja tem bolj v primeru, ki ima v še večji kakovosti (še bolj poudarjeno) lastnosti, ki so pogoj za pravno posledico, kot neposredno pravno urejeni primer. Lastnost »tem bolj« označuje teorija z izrazi, ko so »s še bolj odločilnim razlogom«, »v še večji meri«, »še bolj razločno« …« ZVOP-1 tako v tretji točki prvega odstavka 6. člena eksemplifikativno našteva oblike obdelave osebnih podatkov, medtem ko v drugem odstavku 18. člena izrecno določa zgolj vpogled in torej omeji dopustne načine obdelave. Tudi z uporabo logične razlage se da tako priti do enostavnega zaključka, da ZVOP-1 dovoljuje zgolj vpogled v osebni dokument, ne pa tudi drugih oblik obdelave.

Določba tretjega odstavka 10. člena, ki jo navajate kot pravno podlago za fotokopiranje osebnih dokumentov, pomeni izjemo glede na splošna določila 8. člena in 1. odstavka 10. člena ZVOP-1, ki pa ni brez kavtel oziroma jamstev za posameznika. Ob tem je v obravnavanem primeru to celo nebistveno. Določila 18. člena ZVOP-1 ter določila ZOizk in ZPLD-1 so namreč v tem primeru specialni zakon, ki posebej urejajo določene vidike obravnavane materije in v tem smislu nadgrajujejo določila 10. člena ZVOP-1 v tem delu.

Argumentov, ki ju navajate, in sicer, da je zbiranje fotokopij osebnih dokumentov potrebno zato, ker je identifikacija brez fotokopije osebnega dokumenta bistveno otežena in ker brez nje obstaja večja verjetnost za neuspešno preprečevanje/odkrivanje dejanje, ki se jih želi z identifikacijo preprečiti, po mnenju Pooblaščenca ni mogoče razumeti niti kot nujen interes zasebnega sektorja, ki bi prevladal nad interesom posameznika t.j. pravico do zasebnosti in določili ZOizk in ZPLD-1. Dolžnost banke je zagotoviti korektno, zakonito in pravilno poslovanje, vendar ne na škodo prevelikega posega v posameznikovo (komitentovo) zasebnost, ki je njegova ustavna pravica. Kot je navedeno zgoraj, namreč za popolno identifikacijo že povsem zadoščajo ostali osebni podatki (davčna, ime in priimek, stalno prebivališče) ter vpogled v osebni dokument, kar ustrezno opredeljujeta ZOizk in ZPLD-1. Dodaten argument je dejstvo, da fotokopije vsebujejo tudi biometrični osebni podatek o posamezniku t.j. fotografijo. Zaradi nevarnosti zlorab in kraj identitete je treba pri vsaki odločitvi o morebitnem zbiranju biometričnih podatkov ravnati previdno (tudi pri aplikaciji tretjega odstavka 10. člena ZVOP-1 bi bilo potrebno uporabiti strožji test tehtanja). Prav to pa je tudi eden od razlogov, da je zakonodajalec v specialnih zakonih že sam posebej uredil navedeno materijo. Zbiranje fotokopij osebnih dokumentov, zato v tem primeru pomeni prekomeren in neupravičen poseg v zasebnost posameznika. Tovrstnih podatkov namreč ni in ne more biti dopustno zbirati brez zakonske podlage in še manj 'na zalogo' za morebitne potrebe v prihodnosti, do katerih v večini primerov niti ne pride.

Na podlagi navedenega, Pooblaščenec meni, da je fotokopiranje osebnih dokumentov, prekomerno (predvsem ob upoštevanju 3. člena ZVOP-1, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo) in v nasprotju z 18. členom ZVOP-1, saj za pridobivanje fotokopij osebnih dokumentov nima ustrezne zakonske podlage.

Navedeno seveda ne pomeni, da banke nimajo pravice vpogledati v osebni dokument posameznika, na katerega se ta nanaša. Nasprotno, prvi odstavek 18. člena ZVOP-1, ob povezavi z drugim odstavkom istega člena, od upravljavca (banke) osebnih podatkov celo zahteva, da morajo biti osebni podatki, ki se obdelujejo, točni in ažurni. Prav zato pa po mnenju Pooblaščenca ZVOP-1 v drugem odstavku 18. člena ZVOP-1 omogoča upravljavcu osebnih podatkov »orodje«, s katerim lahko zagotavlja točnost in ažurnost osebnih podatkov.

Drugi odstavke 18. člena ZVOP-1 in ZOizk ter ZPLD-1 torej nadgrajujeta 10. člen ZVOP-1 v delu, ko se obdelava osebnih podatkov nanaša na osebne podatke, ki so navedeni v osebnih dokumentih. Pooblaščencu ni znano, da bi obstajal drug specialni zakon, ki bi določal za posamezne primere drugače in bankam dopuščal fotokopiranje osebnih dokumentov ter s tem ustvarjanje zbirke fotokopij le-teh.

V skladu s prvim odstavkom 8. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 60/07; ZPPDFT) mora organizacija pod pogoji, ki jih določa ta zakon, opraviti pregled stranke v naslednjih primerih: pri sklepanju poslovnega razmerja s stranko; pri vsaki transakciji v vrednosti 15 000 eurov ali več, ne glede na to, ali poteka posamično ali z več transakcijami, ki so med seboj očitno povezane; pri dvomu o verodostojnosti in ustreznosti predhodno dobljenih podatkov o stranki ali dejanskem lastniku stranke; ter vedno, kadar v zvezi s transakcijo ali stranko obstajajo razlogi za sum pranja denarja ali financiranja terorizma, ne glede na vrednost transakcije.

Organizacije so v smislu prvega odstavka 4. člena ZPPDFT tudi borznoposredniške družbe, družbe za upravljanje investicijskih skladov, banke, hranilnice itd. Prvi odstavek 13. člena ZPPDFT določa, da organizacija za stranko, ki je fizična oseba oziroma njen zakoniti zastopnik oziroma zastopnica, samostojni podjetnik posameznik oziroma samostojna podjetnica posameznica ali posameznik, ki samostojno opravlja dejavnost, ugotovi in preveri njeno istovetnost ter pridobi podatke iz 4. točke prvega odstavka 83. člena ZPPDFT (osebno ime, naslov stalnega ali začasnega prebivališča, datum in kraj rojstva ter davčna številka fizične osebe oziroma njenega zakonitega zastopnika, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ki sklene poslovno razmerje ali opravi transakcijo, oziroma fizične osebe, za katero se sklene poslovno razmerje ali opravi transakcija, ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta z vpogledom v uradni osebni dokument stranke v njeni osebni navzočnosti). Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke. ZPPDFT torej ne predstavlja zakonske podlage za fotokopiranje osebnih dokumentov.

Ker sodi po naravi stvari v zastavo osebne izkaznice tudi njuno fotokopiranje, je pri vsakršnem zbiranju osebnih podatkov iz osebne izkaznice nujno potrebno spoštovati načelo sorazmernosti in osebne podatke obdelovati v najmanjši, torej nujno potrebni meri. Po oceni Pooblaščenca je prav zaradi vse razvitejše tehnologije in – kot se v praksi Pooblaščenca pogosto izkaže – slabega zavarovanja osebnih podatkov pri zavezancih možnost zlorab osebnih dokumentov – in s tem povezanih kraj identitete – izjemno visoka. Zato je po oceni Pooblaščenca zakonodajalec ravnal prav, ko je v slovenski zakonodaji omejil načine obdelave osebnih dokumentov.

Na podlagi navedenega Pooblaščenec zaključuje, da lahko banke, borznoposredniške hiše in druge finančne organizacije zbirajo osebne podatke posameznika kot navedeno že zgoraj. Pred vnosom teh podatkov v zbirko pa z vpogledom v uradni osebni dokument ugotovijo točnost teh osebnih podatkov, nimajo pa pravne podlage, da osebno izkaznico ali potno listino fotokopirajo.

V kolikor opazite kršitev določb ZVOP-1, konkretno fotokopiranje osebne izkaznice ali druge javne listine ter prekomerno obdelavo osebnih podatkov, lahko vložite prijavo pri Pooblaščencu. Nato se bo Pooblaščenec na podlagi vaših navedb odločil za nadaljnje ukrepe. Pooblaščenec lahko opravi inšpekcijski ogled in če ugotovi, da se osebni podatki obdelujejo v nasprotju z ZVOP-1, lahko obdelavo le teh tudi prepove, kršitelja pa kaznuje z globo zaradi prekrška.

Prijazen pozdrav,

Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka