Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 23.04.2008
Naslov: Zbiranje EMŠO in davčne številke
Številka: 0712-468/2008/2
Vsebina: EMŠO in davčna
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je prejel vaš dopis, v katerem nas sprašujete za dodatno mnenje v zvezi s hkratnim zbiranjem obeh identifikacijskih številk (EMŠO in davčne številke) s strani bank.
 
Uvodoma opozarjamo, da je Pooblaščenec z vidika varstva pravic posameznika glede zasebnosti pristojen le za vidik varstva osebnih podatkov v okviru zbirk osebnih podatkov in ne tudi za vse druge vidike pravice do zasebnosti ali zbirke, ki vsebujejo podatke, ki niso osebni podatki. V nadaljevanju vam zato na podlagi vašega dopisa ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo; ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem:

Pooblaščenec ne vidi razloga za spremembo svojega stališča, da je za enoznačno identifikacijo v primeru bank dovolj le ena številka, in sicer davčna številka, katere zbiranje je za banke v večini primerov tudi obvezno po ZDavP-2 in ZPPDFT. Pooblaščenec se prav tako ne strinja z vašo navedbo, da davčna številka ne omogoča enoznačne identifikacije posameznika.

'Prisilitev' strank v posredovanje še EMŠO brez njihove resnične pisne osebne privolitve lahko pomeni prekomerno obdelavo osebnih podatkov in je nedvomno v neskladju z načelom sorazmernosti iz 3. člena ZVOP-1, saj je že eden od teh osebnih podatkov dovolj, da se posameznika nedvoumno določi.

Pooblaščenec zato predlaga, da banke svoje informacijske sisteme temu primerno prilagodijo in najdejo tehnične rešitve, ki ne bi vključevale zbiranja obeh enoznačnih identifikatorjev.


O b r a z l o ž i t e v:

1. Pravna podlaga za zbiranje obeh identifikatorjev (EMŠO in davčne številke) s strani bank
Kot je Pooblaščenec opozoril že v svojem prvem mnenju v zvezi s hkratnim zbiranjem obeh enoličnih identifikatorjev strank s strani bank, predstavlja splošno pravno podlago za obdelavo osebnih podatkov v zasebnem sektorju 10. člen ZVOP-1, ki v prvem odstavku določa, da se v zasebnem sektorju osebni podatki (kamor nedvomno sodita EMŠO in davčna številka) lahko obdelujejo na podlagi zakona ali osebne privolitve. Obe izjemi, ki ju kot pravno podlago obdelave osebnih podatkov zasebnem sektorju še predvideva 10. člen ZVOP-1, v tem primeru načeloma ne prideta v poštev.

Bistveno pa je pri tem tudi načelo sorazmernosti, ki ga določa 3. člen ZVOP-1, in s katerim je zakonodajalec dopustnost obdelave osebnih podatkov (v obravnavanem primeru torej hkrati EMŠO in davčne številke) zamejil. Načelo sorazmernosti zahteva, da so osebni podatki, ki se obdelujejo ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Načelo velja za vsakršno obdelavo osebnih podatkov, tudi za obdelavo, ki jo izvajajo subjekti zasebnega sektorja na podlagi osebne privolitve posameznika ali če so z njim v pogodbenem razmerju. V primeru zbiranja obeh identifikatorjev (torej tudi EMŠO) na podlagi pisne osebne privolitve, ki bi bila 'izsiljena' s pogojevanjem storitve, pa se zastavlja predvsem vprašanje, ali sploh lahko govorimo o osebni privolitvi, če posameznik določene storitve pri nobeni banki ne bi mogel dobiti brez posredovanja obeh identifikatorjev.

V zvezi s tem je namreč v prvi vrsti potrebno opozoriti, da tako EMŠO kot tudi davčna številka vsaka zase omogočata popolno identifikacijo posameznika. Na to je v svoji odločbi št. U-I-229/03, z dne 9.2.2006 opozorilo že Ustavno Sodišče Republike Slovenije. Po mnenju Ustavnega sodišča RS to pomeni, da je določitev kar dveh podatkov, ki omogočata popolno identifikacijo posameznika odveč, saj zadostuje zgolj eden. V primeru EMŠO in davčne številke pa sta seveda bistvena tudi specialna zakona, ki v določeni meri v zvezi z obdelavo obeh omenjenih osebnih podatkov nadgrajujeta določila ZVOP-1.

1.1. Posebna pravna podlaga za obdelavo EMŠO
Zakon o centralnem registru prebivalstva (Uradni list RS, št. 72/06, uradno prečiščeno besedilo; ZCRP) v prvem odstavku 6. člena določa, da je EMŠO v Republiki Sloveniji osebna identifikacijska številka (temeljni, z matematično metodo izračunani numerični standard) in je identifikacija za enoznačno opredelitev posameznika.

Napačna je torej vaša razlaga, da je EMŠO le način za pridobitev rojstnega podatka, kot zahteva ZPPDFT. Pomen EMŠO je mnogo širši, saj ta služi kot orodje, ki omogoča povezljivost številnih javnih zbirk in mora biti zato z vidika preventivnega delovanja proti krajam identitete ustrezno varovana.

ZCRP v 9. členu določa, upravljavce zbirk podatkov (registrov, evidenc ipd.), ki morajo uporabljati EMŠO (mednje banke ne sodijo) ter druge upravljavce, ki še lahko obdelujejo EMŠO in morajo, ko pridobivajo EMŠO, navesti zakonsko podlago in namen pridobivanja EMŠO, v primeru pisne privolitve pa posameznika seznaniti z namenom pridobivanja.

1.2. Posebna pravna podlaga za obdelavo davčne številke
Kot smo pojasnili že v svojem prvem mnenju, banke nedvomno imajo zakonsko podlago za zbiranje davčne številke svojih komitentov, če so ti vpisani v davčni register, na podlagi 35. člena Zakona o davčnem postopku (Uradni list RS, št. 117/06; ZDavP-2) ter strank na podlagi Zakona  o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 60/07, v nadaljevanju ZPPDFT), ki npr. v 13. členu določa obveznost organizacije, da za stranko, ki je: 1. fizična oseba oziroma njen zakoniti zastopnik, 2. samostojni podjetnik posameznik ali 3. posameznik, ki samostojno opravlja dejavnost, ugotovi in preveri njeno istovetnost ter pridobi podatke iz 4. točke prvega odstavka 83. člena tega zakona med katerimi je tudi davčna številka (osebno ime, naslov stalnega ali začasnega prebivališča, datum in kraj rojstva ter davčno številko fizične osebe oziroma njenega zakonitega zastopnika, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ki sklene poslovno razmerje ali opravi transakcijo, oziroma fizične osebe, za katero se sklene poslovno razmerje ali opravi transakcija, ter številko, vrsto in naziv izdajatelja uradnega osebnega dokumenta).

Pooblaščenec se, kot je pojasnjeno zgoraj, ne strinja z vašo navedbo, da davčna številka ne omogoča enoznačne identifikacije posameznika.

Pooblaščenec na podlagi navedenega zato ne spreminja svojega stališča, da je za enoznačno identifikacijo v primeru bank dovolj le ena številka, in sicer davčna številka, katere zbiranje je za banke v večini primerov tudi obvezno po ZDavP-2 in ZPPDFT. 'Prisilitev' strank v posredovanje še EMŠO brez njihove resnične pisne osebne privolitve lahko pomeni prekomerno obdelavo osebnih podatkov in je nedvomno v neskladju z načelom sorazmernosti iz 3. člena ZVOP-1, saj je že eden od teh osebnih podatkov dovolj, da se posameznika nedvoumno določi.

Tovrstnih podatkov namreč ni in ne more biti dopustno zbirati 'na zalogo' za morebitne potrebe v prihodnosti, do katerih v večini primerov niti ne pride. Pooblaščenec se zato ne strinja niti z interpretacijo, da potrebo po zbiranju obeh identifikacijskih številk opravičuje dejstvo, da državni organi v svojih poizvedbah uporabljajo EMŠO, saj npr. Centralni register prebivalstva, do katerega imajo javni organi dostop, vsebuje tudi davčno številko in torej niso banke tiste, ki bi morale vnaprej zbirati oba identifikatorja, ampak jih državni organi lahko pridobijo po potrebi za posamezen primer kasneje.

Pooblaščenec zato predlaga, da banke svoje informacijske sisteme temu primerno prilagodijo in najdejo tehnične rešitve, ki ne bi vključevale zbiranja obeh enoznačnih identifikatorjev.  

V upanju, da bo takšna posameznikovi zasebnosti prijazna rešitev na strani bank mogoča, vas lepo pozdravljamo.

Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka