Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 09.11.2017
Naslov: Zavarovanje OP v evidencah ZPPDFTZ o lastnikih
Številka: 0712-1/2017/2167
Vsebina: Zavarovanje osebnih podatkov, Zbirke osebnih podatkov, Upravljanje gospodarskih družb
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje o tem, ali morajo poslovni subjekti, ki so v skladu z Zakonom o preprečevanju pranja denarja in financiranja terorizma dolžni vzpostaviti evidenco podatkov o svojih dejanskih lastnikih ter podatke posredovati AJPES-u v Register dejanskih lastnikov, upoštevati kakšne posebnosti v zvezi z varstvom osebnih podatkov, ki jih bo ta evidenca vsebovala.

 

V nadaljevanju vam na podlagi informacij, ki ste nam jih posredovali, na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/2004 s spremembami in dopolnitvami; v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP), posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, v nadaljevanju: ZPPDFT-1) določenim poslovnim subjektom v 41. členu nalaga obveznosti v zvezi z ugotavljanjem dejanskega lastnika na način, kot je določeno v 35., 36. oziroma 37. členu ZPPDFT-1. Ti poslovni subjekti vzpostavijo in upravljajo natančno evidenco podatkov o svojih dejanskih lastnikih, ki se posodablja ob vsaki spremembi podatkov. Vsebina evidence je predpisana v šestnajstem odstavku 137. člena ZPPDFT-1, in sicer ta določa, da se za namene izvajanja 35., 36. in 37. člena ZPPDFT-1, v evidencah o dejanskih lastnikih, ki jih upravljajo poslovni subjekti obdelujejo naslednji podatki:

  1. osebno ime, naslov stalnega in začasnega prebivališča, datum rojstva, državljanstvo ter višina lastniškega deleža ali drug način nadzora;
  2. v primeru iz točke b) prvega odstavka 37. člena ZPPDFT-1 podatek o kategoriji oseb, v interesu katerih je ustanovitev in delovanje tujega sklada, tuje ustanove ali podobnega pravnega subjekta tujega prava.

Podatke o svojih dejanskih lastnikih poslovni subjekti (iz prvega in drugega odstavka 41. člena ZPPDFT-1) hranijo pet let od dneva prenehanja statusa dejanskega lastnika po ZPPDFT-1 in jih na podlagi 42. člena ZPPDFT-1 brez odlašanja posredujejo na zahtevo:

  • zavezancev iz 4. člena ZPPDFT-1, kadar jih zahtevajo v zvezi z izvajanjem ukrepov pregleda stranke v skladu z ZPPDFT-1, ali
  • organov odkrivanja in pregona kaznivih dejanj, sodišča in nadzornih organov iz 139. člena ZPPDFT-1.

 

Iz zgoraj navedenih kategorij oz. vrst podatkov, ki jih poslovni subjekti v skladu s šestnajstim odstavkom 137. člena obdelujejo v evidencah o dejanskih lastnikih ne izhaja, da bi po določbah ZVOP-1 obdelovali občutljive osebne podatke (19. točka 6. člena ZVOP-1) oz. posebne vrste osebnih podatkov (člen 9 Splošne uredbe (EU) o varstvu podatkov), ki sicer uživajo strožje varstvo kot »navadni« osebni podatki, vkolikor seveda ne boste zahtevanih podatkov o dejanskih lastnikih po ZPPDFT-1 združevali še s kakšnimi drugimi že izvedenimi oz. obstoječimi zbirkami osebnih podatkov, v katerih že obdelujete tudi občutljive osebne podatke. V primeru, da boste za vodenje in obdelavo zahtevanih podatkov o svojih dejanskih lastnikih vzpostavili novo, samostojno zbirko osebnih podatkov, v kateri boste podatke obdelovali za namene in na načine kot to predpisuje ZPPDFT-1, IP meni, da ni potrebe po drugačnem, posebnem zavarovanju vsebovanih osebnih podatkov. Vsekakor pa ste dolžni poskrbeti (tako kot za ostale zbirke) tudi v tem primeru za ustrezno zavarovanje osebnih podatkov v skladu z ZVOP-1, oz. od 25. 5. 2018 v skladu z novo evropsko Splošno uredbo o varstvu podatkov. Več o tem na naši spletni strani: www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/

 

Podrobnejše informacije o obveznostih upravljavcev, o postopkih in ukrepih, ki jih morajo ti sprejeti ob vzpostavitvi (nove) zbirke osebnih podatkov, da le-te učinkovito zavarujejo, so objavljene na spletnih straneh IP, do katerih lahko hitro dostopate preko naslednje spletne povezave:

https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-zbirk-osebnih-podatkov/, do številnih mnenj, ki jih je IP v preteklosti že izdal s področja zavarovanja osebnih podatkov pa na: https://www.ip-rs.si/vop/?tx_jzvopdecisions_pi1%5Bsearch%5D=1 .

 

IP opozarja, da morajo poslovni subjekti že pri vzpostavitvi evidenc podatkov o svojih dejanskih lastnikih po ZPPDFT-1, torej pred dejanskim vnosom osebnih podatkov v zbirko, zagotoviti točnost in ažurnost osebnih podatkov lastnikov, v skladu z 18. členom ZVOP-1 in te v nadaljevanju tudi redno preverjati.

 

Smiselno vsebinsko enako obveznost ZPPDFT-1 poslovnim subjektom, ki so po dolžni vzpostaviti in posodabljati evidence dejanskih lastnikov, nalaga tudi poglavje, ki določa obveznost vzpostavitve Registra dejanskih lastnikov (44.- 47. člena ZPPDFT-1). V Registru dejanskih lastnikov, ki se vzpostavi z namenom zagotavljanja transparentnosti lastniških struktur poslovnih subjektov in s tem onemogočanja zlorab poslovnih subjektov za pranje denarja in financiranje terorizma, se zbirajo natančni in posodobljeni podatki o dejanskih lastnikih. Register sicer vzdržuje in upravlja Agencija Republike Slovenije za javnopravne evidence in storitve (AJPES), vendar so za pravilnost vpisanih podatkov, v skladu s petim odstavkom 44. člena ZPPDFT-1, odgovorni poslovni subjekti sami.

 

Kršitve poslovnih subjektov v zvezi s podatki o dejanskem lastniku in njihovih odgovornih pravnih osebah so določene v 167. členu ZPPDFT-1:

(1) Z globo od 6.000 do 60.000 eurov se za prekršek kaznuje pravna oseba:

  1. če ne ugotovi ali če ugotovi napačne podatke o svojem dejanskem lastniku ali lastnikih, ne vzpostavi in upravlja natančne evidence podatkov o svojih dejanskih lastnikih ali če je ne posodablja ob vsaki spremembi podatkov ali če podatkov o svojih dejanskih lastnikih ne hrani pet let od dneva prenehanja statusa dejanskega lastnika (prvi, drugi, tretji in četrti odstavek 41. člena tega zakona);
  2. če ne posreduje brez odlašanja podatkov o svojih dejanskih lastnikih ali če posreduje napačne podatke na zahtevo zavezancev ali organov odkrivanja in pregona kaznivih dejanj, sodišč in nadzornih organov iz 139. člena tega zakona (42. člen tega zakona);
  3. če ne vpiše v register podatkov o svojem dejanskem lastniku ter njihove spremembe ali če vpiše napačne podatke v roku osmih dni od njegovega vpisa v Poslovni register Slovenije ali od njegovega vpisa v davčni register, če ni vpisan v Poslovni register Slovenije, oziroma v roku osmih dni od nastanka spremembe podatkov (tretji odstavek 44. člena tega zakona).

(2) Z globo od 400 do 2.000 eurov se za prekršek kaznuje odgovorna oseba pravne osebe, ki stori prekršek iz prejšnjega odstavka.

 

Glede praktičnih napotkov v zvezi z vsebinskim vodenjem tovrstnih evidenc in poročanjem pa predlagamo, da se obrnete na pristojni Urad za preprečevanje pranja denarja (http://www.uppd.gov.si/si/medijsko_sredisce/novica/article/5/114/).

 

Prijazen pozdrav,

 

Pripravila:

Petra Ratajec

državna nadzornica za varstvo

osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka