Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 14.02.2018
Naslov: Obdelava osebnih podatkov pri odprtju TRR
Številka: 0712-1/2018/308
Vsebina: Bančništvo, EMŠO in davčna
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je 25. 1. 2018 prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov pri odprtju TRR. Nedavno ste nameravali zamenjati banko, vendar se je zapletlo glede EMŠO. Želeni banki ste po e-pošti postavili vprašanja in prejeli tudi odgovore, zaključek katerih je, da brez EMŠO podatka ne bi uspeli odpreti računa, ker banka neposredno ali posredno, na vsak način želi vaš EMŠO in to brez jasne razlage, čemu je to potrebno. Zanima vas, ali banka ravna pravilno. Če v vašem primeru banki niste dolžni posredovati EMŠO, sprašujete, kaj lahko storite, če pri vsaki banki naletite na isto ali podobno težavo. Iz priložene korespondence izhaja, da banka pri odprtju bančnega računa zahteva tudi kopijo osebne izkaznice.

 

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP meni, da je za enoznačno identifikacijo posameznika v primeru odpiranja TRR pri bankah dovolj le ena številka, in sicer davčna številka, katere zbiranje je za banke v večini primerov tudi obvezno po ZDavP-2 in ZPPDFT.

 

»Prisilitev« strank v posredovanje še EMŠO brez njihove resnične pisne osebne privolitve lahko pomeni prekomerno obdelavo osebnih podatkov in je nedvomno v neskladju z načelom sorazmernosti iz 3. člena ZVOP-1, saj je že eden od teh osebnih podatkov dovolj, da se posameznika nedvoumno določi.

 

ZOIzk dovoljuje kopiranje osebne izkaznice imetnika finančnim družbam, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana.

 

Ali gre za prekomerno obdelavo osebnih podatkov, lahko IP ugotavlja zgolj v konkretnem inšpekcijskem postopku.

 

Za obdelavo osebnih podatkov v okviru ZVOP–1 je treba imeti ustrezno pravno podlago. Po 8. členu ZVOP–1 se osebni podatki lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika (prvi odstavek); namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov (drugi odstavek).

 

Pravno podlago za zasebni sektor (kamor sodijo tudi banke) določa 10. člen ZVOP–1. V zasebnem sektorju se osebni podatki lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika (prvi odstavek); ne glede na prejšnji odstavek se lahko v zasebnem sektorju obdelujejo osebni podatki posameznikov, ki so z zasebnim sektorjem sklenili pogodbo, ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe (drugi odstavek); ne glede na prvi odstavek tega člena se lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki (tretji odstavek).

 

Če torej zbiranja določenih osebnih podatkov izrecno ne določa zakon, je torej bistveno, ali so osebni podatki, ki jih banka zahteva od svojih strank, »potrebni in primerni za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe«. IP je že večkrat poudaril (npr. mnenje, št. 092-3/2008/133 z dne 14. 4. 2008, mnenje, št. 0712-468/2008/2 z dne 23. 4. 2008), da zbiranje dveh enoličnih identifikatorjev, torej EMŠO in davčne številke, načeloma ni potrebno in ni skladno z načelom sorazmernosti, ki ga določa 3. člen ZVOP-1 (osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo). Prav tako je potrebno upoštevati tudi 16. člen ZVOP–1 (osebni podatki se lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače).

 

V zvezi z zbiranjem osebnih podatkov pri sklepanju pogodb, s katerimi se odpre bančni račun, IP dodaja, da Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16; v nadaljnjem besedilu ZPPDFT) natančno opredeljuje, katere osebne podatke morajo banke pridobiti od svojih strank. Po 136. členu ZPPDFT banke npr. upravljajo evidence podatkov o strankah, poslovnih razmerjih in transakcijah iz 17. in 18. člena tega zakona, ki po 2. točki prvega odstavka 137. člena ZPPDFT vsebujejo osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčno številko ali EMŠO, državljanstvo ter številko, vrsto in naziv izdajatelja uradnega osebnega dokumenta. Ob tem 23. člen ZPPDFT določa, da zavezanec, tj. banka, za stranko, ki je fizična oseba, ugotovi in preveri njeno istovetnost ter pridobi podatke iz 2. točke prvega odstavka 137. člena tega zakona z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke.

 

Tudi Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18; v nadaljnjem besedilu ZPlaSSIED), ki sicer ureja pravice in obveznosti uporabnikov in ponudnikov plačilnih storitev v zvezi z opravljanjem plačilnih storitev, določa zgolj, da morajo banke, ki vodijo transakcijske račune, Agenciji Republike Slovenije za javnopravne evidence in storitve zagotavljati podatke za vzpostavitev in vodenje registra transakcijskih računov. Glede na to, da se v registru transakcijskih računov (192. člen ZPlaSSIED) obdelujejo podatki o transakcijskih računih fizičnih oseb, tj. o imetnikih transakcijskih računov, in sicer: ime, priimek in naslov prebivališča imetnika, ki je fizična oseba, ter davčna številka imetnika (če je imetnik vpisan v davčni register v skladu z zakonom, ki ureja davčni register) in država sedeža ali prebivališča imetnika oz. identifikacijska oznaka imetnika in država sedeža ali prebivališča imetnika, če imetnik ni vpisan v davčni register v skladu z zakonom, ki ureja davčni register, IP meni, da banke nimajo pravne podlage za zbiranje obeh podatkov hkrati. »Prisilitev« strank v posredovanje še EMŠO brez njihove resnične pisne osebne privolitve bi lahko pomenilo prekomerno obdelavo osebnih podatkov in je nedvomno v neskladju z načelom sorazmernosti iz 3. člena ZVOP-1, saj je že eden od teh osebnih podatkov dovolj, da se posameznika nedvoumno določi.

 

Glede na to, da iz priložene korespondence med vami in izbrano banko izhaja, da banka od vas ne zahteva EMŠO neposredno, ampak bi se z njo seznanila s priložitvijo kopije osebne izkaznice, IP dodaja, da fotokopiranje osebne izkaznice ureja Zakon o osebni izkaznici (Uradni list RS, št. 35/11; ZOIzk), ki v drugem odstavku 4. člena določa, da lahko osebno izkaznico poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana. V takem primeru je banka seznanjena z osebnimi podatki, ki so navedeni na osebni izkaznici, zato IP meni, da načeloma v takih primerih ne gre za prekomerno obdelavo osebnih podatkov.

 

Nadzor nad zakonitostjo obdelave osebnih podatkov lahko sicer IP izvaja zgolj v konkretnem inšpekcijskem postopku.

 

V upanju, da smo vam s pojasnilom pomagali, vas lepo pozdravljamo.

 

 

 

Pripravila:

Karolina Kušević, univ. dipl. prav.,                                            Mojca Prelesnik, univ. dipl. prav.,

svetovalka pri IP                                                                      Informacijska pooblaščenka