Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 13.03.2018
Naslov: Zbiranje OP za posodabljanje podatkov o stranki
Številka: 0712-1/2018/582
Vsebina: Bančništvo, Uradni postopki, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem navajate, da pri Banki Intesa Sanpaolo d.d. niste komitent oziroma nimate bančnega računa, imate pa plačilno kartico American Express. Zanima vas, ali ste banki dolžni dati vse podatke iz vprašalnika, ki vam ga je posredovala za posodabljanje podatkov o stranki (za fizične osebe – potrošnike).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Osebni podatki v zasebnem sektorju (kamor na podlagi 23. točke 6. člena ZVOP-1 sodijo banke), se v skladu z 10. členom ZVOP-1 lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Ne glede na prejšnji odstavek se lahko v zasebnem sektorju obdelujejo osebni podatki posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe. Ravno tako se lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

 

Iz vprašalnika za posodabljanje podatkov o stranki (za fizične osebe – potrošnike), ki vam ga je konkretna banka posredovala v izpolnitev, je razvidno, da obdelava osebnih podatkov iz vprašalnika temelji na zakonskih določbah iz Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16; v nadaljevanju ZPPDFT-1) in je v skladu s smernicami Banke Slovenije ter interno politiko banke.

 

ZPPDFT-1 finančnim institucijam nalaga ukrepe in postopke za odkrivanje in preprečevanje pranja denarja in financiranja terorizma, določene v tem zakonu, pred oziroma pri sprejemanju, izročitvi, zamenjavi, hrambi, razpolaganju oziroma drugem ravnanju z denarjem ali drugim premoženjem in pri sklepanju poslovnih razmerij. Glede na navedeno, so finančne institucije posebej zavezane, da v procese izvajanja svoje dejavnosti vgradijo predpisane preventivne ukrepe, s katerimi zmanjšajo možnost tveganja zlorabe za pranje denarja ali financiranje terorizma. Med ukrepi so ključni prav tisti, ki se neposredno nanašajo na ugotavljanje in preverjanje istovetnosti stranke ali dejanskega lastnika stranke, če je ta pravna oseba, ter ukrepe, s katerimi organizacije lažje prepoznajo transakcije ali stranke, v zvezi s katerimi obstajajo razlogi za sum pranja denarja ali financiranja terorizma (16. člen ZPPDFT-1). Poslovodni organ finančne institucije mora na ravni celotne organizacije sprejeti in voditi enotno politiko obvladovanja tveganj za pranje denarja in financiranje terorizma ter postopke izvajanja ukrepov za zagotovitev učinkovitosti in polne skladnosti delovanja s predpisanimi standardi, izvajati skladno s sprejetimi internimi akti.

 

ZPPDFT-1 ne določa pregleda strank po tem ali ste/niste komitent banke z bančnim računom (kot poslovno razmerje z banko se namreč šteje vsak poslovni ali drug pogodbeni odnos, ki ga stranka sklene ali vzpostavi pri banki in je povezan z opravljanjem dejavnosti banke), temveč glede na oceno tveganja za pranje denarja ali financiranje terorizma. V primerih, ko je ocenjeno, da stranka, poslovno razmerje, transakcija, produkt, storitev, distribucijska pot, država ali geografsko območje predstavljajo neznatno tveganje (oz. povečano tveganje) za pranje denarja ali financiranje terorizma, je banka dolžna izvajati ukrepe poenostavljenega (oz. poglobljenega) pregleda stranke v skladu z določbami ZPPDFT-1 o poenostavljenem (oz. poglobljenem) pregledu stranke. Banka ima pod pogoji, ki jih določa ZPPDFT-1, obveznost pregleda strank tudi v primerih, ki so določeni v 17. členu  ZPPDFT-1, med katerimi so v zadnji točki prvega odstavka določene naslednje okoliščine: »vedno, kadar v zvezi s transakcijo, stranko, sredstvi ali premoženjem obstajajo razlogi za sum pranja denarja ali financiranja terorizma, ne glede na vrednost transakcije«. Banka lahko izvaja tudi druga preverjanja, ki so del ukrepov za obvladovanje tveganj (npr. politike, kontrole, postopkov ipd.), ki jih v skladu s 15. členom ZPPDFT-1 lahko določi za učinkovito ublažitev in obvladovanje tveganj, še zlasti pa za izvajanje ukrepov za poznavanje svojih strank (3. točka drugega odstavka 12. člena ZPPDFT-1) in redno spremljanje poslovanja strank.

 

Pregled stranke v skladu s prvim odstavkom 16. člena ZPPDFT-1 tako obsega naslednje ukrepe:     

  1. ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov;
  2. ugotavljanje dejanskega lastnika stranke;
  3. pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov po tem zakonu;
  4. redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu.

 

V skladu s tretjim odstavkom 16. člena ZPPDFT-1 banka izvaja vse ukrepe pregleda stranke iz prvega (in drugega) odstavka tega člena, pri čemer lahko obseg izvajanja ukrepov določi z upoštevanjem tveganja pranja denarja in financiranja terorizma. V skladu s petim odstavkom istega člena ZPPDFT-1 pa banka postopke izvajanja ukrepov opredeli v svojih notranjih aktih.

 

Po 137. členu ZPPDFT-1 banka upravlja evidence o strankah, poslovnih razmerjih in transakcijah, v katerih se za namen 16. člena ZPPDFT-1 obdelujejo naslednji podatki fizične osebe oziroma njenega zakonitega zastopnika: osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta. Ob tem 23. člen ZPPDFT-1 določa, da banka za stranko, ki je fizična oseba, ugotovi in preveri njeno istovetnost ter pridobi podatke iz 2. točke prvega odstavka 137. člena ZPPDFT-1 z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. Šele, če iz predloženega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke.

 

Banka lahko izvaja tudi druga preverjanja, ki so del ukrepov za obvladovanje tveganj (npr. politike, kontrole, postopke ipd.), ki jih zavezanci v skladu s 15. členom ZPPDFT-1 lahko določijo za učinkovito ublažitev in obvladovanje tveganj, še zlasti pa za izvajanje ukrepov za poznavanje svojih strank (3. točka drugega odstavka 12. člena ZPPDFT-1) in redno spremljanje poslovanja strank.

 

Kot je razvidno iz konkretnega vprašalnika, ki vam ga je banka posredovala za posodabljanje podatkov o stranki (fizične osebe – potrošnike), so v prvem delu pod naslovom »Podatki o stranki« zahtevani podatki za ukrep pregleda stranke iz 1. točke prvega odstavka 16. člena ZPPDFT-1, v drugem delu pod naslovom »Podatki o statusu stranke ter o namenu in predvideni naravi poslovnega razmerja« pa za ukrep pregleda stranke iz 3. točke prvega odstavka 16. člena ZPPDFT-1, ki jih ima banka opredeljene v svojih notranjih aktih.

 

Lep pozdrav,

 

Pripravila:                                                                               

mag. Petra Ratajec                                                                    Mojca Prelesnik, univ. dipl. prav.,

državna nadzornica za varstvo                                                   informacijska pooblaščenka

osebnih podatkov