Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 15.03.2018
Naslov: Pošiljanje kopije osebnega dokumenta po el. pošti
Številka: 0712-1/2018/641
Vsebina: Bančništvo, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 1. 3. 2018 prejel vaše elektronsko sporočilo, v katerem ste zapisali, da ste od banke dobili dopis, v katerem vas pozivajo, da poskenirate svoj veljavni osebni dokument s podpisom in datumom podpisa in jim ga po elektronski pošti pošljete na njihov naslov. Zanima vas, ali je takšna praksa zakonsko dopustna oziroma ali je običajno, da se slike oziroma skenirani osebni dokumenti pošiljajo po elektronski pošti.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Hramba elektronskih kopij osebnih izkaznic oz. potnih listin je s področnima Zakonom o osebni izkaznici (4. člen) oz. Zakonom o potnih listinah (4.a člen) sicer izrecno prepovedana, vendar pa je v določenih  primerih dopustna na podlagi 32. člena ZPPDFT-1 v povezavi s 26. oz. 27. členom ZPPDFT-1.

Iz posredovanega dopisa, ki ste ga prejeli od banke, izhaja, da je osebnemu dokumentu, na podlagi katerega ugotavljajo in preverjajo vašo istovetnost, potekla veljavnost, zato želi banka manjkajoče podatke pridobiti neposredno od vas in za posredovanje med drugim predlaga pošiljanje po elektronski pošti. Podlaga za takšno zahtevo banke, bi lahko izhajala iz določb Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, v nadaljevanju: ZPPDFT-1), v skladu s katerimi so banke dolžne izvajati ukrepe za poznavanje svojih strank, med drugim ugotavljati istovetnost strank in preverjati njihovo istovetnost na podlagi verodostojnih, neodvisnih in objektivnih virov.

ZVOP-1 kot sistemski zakon, ki določa pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov, v prvem odstavku 8. člena določa, da se lahko osebni podatki obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika, v drugem odstavku pa je nadalje določeno, da mora biti namen obdelave osebnih podatkov določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

Osebni podatki v zasebnem sektorju, kamor po ZVOP-1 sodijo tudi banke, se v skladu s prvim odstavkom 10. člena ZVOP-1 lahko obdelujejo, če tako določa zakon, ali če je za obdelavo osebnih podatkov podana osebna privolitev posameznika. Ne glede na to se v skladu z drugim odstavkom 10. člena ZVOP-1 v zasebnem sektorju lahko obdelujejo tudi osebni podatki posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe. Tretji odstavek istega člena še določa, da se ne glede na prvi odstavek lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno potrebno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

Predhodno omenjeni ZPPDFT-1, ki določa ukrepe in postopke za odkrivanje in preprečevanje pranja denarja in financiranja terorizma, v prvem in drugem odstavku 12. člena določa, da zavezanci (med njimi so tudi banke) pri opravljanju svojih dejavnosti izvajajo naloge, ki med drugim obsegajo izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon. V skladu s prvim odstavkom 16. člena pregled stranke zajema tudi ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov. V prvem odstavku 23. člena je določeno, da zavezanec (banka) za stranko, ki je fizična oseba oziroma njen zakoniti zastopnik, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost, oziroma za zakonitega zastopnika pravne osebe, ugotovi in preveri njegovo istovetnost ter pridobi potrebne podatke (v skladu z drugo točko prvega odstavka 137. člena so to: osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta) z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. V primeru izvajanja ugotavljanje in preverjanje istovetnosti na podlagi sredstva elektronske identifikacije bi banka lahko upoštevajoč določbe 26. in 27. člena ZPPDFT-1 kopijo uradnega dokumenta pridobila od stranke tudi v digitalni obliki.

Po definiciji iz 47. točke 3. člena ZPPDFT-1 je »uraden osebni dokument« vsaka s fotografijo opremljena veljavna listina, ki jo izda pristojni državni organ Republike Slovenije ali druge države in ki se po pravu države izdajateljice šteje za javno listino. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke (1. odstavek 23. člena). Če banka ukrepov iz 1., 2. in 3. točke prvega odstavka 16. člena zakona ne more izvesti, ne sme skleniti poslovnega razmerja ali opraviti transakcije oziroma mora prekiniti poslovno razmerje, če je to že sklenjeno. ZPPDFT-1 v prvem odstavku 49. člena še določa, da je banka dolžna skrbno spremljati poslovne aktivnosti, ki jih izvajajo stranke, kar vključuje tudi preverjanje in posodabljanje pridobljenih listin in podatkov o stranki.

Iz dopisa, ki ste ga prejeli od banke, izhaja, da je osebnemu dokumentu, ki ga imajo v bančni evidenci in s katerim je banka izvedla identifikacijski postopek, potekla veljavnost, in da bi lahko banka v primeru, da podatki o vašem identifikacijskem dokumentu ne bi bili posodobljeni, odstopila od vzpostavljenega poslovnega razmerja. Ne glede na to, da banka zakonske podlage za svoje navedbe v dopisu ni opredelila, IP domneva, da zahteva banke za posredovanje osebnih podatkov temelji na predhodno navedenih določbah ZPPDFT-1 in bi posledično lahko bila zakonsko dopustna. IP sicer ni pristojen za tolmačenje izvajanja zahtev, ki jih bankam nalaga ZPPDFT-1, temveč je to Urad RS za preprečevanje pranja denarja, http://www.uppd.gov.si/.

 

V kolikor dvomite o podlagi za predmetno zbiranje osebnih podatkov, vam predlagamo, da se obrnete na banko, ki je dolžna pojasniti, na kateri pravni podlagi zahteva od vas predložitev kopije osebnega dokumenta.

 

V kolikor ocenjujete, da pošiljanje po elektronski pošti za vas predstavlja preveliko varnostno tveganje, imate na voljo možnost pošiljanja običajne kopije po navadni pošti oziroma možnost obiska poslovalnice.

 

S spoštovanjem,

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka