Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.03.2018
Naslov: Hramba fotokopij osebnih izkaznic v elektronski obliki
Številka: 0712-1/2018/655
Vsebina: Bančništvo, Razno, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je 28. 2. 2018 prejel vaše zaprosilo za mnenje glede hrambe fotokopij osebnih izkaznic v elektronski obliki. Pravniki v bankah in hranilnicah še vedno preučujejo mnenje Informacijskega pooblaščenca, št. 0712-1/2016/2304 z dne 29. 11. 2016 glede 32. člena ZPPDFT-1 (hramba kopij uradnih osebnih dokumentov v elektronski obliki). Iz tega člena namreč izhaja, da lahko zavezanci, ki so kreditne in finančne institucije, ne glede na določbe drugih zakonov kopije uradnih osebnih dokumentov, ki so jih pridobili v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah tega zakona, hranijo v elektronski obliki, če je zagotovljeno njihovo varovanje z organizacijskimi, tehničnimi in logično-tehničnimi postopki in ukrepi skladno z zakonom, ki ureja varstvo osebnih podatkov (in torej ne le na  podlagi 26. in 27. člena tega zakona). Prosite nas, če problematiko ponovno preučimo.

 

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljnjem besedilu ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Banke lahko kopirajo osebne izkaznice in potne listine skladno z ZOIzk-1 in ZPLD-1 za namene ugotavljanja istovetnosti komitenta banke v zvezi z opravljanjem finančnih storitev. Kopijo dokumenta je potrebno ustrezno označiti z opozorilom o prepovedi uporabe v druge namene. Oba zakona prepovedujeta hranjenje kopij osebnih izkaznic ali potnih listin v elektronski obliki.

 

ZPPDFT-1 pa daje kreditnim in finančnim institucijam pravno podlago za pridobivanje in hrambo kopij uradnih osebnih dokumentov, torej tudi osebnih izkaznic in potnih listin, tudi v elektronski obliki. Takšno zbiranje in hramba osebnih dokumentov je dopustna le za kopije tistih uradnih osebnih dokumentov, ki jih banke pridobijo v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke za namene odkrivanja in preprečevanja pranja denarja in financiranja terorizma po določbah ZPPDFT-1, tj. za primere, ki jih predvidevata 26. in 27. člen ZPPDFT-1, ne pa tudi za kopije, ki bi bile pridobljene na drugi pravni podlagi.

 

Ugotavljanje in preverjanje istovetnosti stranke po 23. členu ZPPDFT-1 se namreč lahko ugotovi in preveri zgolj z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke. Glede na besedilo obstoječega predpisa IP ne more podati drugačnega mnenja oziroma širiti pravne podlage za elektronsko hrambo dokumentov, ki jih sicer ZOIzk-1 in ZPLD-1 izrecno prepovedujeta. Nameni predlagatelja se namreč lahko izluščijo le iz zakonske dikcije same. Če bi (je) namreč zakonodajalec želel širšo podlago, bi to moral jasno zapisati v dikcijo člena.     

 

Skladno s 1. točko 6. člena ZVOP-1 je osebni podatek katerikoli podatek, ki se nanaša na določeno ali določljivo fizično osebo. Obdelava osebnih podatkov pa v skladu s 3. točko 6. člena ZVOP-1 pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, zlasti zbiranje, pridobivanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago. Skladno s povedanim, gre pri ustvarjanju kopij osebnih dokumentov za obdelavo osebnih podatkov kakor to določa ZVOP-1.

 

Obdelava osebnih podatkov v zasebnem sektorju, kamor spadajo tudi banke, je zakonita, če takšno obdelavo določa zakon ali je za obdelavo podana osebna privolitev posameznika (1. odstavek 10. člena ZBOP-1). V opisanem primeru je, odvisno od konkretnih okoliščin, več možnih zakonskih pravnih podlag v smislu prvega odstavka 10. člena ZVOP-1 za navedeno obdelavo osebnih podatkov, in sicer Zakon o osebni izkaznici (Uradni list RS, št. 35/11; v nadaljnjem besedilu ZOIzk-1), Zakon o potnih listinah (Uradni list RS, št. 29/11; v nadaljnjem besedilu ZPLD-1) in Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16; v nadaljnjem besedilu ZPPDFT-1).

 

  1. Zakon o osebni izkaznici in Zakon o potnih listinah

Fotokopiranje osebnih izkaznic in potnih listin je skladno z določbo drugega odstavka 4. člena ZOIzk-1 in drugega odstavka 4.a člena ZPLD-1 dovoljeno notarjem in finančnim družbam (med katere spadajo tudi banke), ki opravljajo finančne storitve, če kopijo potrebujejo za dokazovanje istovetnosti državljana v konkretnem postopku. Člena v 5. odstavku od upravljavcev osebnih podatkov, ki kopirajo osebne dokumente, izrecno zahtevata, da kopijo ustrezno označijo z opozorilom o prepovedi uporabe v druge namene. Poleg tega 4. člen ZOIzk-1 in 4.a člen ZPLD-1 v sedmem odstavku določata, da je hranjenje kopij osebnih izkaznic ali potnih listin v digitalni obliki prepovedano.

 

To pomeni, da banka lahko fotokopira osebni dokument svojega komitenta, če ga potrebuje za dokazovanje njegove istovetnosti v zvezi z opravljanjem finančnih storitev. Takšne fotokopije pa ne sme hraniti v digitalni obliki, temveč le v fizični obliki kopije dokumenta.

 

  1. Zakon o preprečevanju pranja denarja in financiranja terorizma

19. 11. 2016 je začel veljati Zakon o preprečevanju pranja denarja in financiranja terorizma, ki prav tako predstavlja pravno podlago v smislu prvega odstavka 10. člena ZVOP-1. ZPPDFT-1 nalaga posameznim zavezancem, med katere sodijo banke, določene ukrepe in postopke za namene odkrivanja in preprečevanja pranja denarja in financiranja terorizma.

 

Zavezanci po ZPPDFT-1 med svojimi nalogami izvajajo tudi ukrepe za poznavanje stranke (v nadaljnjem besedilu: pregled stranke) na način in pod pogoji, ki jih določa ta zakon. Sestavni del pregleda stranke je med drugim tudi ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov. Po 23. členu ZPPDFT-1 se ugotavljanje in preverjanje istovetnosti stranke opravi z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke.

 

Posebej pa navedeni zakon ureja ugotavljanje in preverjanje istovetnosti stranke iz sredstva elektronske identifikacije, in sicer je v tretjem odstavku 26. člena ZPPDFT-1 določeno, da zavezanec v okviru ugotavljanja in preverjanja istovetnosti stranke na podlagi drugega odstavka 26. člena ZPPDFT-1 dobi zahtevane podatke o stranki, ki jih določa 2. točka prvega. odstavka 137. člena tega zakona (ti podatki so: osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta), iz sredstva elektronske identifikacije. Podatki, ki jih iz sredstva elektronske identifikacije ni mogoče dobiti, se pridobijo iz kopije uradnega osebnega dokumenta, ki jo stranka pošlje zavezancu v papirnati ali digitalni obliki. Če na opisani način ni mogoče pridobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo neposredno od stranke.

 

Podobna je določba četrtega odstavka 27. člena ZPPDFT-1, ki za ugotavljanje in preverjanje istovetnosti stranke z uporabo videoelektronske identifikacije prav tako določa, da se podatki, ki jih v okviru ugotavljanja in preverjanja istovetnosti stranke ni mogoče dobiti, pridobijo iz kopije uradnega osebnega dokumenta, ki jo stranka pošlje zavezancu v papirnati ali digitalni obliki. Če na opisan način ni mogoče pridobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo neposredno od stranke.

 

ZPPDFT-1 v 32. členu določa hrambo kopij uradnih osebnih dokumentov v elektronski obliki. Določba predstavlja izjemo od načelne prepovedi hrambe kopij osebnih dokumentov v elektronski obliki, kot jo določata ZOIzk-1 in ZPLD-1, za zavezance, ki so kreditne in finančne institucije. Vendar pa gre v navedenem primeru samo za hrambo kopij uradnih osebnih dokumentov v elektronski obliki, ki so jih banke pridobile na podlagi ZPPDFT-1 v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah ZPPDFT-1 (tj. v primerih ugotavljanja in preverjanja istovetnosti na podlagi sredstva elektronske identifikacije ali z uporabo videoelektronske identifikacije) in ne na drugi pravni podlagi (npr. ZOIzk-1 ali ZPLD-1).

 

Glede na besedilo obstoječega predpisa IP ne more podati drugačnega mnenja oziroma širiti pravne podlage za elektronsko hrambo dokumentov, ki jih sicer ZOIzk-1 in ZPLD-1 izrecno prepovedujeta. Nameni predlagatelja se namreč lahko izluščijo le iz zakonske dikcije same. Če bi (je) namreč zakonodajalec želel širšo podlago, bi to moral jasno zapisati v dikcijo člena.

    

Zakonitost zbiranja osebnih podatkov v konkretnih primerih, lahko IP ugotavlja zgolj v okviru inšpekcijskega postopka, pri čemer se zaveda, da je nesistemska ureditev prepovedi shranjevanja kopij osebnih dokumentov v elektronski obliki anomalija v sistemu kreditnega in finančnega poslovanja, ki z novelo ZPPDFT-1 ni bila ustrezno odpravljena.

 

Upamo, da smo vam z našimi pojasnili uspeli pomagati.

 

 

 

 

 

Pripravila:                                                                                Mojca Prelesnik, univ. dipl. prav.,

Karolina Kušević, univ. dipl. prav.,                                            Informacijska pooblaščenka

svetovalka pri IP