Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 09.04.2018
Naslov: Shranjevanje podatkov iz SISBON
Številka: 0712-1/2018/820
Vsebina: Bančništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 23. 3. 2018 prejel vaše elektronsko sporočilo, v katerem ste zapisali, da je v marcu 2018 v vaši banki potekal revizijski pregled sistema SISBON in SISBIZ, ki ga je izvedel s strani Banke Slovenije pooblaščeni revizor. Uradnega poročila s strani revizorja v času pisanja še niste prejeli, vas je pa revizor preliminarno že seznanil, da boste v povezavi z obdelavo oziroma shranjevanjem pridobljenih podatkov iz sistema SISBON dobili priporočilo, da je potrebno podatke, pridobljene iz sistema SISBON, shranjevati tudi v xml obliki. V banki namreč  v posameznih kreditnih mapah hranite le izpis podatkov iz sistema SISBON v pdf obliki, ne shranjujete pa podatkov, ki jih pridobite z datoteko xml, saj ocenjujete, da s tem onemogočite možnost morebitne neupravičene nadaljnje obdelave pridobljenih podatkov. Revizor svoje stališče utemeljuje na podlagi 19. člena Pravil sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON, ki določa, da mora član podatke, ki jih je pridobil iz sistema SISBON, hraniti v izvorni obliki, pri čemer po njihovem mnenju za izvorno obliko šteje dokument v xml obliki (ne pa pdf izpis, ki sicer vsebinsko gledano vsebuje povsem enake podatke kot xml oblika). Po mnenju revizorja banka z navedenim krši zakon, zaradi česar naj bi banka s strani revizorja prejela priporočilo, ocenjeno z visokim tveganjem in z rokom realizacije (torej rokom za odpravo neskladnosti) 3 mesece. Zakon o centralnem kreditnem registru (ZCKR) v drugem odstavku 21. člena določa, da člani sistema na podlagi vpogleda v zbirko podatkov sistema izmenjave informacij ocenijo kreditojemalčevo kreditno sposobnost izpolnjevanja obveznosti iz kreditnega posla. Nadalje citirana določba določa, da je izpis podatkov iz sistema izmenjave sestavni del kreditne dokumentacije, ki jo vodi član sistema. Zakon torej o morebitni obliki izpisa, v katerem je banka dolžna hraniti podatke, ne govori. V nasprotju z ugotovitvami revizorja v banki menite, da bi shranjevanje podatkov (tudi) v xml obliki lahko pomenilo povečano tveganje za neupravičeno obdelavo podatkov, zato IP prosite za mnenje glede predvidenega priporočila revizorja, da bi morala banka podatke, ki jih je prejela iz sistema SISBON, hraniti tudi v xml obliki.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP ni pristojen za vsebinsko razlago določb Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16, v nadaljevanju: ZCKR) z vidika obveznosti bank, ki presegajo vprašanja varstva osebnih podatkov, niti na njegovi podlagi s strani Banke Slovenije sprejetega podzakonskega predpisa, tj. Pravil sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON (Uradni list RS, št. 65/17 in 6/18, v nadaljevanju: Pravila).

 

Zakonitost konkretne obdelave osebnih podatkov pa lahko presoja zgolj v okviru inšpekcijskega postopka.

 

Posledično vam IP tudi ne more dati odgovora na to, ali pojmu hrambe v izvorni obliki zapisa, bolj ustreza pdf oblika ali xml oblika. Svetujemo vam, da se obrnete na pripravljavca predpisa (Banko Slovenije) in upravljavca sistema. IP v obliki mnenja prav tako ne more presojati o tem,  ali s tem, ko podatke shranite v pdf obliki, v resnici onemogočite možnost morebitne neupravičene nadaljnje obdelave pridobljenih podatkov. Vsekakor pa je banka dolžna zagotoviti zavarovanje osebnih podatkov v skladu s 25. členom Pravil oziroma 3. poglavjem ZVOP-1, ne glede na to, v kakšni obliki jih hrani.

 

 

Obrazložitev:

 

ZVOP-1 kot temeljni predpis na področju varstva osebnih podatkov določa pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznikov pri obdelavi osebnih podatkov. IP je nadzorni organ za varstvo osebnih podatkov, ki zlasti opravlja inšpekcijski nadzor nad izvajanjem določb ZVOP-1 in druge naloge po ZVOP-1 in drugih predpisih, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije ter zagotavlja enotno uresničevanje ukrepov na področju varstva osebnih podatkov.

 

ZCKR v prvem odstavku 20. člena med drugim določa, da člani sistema in vključeni dajalci kreditov varujejo osebne podatke v skladu z zakonom, ki ureja varstvo osebnih podatkov. Pravila v prvem odstavku 19. člena določajo, da mora član oziroma vključen dajalec kreditov podatke, ki jih je pridobil iz sistema SISBON, hraniti v izvorni obliki zapisa in jih lahko uporablja izključno za namene, ki jih predvideva ZCKR, nikjer pa Pravila »izvorne oblike zapisa« ne opredeljujejo. Glede na kontekst omenjene določbe IP sicer meni, da se »izvorna oblika zapisa« nanaša na to, da se zapis hrani v nespremenjeni obliki v smislu vsebine, ki je bila pridobljena iz sistema SISBON (v smislu prvega odstavka 24. člena ZVOP-1, ki govori o zavarovanju osebnih podatkov in kot cilj zavarovanja posebej omenja tudi preprečevanje spremembe podatkov), vendar pa IP ni pristojen za razlago določb predpisa, ki ga je na podlagi 1. točke prvega odstavka 26. člena ZCKR sprejela in izdala Banka Slovenije. Svetujemo vam, da se obrnete na Banko Slovenije in razlago določbe pridobite z njihove strani.

 

Pravila nadalje v prvem odstavku 25. člena določajo, da so člani kot upravljavci osebnih podatkov v smislu predpisov o varstvu osebnih podatkov, vključeni dajalci kreditov, upravljavec in pogodbeni obdelovalec dolžni zagotoviti zavarovanje osebnih podatkov, na katere se nanašajo ta pravila, in v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov. Podrobneje o zavarovanju osebnih podatkov govori, kot že rečeno, zlasti 24. člen ZVOP-1[1]. Po mnenju IP banka ne more kršiti varstva osebnih podatkov zgolj na podlagi dejstva, da zapis iz sistema SISBON hrani v pdf ali xml obliki, če pri tem v ustreznem obsegu zagotavlja postopke in ukrepe za zavarovanje osebnih podatkov.

 

S spoštovanjem,

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka

 

 

 

 

 


[1] 24. člen ZVOP-1 določa: (1) Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

  1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

(2) V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.

(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.

(4) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.