Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 14.05.2018
Naslov: Rok hrambe osebnih podatkov v banki
Številka: 0712-1/2018/1153
Vsebina: Bančništvo, Rok hrambe OP
Pravni akt: Mnenje

Informacijskemu pooblaščencu (v nadaljevanju IP) ste podali svoje vprašanje, koliko časa je banka upravičena do hrambe podatkov, glede na to, da ste pred kratkim po naključju ugotovili, da v banki, katere komitent niste že več let, v bazi hranijo vaše osebne podatke, vključno z vašo številko mobilnega telefona, številko osebnega dokumenta itd.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Rok hrambe osebnih podatkov je v ZVOP-1 predpisan v 21. členu, ki v prvem odstavku določa, da se osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali. Drugi odstavek istega člena pa določa, da se osebni podatki po izpolnitvi namena obdelave zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

 

Iz navedenega sledi, da pravna podlaga za hrambo osebnih podatkov (tudi tistih, zbranih na podlagi informirane pisne privolitve posameznika) po ZVOP-1 odpade z izpolnitvijo namena, za katerega so bili osebni podatki zbrani in nadalje obdelovani. To potrjuje tudi določba 16. člena ZVOP-1, kjer je določeno, da se osebni podatki lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. Iz določb 21. člena ZVOP-1 sicer izrecno ne izhaja, da bi moral upravljavec obdelavo osebnih podatkov omejiti s časom hranjenja oziroma da bi moral posameznik pred podajo pisne privolitve k obdelavi njegovih osebnih podatkov, biti predhodno pisno seznanjen s časom shranjevanja, kar pomeni, da je odločanje o roku hrambe osebnih podatkov prepuščeno obdelovalcu osebnih podatkov. Z vidika temeljnih načel ZVOP-1 iz 2. in 3. člena ZVOP-1, v skladu s katerimi se osebni podatki morajo obdelovati zakonito in pošteno, obenem pa morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo in z vidika pravne varnosti je prav v izogib nejasnostim kljub vsemu priporočeno, da je posameznik pred podajo osebne privolitve seznanjen ne le s samo obdelavo in namenom obdelave, pač pa tudi z rokom hrambe (merili rokov hrambe) njegovih osebnih podatkov.

 

Splošna določba ZVOP-1 določa, da se šteje, kadar se osebni podatki obdelujejo na podlagi pogodbenega razmerja, da lahko upravljavec osebnih podatkov le-te obdeluje le toliko časa, dokler traja pogodbeno razmerje, oziroma dokler se uveljavljajo pravice iz pogodbenega razmerja. Ko pogodbeno razmerje  preneha obstajati in so poravnane vse obveznosti, ki izhajajo iz pogodbenega razmerja, je namen, zaradi katerega so se osebni podatki zbirali in nadalje obdelovali, dosežen, zaradi česar se lahko osebni podatki shranjujejo le še toliko časa, kot to zahtevajo računovodski standardi ter davčna ali druga zakonodaja.

 

Konkretneje hrambo podatkov bankam npr. predpisuje Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 60/07, 19/10, 77/11, 108/12 – ZIS-E, 19/14 in 68/16), ki v prvem odstavku 129. člena določa, da zavezanci hranijo podatke, ki so jih pridobili na podlagi 16., 17., 18., 22., 23., 24., 25., 26., 27., 28., 29., 30., 31., 43., 48., 49., 50., 54., 58., 59., 60., 61., 62., 63., 68., 69., 96., 97. in 98. člena tega zakona, in pripadajočo dokumentacijo, ki se nanaša na pregled stranke in posamezne transakcije, deset let po prenehanju poslovnega razmerja, opravljeni transakciji, vstopu stranke v igralnico oziroma igralni salon ali pristopu k sefu, razen če drug zakon ne predvideva daljšega roka hrambe. Iz jezikovne razlage navedene določbe izhaja, da rok hrambe torej teče od posamezne transakcije, če pa gre za poslovno razmerje, začne rok hrambe teči s prenehanjem poslovnega razmerja.

 

Veljavna Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Uredba), ki se bo začela uporabljati 25. 5. 2018, v zvezi s shranjevanjem podatkov določa, da morajo biti osebni podatki »omejeno shranjevani« v obliki, ki dopušča identifikacijo, le toliko časa kot je potrebno za namene za katere se obdelujejo; dalj pa le, če bodo obdelani za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne ali statistične namene (v skladu z 89. členom Uredbe), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe za zaščito pravic in svoboščin posameznika, na katerega se osebni podatki nanašajo.

 

S spoštovanjem,

 

Pripravila:                                                 

mag. Petra Ratajec                                                                        Mojca Prelesnik, univ. dipl. prav.,

državna nadzornica za varstvo                                                       informacijska pooblaščenka

osebnih podatkov