Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 12.06.2018
Naslov: Vpliv GDPR na SISBON
Številka: 0712-1/2018/1719
Vsebina: Bančništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 24. 5. 2018 prejel vaše elektronsko sporočilo, v katerem sprašujete, kako bo nova Splošna uredba o varstvu podatkov (GDPR) vplivala na varovanje osebnih podatkov, ki jih banke shranjujejo v bazi SISBON. Razumete namreč, da banka vaših osebnih podatkov ne sme več posredovati v skupno bazo podatkov SISBON in da vaši podatki ne smejo več biti dostopni drugim bankam, hranilnicam, leasing hišam ipd.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Pričetek uporabe Splošne uredbe o varstvu podatkov po mnenju IP ne vpliva na izvajanje določb Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16, v nadaljevanju: ZCKR) glede obveznosti bank in drugim finančnih institucij (v nadaljevanju: bank), da podatke posredujejo v sistem izmenjave informacij o zadolženosti fizičnih oseb – SISBON (v nadaljevanju: SISBON) ter možnosti, da jih iz njega pridobivajo oziroma obveznosti, da pred sklenitvijo kreditne pogodbe ocenijo kreditno sposobnost potrošnika v skladu z določbami Zakona o potrošniških kreditih (Uradni list RS, št. 77/16, v nadaljevanju: ZPotK-2), saj sta omenjena ZCKR in ZPotK-2 predstavljala samostojno podlago za obdelavo osebnih podatkov že v skladu z določbami Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1) in jo predstavljata tudi po določbah Splošne uredbe o varstvu podatkov (člen 6(1)c), ki kot zakonito določa obdelavo osebnih podatkov, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

 

 

Obrazložitev:

 

Osebni podatek v skladu s Splošno uredbo o varstvu podatkov pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.[1] Obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.[2]

 

Pravne podlage za obdelavo osebnih podatkov Splošna uredba o varstvu osebnih podatkov ne opredeljuje bistveno drugače, kot jih je definiral že ZVOP-1, ki je v prvem odstavku 10. člena med drugim določal, da se osebni podatki v zasebnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Splošna uredba o varstvu podatkov pravne podlage za obdelavo osebnih podatkov opredeljuje v prvem odstavku 6. člena Splošne uredbe o varstvu podatkov, in sicer v točki (c) določa, da je obdelava med drugim zakonita tudi, če je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

 

ZCKR v prvem in petem odstavku 6. člena določa obveznost bank, da Banki Slovenije, ki je upravljavka sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON, brezplačno posredujejo podatke in informacije  o  zadolženosti poslovnih subjektov ter upravljanju kreditnih tveganj kreditodajalcev v zvezi s poslovnimi subjekti in zadolženosti fizičnih oseb. Nadalje ZCKR v drugem odstavku 19. člena določa, da lahko banke za namene ocenjevanja kreditnega tveganja fizične osebe ali poslovnega subjekta, ki je izrazil interes za sklenitev kreditnega posla ali s katerim so sklenili kreditni posel, dostopajo do vseh podatkov, ki se o tej fizični osebi ali poslovnem subjektu obdelujejo v sistemu izmenjave informacij.

 

ZPotK-2 v prvem, drugem in tretjem odstavku 10. člena med drugim nalaga bankam, da pred sklenitvijo kreditne pogodbe ocenijo kreditno sposobnost potrošnika. To storijo na podlagi potrebnih, zadostnih in sorazmernih informacij o prihodkih in izdatkih oziroma premoženjskem stanju potrošnika, ki jih pridobijo od potrošnika, in na podlagi informacij o zadolženosti potrošnika, ki jih pridobijo iz zbirk osebnih podatkov, ki se vodijo na podlagi ZCKR in do katerih imajo banke dostop v skladu z ZCKR ali drugim zakonom, pri čemer se upošteva tudi zakon, ki ureja varstvo osebnih podatkov.

 

Glede na omenjeni določbi ZVOP-1 in Splošne uredbe je obdelava osebnih podatkov (še vedno) zakonita, če je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Upravljavci so v tem primeru banke (in po ZCKR za centralni kreditni register ter SISBON Banka Slovenije), ki izpolnjujejo zakonske obveznosti, ki jim jih nalagata ZCKR in ZPotK-2, in sicer ZCKR bankam nalaga obveznost, da določene osebne podatke o svojih strankah posredujejo v sistem SISBON in jim daje možnost, da določene podatke iz sistema SISBON tudi pridobijo, ZPotK-2 pa banke obvezuje, da pred sklenitvijo posla ocenijo kreditno sposobnost potrošnika, kar storijo tudi na podlagi informacij, ki jih pridobijo iz sistema SISBON. Ob tem so banke dolžne upoštevati tudi zakon, ki ureja varstvo osebnih podatkov, tj. v tem trenutku zlasti Splošna uredba o varstvu osebnih podatkov, ki pa zakonitosti tovrstne obdelave osebnih podatkov, kot že rečeno, ne oporeka.

 

V kolikor torej banke v sistem SISBON sporočajo in iz njega pridobivajo podatke v skladu z ZCKR in ZPotK-2, je tovrstna obdelava osebnih podatkov, ki je bila zakonita že v skladu z ZVOP-1, zakonita tudi v skladu s Splošno uredbo o varstvu podatkov. 

 

S spoštovanjem,

 

 

Pripravila:                                                                                                

Mojca Leitinger Okršlar,                                                                                    

državna nadzornica za varstvo osebnih podatkov                                   

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

 

 

 

 

 

 

 

 


[1] Prva točka 4. člena Splošne uredbe

[2] Druga točka 4. člena Splošne uredbe