Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 17.09.2018
Naslov: Podatki o življenjskih stroških ob pridobivanju kredita
Številka: 0712-3/2018/1590
Vsebina: Bančništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 4. 9. 2018 prejel vaše elektronsko sporočilo, v katerem prosite za mnenje, ali lahko banka od potencialnega kreditojemalca ob pridobivanju kredita zahteva izpolnitev podatkov o življenjskih stroških, saj so po vašem mnenju to zelo osebni podatki, ki ob izpolnjevanju pogojev za pridobitev kredita nimajo nobene povezave s samo pridobitvijo/odobritvijo kredita.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše pisno neobvezno mnenje v zvezi z vašim vprašanjem.

 

Banke so pri opravljanju bančnih storitev podvržene številnih zakonskim zahtevam, ki jim med drugim nalagajo obdelavo osebnih podatkov njihovih strank za različne namene. Med drugim Zakon o potrošniških kreditih dajalcu kredita, tj. banki, nalaga, da mora pred sklenitvijo kreditne pogodbe oceniti kreditno sposobnost potrošnika, kar stori na podlagi potrebnih, zadostnih in sorazmernih informacij o prihodkih in izdatkih oziroma premoženjskem stanju potrošnika, ki jih pridobi od potrošnika in iz zbirk osebnih podatkov, ki se vodijo na podlagi Zakona o centralnem kreditnem registru. Je pa dolžna banka posameznika takrat, ko od njega pridobiva osebne podatke, seznaniti z določenimi informacijami v skladu z določbami Splošne uredbe, med drugim tudi s pravno podlago za tovrstno obdelavo osebnih podatkov.

 

 

Obrazložitev:

 

Splošna uredba v prvem odstavku 6. člena opredeljuje pravne podlage za obdelavo osebnih podatkov, med drugim v točki (c) kot zakonito določa obdelavo osebnih podatkov, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca[1]. Banke so pri opravljanju bančnih storitev za stranke podvržene zahtevam številnih zakonov, ki jim med drugim nalagajo obdelavo (zbiranje, hrambo…) osebnih podatkov o strankah za različne namene, kot npr. Zakon o potrošniških kreditih, Zakon o preprečevanju pranja denarja in financiranja terorizma, Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih ipd.

 

Za odgovor na vaše vprašanje so ključne določbe 10. člena Zakona o potrošniških kreditih (Uradni list RS, št. 77/16, v nadaljevanju: ZPotK-2), ki dajalcu kredita nalaga, da mora pred sklenitvijo kreditne pogodbe oceniti kreditno sposobnost potrošnika. To stori na podlagi potrebnih, zadostnih in sorazmernih informacij o prihodkih in izdatkih oziroma premoženjskem stanju potrošnika, ki jih pridobi od potrošnika in iz zbirk osebnih podatkov, ki se vodijo na podlagi Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16). Isti člen ZPotK-2 določa še, da dajalec kredita hrani dokazila o oceni kreditne sposobnosti potrošnika na papirju ali drugem trajnem nosilcu podatkov ves čas trajanja kreditne pogodbe in še štiri leta po izteku kreditne pogodbe, in sicer v poslovnih prostorih dajalca kredita, v katerih se sklepajo kreditne pogodbe. Smiselno podobno in celo nekoliko strožje je ocena kreditne sposobnosti opredeljena tudi v primeru potrošniškega kredita za nepremičnino v 42. členu ZPotK-2, kjer pa je določeno še, da dajalec kredita določi in dokumentira postopek in informacije, na katerih temelji ocena kreditne sposobnosti potrošnika. V skladu z navedenim banka od posameznika, ki pri njej najema kredit, torej mora pridobiti določene informacije, na podlagi katerih oceni njegovo kreditno sposobnost, hkrati pa mora imeti izdelana merila in opredeljene informacije, na osnovi katerih se odloča.  

 

Glede na navedeno in ker IP izven konkretnega inšpekcijskega postopka ne more z gotovostjo ugotoviti, s kakšnim razlogom oziroma na kakšni pravni podlagi banka v vašem primeru zahteva podatke o stroških gospodinjstva, predvsem pa, ker je banka dolžna posameznika takrat, ko od njega pridobiva osebne podatke, seznaniti z določenimi informacijami v skladu s 13. členom Splošne uredbe[2], med drugim tudi s pravno podlago za tovrstno obdelavo osebnih podatkov, vam predlagamo, da se obrnete na banko in zahtevate, da vas seznanijo s pravno podlago za tovrstno obdelavo osebnih podatkov, torej, na kakšni podlagi zahtevajo tako podrobne informacije o stroških gospodinjstva.

 

S spoštovanjem,

 

Pripravila:                                                                                            

Mojca Leitinger Okršlar,                                                               

državna nadzornica za varstvo osebnih podatkov

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 


[1] Prvi odstavek 6. člena Splošne uredbe se glasi: Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev: (a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;  (b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;  (c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;  (d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;  (e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;  (f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Pri tem se točka (f) prvega pododstavka ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

[2] Prvi odstavek 13. člena Splošne uredbe se glasi: Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije: (a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja; (b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja; (c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo; (d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba; (e) uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo; (f) kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo. V skladu z drugim odstavkom istega člena je upravljavec v primeru, ko je to potrebno za zagotovitev poštene in pregledne obdelave, dolžan posamezniku zagotoviti dodatne informacije. Drugi odstavek istega člena nadalje določa, da upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave: (a) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja; (b) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov; (c) kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica; (d) pravico do vložitve pritožbe pri nadzornem organu; (e) ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in (f) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.