Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 15.10.2019
Naslov: Posredovanje dokumentacije borzno posredniški družbi
Številka: 0712-1/2019/2323
Vsebina: Posebne vrste, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zahteve za posredovanje določene dokumentacije borznoposredniški družbi.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da Zakon o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-1; Uradni list RS, št. 68/16) v drugem odstavku 61. člena določa, da je politično izpostavljena oseba vsaka fizična oseba, ki deluje ali je v zadnjem letu delovala na vidnem javnem položaju v državi članici ali tretji državi, vključno z njenimi ožjimi družinskimi člani in ožjimi sodelavci. V tretjem odstavku istega člena pa je določeno, da so fizične osebe, ki delujejo ali so delovale na vidnem javnem položaju: voditelji držav, predsedniki vlad, ministri in njihovi namestniki oziroma pomočniki; izvoljeni predstavniki zakonodajnih teles; člani vodstvenih organov političnih strank; člani vrhovnih in ustavnih sodišč ter drugih sodnih organov na visoki ravni, zoper odločitve katerih, razen v izjemnih primerih, ni mogoče uporabiti rednih ali izrednih pravnih sredstev; člani računskih sodišč in svetov centralnih bank; vodje diplomatskih predstavništev in konzulatov ter predstavništev mednarodnih organizacij, njihovi namestniki in visoki častniki oboroženih sil; člani upravnih ali nadzornih organov podjetij, ki so v večinski lasti države; predstojniki organov mednarodnih organizacij (kot so na primer predsedniki, generalni sekretarji, direktorji, sodniki), njihovi namestniki in člani vodstvenih organov ali nosilci enakovrednih funkcij v mednarodnih organizacijah.

Zavezanci (v to kategorijo na podlagi 4. člena ZPPDFT-1 spadajo tudi borznoposredniške družbe) so na podlagi določb ZPPDFT-1 dolžni izvajati določene ukrepe za poznavanje svojih strank ter v skladu z 61. členom ZPPDFT-1 ugotavljati tudi politično izpostavljenost svojih strank.

IP poudarja, da ni pristojen za presojo vsebine izjave o politični izpostavljenosti strank, s katerimi zavezanci v skladu z ZPPDFT-1 izpolnjujejo svoje obveznosti v zvezi s poslovanjem s politično izpostavljenimi osebami.

 

 

Glede vašega vprašanja v zvezi z osebno izkaznico IP najprej pojasnjuje, da fotokopiranje osebne izkaznice ureja Zakon o osebni izkaznici (ZOIzk-1; Uradni list RS, št. 35/11). Ta v drugem odstavku 4. člena določa, da lahko osebno izkaznico poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana. Pojma finančna družba in finančna storitev po tem zakonu imata enak pomen kot v zakonu, ki ureja bančništvo. Ob upoštevanju določb 11. točke prvega odstavka 7. člena, 2. točke drugega odstavka 8. člena ter 7. in 11. točke drugega odstavka 5. člena Zakona o bančništvu (ZBan-2; Uradni list RS, št. 25/15, 44/16 – ZRPPB, 77/16 – ZCKR, 41/17, 77/18 – ZTF-1, 22/19 – ZIUDSOL, 44/19 – odl. US), borznoposredniška družba iz vašega zaprosila nedvomno sodi med finančne družbe, ki opravljajo finančne storitve po ZBan-2. V skladu s sedmim odstavkom 4. člena ZOizk-1 je kopijo osebne izkaznice prepovedano hraniti v elektronski obliki.

Ob tem pa IP dodaja, da 137. člen ZPPDFT-1 določa vsebino posameznih evidenc, ki jih upravljajo zavezanci. V evidenci o strankah, poslovnih razmerjih in transakcijah se lahko obdeluje tudi podatek o davčni številki določenih subjektov (tako pravnih kot fizičnih oseb).

Zavezanci po ZPPDFT-1 med svojimi nalogami izvajajo tudi ukrepe za poznavanje stranke (v nadaljnjem besedilu: pregled stranke) na način in pod pogoji, ki jih določa ta zakon. Sestavni del pregleda stranke je med drugim tudi ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov. Po 23. členu ZPPDFT-1 se ugotavljanje in preverjanje istovetnosti stranke ter pridobitev podatkov iz  2. točke prvega odstavka 137. člena ZPPFD-1 opravi z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke.

Posebej pa ZPPDFT-1 ureja ugotavljanje in preverjanje istovetnosti stranke iz sredstva elektronske identifikacije, in sicer je v tretjem odstavku 26. člena ZPPDFT-1 določeno, da zavezanec v okviru ugotavljanja in preverjanja istovetnosti stranke na podlagi drugega odstavka 26. člena ZPPDFT-1 dobi zahtevane podatke o stranki, ki jih določa 2. točka prvega odstavka 137. člena tega zakona (ti podatki so: osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta), iz sredstva elektronske identifikacije. Podatki, ki jih iz sredstva elektronske identifikacije ni mogoče dobiti, se pridobijo iz kopije uradnega osebnega dokumenta, ki jo stranka pošlje zavezancu v papirnati ali digitalni obliki. Če na opisani način ni mogoče pridobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo neposredno od stranke.

Podobno določba četrtega odstavka 27. člena ZPPDFT-1 za ugotavljanje in preverjanje istovetnosti stranke z uporabo videoelektronske identifikacije določa, da se podatki, ki jih v okviru ugotavljanja in preverjanja istovetnosti stranke ni mogoče dobiti, pridobijo iz kopije uradnega osebnega dokumenta, ki jo stranka pošlje zavezancu v papirnati ali digitalni obliki. Če na opisan način ni mogoče pridobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo neposredno od stranke.

V 32. členu ZPPDFT-1 določa hrambo kopij uradnih osebnih dokumentov v elektronski obliki. Določba predstavlja izjemo od načelne prepovedi hrambe kopij osebnih dokumentov v elektronski obliki, kot jo določa tudi ZOIzk-1, za zavezance, ki so kreditne in finančne institucije. Ne glede na določbe drugih zakonov lahko namreč ti zavezanci kopije uradnih osebnih dokumentov, ki so jih pridobili v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah tega zakona, hranijo v elektronski obliki, če je zagotovljeno njihovo varovanje z organizacijskimi, tehničnimi in logično-tehničnimi postopki in ukrepi skladno z zakonom, ki ureja varstvo osebnih podatkov. Gre pa v navedenem primeru torej samo za hrambo kopij uradnih osebnih dokumentov v elektronski obliki, ki so jih banke pridobile na podlagi ZPPDFT-1 v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah ZPPDFT-1 in ne na drugi pravni podlagi (npr. ZOIzk-1).

IP nadalje pojasnjuje, da zavarovanje osebnih podatkov v skladu s še vedno veljavnim prvim odstavkom 24. člena ZVOP-1 obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava tako, da se med drugim preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih. V skladu s prav tako še vedno veljavnim prvim odstavkom 25. člena ZVOP-1 so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na navedeni način. Drugi odstavek 25. člena pa določa, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

Iz zgoraj navedenega izhaja, da morajo biti osebni podatki ves čas prenosa (tudi pošiljanja preko elektronske pošte) ustrezno zavarovani  s postopki in ukrepi, ki nepooblaščenim osebam preprečujejo dostop do osebnih podatkov, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos, in vrste osebnih podatkov, ki se prenašajo. Pri pošiljanju osebnih podatkov po telekomunikacijskih omrežjih je treba najprej razlikovati med navadnimi in občutljivimi osebnimi podatki (posebne vrste osebnih podatkov po Splošni uredbi o varstvu podatkov). IP pojasnjuje, da v skladu z 9. členom Splošne uredbe o varstvu podatkov med posebne vrste osebnih podatkov sodijo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genski podatki, biometrični podatki za namene edinstvene identifikacije posameznika, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Tovrstnim osebnim podatkom je zaradi njihove občutljive narave predpisano posebno varstvo. Zaradi njihove opisane narave iz 14. člena ZVOP-1 izhajajo tudi posebna pravila za način obdelave navedenih podatkov. Drugi odstavek 14. člena ZVOP-1 tako zaradi specifičnosti komunikacije preko telekomunikacijskih omrežjih posebej ureja prenos občutljivih osebnih podatkov prek telekomunikacijskih omrežij, pri čemer se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

 

Preverjanje politične izpostavljenosti strank v skladu z določbami ZPPDFT-1 po mnenju IP praviloma ne zajema tudi obdelave podatka o politični usmerjenosti oziroma političnem mnenju stranke in zato ne predstavlja posebne vrste osebnega podatka v smislu 9. člena Splošne uredbe o varstvu podatkov. Iz tega izhaja, da takega podatka med pošiljanjem po elektronski pošti ni treba posebej zaščititi (npr. s kriptiranjem). IP tako meni, da bi podatek o politični izpostavljenosti lahko predstavljal posebno vrsto osebnega podatka le, če bi bilo iz njega mogoče razbrati politično mnenje ali sklepati nanj. V takem primeru pa bi ga bilo treba med pošiljanjem po elektronski pošti tudi posebej zaščititi skladno z navedenimi določbami 14. člena ZVOP-1.

 

IP poudarja, da mora vsak upravljavec sam, glede na tveganja, presoditi, kateri so tisti ukrepi, ki so potrebni za zagotavljanje ustrezne varnosti osebnih podatkov. V kolikor osebni podatki med prenosom niso ustrezno zavarovani in do njih lahko dostopajo nepooblaščene osebe, bi lahko šlo za kršitev navedenih določb ZVOP-1. IP pa v okviru mnenju ne more presojati, ali gre v konkretnem primeru za kakršnokoli kršitev, saj presojo o ustreznosti ukrepov lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka