Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 25.10.2019
Naslov: Posredovanje podatka o gostu banki
Številka: 0712-1/2019/2179
Vsebina: Bančništvo, Pravne podlage, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Predstavili ste dva primera v zvezi s poizvedovanjem banke oz. družbe, ki ureja plačilni promet, po podatkih gosta, ki je prejel hotelsko storitev.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP pojasnjuje, da posredovanje podatkov banki oz. družbi, ki ureja plačilni promet, predstavlja obdelavo osebnih podatkov, za kar mora obstajati ustrezna pravna podlaga. Možne pravne podlage za obdelavo osebnih podatkov so navedene v členu 6(1) Splošne uredbe, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Iz vašega dopisa ne izhajajo nameni za katere želi banka oziroma družba, ki ureja plačilni promet dostopati do podatkov, ki jih vodite v svojih zbirkah kot upravljavec osebnih podatkov. IP pojasnjuje, da se morate kot upravljavec pred posredovanjem prepričati o obstoju ustrezne pravne podlage, ki jo mora izkazati uporabnik osebnih podatkov (torej tisti ki podatke zahteva). IP ne izključuje možnosti obstoja ustrezne pravne podlage, vendar pa brez poznavanja okoliščin konkretnega primera ne more ugotoviti, če morebiti obstaja podlaga v specialnem zakonu, ki velja za bančni sektor oziroma če so morda izpolnjeni pogoji za posredovanje osebnih podatkov na podlagi zakonitega interesa na podlagi točke (f). IP namreč ne izključuje možnosti, da v primeru morebitnega preverjanja zlorab kartičnega poslovanja lahko obstaja zakoniti interes, ki lahko nudi podlago za obdelavo osebnih podatkov. Kot že navedeno, pa brez poznavanja konkretnih okoliščin IP ne more soditi o obstoju tovrstne pravne podlage, dolžnost za njen izkaz je v prvi vrsti na uporabniku (v konkretnem primeru družbi, ki ureja plačilni promet ali banki), odgovornost za zakonito posredovanje osebnih podatkov pa nosi upravljavec osebnih podatkov (v konkretnem primeru vaša družba).

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

 

Pripravil:

Anže Novak, univ. dipl. prav.                                       

Svetovalec Pooblaščenca za preventivo