Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 05.11.2019
Naslov: Osebni podatki ob odpiranju računa
Številka: 0712-1/2019/2504
Vsebina: Bančništvo, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 23. 10. 2019 prejel vaše elektronsko sporočilo, v katerem sprašujete, ali je banka kršila predpise o varstvu osebnih podatkov, če je od vas ob odpiranju osebnega računa za potrebe depozita, zahtevala podatke o vašem statusu (poročeni ali ne), zaposlitvi, dolžini delovne dobe, številu članov gospodinjstva, izvršbah in dolgovih… Zanima vas tudi, ali lahko od banke zahtevate, da po prenehanju pogodbe te podatke uničijo.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše pisno neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

Banke so pri opravljanju bančnih storitev podvržene številnih zakonskim zahtevam, ki jim med drugim nalagajo obdelavo osebnih podatkov njihovih strank za različne namene, lahko pa osebne podatke obdelujejo tudi na drugih zakonitih pravnih podlagah. Da bi banka zgolj zaradi odpiranja osebnega oziroma depozitnega računa zahtevala podrobne podatke o najrazličnejših osebnih okoliščinah posameznika, bi po mnenju IP lahko predstavljalo prekomerno zbiranje osebnih podatkov, vendar pa bi bilo presojo konkretnega primera mogoče opraviti šele v okviru inšpekcijskega postopka. V vsakem primeru je banka kot upravljavec osebnih podatkov dolžna posameznika takrat, ko od njega pridobiva osebne podatke, seznaniti z informacijami v skladu z določbami Splošne uredbe, med drugim tudi s pravno podlago in nameni obdelave osebnih podatkov.

 

Zahtevo za izbris osebnih podatkov ali omejitev uporabe vaših osebnih podatkov lahko podate v skladu s pogoji, ki jih določa Splošna uredba, vaša zahteva pa bo uspešna zlasti v primeru, če upravljavec vaše osebne podatke obdeluje na podlagi privolitve; če jih obdeluje na podlagi zakonskih določb ali pogodbe, pa zgolj vaša zahteva za prenehanje ali omejitev obdelave praviloma ne bo zadostovala.

 

 

 

Obrazložitev:

 

Splošna uredba v prvem odstavku 6. člena opredeljuje zakonite pravne podlage za obdelavo osebnih podatkov. Banke so pri opravljanju bančnih storitev za stranke podvržene zahtevam številnih zakonov, ki jim med drugim nalagajo obdelavo (zbiranje, hrambo…) osebnih podatkov o strankah za različne namene, kot npr. Zakon o potrošniških kreditih, Zakon o preprečevanju pranja denarja in financiranja terorizma, Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih ipd., lahko pa banke osebne podatke posameznikov obdelujejo tudi na drugih zakonitih pravnih podlagah iz prvega odstavka 6. člena Splošne uredbe, zlasti na podlagi pogodbe ali privolitve.

 

Da bi banka zgolj zaradi odpiranja osebnega oziroma depozitnega računa zahtevala podrobne podatke o najrazličnejših osebnih okoliščinah posameznika, bi po mnenju IP lahko predstavljalo prekomerno zbiranje osebnih, vendar pa IP izven konkretnega inšpekcijskega postopka ne more z gotovostjo ugotoviti, s kakšnim razlogom oziroma na kakšni pravni podlagi in za kakšen namen je banka v vašem primeru zahteva podatke o vašem statusu, zaposlitvi, dolžini delovne dobe, številu članov gospodinjstva, izvršbah in dolgovih… Pri tem je potrebno upoštevati tudi to, da je banka dolžna posameznika takrat, ko od njega pridobiva osebne podatke, seznaniti z določenimi informacijami v skladu s 13. členom Splošne uredbe, med drugim tudi s pravno podlago za tovrstno obdelavo osebnih podatkov in nameni obdelave, zato vam predlagamo, da se obrnete na banko in zahtevate, da vas seznanijo s konkretnimi informacijami po 13. členu Splošne uredbe ter vam tudi sicer zagotovijo vsa ustrezna pojasnila v zvezi s konkretno obdelavo vaših osebnih podatkov. Vedno je namreč v prvi vrsti upravljavec osebnih podatkov tisti, ki je posamezniku dolžan nuditi informacije v zvezi z obdelavo njegovih osebnih podatkov.

 

Zahtevo za izbris osebnih podatkov lahko podate pod določenimi pogoji, ki jih opredeljuje 17. člen Splošne uredbe, če npr. osebni podatki niso več potrebni v namene, za katere so bili zbrani. Pod podobnimi pogoji lahko zahtevate tudi omejitev uporabe vaših osebnih podatkov po 18. členu Splošne uredbe. Ali bo upravljavec vašim zahtevam lahko ugodil, pa je odvisno predvsem od tega, kakšna je pravna podlaga za obdelavo vaših osebnih podatkov in kdaj se izpolni namen predmetne obdelave. Če gre za osebne podatke, ki jih upravljavec obdeluje na podlagi vaše privolitve, lahko to, da jih upravljavec preneha obdelovati, dosežete preprosto s tem, da privolitev prekličete. Če gre za obdelavo osebnih podatkov na podlagi zakona ali pogodbe, pa morajo biti za prenehanje obdelave osebnih podatkov izpolnjeni zlasti zakonsko ali pogodbeno določeni pogoji. Načeloma bi za osebne podatke, ki se obdelujejo na podlagi pogodbe, moralo veljati, da se s prenehanjem pogodbe prenehajo obdelovati oziroma izbrišejo, razen če je njihova nadaljnja obdelava zakonsko predpisana.

 

S spoštovanjem,

 

 

Pripravila:

Mojca Leitinger Okršlar,univ.dipl.prav.,

državna nadzornica za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik,

informacijska pooblaščenka