Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.11.2019
Naslov: Preverba poslovnih listin kot pogoj za izplačilo
Številka: 0712-1/2019/2609
Vsebina: Bančništvo, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 7. 10. 2019 prejel vaše elektronsko sporočilo, iz katerega izhaja, da ste na osebni račun, ki ga vodijo pri eni od hranilnic, prejeli večja zneska s strani dveh slovenskih družb. Ko ste želeli del tega denarja dvigniti v gotovini, ste bili s strani hranilnice pozvani, da jim dostavite dokazilo o podlagi nakazil na vaš račun, sicer vam zneska ne bodo izplačali, kar bi po vašem mnenju morale nadzirati ustrezne ustanove, zlasti Urad za preprečevanje pranja denarja, od katerih pa niste v zvezi s tem prejeli nobenega predloga ali zahteve. Ne razumete logike, po kateri je hranilnica brez pripomb sprejela vsa nakazila sredstev na vaš račun, ko želite del sredstev dvigniti, pa izplačilo pogojujejo s predložitvijo vaših poslovnih listin. Listin nimate namena kazati nepristojnim uslužbencem hranilnice, razen, če je to nujno, saj so plačilni promet po ustaljenih zakonitih poteh zagotovo že preverile ustrezne državne ustanove. Hranilnici ste sporočili, da je tako poslovanje v nasprotju z dvema členoma sklenjene Pogodbe o vodenju osebnega računa, v odgovor pa ste dobili slike izsekov iz njihovih notranjih predpisov (tako predvidevate), katerih vir ni naveden ali razviden, ter slikovni izsek, ki ste ga prepoznali kot del Zakona o preprečevanju pranja denarja in financiranja terorizma. Omenjate še, da razen z omenjeno pogodbo, ki ste jo sklenili ob odprtju svojega računa pri tej hranilnici, niste bili seznanjeni z nobenimi njihovimi dodatnimi pravili in pogoji in tudi v njihovi spletni predstavitvi v zvezi s tem niste našli ničesar. IP prosite za strokovno presojo. Dodatno izpostavljate še, da ste si na spletni strani IP ogledali predstavitev in da vas je zmotila zagrožena kazen v višini do 10 mio €, če IP o zaznani kršitvi ne obvestite v roku 72 ur – menite, da sta tako znesek kot rok popolnoma neprimerna.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

Banka ali hranilnica ima po mnenju IP kot upravljavec osebnih podatkov, ki je obenem tudi zavezanec po Zakonu o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-1), ustrezno podlago za to, da od vas zahteva listine in obdeluje vaše osebne podatke iz teh listin, saj je to potrebno tako za izvajanje pogodbe, ki ste jo sklenili z njo, kot tudi zaradi izvajanja ukrepov, ki jih hranilnici nalaga zakon. Za presojo siceršnje ustreznosti ravnanja zavezancev v smislu izvajanja določb ZPPDFT-1 pa IP ni pristojen.

 

Omenjena kazen v višini 10 mio € in rok 72 ur pod določenimi pogoji veljata za upravljavce osebnih podatkov in ne za posameznike, na katere se nanašajo osebni podatki, ki jih upravljavci obdelujejo in so bili predmet kršitve.

 

 

 

Obrazložitev:

Vsaka obdelava osebnih podatkov mora temeljiti na zakoniti in ustrezni pravni podlagi, te pa so določene v prvem odstavku 6. člena Splošne uredbe, in sicer: privolitev, sklenitev ali izvajanje pogodbe, zakon oziroma izvajanje javnih nalog in zakoniti interesi, ki prevladajo nad interesi posameznika. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca, pri tem pa je za zakonitost obdelave dovolj, da je izpolnjena ena od predhodno navedenih pravnih podlag.

Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, v nadaljevanju: ZPPDFT-1) določa, da med zavezance za izvajanje ukrepov za odkrivanje in preprečevanje pranja denarja in financiranja terorizma pred oziroma pri sprejemanju, izročitvi, zamenjavi, hrambi, razpolaganju oziroma drugem ravnanju z denarjem ali drugim premoženjem in pri sklepanju poslovnih razmerij spadajo tudi banke in hranilnice. Zaradi odkrivanja ter preprečevanja pranja denarja in financiranja terorizma zavezanci pri opravljanju svojih dejavnosti izvajajo naloge, vključno z izvajanjem ukrepov za poznavanje stranke, kar med drugim obsega tudi pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov ter redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu. Zavezanec mora postopke izvajanja ukrepov opredeliti v svojih notranjih aktih. ZPPDFT-1 določa tudi, da zavezanec, ki predhodno omenjenih ukrepov ne more izvesti, ne sme skleniti poslovnega razmerja ali opraviti transakcije oziroma mora prekiniti poslovno razmerje, če je to že sklenjeno, in da mora zavezanec Uradu za preprečevanje pranja denarja (v nadaljevanju: Urad) sporočiti podatke ter dokumentacijo, kadar v zvezi s transakcijo, osebo, premoženjem ali sredstvi obstajajo razlogi za sum pranja denarja ali financiranja terorizma, in sicer še pred izvedbo transakcije. Nadzor nad izvajanjem določb ZPPDFT-1 in predpisov, izdanih na njegovi podlagi, v okviru svojih pristojnosti opravljajo: a) Urad za preprečevanje pranja denarja, b) Banka Slovenije, c) Agencija za trg vrednostnih papirjev, d) Agencija za zavarovalni nadzor, e) Finančna uprava Republike Slovenije, f) Tržni inšpektorat Republike Slovenije, g) Agencija za javni nadzor nad revidiranjem in Slovenski inštitut za revizijo, h) Odvetniška zbornica Slovenije in i) Notarska zbornica Slovenije.

Iz predhodno navedenih določb predpisov v povezavi z vašimi navedbami je razvidno, da hranilnica vaše osebne podatke obdeluje na podlagi pogodbe, ki jo je sklenila z vami (Pogodba o vodenju osebnega računa), obenem pa ji zbiranje določenih osebnih podatkov nalaga tudi ZPPDFT-1 kot zavezancu za izvajanje ukrepov za preprečevanje pranja denarja in financiranje terorizma. Omenjeni ukrepi obsegajo tudi predhodno preveritev transakcije (v vašem primeru dvig določenega zneska gotovine) ter preprečitev izvedbe transakcije v primeru, da zavezanec ukrepov ne more izvesti. Zavezanec mora o sumu pranja denarja obvestiti Urad, za nadzor nad izvajanjem določb ZPPDFT-1 pa so poleg Urada pristojni še drugi organi.

 

Na tej podlagi IP zaključuje, da imajo banke in hranilnice v primeru, kot ga opisujete, ustrezno podlago za to, da zahtevajo listine in obdelujejo osebne podatke iz teh listin, če je to potrebno, tako za izvajanje pogodbe, ki jo je posameznik sklenil z njo, kot tudi zaradi izvajanja ukrepov, ki jih bankam in hranilnicam nalaga zakon. Za presojo siceršnje ustreznosti njihovega ravnanja v smislu ZPPDFT-1 pa IP ni pristojen.

 

V zvezi z s podatki, ki ste jih zasledili v spletni predstavitvi IP o višini kazni in roku za obveščanje pristojnega organa, IP pojasnjuje, da gre za določbe Splošne uredbe o varstvu podatkov, ki predstavlja predpis EU, usklajen in sprejet na ravni vseh držav članic Evropske Unije. Nadalje IP pojasnjuje, da se določba prvega odstavka 33. člena Splošne uredbe, ki določa, da mora v primeru kršitve varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja najpozneje v 72 urah po seznanitvi s kršitvijo o njej uradno obvestiti pristojni nadzorni organ […], nanaša na obveznost upravljavca osebnih podatkov, ki je v vašem primeru hranilnica, v kolikor bi zaznala kršitev varstva osebnih podatkov, in ne na vas kot posameznika, na katerega se osebni podatki nanašajo, določba četrtega odstavka 83. člena Splošne uredbe, ki določa, da se za kršitve […] uporabljajo upravne globe v znesku do 10 000 000 EUR […], pa gre za najvišji znesek, ki ga v določenih primerih lahko izreče pristojni organ, pri tem pa je vedno dolžan upoštevati vse okoliščine in zagotoviti, da so naložene upravne globe v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne. To po mnenju IP pomeni, da v slovenskem prostoru za izrek tako visoke globe ni prav veliko možnosti, v nobenem primeru pa te globe ni mogoče izreči posamezniku, na katerega se nanašajo osebni podatki, v zvezi s katerimi se je zgodila kršitev varstva osebnih podatkov. 

 

S spoštovanjem,

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka