Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 27.12.2019
Naslov: Podatki o tujih bančnih računih
Številka: 0712-1/2019/2951
Vsebina: Bančništvo, Informiranje posameznika, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (IP) je prejel vaše zaprosilo za mnenje v zvezi z zahtevo Finančne uprave RS (FURS) po posredovanju informacij o računih v tujini, kjer imate po vaših navedbah pri isti banki odprte tri račune, in sicer: plačilnega, varčevalnega in investicijskega. Navajate, da ste v skladu z zakonodajo plačilni račun takoj prijavili, potem pa ste strani FURS bili pozvani, da prijavite še ostala dva računa. Na vaše povpraševanje pri FURS glede razlogov, so vam odgovorili, da po zakonu varčevalnega in investicijskega računa sicer ni potrebno prijaviti, ker pa je banka z mednarodno izmenjavo posredovala številke vseh računov, pri tem pa ni bilo razvidno za kakšne vrste računov gre, so vas vljudno zaprosili, da posredujete še IBAN številki za ostala dva računa, da FURS uskladi evidence. Ne razumete, zakaj FURS zbira podatke, ki niso predpisani.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim zgoraj povzetim zaprosilom.

 

IP pojasnjuje, da mora za vsako dejanje ali niz dejanj s katerimi se obdelujejo osebni podatki (tako za razkritje s posredovanjem na eni strani, kot za beleženje, zbiranje, shranjevanje, uporabo idr. na drugi strani) biti izpolnjen vsaj eden od naslednjih pogojev iz odst. 1 člena 6 Splošne uredbe, da je obdelava zakonita:

(a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) se ne uporablja za obdelavo s strani javnih organov pri opravljanju javnih nalog (v konkretnem primeru FURS). Skladno z odst. 2 člena 6 Splošne uredbe države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil Splošne uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odst. 1 člena 6 Splošne uredbe, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave.

 

V skladu s 7. točko 1. odstavka 49. člena Zakona o finančni upravi (Uradni list RS, št. 25/14, v nadaljevanju ZFU) davčni register vsebuje za fizične osebe številke plačilnih računov v Republiki Sloveniji in zunaj nje, medtem ko številke varčevalnih oziroma investicijskih računov niso izrecno navedene med podatki, ki jih davčni register še vsebuje. IP kljub temu ne izključuje možnosti obstoja zakonske pravne podlage za zagotovitev skladnosti s točkama (c) ali (e) odst. 1 člena 6 Splošne uredbe, saj ni pristojen za obrazlago določb ZFU. IP brez poznavanja konkretnih okoliščin izven inšpekcijskega postopka ne more soditi o (ne)obstoju in (ne)ustreznosti pogojev za obdelavo osebnih podatkov, pa tudi sicer iz vašega zaprosila ne izhaja informacija za katero tujo banko in za kakšne vrste računov točno gre. Lahko bi namreč šlo tudi za katero od dodatnih obrazlag zakonskih pravnih podlag s strani pristojnih organov. Ena od možnih obrazlag je javno dostopna na uradnih spletnih straneh Finančne uprave RS in sicer pod internetno povezavo »Vpis v davčni register in davčna številka«, kjer je med podrobnejšimi opisi finančnih računov iz tujine (verzija: oktober, 2018), v odgovoru na prvo vprašanje navedeno, da spletnih storitev, ki imajo vlogo »elektronske denarnice« (npr. Bet365 britanska stavnica, Skrill predplačniški račun, Paypal, Revolut, Monese ipd.) načeloma ni potrebno prijavljati, če pa ponudniki te spletne storitve nadgradijo na način, da računi prevzamejo funkcijo plačilnega računa s personalizirano številko (npr. IBAN), na katerega se imetniku lahko nakazujejo prejemki (npr. plača), pa je tak račun potrebno prijaviti (dodana je še opomba: ponudnik Revolut računa je pred kratkim že nadgradil spletno aplikacijo, zato morajo imetniki ta račun prijaviti).

 

Mednarodna izmenjava podatkov o računih se sicer izvaja po sporazumu med pristojnimi organi držav članic OECD (med njimi tudi Slovenija), po katerem so finančne institucije držav članic OECD dolžne od novih strank (v določenih primerih tudi od obstoječih), izmenjati predpisane podatke in informacije v skladu s standardi avtomatične izmenjave informacij o finančnih računih za namene obdavčevanja (OECD standard). Če torej banka z mednarodno izmenjavo podatkov posreduje številke računov v skladu s temi standardi, res ni povsem jasno, iz kakšnih razlogov FURS za dopolnitev teh podatkov (npr. o vrsti računov) zaproša posameznike, ni pa to nujno v nasprotju s Splošno uredbo.

 

Glede na to, da ste s strani FURS bili vljudno zaprošeni, da posredujete še IBAN številki za ostala dva računa, ker tuja banka z mednarodno izmenjavo teh podatkov ni posredovala, je možno, da FURS ima pravno podlago za zbiranje teh podatkov iz drugih virov (tujih finančnih institucij), pri čemer manjkajoče podatke na kateri od pravnih podlag za zakonito obdelavo lahko poskusi pridobiti tudi neposredno od posameznika, če te podatke ima, ni pa nujno, da jih je posameznik dolžan podati. V takem primeru bi FURS v skladu z načeli poštene in pregledne obdelave osebnih podatkov v trenutku zbiranja podatkov od posameznika moral le-tega obvestiti o obstoju dejanja obdelave in njegovih namenih ter tudi o tem, ali je posameznik dolžan predložiti zahtevane osebne podatke, in o posledicah, kadar takih podatkov ne predloži.

 

V trenutku pridobivanja osebnih podatkov neposredno od posameznika, bi FURS moral posamezniku v skladu z načeli poštene in pregledne obdelave zagotoviti tudi vse ostale informacije iz prvega in drugega odstavka člena 13 Splošne uredbe, pri čemer je pomembno, da so še zlasti nameni in pravne podlage za obdelavo navedeni izrecno in natančno, razen kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, te informacije že ima (odstavek 4 člena 13 Splošne uredbe).

 

Glede na vse zgoraj navedeno, IP meni, da informacije o obdelavi osebnih podatkov iz odgovora FURS, ki ste ga navedli v svojem zaprosilu, niso bile zadostne in skladne s Splošno uredbo, zato bi bilo najbolje, da FURS podate zahtevo, da vam navede kje so informacije v zvezi z obdelavo podatkov, ki jih zbira od vas zagotovljene oziroma iz kakšnih razlogov meni, da te informacije že imate.