Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 16.01.2020
Naslov: Kopiranje osebnih dokumentov in pridobivanje drugih podatkov s strani banke
Številka: 07121-1/2020/48
Vsebina: Bančništvo, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem navajate, da ste od banke prejeli zahtevek za posredovanje kopije osebne izkaznice in plačilne liste. Zanima vas, ali smejo hraniti kopijo osebne izkaznice in kako je s plačilno listo?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Pridobivanje kopij osebnih dokumentov

 

IP je v preteklosti že podal več mnenj v zvezi z vprašanjem, ali lahko banke pridobivajo kopije osebnih dokumentov, kadar specialno podlago za obdelavo osebnih podatkov predstavljajo Zakon o osebni izkaznici (Uradni list RS, št. 35/11, v nadaljevanju: ZOIzk-1), Zakon o potnih listinah (Uradni list RS, št. 29/11 – uradno prečiščeno besedilo, v nadaljevanju: ZPLD-1) in Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, v nadaljevanju ZPPDFT-1). Iz že objavljenih mnenj IP izhaja, da ima banka za kopiranje osebnih dokumentov strank, če jih potrebuje za dokazovanje istovetnosti državljana, neposredno pravno podlago v drugem, petem in šestem odstavku 4. člena ZOIzk-1 oziroma 4.a členu ZPLD-1 (gl. npr. mnenje št. 0712-1/2018/1205 z dne 18. 5. 2018, dostopno na https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-vop/?tx_jzvopdecisions_pi1%5BshowUid%5D=3143. Pri tem pa je treba opozoriti, da je v ZOIzk-1 in ZPLD-1 izrecno prepovedana hramba kopij osebnih dokumentov v elektronski obliki.

 

V vašem primeru torej banka ne krši obstoječih predpisov, če hrani kopije osebnih dokumentov, lahko pa se zatakne pri situaciji, če banki posredujete kopijo osebnega dokumenta po e-pošti, pa banka takšnih elektronskih kopij ne izbriše. Banka sicer lahko sprejme kopijo osebnega dokumenta, prejeto po e-pošti, vendar mora kopijo po vpogledu in/ali tiskanju izbrisati, saj je v elektronski obliki ne sme hraniti.

 

Izjemo od prepovedi hrambe elektronskih kopij sicer predstavljajo izbrane določbe ZPPDFT-1. 32. člen tega zakona določa, da lahko zavezanci, ki so kreditne in finančne institucije, kopije uradnih osebnih dokumentov, ki so jih pridobili v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah tega zakona, hranijo v elektronski obliki, če je zagotovljeno njihovo varovanje z organizacijskimi, tehničnimi in logično-tehničnimi postopki in ukrepi skladno z zakonom, ki ureja varstvo osebnih podatkov. Vendar pa IP meni, da takšno dovoljenje za hrambo kopij osebnih dokumentov ne velja na splošno, temveč izključno v primerih, ki jih ZPPDFT-1 izrecno predvideva, in sicer denimo v 26. in 27. členu za primere ugotavljanja in preverjanja istovetnosti stranke iz sredstva elektronske identifikacije ali z uporabo videoelektronske identifikacije.

 

Natančnejšo analizo omenjenih pravnih podlag si lahko preberete v mnenju št. 0712-1/2019/2550 z dne 8. 11. 2019 (https://www.ip-rs.si/vop/?tx_jzgdprdecisions_pi1%5BshowUid%5D=1096&tx_jzgdprdecisions_pi1%5BhighlightWord%5D=0712-1%2F2019%2F2550).

 

Pridobivanje kopij zadnje plačilne liste

 

V zvezi s kopijo plačilne liste IP pojasnjuje, da prvi odstavek 137. člena ZPPDFT-1 v 10. točki določa, da zavezanci (torej tudi banke) za namen izvajanja 16. člena tega zakona o strankah obdelujejo podatke o "izvoru premoženja in sredstev, ki so ali bodo predmet poslovnega razmerja ali transakcije."

 

Navedena določba je relativno odprta, zato je treba opraviti posamično presojo, ali sme banka v konkretnem primeru zahtevati omenjene podatke. Pri presoji se moramo opreti tudi na določbe samega ZPPDFT-1, ki v prvem odstavku 16. člena ZPPDFT-1 določa, da pregled stranke obsega naslednje ukrepe:

  1. ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov;
  2. ugotavljanje dejanskega lastnika stranke;
  3. pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov po tem zakonu;
  4. redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu.

 

Četrti odstavek istega člena pa določa, da pri določanju obsega izvajanja teh ukrepov zavezanec upošteva vsaj:

  • namen sklenitve in naravo poslovnega razmerja,
  • višino sredstev, vrednost premoženja ali obseg transakcij,
  • čas trajanja poslovnega razmerja in
  • skladnost poslovanja z namenom sklenitve poslovnega razmerja.

 

V zvezi s pridobivanjem podatkov (tudi skladno z zgoraj navedenimi določbami) je treba med drugim upoštevati dve pomembni načeli iz Splošne uredbe, in sicer:

  • načelo omejitve namena obdelave osebnih podatkov: podatki morajo biti zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (točka (b) člena 5(1) Splošne uredbe);
  • načelo najmanjšega obsega podatkov: podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (točka (c) člena 5(1) Splošne uredbe);

 

Glede na vse navedeno se ne zdi pretiran ukrep banke, da za namene izvajanja ZPPDFT-1, zahteva kopijo zadnje plačilne liste.

 

Na sorodno vprašanje je IP že odgovoril v mnenju št. 0712-1/2018/582 z dne 13. 3. 2018 (https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-vop/?tx_jzvopdecisions_pi1%5BshowUid%5D=3079).

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

mag. Polona Merc

Svetovalka pooblaščenca

za varstvo osebnih podatkov