Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.02.2020
Naslov: Sporno ravnanje banke
Številka: 07121-1/2020/169
Vsebina: Bančništvo, Pravne podlage, Privolitev
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 26. 1. 2020 prejel vaše elektronsko sporočilo, iz katerega med drugim izhaja vprašanje za IP. Banka vam je nedavno avtomatično aktivirala limit v višini 400 EUR, ki ga ne želite imeti, niti ga nikoli niste imeli, zanima pa vas, ali lahko banka uporablja vaše podatke za odobritev kreditnega posla, ne da bi vi v to izrecno privolili.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Upravljavec lahko osebne podatke posameznikov obdeluje na katerikoli od zakonitih pravnih podlag, nadalje pa jih lahko obdeluje tudi za namene, ki so združljivi z nameni, za katere so bili podatki prvotno zbrani. V konkretnem primeru bi pravna podlaga za obdelavo vaših osebnih podatkov po mnenju IP lahko izhajala zlasti iz pogodbenega razmerja med vami in banko, v tem primeru pa banka vaše dodatne izrecne privolitve ne potrebuje.

 

 

Obrazložitev:

 

Vsaka obdelava osebnih podatkov mora temeljiti na zakoniti in ustrezni pravni podlagi, te pa so določene v prvem odstavku 6. člena Splošne uredbe, in sicer: privolitev, sklenitev ali izvajanje pogodbe, zakon, izvajanje javnih nalog in zakoniti interesi, ki prevladajo nad interesi posameznika. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca, pri tem pa je za zakonitost obdelave dovolj, da je izpolnjena ena od predhodno navedenih pravnih podlag.

 

Zakonito zbrane osebne podatke pa lahko upravljavec obdeluje tudi brez izrecne privolitve posameznika, če ima za to katero izmed drugih zakonitih pravnih podlag, npr. to izhaja iz pogodbe s posameznikom ali mu to narekuje zakon. Upravljavec lahko obdeluje tudi osebne podatke posameznika, ki jih je sicer pridobil za drug namen, nov namen pa je s prvotnim združljiv, kar mora upravljavec predhodno presoditi oziroma oceniti. O tem podrobneje govori 50. uvodna določba Splošne uredbe, na katero se navezuje četrti odstavek 6. člena Splošne uredbe, ki določa: Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva: (a) kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave; (b) okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem; (c) naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10; (d) morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki; (e) obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

 

Dodati velja, da bi vam morala informacije o tem, na kakšni podlagi je obdelovala vaše osebne podatke za namen odobritve oziroma aktivacije limita, v prvi vrsti zagotoviti banka, saj kot upravljavec osebnih podatkov edina pozna vse okoliščine pridobivanja in nadaljnje obdelave vaših osebnih podatkov. Po mnenju IP bi v konkretnem primeru pravna podlaga za obdelavo vaših osebnih podatkov lahko izhajala zlasti iz pogodbenega razmerja med vami in banko, banka pa v tem primeru ne bi potrebovala vaše (dodatne) izrecne privolitve, saj za zakonito obdelavo osebnih podatkov zadostuje ena zakonita pravna podlaga.

 

S spoštovanjem,

 

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka