Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.03.2020
Naslov: Skeniranje osebne izkaznice s strani banke
Številka: 07121-1/2020/377
Vsebina: Bančništvo, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 4. 3. 2020 prejel vaše elektronsko sporočilo, v katerem navajate, da banka od vas zahteva, da ji dovolite skeniranje osebne izkaznice. Menite, da ni razloga za tak način ugotavljanja vaše istovetnosti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Banka je glede na zakonodajo s področja preprečevanja pranja denarja po mnenju IP upravičena od strank zahtevati osebne podatke in kopije uradnih dokumentov zaradi ugotavljanja njihove istovetnosti, kopijo uradnega dokumenta v digitalni obliki pa bi po mnenju IP lahko pridobila samo v primeru izvajanja ugotavljanja in preverjanja istovetnosti na podlagi sredstva elektronske identifikacije v skladu s 26. oziroma 27. in 32. členom ZPPDFT-1.


Obrazložitev:

Banka je dolžna v skladu z Zakonom o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16 in 81/19, v nadaljevanju: ZPPDFT-1) izvajati ukrepe za poznavanje svojih strank, kar med drugim vključuje ugotavljanje in preverjanje istovetnost strank na podlagi verodostojnih, neodvisnih in objektivnih virov (npr. uradnih osebnih dokumentov). Po definiciji iz 47. točke 3. člena ZPPDFT-1 je »uraden osebni dokument« vsaka s fotografijo opremljena veljavna listina, ki jo izda pristojni državni organ Republike Slovenije ali druge države in ki se po pravu države izdajateljice šteje za javno listino. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke (1. odstavek 23. člena). Če banka ukrepov iz 1., 2. in 3. točke prvega odstavka 16. člena zakona ne more izvesti, ne sme skleniti poslovnega razmerja ali opraviti transakcije oziroma mora prekiniti poslovno razmerje, če je to že sklenjeno. ZPPDFT-1 v prvem odstavku 49. člena še določa, da je banka dolžna skrbno spremljati poslovne aktivnosti, ki jih izvajajo stranke, kar vključuje tudi preverjanje in posodabljanje pridobljenih listin in podatkov o stranki. 

Obenem sme banka na podlagi določb Zakona o osebni izkaznici (Uradni list RS, št. 35/11, v nadaljevanju: ZOIzk-1) in Zakona o potnih listinah (Uradni list RS, št. 29/11 – uradno prečiščeno besedilo, v nadaljevanju: ZPLD-1) kopirati osebne dokumente strank, če jih potrebuje za dokazovanje istovetnosti državljana. Hramba elektronskih kopij osebnih izkaznic oziroma potnih listin je na podlagi 4. člena ZOIzk-1 in 4.a člena ZPLD-1 sicer izrecno prepovedana, vendar pa je v določenih primerih dopustna na podlagi 32. člena ZPPDFT-1 v povezavi s 26. oziroma 27. členom ZPPDFT-1, in sicer bi banka kopijo uradnega dokumenta po mnenju IP v tem primeru lahko od stranke pridobila tudi v digitalni obliki, če gre za izvajanje ugotavljanja in preverjanja istovetnosti na podlagi sredstva elektronske identifikacije. Vendar si banke, kolikor je znano IP, omenjene določbe ZPPDFT-1 tolmačijo drugače in osebne dokumente strank hranijo v elektronski obliki tudi v primeru, ko istovetnosti ne ugotavljajo in preverjajo na podlagi sredstva elektronske identifikacije. 

Zahteva banke za posodobitev podatkov o osebnem dokumentu torej temelji na določbah ZPPDFT-1, kar predstavlja zakonito pravno podlago za obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe , medtem ko bi banka skeniranje osebne izkaznice po mnenju IP lahko zahtevala oziroma izvajala samo v primeru izvajanja ugotavljanja in preverjanja istovetnosti na podlagi sredstva elektronske identifikacije. Ob tem velja omeniti, da IP sicer ni pristojen za tolmačenje izvajanja zahtev, ki jih bankam nalaga ZPPDFT-1, temveč je to Urad RS za preprečevanje pranja denarja, http://www.uppd.gov.si/.

 

S spoštovanjem,


Pripravila:
Mojca Leitinger Okršlar,
državna nadzornica za varstvo osebnih podatkov
 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka