Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.03.2020
Naslov: Posredovanje kopije osebnega dokumenta in plačilne liste
Številka: 07121-1/2020/360
Vsebina: Bančništvo, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 13. 3. 2020 v vednost prejel vaše elektronsko sporočilo, v osnovi naslovljeno na Urad za preprečevanje pranja denarja, v katerem navajate, da ste od …, izdajatelja … plačilne kartice, ki jo uporabljate že vrsto let, prejeli zahtevek po posredovanju kopije osebnega dokumenta in kopije plačilne liste. V svoji zahtevi se sklicujejo na 49. člen ZPPDFT- 1, ki pa po vašem mnenju takšnega zbiranja osebnih dokumentov ne predvideva. Prosite za informacijo, ali je … upravičena zahtevati navedena dokumenta.

 

Vašega sporočila nismo razumeli kot prijavo, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

… ima kot finančna družba za predmetno obdelavo vaših osebnih podatkov, tj. pridobivanje kopij osebnega dokumenta in plačilne liste, po mnenju IP ustrezno pravno podlago, saj vaše osebne podatke potrebuje zaradi izpolnjevanja zahtev ZPPDFT-1, kar predstavlja zakonito podlago za obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe, do kopije osebnega dokumenta pa je upravičena tudi na podlagi ZOIzk-1 in ZPLD-1.

 

 

Obrazložitev:

 

Upravljavec osebnih podatkov mora osebne podatke vedno obdelovati na zakoniti pravni podlagi, ki jo opredeljuje prvi odstavek 6. člena Splošne uredbe, in sicer je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev: (a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov; (b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe; (c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca; (d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe; (e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu; (f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Pri tem se točka (f) prvega pododstavka ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.  Navedeno pomeni, da mora upravljavec (zavezanec) za obdelavo vaših osebnih podatkov razpolagati z vsaj eno od zgoraj naštetih pravnih podlag.

 

Na podlagi prijav, ki jih je IP že prejel zoper … v zvezi z istim dopisom, je IP že ugotovil, da zavezanec v dopisu jasno navaja in pojasnjuje, da podatke in dokumentacijo potrebuje zaradi izpolnjevanja zahtev Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16 in 81/19), v skladu s katerimi so zavezanci, med katere spada tudi …, dolžni izvajati ukrepe za poznavanje svojih strank, med drugim ugotavljati istovetnost strank in preverjati njihovo istovetnost na podlagi verodostojnih, neodvisnih in objektivnih virov, zavezancem pa narekuje tudi poznavanje izvora sredstev ter jih zavezuje k izvajanju mehanizma notranjih kontrol, kamor spadajo tudi kontrole obvladovanja tveganj, še posebej kreditnega tveganja oziroma tveganja neplačil imetnikov kartic. V zvezi z navedenim plačilna lista zagotovo predstavlja dokument, na podlagi katerega je mogoče preveriti izvor sredstev stranke iz zanesljivih in neodvisnih virov.

 

Ob obravnavanju vašega primera velja upoštevati tudi, da je finančnim družbam, ki opravljajo finančne storitve, v skladu z Zakonom o osebni izkaznici (v nadaljevanju: ZOIzk-1) in Zakonom o potnih listinah (v nadaljevanju: ZPLD-1) izrecno dovoljeno kopirati osebne dokumente strank, če jih potrebujejo za dokazovanje istovetnosti državljana.

 

Zavezanec ima za predmetno obdelavo vaših osebnih podatkov, tj. pridobivanje podatkov oziroma dokumentov, po mnenju IP torej ustrezno pravno podlago, saj vaše osebne podatke potrebuje zaradi izpolnjevanja zakonskih zahtev, kar predstavlja zakonito podlago za obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe, poleg tega je do kopije osebnega dokumenta upravičen na podlagi ZOIzk-1 in ZPLD-1.

 

Nenazadnje velja opozoriti tudi na to, da ima zavezanec kot samostojni subjekt na trgu določeno svobodo pri postavljanju pogojev poslovanja, v okviru katerega pridobiva tudi vaše osebne podatke. Seveda pa je pri tem zavezan upoštevati vse relevantne določbe Splošne uredbe, v prvi vrsti vsa načela v zvezi z obdelavo osebnih podatkov, ki so opredeljena v prvem odstavku 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki: (a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“); (b) zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“); (c) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“); (d) točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“); (e) hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“); (f) obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

 

V upanju, da smo odgovorili na vaše vprašanje, vas lepo pozdravljamo,

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka