Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.04.2020
Naslov: Posredovanje OP plačilni instituciji po ZPPDFT-1
Številka: 07121-1/2020/665
Vsebina: Bančništvo, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za stališče glede zahtev družbe, izdajateljice plačilno-kreditnih kartic, ki svoje dolgoletne stranke z dopisom poziva k posredovanju splošnih in kontaktnih podatkov ter dokumentov, kot so: plačilna lista, bančni izpisek ipd. . Zadržke imate pri slednjih dokumentih, saj menite, da je taka zahteva družbe od dolgoletnega imetnika plačilno-kreditne kartice, ki s plačilom svojih obveznosti ni nikoli zamudil, nesprejemljivo. Na ogled ste priložili zgolj prvo stran dopisa družbe, ki vas poziva k posredovanju podatkov, iz katerega izhaja, da so načini in razlogi za zbiranje vaših podatkov podrobneje navedeni na naslednji strani.

  

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim zaprosilom.


Upravljavec osebnih podatkov je v konkretnem primeru plačilna institucija, ki z dovoljenjem Banke Slovenije za izvajanje plačilnih storitev in z dovoljenjem pristojnega ministrstva za opravljanje potrošniškega kreditiranja, izdaja plačilno-kreditne kartice (v nadaljevanju: upravljavec), s katerimi omogoča plačilo blaga in storitev na (določenih) prodajnih mestih, v okviru članstva pa imetnikom plačilno-kreditnih kartic nudi tudi uporabo dodatnih storitev in ugodnosti.

 

Obdelava osebnih podatkov je na podlagi prvega odstavka člena 6 Splošne uredbe zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
d)    obdelava je potrebna za zaščito posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
e)    obdelava je potrebna za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok (ta točka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog).

 

Navedeno pomeni, da mora upravljavec za obdelavo vaših osebnih podatkov razpolagati z vsaj eno od zgoraj naštetih pravnih podlag. Iz prve strani priloženega dopisa upravljavca izhaja, da podatke in dokumentacijo potrebuje zaradi izpolnjevanja zahtev Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16 in 81/19, v nadaljevanju: ZPPDFT-1), ki zavezancem (med katere po 20.a) točki 4. člena ZPPDFT-1 sodi tudi upravljavec) v prvem odstavku 49. členu nalaga dolžnost skrbnega spremljanja poslovne aktivnosti, ki jih stranka izvaja pri njem, s čimer se zagotovi poznavanje stranke, vključno z izvorom sredstev, s katerimi ta posluje. Spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu vključuje: (I) preverjanje skladnosti strankinega poslovanja s predvideno naravo in namenom poslovnega razmerja, ki ga je stranka sklenila pri zavezancu, (II) spremljanje in preverjanje skladnosti strankinega poslovanja z njenim običajnim obsegom poslovanja in (III) preverjanje in posodabljanje pridobljenih listin in podatkov o stranki, kar vam je upravljavec tudi dodatno pojasnil v povratnem elektronskem sporočilu, kjer se je obvezal, da bo podatke uporabljal v skladu z določili ZPPDFT-1 in jih bo obravnaval kot zaupne in tajne. V skladu s četrtim odstavkom 49. člena ZPPDFT-1 zavezanec zagotovi, da sta obseg oziroma pogostost izvajanja ukrepov iz prvega odstavka tega člena prilagojena tveganju pranja denarja ali financiranja terorizma, ki mu je zavezanec izpostavljen pri opravljanju posameznega posla oziroma pri poslovanju s posamezno stranko. To tveganje zavezanec določi na podlagi 13. člena ZPPDFT-1 ob upoštevanju 9. člena ZPPDFT-1. Ne glede na navedeno mora zavezanec zagotoviti, da se pridobljene listine in podatki o stranki posodobijo najmanj po preteku petih let od zadnjega pregleda stranke, če je stranka pri zavezancu v zadnjih dvanajstih mesecih izvedla vsaj eno transakcijo. Na podlagi 13. člena ZPPDFT-1 mora zavezanec v skladu s smernicami pristojnega nadzornega organa in ob upoštevanju poročila o ugotovitvah nacionalne ocene tveganja, med ostalim oceniti tveganja (vrste) stranke in vzpostaviti ustrezen sistem upravljanja in obvladovanja tveganj pranja denarja in financiranja terorizma, za kar vzpostavi učinkovite notranje politike, kontrole in postopke (modele upravljanja s tveganji, skrbni pregled stranke, sporočanje podatkov uradu, idr.), ki so sorazmerni glede na njegovo dejavnost in velikost (kot npr. velikost in sestavo zavezanca, obseg in sestavo poslov, vrste strank, s katerimi posluje zavezanec, vrste produktov, ki jih ponuja zavezanec) in jih opredeli v svojih notranjih aktih.

 

Obveznost poznavanja stranke, vključno z izvorom sredstev, s katerimi ta posluje, je tako zakonska obveznost upravljavca osebnih podatkov, ki jo izpolnjuje s kontinuiranimi pregledi stranke najmanj po preteku petih let, skladno s postopki in ukrepi, ki si jih sorazmerno glede na dejavnost in velikost predpiše v notranjih aktih. Dokumenti kot so plačilna lista, bančni izpisek ipd. predstavljajo listine iz verodostojnih, neodvisnih in objektivnih virov, ki jih upravljavcu lahko predloži stranka sama in na podlagi katerih je v okviru mehanizmov notranjih kontrol (kamor sodijo tudi kontrole obvladovanj kreditnih tveganj in tveganj neplačil imetnikov kartic), mogoče preveriti izvor sredstev in dejansko premoženjsko stanje stranke.

 

Na podlagi vašega zaprosila tako ni mogoče zaključiti, da upravljavec za obdelavo vaših osebnih podatkov in dokumentov za izkaz dejanskega in posodobljenega stanja v okviru zakonskih obveznosti spremljanja poslovnih aktivnosti stranke, ne bi imel ustrezne pravne podlage, saj na podlagi zgornje obrazložitve določb zakona izhaja najmanj izpolnitev pogoja iz točke (c) prvega odstavka člena 6 Splošne uredbe. Sicer pa je tako obnavljanje in posodabljanje podatkov, ki jih upravljavec obdeluje (hrani) o vas v opredeljenem obsegu v okviru internih aktov, skladno tudi z načelom točnosti iz točke (c) prvega odstavka člena 5 Splošne uredbe. Poleg načela zakonitosti, mora upravljavec ob pridobivanju osebnih podatkov neposredno od posameznikov, na katere se nanašajo osebni podatki, izpolniti tudi načelo poštenosti in preglednosti, kar zagotovi s posredovanjem vseh informacij iz člena 13 ter sporočil iz členov 15 do 22 in 34 Splošne uredbe posamezniku, v jedrnati, pregledni, razumljivi in lahko dostopni obliki, kar je upravljavec v konkretnem primeru (predvidevamo) izpolnil že v okviru dopisa, ki ste ga prejeli, sicer pa v okviru svojega spletnega mesta, kjer ima objavljene prosto dostopne informacije o varstvu osebnih podatkov za posameznike.

 

 

                                                                                              Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka