Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.05.2020
Naslov: Obdelava OP posameznikov iz SISBON za oceno verjetnosti neplačila
Številka: 07121-1/2020/871
Vsebina: Bančništvo, Definicija OP, Ocene učinkov v zvezi z varstvom podatkov , Pravne podlage, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Zahvaljujemo se vam za vaša vprašanja glede dopustnosti namena in obsega uporabe podatkov  iz sistema SISBON za fizične osebe, ki so bili na podlagi Zakona o centralnem kreditnem registru pridobljeni pri sklepanju posameznega kreditnega posla. Podatke želite uporabiti za namen izračuna stopnje verjetnosti neplačila. Navajate, da bi zajemali podatke o odobrenih kreditnih poslih za obdobje od 7-10 let nazaj, pri čemer ocenjujete, da naj bi bili izpolnjeni pogoji za nadaljnjo obdelavo za drug namen na podlagi četrtega odstavka člena 6 Splošne uredbe. Konkretno sprašujete, ali po mnenju IP obstajajo kakršnikoli zadržki, da teh individualnih podatkov iz sistema SISBON ne bi smeli uporabiti v namen razvoja modela izračuna stopnje verjetnosti neplačila.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi člena 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Primarna odgovornost upravljavca je, da poskrbi za zakonito obdelavo osebnih podatkov. Ob tem mora upravljavec (torej banka) po potrebi izvesti tudi oceno učinka v zvezi z varstvom podatkov, če gre za obdelavo iz seznama obdelav, ko je takšna predhodna ocena nujna. Med takimi obdelavami je nedvomno vsa obdelava osebnih podatkov v velikem obsegu, ki vključuje vrednotenje, točkovanje ali razvrščanje posameznikov, vključno s profiliranjem in napovedovanjem. Več o tem in smernice IP na to temo so na voljo na: www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/

 

IP vam posledično na podlagi predstavljenih informacij ne more in ne sme v mnenju podati odgovora na vaše vprašanje, ali je model množične in sistematične obdelave osebnih podatkov posameznikov za namen izračuna stopnje verjetnosti neplačila, kot ste ga predstavili, dopusten, ali zanj obstaja ustrezna pravna podlaga in ali je posledično sploh zakonit. Ta presoja je odgovornost in naloga vaše banke in po mnenju IP zahteva predhodno izvedbo ocene učinka v zvezi z varstvom podatkov. Po potrebi je v skladu s členom 36 Splošne uredbe možno tudi predhodno posvetovanje z IP (po izvedeni oceni učinkov). IP pa lahko dokončno o tem presoja v inšpekcijskem postopku.

 

V nadaljevanju vam zato podajamo splošna pojasnila in izhodišča, ki so poleg informacij, ki so na voljo v zgoraj omenjenih nasvetih IP glede izdelave ocene učinka, pomembna pri takšni presoji. Hkrati že uvodoma opozarjamo, da se poraja dvom, ali opisana obdelava resnično ne bi imela resnih posledic za posameznika, saj bodo, kot navajate, tveganja izračunana za vsakega posameznika in ne splošno, statistično oziroma anonimizirano. Težko pa si predstavljamo, da takšen izračun ne bi imel nobenih posledic za poslovanje in položaj posameznika v razmerju do banke. Prav tako poudarjamo, da na prvi pogled in na podlagi vaši navedb ni videti, da bi lahko v opisanem primeru prišla v poštev omenjena uporaba četrtega odstavka člena 6 Splošne uredbe. ZCKR, ki določa namene in zakonitost obdelava osebnih podatkov iz SISBON, namreč izrecno določa namene obdelave podatkov iz SISBON, zelo jasno opredeljuje tudi omejitev hrambe podatkov v SISBON. Opisani projekt pa bi dejansko, kolikor je razbrati, lahko brez jasne pravne podlage pomenil ustvarjanje nove zbirke podatkov prečrpanih iz SISBON za drug namen, z drugim rokom hrambe. Iz tega bi lahko izhajalo, da gre za klasičen primer nedopustne širitve namenov obdelave. Prav omejitev namen obdelave pa je ključni element varstva podatkov. Ustvarjanje nove zbirke podatkov z drugim namenov pa s seboj prinaša tudi nova tveganja zlorab.

 

Najprej je treba poudariti, da so tudi psevdonimizirani podatki, še vedno osebni podatki, ki jih varuje Splošna uredba in katerih obdelava mora zato potekati v skladu s predpisi, ki veljajo za obdelavo osebnih podatkov. To pomeni, da ni pomembno, kako so posamezniki določljivi (na podlagi imena in priimka, drugih identifikatorjev ali kako drugače). Vedno veljajo za obdelave takšnih osebnih podatkov določenih ali določljivih posameznikov s strani zavezancev po Splošni uredbi navedeni predpisi za varstvo podatkov. 

 

Vsak upravljavec osebnih podatkov (v tem primeru vsaka banka ali druga član sistema SISBON) mora zagotoviti, da poteka obdelava osebnih podatkov na zakonit način, kar pomeni, da mora biti podana ena od samostojnih pravnih podlag, ki jih določa člen 6(1) Splošne uredbe. Pri tem je treba vedno upoštevati tudi splošna načela Splošne uredbe (člen 5). Tako »načelo najmanjšega obsega podatkov« zahteva, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene (določeni z ZCKR), za katere se (glede na posamezno pravno podlago) obdelujejo; »načelo omejitve namena« pa določa, da morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene. Prav tako je upravljavec vezan in omejen na obdelavo osebnih podatkov za namene, ki izhajajo iz te pravne podlage ter mora skrbeti, da ne pride do obdelave osebnih podatkov za druge namene brez ustrezne pravne podlage. Ob tem je pomembno tudi, da gre v primeru obdelave osebnih podatkov iz sistema SISBON, kot ga ureja Zakon o centralnem kreditnem registru (Uradni list RS, št. 77/16, v nadaljevanju ZCKR) za uradno zbirko, ki je zakonsko strogo in jasno urejena, njen upravljavec pa je Banka Slovenije. Tako je zakonsko urejen in opredeljen tudi dopustni namen obdelave osebnih podatkov, ki jih člani sistema na podlagi ZCKR lahko pridobivajo in uporabljajo. Zato je treba določbe četrtega odstavka člena 6 Splošne uredbe tolmačiti ozko in nikakor ne smejo služiti kot sredstvo za opravičevanje obdelave osebnih podatkov izven zakonsko določene in brez ustrezne druge pravne podlage.


21. člen ZCKR določa, da lahko član sistema ali vključeni dajalec kreditov (v vašem primeru banka) dostopa do podatkov v sistemu izmenjave informacij in uporablja te podatke izključno za namene:

1.      ocenjevanja kreditne sposobnosti kreditojemalca ter kreditnega tveganja, ki bi s sklenitvijo posameznega kreditnega posla nastalo za tega člana ali vključenega dajalca kreditov ali je nastalo v zvezi z izvajanjem kreditnega posla, in

2.      reklamacije, izterjave, revizije in posodabljanja podatkov, ki se vključujejo v sistem izmenjave informacij.

 

Pred sklenitvijo kreditnega posla član sistema ali vključeni dajalec kreditov na podlagi vpogleda v zbirko podatkov sistema izmenjave informacij in na podlagi drugih podatkov in informacij o kreditojemalcu, s katerimi razpolaga, oceni kreditojemalčevo sposobnost izpolnjevanja obveznosti iz kreditnega posla. Izpis podatkov iz sistema izmenjave informacij je sestavni del kreditne dokumentacije, ki jo vodi član sistema ali vključeni dajalec kreditov.

 

Član sistema in vključeni dajalec kreditov ne smeta uporabiti podatkov o zadolženosti fizične osebe, ki se obdelujejo v sistemu izmenjave informacij, za neposredno ali ciljno trženje ali pri odločanju, ali naj fizični osebi odpreta transakcijski račun.

 

Iz navedenega po mnenju IP izhaja, da banke podatkov iz SISBON ne smejo za druge namene sistemsko prečrpavati v druge lastne zbirke, ampak lahko in morajo pred sklenitvijo kreditnega posla narediti oceno kreditojemalčeve sposobnosti izpolnjevanja obveznosti iz kreditnega posla, izpis pa hranijo v kreditojemalčevi kreditni mapi. Ne smejo pa iz podatkov iz SISBON ustvarjati novih zbirk za druge namene brez ustrezne pravne podlage in z drugačnimi roki hrambe. Pri tem se postavlja med drugim tudi vprašanje ustreznosti roka hrambe iz SISBON pridobljenih podatkov, kot ga navajate.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke