Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.06.2020
Naslov: Dostop bank do CRP
Številka: 07121-1/2020/1014
Vsebina: Bančništvo, Pravne podlage, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Zahvaljujemo se vam za vaš dopis in seznanitev z odgovorom, ki vam ga je posredovalo Vrhovno sodišče glede pridobivanja osebnih podatkov (umrlih oseb) s strani bank za namen ukrepov glede vodenja transakcijskega računa umrle osebe oz. prekinitve izplačevanja sredstev iz zapustnikovega bančnega računa pooblaščencem po zapustnikovi smrti. V vašem dopisu prosite za mnenje IP glede predloga Vrhovnega sodišča, da bi se proučila možnost dostopa bank do kakšnega od registrov, iz katerega bi bil razviden podatek, ki preprečuje predlagano zaprtje transakcijskega računa (na primer vpogled v Centralni register prebivalstva) v zvezi z zapiranjem transakcijskega računa po smrti pooblastitelja, a pred zapuščinsko obravnavo, na podlagi pooblastila, ki s smrtjo dejansko preneha.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi člena 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma poudarjamo, da Informacijski pooblaščenec (IP) ni pristojen predlagatelj predpisov, niti ni pristojen podajati soglasij k predlogom predpisov. To je izključna odgovornost predlagatelja predpisa in zakonodajalca. IP lahko podaja mnenja in izpostavlja posamezne vidike z vidika zagotavljanja spoštovanja predpisov s področja varstva podatkov, ni in ne sme pa prevzemati odgovornosti predlagatelja ali zakonodajalca. Zato IP na splošno in brez konkretnega predloga zakonske naslovitve problema, možnih rešitev, potrebe po reševanju z dostopom do javnih zbirk, opredelitve nabora podatkov, konkretnega namena dostopanja ipd. ne more podajati stališč glede morebitne bodoče ureditve težav, ki jih opisujete in v zvezi s katerim ste se obrnili na Vrhovno sodišče.

 

V kolikor ocenjujete, da je rešitev, kot jo predlaga Vrhovno sodišče, po mnenju bank potrebna, nujna in primerna ter zanjo (kot vas razumemo) v obstoječi zakonodaji ni ustrezne pravne podlage, predlagamo, da se s predlogom obrnete na pristojno ministrstvo ter jim predlagate, da zadevo zakonsko uredi. Ob tem mora upoštevati tako interese in zakonite cilje, ki jih zasleduje banka, kot tudi pravice in svoboščine in zakonite interese posameznikov ter tveganja zlorab, ki bi jih takšna ureditev lahko prinesla. Kolikor je znano IP, banke že imajo možnost pridobivanja določenih osebnih podatkov iz Centralnega registra prebivalstva (v nadaljevanju CRP) npr. na podlagi 16. člena Zakona o centralnem kreditnem registru za namen pravilnosti poročanja v zvezi z zadolženostjo fizičnih oseb.

 

Vsak upravljavec osebnih podatkov (v tem primeru vsaka banka) mora zagotoviti, da poteka obdelava osebnih podatkov na zakonit način, kar pomeni, da mora biti podana ena od samostojnih pravnih podlag, ki jih določa člen 6(1) Splošne uredbe. Pri tem je treba vedno upoštevati tudi splošna načela Splošne uredbe (člen 5). Tako »načelo najmanjšega obsega podatkov« zahteva, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za zakonite namene, za katere se (glede na posamezno pravno podlago) obdelujejo; »načelo omejitve namena« pa določa, da morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene. Prav tako je upravljavec vezan in omejen na obdelavo osebnih podatkov za namene, ki izhajajo iz te pravne podlage ter mora skrbeti, da ne pride do obdelave osebnih podatkov za druge namene brez ustrezne pravne podlage.

 

Splošna uredba o varstvu podatkov v uvodni izjavi 27 določa, da se ta ne uporablja za osebne podatke umrlih oseb. Države članice lahko določijo pravila za obdelavo osebnih podatkov umrlih oseb. V Sloveniji to ureja 23. člen ZVOP- 1, ki določa, da lahko upravljavec podatke o umrlem posamezniku posreduje samo tistim uporabnikom osebnih podatkov, ki so za obdelavo osebnih podatkov pooblaščeni z zakonom. Ne glede na prejšnji odstavek upravljavec osebnih podatkov podatke o umrlem posamezniku posreduje osebi, ki je po zakonu, ki ureja dedovanje, njegov zakoniti dedič prvega ali drugega dednega reda, če za uporabo osebnih podatkov izkaže pravni interes, umrli posameznik pa ni pisno prepovedal posredovanja teh osebnih podatkov. Če zakon ne določa drugače, lahko upravljavec osebnih podatkov podatke iz prejšnjega odstavka posreduje tudi katerikoli drugi osebi, ki namerava te podatke uporabljati za zgodovinsko, statistično ali znanstveno-raziskovalne namene, če umrli posameznik ni pisno prepovedal posredovanja teh osebnih podatkov (tretji odstavek). Če umrli posameznik ni podal prepovedi iz prejšnjega odstavka, lahko osebe, ki so po zakonu, ki ureja dedovanje, njegovi zakoniti dediči prvega ali drugega dednega reda, pisno prepovejo posredovanje njegovih podatkov, če zakon ne določa drugače (četrti odstavek).

 

Zakon o centralnem registru prebivalstva v 2. členu določa, da se v CRP se podatki o prebivalstvu centralno zbirajo, obdelujejo, hranijo in uporabljajo z namenom spremljati stanje in gibanje prebivalstva za potrebe državnih organov in drugih uporabnikov, ki jih potrebujejo za opravljanje predpisanih nalog oziroma za vodenje zbirk podatkov o posameznikih ter za namene izvajanja statističnih, socioekonomskih in drugih raziskovanj, za katere imajo zakonsko podlago. Nadalje zakon v 23. členu določa, da so uporabniki, ki uporabljajo CRP za vzpostavitev novih zbirk oziroma za tekoče vodenje in vzdrževanje z zakonom predpisanih zbirk, upravljavci zbirk podatkov iz prvega odstavka 9. člena tega zakona in drugi, ki imajo za to zakonsko podlago. To pomeni, da bi banke za pridobivanje osebnih podatkov iz CRP, kot opisujete, potrebovale ustrezno zakonsko podlago.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke