Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.01.2019
Naslov: Obrazec za SEPA obremenitev
Številka: 0712-3/2018/2707
Vsebina: Bančništvo, Stanovanjsko in nepremičninsko pravo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da upravnik za ukinitev direktne bremenitve SEPA zahteva cel kup podatkov, ki po vašem mnenju za sam postopek niso nujni, saj podatke že ima. Poleg tega izpostavljate, da ste ob ukinitvi dolžni poslati še kopijo osebnega dokumenta, kopijo bančne kartice in podpisati izjavo, da v primeru zlorabe podatkov iz navedenih dokumentov prejemnika plačila odvezujete kakršnekoli materialne ali kazenske odgovornosti. Zanima vas, ali podjetje sploh lahko zahteva od uporabnika podpis takšne izjave?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V mnenju zato lahko zgolj podamo splošna pojasnila, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev.

 

Direktna obremenitev (tudi »trajnik«) je v skladu z 9. členom Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18 in 9/18 – popr., v nadaljevanju ZPlaSSIED), plačilna storitev, kjer prejemnik plačila na podlagi plačnikovega soglasja odredi plačilno transakcijo za obremenitev plačnikovega plačilnega računa. Plačnik lahko da soglasje za izvršitev plačilne transakcije z direktno obremenitvijo prejemniku plačila, prejemnikovemu ponudniku plačilnih storitev ali svojemu ponudniku plačilnih storitev.

 

Če bi soglasje za direktno obremenitev urejali neposredno pri svojem ponudniku plačilnih storitev (svoji banki, tj. banki, ki bo v končni fazi vsakomesečno izvajala po nalogu operaterja odrejeno obremenitev vašega računa), bi se, kot je že običajno, morali izkazati s predložitvijo osebne izkaznice in večinoma tudi plačilne kartice v vpogled uslužbencu banke. Navedeno je skladno s še veljavnim drugim odstavkom 18. člena ZVOP-1, ki določa, da upravljavec osebnih podatkov lahko pred vnosom v zbirko osebnih podatkov preveri točnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se nanašajo. Nadalje je bankam v skladu z Zakonom o osebni izkaznici (Uradni list RS, št. 35/11, v nadaljevanju ZOIzk-1) izrecno dovoljeno tudi kopiranje osebne izkaznice stranke, če jo potrebujejo za dokazovanje istovetnosti državljana. Razumljivo je torej, da morate tudi pri drugačnih primerih urejanja tega soglasja predložiti istovrstna ali vsaj primerljiva dokazila.

 

Za primere, ko se soglasje ne ureja neposredno pri ponudniku plačilne storitve (vaši banki ali banki upravnika), ampak pri prejemniku plačila (upravniku), Združenje bank Slovenije v svojih priporočilih navaja dve priporočeni metodi pridobitve soglasja, in sicer »bodisi v papirni bodisi v elektronski obliki. Soglasje v papirni obliki mora biti fizično podpisano s strani plačnika. Soglasje v elektronski obliki mora biti podpisano na varen in zanesljiv elektronski način«. V obeh primerih se tipično oddaja na namenskem obrazcu za soglasje za direktno obremenitev SEPA, bodisi elektronskem bodisi papirnatem. S tem, ko se soglasje podaja na enega od dveh predpisanih načinov, se prejemniku soglasja omogoči, da ustrezno preveri tako identiteto podpisnika kot tudi pristnost podatkov o TRR, ki jih le-ta poda, prav tako pa se lahko preveri skladnost podatkov na osebnem dokumentu, s katerim se posameznik identificira, s podatki na bančni kartici.

 

Upoštevajoč, da upravnik ni finančna družba, ki opravlja finančne storitve, za fotokopiranje osebne izkaznice v ZOIzk-1 nima neposredne pravne podlage. Zato bi bilo posredovanje fotokopije osebne in bančne izkaznice upravniku za namen preverjanja upravičenosti za podajo soglasja skladno s členom 6 Splošne uredbe lahko dopustno na kakšni drugi pravni podlagi, npr. na podlagi privolitve. Kadar se osebne podatke posreduje na podlagi privolitve posameznika, mora iti za osebno, informirano in svobodno odločitev. To bi bilo lahko uresničeno tudi tako, da bi posameznik podajo soglasja za direktno bremenitev na zahtevan način (torej s posredovanjem kopije osebnega dokumenta in bančne kartice po navadni pošti oziroma e-pošti) zavrnil, in namesto tega podal takšno soglasje s fizičnim podpisom v prostorih upravnika, ob predložitvi osebnega dokumenta in bančne kartice v vpogled, ne pa s posredovanjem kopij teh dokumentov. Več o pogojih za veljavno privolitev si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

 

Plačnik spremembe in ukinitev soglasja ureja pri prejemniku plačila. Tako, kot je opisano že za podajo soglasja za direktno obremenitev SEPA, tudi za ukinitev soglasja velja, da je treba prejemniku preklica soglasja omogočiti, da ustrezno preveri identiteto osebe, ki želi ukiniti takšno plačilno storitev.

 

Nadalje IP še pojasnjuje, da ni pristojen presojati, ali je izjava, s katero naročnik v primeru zlorabe podatkov iz navedenih dokumentov prejemnika plačila (upravnika) odvezuje kakršnekoli materialne ali kazenske odgovornosti, zakonita. Poudarja pa, da zgolj podpis takšne izjave sam po sebi še ne zadostuje za razbremenitev odgovornosti upravnika.

 

Dodatne in podrobnejše informacije v zvezi z direktno obremenitvijo SEPA lahko pridobite tudi pri Združenju bank Slovenije – GIZ, Ljubljana, oziroma na spletni strani SEPA Slovenije www.sepa.si.

 

 

Lep pozdrav,

 

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                               

                                                                                                           informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov