Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 12.02.2021
Naslov: Uporaba posameznikove DŠ za plačevanje s slušbeno kartico
Številka: 07121-1/2021/265
Vsebina: Bančništvo, Delovna razmerja, EMŠO in davčna, Informiranje posameznika, Pravne podlage, Privolitev
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 25. 1. 2021 prejel vaše elektronsko sporočilo, v katerem navajate, da je v letošnjem letu plačevanje s kreditnimi karticami mogoče le z namestitvijo spletne denarnice (…), ki za svojo aktivacijo zahteva tudi vnos davčne številke. Za namen plačevanja s službenimi karticami je potrebno na telefon prav tako naložiti spletno denarnico, ki pa, kot so vam sporočili, za aktivacijo zahteva osebno davčno številko (in ne službene davčne številke). IP prosite za mnenje, ali je uslužbenec dolžan za službene potrebe dati svojo osebno davčno številko.

Uvodoma pojasnjujemo, da se IP izven inšpekcijskega ali drugega upravnega postopka ne more in ne sme dokončno opredeljevati do zakonitosti obdelav osebnih podatkov. Zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Če banka zahteva davčno številko uporabnika kartice z namenom avtentikacije posameznika, ki s kartico fizično upravlja in banka svojo zahtevo ustrezno utemelji in poda vse potrebne informacije po 13. členu Splošne uredbe, je po mnenju IP obdelava davčne številke uporabnika kreditne kartice za ta namen zakonita. Posledično in ker s tem zasleduje tudi svoj zakoniti interes je po mnenju IP dopustno, da delodajalec od uslužbenca zahteva posredovanje davčne številke banki, vendar pa to še ne ustvarja dolžnosti uslužbenca, da davčno številko banki tudi posreduje, razen v primeru, da je uporaba službene kreditne kartice in posledično bančne aplikacije, ki zahteva posredovanje davčne številke, nujna za izpolnjevanje delovnih obveznosti uslužbenca, pri čemer uslužbenec istih delovnih obveznosti ne more izpolniti brez uporabe bančne aplikacije.

 

 

Obrazložitev:

 

Splošna uredba v prvem odstavku 6. člena opredeljuje zakonite pravne podlage za obdelavo osebnih podatkov, in sicer: privolitev, sklenitev ali izvajanje pogodbe, izvajanje zakonskih zahtev oziroma izvajanje javnih nalog in zakoniti interesi, ki prevladajo nad interesi posameznika; pri tem je za zakonitost obdelave osebnih podatkov dovolj, da je izpolnjena ena od navedenih pravnih podlag.

 

Banke so zavezane k spoštovanju številnih zahtev posebne področne zakonodaje, ki so marsikdaj povezane z  obdelavo osebnih podatkov posameznikov. IP sicer ni pristojen za tolmačenje izvajanja zahtev, ki jih za banke predstavljajo določbe področnih predpisov, vendar na podlagi prakse vodenja postopkov inšpekcijskega nadzora ugotavlja, da za obdelavo osebnih podatkov s strani bank praviloma obstaja ustrezna pravna podlaga iz prvega odstavka 6. člena Splošne uredbe. Vsekakor so banke pravno podlago in namen obdelave osebnih podatkov posameznikom dolžne razkriti, v vsakem primeru takrat, ko od njih pridobivajo oziroma zahtevajo določene osebne podatke. Ne glede na to, da je banka, kadar od posameznika pridobiva osebne podatke, v skladu s prvim odstavkom 13. člena Splošne uredbe dolžna določene informacije, med drugim tudi informacijo o pravni podlagi za njihovo obdelavo, zagotoviti posamezniku, lahko po mnenju IP iste informacije zahteva tudi imetnik kreditne kartice, v povezavi s katero banka zahteva davčno številko uporabnika, ki je pri imetniku zaposlen.

 

IP predpostavlja, da banka oziroma aplikacija banke v danem primeru zahteva davčno številko uporabnika kartice z namenom nedvoumne ugotovitve identitete uporabnika oziroma dodatnega koraka pri avtentikaciji posameznika, ki s kartico fizično upravlja, saj so nova pravila večje varnosti spletnih nakupov, ki so stopila v veljavo z novim letom, kolikor je seznanjen IP, usmerjena ravno v potrditev pristnosti (avtentikacijo) osebe, ki transakcijo opravlja. V kolikor gre v tem primeru zahteve po davčni številki uporabnika kreditne kartice za namen avtentikacije osebe, ki s kartico upravlja, in zna banka svojo zahtevo ustrezno utemeljiti, torej zlasti pojasniti pravno podlago pridobivanja osebnih podatkov in podati druge potrebne informacije po 13. členu Splošne uredbe, je po mnenju IP pridobivanje davčne številke uporabnika kreditne kartice za ta namen zakonito. Če gre obenem za pogoj banke, brez izpolnitve katerega uporaba kreditne kartice sploh ni mogoča, pa zavrnitev posredovanja davčne številke s strani uslužbenca onemogoča izpolnitev dogovora med delodajalcem in uslužbencem o uporabi službene kreditne kartice.

 

Glede na navedeno je po mnenju IP dopustno, da delodajalec od uslužbenca zahteva posredovanje davčne številke banki (oziroma aplikaciji), saj za obdelavo tega osebnega podatka s strani banke (predvidoma) obstaja pravna podlaga po točki (c) prvega odstavka 6. člena Splošne uredbe, prav tako je delodajalcu v zvezi s tem mogoče priznati zakoniti interes, saj izpolnitev dogovora o uporabi službene kreditne kartice sicer ne bi bila mogoča. Vendar pa niti zakonita pravna podlaga za posredovanje davčne številke banki, niti zahteva delodajalca, v zvezi s katero zasleduje svoj zakoniti interes, ne ustvarjata dolžnosti uslužbenca, da davčno številko banki tudi posreduje.

 

V primeru, da zavrnitev posredovanja davčne številke banki v praksi predstavlja onemogočanje izpolnjevanja delovnih obveznosti uslužbenca, pri čemer istih delovnih obveznosti ne more izpolniti brez uporabe aplikacije, je potrebno dopustnost posredovanja davčne številke banki po mnenju IP presojati v smislu delovnopravnih predpisov. Če je obdelava osebnih podatkov delavca v skladu z 48. členom Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19 in 203/20 – ZIUPOPDVE) potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih delodajalec sme posredovati tretjim osebam in v takem primeru sme delodajalec po mnenju IP tudi naložiti delavcu, da jih tretji osebi posreduje sam.

 

V povezavi z navedenim velja dodatno opozoriti, da je v predmetni situaciji pomembno tudi vprašanje, ali se za namen avtentikacije uporabnika službene kreditne kartice aplikacija banke namesti na službeni telefon ali mora uslužbenec za uporabo aplikacije dati na voljo svoj telefon. Če naj bi uslužbenec za ta namen uporabil svoj telefon, je v skladu s prvim odstavkom 157. členom Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17) za namestitev oziroma uporabo aplikacije na njegovem telefonu namreč potrebna privolitev, za katero pa se v razmerju med delodajalcem in delavcem praviloma domneva, da ni prostovoljna, torej v skladu s pravili varstva osebnih podatkov ni veljavna.

 

S spoštovanjem,

 

 

Pripravila:                                                                                           

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka