Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 19.02.2021
Naslov: Pridobivanje OP pooblaščenca na računu, ki ga imenuje CSD
Številka: 07121-1/2021/334
Vsebina: Bančništvo, Informiranje posameznika, Postopki na centrih za socialno delo, Pravica do seznanitve z lastnimi osebnimi podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 16. 2. 2021 prejel vaše elektronsko sporočilo, v katerem sprašujete v zvezi z varstvom osebnih podatkov oseb, ki jih CSD imenuje za pooblaščence na računih uporabnikov. Zanima vas, ali ima banka pravno podlago, da zahteva podatke fizične osebe, ki je imenovana s strani CSD, v primerih, ko gre za opravljanje plačilnega prometa za uporabnika. Banka namreč zahteva podatke, kot so osebno ime, naslov stalnega prebivališča in druge podatke, ki naj bi bili potrebni za namen identifikacije. Zanima vas še, zakaj za zasledovanje namena (identifikacija) ne zadošča vpogled v osebni dokument. Z bančnim izpiskom banke, kjer je med drugim naveden plačilni promet, ki ga je opravil pooblaščenec uporabnika, se uporabniku namreč razkrijejo osebni podatki pooblaščenca (ime, naslov...), kar lahko privede do groženj in drugih negativnih situacij.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi vašim vprašanjem.

 

Banke lahko osebne podatke s strani CSD imenovanih pooblaščencev pridobivajo in nadalje obdelujejo, če imajo za to ustrezno pravno podlago. Takšna podlaga med drugim izhaja iz določb ZPPDFT-1, v povezavi s točko (c) prvega odstavka 6. člena Splošne uredbe. Banka je v takih primerih posamezniku dolžna zagotoviti določene informacije v skladu s 13. členom Splošne uredbe, med drugim tudi o tem, komu bodo njegovi podatki dostopni in na kakšni podlagi. Po mnenju IP lahko imetnik računa (uporabnik) ali njegov pooblaščenec ali zastopnik do podatkov s strani CSD postavljenega pooblaščenca dostopajo izključno v okviru ene od zakonitih pravnih podlag za obdelavo osebnih podatkov v skladu s prvim odstavkom 6. člena Splošne uredbe. V primeru uveljavljanja pravice do seznanitve z lastnimi osebnimi podatki v skladu s 15. členom Splošne uredbe s strani uporabnika, pa mu banka lahko (in mora) kot upravljavec razkriti zgolj tiste podatke, ki predstavljajo osebne podatke, ki se nanašajo nanj. Konkretne presoje o tem, kateri podatki predstavljajo osebne podatke uporabnika, pa IP izven pritožbenega postopka kot pritožbeni organ ne sme narediti.

 

 

Obrazložitev:

 

IP sicer ni pristojen za tolmačenje izvajanja zahtev, ki jih bankam nalaga Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, 81/19, 91/20 in 2/21 – popr., v nadaljevanju: ZPPDFT-1), temveč je to Urad RS za preprečevanje pranja denarja, vendar pa lahko na podlagi prejetih prijav in zaprosil za mnenja ter v zvezi z njimi raziskanih okoliščin pojasni, da pravno podlago za to, da banka od posameznika, ki opravlja transakcijo, pridobiva in nadalje obdeluje določene osebne podatke, predstavlja ZPPDFT-1, ki v prvem in drugem odstavku 12. člena določa, da zavezanci (med njimi so tudi banke) pri opravljanju svojih dejavnosti izvajajo naloge, ki obsegajo tudi izvajanje ukrepov za poznavanje stranke (pregled stranke). V skladu s prvim odstavkom 16. člena ZPPDFT-1 pregled stranke med drugim zajema ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov. V prvem odstavku 24. člena je določeno, da v primeru, če sklepa poslovno razmerje v imenu stranke, ki je fizična oseba, njen pooblaščenec, zavezanec (banka) ugotovi in preveri njegovo istovetnost ter pridobi potrebne podatke (za pooblaščenca fizične osebe, ki sklene poslovno razmerje ali opravi transakcijo, so v skladu s tretjo alinejo druge točke prvega odstavka 137. člena to naslednji podatki: osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta) z vpogledom v uradni osebni dokument stranke ob njeni osebni navzočnosti. Po definiciji iz 47. točke 3. člena ZPPDFT-1 je »uraden osebni dokument« vsaka s fotografijo opremljena veljavna listina, ki jo izda pristojni državni organ Republike Slovenije ali druge države in ki se po pravu države izdajateljice šteje za javno listino. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, oziroma neposredno od stranke (prvi odstavek 24. člena). Če banka ukrepov iz 1., 2. in 3. točke prvega odstavka 16. člena zakona ne more izvesti, ne sme skleniti poslovnega razmerja ali opraviti transakcije oziroma mora prekiniti poslovno razmerje, če je to že sklenjeno. ZPPDFT-1 v prvem odstavku 49. člena še določa, da je banka dolžna skrbno spremljati poslovne aktivnosti, ki jih izvajajo stranke, kar vključuje tudi preverjanje in posodabljanje pridobljenih listin in podatkov o stranki.

 

Če torej banka osebne podatke pooblaščenca pridobiva na podlagi ZPPDFT-1, njegove osebne podatke obdeluje na zakoniti pravni podlagi, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (točka (c) prvega odstavka 6. člena Splošne uredbe). Je pa dolžna banka pooblaščencu v skladu s prvim odstavkom 13. člena Splošne uredbe kot upravljavec osebnih podatkov zagotoviti določene informacije, vključno s tem, ali do njegovih osebnih podatkov lahko dostopa imetnik računa (uporabnik), njegov pooblaščenec ali zastopnik, ter na kakšni pravni podlagi.

 

Po mnenju IP lahko imetnik računa (uporabnik) ali njegov pooblaščenec oziroma zastopnik do podatkov s strani CSD postavljenega pooblaščenca dostopajo izključno v okviru ene od zakonitih pravnih podlag za obdelavo osebnih podatkov v skladu s prvim odstavkom 6. člena Splošne uredbe. V tem primeru, kadar bi šlo za uveljavljanje pravice dostopa posameznika, na katerega se nanašajo osebni podatki, torej uporabnika, do lastnih osebnih podatkov v skladu s 15. členom Splošne uredbe, je banka kot upravljavec uporabniku dolžna razkriti zgolj podatke, ki se nanašajo nanj. IP pa kot pritožbeni organ izven pritožbenega postopka ne sme narediti konkretne presoje o tem, kateri osebni podatki v posameznem primeru predstavljajo osebne podatke, ki se nanašajo na uporabnika. V praksi namreč lahko pride do situacije, da imajo določeni osebni podatki t. i. dvojno naravo in so hkrati osebni podatki posameznika ter tretje osebe. Smiselno enako velja za razkrivanje osebnih podatkov s strani CSD postavljenega pooblaščenca uporabnikovemu pooblaščencu oziroma zakonitemu zastopniku. 

 

S spoštovanjem,

 

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka