Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 26.04.2019
Naslov: Identifikacija po telefonu, pošiljanje izpiskov po navadni pošti
Številka: 0712-1/2019/840
Vsebina: Bančništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 12. 4. 2019 prejel vaše vprašanje, ali je z vidika ZVOP dopustno, da vas uslužbenka banke/hranilnice po telefonu sprašuje za davčno številko in EMŠO, da bi preverila vašo identifikacijo (kar se vam je zgodilo, ko ste klicali tja s prošnjo, če bi vam lahko posredovali izpisek za Eurocard kartico, ki ga niste prejeli kot običajno). Dodatno omenjate, da banka/hranilnica izpiske o prometu na TRR ter izpiske o prometu s plačilno kartico pošilja kar po navadni pošti, kar se vam ne zdi ravno v duhu varovanja osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Banka je odgovorna za zavarovanje osebnih podatkov, katerih upravljavec je. V tem okviru se tudi sama odloči glede ravni izvajanja identifikacije strank, ki zahtevajo razkritje določenih osebnih podatkov po telefonu, kot tudi glede načina pošiljanja podatkov o prometu na računih po pošti, oboje pa stori na podlagi ocene tveganja.

 

 

Obrazložitev:

 

Banka je kot upravljavec osebnih podatkov dolžna zavarovati vse osebne podatke, ki jih obdeluje, z izvajanjem tehničnih in organizacijskih ukrepov (32. člen Splošne uredbe). Da lahko izvaja ustrezne ukrepe, mora tveganje za varnost osebnih podatkov najprej oceniti. To stori na podlagi poznavanja lastnih postopkov, produktov in sredstev, preteklih izkušenj, smernic in drugih razpoložljivih informacij, v določenih primerih pa mora izdelati tudi oceno učinka v zvezi z varstvom podatkov (35. člen Splošne uredbe). Na osnovi ocene tveganja banka določi ukrepe za zavarovanje osebnih podatkov, tudi npr. glede ravni izvajanja identifikacije strank, ki zahtevajo razkritje določenih osebnih podatkov po telefonu, kot tudi glede načina pošiljanja podatkov o prometu na bančnih računih po pošti.

 

Če banka od vas v postopku identifikacije npr. zahteva več podatkov, to praviloma pomeni višjo raven zanesljivosti identifikacije, kar je z vidika varnosti pravnega prometa, varnosti bančnega poslovanja ter varnosti obdelave osebnih podatkov celo ugodno. V praksi se je IP namreč že večkrat srečal s primeri, ko je osebne podatke po telefonu zahteval nekdo, ki do njih ni bil upravičen, in so bili osebni podatki zaradi manj zanesljivega načina identifikacije tej nepooblaščeni osebi tudi razkriti.

 

Varnost pisemskih pošiljk naj bi bila zagotovljena že v skladu z ustavnim načelom varstva tajnosti pisem in drugih občil (37. člen Ustave Republike Slovenije), kar pomeni tudi, da so osebni podatki, posredovani po pošti v zalepljeni neprosojni ovojnici, naslovljeni na posameznika, načeloma ustrezno zavarovani, saj take ovojnice ne bi smel odpreti nihče drug kot naslovnik. Podatki o prometu na računih namreč niso osebni podatki posebne vrste, za katere bi lahko veljali višji standardi zavarovanja.

 

Lep pozdrav,

 

Mojca Leitinger Okršlar

državna nadzornica za varstvo osebnih podatkov