Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.05.2019
Naslov: OP na banki
Številka: 0712-1/2019/1186
Vsebina: Pogodbena obdelava podatkov, Telekomunikacije in pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je prejel vaše vprašanje v zvezi z osebnimi podatki, ki jih o vas vodi banka. Navajate, da imate pri banki že veliko let odprt osebni račun. Navajate, da se je vaš bančni izpisek namesto v poštnem nabiralniku, nahajal v tulcu, kjer prejemate časopis, katerega naročnica ste ter da ima do tulca za časopis dostop vsakdo. Navajate, da ste na banko naslovili pismo v zvezi s tem, banka pa vam ni odgovorila. Navajate še, da veste, da niste edini prejeli te pošte na tak način. Zanima vas, ali je dovoljeno, da banka časopisno hišo in raznašalca seznani, kje ima kdo odprt osebni račun.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 - uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Upravljavec osebnih podatkov (banka) in obdelovalec osebnih podatkov (vročevalec) sta dolžna zagotoviti zaupnost pri vročanju osebnih podatkov. Medsebojno razmerje mora podrobno urejati pogodba.

 

Konkretne presoje primera IP z vidika varstva osebnih podatkov izven inšpekcijskega postopka ne more narediti.

 

 

Bančni izpisek je glede na definicijo iz Uredbe osebni podatek. IP najprej na splošno pojasnjuje, da je skladno s 6. členom Uredbe obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

 

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Banka, ki je v vašem primeru upravljavec osebnih podatkov, mora imeti za vsako obdelavo osebnih podatkov zakonito pravno podlago. V vašem primeru je to najverjetneje vaša privolitev oziroma pogodba, ki ste jo sklenili z banko v zvezi z upravljanjem vašega računa. Za izvajanje te pogodbe je potrebno, da se banka seznani z vašimi osebnimi podatki.

 

IP pojasnjuje, da v skladu s 4. členom Uredbe pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov.

 

Iz vašega vprašanja je razbrati, da gre pri vročevalcu pošte za pogodbenega obdelovalca osebnih podatkov (ki na račun in v imenu banke strankam vroča bančne izpiske). Pravna podlaga za obdelavo osebnih podatkov med tistim, ki pošto vroča, in banko je tako v primeru sklenitve npr. pogodbe o naročilu (ali druge civilnopravne pogodbe) po Uredbi podana v točki f člena 6 (1) Uredbe. IP poudarja, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec (torej npr. za vročanje).

 

Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Ker slednji dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec. Upravljavec mora glede na 28. člen Uredbe z obdelovalcem skleniti pogodbo, ki vsebuje določbe o obdelavi osebnih podatkov. V pogodbi morajo biti določene obveznosti obdelovalca do upravljavca, vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec sprejme vse ukrepe (tudi varnostne), potrebne v skladu s členom 32 Uredbe - ti pa so med drugim tudi v točki (b) zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo. Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice. Upravljavec in obdelovalec morata torej z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganje.

 

Glede na navedeno morata banka in vročevalec (npr. Pošta) zagotoviti vročitev bančnega izpiska na način, da bo zagotovljena zaupnost in onemogočiti, da bi kdorkoli dostopal do osebnih podatkov oziroma da bi do podatkov dostopali tisti, ki za to nimajo pravne podlage.

 

Odgovornost za zakonito obdelavo osebnih podatkov je na upravljavcu samem, IP konkretnih obdelav osebnih podatkov izven postopka inšpekcijskega nadzora ne more dokončno presojati. Izven posameznega inšpekcijskega postopka IP namreč ne sme preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. Dokončnega odgovora na vaše vprašanje IP v tem mnenju zato ne more podati.

 

Če menite, da je v konkretnem primeru prišlo do kršitve predpisov s področja varstva osebnih podatkov, lahko pri IP vložite prijavo zaradi kršitev. Obrazec najdete na internetni strani IP:

https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/

 

 

V upanju, da smo vam bili v pomoč, vas lepo pozdravljamo.

 

                                                                                              

Urška Črnič, univ. dipl. prav.,                                                   

Svetovalka informacijske pooblaščenke

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka