Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.07.2019
Naslov: Odstop terjatev in obdelava OP dolžnikov
Številka: 0712-1/2019/1768
Vsebina: Bančništvo, Pravne podlage, Upravljanje gospodarskih družb
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 18. 7. 2019 prejel vaše elektronsko sporočilo, iz katerega izhaja, da ste pred leti nastopali kot porok podjetju pri najemu kredita. Podjetje je šlo kasneje v stečaj in breme neplačanih obveznosti podjetja je padlo na vas. Terjatve je kasneje banka kot odstopnik prenesla prevzemniku. Ne veste, na kakšni podlagi je banka vaše osebne podatke posredovala družbi prevzemniku. Zdi se vam, da je bankam in ostalim v njihovem sistemu dovoljeno tako rekoč vse. Prosite pa tudi za mnenje, ali banke smejo prodajati osebne podatke porokov na osnovi pogodb iz časov pred uveljavitvijo Splošne uredbe o varstvu podatkov, saj v teh pogodbah ni mogla biti upoštevana.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Pravno podlago za to, da banka posreduje osebne podatke dolžnika novemu upniku v okviru odstopa oziroma prodaje terjatve, predstavlja točka (b) prvega odstavka 6. člena Splošne uredbe (obdelava je potrebna za izvajanje pogodbe), sam odstop terjatve pa se izvrši na podlagi določil Obligacijskega zakonika.

 

Pravno podlago za obdelavo osebnih podatkov za namen izterjave dolga s strani novega upnika predstavljajo določbe Zakona o izvršbi in zavarovanju, v skladu s katerim mora upnik dolžnika v izvršilnem postopku nedvoumno identificirati, v povezavi s točko (c) prvega odstavka 6. člena Splošne uredbe (obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca), in za to ne potrebuje privolitve posameznika.

 

Je pa upnik kot upravljavec osebnih podatkov v vsakem primeru zavezan k varovanju osebnih podatkov in mora zagotoviti, da njihova obdelava za vsak posamezen namen vedno temelji na eni od ustreznih pravnih podlag, obenem pa je dolžan izpolnjevati tudi vse druge obveznosti, ki jih predpisi določajo za upravljavce osebnih podatkov. Ustreznost in zakonitost konkretnega obvestila o obdelavi osebnih podatkov pa bi IP lahko presodil šele v okviru inšpekcijskega postopka.

 

 

Obrazložitev:

 

V skladu s predpisi je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Prvi odstavek 6. člena Splošne uredbe uvodoma določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naštetih pogojev, ki predstavljajo različne pravne podlage za obdelavo osebnih podatkov, med njimi tudi, da je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe (točka (b)). To pomeni, da banka kot upravljavec osebnih podatkov svojih strank in drugih oseb, s katerimi posluje, njihove osebne podatke večinoma obdeluje na podlagi sklenjenih pogodb za namen njihovega izvajanja, vključno z izvršitvijo pogodb in dokončnim poplačilom obveznosti iz pogodb. Banka lahko poplačilo obveznosti po določeni pogodbi doseže tudi tako, da terjatev do dolžnika proda kupcu v skladu z določbami Obligacijskega zakonika (Uradni list RS, št. 97/07 – uradno prečiščeno besedilo, 64/16 – odl. US in 20/18 – OROZ631, v nadaljevanju: OZ) o odstopu terjatev s pogodbo (cesija), in s tem postane dolžnikov novi upnik upravičen do poplačila terjatve.

 

Če želi upnik svojo terjatev uveljavljati v izvršilnem postopku pred sodiščem, mora v skladu s prvim odstavkom 16.a člena Zakona o izvršbi in zavarovanju (Uradni list RS, št. 3/07 – uradno prečiščeno besedilo, 93/07, 37/08 – ZST-1, 45/08 – ZArbit, 28/09, 51/10, 26/11, 17/13 – odl. US, 45/14 – odl. US, 53/14, 58/14 – odl. US, 54/15, 76/15 – odl. US in 11/18, v nadaljevanju: ZIZ) razpolagati z osebnimi podatki dolžnika, na podlagi katerih je slednjega mogoče nedvoumno identificirati, in sicer: osebno ime in naslov prebivališča ter datum rojstva ali EMŠO ali davčna številka ali drug isti povezovalni znak ali drug ustrezen identifikacijski podatek. Na tej pravni podlagi v povezavi s točko (c) prvega odstavka 6. člena Splošne uredbe novi upnik obdeluje osebne podatke dolžnika za namen izterjave dolga v izvršilnem postopku in za to ne potrebuje še privolitve dolžnika.

 

V vsakem primeru je upnik kot upravljavec podatkov zavezan k varovanju osebnih podatkov svojih dolžnikov, to pomeni, da mora obdelava (zakonito pridobljenih) osebnih podatkov za vsak posamezen namen vedno temeljiti na eni od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe.

 

Presojo ustreznosti oziroma zakonitosti obsega in načina pridobivanja ter obdelave osebnih podatkov, kot ga izvajajo podjetja, ki so kupci terjatev, bi IP lahko izvedel šele v okviru konkretnega inšpekcijskega postopka, v osnovi pa sme določen upravljavec osebne podatke posameznikov obdelovati samo na ustrezni pravni podlagi za točno določene namene, pri čemer mora posamezniku nuditi informacije v skladu s 13. in 14. členom Splošne uredbe ter izpolnjevati druge obveznosti, ki jih predpisi določajo za upravljavce osebnih podatkov. 

 

Obdelava osebnih podatkov se presoja glede na pravna pravila, ki veljajo v času obdelave, sama sprememba zakonodaje pa na ravnanje z osebnimi podatki ne more učinkovati na način, da upniki ne bi imeli pravice do obdelave osebnih podatkov dolžnikov zaradi izvrševanja pogodb, ki so bile sklenjene pred uveljavitvijo Splošne uredbe, saj to ni v skladu z osnovnimi načeli pravnega prometa in pravne varnosti. 

 

Glede na predhodno navedeno je banka za posredovanje vaših osebnih podatkov novemu upniku v okviru odstopa oziroma prodaje terjatve najverjetneje imela ustrezno pravno podlago, ne glede na to, da so se predpisi o varstvu osebnih podatkov v vmesnem času spremenili. Prav tako ima pravno podlago za obdelavo vaših osebnih podatkov za namen izterjave dolga novi upnik, in za to ne potrebuje še vaše privolitve, v vsakem primeru pa je zavezan k varovanju vaših osebnih podatkov in mora zagotoviti, da njihova obdelava za vsak posamezen namen vedno temelji na eni od ustreznih pravnih podlag. Obenem je novi upnik kot upravljavec osebnih podatkov dolžan izpolnjevati tudi vse druge obveznosti, ki jih predpisi določajo za upravljavce osebnih podatkov. Ustreznost in zakonitost konkretnega obvestila o obdelavi osebnih podatkov, ki ste ga predložili kot primer, pa bi IP lahko presodil šele v okviru inšpekcijskega postopka.

 

Lep pozdrav,

 

 

Mojca Leitinger Okršlar

državna nadzornica za varstvo osebnih podatkov