Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.08.2019
Naslov: Pridobivanje št. mobilnega telefona s strani banke
Številka: 0712-1/2019/1841
Vsebina: Bančništvo, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za odgovor na vprašanje, ali je banka upravičena do podatka vaše številke mobilnega telefona, za namen bančnega poslovanja v spletnem programu za dostop in uporabo mobilne in spletne banke.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

Za vsako obdelavo osebnih podatkov je treba imeti zakonito in ustrezno pravno podlago. Te so za običajne osebne podatke določene v členu 6(1) Splošne uredbe in so za zasebni sektor naslednje:

-      privolitev (točka (a)),

-      sklenitev ali izvajanje pogodbe (točka (b)),

-      zakon oziroma izvajanje javnih nalog (točka (c) oziroma (e)),

-      zakoniti interesi, ki prevladajo nad interesi posameznika (točka (f)). 

Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. IP poudarja, da je za zakonitost obdelave dovolj, da je izpolnjena ena od samostojnih pravnih podlag, ki jih določa člen 6 Splošne uredbe. To pomeni, da v kolikor upravljavec osebne podatke obdeluje npr. zaradi izvajanja pogodbe ali zakonitih interesov, za te podatke privolitev ni dolžan pridobivati. V zvezi s pravnimi podlagami v zasebnem sektorju si lahko ogledate tudi infografiko, objavljeno na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/png/infografike/pravne_podlage_zasebni_sektor_s_pogoji_privolitve.pdf.

 

Iz vašega zaprosila izhaja, da ste obstoječi uporabnik storitev mobilne in spletne banke ter ste bili s strani banke obveščeni o nadgradnji mobilne in spletne banke ter o novi funkcionalnosti, ki jo omenjena posodobitev prinaša. Kot uporabnika navedenih storitev, so vas v elektronskem sporočilu obvestili, da v jesenskih mesecih načrtujejo posodobitev sistema za dostop in uporabo mobilne in spletne banke ter vas pozvali k preveritvi oz. potrditvi kontaktnih podatkov (elektronski naslov in telefonska številka), s katerimi razpolagajo v banki.

 

Postopek potrjevanja kontaktnih podatkov je s strani banke namenjen vzpostaviti enotne in močne avtentikacije uporabnikov za dostop do spletne in mobilne banke, ki ga zahteva Direktiva (EU) 2015/2366 Evropskega parlamenta in Sveta z dne 25. 11. 2015 o plačilnih storitvah na notranjem trgu (PSD2) na podlagi katere je Evropska Komisija 27. 11. 2018 izdala Delegirano uredbo Komisije (EU) 2018/389 z dne 27. novembra 2017 o dopolnitvi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta glede regulativnih tehničnih standardov za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije in določa zahteve, ki jih morajo izpolnjevati ponudniki plačilnih storitev, kamor spada tudi banka. Uredba se začne uporabljati od 14. 9. 2019 dalje in kot taka neposredno ureja zahteve, ki jih je potrebno spoštovati pri avtentikaciji uporabnikov in izvajanju plačilnega prometa preko digitalnih kanalov (kot npr. elektronska in mobilna banka).

 

IP na podlagi navedenega zato na splošno pojasnjuje, da bi primeru, kot ga opisujete, pravno podlago za obdelavo osebnih podatkov eventualno lahko predstavljala točka (b) ali točka (f) člena 6(1) Splošne uredbe. V takem primeru je poziv banke, za posredovanje vaše veljavne številke mobilnega telefona in elektronskega naslova, dopusten in ne predstavlja kršitve Splošne Uredbe in ZVOP-1. Takšna zahteva banke je potrebna in dopustna tudi iz razloga zagotovitve točnosti in ažurnosti osebnih podatkov, ki se zbirajo od uporabnika storitev spletne in mobilne banke (načelo točnosti in ažurnosti osebnih podatkov iz 18. člena ZVOP-1 ter člena 5 Splošne uredbe). IP pa ni pristojen presojati o primernosti morebitne pogodbene zahteve glede obstoja mobilne številke oz. elektronske pošte v primeru, da mobilnega telefona oz. elektronske pošte posameznik nima.

 

Vsekakor pa je dolžnost banke, da zagotavlja uporabniku storitev ustrezne informacije ob pridobivanju njegovih osebnih podatkov. Splošna uredba med informacijami, ki naj se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, med drugim navaja namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo. Še več, Splošna uredba v prvem in drugem odstavku 13. člena (Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki) določa širok nabor informacij, ki jih je potrebno zagotoviti posameznikom, in sicer:

 

  1. Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:
  1. identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  4. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
  6. kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.
  1. Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:
  1. obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  2. obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
  3. kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
  4. pravico do vložitve pritožbe pri nadzornem organu;
  5. ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
  6. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Nadalje je v skladu s Splošno uredbo upravljavec dolžan sprejeti ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku.

 

Dejstvo je, da bi banke morale ob pridobivanju osebnih podatkov neposredno od posameznika, le-temu ob zbiranju zagotoviti vse informacije iz prvega in drugega odstavka 13. člena Splošne uredbe. Zlasti je pomembno, da so nameni in pravne podlage za obdelavo osebnih podatkov navedeni izrecno in natančno.

  

V upanju, da ste dobili odgovore na svoja vprašanja, vas lepo pozdravljamo. 

 

 

                                                                                                 Mojca Prelesnik, univ. dipl. prav.,

                                                                                                 informacijska pooblaščenka

 

Pripravila:

Tanja Suša, univ. dipl. prav.

državna nadzornica za varstvo osebnih podatkov