Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.08.2019
Naslov: Dopustnost dostopa UPPD do SISBON
Številka: 0712-1/2019/1749
Vsebina: Bančništvo, Pridobivanje OP iz zbirk, Uradni postopki
Pravni akt: Mnenje

Na Informacijskega pooblaščenca RS (v nadaljevanju IP) ste naslovili zaprosilo za mnenje, o tem, ali je dopustno, da Uradu za preprečevanje pranja denarja na podlagi 93. člena ZPPDFT-1 v povezavi z 12. členom ZCKR omogočite elektronski dostop do sistema SISBON na enak način, kot ga Banka Slovenije zagotavlja Vrhovnemu sodišču na podlagi 13. člena ZS.

 

Na podlagi informacij, ki ste nam jih posredovali, vam skladno z 58. členom Splošne uredbe, 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) v nadaljevanju posredujemo mnenje IP v zvezi z zastavljenimi vprašanji.

 

Urad za preprečevanje pranja denarja (UPPD) je upravičen do tistih osebnih podatkov, za katere ima ustrezno zakonsko podlago, med drugim, če so za to izpolnjeni pogoji tudi na način elektronskega dostopa.

 

IP pa v okviru mnenja tehnične izvedbe elektronskega dostopa UPPD do centralnega kreditnega registra ne more dokončno komentirati.

 

Uvodoma pojasnjujemo, da se IP izven inšpekcijskega ali drugega upravnega postopka ne more in ne sme dokončno opredeljevati do zakonitosti obdelav osebnih podatkov. Prav tako v tem smislu v okviru mnenja ne moremo dokončno ugotavljati tehnične ustreznosti konkretnih rešitev za izvedbo posredovanja osebnih podatkov ali elektronskega dostopa UPPD do sistema SISBON. Dodatno izpostavljamo, da se mnenje nanaša zgolj na vidike posredovanja osebnih podatkov iz centralnega kreditnega registra (v nadaljevanju CKR) in ne tudi podatkov o poslovnih subjektih, saj za presojo slednjega IP ni pristojen. Pri tem prav tako ni nepomembno, ali se zahteva UPPD nanaša na dostopanje do podatkov iz CKR ali na dostopanje do podatkov iz sistema izmenjave informacij (kot dela CKR). Glede na določbe ZCKR namreč sistem SISBON dejansko ne obstaja več oz. ga je kot takega nasledil sistem izmenjave informacij (v nadaljevanju ga poimenujemo sistem SISBON), dostopa do katerega pa Zakon o centralnem kreditnem registru (Uradni list RS, št. 77/16, v nadaljevanju ZCKR) ne dopušča drugim razen članom sistema ali vključenim dajalcem kreditov, med katere pa UPPD ne sodi.

 

Obseg osebnih podatkov v CKR je bistveno širši, kot je obseg podatkov shranjen v sistemu SISBON, saj je rok hrambe podatkov v obeh zbirkah drugačen. Glede na določbe 7. člena ZCKR namreč Banka Slovenije (v nadaljevanju BS) hrani osebne podatke, ki se obdelujejo v CKR, največ pet let po tem, ko se ti podatki izbrišejo iz sistema SISBON. Po poteku tega obdobja pa BS v CKR izbriše podatke iz 1. do 3. točke 1. odstavka 7. člena ZCKR (to so osebno ime; datum in kraj rojstva;  naslov prebivališča, v CKR pa ostaja identifikator – to je davčna številka), druge osebne podatke pa blokira tako, da se pooblaščenim osebam BS omogoči uporaba osebnih podatkov izključno za namene iz 2. odstavka 3. člena ZCKR. BS hrani blokirane osebne podatke, dokler je to potrebno za namene iz 3. člena ZCKR. Bistveno je torej tudi vprašanje, do katerih osebnih podatkov naj bi imel dostop UPPD.

 

Glede na določbe 12. člena ZCKR BS posreduje podatke in informacije iz CKR posameznemu prejemniku, kadar takšno razkritje določa zakon, in v obsegu, ki ga prejemnik potrebuje za izvajanje svojih nalog ali pristojnosti v skladu z veljavnimi predpisi, ki urejajo njegovo delovanje in pristojnosti. Prejemnik iz prejšnjega odstavka, ki pridobi podatke iz CKR, sme te podatke uporabiti samo za izvajanje svojih pristojnosti in nalog v skladu z zakonom in jih po izčrpanem namenu uporabe izbriše ali drugače trajno uniči.

 

Kot navajate, Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, v nadaljevanju ZPPDFT-1) v 93. členu med drugim določa, da lahko UPPD od državnih organov in nosilcev javnih pooblastil zahteva podatke, informacije in dokumentacijo, ki so potrebni za odkrivanje in dokazovanje kaznivega dejanja pranja denarja, predhodnih kaznivih dejanj ali kaznivega dejanja financiranja terorizma, če presodi, da so v zvezi z neko transakcijo, osebo, premoženjem ali sredstvi podani razlogi za sum pranja denarja, povezanih predhodnih kaznivih dejanj ali financiranja terorizma, ali v primerih iz 100. člena ZPPDFT-1 (kadar državno tožilstvo vodi postopek finančne preiskave v skladu z zakonom, ki ureja odvzem premoženja nezakonitega izvora na obrazloženo pisno pobudo državnega tožilstva). UPPD v zahtevi navede, katere podatke zahteva, pravno podlago za njihovo posredovanje, namen njihove obdelave in rok, v katerem morajo biti zahtevani podatki posredovani uradu.

 

Te podatke lahko UPPD od državnih organov in nosilcev javnih pooblastil zahteva tudi za osebo, za katero je mogoče sklepati, da je sodelovala oziroma je udeležena v transakcijah ali poslih osebe, v zvezi s katero so podani razlogi za sum pranja denarja, povezanih predhodnih kaznivih dejanj ali financiranja terorizma.

 

Državni organi in nosilci javnih pooblastil UPPD zahtevane podatke po 93. členu ZPPDFT-1 predložijo brez odlašanja, najpozneje pa v 15 dneh od prejema zahteve, ali mu brez nadomestila omogočijo neposreden elektronski dostop do določenih podatkov in informacij. To pomeni, da UPPD upravičeno lahko v vsakem posamičnem primeru pridobi zgolj tiste posamične podatke, ki izpolnjujejo konkretne zahteve iz 93. člena ZPPDFT-1 in ne avtomatično vseh podatkov, kot jih vsebuje CKR.

 

Drugače kot ZPPDFT-1 pa ZS v členu 13 določa, da morajo upravljavci podatkov ali zbirk podatkov, ki jih sodišče potrebuje za ugotovitev ali presojo dejstev za odločanje v postopkih iz svoje pristojnosti, posredovati zahtevane podatke sodiščem brezplačno in nemudoma, najpozneje pa v osmih dneh. Če se ti podatki v javnem sektorju ali osebah javnega prava obdelujejo v informatizirani obliki in je zagotovljena tehnična izvedljivost neposrednega elektronskega dostopa do njih, imajo sodišča pravico do neposrednega in brezplačnega elektronskega dostopa, ki ga vključno z omogočanjem ustreznega prenosa podatkov zagotovi upravljavec evidenc, registrov ali javnih knjig. Sodišče lahko te podatke iz zbirk pregleduje, jih kopira, prepiše ali izpiše ter naprej obdeluje v postopkih, v katerih izpolnjuje svoje zakonsko določene naloge in pristojnosti. Povezovanje teh zbirk osebnih podatkov (iz 2. stavka 3. odstavka 13. člena ZS) se izvede z enotno matično številko (EMŠO) ali davčno številko stranke ali naslovom njenega prebivališča ali pa z drugimi podatki, ki v povezavi z osebnim imenom stranke zagotavljajo enoznačno identifikacijo osebe, katere podatek se zahteva. Zbirke osebnih podatkov sodišč z drugimi zbirkami osebnih podatkov se povezujejo v skladu z zakoni, ki urejajo sodne postopke ali pristojnost sodišč, in zakonom, ki ureja varstvo osebnih podatkov.

 

Kot izhaja iz navedenega, so določbe ZPPDFT-1 bistveno bolj splošne in deloma ožje, kot določbe ZS in ne predvidevajo npr. povezovanja zbirk osebnih podatkov, ampak zgolj posredovanje oz. pridobivanje podatkov preko elektronskega dostopa ne da bi se te podatke samodejno vključevalo v zbirke UPPD. Določbe prav tako ne določajo povezovalnega znaka, niti nenazadnje ne določajo obveznosti omogočanja elektronskega dostopa, ampak prepuščajo to odločitev upravljavcu zbirke.

 

Za opisano elektronsko dostopanje do osebnih podatkov, do katerih je v skladu z zakonom upravičen UPPD torej obstaja zakonska podlaga. Upoštevajoč navedeno pa je odgovornost BS, da presodi, ali so izpolnjeni vsi pogoji za izvedbo dostopa na predlagani način (torej na enak ali podoben način kot sodišča) ter da, če je temu tako, kot upravljavec poskrbi za ustrezno tehnično izvedbo dostopa na način, da bo UPPD dostopal zgolj do podatkov, do katerih je v posameznem primeru upravičen, ter na način, ki bo zagotavljal zavarovanje podatkov, med drugim ustrezno stopnjo notranje in zunanje sledljivosti obdelav podatkov, do katerih bo na ta način prihajalo.

 

S spoštovanjem,

 

 

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka