Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 27.08.2019
Naslov: Hramba OP pri banki, zavarovalnici
Številka: 0712-1/2019/1955
Vsebina: Bančništvo, Pravica do pozabe, Rok hrambe OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je dne 13. 8. 2019 prejel vaše vprašanje v zvezi s hrambo osebnih podatkov po zaprtju transakcijskega računa pri banki. Navajate namreč, da ste banko zaprosili za izročitev fotokopije osebnega dokumenta, pri čemer vam je bilo pojasnjeno, da so vaše podatke digitalizirali, fotokopijo pa uničili. Podatke naj bi sedaj v takšni obliki hranili 5 let, saj jim slednje nalaga Zakon o bančništvu. Sprašujete nas, ali navedeno drži, obenem pa prosite tudi za pojasnilo kako je v primerih, ko posameznik prekine zavarovanje pri zavarovalnici (npr. premoženjsko, zdravstveno, avtomobilsko itd.) in zahteva izbris osebnih podatkov.

           

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05; v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da v okviru nezavezujočih mnenj ne more podati konkretnih odgovorov na zastavljena vprašanja, namreč konkretno presojo lahko opravi zgolj v postopku inšpekcijskega nadzora. Zato vam v nadaljevanju podajamo splošna vodila, ki vam bodo pomagala v danem primeru.

 

Rok hrambe

 

Splošna uredba v točki e prvega odstavka člena 5 Splošne uredbe na splošno ureja rok hrambe osebnih podatkov enotno za vse vrste osebnih podatkov. Ta določa, da so osebni podatki lahko hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno ali zgodovinsko raziskovalne namene ali statistične namene v skladu s prvim odstavkom člena 89, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz Splošne uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Po izpolnitvi namena obdelave se torej osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

 

Kot že navedeno, roke hrambe za nekatere upravljavce oziroma nekatere vrste osebnih podatkov natančneje določajo področni predpisi, ki pridejo v poštev tudi v vašem konkretnem primeru.

 

Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18 in 9/18 – popr.; v nadaljevanju ZPlaSSIED) v 11. poglavju ureja register transakcijskih računov. Definicija slednjega je opredeljena v 191. členu ZPlaSSIED, ki določa, da je register transakcijskih računov enotna informatiziranabaza podatkov o transakcijskih računih in imetnikih transakcijskih računov, ki ga vzpostavi in upravlja Agencija Republike Slovenije za javnopravne evidence in storitve (v nadaljevanju AJPES). Vsebina  podatkov, ki se obdelujejo v registru transakcijskih računov je opredeljena v drugem odstavku 192. člena ZPlaSSIED, ki med drugim določa, da se o imetniku transakcijskega računa obdelujejo npr. podatki o njegovem imenu in priimku, naslovu prebivališča imetnika, ki je fizična oseba, ime in priimek imetnika transakcijskega računa, ki je podjetnik ali zasebnik, ali naziv in naslov drugega imetnika transakcijskega računa, davčna številka imetnika, če je imetnik vpisan v davčni register v skladu z zakonom, ki ureja davčni register, in država sedeža ali prebivališča imetnika, številka računa, datum odprtja računa, datum zaprtja računa itd. Skladno s tretjim odstavkom 192. člena ZPlaSSIED se navedeni podatki ob zaprtju transakcijskega računa izbrišejo iz registra transakcijskih računov in prenesejo v arhiv registra transakcijskih računov pri AJPES. Podatki iz drugega odstavka 192. člena ZPlaSSIED je dovoljeno hraniti v arhivu registra transakcijskih računov še pet let po zaprtju računa, razen podatka, da se transakcijski račun, katerega imetnik je fizična oseba, uporablja za opravljanje dejavnosti in podatka, da sredstva na transakcijskem računu ne zadoščajo za izvršitev sklepa o izvršbi ali zavarovanju, ki se hranita eno leto.

 

Iz zgoraj navedenega izhaja, da je v skladu z devetim odstavkom 192. člena ZPlaSSIED nabor podatkov o imetnikih transakcijskih računov,  dovoljeno hraniti v arhivu registra transakcijskih računov še pet let po zaprtju računa.

 

Podobno določbo vsebuje tudi Zakon o zavarovalništvu (Uradni list RS, št. 93/15 in 9/19; v nadaljevanju ZZavar-1), ki v 268. členu ureja pridobivanje, vodenje in uporaba zbirk osebnih podatkov ter pridobivanje osebnih podatkov iz evidenc na podlagi elektronske izmenjave. Navedeni člen v drugem odstavku določa, da Zavarovalnice in Slovensko zavarovalno združenje upravljajo z:

1. zbirko podatkov o zavarovalcih in zavarovancih,

2. zbirko podatkov o zavarovalnih primerih,

3. zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine ter

4. zbirko podatkov o potencialnih zavarovalcih in zavarovancih.

 

Čas hrambe teh podatkov pa ureja dvanajsti odstavek citiranega člena, ki določa, da se podatki iz 1. točke drugega odstavka tega člena se shranjujejo deset let po prenehanju zavarovalne pogodbe, v primeru nastanka zavarovalnega primera deset let po koncu obdelave zavarovalnega primera, v primeru sodnega postopka izterjave neplačanih obveznosti iz naslova zavarovalnih pogodb deset let po zaključku sodnega postopka in v primeru, če se nanašajo na dopolnilno zdravstveno zavarovanje, skladno s predpisi o zdravstvenem varstvu in zdravstvenem zavarovanju, deset let po smrti zavarovanca ali prenehanju zavarovanja. Podatki iz 2. in 3. točke drugega odstavka tega člena se shranjujejo deset let po koncu obdelave zavarovalnega primera. Če zavarovanec ali oškodovanec v tem roku vloži ali če se utemeljeno pričakuje vložitev novega zahtevka za uveljavitev pravic iz zavarovalnega primera po poteku tega roka, se rok hrambe po potrebi podaljša tako, da se podatki hranijo do pet let po koncu obdelave novega zahtevka oziroma dokler traja možnost vložitve novega utemeljenega zahtevka. Podatki iz 4. točke drugega odstavka tega člena se shranjujejo najdlje do trenutka sklenitve zavarovalne pogodbe ali najdlje tri mesece od zaključka pogajanj za sklenitev zavarovalne pogodbe, vendar ne dlje kot šest mesecev od dneva njihove pridobitve. Najkasneje s prvim dnem naslednjega meseca od poteka roka hrambe se podatki iz zbirk podatkov iz drugega odstavka tega člena zbrišejo, uničijo ali nepovratno anonimizirajo, dokumentacija pa se uniči tako, da ni več možno ugotoviti njene vsebine oziroma je ni več možno ponovno uporabljati.

 

Odgovori na vaša vprašanja izhajajo torej iz področnih predpisov (zakonov), ki izrecno določajo rok hrambe posameznih osebnih podatkov in tako predstavljajo pravno podlago za dopustno obdelavo le-teh. V tovrstnih primerih pravica posameznika do izbrisa podatkov ne pride v poštev. V skladu s členom 17 Splošne uredbe ima namreč vsak posameznik pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar so izpolnjeni določeni pogoji, pri čemer pa opozarjamo na določbe točke b tretjega odstavka 17. člena Splošne uredbe, ki določa, da se prva dva odstavka ne uporabljata, če je obdelava potrebna za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

V opisanem primeru gre torej za podatke, ki se hranijo na podlagi zakona in zahteva za izbris vaših osebnih podatkov po zaprtju transakcijskega računa ali prekinitvi (npr. avtomobilskega) zavarovanja, na njihovo hrambo ne vpliva.

 

V upanju, da ste dobili odgovor na svoja vprašanja, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka