Zahteva po kopiji bančne kartice

Datum

22.10.2025

Številka

07121-1/2025/1172

Kategorije

Pravne podlage

pri Informacijskem pooblaščencu (IP) smo 11. 9. 2025 prejeli vaše zaprosilo za mnenje glede zahteve zavarovalnice po kopiji obeh strani bančne kartice za namen oddaje vloge za izplačilo premije. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Predlagamo vam, da se obrnete na zavarovalnico in zahtevate, da vas seznanijo s pravno podlago za tovrstno zbiranje osebnih podatkov.

IP načeloma meni, da kopiranje vseh podatkov na bančni kartici, ki niso potrebni za izplačilo premije ni primerno. Upravljavec mora vselej spoštovati načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Obrazložitev

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa v okviru mnenja presojati ustreznosti posameznih obdelav osebnih podatkov z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. To pomeni, da IP v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo konkretnih osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava podatkov zakonita.

Dopustnost kopiranja bančnih kartic sicer ni izrecno zakonsko urejena, v vsakem primeru pa mora imeti upravljavec (v vašem primeru torej zavarovalnica) za obdelavo teh osebnih podatkov ustrezno pravno podlago. Ta je lahko:

·privolitev (točka a)),

·sklenitev ali izvajanje pogodbe (točka b)),

·zakonska obveznost (točka c)),

·zaščita življenjskih interesov posameznika (točka d)),

·izvajanje javne naloge (točka e) v zvezi s četrtim odstavkom 6. člena ZVOP-2),

·zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka f)).

Predlagamo vam, da se v prvi vrsti obrnete na zavarovalnico in zahtevate, da vas seznanijo s pravno podlago za tovrstno zbiranje osebnih podatkov. V skladu s prvim odstavkom 13. člena Splošne uredbe o varstvu podatkov je upravljavec osebnih podatkov namreč dolžan posamezniku, kadar od njega pridobiva osebne podatke, zagotoviti določene informacije, med drugim tudi informacijo o namenih, za katere se osebni podatki obdelujejo, kakor tudi pravni podlagi za njihovo obdelavo.

IP načeloma meni, da kopiranje vseh dodatnih podatkov na bančni kartici, ki niso potrebni za izplačilo premije ni primerno, saj ti podatki niso potrebni za namen izvedbe transakcije, njihovo neupravičeno zbiranje pa povečuje tveganje za morebitne zlorabe. Upravljavec mora vselej spoštovati načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. V tem kontekstu bi moral upravljavec (torej zavarovalnica) utemeljiti, zakaj ne zadostuje zgolj navedba banke in številka računa, temveč je potrebna tudi kopija celotne bančne kartice.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka