- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Obdelava osebnih podatkov s strani banke
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Obdelava osebnih podatkov s strani banke
Datum
20.09.2024
Številka
07121-1/2024/1098
Kategorije
Informiranje posameznika, Pravica do seznanitve z lastnimi osebnimi podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Opisujete dogodek na banki in sicer ste prejeli ustni poziv, da jim pošljete kopije določenih poslovnih listin. Nato so vam po telefonu pojasnili, da ne potrebujejo kopij, temveč dokumente na vpogled. Bančno uslužbenko ste prosili, da vam pokaže zahtevek, vendar tega ni želela. …. Menite, da je šlo dejansko za zasebni vpogled v vaš poslovni dogodek, saj so se glede tega posla v preteklosti že dogajale nenavadne reči, npr. prijave na razne inšpekcije.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Zavezanci (kamor se uvrščajo tudi banke) imajo nekatere obveznosti skladno z Zakonom o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-2), npr. izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon.
V kakšen namen so bili konkretno obdelani vaši osebni podatki, vam lahko odgovori le vaša banka. Posameznikom morajo biti pred obdelavo osebnih podatkov zagotovljene informacije o obdelavi osebnih podatkov skladno s 13. členom Splošne uredbe (npr. nameni ter pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobje hrambe, itd.). Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti vaša banka. Podatek o namenu obdelave osebnih podatkov lahko prejmete tudi po posredovanju svojih podatkov in sicer v primeru uveljavljanja pravice dostopa po 15. členu Splošne uredbe.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Pojasnjujemo, da IP ni pristojen za podajo pojasnil glede poslovanja bank, zato vam v mnenju podajamo pojasnila zgolj z vidika varstva osebnih podatkov.
Pojasnjujemo, da mora imeti vsak upravljavec za obdelavo osebnih podatkov ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe:
(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Upravljavec mora upoštevati tudi splošna načela, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.
Zavezanci (kamor se uvrščajo tudi banke) imajo nekatere obveznosti skladno z Zakonom o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22, ZPPDFT-2) in sicer skladno z drugim odstavkom 17. člena ZPPDFT-2 med drugim:
-vzpostavitev politik, kontrol in postopkov za učinkovito ublažitev in obvladovanje tveganj pranja denarja in financiranja terorizma;
-izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon;
-pripravo seznama indikatorjev za prepoznavanje strank in transakcij, v zvezi s katerimi obstajajo razlogi za sum pranja denarja ali financiranja terorizma;
-izvajanje politik in postopkov skupine ter ukrepov odkrivanja in preprečevanja pranja denarja in financiranja terorizma v lastnih podružnicah in hčerinskih družbah v večinski lasti v državah članicah in v tretjih državah.
Glede na vaše vprašanje izpostavljamo pregled stranke, ki skladno s prvim odstavkom 21. člena ZPPDFT-2 obsega naslednje ukrepe:
1.ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov;
2.ugotavljanje dejanskega lastnika stranke;
3.pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov na podlagi tega zakona;
4.redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu.
Nadalje skladno s petim odstavkom 21. člena ZPPDFT-2 zavezanec pri določanju obsega izvajanja ukrepov upošteva vsaj namen sklenitve in naravo poslovnega razmerja; višino sredstev, vrednost premoženja ali obseg transakcij; čas trajanja poslovnega razmerja in skladnost poslovanja z namenom sklenitve poslovnega razmerja.
Šesti odstavek 21. člena ZPPDFT-2 pa določa, da zavezanec navedene postopke izvajanja ukrepov in način določanja obsega njihovega izvajanja opredeli v svojih notranjih aktih.
ZPPDFT-2 v nekaterih primerih določa tudi obveznost pregleda stranke, npr. skladno s prvim odstavkom 22. člena v naslednjih primerih:
1.pri sklepanju poslovnega razmerja s stranko;
2.pri vsaki transakciji v vrednosti 15.000 eurov ali več ne glede na to, ali poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;
3.pri prirediteljih in koncesionarjih, ki prirejajo igre na srečo, ob izplačilih dobitkov, vplačilu stav ali obojem, kadar gre za transakcije v vrednosti 2.000 eurov ali več, ne glede na to, ali transakcija poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;
4.pri dvomu o verodostojnosti in ustreznosti predhodno pridobljenih podatkov o stranki ali dejanskem lastniku stranke;
5.vedno, kadar so v zvezi s transakcijo, stranko, sredstvi ali premoženjem razlogi za sum pranja denarja ali financiranja terorizma, ne glede na vrednost transakcije.
IP vam ne more odgovoriti na vprašanje, na kateri pravni podlagi oz. za kakšen konkretni namen je banka v opisanem primeru obdelovala vaše osebne podatke, na to vprašanje vam lahko odgovori zgolj vaša banka. Če banka obdeluje vaše osebne podatke na podlagi zgoraj navedenih določb ZPPDFT-2, je pravna podlaga za obdelavo vaših osebnih podatkov ZPPDFT-2 v povezavi z zgoraj citirano točko (c) prvega odstavka 6. člena Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Pojasnjujemo, da morajo upravljavci posameznikom, še preden jim posamezniki posredujejo svoje osebne podatke, podati nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. podati informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti vaša banka. Prav tako vam priporočamo, da se pred posredovanjem podatkov vedno prepričate, v kakšen namen jih želi konkreten upravljavec prejeti.
V primeru, ko je posameznik osebne podatke že posredoval, lahko skladno s Splošno uredbo uveljavlja pravico dostopa skladno s 15. členom Splošne uredbe, v okviru katere ima od upravljavca pravico pridobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in v teh primerih tudi dostop do osebnih podatkov ter nekatere informacije, kot so npr. nameni obdelave in uporabniki ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabniki v tretjih državah ali mednarodnih organizacijah.
Za več vprašanj o izvajanju ZPPDFT-2 vam predlagamo, da se obrnete na Ministrstvo za finance.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
dr. Jelena Virant Burnik, informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo
---
[1]Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.
[2]Več o tem lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.