Posredovanje osebnih podatkov banki

Datum

21.02.2025

Številka

07121-1/2025/204

Kategorije

Informiranje posameznika, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo 25.1.2025 prejeli vaše zaprosilo za mnenje glede posredovanja podrobnosti o transakciji in osebnih podatkov prejemnika transakcije banki. Zanima vas, ali ima banka pravico zahtevati te podatke in na kakšni pravni podlagi. Gre namreč za transakcijo po prodajni pogodbi med dvema fizičnima osebama, znotraj Evropske unije, podatki, ki jih zahteva banka, pa so rojstni podatki prejemnika nakazila in podatki o prodanem blagu. Dokler podatki ne bodo posredovani, bo banka zadrževala plačilo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Banka razpolaga z ustrezno pravno podlago za obdelavo osebnih podatkov v skladu s točko c prvega odstavka 6. člena Splošne uredbe, če osebne podatke obdeluje v okviru namenov, ki jih določa ZPPDFT-2, pri čemer je posameznikom dolžna ob pridobivanju njihovih osebnih podatkov zagotoviti ustrezne, zadostne in pregledne informacije v skladu s 13. členom Splošne uredbe.

2. Zavezanci, med drugim tudi banke, imajo nekatere obveznosti skladno z Zakonom o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-2), npr. izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon. Prvi odstavek 54. člena ZPPDFT-2 med drugim določa, da spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu, vključuje preverjanje skladnosti strankinega poslovanja s predvideno naravo in namenom poslovnega razmerja, ki ga je stranka sklenila pri zavezancu ter spremljanje in preverjanje skladnosti strankinega poslovanja z njenim običajnim obsegom poslovanja.

3. V kakšen namen so bili v konkretnem primeru obdelani vaši osebni podatki, vam lahko odgovori le vaša banka. Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti vaša banka.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. Prav tako IP ni pristojen za podajo pojasnil glede poslovanja bank in za presojo siceršnje ustreznosti ravnanja zavezancev v smislu izvajanja določb ZPPDFT-2. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašimi vprašanji.

Pojasnjujemo, da mora imeti vsak upravljavec za obdelavo osebnih podatkov ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Upravljavec mora upoštevati tudi splošna načela, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.

Zavezanci, med drugim tudi banke, imajo nekatere obveznosti skladno z Zakonom o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22, ZPPDFT-2) in sicer skladno z drugim odstavkom 17. člena ZPPDFT-2 med drugim:

- vzpostavitev politik, kontrol in postopkov za učinkovito ublažitev in obvladovanje tveganj pranja denarja in financiranja terorizma;

- izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon;

- pripravo seznama indikatorjev za prepoznavanje strank in transakcij, v zvezi s katerimi obstajajo razlogi za sum pranja denarja ali financiranja terorizma;

- izvajanje politik in postopkov skupine ter ukrepov odkrivanja in preprečevanja pranja denarja in financiranja terorizma v lastnih podružnicah in hčerinskih družbah v večinski lasti v državah članicah in v tretjih državah.

Glede na vaše vprašanje izpostavljamo predvsem na obveznost bank, da v določenih primerih izvedejo pregled stranke, ki skladno s prvim odstavkom 21. člena ZPPDFT-2 obsega naslednje ukrepe:

1. ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov;

2. ugotavljanje dejanskega lastnika stranke;

3. pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov na podlagi tega zakona;

4. redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu.

Nadalje skladno s petim odstavkom 21. člena ZPPDFT-2 zavezanec pri določanju obsega izvajanja ukrepov upošteva vsaj namen sklenitve in naravo poslovnega razmerja; višino sredstev, vrednost premoženja ali obseg transakcij; čas trajanja poslovnega razmerja in skladnost poslovanja z namenom sklenitve poslovnega razmerja.

Šesti odstavek 21. člena ZPPDFT-2 pa določa, da zavezanec navedene postopke izvajanja ukrepov in način določanja obsega njihovega izvajanja opredeli v svojih notranjih aktih.

ZPPDFT-2 v nekaterih primerih določa tudi obveznost pregleda stranke, npr. skladno s prvim odstavkom 22. člena v naslednjih primerih:

1. pri sklepanju poslovnega razmerja s stranko;

2. pri vsaki transakciji v vrednosti 15.000 eurov ali več ne glede na to, ali poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;

3. pri prirediteljih in koncesionarjih, ki prirejajo igre na srečo, ob izplačilih dobitkov, vplačilu stav ali obojem, kadar gre za transakcije v vrednosti 2.000 eurov ali več, ne glede na to, ali transakcija poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;

4. pri dvomu o verodostojnosti in ustreznosti predhodno pridobljenih podatkov o stranki ali dejanskem lastniku stranke;

5. vedno, kadar so v zvezi s transakcijo, stranko, sredstvi ali premoženjem razlogi za sum pranja denarja ali financiranja terorizma, ne glede na vrednost transakcije.

IP vam ne more odgovoriti na vprašanje, na kateri pravni podlagi oz. za kakšen konkretni namen je banka v opisanem primeru obdelovala vaše osebne podatke, na to vprašanje vam lahko odgovori zgolj vaša banka. Če banka obdeluje vaše osebne podatke na podlagi zgoraj navedenih določb ZPPDFT-2, je pravna podlaga za obdelavo vaših osebnih podatkov ZPPDFT-2 v povezavi z zgoraj citirano točko (c) prvega odstavka 6. člena Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

Pojasnjujemo, da morajo upravljavci posameznikom, še preden jim posamezniki posredujejo svoje osebne podatke, podati nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. podati informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti vaša banka. Prav tako vam priporočamo, da se pred posredovanjem podatkov vedno prepričate, v kakšen namen jih želi konkreten upravljavec prejeti.

V primeru, ko je posameznik osebne podatke že posredoval, lahko skladno s Splošno uredbo uveljavlja pravico dostopa skladno s 15. členom Splošne uredbe, v okviru katere ima od upravljavca pravico pridobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in v teh primerih tudi dostop do osebnih podatkov ter nekatere informacije, kot so npr. nameni obdelave in uporabniki ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabniki v tretjih državah ali mednarodnih organizacijah.

Za konec IP dodaja, da je na podobna vprašanja odgovarjal že v več mnenjih, ki so objavljena na spletni strani IP https://www.ip-rs.si/mnenja-zvop-2/. Pri iskanju si lahko pomagate z izbiro kategorije (»Bančništvo«) in ključnimi besedami.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka