- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Obdelava osebnih podatkov s strani banke – dodatno pojasnilo
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Obdelava osebnih podatkov s strani banke – dodatno pojasnilo
Datum
9.12.2024
Številka
07121-1/2024/1524
Kategorije
Bančništvo
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše dodatno vprašanje v zvezi z obdelavo osebnih podatkov s strani banke. Sprašujete, na kateri pravni podlagi banka zahteva podatke o drugi osebi, ki z njo sploh ni povezan.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Banka lahko skladno z nameni, določenimi z ZPPDFT-2, obdeluje osebne podatke strank, kakor tudi drugih fizičnih oseb, npr. za preverjanje skladnosti strankinega poslovanja. Banka kot upravljavec pa mora upoštevati tudi splošna načela Splošne uredbe, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Skladno z navedenim načelom lahko obdela samo tiste osebne podatke (tako strank, kot tretjih oseb), ki so za namene po ZPPDFT-2 nujno potrebni.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Pojasnjujemo, da se obveznosti banke, da izpolnjuje obveznosti na podlagi Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22, ZPPDFT-2) ne nanašajo samo nujno na osebne podatke komitentov. Kot smo že poudarili v izdanem mnenju št. 07121-1/2024/1497 z dne 4. 12. 2024, skladno s 4. točko prvega odstavka 21. člena ZPPDFT-2 v okvir pregleda stranke sodi tudi skrbno spremljanje poslovnih aktivnosti. Pojasnili smo tudi, da banka skladno s prvim odstavkom 54. člena ZPPDFT-2 skrbi spremlja poslovne aktivnosti, ki jih stranka izvaja pri njem, s čimer se zagotovi poznavanje stranke, vključno z izvorom sredstev, s katerimi ta posluje in v nadaljevanju določa, kaj zajema spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu (npr. preverjanje skladnosti strankinega poslovanja s predvideno naravo in namenom poslovnega razmerja, ki ga je stranka sklenila pri zavezancu in spremljanje ter preverjanje skladnosti strankinega poslovanja z njenim običajnim obsegom poslovanja). 53. člen ZPPDFT-2 opredeljuje namen in predvideno naravo poslovnega razmerja ali transakcije ter nabor podatkov. Prvi odstavek določa, da zavezanec v okviru pregleda stranke oceni in po potrebi dodatno pridobi podatke o namenu in predvideni naravi poslovnega razmerja ali transakcije na način, da je namen in predvidena narava poslovnega razmerja ali transakcije razumljiva. Peti odstavek nadalje določa, da zavezanec v okviru pregleda stranke iz 4. in 5. točke prvega odstavka 22. člena tega zakona[1] pridobi podatke iz prvega odstavka 150. člena tega zakona.
Banka lahko torej skladno s prvim odstavkom 150. člena ZPPDFT-2 obdeluje podatke, med drugim tudi npr.:
-osebno ime, naslov stalnega prebivališča; naslov začasnega prebivališča v Republiki Sloveniji, če naslov stalnega prebivališča ni v Republiki Sloveniji; naslov začasnega prebivališča v tujini, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta, datum izdaje, datum prenehanja in naziv izdajatelja uradnega osebnega dokumenta fizične osebe oziroma njenega zakonitega zastopnika, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ki sklene poslovno razmerje ali opravi transakcijo, oziroma fizične osebe, za katero se sklene poslovno razmerje ali opravi transakcija,
-številka ali drug enolični znak poslovnega razmerja, namen in predvidena narava poslovnega razmerja, vključno z informacijo o dejavnosti stranke,
-podatki o izvoru premoženja in sredstev stranke oziroma dejanskega lastnika ter podatki o izvoru premoženja in sredstev, ki so ali bodo predmet poslovnega razmerja ali transakcije;
-osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta oziroma firma, naslov, sedež ter matična številka osebe, v zvezi s katero obstajajo razlogi za sum pranja denarja ali financiranja terorizma,
-podatki o transakciji, sredstvih in premoženju, v zvezi s katerimi obstajajo razlogi za sum pranja denarja ali financiranja terorizma (znesek, valuta, vrsta sredstev in premoženja, vrednost sredstev in premoženja, datum ali obdobje opravljanja transakcij).
Iz navedenega torej izhaja, da lahko banka skladno z nameni, določenimi z ZPPDFT-2, obdeluje osebne podatke strank, kakor tudi drugih fizičnih oseb, če je to potrebno, npr. za preverjanje skladnosti strankinega poslovanja. Kot smo poudarili, pa mora banka kot upravljavec upoštevati tudi splošna načela Splošne uredbe, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Skladno z navedenim načelom lahko obdela samo tiste osebne podatke (tako strank, kot tretjih oseb), ki so za namene po ZPPDFT-2 nujno potrebni.
Kot smo vam že predlagali, se za podrobnejša pojasnila o obdelavi osebnih podatkov lahko obrnete na svojo banko, glede izvajanja ZPPDFT-2 pa na Ministrstvo za finance.
Lepo pozdravljeni.
dr. Jelena Virant Burnik, informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo
---
[1]Prvi odstavek 22. člena ZPPDFT-2 določa, da zavezanec pod pogoji, ki jih določa ta zakon, opravi pregled stranke v naslednjih primerih:
1.pri sklepanju poslovnega razmerja s stranko;
2.pri vsaki transakciji v vrednosti 15.000 eurov ali več ne glede na to, ali poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;
3.pri prirediteljih in koncesionarjih, ki prirejajo igre na srečo, ob izplačilih dobitkov, vplačilu stav ali obojem, kadar gre za transakcije v vrednosti 2.000 eurov ali več, ne glede na to, ali transakcija poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;
4.pri dvomu o verodostojnosti in ustreznosti predhodno pridobljenih podatkov o stranki ali dejanskem lastniku stranke;
5.vedno, kadar so v zvezi s transakcijo, stranko, sredstvi ali premoženjem razlogi za sum pranja denarja ali financiranja terorizma, ne glede na vrednost transakcije.