Izbris iz seznama politično izpostavljenih oseb

Datum

05.02.2025

Številka

07121-1/2025/115

Kategorije

Pravica do izbrisa - pozabe, Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede seznamov politično izpostavljenih oseb (PIO). Zanima vas, ali obstaja centralna evidenca PIO, ki se izmenjuje med državami, in pri kom lahko zahtevate izbris ter kako. Prav tako sprašujete, kako lahko sploh veste, kdo vas ima zavedenega kot PIO.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

Skladno z ZPPDFT-2 je zavezanec (torej vsaka banka, zavarovalnica, borznoposredniška družba in drug subjekt iz 4. člena ZPPDFT-2) dolžan izvajati ukrepe za zmanjšanje tveganja še 12 mesecev po prenehanju delovanja politično izpostavljene osebe na vidnem javnem položaju. Po tem obdobju mora ponovno oceniti tveganje in nadaljevati z ukrepi, dokler ne ugotovi, da tveganje več ne obstaja. Status politično izpostavljene osebe se torej ne izbriše samodejno po prenehanju opravljanja določene funkcije, temveč je odvisen od ocene zavezanca v vsakem konkretnem primeru. Zavezanec pa je dolžan skrbeti, da so podatki, ki jih obdeluje, posodobljeni.

Pravico do dostopa do lastnih osebnih podatkov, izbrisa in druge pravice po Splošni uredbi lahko posameznik uveljavlja le pri vsakem zavezancu posebej. To pomeni, da mora, če želi preveriti, ali ga posamezna banka, zavarovalnica ali drug zavezanec po ZPPDFT-2 obravnava kot politično izpostavljeno osebo, vložiti zahtevo pri vsakem zavezancu posebej. Če meni, da ta podatek ni več potreben za namen, za katerega se obdeluje, lahko na enak način zgolj pri vsakem zavezancu posebej zahteva njegov izbris.

Če upravljavec zahtevo zavrne ali nanjo v zakonskem roku ne odgovori, lahko posameznik vloži prijavo pri IP, ki nato zadevo podrobneje obravnava v okviru konkretnega nadzornega postopka.

O b r a z l o ž i t e v:

Politično izpostavljene osebe

Področje ugotavljanja politične izpostavljenosti stranke v okviru pregleda stranke ureja Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22; v nadaljevanju ZPPDFT-2). S tem zakonom se v slovenski pravni red prenaša Direktiva 2015/849/EU, podrobnejše usmeritve pa so podane v Smernicah o oceni tveganja pranja denarja in financiranja terorizma (Uradni list RS, št. 67/22; v nadaljevanju Smernice).

Politično izpostavljena oseba je vsaka fizična oseba, ki deluje ali je v zadnjem letu delovala na vidnem javnem položaju v državi članici ali tretji državi, vključno z njenimi ožjimi družinskimi člani in ožjimi sodelavci (drugi odstavek 66. člena ZPPDFT-2). Skladno s prvim odstavkom 66. člena ZPPDFT-2 morajo zavezanci vzpostaviti in izvajati sistem upravljanja tveganj, ki vključuje postopek ugotavljanja, ali je stranka ali njen dejanski lastnik politično izpostavljena oseba. Ta postopek temelji na oceni tveganja in ga zavezanci določijo v svojih notranjih aktih, pri čemer upoštevajo smernice pristojnega nadzornega organa. Osmi odstavek 66. člena ZPPDFT-2 določa, da kadar politično izpostavljena oseba preneha delovati na vidnem javnem položaju, zavezanec nadaljuje izvajanje ustreznih ukrepov še 12 mesecev. Po tem obdobju znova oceni nadaljnje tveganje, ki ga prinaša ta oseba, ter izvaja ustrezne ukrepe z upoštevanjem tveganja tako dolgo, dokler ne ugotovi, da v zvezi s to osebo tveganje ne obstaja več.

54. člen ZPPDFT-2 ureja obveznost skrbnega spremljanja poslovnih aktivnosti strank. Skladno s šestim odstavkom tega člena mora zavezanec zagotoviti, da se pridobljene listine in podatki o stranki posodobijo ob ugotovitvi spremembe pomembnih okoliščin stranke, če ima zavezanec zakonsko dolžnost vzpostaviti stik s stranko za namene ugotavljanja dejanskega lastnika in najmanj po preteku petih let od zadnjega pregleda stranke, če je stranka pri zavezancu v zadnjih dvanajstih mesecih izvedla vsaj eno transakcijo. Kot navajajo Smernice, je treba glede na visoko tveganje zagotoviti postopek preverjanja in posodabljanja pridobljenih podatkov in dokumentacije o stranki, ki je politično izpostavljena oseba, najmanj v obdobju 1 do 2 let.

Iz navedenega izhaja, da morajo zavezanci po ZPPDFT-2 zagotavljati redno posodabljanje podatkov, vključno s podatki o politični izpostavljenosti strank. Ko oseba preneha delovati na vidnem javnem položaju, mora zavezanec (torej vsaka banka, zavarovalnica, borznoposredniška družba in drug subjekt iz 4. člena ZPPDFT-2) izvajati ustrezne ukrepe še najmanj 12 mesecev, nato pa ponovno oceniti tveganje in z ukrepi nadaljevati, dokler tveganje ni odpravljeno. Zato zgolj prenehanje opravljanja funkcije, ki je podlaga za politično izpostavljenost po ZPPDFT-2, še ne pomeni, da se ta podatek takoj izbriše. Prenehanje statusa politično izpostavljene osebe tudi ni samodejno, temveč je odvisno od konkretnih okoliščin in stopnje tveganja, ki jo v vsakem primeru posebej oceni zavezanec.

IP ni znano, da bi obstajala centralna evidenca politično izpostavljenih oseb, ki se izmenjuje med državami. Iz Smernic pa izhaja, da zavezanci vzpostavijo postopek avtomatičnega ugotavljanja politične izpostavljenosti strank s pomočjo informacijske podpore in komercialnih zbirk podatkov PIO (npr. Dow Jones WatchList, World Check). Kjer to dopuščajo sektorske smernice, lahko zavezanci postopek preverjanja PIO izvajajo brez informacijske podpore na podlagi izjave stranke ali zakonitega zastopnika (t. i. PIO vprašalnik).

Pravice posameznikov po Splošni uredbi

Da bi preverili, ali oziroma katere vaše osebne podatke določen zavezanec po ZPPDFT-2 obdeluje, lahko pri njem uveljavite pravico do dostopa po 15. členu Splošne uredbe. Skladno s to določbo ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti 1) potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, 2) dostop do osebnih podatkov in 3) določene informacije, ki jih našteva Splošna uredba. Namen pravice do dostopa je posamezniku omogočiti, da razume, kako se njegovi podatki obdelujejo in kakšne so posledice te obdelave, preveri zakonitost in točnost obdelanih podatkov ter uveljavlja druge pravice, ki mu pripadajo po Splošni uredbi. Več informacij o tej pravici je na voljo na spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki.

Pravica do izbrisa oziroma pravica do pozabe pa je urejena v 17. členu Splošne uredbe. Da bi dosegli izbris svojih podatkov, morate pri upravljavcu izkazati, da obstaja eden izmed zakonskih razlogov za to, na primer da vaših osebnih podatkov upravljavec več ne potrebuje v namene, za katere so bili zbrani ali kako drugače obdelani. Podrobnejše informacije o tej pravici so dostopne na spletni strani: https://tiodlocas.si/zelim-izbrisati-svoje-podatke.

Postopkovna pravila so urejena v 11. in 12. členu Splošne uredbe, kjer je predpisan rok za odgovor upravljavca en mesec po prejemu zahteve, nekatere postopkovne določbe pa vsebuje tudi ZVOP-2 v členih od 12 do 21. Skladno s 14. členom ZVOP-2 upravljavci, ki niso državni organi ali samoupravne lokalne skupnosti, o zahtevi praviloma odločijo s pisnim obvestilom. Odločitev mora vsebovati razloge in informacijo o pravici do pritožbe pri nadzornem organu (IP) v roku 15 dni od seznanitve z odločitvijo po določbah točke f) prvega odstavka 15. člena Splošne uredbe. Odločitev ima lahko obliko uradnega zaznamka, ki se pošlje posamezniku na način, ki omogoča seznanitev z odločitvijo in dokazovanje njenega prejema. Zoper molk upravljavca (tj. če posamezniku ne odgovori v enomesečnem ali v izjemoma podaljšanem roku) ali zoper zavrnilni odgovor upravljavca je mogoča pritožba, za reševanje katere je pristojen IP. Ta se rešuje v »postopku na podlagi prijave prijavitelja s posebnim položajem« in poteka po pravilih ZVOP-2 (30. do 34. člen) in ZUP ter v skladu s preiskovalnimi pooblastili IP iz Splošne uredbe.

O tem, na kakšen način lahko uveljavite svoje pravice po Splošni uredbi, je več informacij na voljo na spletni strani: https://tiodlocas.si/kako-uveljavim-svoje-pravice/. Poleg tega je IP o pravicah posameznikov izdal številna mnenja, ki jih lahko najdete na: https://www.ip-rs.si/mnenja-zvop-2/.

Sklepno

Pravico do dostopa do lastnih osebnih podatkov, izbrisa in druge pravice po Splošni uredbi lahko posameznik uveljavlja le pri vsakem zavezancu posebej. Glede na opisano situacijo vam IP svetuje, da najprej pri zavezancu, za katerega menite, da vas obravnava kot politično izpostavljeno osebo, vložite zahtevo za dostop do osebnih podatkov. V njej lahko zahtevate potrditev, ali vas zavezanec dejansko vodi kot tako osebo, ter informacijo o namenu te obdelave. Če menite, da je takšna obdelava podatkov neupravičena, lahko pri tem zavezancu zahtevate izbris podatkov.

V primeru, da vam upravljavec ne odgovori v zakonskem roku ali zavrne vašo zahtevo za dostop oziroma izbris, lahko pri IP vložite prijavo. Le v okviru konkretnega nadzornega postopka lahko IP podrobneje obravnava vašo zadevo ter presoja zakonitost obdelave osebnih podatkov oziroma upravičenost odločitve upravljavca glede vaše zahteve.

Pri pripravi zahteve ali prijave si lahko pomagate z obrazci, dostopnimi na spletni strani: https://www.ip-rs.si/obrazci/.

Lepo vas pozdravljamo,

Pripravil:

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

dr. Jelena Virant Burnik, informacijska pooblaščenka