Obdelava osebnih podatkov s strani banke

Datum

29.05.2025

Številka

07120-1/2025/198

Kategorije

Bančništvo

pri Informacijskem pooblaščencu (IP) smo dne 16. 4. 2025 prejeli vaše zaprosilo za mnenje glede pravilnosti ravnanja banke, ko je od vas zahtevala kopijo osebne izkaznice in odločbe CSD o odobritvi dednega dogovora. Navajate, da ste bili v zapuščinskem postopku imenovani za skrbnico mladoletnemu dediču, pri urejanju nakazila denarnih sredstev na njegov transakcijski račun pa je banka od vas zahtevala kopijo osebne izkaznice in odločbe CSD, čeprav sami niste komitent te banke.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.

Banka razpolaga z ustrezno pravno podlago za obdelavo osebnih podatkov v skladu s točko (c) prvega odstavka 6. člena Splošne uredbe, če osebne podatke obdeluje v okviru namenov, ki jih določa Zakon o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-2), pri čemer je posameznikom dolžna ob pridobivanju njihovih osebnih podatkov zagotoviti ustrezne, zadostne in pregledne informacije v skladu s 13. členom Splošne uredbe.

2.

Zavezanci, med drugim tudi banke, imajo nekatere obveznosti skladno z ZPPDFT-2, npr. izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon.

3.

Banka kot upravljavec pa mora upoštevati tudi splošna načela Splošne uredbe, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Skladno z navedenim načelom lahko obdela samo tiste osebne podatke (tako strank, kot tretjih oseb), ki so za namene po ZPPDFT-2 nujno potrebni.

4.

Zakonodajalec je v specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero. Konkretni upravljavec, ki želi napraviti kopijo vašega osebnega dokumenta, bi vam moral podati vse pomembne informacije o obdelavi vaših osebnih podatkov, kar vključuje tudi pojasnila o pravnih podlagah in namenih za obdelavo vaših osebnih podatkov oziroma dokumentov.

5.

V kakšen namen so bili v konkretnem primeru obdelani vaši osebni podatki, vam lahko odgovori le banka. Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti banka.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. IP prav tako ni pristojen za podajo pojasnil glede poslovanja bank in presojo siceršnje ustreznosti ravnanja zavezancev v smislu izvajanja določb Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, 145/22 in 17/25; ZPPDFT-2). V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim vprašanjem.

Vsak upravljavec mora imeti za obdelavo osebnih podatkov ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe.

V konkretnem primeru, bi za namene opredeljene v ZPPDFT-2, pravno podlago za obdelavo osebnih podatkov praviloma predstavljala točka (c) prvega odstavka 6. člena Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (torej za izpolnitev konkretne zakonske obveznosti zavezancev glede na pogoje iz ZPPDFT-2).

Upravljavec mora upoštevati tudi splošna načela, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.

Zavezanci (kamor se uvrščajo tudi banke) imajo nekatere obveznosti skladno z ZPPDFT-2, in sicer skladno z drugim odstavkom 17. člena ZPPDFT-2, med drugim izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon (2. alineja drugega odstavka 17. člena ZPPDFT-2).

Pregled stranke, skladno s prvim odstavkom 21. člena ZPPDFT-2, obsega naslednje ukrepe:

1.

ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov;

2.

ugotavljanje dejanskega lastnika stranke;

3.

pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov na podlagi tega zakona;

4.

redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu.

Nadalje skladno s petim odstavkom 21. člena ZPPDFT-2 zavezanec pri določanju obsega izvajanja ukrepov upošteva vsaj namen sklenitve in naravo poslovnega razmerja; višino sredstev, vrednost premoženja ali obseg transakcij; čas trajanja poslovnega razmerja in skladnost poslovanja z namenom sklenitve poslovnega razmerja.

ZPPDFT-2 v nekaterih primerih določa tudi obveznost pregleda stranke, npr. skladno s prvim odstavkom 22. člena v naslednjih primerih:

1.

pri sklepanju poslovnega razmerja s stranko;

2.

pri vsaki transakciji v vrednosti 15.000 eurov ali več ne glede na to, ali poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;

3.

pri prirediteljih in koncesionarjih, ki prirejajo igre na srečo, ob izplačilih dobitkov, vplačilu stav ali obojem, kadar gre za transakcije v vrednosti 2.000 eurov ali več, ne glede na to, ali transakcija poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;

4.

pri dvomu o verodostojnosti in ustreznosti predhodno pridobljenih podatkov o stranki ali dejanskem lastniku stranke;

5.

vedno, kadar so v zvezi s transakcijo, stranko, sredstvi ali premoženjem razlogi za sum pranja denarja ali financiranja terorizma, ne glede na vrednost transakcije.

Pojasnjujemo še, da se obveznosti banke, da izpolnjuje obveznosti na podlagi ZPPDFT-2 ne nanašajo samo nujno na osebne podatke komitentov. Skladno s 4. točko prvega odstavka 21. člena ZPPDFT-2 v okvir pregleda stranke sodi tudi skrbno spremljanje poslovnih aktivnosti. Banka na podlagi prvega odstavka 54. člena ZPPDFT-2 skrbi spremlja poslovne aktivnosti, ki jih stranka izvaja pri njem, s čimer se zagotovi poznavanje stranke, vključno z izvorom sredstev, s katerimi ta posluje in v nadaljevanju določa, kaj zajema spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu (npr. preverjanje skladnosti strankinega poslovanja s predvideno naravo in namenom poslovnega razmerja, ki ga je stranka sklenila pri zavezancu in spremljanje ter preverjanje skladnosti strankinega poslovanja z njenim običajnim obsegom poslovanja). 53. člen ZPPDFT-2 opredeljuje namen in predvideno naravo poslovnega razmerja ali transakcije ter nabor podatkov. Prvi odstavek določa, da zavezanec v okviru pregleda stranke oceni in po potrebi dodatno pridobi podatke o namenu in predvideni naravi poslovnega razmerja ali transakcije na način, da je namen in predvidena narava poslovnega razmerja ali transakcije razumljiva. Peti odstavek nadalje določa, da zavezanec v okviru pregleda stranke iz 4. in 5. točke prvega odstavka 22. člena tega zakona pridobi podatke iz prvega odstavka 150. člena tega zakona.

Banka lahko torej skladno s prvim odstavkom 150. člena ZPPDFT-2 obdeluje podatke, med drugim tudi npr. :

-

osebno ime, naslov stalnega prebivališča; naslov začasnega prebivališča v Republiki Sloveniji, če naslov stalnega prebivališča ni v Republiki Sloveniji; naslov začasnega prebivališča v tujini, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta, datum izdaje, datum prenehanja in naziv izdajatelja uradnega osebnega dokumenta fizične osebe oziroma njenega zakonitega zastopnika, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ki sklene poslovno razmerje ali opravi transakcijo, oziroma fizične osebe, za katero se sklene poslovno razmerje ali opravi transakcijo,

-

številka ali drug enolični znak poslovnega razmerja, namen in predvidena narava poslovnega razmerja, vključno z informacijo o dejavnosti stranke,

-

podatki o izvoru premoženja in sredstev stranke oziroma dejanskega lastnika ter podatki o izvoru premoženja in sredstev, ki so ali bodo predmet poslovnega razmerja ali transakcije;

-

osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta oziroma firma, naslov, sedež ter matična številka osebe, v zvezi s katero obstajajo razlogi za sum pranja denarja ali financiranja terorizma,

-

podatki o transakciji, sredstvih in premoženju, v zvezi s katerimi obstajajo razlogi za sum pranja denarja ali financiranja terorizma (znesek, valuta, vrsta sredstev in premoženja, vrednost sredstev in premoženja, datum ali obdobje opravljanja transakcij).

IP pojasnjuje, da ZVOP-2 v prvem odstavku 94. člena določa, da smejo upravljavec, obdelovalec ali uporabnik za namen identifikacije posameznika, ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov, vpogledati v njegove uradne identifikacijske dokumente. Drugi odstavek istega člena določa, da sme upravljavec, ki izvaja z zakonom predpisano nalogo, za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov. IP ob tem pojasnjuje, da drugi odstavek 94. člena ZVOP-2 lahko torej predstavlja pravno podlago za kopiranje in druge oblike obdelave (npr. hrambo) osebnih podatkov iz uradnih identifikacijskih dokumentov v povezavi z ustreznim področnim predpisom, ki v tem primeru določa naloge upravljavca, ki zahtevajo tovrstno obdelavo osebnih podatkov (in ne samega kopiranja ali drugih oblik obdelave osebnih podatkov).

IP nadalje pojasnjuje, da kopiranje osebne izkaznice podrobneje ureja Zakon o osebni izkaznici (Uradni list RS, št. 35/11, 41/21, 199/21; v nadaljevanju: ZOIzk-1), ki v 4. členu določa, da smejo upravljavci zbirk osebnih podatkov osebne izkaznice kopirati samo v primerih, ki jih določa zakon (v takšnih primerih torej ni treba dodatno pridobiti še privolitve imetnika osebne izkaznice). Izjemoma je kopiranje osebne izkaznice dopustno že na podlagi določb ZOIzk-1 brez izrecne podlage v drugem področnem zakonu. Tako lahko osebno izkaznico poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana. Pojma finančna družba in finančna storitev po tem zakonu imata enak pomen kot v zakonu, ki ureja bančništvo (ZBan-3; Uradni list RS, št. 92/21, 123/21 – ZBNIP). Osebno izkaznico je za vnaprej določene namene dovoljeno kopirati tudi na podlagi pisne privolitve imetnika osebne izkaznice.

Iz povzetih zakonskih določb izhajajo stroge omejitve uporabe osebne izkaznice. Prvenstveno je za namen ugotavljanja istovetnosti predviden le vpogled (oziroma po potrebi tudi prepis), kopiranje pa le ob strožjih pogojih, pri čemer je izrecno prepovedano nadaljnje kopiranje kopije osebne izkaznice, ob kopiranju osebne izkaznice pa je treba z ustrezno oznako na kopiji zagotoviti, da se kopija osebne izkaznice ne bo uporabljala za druge namene.

IP ob tem opozarja tudi na določbo 141. člena ZPPDFT-2, ki določa hrambo kopij uradnih osebnih dokumentov v digitalni obliki. Zavezanci kopije hranijo najdlje pet let od njihove pridobitve in za hrambo teh kopij zagotovijo njihovo varovanje z organizacijskimi, tehničnimi ter logično-tehničnimi postopki in ukrepi skladno z zakonom, ki ureja varstvo osebnih podatkov. Ob tem IP opozarja, da gre v navedenem primeru torej samo za hrambo kopij uradnih osebnih dokumentov v digitalni obliki, ki so jih zavezanci pridobili na podlagi ZPPDFT-2 v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah ZPPDFT-2 in ne na drugi pravni podlagi.

Upoštevati je treba, da osebna izkaznica in potni list oziroma njuna kopija vsebuje posnetek obraza posameznika, ki ima že biometrične značilnosti. Zaradi nevarnosti zlorab in kraj identitete pa je treba pri vsaki odločitvi o morebitnem zbiranju biometričnih podatkov ravnati izjemno previdno, kar je tudi eden od razlogov, da je zakonodajalec v omenjenih specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero. V vsakem konkretnem primeru bi bilo treba torej izkazati (to je obveznost upravljavca), zakaj je za dosego želenega namena treba hraniti kopijo osebnega dokumenta oziroma zakaj istega namena ni mogoče doseči z vpogledom v dokument ali prepisom podatkov z njega. IP tako povzema, da torej ne obstaja absolutna prepoved kopiranja osebnih dokumentov, je pa kopiranje strogo urejeno v področni zakonodaji.

Iz navedenega torej izhaja, da lahko banka skladno z nameni, določenimi z ZPPDFT-2, obdeluje osebne podatke strank, kakor tudi drugih fizičnih oseb, če je to potrebno, npr. za preverjanje skladnosti strankinega poslovanja. Kot smo že poudarili, pa mora banka kot upravljavec upoštevati tudi splošna načela Splošne uredbe, npr. t.i. načelo najmanjšega obsega podatkov

skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Skladno z navedenim načelom lahko obdela samo tiste osebne podatke (tako strank, kot tretjih oseb), ki so za namene po ZPPDFT-2 nujno potrebni.

IP vam ne more odgovoriti na vprašanje, na kateri pravni podlagi oziroma za kakšen konkretni namen je banka v opisanem primeru obdelovala vaše osebne podatke, na to vprašanje vam lahko odgovori zgolj banka.

Če banka obdeluje vaše osebne podatke na podlagi zgoraj navedenih določb ZPPDFT-2, je pravna podlaga za obdelavo vaših osebnih podatkov ZPPDFT-2 v povezavi z zgoraj citirano točko (c) prvega odstavka 6. člena Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

Pojasnjujemo, da morajo upravljavci posameznikom, še preden jim posamezniki posredujejo svoje osebne podatke, podati nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. podati informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti vaša banka. Prav tako vam priporočamo, da se pred posredovanjem podatkov vedno prepričate, v kakšen namen jih želi konkreten upravljavec prejeti.

V primeru, ko je posameznik osebne podatke že posredoval, lahko skladno s Splošno uredbo uveljavlja pravico dostopa skladno s 15. členom Splošne uredbe, v okviru katere ima od upravljavca pravico pridobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in v teh primerih tudi dostop do osebnih podatkov ter nekatere informacije, kot so npr. nameni obdelave in uporabniki ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabniki v tretjih državah ali mednarodnih organizacijah.

Če na podlagi pojasnil menite, da so bili vaši osebni podatki nezakonito obdelani, lahko podate prijavo pri IP. Pomagate si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Za konec IP dodaja, da je na podobna vprašanja glede obdelave osebnih podatkov s strani bank odgovarjal že v več mnenjih, ki so objavljena na spletni strani IP https://www.ip-rs.si/mnenja-zvop-2/. Pri iskanju si lahko pomagate z izbiro kategorije (»Bančništvo«) in ključnimi besedami.

Za več vprašanj o izvajanju ZPPDFT-2 vam predlagamo, da se obrnete na Ministrstvo za finance.

Lepo vas pozdravljamo.

Pripravil/-a:

mag. Saša Benčič, univ. dipl. prav.,

svetovalka IP

dr. Jelena Virant Burnik,

informacijska pooblaščenka

---

[1]Določba prvega odstavka 6. člena Splošne uredbe kot pravne podlage določa:(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

[2]Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

[3]Več o tem lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.