Uporaba bančne aplikacije

Datum

04.04.2024

Številka

07121-1/2024/394

Kategorije

Bančništvo, Informiranje posameznika, Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe določene bančne aplikacije.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

Posamezniku je treba v skladu s 13. oziroma 14. členom Splošne uredbe zagotoviti določene informacije o obdelavi osebnih podatkov. Med drugim je treba v skladu z določbami navedenih členov Splošne uredbe posameznike seznaniti tudi z uporabniki ali kategorijami uporabnikov osebnih podatkov, kadar obstajajo, ter, kadar je ustrezno, tudi z dejstvom, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij, ocen ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja tako ne more presojati skladnosti aplikacije, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP splošno pojasnjuje, da mora upravljavec (v konkretnem primeru banka) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Vsaka obdelava osebnih podatkov mora tako temeljiti na eni izmed navedenih pravnih podlag ter biti skladna s temeljnimi načeli varstva osebnih podatkov, še posebej načela najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov posameznikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

IP na podlagi navedenega pojasnjuje, da je vsak upravljavec odgovoren za izbiro posamezne rešitve in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v njenem okviru njenega delovanja. Upravljavec v okviru opisanih pogojev torej sam odloča o obsegu obdelave osebnih podatkov v njenem okviru ter načinom dostopa do njih. V skladu s tem mora vsak upravljavec posebej torej presoditi, ali je za dosego želenega cilja oziroma namena obdelave nujno potrebna obdelava vseh podatkov, ki se predvidevajo v okviru konkretne rešitve.

IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. Pred uvedbo konkretne rešitve je upravljavec v skladu z zahtevami 13. in 14. člena Splošne uredbe dolžan posameznike seznaniti z rešitvijo, namenom in načinom njene uvedbe, njenim delovanjem ter drugimi informacijami o obdelavi osebnih podatkov, do katere bo prišlo pri njeni uporabi. Med drugim je treba v skladu z določbami navedenih členov Splošne uredbe posameznike seznaniti tudi z uporabniki ali kategorijami uporabnikov osebnih podatkov, kadar obstajajo, ter, kadar je ustrezno, tudi z dejstvom, da upravljavec (v konkretnem primeru banka) namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo. Če prihaja do prenosa osebnih podatkov v tretje države, je v skladu z načelom odgovornosti upravljavec dolžan zagotoviti zakonitost prenosov osebnih podatkov v tretje države. To vprašanje ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Navedene informacije iz 13. in 14. člena Splošne uredbe morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/obve%C5%A1%C4%8Danje-posameznikov-o-obdelavi-osebnih-podatkov

Na tej podstrani lahko najdete tudi vzorca obvestila posameznikom po 13. oziroma 14. členu Splošne uredbe.

IP ponavlja, da v okviru neobvezujočega mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno vedno na upravljavcu osebnih podatkov. Upravljavec (v konkretnem primeru banka) je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja.

IP sklepno dodaja še, da v kolikor na podlagi navedenih pojasnil menite, da gre v konkretnem primeru za kršitev varstva osebnih podatkov, lahko podate prijavo na IP po elektronski pošti na naslov gp.ip@ip-rs.si, oziroma po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka