- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Obdelava osebnih podatkov s strani banke
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Obdelava osebnih podatkov s strani banke
Datum: 04.12.2024
Številka: 07121-1/2024/1497
Kategorije: Bančništvo, Informiranje posameznika, Pravica do seznanitve z lastnimi osebnimi podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaši zaprosili za mnenje. Navajate, da vam je vaša banka poslala e-sporočilo, da so na vašem računu zaznali večkratne prilive z dveh računov, ki jih morate obrazložiti. Zahtevali so, da jim po e-pošti pošljete najemno pogodbo. Nato ste govorili z uslužbenko, ki je dejala, da jo lahko prinesete na vpogled. Sklicevali bi se naj na 54. člen ZPPDFT-2 in ker ste fizična oseba, se v tej določbi najdete le, če preverjajo vaše osebne podatke. Moti vas, da morate banki, ki jo plačujete, pojasnjevati svoja nakazila, poleg tega so vsi podatki pošiljateljev znani, zneski pa nizki.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Zavezanci (kamor se uvrščajo tudi banke) imajo nekatere obveznosti skladno z Zakonom o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-2), npr. izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon. Tako npr. prvi odstavek 54. člena ZPPDFT-2 med drugim določa, da spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu, vključuje preverjanje skladnosti strankinega poslovanja s predvideno naravo in namenom poslovnega razmerja, ki ga je stranka sklenila pri zavezancu ter spremljanje in preverjanje skladnosti strankinega poslovanja z njenim običajnim obsegom poslovanja.
V kakšen namen so bili konkretno obdelani vaši osebni podatki, vam lahko odgovori le vaša banka. Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti vaša banka. Posameznikom morajo biti namreč pred obdelavo osebnih podatkov zagotovljene informacije o obdelavi osebnih podatkov skladno s 13. členom Splošne uredbe (npr. nameni ter pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobje hrambe, itd.). Podatek o namenu obdelave osebnih podatkov lahko prejmete tudi po posredovanju svojih podatkov in sicer v primeru uveljavljanja pravice dostopa po 15. členu Splošne uredbe.
Če na podlagi pojasnil menite, da gre za nezakonito obdelavo vaših osebnih podatkov, lahko pri IP podate prijavo.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Pojasnjujemo, da IP ni pristojen za podajo pojasnil glede poslovanja bank, zato vam v mnenju podajamo pojasnila zgolj z vidika varstva osebnih podatkov.
Pojasnjujemo, da mora imeti vsak upravljavec za obdelavo osebnih podatkov ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe:
(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Upravljavec mora upoštevati tudi splošna načela, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.
Zavezanci (kamor se uvrščajo tudi banke) imajo nekatere obveznosti skladno z Zakonom o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22, ZPPDFT-2) in sicer skladno z drugim odstavkom 17. člena ZPPDFT-2 med drugim:
-vzpostavitev politik, kontrol in postopkov za učinkovito ublažitev in obvladovanje tveganj pranja denarja in financiranja terorizma;
-izvajanje ukrepov za poznavanje stranke (pregled stranke) na način in pod pogoji, ki jih določa ta zakon;
-pripravo seznama indikatorjev za prepoznavanje strank in transakcij, v zvezi s katerimi obstajajo razlogi za sum pranja denarja ali financiranja terorizma;
-izvajanje politik in postopkov skupine ter ukrepov odkrivanja in preprečevanja pranja denarja in financiranja terorizma v lastnih podružnicah in hčerinskih družbah v večinski lasti v državah članicah in v tretjih državah.
Glede na vaše vprašanje izpostavljamo pregled stranke, ki skladno s prvim odstavkom 21. člena ZPPDFT-2 obsega naslednje ukrepe:
1.ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov;
2.ugotavljanje dejanskega lastnika stranke;
3.pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov na podlagi tega zakona;
4.redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu.
Nadalje skladno s petim odstavkom 21. člena ZPPDFT-2 zavezanec pri določanju obsega izvajanja ukrepov upošteva vsaj namen sklenitve in naravo poslovnega razmerja; višino sredstev, vrednost premoženja ali obseg transakcij; čas trajanja poslovnega razmerja in skladnost poslovanja z namenom sklenitve poslovnega razmerja.
Prvi odstavek 54. člena ZPPDFT-2 določa, da zavezanec skrbno spremlja poslovne aktivnosti, ki jih stranka izvaja pri njem, s čimer se zagotovi poznavanje stranke, vključno z izvorom sredstev, s katerimi ta posluje. Spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu, vključuje:
-preverjanje skladnosti strankinega poslovanja s predvideno naravo in namenom poslovnega razmerja, ki ga je stranka sklenila pri zavezancu;
-spremljanje in preverjanje skladnosti strankinega poslovanja z njenim običajnim obsegom poslovanja;
-preverjanje in posodabljanje pridobljenih listin in podatkov o stranki.
Drugi odstavek 54. člena ZPPDFT-2 določa, da obveznost iz prve in druge alineje prejšnjega odstavka zavezanec izpolnjuje tako, da lahko ves čas trajanja poslovnega razmerja utemelji skladnost strankinega poslovanja.
V tretjem odstavku je nadalje določeno, da za stranko, ki je fizična oseba, preverjanje in posodabljanje pridobljenih listin in podatkov iz prvega odstavka tega člena obsega:
1.preverjanje podatkov o osebnem imenu, naslovu stalnega in začasnega prebivališča, državljanstvu ter številki, vrsti, nazivu izdajatelja, datumu izdaje in datumu poteka veljavnosti uradnega osebnega dokumenta stranke oziroma njenega zakonitega zastopnika ali pooblaščenca;
2.preverjanje ustreznosti pooblastila iz 30. člena tega zakona;
3.ugotavljanje, ali je stranka postala politično izpostavljena oseba v času trajanja poslovnega razmerja.
Navajate, da bi lahko po tej določbi šlo v vašem primeru le za preverjanje podatkov. Ob tem pojasnjujemo, da tretji odstavek 54. člena ZPPDFT-2 podrobneje opredeljuje le tretjo alinejo prvega odstavka 54. člena ZPPDFT-2. Vaša banka navedene podatke morda spremlja z vidika preverjanja skladnosti vašega poslovanja s predvideno naravo in namenom poslovnega razmerja, ki ste ga sklenili pri njej oz. z vidika spremljanja in preverjanja skladnosti vašega poslovanja z vašim običajnim obsegom poslovanja.
IP vam ne more odgovoriti na vprašanje, za kakšen konkretni namen je banka v opisanem primeru obdelovala vaše osebne podatke, na to vprašanje vam lahko odgovori zgolj vaša banka. Če banka obdeluje vaše osebne podatke na podlagi zgoraj navedenih določb ZPPDFT-2, je pravna podlaga za obdelavo vaših osebnih podatkov ZPPDFT-2 v povezavi z zgoraj citirano točko (c) prvega odstavka 6. člena Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Ob tem mora banka upoštevati tudi omenjeno načelo najmanjšega obsega podatkov. Tudi v tej luči vam predlagamo, da v kolikor ne želite najemne pogodbe pošiljati po pošti, jo banki predložite v vpogled.
Predlagamo vam, da preverite informacije o obdelavi osebnih podatkov, ki bi vam jih morala predhodno zagotoviti vaša banka. Pojasnjujemo, da morajo upravljavci posameznikom, še preden jim posamezniki posredujejo svoje osebne podatke, podati nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. podati informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Prav tako vam priporočamo, da se pred posredovanjem podatkov vedno prepričate, v kakšen namen jih želi konkreten upravljavec prejeti.[1]
Tudi po posredovanju osebnih podatkov lahko posameznik prejme določene informacije o obdelavi svojih osebnih podatkov. Skladno s Splošno uredbo lahko uveljavlja pravico dostopa po 15. členu Splošne uredbe, v okviru katere ima od upravljavca pravico pridobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in v teh primerih tudi dostop do osebnih podatkov ter nekatere informacije, kot so npr. nameni obdelave in uporabniki ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabniki v tretjih državah ali mednarodnih organizacijah.[2]
Če na podlagi pojasnil menite, da so bili vaši osebni podatki nezakonito obdelani, lahko podate prijavo pri IP. Pomagate si lahko z obrazcem "Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)", ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
Za več vprašanj o izvajanju ZPPDFT-2 vam predlagamo, da se obrnete na Ministrstvo za finance.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
dr. Jelena Virant Burnik, informacijska pooblaščenka
Pripravila: Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo
[1]Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.
[2]Več o tem lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.