Posredovanje podatkov o novih TRR-jih zaradi spremembe ob združitvi dveh bank

Datum

23.07.2024

Številka

07121-1/2024/843

Kategorije

Bančništvo, Posredovanje osebnih podatkov, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis z vprašanjem glede posredovanja novih številk transakcijskih računov na podlagi starih številk TRR-jev v primeru združitve dveh bank. Zaradi združitve bodo namreč komitenti prejeli nove številke TRR-jev. Kot izvajalec SEPA direktnih obremenitev pojasnjujete, da vam banka, ki se združuje, ne želi posredovati prevajalne tabele, iz katere bi se dalo za namene poslovanja enostavno spremeniti stare številke transakcijskih računov v nove, torej komitentom ne bi bilo treba samim obveščati plačnikov SEPA direktnih obremenitev o spremembi. Sprašujete nas, ali se ne bi dalo Splošne uredbe razlagati na način, da bi omogočala posredovanje drugim subjektom takšne prevajalne tabele.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

V opisanem primeru se nakazujeta dve možni pravni podlagi iz prvega odstavka 6. člena Splošne uredbe – točka b (potrebnost obdelave zaradi izvajanja pogodbe) ali točka f (potrebnost zaradi zasledovanja zakonitih interesov). IP se v mnenju ne more opredeliti do obstoja pravne podlage v konkretnem primeru, menimo pa, da mora to v prvi vrsti ugotoviti banka, ki ima osebne podatke svojih komitentov, ki jih mora tudi ustrezno varovati.

Postopkovno vas lahko napotimo na določbo 41. člena ZVOP-2, ki ureja postopek posredovanja osebnih podatkov, vključno z vsebino zahteve za posredovanje osebnih podatkov, postopkom in možnostjo pravnih sredstev.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago, ki jo mora že pred obdelavo osebnih podatkov natančno razčistiti upravljavec osebnih podatkov, ki mora biti zmožen tudi dokazati zakonitost obdelave osebnih podatkov. Pravne podlage so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:

(a)privolitev

(b)sklenitev ali izvajanje pogodbe

(c)zakon

(d)zaščita življenjskih interesov posameznika

(e)izvajanje javne naloge

(f)zakoniti interesi upravljavca, kadar nad njimi ne prevladajo interesi ali pravice posameznika

Poudariti je treba, da morata imeti pri prenosu osebnih podatkov od enega do drugega upravljavca oba upravljavca izkazano pravno podlago; prvi za posredovanje, drugi za prejem in nadaljnjo obdelavo osebnih podatkov. Iz vašega dopisa ne izhaja natančnejša utemeljitev, kakšna pravna podlaga naj bi bila podana in zakaj, kratko omenjate le možnost pogodbe med banko in komitentom kot podlage za posredovanje.

IP meni, da bi bilo morebitno pogodbeno podlago treba natančneje raziskati z analizo samih določb pogodbe med banko in komitentom. Ker takšnih pogodbenih določil nimamo pred sabo, obenem pa se v mnenju tudi ne moremo konkretno opredeljevati do zakonitosti posamičnih obdelav, takšne vaše domneve ne moremo komentirati.

V zvezi z možnostjo obdelave zaradi izvajanja pogodbe med banko in komitentom se je treba nasloniti na določbo točko b prvega odstavka 6. člena Splošne uredbe, ki določa, da je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Z interpretacijo konkretnih določb pogodbe med komitentom in banko je treba utemeljiti potrebnost obdelave osebnih podatkov za izvajanje pogodbe. Pri tem poudarjamo, da mora banka varovati osebne podatke komitentov in bo banko težko prisiliti, naj določbe lastne pogodbe interpretira na način, kot ga morda ne želi. Če pa bi banka ugotovila, da je takšna interpretacija možna in utemeljena ter zakonita, bi bilo nadalje treba upoštevati tudi vse ostale relevantne določbe Splošne uredbe, ki so namenjene varstvu pravic posameznikov pri obdelavi osebnih podatkov.

Nadalje menimo, da je treba v vaši situaciji upoštevati tudi določbo 146. člena Zakona o bančništvu (Uradni list RS, št. 92/21 in 123/21 – ZBNIP; v nadaljevanju ZBan-3), ki ureja dolžnost varovanja zaupnih podatkov. Peti odstavek te določbe določa, da lahko banka poleg primerov iz tretjega in četrtega odstavka 146. člena razkrije zaupne podatke tudi, če je to potrebno za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe, ki jo banka sklene v okviru običajne bančne dejavnosti, in če prejemnik zagotovi ustrezno varovanje zaupnosti podatkov. Banka lahko za potrebe iz prejšnjega stavka razkrije le tiste zaupne podatke v zvezi s stranko, ki so nujno potrebni za sklenitev ali izvajanje pogodbe. V primeru zanašanja na to določbo IP opozarja, da je potrebno ugotoviti, ali opisane okoliščine sodijo v "običajno bančno dejavnost". Interpretacije tega pojma IP ne more ponuditi, saj ni resorno pristojen za tolmačenje ZBan-3. Tudi sicer pa določba vsebuje klavzulo oziroma varovalko sorazmernosti, po kateri je dopustno razkriti "le tiste zaupne podatke v zvezi s stranko, ki so nujno potrebni za sklenitev ali izvajanje pogodbe", torej ne nediskriminatorno vseh podatkov.

Druga od možnih pravnih podlag po Splošni uredbi je tudi določba točke f prvega odstavka 6. člena Splošne uredbe, če je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov. IP tudi te pravne podlage za vaš primer ne more potrditi ali ovreči v mnenju, menimo pa, da bi lahko prišla v poštev, če bi bila tako banka kot vi (prejemnik podatkov), vsak zase in za svoj del obdelave, sposobni utemeljiti, da interesi posameznikov, katerih osebni podatki se obdelujejo, ne bi prevladali nad interesi upravljavca.

Pred obdelavo na tej pravni podlagi pa mora upravljavec izvesti t.i. test zakonitih interesov (ang. legitimate interests assessment oziroma krajše LIA). Da obdelava temelji na pravni podlagi zakonitih interesov, morajo biti izpolnjeni trije kumulativni pogoji:

1.zasledovanje zakonitega interesa s strani upravljavca ali tretje osebe;

2.obdelava osebnih podatkov mora biti potrebna za namene zasledovanega zakonitega interesa in

3.interesi ali temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ne smejo prevladati nad zakonitimi interesi, za katere si prizadeva upravljavec ali tretja oseba.

Če sklenemo, IP ne more v mnenju namesto upravljavcev odločiti, ali obstaja pravna podlaga ali ne, v vašem primeru pa se nakazujeta dve možni (ne pa potrjeni) pravni podlagi iz prvega odstavka 6. člena Splošne uredbe – točka b (pogodba) ali točka f (zakoniti interesi).

Glede vaših postopkovnih možnosti vas lahko napotimo, da preučite določbo 41. člena ZVOP-2, ki ureja postopek posredovanja osebnih podatkov, vključno z vsebino zahteve za posredovanje osebnih podatkov, postopkom in možnostjo pravnih sredstev. Žal se IP ne more vnaprej opredeliti, ali bi bili z uporabo 41. člena ZVOP-2 uspešni ali ne, saj ostaja odprto vprašanje pravne podlage, ki ga na tej točki ne moremo razrešiti. Svetujemo vam torej, da skušate z banko skupaj ugotoviti, ali obstaja pravna podlaga ali ne, v skrajni sili pa lahko sprožite tudi postopek po 41. členu ZVOP-2 in postopek s pravnimi sredstvi.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Alenka Jerše, univ. dipl. prav., namestnica informacijske pooblaščenke

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov