Obdelava davčne številke

Datum

10.10.2023

Številka

07121-1/2023/1274

Kategorije

Telekomunikacije in pošta, Varnost osebnih podatkov

Informacijski pooblaščenec je prejel vaše zaprosilo za mnenje. Opisujete, da vam je operater izdal račun za opravljene storitve in vam posredoval sporočilo s pojasnilom, da lahko za vpogled v znesek zapadlega dolga pošljete svojo davčno številko na številko 1919. Menite, da gre za grobo kršitev vaših osebnih podatkov in nas prosite, da to preverimo, prav tako rabo številke 1919 (za katero menite, da je humanitarna številka).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Operater lahko obdeluje naročnikovo davčno številko, med drugim za zaračunavanje storitev. Če se osebni podatki pošiljajo preko SMS, mora upravljavec zagotoviti, da so osebni podatki med prenosom ustrezno zavarovani in da je zahtevo podala upravičena oseba.

Glede vprašanj, povezanih z upravičeno rabo številke 1919 vam predlagamo, da se obrnete na Agencijo za komunikacijska omrežja in storitve Republike Slovenije.

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Uvodoma pojasnjujemo, da je IP pristojen za področje varstva osebnih podatkov. Glede vprašanj, povezanih z upravičeno rabo številke 1919 vam predlagamo, da se obrnete na Agencijo za komunikacijska omrežja in storitve Republike Slovenije, ki je pristojna za nadzor nad Zakonom o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O), ki med drugim ureja pravila glede uporabe elementov oštevilčenja.

Na podobno vprašanje kot je vaše, v zvezi z obdelavo davčne številke s strani operaterja, je IP v preteklosti že odgovarjal v svojih nezavezujočih mnenjih. Do mnenj lahko dostopate preko iskalnika na www.ip-rs.si/vop, z izbiro ustrezne kategorije (npr. »telekomunikacije in pošta«) in vpisom ključnih besed (npr. »davčna številka«). Relevantno mnenje za vaš primer je tako npr. mnenje št. 0712-3/2018/2729 z dne 6. 1. 2020.

Iz citiranega mnenja izhaja, da lahko operater obdeluje naročnikove osebne podatke, med drugim tudi davčno številko za: sklepanje, izvajanje, spremljanje in prekinitev naročniške pogodbe, zaračunavanje storitev, pripravo in izdajanje imenikov po tem zakonu ter na podlagi soglasja naročnika tudi za druge zakonite namene. V kolikor je komunikacija z operaterjem povezana z enim izmed navedenih namenov (npr. v zvezi z zaračunavanjem storitev), ima operater zakonsko pravno podlago za to, da v ta namen obdeluje naročnikove osebne podatke (tudi davčno številko). V kolikor pa vaša komunikacija z operaterjem ne bi bila povezana z zgoraj naštetimi nameni (npr. vprašanje glede odpiralnega časa poslovalnice), bi moral operater za zakonito obdelavo teh podatkov zagotoviti eno izmed drugih pravnih podlag iz prvega odstavka 6. člena Splošne uredbe – npr. od vas kot naročnika bi moral pridobiti veljavno privolitev. Ob tem mora upoštevati tudi splošna načela Splošne uredbe, med drugim npr. načelo najmanjšega obsega podatkov.

Glede pošiljanja osebnih podatkov poudarjamo, da morajo biti osebni podatki ves čas prenosa (tudi pošiljanja preko SMS sporočil) ustrezno zavarovani s postopki in ukrepi, ki nepooblaščenim osebam preprečujejo dostop do osebnih podatkov, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos, to presojo pa je dolžan opraviti upravljavec sam. Pri tem mora upravljavec poskrbeti npr., da se s prejetimi osebnimi podatki (npr. v povezavi z odprtimi računi) ne seznani neupravičena oseba in mora pri tem potrditi identiteto naročnika, pri čemer lahko zahteva določene osebne podatke s strani posameznika. IP načeloma meni, da zahteva operaterja, da se za pridobitev osebnih podatkov identificirate z davčno številko, z vidika varne identifikacije ni sporna. Pomembno je, da upravljavec za identifikacijo izbere takšne podatke, za katere je malo verjetno, da bi lahko z njimi razpolagala tretja oseba in jih zlorabila za nepooblaščeno seznanitev z osebnimi podatki in ki jih lahko zavezanec preveri v svojih zbirkah podatkov.

IP bi lahko o zakonitosti konkretne obdelave odločal zgolj v konkretnem inšpekcijskem postopku, načeloma pa lahko operater obdeluje davčno številko posameznika v zvezi z zaračunavanjem storitev, hkrati pa zahteva operaterja, da se ob tem identificirate z davčno številko, tudi z vidika varne identifikacije načeloma ni sporna.

Prijazen pozdrav.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo