Kršitve Splošne uredbe s strani banke

Datum

18.04.2025

Številka

07121-1/2025/483

Kategorije

Bančništvo, Informiranje posameznika, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše vprašanje. Navajate, da po vašem mnenju banka krši Splošno uredbo, saj od svojih strank zahteva, da jim osebne podatke posredujejo po e-pošti, npr. pogodbo o zaposlitvi. Pri tem grozi z zaprtjem računa v primeru neodziva na tovrstna sumljiva sporočila. Menite, da banka ni vzpostavila ustreznih varnostnih ukrepov, ki bi strankam omogočili varen prenos osebnih podatkov. Prav tako ni jasno, kdo bo imel dostop do teh podatkov, če bodo posredovani preko e- pošte, niti ni iz vsebine e- sporočila razviden namen zbiranja teh informacij izven predhodno dogovorjenih postopkov.

Sprašujete, na kakšen način in pri kateri instituciji lahko prijavite tako ravnanje banke, ki stranke sili k posredovanju osebnih podatkov brez zagotovitve ustreznih varnostnih ukrepov in jasnih pojasnil?

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Predlagamo vam, da se pred posredovanjem podatkov vedno prepričate, v kateri namen jih želi upravljavec prejeti. Posamezniki morajo namreč skladno s 13. členom Splošne uredbe prejeti informacije o obdelavi osebnih podatkov, npr. o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd.

Predlagamo vam, da ste pri odpiranju takšnih sporočil oz. odzivanju nanje pozorni tudi z vidika morebitne kraje osebnih podatkov, gre za t.i. »phishing«. V primeru suma na zlorabo se lahko obrnete na SI-CERT (nacionalni odzivni center za kibernetsko varnost).

Če menite, da gre v konkretnem primeru za kršitev varstva osebnih podatkov, lahko vložite prijavo pri IP.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora imeti vsak upravljavec za obdelavo osebnih podatkov (npr. za zbiranje, kakor tudi za nadaljnjo obdelavo) ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Pojasnjujemo tudi, da morajo biti posamezniki, preden upravljavcu posredujejo svoje osebne podatke, podrobno informirani o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. prejeti informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Predlagamo vam, da vedno zahtevate navedene informacije od upravljavca, preden mu posredujete svoje osebne podatke in preverite, v katere namene jih želi prejeti oz. nadalje obdelovati. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

Predlagamo vam, da ste pri odpiranju takšnih sporočil oz. odzivanju nanje pozorni tudi z vidika morebitne kraje osebnih podatkov, gre za t.i. »phishing«. Več o tem lahko preberete na: https://www.varninainternetu.si/phishing-kraja-podatkov/. V primeru suma na zlorabo se lahko obrnete na SI-CERT (nacionalni odzivni center za kibernetsko varnost), oziroma poiščete več informacij v okviru projekta Varni na internetu, ki ga izvaja SI-CERT, npr. na povezavi: https://www.varninainternetu.si/prevare/.

Po samem posredovanju podatkov lahko tudi uveljavljate svoje pravice po Splošni uredbi, npr. do dostopa ali izbrisa. Več o tem lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in https://tiodlocas.si/zelim-izbrisati-svoje-podatke/.

Če v konkretnem primeru menite, da gre za kršitev varstva osebnih podatkov, ker npr. niste prejeli informacij po 13. členu Splošne uredbe ali ker banka vaših osebnih podatkov ni ustrezno zavarovala, lahko podate prijavo pri IP. Pomagate si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka

Pripravila:

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo