Uporaba instituta izrecnega dovoljenja

Datum

22.12.2023

Številka

07120-1/2023/542

Kategorije

Bančništvo, Občine, Pravica do prenosljivosti podatkov, Pravne podlage, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 7. 12. 2023 prejel vašo prošnjo za mnenje, iz katerega izhaja, da je pri Mestni občini … (v nadaljevanju: mestna občina) v fazi implementacije projekt plačilne kartice, ki ga mestna občina razvija skupaj z banko … ter z njene strani nominiranimi podizvajalci. Plačilna kartica se bo uporabljala kot identifikacijska kartica ter kot plačilna kartica. Pri projektu nastopa več akterjev, tako v vlogi upravljavca kot v vlogi obdelovalca pri posameznih procesih obdelave osebnih podatkov. Za učinkovito doseganje ciljev projekta je nujno potreben pretok posameznih informacij med akterji, kar vključuje tudi neposreden prenos osebnih podatkov enega upravljavca drugemu upravljavcu, ti podatki pa se skladno s 145. členom ZBan-3 ter 240. členom ZPlaSSIED štejejo za zaupne podatke in so nujno potrebni za izvrševanje pravic imetnikov plačilne kartice. IP zaprošate za mnenje: Ali je potrebno institut »izrecno dovoljenje za posredovanje zaupnih podatkov«, ki so osebni podatki, razumeti kot zahtevo po pridobitvi »nedvoumne privolitve«, kot jo opredeljuje točka (a) prvega odstavka člena 6 Splošne uredbe, oziroma, ali se zahteva po »izrecnem dovoljenju za posredovanje zaupnih podatkov« iz zgoraj citiranih zakonskih določb lahko razlaga smiselno enako, kot to velja za institut »izrecno soglasje«, kot ga opredeljuje Direktiva PSD2 v drugem odstavku 94. člena, v zvezi s katerim so splošno sprejeta stališča Smernice št. 6/2020 o medsebojnem vplivu druge direktive o plačilnih storitvah in Splošne uredbe o varstvu podatkov, ki jih je sprejel EDPB ter točka 69 preambule predloga nove Uredbe PSR? Ali je dopustno zahtevo po izrecnem dovoljenju za posredovanje zaupnih podatkov s strani banke neposredno mestni občini razumeti v smislu zahteve posameznika v okviru izvrševanja pravice do prenosljivosti, kot jo opredeljuje člen 20 Splošne uredbe in v kolikor so izpolnjeni pogoji iz prvega odstavka tega člena? Ali iz določb Splošne uredbe oziroma ZVOP-2 za dva ali več (samostojnih) upravljavcev, med katerimi prihaja do izmenjave ali posredovanja osebnih podatkov, izhaja zahteva, da medsebojne pravice in obveznosti pogodbeno uredijo tako, kot to npr. velja za skupne upravljavce ali upravljavce in njihove obdelovalce?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Zelo verjetno gre za obdelavo osebnih podatkov, ki zahteva predhodno oceno učinka v zvezi z varstvom osebnih podatkov, ki jo izvede upravljavec.

Zaupni podatki v skladu z ZBan-3 in ZPlaSSIED zajemajo tudi osebne podatke, zato mora po mnenju IP privolitev (dovoljenje) za njihovo posredovanje izpolnjevati iste pogoje kot jih za veljavno privolitev predpisuje Splošna uredba. Glede na predstavljene okoliščine predvidene obdelave osebnih podatkov pa bi bila po mnenju IP za posredovanje osebnih podatkov pogodba primernejša pravna podlaga. Privolitev se kot podlaga lahko uporabi za tisti del obdelave osebnih podatkov, ki ni potrebna za izvajanje pogodbe.

Dovoljenje posameznika za posredovanje njegovih osebnih podatkov mestni občini v tem primeru po mnenju IP načeloma verjetno ne predstavlja izvrševanja pravice do prenosljivosti, lahko pa posameznik tudi v taki obliki zahteva prenos podatkov, če želi.

Za urejanje medsebojnih razmerjih med samostojnimi upravljavci, med katerimi prihaja do izmenjave osebnih podatkov, ni posebnih zahtev v smislu pogodbenega urejanja pravic in obveznosti, je pa pomembno, da so razmerja med njimi jasna in da je zagotovljena varnost osebnih podatkov ob prenosu.

Obrazložitev

V zvezi z vašim zaprosilom IP uvodoma ugotavlja, da gre pri projektu mestne kartice za kompleksno obdelavo podatkov, ki je IP v okviru mnenja ne more analizirati, in da gre zelo verjetno za obdelavo osebnih podatkov, ki zahteva predhodno oceno učinka v zvezi z varstvom osebnih podatkov v skladu s 35. členom Splošne uredbe, ki jo izvede upravljavec in v okviru katere analizira vse vidike obdelave s ciljem naslovitve vseh tveganj, povezanih z določeno novo obliko, tehnologijo ali projektom, ki vključuje obdelavo osebnih podatkov. Podrobneje si o oceni učinka lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/. V nadaljevanju podajamo pojasnila s področja varstva osebnih podatkov, ki se navezujejo na vaša vprašanja.

V zaprosilu se sklicujete na določbe Zakona o bančništvu (ZBan-3) in Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED). ZBan-3 v 145. členu opredeljuje zaupne podatke kot podatke, dejstva in okoliščine o posamezni stranki, s katerimi razpolaga banka, ter nadalje v 146. členu opredeljuje dolžnost njihovega varovanja, pri čemer kot eno od izjem navaja primer, če stranka izrecno pisno pristane, da se sporočijo posamezni zaupni podatki. Smiselno enako zaupne podatke, dolžnost varovanja in eno od izjem od dolžnosti varovanja v 240. členu opredeljuje ZPlaSSIED. Kot izjemo od dolžnosti varovanja zaupnih podatkov ZBan-3 v petem odstavku 146. člena navaja, da lahko banka razkrije zaupne podatke tudi, če je to potrebno za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe, ki jo banka sklene v okviru običajne bančne dejavnosti, in če prejemnik zagotovi ustrezno varovanje zaupnosti podatkov, pri čemer lahko banka razkrije le tiste zaupne podatke v zvezi s stranko, ki so nujno potrebni za sklenitev ali izvajanje pogodbe. Smiselno enaka je določba petega odstavka 240. člena ZPlaSSIED.

Ker zaupni podatki v skladu z ZBan-3 in ZPlaSSIED zajemajo tudi osebne podatke, mora po mnenju IP privolitev (dovoljenje) za njihovo posredovanje, torej obdelavo, izpolnjevati iste pogoje kot jih za veljavno privolitev predpisuje Splošna uredba, ki je posameznim nacionalnim zakonom tudi sicer hierarhično nadrejena.

Glede na predstavljene okoliščine predvidene obdelave osebnih podatkov, tj. posredovanja osebnih podatkov strank banke s strani banke mestni občini zaradi zagotavljanja uporabe in pravic iz mestne kartice, bi bila po mnenju IP primernejša pravna podlaga pogodba, ki jo banka sklene s posameznikom. Posredovanje osebnih podatkov mestni občini je po razumevanju IP namreč pogoj za to, da posameznik mestno kartico sploh lahko pridobi. Privolitev se kot podlaga lahko uporabi za tisti del obdelave osebnih podatkov, ki ni potrebna za izvajanje pogodbe. Vsebina z vaše strani omenjenih Smernic št. 6/2020 o medsebojnem vplivu druge direktive o plačilnih storitvah in Splošne uredbe o varstvu podatkov, ki jih je sprejel EDPB, ter točka 69 preambule predloga Uredbe PSR na to stališče IP ne vpliva.

Dodajamo še, da je ne glede na pravno podlago, na kateri bodo osebni podatki posredovani, potrebno zagotoviti, da so ti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Dovoljenje posameznika za posredovanje njegovih osebnih podatkov mestni občini v tem primeru po mnenju IP načeloma verjetno ne predstavlja izvrševanja pravice do prenosljivosti po 20. členu Splošne uredbe, lahko pa posameznik tudi v taki obliki zahteva prenos podatkov, če želi.

Za urejanje medsebojnih razmerij med samostojnimi upravljavci, med katerimi prihaja do izmenjave osebnih podatkov, ni posebnih zahtev (kot je to določeno za skupne upravljavce ter upravljavce in njihove obdelovalce), je pa pomembno, da so razmerja med njimi glede ravnanja z osebnimi podatki jasna, to pomeni, da sta zlasti vnaprej določena nabor podatkov in namen obdelave, in da je zagotovljena varnost osebnih podatkov ob prenosu. Upravljavci lahko to po lastni presoji uredijo s pogodbo, protokoli ali na drugačen način.

Ker IP ni pristojen za urejanje obveznosti glede vzpostavitve tovrstnih sistemov, ki presegajo področje varstva osebnih podatkov, vam predlagamo, da se za pojasnila obrnete tudi na Banko Slovenije in druge pristojne institucije.

Lep pozdrav,

Pripravila

Mojca Leitinger Okršlar, državna nadzornica za varstvo osebnih podatkov

Informacijski pooblaščenec

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka