Pregled stranke po določbah ZPPDFT-2

Datum

08.04.2025

Številka

07121-1/2025/442

Kategorije

Bančništvo, Informiranje posameznika, Pravne podlage, Svetovni splet, Trgovinska dejavnost

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste kot lastnik studia, kjer ročno izdelujete nakit, po Zakonu o preprečevanju pranja denarja in financiranja terorizma zavezani od vaših strank ob prodaji nakita pridobiti njihove osebne podatke. Zanima vas, ali imate glede na določbe zakona torej pooblastilo, da od strank zahtevate njihove osebne podatke. Navajate še, da naj bi vam svetovali, da lahko osebne podatke strank preverite tudi s pomočjo pregleda njihovih družbenih omrežij.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

1.

Za namene, opredeljene v ZPPDFT-2 (npr. za izvedbo pregleda stranke), bi lahko pravno podlago za obdelavo osebnih podatkov praviloma predstavljala točka (c) prvega odstavka 6. člena Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (tu za izpolnitev konkretne zakonske obveznosti zavezancev glede na pogoje iz ZPPDFT-2).

2.

Osebnih podatkov ni dopustno zbirati neomejeno oz. na zalogo oz. na način, da se v vsakem primeru brez, da bi bilo to ustrezno, potrebno in nujno zbira vse podatke, ki jih našteva 150. člen ZPPDFT-2. Obseg zbiranja osebnih podatkov mora biti neposredno utemeljen z zakonsko obveznostjo, ki jo določa ZPPDFT-2, in omejen na najmanjši možni obseg, potreben za izpolnitev konkretnih zakonskih nalog.

3.

Dejstvo, da so določeni osebni podatki posameznika objavljeni na družbenih omrežjih ali drugih javno dostopnih virih, še ne pomeni, da jih je dopustno nadalje obdelovati za poljubne namene.

4.

Vsaka obdelava osebnih podatkov mora temeljiti na prepričanju upravljavca, da ima za obdelavo osebnih podatkov ustrezno pravno podlago ter da obdelavo izvaja na način, ki je skladen z vsemi pravili in načeli varstva osebnih podatkov, kar mora biti zmožen tudi dokazati, sicer podatkov ne sme obdelovati.

5.

Upravljavci osebnih podatkov morajo, še preden jim posamezniki posredujejo svoje osebne podatke (torej najkasneje, ko podatke zahtevate od posameznikov), posameznikom podati informacije o obdelavi osebnih podatkov po 13. členu Splošne uredbe.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov. IP prav tako ni pristojen za podajo pojasnil glede poslovanja in presojo siceršnje ustreznosti ravnanja zavezancev v smislu izvajanja določb Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, 145/22 in 17/25; ZPPDFT-2). V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašimi vprašanji.

Poudarjamo, da mora imeti vsak upravljavec za obdelavo osebnih podatkov ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Upravljavec mora pri tem (ob pogoju, da izkaže ustrezno pravno podlago) upoštevati tudi splošna načela varstva osebnih podatkov iz 5. člena Splošne uredbe, npr. t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki, ki se obdelujejo ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost in odgovornost upravljavca.

V konkretnem primeru, bi za namene opredeljene v ZPPDFT-2, pravno podlago za obdelavo osebnih podatkov praviloma predstavljala točka (c) prvega odstavka 6. člena Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (tu za izpolnitev konkretne zakonske obveznosti zavezancev glede na pogoje iz ZPPDFT-2).

Po določbi podtočke m) 19. točke prvega odstavka 4. člena ZPPDFT-2 morajo ukrepe za odkrivanje in preprečevanje pranja denarja in financiranja terorizma oz. pri sprejemanju, izročitvi, zamenjavi, hrambi, razpolaganju oziroma drugem ravnanju z denarjem ali drugim premoženjem in pri sklepanju poslovnih razmerij izvajati tudi vse pravne in fizične osebe, kadar te opravljajo svoje poslovne ali poklicne dejavnosti v zvezi s prometom plemenitih kovin in dragih kamnov ter izdelkov iz njih. Po 17. členu ZPPDFT-2 morajo zavezanci zaradi odkrivanja ter preprečevanja pranja denarja in financiranja terorizma pri opravljanju svojih dejavnosti izvajati naloge, določene s tem zakonom in predpisi, sprejetimi na njegovi podlagi, med drugim tudi izvajanje ukrepov za poznavanje stranke na način in pod pogoji, ki jih določa ZPPDFT-2 (tu poglavje 3.3. in dalje)

Glede na vaše vprašanje izpostavljamo zlasti določbo 22. člena ZPPDFT-2, znotraj katere je urejena dolžnost zavezancev, da pod pogoji, ki jih določa ta zakon, opravi pregled stranke v naslednjih primerih:

1.

pri sklepanju poslovnega razmerja s stranko;

2.

pri vsaki transakciji v vrednosti 15.000 eurov ali več ne glede na to, ali poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;

3.

pri prirediteljih in koncesionarjih, ki prirejajo igre na srečo, ob izplačilih dobitkov, vplačilu stav ali obojem, kadar gre za transakcije v vrednosti 2.000 eurov ali več, ne glede na to, ali transakcija poteka posamično ali z več transakcijami, ki so med seboj očitno povezane;

4.

pri dvomu o verodostojnosti in ustreznosti predhodno pridobljenih podatkov o stranki ali dejanskem lastniku stranke;

5.

vedno, kadar so v zvezi s transakcijo, stranko, sredstvi ali premoženjem razlogi za sum pranja denarja ali financiranja terorizma, ne glede na vrednost transakcije.

Kadar torej nastopijo okoliščine iz 22. člena ZPPDFT-2 imajo zavezanci dolžnost, da izvedejo t.i. pregled stranke, ki skladno s prvim odstavkom 21. člena ZPPDFT-2 obsega naslednje ukrepe:

1.

ugotavljanje istovetnosti stranke in preverjanje njene istovetnosti na podlagi verodostojnih, neodvisnih in objektivnih virov;

2.

ugotavljanje dejanskega lastnika stranke;

3.

pridobitev podatkov o namenu in predvideni naravi poslovnega razmerja ali transakcije ter drugih podatkov na podlagi tega zakona;

4.

redno skrbno spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu.

Po drugem odstavku istega člena mora zavezanec pri izvajanju ukrepov iz 1. in 2. točke prejšnjega odstavka preveriti, da ima vsaka oseba, ki nastopa v imenu stranke, pravico zastopanja ali pooblastilo te stranke, ter v skladu s tem zakonom ugotovi in preveri istovetnost vsake osebe, ki nastopa v imenu stranke.

Glede na prvi odstavek 19. člena ZPPDFT-2 lahko v primerih, ko zavezanec oceni, da stranka, poslovno razmerje, transakcija, produkt, storitev, distribucijska pot, država ali geografsko območje pomenijo neznatno tveganje za pranje denarja ali financiranje terorizma, izvaja ukrepe poenostavljenega pregleda stranke v skladu z določbami ZPPDFT-2 o poenostavljenem pregledu stranke (62. in 63. člen). V primerih povečanega tveganja pa tako nasprotno izvede ukrepe poglobljenega pregleda stranke po določbah 64.do 70. člena ZPPDFT-2

Nadalje skladno s četrtim odstavkom 21. člena ZPPDFT-2 zavezanec izvaja vse ukrepe pregleda stranke iz prvega in drugega odstavka tega člena, pri čemer obseg izvajanja ukrepov določi ob upoštevanju tveganja pranja denarja in financiranja terorizma. Zavezanec glede na peti odstavek tega člena pri določanju obsega izvajanja ukrepov upošteva vsaj namen sklenitve in naravo poslovnega razmerja; višino sredstev, vrednost premoženja ali obseg transakcij; čas trajanja poslovnega razmerja in skladnost poslovanja z namenom sklenitve poslovnega razmerja. Šesti odstavek tega člena dodatno določa, da zavezanec navedene postopke izvajanja ukrepov in način določanja obsega njihovega izvajanja opredeli v svojih notranjih aktih.

Upoštevaje navedeno poudarjamo, da vam IP ne more odgovoriti na vprašanje, ali in kakšnem konkretnem obsegu morate kot zavezanec po ZPPDFT-2 pridobiti osebne podatke stranke ob vzpostavitvi poslovnega razmerja. To je namreč odvisno od narave posameznega poslovnega razmerja, vrste posla ter drugih okoliščin konkretnega primera – na primer, ali izvajate poenostavljen ali poglobljen pregled stranke oziroma ali obstajajo izjeme od dolžnosti pregleda itd.

Vsekakor velja, da osebnih podatkov ni dopustno zbirati neomejeno oz. na zalogo oz. na način, da se v vsakem primeru brez, da bi bilo to ustrezno, potrebno in nujno zbira vse podatke, ki jih našteva 150. člen ZPPDFT-2. Obseg zbiranja osebnih podatkov mora biti neposredno utemeljen z zakonsko obveznostjo, ki jo določa ZPPDFT-2, in omejen na najmanjši možni obseg, potreben za izpolnitev konkretnih zakonskih nalog.

IP v zvezi s tem opozarja,

da je treba vsakršno obdelavo osebnih podatkov za namen ugotavljanja in preverjanja istovetnosti strank prek odprtih virov, kot so družbena omrežja, presojati z vidika načela zakonitosti (tj. obstoja ustrezne pravne podlage za takšno ravnanje) in načela najmanjšega obsega podatkov (tj. sorazmernosti). Sodišče EU je v sodbi C-446/21 izrecno poudarilo, da načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe od upravljavcev zahteva, da zbirajo le tiste osebne podatke, ki so nujno potrebni glede na konkretne namene obdelave (točka 59), in da tudi obseg ter časovno trajanje obdelave ne sme preseči tega, kar je nujno in sam cilj predvidene obdelave (točki 52 in 55).

Dejstvo, da so določeni osebni podatki posameznika objavljeni na družbenih omrežjih ali drugih javno dostopnih virih, še ne pomeni, da jih je dopustno nadalje obdelovati za poljubne namene. Sodišče EU je namreč izrecno opozorilo, da mora tudi obdelava osebnih podatkov, ki so bili pridobljeni iz javnih virov ali objavljeni s strani posameznika, vedno potekati ob upoštevanju načela najmanjšega obsega in obstoja ustrezne pravne podlage iz 6. člena Splošne uredbe (točke 46, 49, 60, 84). Nadalje je posebej poudarilo, da splošna dostopnost ali javna objava podatka še ne pomeni avtomatične dopustnosti njegove obdelave za druge namene (točka 80), in da mora biti takšna obdelava posebej utemeljena, zlasti kadar posega v občutljive vidike zasebnosti posameznika.

Na vprašanje, katere točno so vaše obveznosti kot zavezanec po ZPPDFT-2, vam IP ne more odgovoriti, saj za to nima zadostnih informacij, niti ni pristojen za razlago obveznosti po ZPPDFT-2. IP se skladno z načelom zakonitosti ne sme niti ne more opredeljevati do zadev, za katere ni pristojen. Za pomoč pri razumevanju vaših zakonskih obveznosti po ZPPDFT-2 se lahko obrnete na Urad za preprečevanje pranja denarja oz. na pristojno ministrstvo (Ministrstvo za finance).

Pri tem pa gre poudariti, da mora vsaka obdelava osebnih podatkov temeljiti na prepričanju upravljavca, da ima za obdelavo osebnih podatkov ustrezno pravno podlago ter da obdelavo izvaja na način, ki je skladen z vsemi pravili in načeli varstva osebnih podatkov (npr. načelom omejitve namena, načelom najmanjšega obsega osebnih podatkov itd.), kar mora biti zmožen tudi dokazati (drugi odstavek 5. člena Splošne uredbe). V nasprotnem primeru osebnih podatkov ne sme obdelovati.

Z vidika obdelave osebnih podatkov velja na koncu še opozoriti, da morajo upravljavci, še preden jim posamezniki posredujejo svoje osebne podatke (torej najkasneje, ko podatke zahtevate od posameznikov), podati nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe in sicer v jedrnati, pregledni, razumljivi in lahko dostopni obliki. Tako morajo npr. podati informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, možnosti pritožbe na IP itd.

Sklepno torej velja, da mora presojo glede obsega osebnih podatkov, ki jih lahko oz. mora upravljavec pridobiti od stranke zato, da izpolni svoje zakonske obveznosti, sprejeti upravljavec osebnih podatkov, ki za svoje ravnanje tudi odgovarja. IP bi presojo zakonitosti obdelave osebnih podatkov v konkretnem primeru lahko presojal zgolj v okviru inšpekcijskega oz. drugega upravnega postopka in ne v okviru nezavezujočih mnenj.

V upanju, da smo vam vseeno bili v pomoč, vas lepo pozdravljamo.

Pripravil

Grega Rudolf, mag.

svetovalec pooblaščenca za mednarodne odnose

Dr. Jelena Virant Burnik

informacijska pooblaščenka