Prenos baze naročnikov storitev kupcu

Datum

19.03.2026

Številka

07121-1/2026/259

Kategorije

Bančništvo, Informiranje posameznika, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede kopiranja osebnega dokumenta in bančne kartice.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1, 10/26 – ZP-1L; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru neobvezujočega mnenja ne more presojati zakonitosti obdelav osebnih podatkov, ki jih navajate v vašem zaprosilu za mnenje, niti njihove skladnosti s temeljnimi načeli varstva osebnih podatkov.

Zakonodajalec je v specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero.

Drugi odstavek 94. člena ZVOP-2 lahko predstavlja pravno podlago za kopiranje in druge oblike obdelave (npr. hrambo) osebnih podatkov iz uradnih identifikacijskih dokumentov v povezavi z ustreznim področnim predpisom, ki v tem primeru določa naloge upravljavca, ki zahtevajo tovrstno obdelavo osebnih podatkov.

Konkretni upravljavec bi vam moral podati vse pomembne informacije o obdelavi vaših osebnih podatkov iz 13. člena Splošne uredbe, kar vključuje tudi pojasnila o pravnih podlagah in namenih za obdelavo vaših osebnih podatkov oziroma dokumentov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP splošno pojasnjuje, da Splošna uredba v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP nadalje pojasnjuje, da kopiranje osebne izkaznice podrobneje ureja Zakon o osebni izkaznici (Uradni list RS, št. 35/11, 41/21, 199/21, 17/25; v nadaljevanju: ZOIzk-1), ki v 4. členu določa, da smejo upravljavci zbirk osebnih podatkov osebne izkaznice kopirati samo v primerih, ki jih določa zakon. Izjemoma je kopiranje osebne izkaznice dopustno že na podlagi določb ZOIzk-1 brez izrecne podlage v drugem področnem zakonu. Tako lahko osebno izkaznico poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana. Pojma finančna družba in finančna storitev po tem zakonu imata enak pomen kot v zakonu, ki ureja bančništvo (ZBan-4; Uradni list RS, št. 15/26). Osebno izkaznico je za vnaprej določene namene dovoljeno kopirati tudi na podlagi pisne privolitve imetnika osebne izkaznice.

IP ob tem opozarja tudi na določbe Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, 145/22, 17/25, 56/25; v nadaljevanju: ZPPDFT-2). Ta v 141. členu namreč določa hrambo kopij uradnih osebnih dokumentov v digitalni obliki. Zavezanci kopije hranijo najdlje pet let od njihove pridobitve in za hrambo teh kopij zagotovijo njihovo varovanje z organizacijskimi, tehničnimi ter logično-tehničnimi postopki in ukrepi skladno z zakonom, ki ureja varstvo osebnih podatkov. Ob tem IP opozarja, da gre v navedenem primeru torej samo za hrambo kopij uradnih osebnih dokumentov v digitalni obliki, ki so jih zavezanci pridobili na podlagi ZPPDFT-2 v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah ZPPDFT-2 in ne na drugi pravni podlagi.

Iz povzetih zakonskih določb izhajajo stroge omejitve uporabe osebne izkaznice. Prvenstveno je za namen ugotavljanja istovetnosti predviden le vpogled (oziroma po potrebi tudi prepis), kopiranje pa le ob strožjih pogojih, pri čemer je izrecno prepovedano nadaljnje kopiranje kopije osebne izkaznice, ob kopiranju osebne izkaznice pa je treba z ustrezno oznako na kopiji zagotoviti, da se kopija osebne izkaznice ne bo uporabljala za druge namene.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 94. člena določa, da smejo upravljavec, obdelovalec ali uporabnik za namen identifikacije posameznika, ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov, vpogledati v njegove uradne identifikacijske dokumente. Drugi odstavek istega člena določa, da sme upravljavec, ki izvaja z zakonom predpisano nalogo, za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov. IP ob tem pojasnjuje, da drugi odstavek 94. člena ZVOP-2 lahko torej predstavlja pravno podlago za kopiranje in druge oblike obdelave (npr. hrambo) osebnih podatkov iz uradnih identifikacijskih dokumentov v povezavi z ustreznim področnim predpisom, ki v tem primeru določa naloge upravljavca, ki zahtevajo tovrstno obdelavo osebnih podatkov. Omenjena določba drugega odstavka 94. člena ZVOP-2 tako za primere, ko upravljavec izvaja z zakonom predpisano nalogo, širi dopustne oblike obdelave (vseh) osebnih podatkov iz uradnih identifikacijskih dokumentov za namene identifikacije tudi na prepisovanje, kopiranje ali (vse) druge oblike obdelave, s čimer dopolnjuje in širi določbe 4. člena ZOIzk‑1, ki opredeljuje pogoje dopustnosti kopiranja osebnih izkaznic. Slednji namreč določa, da smejo osebne izkaznice kopirati upravljavci zbirk osebnih podatkov samo v primerih, ki jih določa zakon, in 94. člen ZVOP‑2 je v tem smislu tak predpis. Hkrati pa v primeru kopiranja osebne izkaznice še vedno veljajo določbe glede obveznih ukrepov za preprečevanje zlorab iz 4. člena ZOIzk‑1 (glede ustreznega označevanja na kopiji in izdaje potrdil o kopiji).

Upoštevati je treba, da osebna izkaznica oziroma njena kopija vsebuje posnetek obraza posameznika, ki ima že biometrične značilnosti. Zaradi nevarnosti zlorab in kraj identitete pa je treba pri vsaki odločitvi o morebitnem zbiranju biometričnih podatkov ravnati izjemno previdno, kar je tudi eden od razlogov, da je zakonodajalec v omenjenih specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero. IP tako povzema, da torej ne obstaja absolutna prepoved kopiranja osebnih dokumentov, je pa kopiranje strogo urejeno v področni zakonodaji.

Dopustnost kopiranja bančnih kartic ni izrecno zakonsko urejena, kljub temu pa velja, da mora imeti za obdelavo teh osebnih podatkov upravljavec ustrezno pravno podlago. V obravnavanem primeru bi morda prišla v poštev točka (b) prvega odstavka 6. člena Splošne uredbe (obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe), eventualno pa lahko še katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe. V vsakem primeru pa mora upravljavec spoštovati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V tem kontekstu bi moral upravljavec v konkretnem primeru utemeljiti, zakaj ne zadostuje zgolj navedba banke in številka računa, temveč je potrebna tudi kopija celotne bančne kartice.

IP izpostavlja tudi določbo (e) točke prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo, le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo; daljše obdobje se lahko hranijo le, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Kopija osebnega dokumenta oziroma bančne kartice se torej lahko hrani le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega se je pridobila.

IP poudarja, da mora upravljavec posamezniku ob pridobitvi njegovih osebnih podatkov podati tudi nekatere informacije o obdelavi osebnih podatkov iz 13. člena Splošne uredbe, npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu osebne podatke posreduje, koliko časa se bodo osebni podatki hranili itd. Konkretni upravljavec bi vam moral torej podati vse pomembne informacije o obdelavi vaših osebnih podatkov iz 13. člena Splošne uredbe, kar vključuje tudi pojasnila o pravnih podlagah in namenih za obdelavo osebnih podatkov oziroma dokumentov. Več informacij o obveščanju posameznikov o obdelavi osebnih podatkov je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/obve%C5%A1%C4%8Danje-posameznikov-o-obdelavi-osebnih-podatkov

IP povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec. Prav tako mora upravljavec poskrbeti za ustrezno zavarovanje osebnih podatkov v skladu s 24. in 32. členom Splošne uredbe in jih obdelovati v skladu s temeljnimi načeli varstva osebnih podatkov.

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, ki nosi tudi odgovornost za tovrstno opravljeno presojo.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka