Razkritje bančnih podatkov staršem mladoletnega komitenta

Datum

14.01.2025

Številka

07121-1/2024/1624

Kategorije

Bančništvo, Pravne podlage, Pridobivanje OP iz zbirk

Pri Informacijskem pooblaščencu (IP) smo dne 27. 12. 2024 prejeli vaše zaprosilo za mnenje o tem, (1) ali lahko (v okviru izvajanja starševske skrbi) starši mladoletnega bančnega komitenta, ki je star 16 let, pridobijo podatke o transakcijah na bančnem računu in (2) ali izjema iz 20. člena ZVOP-2 pride v poštev. Komitent je bančni račun odprl samostojno. Zanima vas tudi, (3) ali je treba komitenta obvestiti o razkritju podatkov njegovim staršem ter, (4) ali je treba prikriti osebne podatke tretjih oseb. Dodatno ste nas zaprosili za mnenje, (5) ali bi bilo treba zahtevo zavrniti s sklicevanjem na bančno tajnost.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Splošne uredbe (EU) o varstvu podatkov (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji. Pojasnjujemo še, da se IP lahko dokončno opredeljuje do konkretnih primerov obdelav osebnih podatkov le v nadzornih postopkih.

1.Po mnenju IP se lahko starši starejšega mladoletnika (tj. od dopolnjenega 15 leta do polnoletnosti) kot komitenta, ki je samostojno sklenil bančni posel, seznanijo z bančnimi podatki, vezanimi na sklenjen bančni posel, le po volji otroka - tj. na podlagi njegove veljavne privolitve ali pooblastila. Ni izključena tudi posebna zakonska podlaga, ki pa nam v tem trenutku, glede na omejeno prestavljene okoliščine primera, ni znana.

2.V zgornjem primeru omejitev iz 20. člena ZVOP-2 ni relevantna.

3.O izvedenem razkritju oziroma posredovanju osebnih podatkov določenim uporabnikom se komitenta obvešča le na njegovo zahtevo.

4.V primeru polnega pooblastila, načeloma ni ovir za dostop do osebnih podatkov tretjih oseb. Obseg seznanitve s strani staršev je odvisen od volje otroka in od pravil, ki jih v skladu z načelom najmanjšega obsega podatkov ter varstva bančne zaupnosti določi banka.

5.Bistven razlog za zavrnitev dostopa v točki 1 je, da zanj ni zakonske podlage v smislu 6. člena Splošne uredbe. Sklicevanje na bančno zaupnost iz 146. člena ZBan-3 v konkretnem primeru zato ni nujno, lahko pa je komplementarni razlog za zavrnitev dostopa staršem.

Obrazložitev:

Splošna uredba, ZVOP-2 in bančna zakonodaja, za razliko od zdravstva in šolstva, ne določa posebnih pravil glede starostne meje pri uveljavljanju pravic s področja varstva osebnih podatkov in razmerja med starši ter starejšimi mladoletniki. Zato se uporablja splošna ureditev iz Družinskega zakonika (DZ), ki v prvem odstavku 146. člena otrokom, ki so dopolnili 15 let priznava pravico, da sami sklepajo pravne posle, razen če zakon ne določa drugače. Sam DZ v drugem odstavku istega člena določa omejitev, po kateri je za sklepanje poslov, ki bistveno vplivajo na otrokovo življenje pred polnoletnostjo ali po njej, potrebno dovoljenje staršev. Zato lahko po mnenju IP otrok z dopolnjenim 15. letom starosti samostojno odloča o nekaterih pomembnih vidikih obdelave osebnih podatkov (npr. poda privolitev za obdelavo, uveljavlja pravico do seznanitve, pravico do izbrisa in pravico do popravka, poda prepoved obdelave, če tako omogoča zakon ipd.), starši pa v takem primeru ne morejo več brez volje otroka uveljavljati njegovih pravic kot zakoniti zastopniki. Podobno velja v zdravstvu in šolstvu, seveda pod določenimi pogoji oziroma z izjemami. Nelogično bi bilo tudi, da bi komitent samostojno sklenil pravni posel z banko (odprtje računa), ne bi pa mogel samostojno in z izključno pravico uveljavljati pravic iz 15. do 22. člena Splošne uredbe. Starši v zvezi z otrokovim pogodbenim razmerjem ne morejo uveljavljati pravice do seznanitve, ki izvira iz starševske skrbi, saj za njeno izvrševanje ti podatki ne morejo biti nujno potrebni in niti posredno ne izvirajo iz izvrševanja starševske skrbi, ker je mladoletnik pri sklenitvi in izvrševanju pogodbenega razmerja nastopal samostojno.

To mnenje se nanaša le na predstavljeni primer. Ni namreč izključeno, da starejši mladoletnik določenih bančnih poslov ne more sklepati samostojno – če gre za posle, ki bistveno vplivajo na njegovo življenje pred in po polnoletnosti, na primer poroštva, krediti, večji posli z vrednostnimi papirji, zavarovanja obveznosti, garancije itd. V takih primerih po mnenju IP lahko starši izvršujejo pravico do seznanitve do pridobitve otrokove popolne poslovne sposobnosti.

Ker lahko starejši mladoletni komitent pooblasti drugo osebo za uporabo bančnega računa (in s tem za dostop do podatkov) ali izven pooblastila poda privolitev za dostop do osebnih podatkov, je to praviloma (možni so posebni primeri, ko je dostop dopusten) edina možnost za seznanitev z njegovimi bančnimi podatki s strani staršev. Ni pa izključeno, da banka samostojno v okviru zakonodaje določi posebna pravila in omejitve pri urejanju teh razmerij, zlasti ob upoštevanju načela najmanjšega obsega podatkov iz 5. člena Splošne uredbe.

I.

Omejitev pravic zakonitih zastopnikov iz 20. člena ZVOP-2 se sicer lahko uporablja tudi za bančne podatke, vendar je v zvezi s podatki o prometu na bančnem računu ta omejitev relevantna le za mlajše mladoletnike in za poslovno popolnoma nesposobne starejše mladoletnike, ki osnovnega posla niso sklenili samostojno.

II.

Vsak komitent mora biti s strani banke že vnaprej proaktivno obveščen o zunanjih uporabnikih osebnih podatkov (13. in 14. člen Splošne uredbe), toda to obveščanje je splošno, ker ni nujno, da so navedeni vsi točno določeni torej konkretni uporabniki in ker ni nujno, da bodo predvideni uporabniki tudi res pridobili osebne podatke. Po 15. členu Splošne uredbe (c točka prvega odstavka) je komitent upravičen tudi do informacije o konkretnih dejanskih uporabnikih (zakonitih ali nezakonitih), vendar se ta pravica uveljavlja na zahtevo komitenta.

III.

Če je druga oseba pooblaščena za uporabo bančnega računa, lahko izvršuje polni dostop do vseh bančnih podatkov pooblastitelja. Seveda je obseg dostopa lahko tudi omejen oziroma je lahko odvisen od širine pooblastila – ta pa je odvisen od politike banke (npr. ta se lahko odloči, da komitentom omogoča le realizacijo polnih pooblastil) ter volje pooblastitelja. Pri tem je treba upoštevati, da so tudi osebni podatki tretjih oseb (npr. plačnik, prejemnik plačila, porok), hkrati osebni podatki komitenta. Vendar to ne pomeni, da banka ne more na določen način omejiti obsega uporabniških pravic, na primer določiti omejitev glede dostopa do bančnih podatkov, ki nimajo neposredne zveze z bančnim računom ali niso nujno potrebni za njegovo uporabo, omejitev dostopa do podatkov za čas pred pooblastitvijo.

IV.

Bistven razlog zavrnitve zahteve staršev iz 1. točke je v tem, da ni pravne podlage za dostop do osebnih (bančnih) podatkov otroka kot komitenta. To velja ne glede na to, ali so bančni podatki po 146. členu ZBan-3 bančna »tajnost« oziroma, ali so razglašeni kot zaupni. Z vidika sistema varstva osebnih podatkov je zahteva po varovanju bančnih podatkov iz 146. člena ZBan-3 zgolj ponovitev pravila o prepovedi razkritja osebnih podatkov, če za razkritje ni pravne podlage v zakonu ali v volji posameznika (prim. na primer 1. točko tretjega odstavka 146. člena ZBan-3 in a. točko prvega odstavka 6. člena Splošne uredbe). Ima pa 146. člen ZBan-3 tudi širše implikacije, ki za konkretni primer niso relevantne - nanaša se namreč tudi na pravne osebe, določa nekaj posebnih podlag za posredovanje osebnih podatkov in predstavlja zahtevo po varovanju t.i. poklicne skrivnosti, kar ima določene posledice na drugih pravnih področjih (npr. na področju kazenskega prava).

Lepo pozdravljeni,

Pripravil:

dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

dr. Jelena Virant Burnik, informacijska pooblaščenka