Zahteva banke za posredovanje datuma rojstva plačnika računa

Datum

23.07.2024

Številka

07121-1/2024/847

Kategorije

Bančništvo, Informiranje posameznika, Posredovanje osebnih podatkov, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da banka na podlagi Zakona o preprečevanju pranja denarja in financiranja terorizma ter internih aktov od vas zahteva, da za nedavni priliv na vaš poslovni račun v višini pod 100,00 EUR za opravljeno storitev za stranko, ki ima naslov bivanja v Avstriji, pridobite podatek o datumu rojstva plačnika računa, saj naj bi bili naključno izbrani za preverjanje tega priliva. Uslužbenka banke vas je opozorila, da sredstva ne bodo sproščena, če ji zahtevanega podatka ne boste posredovali. Izpostavljate, da Zakon o preprečevanju pranja denarja in financiranja terorizma v 23. členu sicer določa, da lahko banka naključno preveri prilive komitenta, pri čemer pa se tako preverjanje opravi le pri zneskih, višjih od 1.000 EUR. Prosite za naše stališče.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Banka razpolaga z ustrezno pravno podlago za obdelavo osebnih podatkov v skladu s točko c prvega odstavka 6. člena Splošne uredbe, če osebne podatke obdeluje v okviru namenov, ki jih določa ZPPDFT-2, pri čemer je posameznikom dolžna ob pridobivanju njihovih osebnih podatkov zagotoviti ustrezne, zadostne in pregledne informacije v skladu s 13. členom Splošne uredbe.

Posamezniki imajo na podlagi 15. člena Splošne uredbe pravico do dostopa do lastnih osebnih podatkov.

IP za presojo siceršnje ustreznosti ravnanja zavezancev v smislu izvajanja določb ZPPDFT-2 ni pristojen.

Obrazložitev:

Vsak upravljavec mora imeti za obdelavo osebnih podatkov, torej tudi za njihovo pridobivanje, zakonito in ustrezno pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Po 6. členu Splošne uredbe so pravne podlage za obdelavo »običajnih« osebnih podatkov (tistih, ki niso posebne vrste ali v zvezi s kazenskimi obsodbami in prekrški), na kratko:

-privolitev (točka a),

-sklenitev ali izvajanje pogodbe (točka b),

-zakonska obveznost (točka c),

-zaščita življenjskih interesov posameznika (točka d),

-opravljanje naloge v javnem interesu ali izvajanje javne oblasti (točka e),

-zakoniti interesi upravljavca, ki ne prevladajo nad interesi in pravicami posameznika (točka f).

Področje delovanja bank je močno regulirano, zato je prevladujoča pravna podlaga za obdelavo osebnih podatkov v tem kontekstu točka c prvega odstavka 6. člena Splošne uredbe, torej podlaga v zakonu v povezavi s področnimi predpisi.

Zakon o preprečevanju pranja denarja in financiranja terorizma (v nadaljevanju ZPPDFT-2; Uradni list RS, št. 48/22 in 145/22) določa, da med zavezance za izvajanje ukrepov za odkrivanje in preprečevanje pranja denarja in financiranja terorizma, določene v tem zakonu, pred oziroma pri sprejemanju, izročitvi, zamenjavi, hrambi, razpolaganju oziroma drugem ravnanju z denarjem ali drugim premoženjem in pri sklepanju poslovnih razmerij spadajo tudi banke. Zaradi odkrivanja ter preprečevanja pranja denarja in financiranja terorizma zavezanci pri opravljanju svojih dejavnosti izvajajo predpisane naloge, vključno z vzpostavitvijo politik, kontrol in postopkov za učinkovito ublažitev in obvladovanje tveganj pranja denarja in financiranja terorizma ter izvajanjem ukrepov za poznavanje stranke (pregled stranke).

Kot ste navedli, vam je banka pojasnila, da zahteva za posredovanje podatka o datumu rojstva plačnika računa, ki ste ga izdali za opravljeno storitev, temelji na določbah ZPPDFT-2 in internih aktov, namen te zahteve pa je v naključnem preverjanju priliva na vaš poslovni račun. Glede na to se zdi, da podlaga za zahtevo banke ni v 23. členu ZPPDFT-2, ki ga omenjate, saj upoštevaje dejstvo, da imate pri banki odprt poslovni račun, ni šlo za občasno transakcijo (to je namreč transakcija, ki jo izvaja stranka, ki z zavezancem nima sklenjenega poslovnega razmerja). Vendar pa je le banka tista, ki natančno ve, na kakšni drugi od možnih pravnih podlag je izvajala ukrep spremljanja vaših aktivnosti in pridobivanja podatkov.

IP v zvezi s tem pojasnjuje, da ni pristojen za presojo siceršnje ustreznosti ravnanja zavezancev v smislu izvajanja določb ZPPDFT-2, bi pa ustreznost obdelave osebnih podatkov lahko presojal v okviru konkretnega nadzornega postopka, če bi za to, da banka krši varstvo osebnih podatkov, obstajal utemeljen sum. Ker ZPPDFT-2 obsega osebnih podatkov za vse primere ne definira povsem določno, se vsak zavezanec glede konkretnega nabora podatkov, ki ga za namen izpolnjevanja zakonskih zahtev pridobiva od posameznikov, odloči sam na podlagi okoliščin in potreb lastnega poslovanja ter morebitnih odredb regulatornih organov, pri čemer mora paziti, da je vsak podatek ustrezen, relevanten in omejen na to, kar je potrebno za doseganje namena, za katerega ga obdeluje. Pogoji, pod katerimi mora banka izvajati pregled stranke in njenih aktivnosti, ter ukrepi, ki jih mora v okviru tega izvajati in upoštevati, so sicer določeni v zakonu, vendar pa mora banka podrobnosti in postopke urediti še z notranjimi akti. Poleg ukrepa pregleda stranke je predvideno tudi, da banka pripravi seznam indikatorjev za prepoznavanje strank in transakcij, v zvezi s katerimi obstajajo razlogi za sum pranja denarja ali financiranja terorizma. Zato zgolj na podlagi vašega opisa situacije in v okviru mnenja IP zakonitosti obdelave osebnih podatkov ne more presojati, je pa dolžnost banke, da je zmožna to zakonitost dokazati (drugi odstavek 5. člena Splošne uredbe).

Banka je kot vsak upravljavec dolžna posameznikom ob pridobivanju njihovih osebnih podatkov zagotoviti ustrezne, zadostne in pregledne informacije v skladu s 13. členom Splošne uredbe. Slednji v prvem odstavku določa, da mora upravljavec med drugim zagotoviti naslednje informacije: identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.

Če banka posameznikom, od katerih pridobiva osebne podatke, informacij v zvezi z obdelavo njihovih osebnih podatkov ne nudi, to lahko predstavlja kršitev Splošne uredbe, zaradi česar pri IP lahko podate prijavo kršitve varstva osebnih podatkov. Sicer pa ima vsak posameznik po 15. členu Splošne uredbe pravico od upravljavca zahtevati dostop do svojih osebnih podatkov ter določene informacije v zvezi z obdelavo. Več informacij o tej pravici je dostopnih na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/seznanitev-z-lastnimi-osebnimi-podatki ter https://tiodlocas.si/kako-uveljavim-svoje-pravice/.

Za konec IP dodaja, da je na podobna vprašanja odgovarjal že v več mnenjih, ki so objavljena na spletni strani IP https://www.ip-rs.si/mnenja-zvop-2/. Pri iskanju si lahko pomagate z izbiro kategorije (»Bančništvo«) in ključnimi besedami.

Lepo vas pozdravljamo,

Pripravila:

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

dr. Jelena Virant Burnik, informacijska pooblaščenka