Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave vaših osebnih podatkov.
2. september 2024
Datum: 16.08.2024
Številka: 07121-1/2024/935
Kategorije: Bančništvo, Informiranje posameznika
Številka: 07121-1/2024/935
Kategorije: Bančništvo, Informiranje posameznika
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave vaših osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Zakonodajalec je v specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero.
Skladno z določbo sedmega odstavka 4.a člena ZPLD-1 je kopijo potne listine prepovedano hraniti v elektronski obliki. Za osebne izkaznice tovrstna prepoved ne velja, zato sta njeno skeniranje in hramba v elektronski obliki pod določenimi pogoji dopustna.
Konkretni upravljavec bi vam moral podati vse pomembne informacije o obdelavi vaših osebnih podatkov iz 13. člena Splošne uredbe, kar vključuje tudi pojasnila o pravnih podlagah in namenih za obdelavo vaših osebnih podatkov oziroma dokumentov.
O b r a z l o ž i t e v:
P uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.
IP splošno pojasnjuje, da Splošna uredba v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
IP pojasnjuje, da ZVOP-2 v prvem odstavku 94. člena določa, da smejo upravljavec, obdelovalec ali uporabnik za namen identifikacije posameznika, ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov, vpogledati v njegove uradne identifikacijske dokumente. Drugi odstavek istega člena določa, da sme upravljavec, ki izvaja z zakonom predpisano nalogo, za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov. IP ob tem pojasnjuje, da drugi odstavek 94. člena ZVOP-2 lahko torej predstavlja pravno podlago za kopiranje in druge oblike obdelave (npr. hrambo) osebnih podatkov iz uradnih identifikacijskih dokumentov v povezavi z ustreznim področnim predpisom, ki v tem primeru določa naloge upravljavca, ki zahtevajo tovrstno obdelavo osebnih podatkov (in ne samega kopiranja ali drugih oblik obdelave osebnih podatkov).
IP nadalje pojasnjuje, da kopiranje osebne izkaznice podrobneje ureja Zakon o osebni izkaznici (Uradni list RS, št. 35/11, 41/21, 199/21; v nadaljevanju: ZOIzk-1), ki v 4. členu določa, da smejo upravljavci zbirk osebnih podatkov osebne izkaznice kopirati samo v primerih, ki jih določa zakon (v takšnih primerih torej ni treba dodatno pridobiti še privolitve imetnika osebne izkaznice). Izjemoma je kopiranje osebne izkaznice dopustno že na podlagi določb ZOIzk-1 brez izrecne podlage v drugem področnem zakonu. Tako lahko osebno izkaznico poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana. Pojma finančna družba in finančna storitev po tem zakonu imata enak pomen kot v zakonu, ki ureja bančništvo (ZBan-3; Uradni list RS, št. 92/21, 123/21 – ZBNIP). Osebno izkaznico je za vnaprej določene namene dovoljeno kopirati tudi na podlagi pisne privolitve imetnika osebne izkaznice.
Iz povzetih zakonskih določb izhajajo stroge omejitve uporabe osebne izkaznice. Prvenstveno je za namen ugotavljanja istovetnosti predviden le vpogled (oziroma po potrebi tudi prepis), kopiranje pa le ob strožjih pogojih, pri čemer je izrecno prepovedano nadaljnje kopiranje kopije osebne izkaznice, ob kopiranju osebne izkaznice pa je treba z ustrezno oznako na kopiji zagotoviti, da se kopija osebne izkaznice ne bo uporabljala za druge namene.
Podobno tudi Zakon o potnih listinah (Uradni list RS, št. 29/11 – UPB; v nadaljevanju: ZPLD-1) v 4.a členu določa, da smejo potne listine kopirati upravljavci zbirk osebnih podatkov samo v primerih, ki jih določa zakon. Potno listino v skladu z drugim odstavkom navedenega člena lahko poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana v konkretnem postopku. V skladu s tretjim odstavkom pa je potno listino za vnaprej določene namene dovoljeno kopirati tudi na podlagi pisne privolitve imetnika potne listine. V primerih, ki niso opisani v drugem in tretjem odstavku 4.a člena, je za ugotavljanje istovetnosti, državljanstva oziroma kontrolo točnosti podatkov, dopusten vpogled v potno listino imetnika; kadar je to potrebno, pa tudi prepis osebnih podatkov z nje. Ob kopiranju potne listine je treba z ustrezno oznako na kopiji zagotoviti, da se kopija potne listine ne bo uporabljala za druge namene. Prepovedano je nadaljnje kopiranje kopije. Skladno z določbo sedmega odstavka 4.a člena ZPLD-1 je kopijo potne listine prepovedano hraniti v elektronski obliki. ZPLD-1 torej prepoveduje kopiranje z uporabo skenerjev in podobnih naprav, ki kopijo zapišejo v elektronski obliki in jo shranijo na elektronski medij. Za osebne izkaznice tovrstna prepoved ne velja, zato sta njeno skeniranje in hramba v elektronski obliki pod določenimi pogoji dopustna.
IP ob tem opozarja tudi na določbe Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, 145/22; v nadaljevanju: ZPPDFT-2). Ta v 141. členu namreč določa hrambo kopij uradnih osebnih dokumentov v digitalni obliki. Zavezanci kopije hranijo najdlje pet let od njihove pridobitve in za hrambo teh kopij zagotovijo njihovo varovanje z organizacijskimi, tehničnimi ter logično-tehničnimi postopki in ukrepi skladno z zakonom, ki ureja varstvo osebnih podatkov. Ob tem IP opozarja, da gre v navedenem primeru torej samo za hrambo kopij uradnih osebnih dokumentov v digitalni obliki, ki so jih zavezanci pridobili na podlagi ZPPDFT-2 v okviru izvajanja ukrepov ugotavljanja in preverjanja istovetnosti stranke po določbah ZPPDFT-2 in ne na drugi pravni podlagi.
Upoštevati je treba, da osebna izkaznica in potni list oziroma njuna kopija vsebuje posnetek obraza posameznika, ki ima že biometrične značilnosti. Zaradi nevarnosti zlorab in kraj identitete pa je treba pri vsaki odločitvi o morebitnem zbiranju biometričnih podatkov ravnati izjemno previdno, kar je tudi eden od razlogov, da je zakonodajalec v omenjenih specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero. IP tako povzema, da torej ne obstaja absolutna prepoved kopiranja osebnih dokumentov, je pa kopiranje strogo urejeno v področni zakonodaji.
IP splošno opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V vsakem konkretnem primeru bi bilo treba torej izkazati (to je obveznost upravljavca), zakaj je za dosego želenega namena treba hraniti kopijo osebnega dokumenta oziroma zakaj istega namena ni mogoče doseči z vpogledom v dokument ali prepisom podatkov z njega.
IP izpostavlja tudi določbo (e) točke prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo, le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo; daljše obdobje se lahko hranijo le, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Kopija osebnega dokumenta se torej lahko hrani le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega se je pridobila.
IP poudarja, da mora upravljavec posamezniku ob pridobitvi njegovih osebnih podatkov podati tudi nekatere informacije o obdelavi osebnih podatkov iz 13. člena Splošne uredbe, npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu osebne podatke posreduje, koliko časa se bodo osebni podatki hranili itd. Konkretni upravljavec (banka,), ki želi pridobiti kopijo vašega osebnega dokumenta, bi vam moral torej podati vse pomembne informacije o obdelavi vaših osebnih podatkov iz 13. člena Splošne uredbe, kar vključuje tudi pojasnila o pravnih podlagah in namenih za obdelavo vaših osebnih podatkov oziroma dokumentov. IP vam zato svetuje, da se v vsakem posameznem primeru obrnete na konkretnega upravljavca, ki vam je dolžan pojasniti vse potrebne informacije o obdelavi vaših osebnih podatkov (v konkretnem primeru kopiranju in hrambi dokumenta). IP tako ne more podati konkretnega odgovora na vaše vprašanje glede obdelave s strani banke, saj je treba upoštevati specifike vsakega posameznega primera.
Več informacij o obveščanju posameznikov o obdelavi osebnih podatkov je dostopnih na spletni strani IP:
IP povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec. Prav tako mora upravljavec poskrbeti za ustrezno zavarovanje osebnih podatkov v skladu s 24. in 32. členom Splošne uredbe in jih obdelovati v skladu s temeljnimi načeli varstva osebnih podatkov.
Več informacij glede kopiranja osebnih dokumentov lahko najdete na spletni strani IP:
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca za varstvo osebnih podatkov
Svetovalec pooblaščenca za varstvo osebnih podatkov
dr. Jelena Virant Burnik,
Informacijska pooblaščenka
Informacijska pooblaščenka
Vir: Informacijski pooblaščenec >>
VIR: GZS