Objavljeno: 05.06.2019.
Agencija za zaštitu osobnih podataka zaprimila je upit može li se od banke zatražiti da ne razmjenjuje osobne podatke svojih klijenata drugim primateljima. Nastavno na navedeno, iznosimo sljedeće:
Kako proizlazi iz članka 6. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 obrada osobnih podataka je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.
Također, sukladno članku 13. Opće uredbe o zaštiti podataka svaki ispitanik u trenutku prikupljanja njegovih osobnih podataka mora biti informiran o svim bitnim okolnostima vezanima uz prikupljanje (obradu) njegovih osobnih podataka (identitet i kontakt podaci voditelja obrade, svrha obrade i pravna osoba za obradu osobnih podataka, primatelji osobnih podataka te ostale informacije taksativno navedene u predmetnoj odredbi).
U konkretnom slučaju treba imati na umu kako je u primjeni Zakon o kreditnim institucijama („Narodne novine“, broj: 159/13, 19/15, 102/15 i 15/18) kao poseban zakon, koji u smislu članka 6.1.c) Opće uredbe o zaštiti podataka predstavlja zakonitu osnovu za obradu osobnih podataka ispitanika/klijenata, tj. radi se o obradi osobnih podataka koja je nužna radi poštovanja pravnih obveza voditelja obrade.
Naime, obveza kreditne institucije (banke) da čuva bankovnu tajnu, odnosno osobne podatke svojih kljenata ne odnosi se na slučajeve taksativno navedeno u članku 157. stavku 3. Zakona o kreditnim institucijama (između ostaloga, ako se povjerljivi podaci priopćavaju nadležnim tijelima, ako se razmjenjuju unutar grupe kreditnih institucija radi upravljanja rizicima, ako se povjerljivi podaci priopćavaju pravnoj osobi koja je osnovana radi prikupljanja i pružanja podataka o bonitetu pravnih i fizičkih osoba i to u skladu s posebnim zakonom, ako se povjerljivi podaci o klijentima koji nisu ispunili svoju dospjelu obvezu u roku priopćavaju pravnoj osobi koja prikuplja i razmjenjuje ove podatke između kreditnih i/ili financijskih institucija, itd.).
Dakle, u slučajevima navedenima u članku 157. stavku 3. Zakona o kreditnim institucijama izrijekom su propisane situacije u kojima kreditna institucija (banka) razmjenjuje (povjerljive) osobne podatke te je isto nužno u okvirima provedbe navedenog posebnog zakona i obavljanja zakonite djelatnosti banke, odnosno kako bi se od navedenih ovlaštenika prikupile odgovarajuće informacije o pojedinom klijentu.
Stoga su tijela sa kojima banka razmjenjuje povjerljive osobne podatke po zakonu ovlašteni primatelji istih podataka, koji su dužni čuvati njihovu povjerljivost, odnosno koristiti ih isključivo u zakonom predviđene svrhe, tj. u svrhe obavljanja njihove zakonite djelatnosti te ih ne smiju dalje prosljeđivati (trećim) neovlaštenim osobama.
Prema tome protivljenje klijenta banke razmjeni osobnih podataka (između banaka i ovlaštenih primatelja osobnih podataka) ne bi razumijevalo prestanak takve obrade osobnih podataka, budući da je razmjena osobnih podataka nužna, opravdana i zakonita u slučajevima propisanima Zakonom o kreditnim institucijama.
