HR | EN

logo
header pozadina-min

Brisanje osobnih podataka koje obrađuje banka

Objavljeno: 11.10.2022.

Nastavno na Vaš upit koji je zaprimila Agencija za zaštitu osobnih podataka (dalje u tekstu: Agencija) vezano za obradu osobnih podataka od strane kreditne institucije, točnije brisanje osobnih podataka, s aspekta propisa kojima je regulirana zaštita osobnih podataka iznosimo sljedeći načelan odgovor:

Nastavno na navedeno, ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj, izravno i obvezujuće primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119.

Navedena Opća uredba o zaštiti podataka u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju. Također istim člankom propisano je kakao osobni podaci moraju biti točni i prema potrebi ažurni, odnosno moraju se poduzeti svaka razumna mjera radi osiguranja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (načelo točnosti osobnih podataka).

Člankom 6., stavkom 1. Opće Uredbe o zaštiti podataka je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete. Sukladno načelima poštene i transparentne obrade Opća uredba o zaštiti podataka zahtijeva da je ispitanik informiran o postupku obrade i njegovim svrhama, stoga Vas upućujemo na odredbe članka 13. Opće uredbe o zaštiti podataka kojim je propisano koje je sve informacije voditelj obrade dužan pružati svojim ispitanicima ako se osobni podaci prikupljaju od ispitanika. U konkretnom slučaju u primjeni je Zakon o sprječavanju pranja novca i financiranja terorizma („Narodne novine“, broj: 108/17, 39/19) koji propisuje mjere, radnje i postupke koje obveznici i nadležna državna tijela poduzimaju radi sprječavanja i otkrivanja pranja novca i financiranja terorizma te druge preventivne mjere u svrhu sprječavanja korištenja financijskoga sustava za pranje novca i financiranje terorizma. Člankom 9. navedenog Zakona propisani su obveznici primjene navedenog Zakona, među koje spada i djelatnosti koje provodi banka.

Člankom 15. Zakona o sprječavanju pranja novca i financiranja terorizma propisano je kako dubinska analiza stranke obuhvaća između ostaloga i mjere utvrđivanja identiteta stranke i provjeru njezina identiteta na osnovi dokumenata, podataka ili informacija dobivenih iz vjerodostojnoga, pouzdanoga i neovisnoga izvora, uključujući, ako ga stranka ima, kvalificirani certifikat za elektronički potpis ili elektronički pečat. Također obuhvaća i prikupljanje podataka o namjeni i predviđenoj prirodi poslovnoga odnosa te drugih podataka u skladu s ovim Zakonom i na temelju njega donesenim podzakonskim aktima te stalno praćenje poslovnoga odnosa, uključujući i kontrolu transakcija koje stranka obavlja tijekom poslovnoga odnosa kako bi se osiguralo da su transakcije koje se obavljaju u skladu sa saznanjima obveznika o stranci, poslovnome profilu, profilu rizika, uključujući prema potrebi i podatke o izvoru sredstava, pri čemu dokumentacija i podaci kojima obveznik raspolaže moraju biti ažurni. Isto tako, obveznik je dužan provjeriti je li osoba koja tvrdi da djeluje u ime stranke za to i ovlaštena te u skladu s odredbama ovoga Zakona utvrditi i provjeriti identitet te osobe (članak 15. Zakona).

Člankom 20. stavkom 1. propisan je opseg osobnih podataka se prikuplja, dok je istim člankom stavkom 3. navedenog Zakona propisano da osim podataka iz stavka 1. ovoga članka, obveznik pribavlja i ostale podatke u opsegu u kojem su mu potrebni za procjenu rizika od pranja novca i financiranja terorizma sukladno odredbama ovoga Zakona i na temelju njega donesenih podzakonskih akata. Isto tako navodimo kako članak 79. Zakona o sprječavanju pranja novca i financiranja terorizma propisuje kako su obveznici primjene citiranog Zakona dužni podatke, informacije i dokumentaciju prikupljenu primjenom Zakona i na temelju njega donesenih podzakonskih akata i Uredbe (EU) 2015/847 čuvati deset godina nakon prestanka poslovnoga odnosa, obavljanja transakcije iz članka 16. stavka 1. točaka 2., 3. i 4. ovoga Zakona, prikupljanja podataka iz članka 16. stavka 2. ovoga Zakona ili pristupa sefu iz članka 27. ovoga Zakona.

Nadalje, Zakon o kreditnim institucijama („Narodne novine“, broj: 159/13, 19/15, 102/15 i 15/1870/19, 47/20 i 146/20), kao poseban zakon, koji u članku 160. propisuje da je kreditna institucija dužna sastavljati, kontrolirati i čuvati knjigovodstvene isprave u skladu s važećim propisima i standardima struke. Iznimno od navedenog, kreditna institucija dužna je najmanje jedanaest godina čuvati: isprave koje se odnose na otvaranje i zatvaranje te evidentiranje promjena stanja na računima za plaćanje te depozita; isprave o ostalim promjenama koje nisu obuhvaćene točkom 1. ovoga stavka, a na temelju kojih su podaci uneseni u poslovne knjige kreditne institucije te ugovore i druge isprave o zasnivanju poslovnog odnosa. Pod rokovima iz stavka 2. ovoga članka podrazumijeva se razdoblje nakon isteka godine u kojoj je poslovna promjena nastala, odnosno u kojoj su knjigovodstvene isprave sastavljene.

Ako se isprave odnose na dugoročne poslove, takve se isprave čuvaju tijekom cijelog razdoblja trajanja poslovnog odnosa i najmanje jedanaest godina nakon isteka godine u kojoj je poslovni odnos prestao. Kreditna institucija dužna je poslovne knjige čuvati najmanje jedanaest godina počevši od posljednjeg dana poslovne godine na koju se te poslovne knjige odnose. Također, članak 14. Zakona o računovodstvu („Narodne novine“, broj: 78/15, 134/15, 120/16, 116/18, 42/20, 47/20) propisuje kako se poslovne knjige čuvaju, i to dnevnik i glavna knjiga – najmanje jedanaest godina, a pomoćne knjige – najmanje jedanaest godina.

Dakle, imajući u vidu gore navedene zakonske odredbe navodimo da kreditna institucija osobne podatke obrađuje izvršavajući svoje pravne obveze propisane gore navedenim posebnim zakonom (Zakon o sprečavanju pranja novca i financiranju terorizma), a sve sukladno članku 6. Opće uredbe o zaštiti podataka. Vezano za čuvanje osobnih podataka, s tim u vezi navodimo kako je banka dužna obrađivati (čuvat/pohraniti) osobne podatke sukladno važećim zakonskim propisima, odnosno obrađivati osobne podatke onoliko dugo koliko je isto nužno i kako je to izrijekom propisano posebnim zakonima te drugim odnosnim propisima. Stoga ako postoji obveza čuvanja osobnih podataka sukladno gore navedenom posebnom zakonu ne bi bili ispunjeni uvjeti za brisanje osobnih podataka s obzirom na to da je banka, kao voditelj obrade, sukladno članku 17. stavak 3. točka b) odnosno sukladno navedenom posebnim zakonima, Zakonu o kreditnim institucijama i Zakonu o računovodstvu, u obvezi čuvati predmetne osobne podatke najmanje jedanaest godina.

A

Povezano

Razgraničenje uloge voditelja i izvršitelja obrade

Objavljeno: 23.9.2024. Slijedom Vašeg upita upućenog Agenciji za zaštitu osobnih podataka nastavno na razgraničenje uloge voditelja obrade i izvršitelja obrade, očitujemo se kako slijedi: Prvenstveno ukazujemo da pojmovi voditelja obrade te izvršitelja obrade imaju...

X
Skip to content