PREPORUKA ZA UNAPREĐENJE ZAŠTITE OSOBNIH PODATAKA U BANKARSKOM SEKTORU


PREPORUKA ZA UNAPREĐENJE ZAŠTITE OSOBNIH PODATAKA U BANKARSKOM SEKTORU


Nastavno na veći broj  upita  koje je zaprimila ova Agencija  od strane građana kao i  Društva za zaštitu potrošača Hrvatske  a koji su se odnosili na prikupljanje i daljnju obradu osobnih podataka  klijenata banke ( dalje u tekstu:stranaka) od strane financijskih institucija (banaka) prvenstveno vezano uz obradu njihovih  osobnih podataka u svrhu provođenja dubinske analize  stranaka fizičkih osoba, čije su mjere i radnje propisane Zakonom o sprječavanju pranja novca i financiranja terorizma ( Narodne novine, broj:87/08, 25/12) i Konvencijom o uzajamnoj administrativnoj pomoći u poreznim stvarima, koja je implementirana u hrvatski pravni sustav  i koja je po svojoj pravnoj snazi  u hrvatskom zakonodavstvu iznad zakona, te imajući u vidu i nedavno potpisani Sporazumom o unapređenju ispunjavanja poreznih obveza na međunarodnoj razini i provedbi Zakona Sjedinjenih Američkih Država o izvršenju poreznih obveza s obzirom na račune u inozemnim financijskim institucijama (Foreign Account Tax Compliance Act, dalje u tekstu: FATCA) između Republike Hrvatske i SAD-a,  temeljem kojih propisa se zahtjeva prikupljanje osobnih podataka  od stranaka  banke u svrhu izvješćivanja nadležnih institucija, Agencija za zaštitu osobnih podataka kao mjerodavno tijelo u području nadzora nad zaštitom osobnih podataka sukladno članku 33. st. 1. podstavku 7. Zakona o zaštiti osobnih podataka („Narodne novine“ broj 106/12 -pročišćeni tekst zakona) daje sljedeću preporuku za unapređenje zaštite u prikupljanju i daljnjoj obradi osobnih podataka stranaka u svim financijskim institucijama u bankarskom sektoru.

Prije svega ističemo da  sukladno Zakonu o zaštiti osobnih podataka obrada osobnih podataka mora biti poštena i zakonita, odnosno da je obrada osobnih podataka  dopuštena  ako za nju postoji zakonita svrha i valjani pravni temelj. Pravni temelji  za obradu osobnih podataka taksativno  su propisani  člankom 7.  Zakona o zaštiti osobnih podataka, između ostalog, to je privola ispitanika i drugi zakon te drugi navedeni slučajevi u predmetnom članku Zakona, a svrha obrade osobnih podataka mora biti strankama poznata i mora biti zakonita. Isto tako, sukladno načelu razmjernosti dozvoljeno je prikupljati osobne podatke u opsegu koji je nužan za ispunjenje točno određene svrhe te se osobni podaci ne smiju prikupljati u većem opsegu nego što je nužno da bi se postigla zakonom utvrđena svrha.

U opisanom slučaju na obradu osobnih podataka primjenjuje se Zakon o sprječavanju pranja novca i financiranja terorizma, kao poseban zakon, koji u čl. 8. st. 1.  propisuje koje sve mjere obuhvaća dubinska analiza stranke, a to su: utvrđivanje identiteta stranke i provjera njezina identiteta na osnovi dokumenata, podataka ili informacija dobivenih iz vjerodostojnog, pouzdanog i neovisnog izvora, utvrđivanje i provjera identiteta stvarnog vlasnika stranke, prikupljanje podataka o namjeri i predviđenoj prirodi poslovnog odnosa ili transakcije  te drugih podataka u skladu sa cit. Zakonom, stalno praćenje poslovnog odnosa, uključujući pozorno praćenje transakcija obavljenih tijekom odnosa, kako bi se osiguralo da transakcije odgovaraju saznanjima obveznika o toj stranci, vrsti posla i rizika, uključujući prema potrebi i podatke o izvoru sredstava, pri čemu dokumenti i podaci kojima obveznik raspolaže moraju biti ažurni.

Stavkom 2. cit. članka Zakona propisano je da su obveznici  dubinske analize dužni postupke provođenja mjera definirati svojim internim aktom.

Člankom 16. istog Zakona reguliran je način pribavljanja podataka od strane obveznika (pravnih i fizičkih osoba koje su obvezne poduzimati mjere i radnje radi sprječavanja i otkrivanja pranja novca i financiranja terorizma) te je taksativno propisan opseg osobnih podataka koji se prikupljaju za fizičke osobe, ovisno o  njihovom svojstvu  u kojem se nalaze u poslovnom odnosu s bankom (fizičku osobu i njezinoga zakonskog zastupnika, obrtnika ili osobu koja obavlja drugu samostalnu djelatnost, a koja uspostavlja poslovni odnos ili obavlja transakciju, odnosno za koju se uspostavlja poslovni odnos ili obavlja transakcija). Citiranim člankom Zakona propisano je da se prikupljaju osobni podaci stranke u sljedećem opsegu: ime i prezime, prebivalište, datum rođenja, mjesto rođenja, identifikacijski broj, te naziv, broj i naziv izdavatelja identifikacijske isprave.

Člankom 17. istog Zakona propisano je da za stranku koja je fizička osoba i njezinoga zakonskog zastupnika te stranku koja je obrtnik ili osoba koja se bavi drugom samostalnom djelatnošću, obveznik utvrđuje i provjerava njezin identitet prikupljanjem podataka iz članka 16. stavka 1. točke 1. Zakona uvidom u službeni osobni dokument stranke u njezinoj nazočnosti. Ako iz uvida u službeni osobni dokument obveznik ne može prikupiti sve propisane podatke, nedostajući podaci prikupljaju se iz drugih važećih javnih isprava koje podnese stranka, odnosno neposredno od stranke.
Vezano uz prikupljanje i daljnju obradu osobnih podataka sukladno svojim zakonskim ovlastima iz čl. 32. Zakona o zaštiti osobnih podataka Agencija za zaštitu osobnih podataka je provela nadzorne aktivnosti u nekim financijskim institucijama (bankama) te je utvrđeno  da banke kao voditelji zbirke osobnih podataka prikupljaju osobne podatke o strankama u odnosu na nove i postojeće klijente  putem obrasca „Upitnik za klijente –fizičke osobe“. U navedenom obrascu prikupljaju se osobni podaci o svojim strankama ( identifikacijski podaci i adresa stanovanja) te podatke koji se nalaze u rubrikama „svrha poslovanja i politički izložene osobe“. Utvrđeno je da se osobni podaci prikupljaju na temelju Zakona o sprječavanju pranja novca i financiranja terorizma u svrhu provođenja mjera dubinske analize stranaka i ispunjavanja obveza banke sukladno navedenom Zakonu.
Također je utvrđeno da se osim  navedenih podataka putem  spomenutog „Upitnika za klijente-fizičke osobe“ prikuplja i opseg osobnih podataka (državljanstvo, drugo državljanstvo,  strani porezni broj, itd.)  kako bi se utvrdilo smatra li se klijent-fizička osoba poreznim obveznikom, te kako bi se u tom slučaju ispunila obveza banke o izvještavanju nadležnih tijela (Porezne uprave RH) o osobnim podacima, računima i sredstvima u banci za potrebe provedbe američkog Zakona o izvršenju poreznih obveza s obzirom na račune u stranim financijskim institucijama-FATCA). U odnosu na zahtjeve FATCA-e utvrđeno je da banke provode dubinsku analizu klijenata od 1. srpnja 2014. godine temeljem podataka koje će im stranke dati popunjavanjem naprijed navedenog obrasca.
Također je utvrđeno da kod  otvaranja novih računa financijska institucija ne smije otvoriti račun prije nego pribavi izjavu klijenta o njegovom US statusu, odnosno US poreznom obvezniku.
Na temelju tako prikupljenih podataka financijske institucije dostavljati će podatke (o računima klijenata) hrvatskoj Poreznoj upravi koja će razmjenjivati informacije sa američkom poreznom administracijom u smislu Konvencije o uzajamnoj  administrativnoj pomoći u poreznim stvarima (MLK) koja predstavlja najopširniji multilateralni instrument  koji omogućava sve oblike porezne suradnje potrebne u borbi protiv porezne evazije i izbjegavanja plaćanja poreza, a  koja je stupila na snagu u Republici Hrvatskoj  dana 01. lipnja 2014.godine. Osim navedenog  utvrđeno je da su Republika Hrvatska  i  Sjedinjene Američke Države dana 20. ožujka 2015. godine   potpisale Sporazum o primjeni Zakona o izvršenju poreznih obveza s obzirom na račune u inozemnim financijskim institucijama. O navedenom Sporazumu  građani  su javno obaviješteni  putem  web stranice  Porezne uprave.

Temeljem  citiranih propisa i dokumenata financijske institucije (banke)  imaju obvezu prikupljanja i daljnje obrade osobnih podataka od strane svojih stranaka. S tim u vezi ukazujemo na  obveznu primjenu članka 9. Zakona o zaštiti osobnih podataka („Narodne novine“, broj:106/12- pročišćeni tekst, dalje u tekstu: ZZOP) koji obvezuje sve voditelje zbirki osobnih podataka, u konkretnom slučaju sve financijske institucije, da prije prikupljanja osobnih podataka  od stranaka  (kod otvaranja novog računa ili kontrole postojećeg računa)  moraju informirati klijente osobito o svrsi prikupljanja i daljnjoj obradi njihovih osobnih podataka, o pravnom temelju  prikupljanja podataka, o opsegu podataka koji je nužan za ispunjenje zakonom utvrđene svrhe tj. da li se radi o obveznom ili dobrovoljnom prikupljanju podataka te koje su posljedice eventualne uskrate davanja zatraženih podataka.

Izvršenim uvidom u obrazac Upitnika koji su pojedinačno sastavile banke, čiji sadržaj nije unificiran/jednoznačan, već  se razlikuje od banke do banke u opsegu podataka i načinu informiranja stranaka o pravnom temelju za obradu osobnih podataka, utvrđeno je da se putem navedenih obrazaca prikuplja znatno veći opseg  osobnih podataka nego što propisuje  Zakon o sprječavanju pranja novca i financiranja terorizma, odnosno da se putem navedenog upitnika prikupljaju i podaci koji proizlaze iz Sporazuma o primjeni Zakona o izvršenju poreznih obveza s obzirom na račune u inozemnim financijskim institucijama.  Međutim,  utvrđeno je kako većina  financijskih institucija nije na jasan i transparentan način upoznala  svoje stranke koji se opseg podataka prikuplja kao obvezan i temeljem kojih propisa, a koji podaci se prikupljaju kao dobrovoljni/ fakultativni  temeljem  privole stranaka.
Nastavno na navedeno Agencija upozorava da se takvim načinom prikupljanja osobnih podataka krše odredbe Zakona o zaštiti osobnih podataka.

S obzirom da financijske institucije (banke) nisu formirale jedinstveni obrazac temeljem kojeg prikupljaju osobne podatke stranaka, a niti su u obrascima na jasan i transparentan način upoznale svoje stranke sa svrhom prikupljanja osobnih podataka i zakonskom osnovom za prikupljanje navedenog opsega podataka, odnosno budući da u svojim upitnicima nisu navele točan  opseg  osobnih podataka koji se  prikupljaju kao obvezni podaci  temeljem Zakona o sprječavanju pranja novca i financiranja terorizma, niti su navele svrhu  prikupljanja osobnih podataka koji se prikupljaju  na temelju privole stranaka te budući nisu upoznale  stranke sa posljedicama uskrate davanja određenih podataka, utvrđeno je  kako navedeni obrasci-upitnici  nisu u potpunosti usklađeni sa odredbama Zakona o zaštiti osobnih podataka. Temeljem ovako utvrđenog činjeničnog stanja dolazi do određenih nejasnoća i zbunjenosti građana te stvaranja klime koja utječe na percepciju pravne nesigurnosti i nepovjerenja građana prema financijskim institucijama u Republici Hrvatskoj.
Slijedom navedenog budući da u konkretnom slučaju financijske institucije prikupljaju velik opseg osobnih podataka od stranaka, Agencija upozorava da je opisano postupanje potrebno detaljno regulirati podzakonskim aktima ( pravilnicima)  u kojima će se  točno propisati svrha i način prikupljanja osobnih podataka koje propisuje Zakon o sprječavanju pranja novca i financiranja terorizma te drugi navedeni propisi iz područja poreznog zakonodavstva.
Isto tako  u svrhu  prikupljanja osobnih podataka  za potrebe provođenja Sporazuma FATCA potrebno je detaljno obrazložiti  svrhu i pravni temelj za prikupljanje  podataka koji su nužni za provedbu  navedenog  Sporazuma i postupka izvješćivanja  koji obvezuje banke prema  Poreznoj  upravi.  Naime, budući je utvrđeno da dodatni opseg osobnih podataka moraju ispuniti samo one osobe koje se mogu smatrati poreznim obveznicima SAD-a,  potrebno jasno i nedvosmisleno navesti koji su to podaci nužni i relevantni  za  ispunjenje  navedene svrhe.

Svi ostali osobni podaci, koji ne budu taksativno navedeni u podzakonskim aktima financijskih institucija moći će se prikupljati isključivo uz privolu stranaka pri tome   uzimajući u obzir  da je sukladno Zakonu o zaštiti osobnih podataka  privola slobodno i izričito očitovanje volje svakog pojedinca kojom on izražava svoju suglasnost s obradom njegovih osobnih podataka u točno određene svrhe. Pri tome treba voditi računa da se prikupljeni  osobni podaci putem privole mogu dalje obrađivati samo u svrhu za koju je osoba dala privolu i to onoliko dugo dok osoba svoju privolu ne opozove, odnosno da je privola opoziva.
Slijedom svega navedenog sve financijske institucije  dužne  su prije prikupljanja i daljnje obrade osobnih podataka informirati svoje stranke putem pisanih obrazaca upitnika, letaka, mrežnih stranica ili na drugi odgovarajući način sa svim detaljima koje nalaže naprijed navedeni  članak 9. Zakona o zaštiti osobnih podataka, te ujedno voditi računa da se osobni podaci stranaka obrađuju u skladu sa člankom 6. i 7. cit. Zakona.

Također ukazujemo i na potrebu poduzimanja odgovarajućih mjera zaštite  osobnih podataka na način kako to propisuje članak 18. cit. Zakona.
S obzirom da se citirane zakonske odredbe odnose na sve financijske institucije, kao voditelje zbirki osobnih podataka, ova Agencija u svrhu zakonitog i transparentnog prikupljanja osobnih podataka ovom preporukom apelira na Hrvatsku udrugu banaka  (dalje u tekstu: HUB) da sukladno svojoj misiji krovne institucije svojih članica, upozna  sve članice sa sadržajem ove preporuke kao i druge financijske institucije koje podliježu obvezama iz Zakona o sprječavanju pranja  novca i financiranja terorizma  i drugim relevantnim  propisima koji se odnose na navedenu materiju. Također imajući u vidu potrebu dorade predmetnih obrazaca putem kojih se prikupljaju osobni podaci, odnosno  svrhu kreiranja jedinstvenog obrasca na koje se primjenjuju odredbe Zakona o sprječavanju pranja novca i financiranja terorizma i međunarodni propisi i standardi u vezi provedbe FATCA-e  i bilateralnih sporazuma koje je potpisala RH, predlažemo da HUB izradi/predloži unificirani sadržaj obrasca/upitnika putem kojeg se prikupljaju osobni podaci na način da isti bude sastavljen u skladu sa svim propisima iz ove preporuke, odnosno da  HUB svojim savjetima i naputcima  utječe na provođenje mjera i radnji u bankarskom sektoru koje su navedene u ovoj preporuci, a koje proizlaze kao obligatorne iz Zakona o zaštiti osobnih podataka.

Za sve daljnje upite i /ili  upute u vezi provođenja ove preporuke financijske institucije (banke) se mogu i izravno obratiti ovoj Agenciji.

 
 
  Natrag