Objava: 19.12.2022.
Nastavno na Vašu predstavku koju je zaprimila Agencija za zaštitu osobnih podataka (dalje u tekstu: Agencija) vezanu za obradu osobnih podataka od strane kreditne institucije (banke), s aspekta propisa kojima je regulirana zaštita osobnih podataka, načelno se očitujemo kako slijedi:
Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj, izravno i obvezujuće primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119.
Navedena Opća uredba o zaštiti podataka u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju, točni i prema potrebi ažurni.
Sukladno članku 6. Opće uredbe o zaštiti podataka obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Sukladno načelima poštene i transparentne obrade Opća uredba o zaštiti podataka zahtijeva da je ispitanik informiran o postupku obrade i njegovim svrhama, stoga Vas upućujemo na odredbe članka 13. Opće uredbe o zaštiti podataka kojim je propisano koje je sve informacije voditelj obrade dužan pružati svojim ispitanicima ako se osobni podaci prikupljaju od ispitanika.
U konkretnom slučaju u primjeni je Zakon o sprječavanju pranja novca i financiranja terorizma („Narodne novine“, broj: 108/17, 39/19) koji propisuju mjere, radnje i postupke koje obveznici i nadležna državna tijela poduzimaju radi sprječavanja i otkrivanja pranja novca i financiranja terorizma te druge preventivne mjere u svrhu sprječavanja korištenja financijskoga sustava za pranje novca i financiranje terorizma.
Člankom 9. Zakona o sprječavanju pranja novca i financiranja terorizma propisano je da su obveznici pravne i fizičke osobe koje su obvezne poduzimati mjere i radnje radi sprječavanja i otkrivanja pranja novca i financiranja terorizma u skladu s odredbama citiranog Zakona, a člankom 9. istog Zakona propisano je kako su, između ostaloga i kreditne institucije (banke) obveznici provedbe mjera, radnji i postupaka za sprječavanje i otkrivanje pranja novca i financiranja terorizma.
Člankom 15. Zakona o sprječavanju pranja novca i financiranja terorizma propisano je kako dubinska analiza stranke obuhvaća između ostaloga i mjere utvrđivanja identiteta stranke i provjeru njezina identiteta na osnovi dokumenata, podataka ili informacija dobivenih iz vjerodostojnoga, pouzdanoga i neovisnoga izvora, uključujući, ako ga stranka ima, kvalificirani certifikat za elektronički potpis ili elektronički pečat. Također obuhvaća i prikupljanje podataka o namjeni i predviđenoj prirodi poslovnoga odnosa te drugih podataka u skladu s ovim Zakonom i na temelju njega donesenim podzakonskim aktima te stalno praćenje poslovnoga odnosa, uključujući i kontrolu transakcija koje stranka obavlja tijekom poslovnoga odnosa kako bi se osiguralo da su transakcije koje se obavljaju u skladu sa saznanjima obveznika o stranci, poslovnome profilu, profilu rizika, uključujući prema potrebi i podatke o izvoru sredstava, pri čemu dokumentacija i podaci kojima obveznik raspolaže moraju biti ažurni. Isto tako, obveznik je dužan provjeriti je li osoba koja tvrdi da djeluje u ime stranke za to i ovlaštena te u skladu s odredbama ovoga Zakona utvrditi i provjeriti identitet te osobe (članak 15. Zakona).
Člankom 16. navedenog Zakona taksativno su navedeni slučajevi kada su banke i ostali obvezni primjene Zakona pod uvjetima određenima ovim Zakonom i na temelju njega donesenim podzakonskim aktima dužni provesti dubinsku analizu stranke te se, između ostalog, propisuje da se ista provodi ako postoji sumnja u vjerodostojnost i primjerenost prethodno dobivenih podataka o stranci i uvijek kada u vezi s transakcijom ili strankom postoje razlozi za sumnju na pranje novca ili financiranje terorizma, bez obzira na sva propisana izuzeća i vrijednost transakcije. Također je propisano da su obveznici dužni primijeniti mjere dubinske analize ne samo na nove stranke, već i pravodobno na postojeće stranke na temelju procjene rizika, posebno kod stranaka kod kojih se promijene okolnosti koje su relevantne za primjenu ovoga Zakona.
Člankom 20. stavkom 1. propisano je kako obveznik iz članka 9. Zakona pri obavljanju dubinske analize stranke prikuplja sljedeće podatke za fizičku osobu: ime i prezime, prebivalište, dan, mjesec i godina rođenja, identifikacijski broj, naziv i broj identifikacijske isprave, naziv i državu izdavatelja te državljanstvo/državljanstva. Stavkom 3. istog članka navedenog Zakona propisano je da osim podataka iz stavka 1. ovoga članka, obveznik pribavlja i ostale podatke u opsegu u kojem su mu potrebni za procjenu rizika od pranja novca i financiranja terorizma sukladno odredbama ovoga Zakona i na temelju njega donesenih podzakonskih akata.
Isto tako, člankom 37. stavkom 2. točkom 4. istog Zakona propisano je obveznik primjene navedenog Zakona dužan redovito provjeravati i ažurirati prikupljene dokumente i podatke o stranci, stvarnome vlasniku stranke i profilu rizičnosti stranke te provjeravati podatke je li stranka ili stvarni vlasnik stranke postao ili prestao biti politički izložena osoba.
Također, ukazujemo kako se člankom 19. gore citiranog Zakona definira obveza kreditnih institucija da odbiju provođenje poslovnog odnosa i obavljanja transakcije, u slučaju nemogućnosti provjere određenih mjera propisanih Zakonom.
Slijedom navedenog, prikupljanje i obrada osobnih podataka banke, kao voditelja obrade dopuštena je u svrhu izvršavanja pravnih obveza tj. zakonskih obveza voditelja obrade osobnih podataka, odnosno pružanje usluga te građani imaju pravo biti informirati i tražiti informacije u svezi obrade svojih osobnih podataka kako to nalaže čl. 13 i 14. Opće uredbe o zaštiti podataka te ostvariti prava pod uvjetima i na način koji propisuje Opća uredba o zaštiti podataka. Također, obveza je svakog voditelja obrade (u ovom slučaju banke) da vodi točne i ažurne podatke, odnosno da poduzme sve odgovarajuće mjere radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (načelo točnosti). Isto tako, banka kao voditelj obrade dužna je prikupljati samo nužan opseg osobnih podataka ispitanika kao fizičkih osoba, poštujući načela u obradi osobnih podataka, posebice načelo smanjenja količine podataka temeljem kojeg osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
Osim toga, navodimo kako je u vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza svakog voditelja obrade (u ovom slučaju banka) da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.). Dakle, voditelj obrade dužan je poduzeti sve mjere zaštite koje su primjerene naravi osobnih podataka koje prikuplja i obrađuje te prije svega postupati s naročitom pažnjom, oprezom i odgovornošću.
Zaključno, ukazujemo kako je Zakonom o kreditnim institucijama („Narodne novine“, broj: 159/13. do 15/18.) člankom 156. propisano da su kreditne institucije dužne čuvati sve podatke činjenice i okolnosti koje su saznale na osnovi pružanja usluga klijentima i u obavljanju poslova s pojedinačnim klijentima (bankovna tajna) što podrazumijeva i poštivanje načela cjelovitosti i povjerljivosti obrade osobnih podataka.