Objavljeno: 05.06.2019.
Nastavno na zaprimljene upite građana koji su se obratili ovoj Agenciji u vezi prikupljanja osobnih podataka od strane banaka u sprječavanje i otkrivanje pranja novca i financiranja terorizma i provedbi mjera dubinske analize u komunikaciji s bankama koje posluju na prostoru Republike Hrvatske Agencija daje sljedeći načelan odgovor:
Članak 4. stavak 1. točka 1. Opće uredbe o zaštiti podataka propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Točkom 2. istog stavka i članka definirana je obrada kao svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Sukladno članku 5. Opće uredbe, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju. Također istim člankom propisano je kakao osobni podaci moraju biti točni i prema potrebi ažurni, odnosno moraju se poduzeti svaka razumna mjera radi osiguranja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (načelo točnosti osobnih podataka).
Pravni temelji za obradu osobnih podataka propisani su člankom 6. Opće uredbe u kojem je, između ostalog, propisano kako je obrada zakonita samo ako i u onoj mjeri u kojoj je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora ili je obrada nužna radi poštivanja pravnih obveza voditelja obrade te u drugim taksativno navedenim slučajevima u predmetnom članku.
Osim toga, člankom 13. Opće uredbe propisano je koje sve informacije voditelj obrade mora pružiti/dati ispitaniku, kao fizičkoj osobi ako se osobni podaci prikupljaju od samog ispitanika (nazivu društva ili organizacije koja obrađuje vaše podatke (uključujući kontaktne podatke službenika za zaštitu osobnih podataka ako on postoji); svrhama u koje će društvo/organizacija upotrebljavati vaše podatke; kategorijama osobnih podataka o kojima je riječ; pravnoj osnovi za obradu vaših osobnih podataka; vremenskom roku tijekom kojega će vaši podaci biti pohranjeni; ostalim društvima/organizacijama koje će primati vaše podatke; tome hoće li podaci biti preneseni izvan EU-a; svojim osnovnim pravima u području zaštite podataka).
Zakonom o sprječavanju pranja novca i financiranja terorizma („Narodne novine“, broj: 108/17) propisane su mjere, radnje i postupci koje obveznici i nadležna državna tijela poduzimaju radi sprječavanja i otkrivanja pranja novca i financiranja terorizma te druge preventivne mjere u svrhu sprječavanja korištenja financijskoga sustava za pranje novca i financiranje terorizma. Člankom 4. navedenog Zakona propisani su obveznici primjene navedenog Zakona, među koje spada i djelatnosti koje provodi banka. Mjere, radnje i postupci za sprječavanje i otkrivanje pranja novca i financiranja terorizma određeni ovim Zakonom provode se prije i/ili prilikom svake transakcije, kao i pri sklapanju pravnih poslova kojima se stječe ili koristi imovina te u ostalim oblicima raspolaganja sredstvima, pravima i drugom imovinom koji mogu poslužiti za pranje novca i financiranje terorizma.
Člankom 15. Zakona o sprječavanju pranja novca i financiranja terorizma propisano je kako dubinska analiza stranke obuhvaća između ostaloga i mjere utvrđivanja identiteta stranke i provjeru njezina identiteta na osnovi dokumenata, podataka ili informacija dobivenih iz vjerodostojnoga, pouzdanoga i neovisnoga izvora, uključujući, ako ga stranka ima, kvalificirani certifikat za elektronički potpis ili elektronički pečat. Također obuhvaća i prikupljanje podataka o namjeni i predviđenoj prirodi poslovnoga odnosa te drugih podataka u skladu s ovim Zakonom i na temelju njega donesenim podzakonskim aktima te stalno praćenje poslovnoga odnosa, uključujući i kontrolu transakcija koje stranka obavlja tijekom poslovnoga odnosa kako bi se osiguralo da su transakcije koje se obavljaju u skladu sa saznanjima obveznika o stranci, poslovnome profilu, profilu rizika, uključujući prema potrebi i podatke o izvoru sredstava, pri čemu dokumentacija i podaci kojima obveznik raspolaže moraju biti ažurni. Isto tako, obveznik je dužan provjeriti je li osoba koja tvrdi da djeluje u ime stranke za to i ovlaštena te u skladu s odredbama ovoga Zakona utvrditi i provjeriti identitet te osobe (članak 15. Zakona).
Člankom 16. navedenog Zakona taksativno su navedeni slučajevi kada su banke i ostali obvezni primjene Zakona pod uvjetima određenima ovim Zakonom i na temelju njega donesenim podzakonskim aktima dužni provesti dubinsku analizu stranke te se, između ostalog, propisuje da se ista provodi ako postoji sumnja u vjerodostojnost i primjerenost prethodno dobivenih podataka o stranci i uvijek kada u vezi s transakcijom ili strankom postoje razlozi za sumnju na pranje novca ili financiranje terorizma, bez obzira na sva propisana izuzeća i vrijednost transakcije.Također je propisano da su obveznici dužni primijeniti mjere dubinske analize ne samo na nove stranke, već i pravodobno na postojeće stranke na temelju procjene rizika, posebno kod stranaka kod kojih se promijene okolnosti koje su relevantne za primjenu ovoga Zakona. Člankom 20. stavkom 3 navedenog Zakona propisano je da osim podataka iz stavka 1. ovoga članka, obveznik pribavlja i ostale podatke u opsegu u kojem su mu potrebni za procjenu rizika od pranja novca i financiranja terorizma sukladno odredbama ovoga Zakona i na temelju njega donesenih podzakonskih akata.
Nadalje, članak 79. Zakona o sprječavanju pranja novca i financiranja terorizma navodi kako dokumentacija koju je kreditna institucija prikupila prilikom primjene ovoga Zakona i na temelju njega donesenih podzakonskih akata mora sadržavati, između ostaloga i dokumentaciju na temelju koje je utvrđen identitet stranke (preslika službenoga osobnog dokumenta, preslika izvoda iz sudskoga ili drugoga registra i dr.).Isto tako člankom 19. gore citiranog Zakona definira se obveza kreditnih institucija da odbiju provođenje poslovnog odnosa i obavljanja transakcije, u slučaju nemogućnosti provjere određenih mjera propisanih Zakonom.
Također, ističemo kako su sukladno članku 78. Zakona o sprječavanju pranja novca i financiranja terorizma, kreditne institucije dužne prilikom obrade osobnih podataka primijeniti odredbe propisa kojima se uređuje zaštita osobnih podataka, te prije uspostavljanja poslovnoga odnosa ili provođenja povremene transakcije, upoznati stranku sa svrhom u koju se prikupljaju i koriste osobni podaci propisani ovim Zakonom i informirati ju o identitetu voditelja obrade osobnih podataka, pravu na pristup podacima, pravu na ispravak podataka koji se na nju odnose, primateljima osobnih podataka te je li riječ o dobrovoljnome ili obveznome davanju podataka i mogućim posljedicama uskrate davanja podataka obvezniku, uz ograničenje prava uvida u osobne podatke, informacije i dokumentaciju prikupljenu na temelju ovoga Zakona i na temelju njega donesenih podzakonskih akata ako bi ostvarivanje prava uvida u osobne podatke, informacije i dokumentaciju koje je obveznik prikupio o stranci, obvezniku ili nadležnom tijelu onemogućilo ili otežalo obavljanje zadaća propisanih ovim Zakonom i na temelju njega donesenim podzakonskim aktima te postupaka povezanih sa sprječavanjem, istraživanjem i otkrivanjem pranja novca i financiranja terorizma. Također navedenim člankom propisana su ograničenja koja se odnose na pravo uvida stranke u osobne podatke, informacije i dokumentaciju prikupljenu na temelju ovoga Zakona i na temelju njega donesenih podzakonskih akata u slučajevima navedenim u citiranom članku.
Osim toga ukazujemo i na Odluku o postupku procjene rizika od pranja novca i financiranja terorizma te načinu provođenja mjera pojednostavljene i pojačane dubinske analize stranke („Narodne novine“, broj: 57/2018) koja je donijela Hrvatska narodna banka u lipnju 2018. godine temeljem članka 14. stavka 11. i članka 42. stavka 1. Zakona o sprječavanju pranja novca i financiranja terorizma (»Narodne novine«, br. 108/2017.) i članka 43. stavka 2. točke 9. Zakona o Hrvatskoj narodnoj banci (»Narodne novine«, br. 75/2008. i 54/2013.)kojom je propisano kako je kreditna institucija dužna primijeniti mjere pojačane dubinske analize stranke kada je rizik povezan s poslovnim odnosom ili povremenom transakcijom viši. Mjere pojačane dubinske analize, osim onih propisanih Zakonom, može biti provjera identiteta stranke i stvarnog vlasnika stranke na temelju više od jednoga pouzdanoga i neovisnog izvora (članak 41.). Isto tako, čl.78. navedene Odluke propisano je da je društvo ovlašteno prikupljati, obrađivati, čuvati, dostavljati i upotrebljavati one osobne podatke koji su prema ovoj Odluci potrebni za procjenu rizika i provedbu postupka dubinske analize. Prilikom provedbe postupka dubinske analize sukladno ovoj Odluci, a u svrhu osiguravanja točnosti osobnih podataka i nedvojbene identifikacije osobe u svim slučajevima koji su propisani internim politikama društva donesenim na temelju Zakona i ove Odluke, društvo je ovlašteno obrađivati osobne podatke prikupljanjem preslike odgovarajućeg osobnog identifikacijskog dokumenta i drugih javnih isprava koje izdaju nadležna državna tijela, uz primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite prava i sloboda osobe za koju se podaci prikupljaju. Također je propisano da kod prikupljanja podataka iz članka 20. stavka 3. Zakona društvo je dužno internim politikama propisati obuhvat podataka koji su mu potrebni za procjenu rizika i provedbu postupka dubinske analize. Obuhvat podataka koji se od stranke zahtjeva treba biti proporcionalan riziku koji za društvo proizlazi iz pojedinog poslovnog odnosa, odnosno transakcije.
Dakle prikupljanje i obrada osobnih podataka banke kao voditelja obrade dopuštena je u svrhu izvršavanja pravnih obveza tj. zakonskih obveza voditelja obrade osobnih podataka, odnosno pružanje usluga te građani imaju pravo biti informirati i tražiti informacije u svezi obrade svojih osobnih podataka kako to nalaže čl.13 i 14. Opće uredbe o zaštiti podataka te ostvariti prava pod uvjetima i na način koji propisuje Opća uredba o zaštiti podataka.
Imajući u vidu gore navedene zakonske odredbe navodimo ako banka ima opravdani razlog zbog kojih je dužna nedvojbeno utvrditi identitet klijenta i prikupiti opseg podataka koji je u razmjeru sa svrhom obrade odnosno ako je navedena obrada osobnih podataka nužna za izvršavanje zakonskih obveza voditelja obrade osobnih podataka, odnosno pružanje usluga svojim klijentima (ostvarivanje punog poslovanja) takva obrada osobnih podataka u skladu je s propisima iz područja zaštite osobnih podataka.
Osim toga, navodimo kako je u vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza svakog voditelja obrade (u ovom slučaju banka) da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.). Dakle, voditelj obrade dužan je poduzeti sve mjere zaštite koje su primjerene naravi osobnih podataka koje prikuplja i obrađuje te prije svega postupati s naročitom pažnjom, oprezom i odgovornošću.
Zaključno ukazujemo kako je Zakonom o kreditnim institucijama („Narodne novine“, broj: 159/13. do 15/18.) člankom 156. propisano da su kreditne institucije dužne čuvati sve podatke činjenice i okolnosti koje su saznale na osnovi pružanja usluga klijentima i u obavljanju poslova s pojedinačnim klijentima (bankovna tajna) što podrazumijeva i poštivanje načela cjelovitosti i povjerljivosti obrade osobnih podataka.
