Banke imajo o nas pravico zbirati več podatkov kot druga podjetja in ponudniki. Poleg imena, priimka, rojstnega datuma tudi številko osebnega dokumenta, davčno številko, zaposlitveni status, politično izpostavljenost, elektronski naslov in telefonsko številko, o nas zbirajo geolokacijske podatke, podatke o kreditni sposobnosti... Je pa nedavno našo bralko začudilo, ko so o njej želeli vedeti še nekoliko več. Ker ji je potekla osebna izkaznica, so jo iz njene banke pozvali, naj prinese nov veljaven dokument.
To je tudi storila, a za bančno uslužbenko to ni bilo dovolj, želela je še datum njene prve zaposlitve in naziv delovnega mesta. Na njeno začudenje, zakaj bi banka te podatke potrebovala, saj ima pri njih zgolj odprt račun in nima namena zaprošati za posojilo, ji je uslužbenka pojasnila, da je sicer računalniški program ne spusti naprej. Tudi zaradi nadaljnjih skopih in nejasnih pojasnilih, zakaj banka potrebuje te podatke, se je odločila, da jim teh podatkov ne zaupa. Naslednji dan ni več mogla dvigovati gotovine na bankomatu, z banke pa je znova prispelo sporočilo, naj dostavi veljaven osebni dokument, sicer ji lahko ukinejo račun.
Je šla banka predaleč, zbira podatke na zalogo? Jasnega odgovora tukaj ni, pozna ga le banka sama in ga bo morala stranki tudi razložiti, drži pa, da imajo banke pri zbiranju naših osebnih podatkov nekaj več pravic in celo obveznosti. Te jim nalaga Zakon o preprečevanju pranja denarja in financiranja terorizma. A ker zakon ne določa povsem natančno, kateri podatki pod to spadajo, imajo banke različne pristope in različen nabor podatkov, ki jih od strank zahtevajo.
Slaba volja
Ne glede na to pa na Uradu informacijske pooblaščenke vedno poudarjajo, da je banka, četudi ji zbiranje podatkov nalaga zakon, strankam vedno dolžna nuditi ustrezne informacije o namenu zbiranja podatkov. Te informacije pa morajo biti podane v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Vedno velja tudi načelo najmanjšega obsega podatkov - torej samo tistih, ki so nujni za posamezen primer. Če karikiramo: serviser ob popravilu vašega avta ne potrebuje podatka, kakšne avtomobile vozijo ostali vaši družinski člani. K njemu ste prišli zaradi popravila in ne širitve njegovega trga.
Čeprav so nam z dveh bank, na kateri smo naslovili vprašanja, zagotovili, da veliko vlagajo v izobraževanje svojih zaposlenih in da imajo vsa pojasnila glede osebnih podatkov objavljena tudi na spletnih straneh, v Uradu informacijskega pooblaščenca ugotavljajo – ne samo v primeru bank, ampak v vseh postopkih, ki jih vodijo -, da do slabe volje prihaja prav zaradi pomanjkljive razlage, zakaj nekdo nek podatek potrebuje. Informacijski pooblaščenec je lani zaradi suma kršitve varstva osebnih podatkov obravnaval 1.030 novih zadev ter na tej podlagi uvedel 500 novih nadzornih postopkov. »Največ prijav glede kršitev se je v letu 2024 nanašalo na izvajanje videonadzora.
Po številu so sledile prijave, vložene zaradi nezakonitega razkrivanja in posredovanja osebnih podatkov neupravičenim osebam, nezakonitega ali prekomernega zbiranja osebnih podatkov, uporabe osebnih podatkov za namene neposrednega trženja, neustreznega zagotavljanja varnosti osebnih podatkov ter nezakonitih vpogledov v zbirke osebnih podatkov. Pogosto se v postopkih izkaže, da bi lahko upravljavci marsikatero prijavo preprečili, če bi ob zbiranju ali pridobitvi osebnih podatkov posameznikom zagotovili pregledne, razumljive in lahko dostopne informacije,« ugotavlja informacijska pooblaščenka Jelena Virant Burnik.
Zavora pri trženju
Pozor, zakonska obveznost zbiranja podatkov bankam še ne omogoča, da te podatke obdelujejo tudi za trženje, torej da bi strankam pošiljali reklame, jih obveščali o možnostih kredita glede na njihovo stanje na računu. Za trženjske aktivnosti mora banka od stranke pridobiti posebno privoljenje. In če nismo gotovi, kaj vse o nas zbirajo, lahko tako od bank kot tudi od vseh ostalih institucij in podjetij zahtevamo natančen seznam vseh osebnih podatkov, ki jih hranijo o nas. Zahtevamo lahko tudi izbris podatkov, vendar ne vseh – banke denimo ne bodo zbrisale podatkov, ki jih o nas zbirajo na podlagi zakonske obveznosti. Nekatere podatke so banke dolžne hraniti še deset let po tistem, ko nismo več njihova stranka. Jih pa po preteku tega roka, tako zagotavlja Luka Brlan iz Nove Ljubljanske banke (NLB), sistemsko izbrišejo oziroma anonimizirajo, da jih ni več moč povezovati z določeno osebo.
Banke imajo o nas morda še najbolj celovito zbirko osebnih podatkov. S kartičnim plačevanjem jim puščamo sled o naših nakupih, potrebah, lokacijah. Natančne podatke imajo o naših prihodkih, morebitnih posojilih in še marsičem. Vedo za našo starost, zaposlitveni status, politično izpostavljenost... Zato nas je zanimalo, kako skrbijo, da vsi ti podatki ne pridejo v napačne roke. Luka Brlan iz NLB nam je pojasnil, da varovanju bančnih in osebnih podatkov posvečajo izjemno pozornost, jih skrbno hranijo in varujejo, da ne bi prišlo do morebitnih neupravičenih razkritij podatkov nepooblaščenim osebam. To počno tako s tehničnimi kot organizacijskimi ukrepi ter z izobraževanjem svojih zaposlenih. Kaj pa, ko banka za izdelavo bančne kartice ali pošiljanje obvestil podatke posredovati drugim podjetjem?
Obdelovanje podatkov
Brlan potrdi, da banka za namen izvajanja storitev podpore poslovnim procesom zaposluje tudi zunanje izvajalce, ki obdelujejo osebne podatke v imenu in za račun banke, predvsem na področju hrambe, tiskanja raznih obvestil, procesiranja kartičnih transakcij, informacijskih storitev in podpore. »Pogodbeni obdelovalci banke so skrbno izbrani, preverjeni in zavezani k varovanju osebnih podatkov, skladno z veljavnimi predpisi. Banka z pogodbenimi izvajalci skladno z veljavno zakonodajo sklene ustrezne pogodbe o obdelavi osebnih podatkov,« odgovarja na pomisleke glede varnosti naših podatkov.
Včasih pa naši podatki iz bank vendarle odtečejo tudi kam, kamor si mi sami ne bi želeli, a jih je banka po zakonu dolžna posredovati. Največkrat se to zgodi na poziv Banke Slovenije, Urada za preprečevanje pranja denarja, Finančne uprave Republike Slovenije, sodišč, policije in sistema izmenjave informacij (SISBON).
