Zakaj bančni veliki brat o nas hrani podatke, ki jih ne bi smel

V Sloveniji morajo banke, lizinške hiše, hranilnice, podjetja, ki se ukvarjajo s potrošniškim kreditiranjem, stanovanjski in ekosklad že vrsto let Banki Slovenije posredovati podatke o vseh posojilih in lizingih, ki jih najamejo komitenti oziroma potrošniki.

Zbirajo se v bazi Sisbon, v kateri so podatki o preteklem finančnem poslovanju nekaj manj kot 1,5 milijona državljanov. Gre za največjo bazo osebnih podatkov v državi, v kateri se dnevno zbirajo podatki o:

• posameznem komitentu (osebno ime, datum rojstva, naslov, davčna številka, podatki o osebnem stečaju ...)
• vseh njegovih poslih (transakcijski računi, redni in izredni limit, posojila, finančni lizing, kreditne in druge kartice, poroštva za posojila drugih oseb, izvršbe ...)

Baza, ki je kriva za dolg obraz marsikaterega komitenta

Banke tako vedo, če njihovi komitenti zamujajo s plačilom računov za elektriko in mobitel, koliko dolga imajo na karticah ali presegajo limite na osebnem računu in kopičijo izvršbe.

Foto: STA , Pred njimi tudi ne morejo skriti posojil, ki so jih v preteklosti najemali pri bankah doma ali v tujini. Baza Sisbon namreč bankam pomaga pri učinkovitem ocenjevanju in obvladovanju posojilnih tveganj, vzpodbujanju ukrepov za odgovorno kreditiranje in preprečevanju prezadolženosti posojilojemalcev.

Prav Sisbon je zato kriv za dolg obraz marsikaterega kominenta, ki ugotovi, da zaradi slabe plačilne sposobnosti ne more dobiti posojila za nakup stanovanja ali kupiti avtomobila na lizing, četudi se je za to obrnil na več različnih bank.

Na Hrvaškem register ne sme več delovati

Enako je bilo več let na Hrvaškem, kjer deluje register HROK. A ta je s 25. majem prenehal delovati zaradi uredbe GDPR (General Data Protection Regulation v angl).

Hrvaške banke namreč niso dobile jasnega pravnega zagotovila, da lahko še naprej uporabljajo podatke o komitentih brez njihovega izrecnega soglasja.

Posledično zato hrvaške banke in drugi ne morejo več preverjati bonitete in drugih podatkov o (potencialnih) komitentih. Kot nekoč, se morajo ponovno zanašati le na njihove izjave, da nimajo dolgov pri drugih bankah. V nasprotnem primeru tvegajo visoko kazen.

V Sloveniji, enako kot Hrvaška članici EU, za katero velja uredba GDPR, je očitno drugače. V Banki Slovenije, ki upravlja register, in tudi pri informacijskem pooblaščencu, ki bdi nad obdelavo osebnih podatkov, zagotavljajo, da bo baza Sisbon delovala še naprej, četudi kominenti za vnos podatkov ne bodo dali soglasja.

Novice Kaj morate kot državljan EU vedeti o svojih osebnih podatkih in z njimi povezanih pravicah

Zakaj bo baza delovala v Sloveniji, na Hrvaškem pa ne sme?

Zakaj? "Za obdelavo podatkov o kreditni izpostavljenosti ni potrebno soglasje komitentov, ker se ti podatki v Sisbonu obdelujejo na podlagi zakona o centralnem kreditnem registru," so odgovorili v Banki Slovenije.

Mojca Prelesnik, vodja informacijskega pooblaščenca Foto: STA , Medtem ko na Hrvaškem takšnega zakona še nimajo, v Sloveniji velja od leta 2007. Kot tak je zato nadrejen uredbi. Po začetku veljavnosti uredbe GDPR se torej za register Sisbon ni spremenilo nič, poudarjajo na Banki Slovenije.

"Zakon namreč že ureja vse elemente zbiranja, obdelave in izvrševanja pravic posameznikov in je dejansko že pred uveljavitvijo uredbe GDPR določal strožje varstvo posameznikov," so pojasnili.

Tudi pri informacijskem pooblaščencu, ki ga vodi Mojca Prelesnik, zagotavljajo, da Banki Slovenije ne bo potrebno od posojilojemalcev pridobivati novih izrecnih soglasij za obdelavo osebnih podatkov, saj da to ureja zakon.

Novice GDPR: Nemci naredili epsko neumnost in jo poskusili prikriti

Zakaj Sisbon hrani podatke, ki jih ne bi smel?

Toda to ni edina s tem povezana dilema. Z novo evropsko uredbo GDPR so namreč posamezniki pridobili tako imenovano pravico do popravka oziroma izbrisa. Od upravljavca baze podatkov lahko zahtevajo, da ta brez nepotrebnega odlašanja izbriše vse osebne podatke o njih.

S soglasjem več kominentov, med drugim Nove Ljubljanske banke (NLB) in SKB, smo vpogledali v njihove podatke, zbrane v Sisbonu. Ugotovili smo, da se v bazi še vedno nahajajo podatki, ki bi morali biti po zakonu že zdavnaj izbrisani.

Vsi uporabniki se lahko v spletno aplikacijo Moj Sisbon prijavijo z digitalnim potrdilom. V njej lahko med drugim pridobijo pregled in izpis podatkov, oddajo zahtevka za popravek podatkov in tudi preverijo, kdo vse je vpogledoval v podatke. Foto: Siol.net/ A. P. K. Gre za podatke o dolgovih, ki so bili odplačani že pred več kot štirimi leti, blokadah in limitih iz prejšnjega desetletja. O komitentu lahko dajejo tudi izkrivljeno sliko. Teh podatkov Sisbon ne bi smel hraniti, ker zakonsko določen rok njihove hrambe traja največ štiri leta.

To so potrdili tudi na Banki Slovenije. "Fizična oseba brez utemeljenega razloga ne more zahtevati izbrisa podatkov o kreditni izpostavljenosti, saj veljajo zakonsko določeni roki hrambe. Podatki (...) se v sistemu izmenjave hranijo štiri leta po prenehanju obveznosti," so nam pojasnili.

822 tisoč vpogledov v bančne podatke

V zakonu je tudi varovalka, ki naj bi preprečevala nepooblaščene vpoglede.

Posameznik, vključen v register Sisbon, lahko preko spletnega portala Moj Sisbon vselej vpogleda v zbrane podatke o samem sebi, tako pozitivne kot negativne finančne dogodke. Tudi o tem, kdo in kdaj ga je preverjal. Zagotovljena je torej sledljivost.

Foto: Siol.net/ A. P. K. Ob tem se skokovito povečuje število vpogledov v finančno drobovje potencialnih komitentov, ki jih veliko večino opravijo banke, hranilnice in drugi pooblaščeni.

V lanskem letu je bilo skupno 822 tisoč vpogledov, samo v prvih štirih mesecih letos pa jih je bilo po podatkih Banke Slovenije opravljenih že več kot 300 tisoč.

Ob tem se je lani prek spletne aplikacije z lastnimi podatki v Sisbonu seznanilo 26.790 fizičnih oseb (14 odstotkov več), v Banki Slovenije pa so jim po pošti posredovali dodatnih 4.079 izpisov.