SiolNET. Posel danes Novice
3,89

termometer

  • Messenger
  • Messenger

Zakaj bančni veliki brat o nas hrani podatke, ki jih ne bi smel

3,89

termometer

Računalnik, internet
Foto: Thinkstock

Pri uvajanju evropske uredbe o varstvu podatkov (GDPR), ki določa strožja pravila pri varovanju podatkov, se pojavljajo številne nejasnosti. Našli smo primer, kako države znotraj iste EU različno obravnavajo zbiranje podatkov v register o zadolženosti fizičnih oseb. Odkrili smo tudi, da register hrani podatke, ki jih po zakonu ne bi smel.

V Sloveniji morajo banke, lizinške hiše, hranilnice, podjetja, ki se ukvarjajo s potrošniškim kreditiranjem, stanovanjski in ekosklad že vrsto let Banki Slovenije posredovati podatke o vseh posojilih in lizingih, ki jih najamejo komitenti oziroma potrošniki.

Zbirajo se v bazi Sisbon, v kateri so podatki o preteklem finančnem poslovanju nekaj manj kot 1,5 milijona državljanov. Gre za največjo bazo osebnih podatkov v državi, v kateri se dnevno zbirajo podatki o:

  • posameznem komitentu (osebno ime, datum rojstva, naslov, davčna številka, podatki o osebnem stečaju ...)
  • vseh njegovih poslih (transakcijski računi, redni in izredni limit, posojila, finančni lizing, kreditne in druge kartice, poroštva za posojila drugih oseb, izvršbe ...)

Baza, ki je kriva za dolg obraz marsikaterega komitenta

Banke tako vedo, če njihovi komitenti zamujajo s plačilom računov za elektriko in mobitel, koliko dolga imajo na karticah ali presegajo limite na osebnem računu in kopičijo izvršbe.

Bankomat Foto: STA Pred njimi tudi ne morejo skriti posojil, ki so jih v preteklosti najemali pri bankah doma ali v tujini. Baza Sisbon namreč bankam pomaga pri učinkovitem ocenjevanju in obvladovanju posojilnih tveganj, vzpodbujanju ukrepov za odgovorno kreditiranje in preprečevanju prezadolženosti posojilojemalcev.

Prav Sisbon je zato kriv za dolg obraz marsikaterega kominenta, ki ugotovi, da zaradi slabe plačilne sposobnosti ne more dobiti posojila za nakup stanovanja ali kupiti avtomobila na lizing, četudi se je za to obrnil na več različnih bank.

Na Hrvaškem register ne sme več delovati

Enako je bilo več let na Hrvaškem, kjer deluje register HROK. A ta je s 25. majem prenehal delovati zaradi uredbe GDPR (General Data Protection Regulation v angl).

Hrvaške banke namreč niso dobile jasnega pravnega zagotovila, da lahko še naprej uporabljajo podatke o komitentih brez njihovega izrecnega soglasja.

Posledično zato hrvaške banke in drugi ne morejo več preverjati bonitete in drugih podatkov o (potencialnih) komitentih. Kot nekoč, se morajo ponovno zanašati le na njihove izjave, da nimajo dolgov pri drugih bankah. V nasprotnem primeru tvegajo visoko kazen.

V Sloveniji, enako kot Hrvaška članici EU, za katero velja uredba GDPR, je očitno drugače. V Banki Slovenije, ki upravlja register, in tudi pri informacijskem pooblaščencu, ki bdi nad obdelavo osebnih podatkov, zagotavljajo, da bo baza Sisbon delovala še naprej, četudi kominenti za vnos podatkov ne bodo dali soglasja.

Evropska unija, varovanje podatkov, GDPR Digisvet Kaj morate kot državljan EU vedeti o svojih osebnih podatkih in z njimi povezanih pravicah

Zakaj bo baza delovala v Sloveniji, na Hrvaškem pa ne sme?

Zakaj? "Za obdelavo podatkov o kreditni izpostavljenosti ni potrebno soglasje komitentov, ker se ti podatki v Sisbonu obdelujejo na podlagi zakona o centralnem kreditnem registru," so odgovorili v Banki Slovenije.

Mojca Prelesnik, vodja informacijskega pooblaščenca Mojca Prelesnik, vodja informacijskega pooblaščenca Foto: STA Medtem ko na Hrvaškem takšnega zakona še nimajo, v Sloveniji velja od leta 2007. Kot tak je zato nadrejen uredbi. Po začetku veljavnosti uredbe GDPR se torej za register Sisbon ni spremenilo nič, poudarjajo na Banki Slovenije.

"Zakon namreč že ureja vse elemente zbiranja, obdelave in izvrševanja pravic posameznikov in je dejansko že pred uveljavitvijo uredbe GDPR določal strožje varstvo posameznikov," so pojasnili.

Tudi pri informacijskem pooblaščencu, ki ga vodi Mojca Prelesnik, zagotavljajo, da Banki Slovenije ne bo potrebno od posojilojemalcev pridobivati novih izrecnih soglasij za obdelavo osebnih podatkov, saj da to ureja zakon.

GDPR, Ghostery Digisvet GDPR: Nemci naredili epsko neumnost in jo poskusili prikriti

Zakaj Sisbon hrani podatke, ki jih ne bi smel?

Toda to ni edina s tem povezana dilema. Z novo evropsko uredbo GDPR so namreč posamezniki pridobili tako imenovano pravico do popravka oziroma izbrisa. Od upravljavca baze podatkov lahko zahtevajo, da ta brez nepotrebnega odlašanja izbriše vse osebne podatke o njih.

S soglasjem več kominentov, med drugim Nove Ljubljanske banke (NLB) in SKB, smo vpogledali v njihove podatke, zbrane v Sisbonu. Ugotovili smo, da se v bazi še vedno nahajajo podatki, ki bi morali biti po zakonu že zdavnaj izbrisani.

Vsi uporabniki se lahko v spletno aplikacijo Moj Sisbon prijavijo z digitalnim potrdilom. V njej lahko med drugim pridobijo pregled in izpis podatkov, oddajo zahtevka za popravek podatkov in tudi preverijo, kdo vse je vpogledoval v podatke. Vsi uporabniki se lahko v spletno aplikacijo Moj Sisbon prijavijo z digitalnim potrdilom. V njej lahko med drugim pridobijo pregled in izpis podatkov, oddajo zahtevka za popravek podatkov in tudi preverijo, kdo vse je vpogledoval v podatke. Foto: Siol.net Gre za podatke o dolgovih, ki so bili odplačani že pred več kot štirimi leti, blokadah in limitih iz prejšnjega desetletja. O komitentu lahko dajejo tudi izkrivljeno sliko. Teh podatkov Sisbon ne bi smel hraniti, ker zakonsko določen rok njihove hrambe traja največ štiri leta.

To so potrdili tudi na Banki Slovenije. "Fizična oseba brez utemeljenega razloga ne more zahtevati izbrisa podatkov o kreditni izpostavljenosti, saj veljajo zakonsko določeni roki hrambe. Podatki (...) se v sistemu izmenjave hranijo štiri leta po prenehanju obveznosti," so nam pojasnili.

822 tisoč vpogledov v bančne podatke

V zakonu je tudi varovalka, ki naj bi preprečevala nepooblaščene vpoglede.

Posameznik, vključen v register Sisbon, lahko preko spletnega portala Moj Sisbon vselej vpogleda v zbrane podatke o samem sebi, tako pozitivne kot negativne finančne dogodke. Tudi o tem, kdo in kdaj ga je preverjal. Zagotovljena je torej sledljivost.

Sisbon Foto: Siol.net Ob tem se skokovito povečuje število vpogledov v finančno drobovje potencialnih komitentov, ki jih veliko večino opravijo banke, hranilnice in drugi pooblaščeni.

V lanskem letu je bilo skupno 822 tisoč vpogledov, samo v prvih štirih mesecih letos pa jih je bilo po podatkih Banke Slovenije opravljenih že več kot 300 tisoč.

Ob tem se je lani prek spletne aplikacije z lastnimi podatki v Sisbonu seznanilo 26.790 fizičnih oseb (14 odstotkov več), v Banki Slovenije pa so jim po pošti posredovali dodatnih 4.079 izpisov.

Kaj je Sisbon

Informacijski sistem, ki so ga banke in hranilnice vzpostavile leta 2008, s čimer so omogočile medsebojno izmenjavo in obdelavo osebnih podatkov o komitentih, ki so povezani z njihovo kreditno sposobnostjo.

Dostop do teh podatkov, ki zajemajo celotno finančno poslovanje potrošnika, naj bi bankam omogočal lažje odločanje o tem, ali bodo posojilo odobrile in pod katerimi pogoji.

Pred tem se je namreč dogajalo, da so posamezniki izkoriščali luknje v sistemu. Hkrati so namreč najemali posojila pri več različnih bankah in s tem prišli do sredstev, ki jih glede na svojo kreditno sposobnost ne bi mogli.

Pojasnila Banke Slovenije

Iz Banke Slovenije so nam danes posredovali naslednja pojasnila:

- V sistemu SISBON se ne obdelujejo podatki o prihodkih posameznikov, transakcijah, ki jih posamezniki opravijo z osebnimi računi, ali zamudah pri poravnavanju posameznikovih življenjskih stroškov (npr. položnic za vodo, elektriko, ogrevanje...).

- Sistem SISBON ne določa bonitete posameznika, ali povedano drugače, v sistemu SISBON ni podatka, kdo je kreditno sposoben in kdo ne. Boniteto oz. kreditno sposobnost kreditojemalca določi banka oz. član sistema sam na podlagi svoje politike kreditiranja.

- Pravica posameznika do popravka in izbrisa napačnega podatka oz. podatka, za katerega ne obstoji pravna podlaga, v okviru sistema SISBON ni nova in ni nastala z uveljavitvijo Splošne uredbe o varstvu osebnih podatkov. Te pravice, poleg ostalih, ki jih prinaša splošna uredba, ima posameznik zagotovljene že od začetka delovanja sistema SISBON.

- Podatki o kreditnih poslih, zavarovanjih, postopkih zaradi osebnega stečaja oziroma postopkih davčne, upravne ali sodne izvršbe so v sistemu SISBON vidni štiri leta po prenehanju obveznosti, po poteku tega roka pa se podatki avtomatsko izbrišejo. Za prenehanje obveznosti v sistemu SISBON se šteje datum, ki ga v sistem poroča banka oz. član sistema, ki je vodil poslovni odnos s komitentom.

- Za pravilnost, točnost in ažurnost podatkov, ki se o posamezniku obdelujejo v sistemu SISBON, je odgovorna banka oz. član sistema, ki jih je v sistem posredoval. V kolikor se posameznik s posredovanimi informacijami ne strinja, ima na voljo pravico do dopolnitve, popravka, blokiranja, izbrisa in ugovora, ki je urejena v 24. členu ZCKR. Iz navedenega tako izhaja, da je za presojo utemeljenosti zahteve za popravek pristojna banka kot upravljavec osebnih podatkov in ne Banka Slovenije. V kolikor se z odločitvijo banke o zahtevi za popravek posameznik ne strinja, mu je v skladu z določbami Zakona o varovanju osebnih podatkov-1 na voljo zahteva za sodno varstvo, o kateri odloča pristojno sodišče

Komentarji

Pridružite se razpravi!
Za komentar se prijavite tukaj. Strinjam se s pogoji uporabe.

delitve: 30
Delite na: Facebook Twitter Viber Pinterest Messenger E-mail Linkedin