Pojasnila o upravljanju sistema SISBON v povezavi z GDPR
Z uveljavitvijo Splošne uredbe o varstvu osebnih podatkov (25. maj 2018) se povečuje zanimanje medijev in splošne javnosti glede sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON, ki ga upravlja Banka Slovenije. Ker se v javnosti pojavljajo napačne razlage vsebine zakona v povezavi s splošno direktivo, v nadaljevanju nekaj pojasnil.
Sistem SISBON so vzpostavile banke in hranilnice leta 2008 na podlagi takrat veljavnega Zakona o bančništvu. Vzpostavljen je z namenom učinkovitega ocenjevanja in obvladovanja kreditnega tveganja pri kreditodajalcih, v zvezi s sklepanjem in izvajanjem kreditnih poslov s fizičnimi osebami, vzpodbujanja politik in ukrepov za odgovorno kreditiranje ter za vzdržno zadolževanje in preprečevanje prezadolženosti fizičnih oseb. Januarja 2016 je na podlagi Zakona o bančništvu – ZBan-2, sistem SISBON v upravljanje prevzela Banka Slovenije.
Od decembra 2016 dalje, je delovanje sistema SISBON urejeno z Zakonom o centralnem kreditnem registru (ZCKR), ki predstavlja pravno podlago za obdelavo osebnih podatkov o zadolženosti fizičnih oseb. Zakon tako določa, kateri podatki o zadolženosti posameznika se lahko obdelujejo v sistemu SISBON, kdo posreduje podatke v sistem, kdo, kdaj oziroma s kakšnim namenom lahko vpogleda v podatke posameznika, rok hrambe podatkov in pravice posameznika v zvezi s podatki, ki se o njem vodijo v SISBON-u.
Z uveljavitvijo Splošne uredbe o varstvu osebnih podatkov, se upravljanje sistema SISBON in obdelava podatkov v sistemu, ne spreminjata, saj ZCKR ureja vse elemente zbiranja, obdelave in izvrševanja pravic posameznikov. ZCKR je pred uveljavitvijo Splošne uredbe določal strožje varstvo posameznikov. Zakon zagotavlja članom pravico zbiranja podatkov, brez izrecnega soglasja fizičnih oseb.
Pravila glede obdelave podatkov v sistemu SISBON so tako jasno določena in opredeljena z ZCKR.
- V sistemu SISBON se ne obdelujejo podatki o prihodkih posameznikov, transakcijah, ki jih posamezniki opravijo z osebnimi računi, ali zamudah pri poravnavanju posameznikovih življenjskih stroškov (npr. položnic za vodo, elektriko, ogrevanje...).
- Sistem SISBON ne določa bonitete posameznika, ali povedano drugače, v sistemu SISBON ni podatka kdo je kreditno sposoben in kdo ne. Boniteto oz. kreditno sposobnost kreditojemalca določi banka oz. član sistema sam na podlagi svoje politike kreditiranja.
- Pravica posameznika do popravka in izbrisa napačnega podatka oz. podatka, za katerega ne obstoji pravna podlaga, v okviru sistema SISBON ni nova in ni nastala z uveljavitvijo Splošne uredbe o varstvu osebnih podatkov. Te pravice, poleg ostalih, ki jih prinaša splošna uredba, ima posameznik zagotovljene že od začetka delovanja sistema SISBON.
- Podatki o kreditnih poslih, zavarovanjih, postopkih zaradi osebnega stečaja oziroma postopkih davčne, upravne ali sodne izvršbe, so v sistemu SISBON vidni štiri leta po prenehanju obveznosti, po poteku tega roka pa se podatki avtomatsko izbrišejo. Za prenehanje obveznosti v sistemu SISBON se šteje datum, ki ga v sistem poroča banka oz. član sistema, ki je vodil poslovni odnos s komitentom.
- Za pravilnost, točnost in ažurnost podatkov, ki se o posamezniku obdelujejo v sistemu SISBON, je odgovorna banka oz. član sistema, ki jih je v sistem posredoval. V kolikor se posameznik s posredovanimi informacijami ne strinja, ima na voljo pravico do dopolnitve, popravka, blokiranja, izbrisa in ugovora, ki je urejena v 24. členu ZCKR. Iz navedenega tako izhaja, da je za presojo utemeljenosti zahteve za popravek pristojna banka kot upravljavec osebnih podatkov in ne Banka Slovenije. V kolikor se z odločitvijo banke o zahtevi za popravek posameznik ne strinja, mu je v skladu z določbami ZVOP-1 na voljo zahteva za sodno varstvo, o kateri odloča pristojno sodišče.