Na podlagi petega odstavka 38. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22) minister za finance izdaja
o tehničnih pogojih, ki jih morajo izpolnjevati sefi in videoelektronska identifikacijska sredstva oziroma sredstva, ki omogočajo ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti
S tem pravilnikom se za namen preprečevanja pranja denarja in financiranja terorizma določajo minimalni tehnični pogoji, ki jih morajo izpolnjevati:
1. sefi, do katerih se dostopa na podlagi elektronske identifikacijske kartice, osebnega gesla za dostop in videoelektronskega identifikacijskega sredstva oziroma sredstva, ki omogoča ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti, in
2. elektronske identifikacijske kartice, osebna gesla za dostop in videoelektronska identifikacijska sredstva oziroma sredstva, ki omogočajo ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti, s katerimi se dostopa do sefov iz prejšnje točke.
Izrazi, uporabljeni v tem pravilniku, pomenijo:
1. »biometrične značilnosti« so osebni podatki, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;
2. »elektronska identifikacijska kartica« je elektronska kartica, ki vsebuje podatke, s katerimi lahko zavezanec preveri in ugotovi istovetnost imetnika te kartice;
3. »sef« je sef, do katerega se dostopa na podlagi elektronske identifikacijske kartice, osebnega gesla za dostop in videoelektronskega identifikacijskega sredstva oziroma sredstva, ki omogoča ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti;
4. »videoelektronsko identifikacijsko sredstvo« je sredstvo, ki z zajemom posnetka osebe omogoča ugotavljanje njene istovetnosti;
5. »zavezanec« je pravna ali fizična oseba, ki opravlja dejavnost oddajanja sefov.
(osebna navzočnost in predhodna privolitev stranke)
(1) Ob sklenitvi pogodbe o najemu sefa ali ob podelitvi pooblastila za dostop do najetega sefa zavezanec ugotovi in preveri istovetnost stranke, ki je fizična oseba, z vpogledom v njen osebni dokument ob njeni osebni navzočnosti. Če iz tega dokumenta ni mogoče dobiti vseh predpisanih podatkov, se manjkajoči podatki pridobijo iz druge veljavne javne listine, ki jo predloži stranka, ali neposredno od nje.
(2) Pred odvzemom njenih podatkov za potrebe videoelektronskega identifikacijskega sredstva oziroma sredstva, ki omogoča ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti, se stranko pozove, da poda pisno privolitev k izvedbi celotnega postopka ter da posebej privoli v odvzem oziroma zajem, hrambo in obdelavo njenih osebnih podatkov.
(3) Za veljavnost privolitve iz prejšnjega odstavka veljajo določbe o pogojih za veljavnost privolitve, kot jih opredeljuje 7. člen Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št. 119 z dne 4. 5. 2016, str. 1), zadnjič popravljene s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 2).
(4) Stranka, ki je fizična oseba, mora biti osebno navzoča ob odvzemu njenih podatkov za potrebe videoelektronskega identifikacijskega sredstva oziroma sredstva, ki omogoča ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti.
(5) Vsi podatki, pridobljeni z odvzemom iz drugega odstavka tega člena in med ugotavljanjem istovetnosti z videoelektronskim identifikacijskim sredstvom oziroma sredstvom, ki omogoča ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti, morajo biti ustrezno zaščiteni pred neupravičenim dostopom in zlorabo.
(6) Določbe tega člena se uporabljajo tudi za zakonitega zastopnika in pooblaščenca stranke.
(osebni podatki in hramba podatkov)
(1) Osebni podatki, dokumentacija in posnetki, ki se zbirajo in obdelajo za potrebe dostopa do sefa na podlagi elektronske identifikacijske kartice, osebnega gesla za dostop in videoelektronskega identifikacijskega sredstva oziroma sredstva, ki omogoča ugotavljanje istovetnosti stranke na podlagi biometričnih značilnosti, se v skladu s prvim odstavkom 17. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22; v nadaljnjem besedilu: ZPPDFT-2) zbirajo in obdelajo za namen preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter zanje v celoti veljajo določbe tega zakona, s katerimi je določena uporaba pridobljenih podatkov, dokumentacije in posnetkov ter obveščanje posameznika o obdelavi osebnih podatkov.
(2) Zavezanca glede hrambe podatkov iz prvega odstavka prejšnjega člena zavezuje določba 142. člena ZPPDFT-2 o hrambi podatkov pri zavezancu.
(1) Zavezanec zagotovi, da je dovoljen dostop do sefa samo stranki, ki se izkaže z njej izdano elektronsko identifikacijsko kartico in svojim osebnim geslom za dostop ter katere istovetnost je bila predhodno uspešno ugotovljena na podlagi videoelektronskega identifikacijskega sredstva oziroma sredstva, ki omogoča ugotavljanje istovetnosti na podlagi biometričnih značilnosti.
(2) Prejšnji odstavek se uporablja tudi za zakonitega zastopnika in pooblaščenca stranke.
(3) Zavezanec zagotovi, da do sefa lahko dostopa samo ena oseba hkrati.
(elektronska identifikacijska kartica)
(1) Zavezanec zagotovi, da je elektronska identifikacijska kartica vezana na posamezno fizično osebo in da je neprenosljiva.
(2) Elektronska identifikacijska kartica mora biti ustrezno zaščitena pred neupravičenim dostopom, spremembo in zlorabo podatkov na njej.
(1) Zavezanec zagotovi, da je osebno geslo za dostop vezano na posamezno fizično osebo in da je neprenosljivo.
(2) Osebno geslo za dostop mora biti ustrezno dolgo in zapleteno, tako da ga je težko uganiti z avtomatiziranim ali naključnim poskušanjem, pri čemer se upoštevajo informacijska varnostna tveganja okolja oziroma okolij zavezanca.
(videoelektronsko identifikacijsko sredstvo oziroma sredstvo, ki omogoča ugotavljanje istovetnosti fizične osebe na podlagi biometričnih značilnosti)
(1) Videoelektronsko identifikacijsko sredstvo oziroma sredstvo, ki omogoča ugotavljanje istovetnosti fizične osebe na podlagi biometričnih značilnosti, mora zagotavljati ustrezno stopnjo zanesljivosti pri ugotavljanju istovetnosti.
(2) V primeru prenosa podatkov se ugotavljanje istovetnosti s sredstvom iz prvega odstavka tega člena izvaja z uporabo ustrezne tehnične opreme, ki zagotavlja varen prenos s šifriranjem celotne komunikacijske poti (šifriranje med končnimi točkami), tako da prenosa ni mogoče prestreči. Za šifriranje je treba uporabiti šifrirne algoritme in postopek upravljanja ključev, za katere niso znane varnostne pomanjkljivosti, in šifrirne ključe temu ustreznih dolžin.
(3) Vsi podatki, pridobljeni med ugotavljanjem istovetnosti s sredstvom iz prvega odstavka tega člena, morajo biti ustrezno zaščiteni pred neupravičeno obdelavo.
(1) Za potrebe zagotavljanja sledljivosti dostopov do sefov in preiskovanja varnostnih incidentov zavezanec zagotovi evidentiranje dogodkov (revizijska sled), ki se nanašajo na dostop do sefa.
(2) Revizijska sled mora vsebovati podatke vsaj o naslednjih dogodkih:
– ugotavljanje istovetnosti osebe, ki je dostopila do sefa,
– datum in ura dostopa do sefa ter odpiranja in zapiranja sefa,
– ali je bil dostop do sefa odobren ali zavrnjen ter razlog morebitne zavrnitve.
Ta pravilnik začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. IPP 007-627/2022
Ljubljana, dne 11. maja 2023
EVA 2022-1611-0088