U okviru ispunjenja obveza prema Zakonu o sprječavanju pranja novca i financiranja terorizma (NN 108/17) banke prikupljaju osobne podatke klijenata.
Pri tom su ovlaštene prikupiti slijedeće osobne podatke za fizičku osobu: ime i prezime, prebivalište, dan, mjesec i godina rođenja, identifikacijski broj, naziv i broj identifikacijske isprave, naziv i državu izdavatelja te državljanstvo/državljanstva.
Ali su se banke dosjetile da je najbolje zatražiti kopiju osobne iskaznice jer se na njoj nalaze svi ti podaci, iako Zakon ni na koji način ne spominje kopije osobnih iskaznica niti određuje obvezu prikupljanja kopije osobne iskaznice. Pogledajmo sadržaj osobne iskaznice. Ona sadrži više vrsta osobnih podataka koje banke nisu ovlaštene temeljem spomenutog Zakona prikupljati, kao što su fotografija, datum izdavanja osobne iskaznice, datum valjanosti, potpis fizičke osobe, i brojčane oznake na poleđini osobne iskaznice.
Ovo je primjer potencijalnog kršenja GDPR-a i prekomjernog prikupljanja osobnih podataka. Ukoliko dobijete ovakav zahtjev, zatamnite polja s osobnim podacima koje niste dužni dati.
Međutim, to nije sve.
Banke su prema navedenom Zakonu obvezne osigurati stalno praćenje poslovnoga odnosa, uključujući i kontrolu transakcija koje stranka obavlja tijekom poslovnoga odnosa kako bi se osiguralo da su transakcije koje se obavljaju u skladu sa saznanjima obveznika o stranci, poslovnome profilu, profilu rizika, uključujući prema potrebi i podatke o izvoru sredstava, pri čemu dokumentacija i podatci kojima obveznik raspolaže moraju biti ažurni.
I u tu svrhu traže kopiju isplatne liste fizičke osobe kao zaposlenika neke tvrtke ili organizacije.
Vrlo zanimljivo je utvrditi da se na isplatnim listama nalaze i brojevi tekućih računa fizičkih osoba kao i podaci o drugoj banci u kojoj fizička osoba ima otvoren tekući račun, što je podatak koji banka nije ovlaštena prikupljati prema navedenom Zakonu.