Na podlagi prvega odstavka 372. člena Zakona o bančništvu (Uradni list RS, št. 25/15) in 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo in 59/11) izdaja Svet Banke Slovenije
sistema izmenjave informacij o boniteti strank – SISBON
I. UVODNA DOLOČILA IN OPREDELITEV POJMOV
(1) Pravila sistema izmenjave informacij o boniteti strank – SISBON (v nadaljevanju »pravila«) določajo tehnične pogoje za dostop do sistema, ukrepe za zavarovanje osebnih podatkov, ki se zbirajo in obdelujejo v sistemu ter ostala vprašanja upravljanja in uporabe sistema in s tem povezane porazdelitve medsebojnih pravic, obveznosti in odgovornosti med Upravljavcem ter Uporabnikom oziroma Omejenim Uporabnikom.
(2) Izrazi, uporabljeni v teh pravilih, pomenijo:
SISBON – slovenski elektronski informacijski sistem izmenjave informacij o boniteti strank, ki so fizične osebe, kot je opredeljen v ZBan-2. Omogoča avtomatsko obdelavo osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, povezovanje, spreminjanje, vpogled, uporabo ali sporočanje, vključno s prenosom, iskanjem, blokiranjem in brisanje osebnih podatkov Uporabnikov in njihovih Komitentov.
Upravljavec sistema in zbirke podatkov o boniteti strank –Banka Slovenije (v nadaljevanju Upravljavec) zagotavlja pravilno in nemoteno delovanje SISBON in v tem okviru predvsem delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito, kakor tudi funkcionalnost sistema v smislu določb področnih predpisov (ZBan-2, ZPotK-1) in upravlja zbirko podatkov v skladu z določbami ZBan-2 in ZVOP-1.
Uporabniki –vse banke in hranilnice, katerih glavni sedež ali sedež registrirane podružnice se nahaja v Republiki Sloveniji; finančne institucije katerih glavni sedež ali sedež registrirane podružnice se nahaja v Republiki Sloveniji in katerih izključna ali pretežna dejavnost je opravljanje storitev finančnega zakupa in ki izpolnjujejo kriterije za vključitev v SISBON v skladu z ZBan-2; pravne osebe katerih glavni sedež ali sedež registrirane podružnice se nahaja v Republiki Sloveniji, ki opravljajo storitve izdaje osebnih kartic z odloženim plačilom, izpolnjujejo pogoj za vključitev v SISBON v skladu z ZBan-2 in so se za to vključitev odločile; banke države članice EU, ki na območju Republike Slovenije v skladu z določili ZBan-2 neposredno opravljajo storitve v Republiki Sloveniji in so se za to vključitev odločile.
Omejeni uporabniki – drugi dajalci kreditov s sedežem v Republiki Sloveniji ali v drugi državi članici Evropske unije, za katere ne velja možnost vključitve v SISBON po ZBan-2, in ki imajo pravico do omejenega dostopa in obdelave podatkov iz SISBON v skladu z določili ZPotK-1.
Pogodbeni obdelovalec – pravna ali fizična oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov pod pogojem, da je registrirana za opravljanje takšne dejavnosti, in v skladu s pogodbo z upravljavcem zagotavlja operativno pravilno in nemoteno delovanje SISBON, kar pomeni, da zagotavlja delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito v skladu z ZVOP-1 in ZBan-2. Pogodbeni obdelovalec osebnih podatkov Komitentov, ki jih v SISBON posredujejo Uporabniki, je obdelovalec podatkov, s katerim Banka Slovenije sklene pogodbo za obdelavo osebnih podatkov Komitentov posameznikov in osebnih podatkov pooblaščenih oseb pri posameznemu uporabniku.
Komitent – posameznik kot fizična oseba, ki ima pri Uporabniku ali več njih izpostavljeno pogodbeno obveznost iz poslov, navedenih v 14. členu teh pravil, ali namerava vzpostaviti tovrstno obveznost kot potencialni dolžnik nasproti kateremu od Uporabnikov ali Omejenemu uporabniku.
Osebni podatki – katerikoli podatek, ki se nanaša na določeno ali določljivo fizično osebo v skladu z ZVOP-1, predvsem podatki o Komitentu, njegovih poslih, pozitivnih in negativnih poslovnih dogodkih, ki jih Uporabniki vnašajo oziroma posredujejo in si jih izmenjujejo preko SISBON kakor tudi podatki o zaposlenih pri posameznem Uporabniku ali Omejenem uporabniku. V celotnem sistemu se obravnavajo kot zaupni podatki, vsi podatki v skladu z ZBan-2 in ZVOP-1.
ZBan-2 –Zakon o bančništvu v vsakokratno veljavni vsebini.
ZPotK-1 – Zakon o potrošniških kreditih v vsakokratno veljavni vsebini.
ZVOP-1 – Zakon o varstvu osebnih podatkov v vsakokratno veljavni vsebini.
(1) Upravljavec organizira in upravlja SISBON v skladu z ZBan-2 z namenom, da omogoči Uporabnikom ter Omejenim uporabnikom upravljanje s kreditnim tveganjem preko učinkovitejšega določanja kreditne sposobnosti Komitentov, s čimer se zagotavlja tudi odgovorno kreditiranje in preprečevanje primerov prezadolženosti oziroma neizterljivosti zapadlih terjatev.
(2) Upravljavec administrira, usklajuje in nadzira vsebinsko izvajanje odnosov s pogodbenimi obdelovalci in razvijalci ter vzdrževalci SISBON in ostalimi pogodbenimi partnerji upravljavca sistema SISBON.
(3) Upravljavec koordinira zahteve ali predloge za spremembe in nadgradnje aplikacije SISBON in organizira delo z Uporabniki in Omejenimi uporabniki.
(4) Upravljavec komunicira z javnostmi v zadevah organizacije in delovanja SISBON.
(5) Upravljavec upravlja zbirko podatkov v skladu z ZBan-2 in ZVOP-1
(1) Upravljavec ima pravico vpogleda, upravljanja in obdelavo osebnih podatkov Skrbnikov in njihovih namestnikov Uporabnikov ali Omejenih uporabnikov in ima za namene, predvidene v ZBan-2, pravico in pooblastilo za obdelavo osebnih podatkov Komitentov, ki so predmet obdelave v SISBON.
(2) Upravljavec upravlja s podatki v sistemu SISBON v smislu ZBan-2 in ZVOP-1. Uporabniki ter Omejeni uporabniki so obdelovalci osebnih podatkov o svojih Komitentih ter so istočasno uporabniki osebnih podatkov v smislu ZVOP-1, in sicer glede tistih osebnih podatkov posameznih Komitentov, za katere pridobivajo podatke iz SISBON na podlagi ZBan-2 in ZPotK-1. Uporabniki so v smislu določb ZBan-2 odgovorni za pravilnost podatkov, ki jih vnašajo v SISBON in jih morajo v primeru napak izbrisati ali popraviti.
(1) Upravljavec pred vključitvijo in kasneje v rednih intervalih zagotovi pregled organizacije in delovanja SISBON pri Uporabnikih, ki z upravljavcem sklenejo pogodbo o vključitvi v SISBON, Omejenih Uporabnikih in morebitnih drugih zunanjih izvajalcih.
(2) Stroške pregleda iz prvega odstavka tega člena organizacije in delovanja SISBON nosi subjekt pregleda iz prvega odstavka tega člena v skladu z veljavno Tarifo SISBON.
III. VKLJUČITEV IN DOSTOP DO SISBON
(1) Za vključitev in dostop do SISBON morajo Uporabniki z Upravljavcem skleniti pogodbo o uporabi SISBON, predhodno pa izpolniti naslednje pogoje:
– plačajo tarifo za vključitev v skladu z veljavno Tarifo SISBON,
– imenujejo generalnega skrbnika SISBON in njegovega namestnika,
– vzpostavijo testno okolje SISBON v skladu s tehnično specifikacijo Upravljavca in ostalo dokumentacijo,
– zaključijo testiranje z izpolnjeno UAT (User Acceptance Test) izjavo,
– opravijo pregled o ustreznosti/pripravljenosti za vključitev v sistem SISBON,
– inicialno napolnijo sistem SISBON s svojimi podatki v skladu z ZBan-2.
(2) Upravljavec omogoči vključitev v testno okolje SISBON po plačilu tarife za vključitev v SISBON.
(3) Pregled o ustreznosti/pripravljenosti za vključitev v produkcijsko okolje sistema SISBON se opravi pred njegovo vključitvijo v produkcijsko okolje sistema SISBON. Vsebino pregleda določi Upravljavec.
(4) Po ugotovitvi ustrezne pripravljenosti Uporabnika na uporabo sistema SISBON Upravljavec Uporabnika obvesti o izpolnitvi pogojev za vključitev v produkcijsko okolje SISBON.
(5) Uporabnik mora najkasneje v roku enega meseca po obvestilu iz prejšnjega odstavka izvesti inicialno polnjenje podatkov v produkcijsko okolje SISBON. Pri Uporabniku, ki v predpisanem roku ne izvede inicialnega polnjenja podatkov, se izvede ponoven pregled v smislu četrtega odstavka tega člena, stroške takšnega pregleda nosi Uporabnik SISBON.
(6) Upravljavec lahko začasno onemogoči (izklopi) uporabo SISBON Uporabniku oziroma Omejenemu uporabniku, ki krši določila Pogodbe ali določila teh pravil. Ko Uporabnik iz prejšnjega stavka ali Omejeni uporabnik SISBON preneha oziroma odpravi kršitev se mu ponovno omogoči (vklopi) uporabo SISBON. Strošek začasnega izklopa in ponovnega priklopa se Uporabniku oziroma Omejenemu Uporabnika obračuna v skladu s Tarifo SISBON. V primeru, da Uporabnik oziroma Omejeni uporabnik kršitev ne odpravi v roku, ki mu ga naloži Upravljavec, lahko Upravljavec odstopi od Pogodbe o uporabi SISBON, brez obveznosti do tega uporabnika.
(7) Uporabniki so dolžni ta Pravila izpolnjevati ves čas. Upravljavec izvaja pregled izpolnjevanja teh Pravil pri Uporabnikih oziroma Omejenega Uporabnika v okviru opravljanja pregleda v skladu s pogodbo o uporabi SISBON, pri Uporabnikih, nad katerimi ima Upravljavec pristojnost nadzora po določbah ZBan-2, pa tudi z opravljanjem nadzora v skladu z določbami ZBan-2.
(1) Omejeni uporabniki s sedežem v Republiki Sloveniji lahko dostopajo do podatkov SISBON v obsegu iz ZPotK-1, ko od pristojnega organa pridobijo dovoljenje (odločbo) za opravljanje storitev potrošniškega kreditiranja, podajo vlogo za pridobitev informacij iz sistema SISBON, predložijo izjavo o izpolnjevanju pogojev, ki jih zahteva ZPotK-1 ter z Upravljavcem sklenejo pogodbo o uporabi SISBON.
(2) Omejeni uporabniki s sedežem v drugi državi členici EU dostopajo do podatkov SISBON pod enakimi pogoji kot Omejeni uporabniki s sedežem v Republiki Sloveniji.
(1) Nadzor vstopa v SISBON in identifikacija pooblaščenih oseb se izvaja s pomočjo kvalificiranih digitalnih potrdil (certifikatov) in ustreznega varnega medija za hrambo certifikatov in dostop do SISBON (pametne kartice s čipom, pametni ključki).
(2) Povezava in dostop do podatkov SISBON je možen le z uporabo predhodno dodeljenih kvalificiranih digitalnih potrdil, izdanih s strani v ta namen pooblaščenih izdajateljev. Za poizvedovanje po podatkih v SISBON preko spletne aplikacije se uporablja kvalificirano digitalno potrdilo, ki je vezano na posamezno fizično (pooblaščeno) osebo. Za poizvedovanje po podatkih v SISBON z uporabo aplikacijskega vmesnika se lahko uporablja kvalificirano digitalno potrdilo, ki je vezano na posamezno fizično (pooblaščeno) osebo ali pa kvalificirano digitalno strežniško potrdilo. V primeru poizvedovanja preko kvalificiranega digitalnega strežniškega potrdila se upošteva enoznačni način identificiranja pooblaščene osebe v sistemu SISBON (ID pooblaščene osebe). Prepovedano je kakršnokoli posojanje ali skupinska uporaba digitalnih potrdil.
(3) Uporabnik oziroma Omejeni uporabnik naroči digitalno potrdilo pri pooblaščenem izdajatelju. Po prejemu digitalnega potrdila (kartice, pametnega ključka) doda Skrbnik v sistem SISBON pooblaščeno (fizično) osebo tako, da:
– omogoči aplikaciji, da prebere digitalno potrdilo (ID digitalnega potrdila)
– vpiše podatke pooblaščene osebe (ime in priimek, šifro pooblaščene osebe, službeni naslov, telefon, faks in elektronski naslov)
– potrdi vnos (sistem ID digitalnega potrdila v bazi SISBON združi s podatki pooblaščene osebe in kasneje to uporabi pri preverjanju digitalnega potrdila in upravičenosti dostopa do sistema SISBON; vsakokratno preverjanje veljavnosti samega digitalnega potrdila pa gre preko CRL list).
(4) Kvalificirana digitalna potrdila morajo biti shranjena na varni lokaciji (pametnem ključku ali pametni kartici oziroma v primeru uporabe strežniškega potrdila na varovanem strežniku). Ob dostopu do sistema SISBON mora biti kvalificirano digitalno potrdilo dosegljivo, da lahko Upravljavec oziroma sistem SISBON opravi identifikacijo dostopajočega.
(5) Dostop do podatkov s strani pooblaščene osebe je dovoljen le pooblaščenim osebam pri Upravljavcu in Uporabniku oziroma Omejenem uporabniku, ki se za delo s SISBON prijavljajo v sistem z uporabo digitalnega potrdila.
(6) Vsak dostop do podatkov s strani pooblaščene osebe pri Upravljavcu in Uporabniku oziroma Omejenem uporabniku se beleži in nadzoruje z verodostojno in celovito revizijsko sledjo ter hrani za obdobje šestih let, tako, da je omogočeno poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani (vključno z vpogledi) in kdo je to storil.
IV. POOBLASTILA IN NALOGE ZNOTRAJ SISTEMA SISBON
Pooblastila se v sistemu SISBON dodeljujejo distribuirano. Pri Upravljavcu deluje Generalni skrbnik, ki na predlog Uporabnika dodeljuje pravice (pooblastila) Generalnemu skrbniku in njegovemu namestniku posameznega Uporabnika, ta pa podeljujejo pooblastila za delo na SISBON svojim sodelavcem – pooblaščenim osebam.
Pri Upravljavcu so pooblastila in naloge porazdeljene med Generalnega skrbnika, Pooblaščeno osebo – operaterja IT in Pooblaščeno osebo za urejanje reklamacij.
(1) Generalni skrbnik:
– izvaja vse potrebne postopke za vključevanje Uporabnikov SISBON v sistem SISBON,
– izvaja vse potrebne postopke za omogočanje dostopa do podatkov s strani Omejenih uporabnikov in postopek začasnega izklopa Uporabnika oziroma Omejenega uporabnika, ki krši določila Pogodbe o uporabi SISBON ali določila teh pravil,
– na predlog Uporabnika ali Omejenega uporabnika dodeljuje pravice Generalnemu skrbniku in njegovemu namestniku pri posameznem Uporabniku ali Omejenem uporabniku,
– ima vpogled v seznam Generalnih skrbnikov, njihovih namestnikov in pooblaščenih oseb pri Uporabnikih ali Omejenih uporabnikih ter ažurira listo preklica Generalnih skrbnikov in njihovih namestnikov posameznega Uporabnika ali Omejenega uporabnika,
– pri oblikovanju novih vsebinskih zahtev ali predlogov za spremembe in nadgradnje aplikacije SISBON koordinira delo z Uporabniki,
– pripravlja statistike in poročila,
– sodeluje pri reševanju pritožb strank v obsegu in na način kot Pooblaščena oseba za urejanje reklamacij pri Upravljavcu,
– V sistem vnaša Zahteve komitentov za izpis osebnih podatkov iz SISBON, ki jih komitenti oddajo pri upravljavcu.
(2) Pooblaščena oseba – operater IT opravlja naloge iz 12. člena teh pravil.
(3) Pooblaščena oseba za urejanje reklamacij:
– prek sistema posreduje Uporabnikom prejete reklamacije komitentov,
– v zvezi z reklamacijami iz prejšnje alineje, od Uporabnika pridobi odgovor na reklamacijo, ki ga posreduje komitentu,
– nadzoruje potek reševanja reklamacij v smislu zagotavljanja časovnih rokov, ki jih predvideva ZBan-2 in ZVOP-1,
– sodeluje pri reševanju reklamacij komitentov, ki se nanašajo na ukinjenega Uporabnika, katerega posli so se prenesli na pravnega naslednika, ki ni vključen v sistem SISBON,
– izvede popravek podatkov v SISBON v primeru ugotovljene upravičene reklamacije komitenta iz prejšnje alineje,
– v sistem vnaša Zahteve komitentov za izpis osebnih podatkov iz SISBON, ki jih komitenti oddajo pri Upravljavcu.
(1) Pri Uporabniku so pooblastila in naloge porazdeljene med Generalnega skrbnika in njegovega namestnika, Pooblaščeno osebo z večjimi pooblastili, Pooblaščeno osebo z manjšimi pooblastili, Osebo za urejanje pooblastil, Pooblaščeno osebo – informatorja, Pooblaščeno osebo – operaterja IT ter Pooblaščeno osebo za urejanje reklamacij.
(2) Generalni skrbnik in namestnik:
– dodeljuje pooblastila vsem pooblaščenim osebam znotraj Uporabnika,
– izdaja zahtevke za digitalna potrdila pooblaščenim osebam znotraj Uporabnika,
– ažurira preklice (storno) podatkov zaradi napake,
– on-line dodaja in ažurira podatke,
– izvaja poizvedbe o Komitentu,
– pregleduje sezname zavrnjenih zahtev za vnos,
– posreduje zahtevek za poizvedbo Komitenta.
(3) Pooblaščena oseba z večjimi pooblastili:
– ažurira preklice (storno) podatkov zaradi napake,
– on-line dodaja in ažurira podatke,
– izvaja poizvedbe o Komitentu,
– pregleduje sezname zavrnjenih zahtev za vnos,
– posreduje zahtevek za poizvedbo Komitenta.
(4) Pooblaščena oseba z manjšimi pooblastili:
– on-line dodaja in ažurira podatke,
– izvaja poizvedbe o Komitentu,
– posreduje zahtevek za poizvedbo Komitenta.
(5) Oseba za urejanje pooblastil:
– dodeljuje pooblastila vsem ostalim uporabnikom Uporabnika.
(6) Pooblaščena oseba – informator:
– izvaja poizvedbe o Komitentu,
– posreduje zahtevek za poizvedbo Komitenta.
(7) Pooblaščena oseba – operater IT:
– posreduje pakete s podatki v SISBON,
– pregleduje sezname zavrnjenih zahtev za vnos.
(8) Pooblaščena oseba za urejanje reklamacij:
– dodaja zahtevke za pritožbe,
– ažurira zahteve za pritožbe.
Skrbnik ali oseba za urejanje pooblastil lahko pooblastila (pristojnosti) pooblaščene osebe za urejanje reklamacij dodeli drugim pooblaščenim osebam iz tega člena.
Skrbnik pri Omejenem uporabniku izvaja poizvedbe po podatkih Komitentov, pregleduje podatke vpogledov in pregleduje statistiko. Omejeni Uporabnik lahko imenuje največ dva skrbnika.
(1) Pogodbeni obdelovalec osebnih podatkov Uporabnikov:
– sodeluje z vzdrževalci sistema ob morebitnih težavah ali prekinitvah delovanja,
– spremlja in izvaja določila varnostne politike sistema SISBON,
– obdeluje morebitno zahtevo za poizvedbo s strani Komitenta, ki jo posreduje Uporabnik (avtomatski izpis v zaprto ovojnico, pošiljanje),
– vodi, procesira, ureja in arhivira podatkovne baze,
– sodeluje z upravljavci podatkovne zbirke pri reševanju reklamacij (pregled arhiva in revizijske sledi),
– izdeluje statistike po naročilu,
– pripravlja poročila o delovanju sistema z računalniškega vidika,
– sodeluje pri nadgradnjah sistema.
(2) Pogodbeni obdelovalec izven namenov iz 1. odstavka tega člena, nima pravice in pooblastil za vpogled v zbirke podatkov o Komitentih.
(3) Upravljavec nadzoruje izvajanje postopkov in ukrepov iz drugega odstavka 24. člena teh Pravil pri Pogodbenem obdelovalcu, ki jih ta opravlja na podlagi pogodbe med njima.
(4) Pogodbeni obdelovalec mora na vsakokratno zahtevo Upravljavca nepovratno izbrisati osebne podatke, za katere ne obstoji več pravna podlaga za hrambo.
V. VNOSI PODATKOV V SISTEM SISBON
(1) Vnašajo se le tisti podatki, za vnos katerih je podana podlaga v ZBan-2.
(2) Uporabniki so Komitentom in tretjim osebam odgovorni za pravilnost, ažurnost in izvajanje varstva vnesenih podatkov v smislu ZVOP-1 in ZBan-2.
Podatki, ki jih Uporabniki posredujejo v SISBON, so vsi tisti podatki, ki jih kot takšne določa vsakokratno veljavni ZBan-2 ali drug zakon, ki bo v tem delu nadomestil ali dopolnil ZBan-2.
Poleg teh podatkov Uporabniki in Omejeni uporabniki sporočajo Upravljavcu še podatke o Generalnih skrbnikih in njihovih namestnikov pri posameznih Uporabnikih in skrbnikih pri Omejenih uporabnikih.
(3) Izbris podatkov zaradi izpolnitve obveznosti se opravi avtomatično po poteku rokov za hranjenje podatkov za posamezne vrste poslov, v skladu z ZBan-2 in naslednjimi členi tega poglavja pravil.
(4) Izbris ali popravek podatkov generalnih skrbnikov in njihovih namestnikov pri posameznem Uporabniku in skrbnikov pri Omejenem uporabniku se opravi na osnovi pisne zahteve posameznega Uporabnika oziroma Omejenega uporabnika.
(1) Čas hranjenja podatkov v SISBON določa zakon.
VI. VPOGLED V PODATKE SISBON
(1) Vpogled v podatke Komitenta v SISBON lahko opravijo le pooblaščene osebe Upravljavca ter Uporabnika oziroma Omejenega uporabnika. Uporabnik oziroma Omejen uporabnik lahko opravijo vpogled v podatke za namen upravljanja s kreditnim tveganjem v naslednjih primerih:
– sklepanje novega posla s Komitentom, razen pri odločanju o odprtju transakcijskega računa,
– izterjava zapadlih obveznosti,
– reklamacija Komitenta in posodabljanje njegovih matičnih podatkov,
– revizije.
Upravljavec lahko opravi vpogled v podatke:
– za namen reševanja reklamacije Komitenta – posameznika in posodabljanja njegovih matičnih podatkov,
– za namen izvajanja nadzora nad upravljanjem kreditnega tveganja v bankah,
– statističnega poročanja.
(2) Kakršnakoli uporaba SISBON ali Osebnih podatkov za namene ali v primerih, ki jih ZBan-2 in ta pravila ne predvidevajo, predstavlja kršitev, ki se sankcionira.
(3) Obseg dovoljenega vpogleda v podatke SISBON določa za Uporabnike in Upravljavca ZBan-2, za Omejene uporabnike pa ZPotK-1. Vpogled v podatke Upravljavcu omogoča pridobivanja informacije, kateri od Uporabnikov je podatke vnesel v sistem SISBON, Uporabnikom in Omejenim Uporabnikom pa je ta podatek onemogočen.
(1) Uporabnik oziroma Omejeni uporabnik mora podatke, ki jih je pridobil iz sistema SISBON, hraniti v nespremenjeni obliki ter mu je prepovedana kakršnakoli nadaljnja obdelava teh podatkov.
(2) Kršitev obveznosti in prepovedi iz prejšnjega odstavka se sankcionira skladno z veljavno zakonodajo. Upravljavec o domnevni kršitvi obvesti nadzorni organ (Informacijskega pooblaščenca RS).
VII. NAČIN POSREDOVANJA PODATKOV IN NJIHOV IZBRIS
(1) Podatki se pošiljajo v SISBON na dva načina:
– On-line prek vmesnika v spletnem pregledovalniku,
– paketno prek datoteke.
(2) Pri on-line posredovanju podatkov se ti na strani pošiljatelja digitalno podpišejo in po varnem kanalu SSL pošljejo na strežnik SISBON.
(3) Pri paketnem pošiljanju zagotovijo Uporabniki pošiljanje digitalno podpisanih datotek s podatki na strežnik SISBON po varnem kanalu SSL.
(4) Uporabniki so dolžni sprotno posredovati v SISBON vse podatke, s katerimi razpolagajo glede na svojo dejavnost oziroma glede na storitve, ki jih opravljajo. V SISBON morajo posredovati točne podatke, in sicer najkasneje v roku treh delovnih dni od datuma spremembe.
(1) Izbris podatkov zaradi izpolnitve obveznosti se opravi avtomatično po poteku rokov za hranjenje podatkov za posamezne vrste poslov, v skladu z ZBan-2.
(2) Izbris podatkov zaradi smrti Komitenta se opravi na zahtevo upravičenega predlagatelja (dediča, sodišča …), kar opravi pooblaščena oseba pri Uporabniku po prejemu ustrezne dokumentacije.
(3) Če Uporabnik na podlagi ugovora Komitenta ugotovi, da je v sistemu SISBON napačen podatek, mora pooblaščena oseba pri Uporabniku ta podatek popraviti ali izbrisati v 7 delovnih dneh po prejemu ugovora komitenta, o čemer mora obvestiti komitenta v roku 15 dni.
(4) Če Uporabnik sam ugotovi, da je v sistem SISBON zajet napačen podatek, mora ta podatek popraviti ali izbrisati v sedmih delovnih dneh po ugotovitvi napake.
VIII. CENA ZA UPORABO SISBON
(1) Nadomestila za uporabo SISBON se določijo v tarifi Banke Slovenije (»Tarifa SISBON«). Tarifa SISBON določa tudi plačilne roke in ostale plačilne modalitete ter pogoje.
(2) Upravljavec je upravičen zaračunavati Uporabnikom in Omejenim uporabnikom nadomestila iz vsakokrat veljavne Tarife SISBON.
(3) Upravljavec pri sprejemanju Tarife SISBON upošteva načelo poštene in nediskriminatorne obravnave Uporabnikov oziroma Omejenih uporabnikov. Višina nadomestila mora ustrezati dejanskim stroškom delovanja sistema in dostopa do informacij.
(4) Upravljavec istočasno s sprejemom Tarife SISBON ali njene spremembe določi datum učinkovanja te spremembe. Upravljavec bo Uporabnike in Omejene uporabnike še pred uveljavitvijo sprememb na primeren način obvestil o vsakokratni spremembi Tarife SISBON.
(1) Komitent ima po ZVOP-1 pravico do izpisa svojih podatkov in s tem do vpogleda v vse Osebne podatke, ki se v SISBON nanašajo nanj, vključno s podatki o tem, kateri Uporabnik jih je posredoval in komu so bili posredovani na vpogled.
(2) Komitent lahko za izpis zaprosi pri kateremkoli Uporabniku ali Upravljavcu na način, da izpolni in odda v ta namen pripravljen obrazec »Zahteva Komitenta za izpis osebnih podatkov iz SISBON«, ki je v Prilogi 1 teh Pravil.
(3) Komitent lahko pooblasti drugo fizično ali pravno osebo, da pridobi njegove Osebne podatke iz sistema SISBON. V ta namen mora Komitent izpolniti Prilogo 2 »Pooblastilo za tretjo osebo«, pooblaščenec za vpogled pa obrazec iz Priloge 3: »Zahteva za izpis osebnih podatkov iz SISBON po tretji osebi s pooblastilom«. Komitentov podpis na pooblastilu (Priloga 3) mora biti overjen.
(4) Izpis podatkov se Komitentu zagotovi najkasneje v 15 dneh od prejema njegove pisne zahteve, in sicer tako, da Uporabniki nimajo vpogleda v odgovor.
(1) Za uveljavljanje pravic Komitenta glede seznanitve, dopolnitve, popravka, blokiranja in izbrisa lastnih osebnih podatkov veljajo določbe ZVOP-1 in ZBan-2 oziroma drugih zakonov, ki urejajo SISBON.
(2) Če Komitent posameznim Osebnim podatkom, ki se o njem združujejo in izmenjujejo prek SISBON, utemeljeno nasprotuje, lahko pisno zahteva njihov izbris oziroma spremembo ali popravek pri Uporabniku, ki je upravljavec teh podatkov v smislu ZVOP-1 ali Upravljavcu. Zahtevo poda tako, da izpolni in v pisni obliki odda v ta namen pripravljen obrazec »Zahteva Komitenta za popravek osebnih podatkov v SISBON«, ki je v Prilogi 4 teh pravil ali pa poda zahtevo prek spletne aplikacije Moj SISBON.
(3) Če Uporabnik ugotovi, da zapisani podatki o Komitentu ne ustrezajo dejanskemu stanju, je dolžan te podatke izbrisati, dopolniti ali popraviti v roku 7 delovnih dneh po prejemu pisne zahteve in Komitenta o tem obvestiti v roku 15 dni od podane pisne zahteve.
(4) Postopki v primeru vrnjenih pisnih informacij Komitentov Upravljavcu so opisana v Prilogi 5 teh pravil: »Navodila v primeru prejema vrnjenih pisnih informacij Komitentov«.
Komitent ima možnost osebnega vpogleda v svoje podatke v sistemu SISBON prek spletne aplikacije Moj SISBON. Za dostop do podatkov SISBON potrebuje kvalificirano digitalno potrdilo, podrobnejša navodila pa Upravljavec objavi na svoji spletni strani.
Upravljavec Komitente o njihovih pravicah iz tega poglavja teh Pravil primerno obvesti, npr. z ustreznimi objavami na svojih spletnih straneh.
Komitent lahko morebitno pritožbo zoper kršitve predpisov o osebnih podatkih, ki jih Uporabnik ali Upravljavec kljub pisnem opozorilu ne odpravi, uveljavlja pri Informacijskem pooblaščencu RS.
X. UKREPI ZA ZAVAROVANJE OSEBNIH PODATKOV
(1) Uporabniki kot upravljavci osebnih podatkov v smislu ZVOP-1, Upravljavec in Pogodbeni obdelovalec so dolžni zagotoviti zavarovanje Osebnih podatkov, na katere se nanašajo ta pravila, in v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov. Določiti morajo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.
(2) Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
– varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
– varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
– preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
– zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
– omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(3) Če Uporabnik ne izpolnjuje ukrepov za zavarovanje osebnih podatkov lahko Upravljavec o domnevni kršitvi obvesti nadzorni organ (Informacijskega pooblaščenca RS).
Uporabnik in Upravljavec sta dolžna vzpostaviti katalog zbirke osebnih podatkov za tisti del osebnih podatkov, ki jih je oziroma jih bo vnesel v SISBON in zagotoviti osnovne pogoje prijave te zbirke osebnih podatkov (katalog) za namen vodenja registra zbirk osebnih podatkov Informacijskemu pooblaščencu.
Pogodbeni obdelovalec pri izvajanju svojih pogodbenih obveznosti v zvezi s sistemom SISBON prevzema pravice in obveznosti kot pogodbeni obdelovalec v smislu določil ZVOP-1.
Uporabniki, Omejeni uporabniki in Pogodbeni obdelovalec so dolžni v tistem delu svojega poslovanja s Komitenti, ki je neposredno povezano z uveljavljanjem pravic in obveznosti iz naslova delovanja SISBON, uporabljati znak SISBON na način, kot jim ga od časa do časa sporoči Upravljavec.
XII. MEDNARODNA IZMENJAVA OSEBNIH PODATKOV
Upravljavec lahko pristopi k mednarodnemu dogovoru o izmenjavi osebnih podatkov za enak namen, za katerega upravlja in organizira sistem SISBON in z enakovrednimi mednarodnimi finančnimi inštitucijami. Pogoj za takšen pristop je, da je v državah, članicah EU, s katerimi naj bi izmenjava podatkov potekala, zagotovljeno varstvo osebnih podatkov v skladu s predpisi, ki veljavo v EU za varstvo osebnih podatkov.
XIII. PREHODNE IN KONČNE DOLOČBE
Sestavni del pravil so sledeče priloge:
– Priloga 1: Zahteva Komitenta za izpis osebnih podatkov iz SISBON,
– Priloga 2: Pooblastilo za tretjo osebo,
– Priloga3: Zahteva za izpis osebnih podatkov iz SISBON po tretji osebi s pooblastilom,
– Priloga 4: Zahteva Komitenta za popravek osebnih podatkov v SISBON,
– Priloga 5: Navodila v primeru prejema vrnjenih pisnih informacij Komitentov.
Ta pravila stopijo v veljajo 1. 1. 2016, uporabljajo pa se v razmerju med posameznim Uporabnikom oziroma Omejenim uporabnikom ter Upravljavcem.
Ljubljana, dne 8. decembra 2015
Boštjan Jazbec l.r.
