Uradni list

Številka 77
Uradni list RS, št. 77/2016 z dne 2. 12. 2016
Uradni list

Uradni list RS, št. 77/2016 z dne 2. 12. 2016

Kazalo

3227. Zakon o centralnem kreditnem registru (ZCKR), stran 11014.

  
Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
U K A Z 
o razglasitvi Zakona o centralnem kreditnem registru (ZCKR) 
Razglašam Zakon o centralnem kreditnem registru (ZCKR), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 22. novembra 2016.
Št. 003-02-9/2016-12
Ljubljana, dne 30. novembra 2016
 
Borut Pahor l.r.
Predsednik 
Republike Slovenije 
Z A K O N 
O CENTRALNEM KREDITNEM REGISTRU (ZCKR) 
1. SPLOŠNE DOLOČBE
1. člen 
(predmet zakona) 
(1) Ta zakon ureja:
1. vzpostavitev in upravljanje centralnega kreditnega registra pri Banki Slovenije;
2. vzpostavitev in upravljanje sistema izmenjave informacij.
(2) S tem zakonom se omogoča tudi izvajanje:
1. Uredbe (EU) št. 575/2013 Evropskega parlamenta in Sveta z dne 26. junija 2013 o bonitetnih zahtevah za kreditne institucije in investicijska podjetja ter o spremembi Uredbe (EU) št. 648/2012 (UL L št. 176 z dne 27. 6. 2013, str. 1), zadnjič spremenjene z Uredbo (EU) 2016/1014 Evropskega parlamenta in Sveta z dne 8. junija 2016 o spremembi Uredbe (EU) št. 575/2013 glede izjem za trgovce z blagom (UL L št. 171 z dne 29. 6. 2016, str. 153, v nadaljnjem besedilu: Uredba 575/2013/EU), in
2. Uredbe (EU) št. 1024/2013 Evropskega parlamenta in Sveta z dne 15. oktobra 2013 o prenosu posebnih nalog, ki se nanašajo na politike bonitetnega nadzora kreditnih institucij, na Evropsko centralno banko (UL L št. 287 z dne 29. 10. 2013, str. 63, v nadaljnjem besedilu: Uredba 1024/2013/EU).
2. člen 
(pojmi) 
(1) Pojmi, uporabljeni v tem zakonu, imajo naslednji pomen:
1. »anonimiziranje« je takšna sprememba oblike zaupnih podatkov, da jih ni več mogoče povezati s posameznim kreditojemalcem, ali je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa, ter v zvezi z osebnimi podatki pomeni anonimiziranje, kot ga določa zakon, ki ureja varstvo osebnih podatkov;
2. »banka« je banka ali hranilnica, kot je opredeljena v zakonu, ki ureja bančništvo;
3. »banka države članice« je banka države članice, kot je opredeljena v zakonu, ki ureja bančništvo;
4. »banka tretje države« je banka tretje države, kot je opredeljena v zakonu, ki ureja bančništvo;
5. »blokiranje« ima enak pomen kot v zakonu, ki ureja varstvo osebnih podatkov;
6. »druge izpostavljenosti« so:
– naložbe v delnice in druge deleže v kapitalu ali dolžniške vrednostne papirje in izvedene finančne instrumente, kot so opredeljeni v zakonu, ki ureja trg vrednostnih papirjev, in ki jih izdajo gospodarske družbe s sedežem v Republiki Sloveniji, državi članici ali tretji državi, kadar banka ali njena podrejena družba pridobi takšno naložbo za svoj račun;
– druga finančna sredstva, ki vključujejo terjatve v zvezi z opravljanjem storitev, ki jih opravlja banka ali njena podružnica za poslovne subjekte;
7. »donosne in nedonosne izpostavljenosti« so donosne in nedonosne izpostavljenosti, kot so opredeljene v Izvedbeni uredbi Komisije (EU) št. 680/2014 z dne 16. aprila 2014 o določitvi izvedbenih tehničnih standardov v zvezi z nadzorniškim poročanjem institucij v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta (UL L št. 191 z dne 28. 6. 2014, str. 1), zadnjič spremenjeni z Izvedbeno uredbo Komisije (EU) 2016/428 z dne 23. marca 2016 o spremembi Izvedbene uredbe (EU) št. 680/2014 o določitvi izvedbenih tehničnih standardov v zvezi z nadzorniškim poročanjem institucij glede poročanja o količniku finančnega vzvoda (UL L št. 83 z dne 31. 3. 2016, str. 1, v nadaljnjem besedilu: Uredba 680/2014/EU);
8. »država članica« je država članica Evropske unije ali država podpisnica Sporazuma o ustanovitvi Evropskega gospodarskega prostora (UL L št. 1 z dne 3. 1. 1994, str. 3);
9. »faktoring« je dajanje kreditov, ki vključuje odkup terjatev z regresom ali brez njega;
10. »finančni zakup« je dajanje sredstev v zakup, pri katerem se na zakupnika prenesejo vsa bistvena tveganja in koristi, ki izhajajo iz lastninske pravice nad sredstvom zakupa, pri čemer je prenos lastninske pravice na zakupnika mogoč, ne pa nujen;
11. »fizična oseba« je posameznik ali posameznica, ki nima statusa zasebnika ali podjetnika;
12. »individualizirani podatki« so podatki, ki jih lahko uporabnik na podlagi istega povezovalnega znaka poveže s posamezno fizično osebo ali poslovnim subjektom, na katerega se podatki nanašajo;
13. »kreditni posli« so posli, ki jih sklepajo kreditodajalci na podlagi:
– kreditne pogodbe;
– pogodbe o finančnem zakupu;
– pogodbe o faktoringu;
– pogodbe o zavarovanju;
14. »kreditodajalec« je oseba, ki v okviru svoje dejavnosti opravlja storitve kreditiranja fizičnih oseb oziroma poslovnih subjektov s sklepanjem kreditnih poslov, vključno z osebo, ki v okviru svoje dejavnosti pridobiva terjatve iz kreditnih poslov;
15. »kreditojemalec« je fizična oseba ali poslovni subjekt v vlogi dolžnika, s katerim kreditodajalec sklepa kreditni posel, ali oseba v vlogi poroka za obveznosti drugega kreditojemalca;
16. »opravljanje storitve finančnega zakupa nepremičnin« ima enak pomen kot v zakonu, ki ureja potrošniško kreditiranje;
17. »osebni podatki« so osebni podatki, kot jih opredeljuje zakon, ki ureja varstvo osebnih podatkov;
18. »oznaka LEI« je alfanumerična oznaka, ki se poslovnemu subjektu dodeli v skladu s standardom ISO 17442:2012 in ki zagotavlja nedvoumno in enotno identifikacijo tega poslovnega subjekta;
19. »plačilna institucija« je plačilna institucija, kot je opredeljena v zakonu, ki ureja plačilne storitve in sisteme;
20. »podjetnik« je podjetnik ali podjetnica, kot je opredeljen v zakonu, ki ureja gospodarske družbe;
21. »poslovni subjekt« je pravna oseba, podjetnik ali zasebnik;
22. »prebivališče« je stalno ali začasno prebivališče, kot je opredeljeno v zakonu, ki ureja prijavo prebivališča;
23. »restrukturirane izpostavljenosti« so restrukturirane izpostavljenosti, kot so opredeljene v Uredbi 680/2014/EU;
24. »tretja država« je država, ki ni država članica;
25. »upravljavci drugih zbirk podatkov« so državni organi, nosilci javnih pooblastil ali druge pooblaščene osebe, ki v skladu s predpisi vodijo in upravljajo uradne evidence in uradne zbirke podatkov, ter upravljavci zbirk osebnih podatkov, kot so opredeljeni v zakonu, ki ureja varstvo osebnih podatkov;
26. »zavarovanje« je dogovor o poroštvu, zastavi ali hipoteki, bančna garancija, menični akcept ali aval za menične obveznosti, dokumentarni akreditiv, zavarovalna pogodba ali drug podoben dogovor, s katerim se v korist kreditodajalca zavaruje izpolnitev dolžnikove obveznosti iz kreditnega posla;
27. »zasebnik« je posameznik ali posameznica, ki ni podjetnik in ki kot poklic opravlja določeno registrirano ali s predpisom določeno dejavnost, kot je notar, zdravnik, odvetnik, kmet in podobno;
28. »zaupni podatki« so:
– zaupni podatki o strankah bank, kot so opredeljeni v zakonu, ki ureja bančništvo, ter
– drugi podatki o posameznih kreditojemalcih ali dajalcih zavarovanj, ki se v skladu z zakonom, ki ureja gospodarske družbe, ali v skladu z drugimi predpisi varujejo kot poslovna skrivnost.
(2) Banka Slovenije s podzakonskim aktom predpiše podrobnejša pravila za določanje izpostavljenosti, ki se štejejo za druge izpostavljenosti iz 6. točke prejšnjega odstavka.
3. člen 
(centralni kreditni register) 
(1) Centralni kreditni register je centralizirana zbirka podatkov in informacij o:
1. zadolženosti poslovnih subjektov ter kreditnih tveganjih in drugih izpostavljenostih, ki jih prevzemajo kreditodajalci pri poslovanju s poslovnimi subjekti, in
2. zadolženosti fizičnih oseb iz naslova kreditnih poslov.
(2) Banka Slovenije vzpostavi in upravlja centralni kreditni register z namenom izvajanja statističnega raziskovanja, ki ga opravlja Banka Slovenije, na podlagi zakona, ki ureja Banko Slovenije, ter na podlagi 5. člena Protokola (št. 4) o Statutu Evropskega sistema centralnih bank in Evropske centralne banke (UL C št. 326 z dne 26. 10 2012, str. 230, v nadaljnjem besedilu: Statut ESCB in ECB), zaradi izvajanja njenih nalog, zlasti na področju:
1. vodenja denarne politike;
2. zagotavljanja finančne stabilnosti in
3. makrobonitetnega nadzora in upravljanja tveganj.
(3) Banka Slovenije podatke, ki se zbirajo v centralnem kreditnem registru, obdeluje tudi za naslednje namene:
1. izvajanja nadzora Banke Slovenije in Evropske centralne banke nad bankami v skladu z zakonom, ki ureja bančništvo, Uredbo 575/2013/EU in Uredbo 1024/2013/EU, oziroma nadzora nad drugimi subjekti, ki ga izvaja Banka Slovenije v skladu z drugimi zakoni, in
2. upravljanja sistema izmenjave informacij.
(4) Banka Slovenije lahko za namene iz drugega in tretjega odstavka tega člena podatkovne zbirke centralnega kreditnega registra v delu, ki se nanaša na poslovne subjekte in ne vključujejo osebnih podatkov, ki niso javno dostopni, povezuje z drugimi podatkovnimi zbirkami, ki jih v skladu z zakonom vodi Banka Slovenije, in s podatkovnimi zbirkami, ki jih vzpostavi in upravlja Evropska centralna banka za namene izvajanja njenih nalog v skladu s Statutom ESCB in ECB ter drugimi predpisi Evropske unije, zlasti z Uredbo Sveta (EU) 2015/373 z dne 5. marca 2015 o spremembi Uredbe (ES) št. 2533/98 o zbiranju statističnih informacij s strani Evropske centralne banke (UL L št. 64 z dne 7. 3. 2015, str. 6).
4. člen 
(sistem izmenjave informacij) 
(1) Sistem izmenjave informacij je elektronski sistem za izmenjavo podatkov in informacij o zadolženosti fizičnih oseb in poslovnih subjektov, ki z upoštevanjem načela sorazmernosti in drugih razpoložljivih informacij omogoča učinkovito ocenjevanje kreditnega tveganja pred sklepanjem kreditnih poslov s fizičnimi osebami in poslovnimi subjekti ter pri njihovem izvrševanju.
(2) Sistem izmenjave informacij iz prejšnjega odstavka vključuje pravila in postopke za izmenjavo podatkov in informacij o zadolženosti fizičnih oseb in poslovnih subjektov ter pravila za dostop in vključitev v sistem izmenjave informacij.
(3) Sistem izmenjave informacij vzpostavi in upravlja Banka Slovenije za namene:
1. učinkovitega ocenjevanja in obvladovanja kreditnega tveganja pri kreditodajalcih v zvezi s sklepanjem in izvajanjem kreditnega posla s fizično osebo ali poslovnim subjektom in
2. vzpodbujanja politik in ukrepov za odgovorno kreditiranje ter za vzdržno zadolževanje in preprečevanje prezadolženosti fizičnih oseb in poslovnih subjektov.
(4) Banka Slovenije vzpostavi sistem izmenjave informacij ločeno za fizične osebe in poslovne subjekte.
2. CENTRALNI KREDITNI REGISTER 
5. člen 
(upravljanje centralnega kreditnega registra) 
Upravljanje centralnega kreditnega registra po tem zakonu obsega:
1. standardizirano zbiranje podatkov in informacij o kreditnih poslih in drugih izpostavljenostih;
2. obdelovanje, shranjevanje, analiziranje in izkazovanje podatkov iz prejšnje točke za namene statističnega raziskovanja ter izvajanja drugih nalog in ciljev Banke Slovenije v skladu s tem in drugimi zakoni in
3. zagotavljanje nabora določenih podatkov o zadolženosti fizičnih oseb in poslovnih subjektov v sistem izmenjave informacij, pod pogoji in v obsegu, ki ga določa ta zakon.
6. člen 
(zbiranje podatkov in informacij za centralni kreditni register) 
(1) Banka Slovenije za centralni kreditni register zbira podatke in informacije o:
1. zadolženosti poslovnih subjektov ter upravljanju kreditnih tveganj kreditodajalcev v zvezi s poslovnimi subjekti in
2. zadolženosti fizičnih oseb.
(2) Banka Slovenije zbira podatke iz 1. točke prejšnjega odstavka na podlagi standardiziranega poročanja od naslednjih subjektov (v nadaljnjem besedilu: poročevalska enota):
1. bank;
2. bank držav članic ali tretjih držav, ki prek svojih podružnic, ki so ustanovljene v Republiki Sloveniji, sklepajo kreditne posle na območju Republike Slovenije;
3. kreditodajalcev s sedežem v Republiki Sloveniji;
4. kreditodajalcev s sedežem v drugi državi članici ali tretji državi, ki so ustanovili podružnico v Republiki Sloveniji in kot kreditodajalci na območju Republike Slovenije sklepajo kreditne posle;
5. drugih oseb, ki se lahko vključijo v sistem izmenjave informacij kot člani sistema izmenjave informacij.
(3) Banka Slovenije zbira osebne podatke v zvezi z zadolženostjo fizičnih oseb iz 2. točke prvega odstavka tega člena izključno od tistih poročevalskih enot, ki so hkrati tudi člani sistema izmenjave informacij.
(4) Banka Slovenije v skladu z 10. členom tega zakona pridobiva posamezne podatke in informacije za centralni kreditni register tudi iz drugih uradnih evidenc in zbirk podatkov, ki so vzpostavljene pri upravljavcih zbirk podatkov.
(5) Poročevalske enote Banki Slovenije brezplačno posredujejo podatke in informacije iz prvega odstavka tega člena.
(6) Za centralni kreditni register se poročajo podatki o kreditnih poslih in drugih izpostavljenostih po stanju na prvi referenčni datum za poročanje, ne glede na datum njihovega nastanka, razen če je obveznost oziroma izpostavljenost iz tega posla prenehala pred tem datumom.
(7) Poročevalske enote pri vodenju in vzdrževanju lastnih zbirk podatkov uporabljajo veljavne standarde in Banki Slovenije v rokih, določenih v podzakonskem predpisu iz drugega odstavka 8. člena tega zakona, sporočajo popolne in pravilne podatke za centralni kreditni register. Če sporočeni podatki niso pravilni oziroma popolni, jih poročevalske enote popravijo in dopolnijo v skladu s postopkovnimi navodili Banke Slovenije.
(8) Ta zakon ne posega v pristojnosti Banke Slovenije za zbiranje in obdelavo podatkov za namene izvajanja nadzora v skladu z zakonom, ki ureja bančništvo, ali drugimi zakoni, ki določajo pristojnosti Banke Slovenije za zbiranje in obdelavo podatkov za namene izvajanja njenih nalog v skladu s predpisi.
7. člen 
(obseg zbiranja in obdelava osebnih podatkov o fizičnih osebah) 
(1) V centralnem kreditnem registru se zbirajo naslednji podatki o kreditojemalcih, ki so fizične osebe:
1. osebno ime;
2. datum in kraj rojstva;
3. naslov prebivališča;
4. davčna številka, če je kreditojemalec vpisan v davčni register v skladu z zakonom, ki ureja finančno upravo, oziroma za tujo fizično osebo, ki ni vpisana v davčni register v skladu z zakonom, ki ureja finančno upravo, druga podobna identifikacijska oznaka, ki jo tej fizični osebi dodeli organ druge države, v kateri ima fizična oseba svoje prebivališče;
5. podatki o osebnem stečaju fizične osebe, in sicer o:
– začetku in končanju postopka osebnega stečaja;
– začetku postopka za odpust obveznosti in
– izdaji ter pravnomočnosti sklepa o odpustu obveznosti.
(2) V centralnem kreditnem registru se obdelujejo naslednji podatki o kreditnih poslih, ki jih sklepajo kreditodajalci s fizičnimi osebami kot kreditojemalci:
1. pri kreditih, poslih finančnega zakupa, začasne prodaje oziroma odkupa, pri obročnih nakupih oziroma nakupih z odloženim plačilom:
– datum sklenitve pogodbe;
– znesek odobrenega kredita;
– znesek neodplačanega dela obveznosti;
– znesek in vrsta posamezne anuitete oziroma obroka;
– odplačilna doba in
– podatek o zavarovanju (zavarovalnica, poroštvo, zastava oziroma hipoteka, ostala zavarovanja, brez zavarovanja);
2. pri poslih, odobrenih v zvezi s prekoračitvijo na plačilnem računu:
– datum odprtja plačilnega računa;
– podatek, ali je odobreno posojilo za redno ali izredno prekoračitev stanja na tem računu, znesek odobrenega posojila ter obdobje, za katerega je posojilo odobreno, in
– podatek o zavarovanju (zavarovalnica, poroštvo, zastava oziroma hipoteka, ostala zavarovanja, brez zavarovanja);
3. pri poslih, odobrenih v zvezi s plačilnimi instrumenti z odloženim plačilom obveznosti:
– datum izdaje plačilnega instrumenta;
– znesek odobrene mesečne porabe in
– podatek o zavarovanju (zavarovalnica, poroštvo, zastava oziroma hipoteka, ostala zavarovanja, brez zavarovanja);
4. če kreditojemalec zamudi z izpolnitvijo obveznosti na podlagi posameznega kreditnega posla iz 1. do 3. točke tega odstavka v znesku, ki presega 25 eurov, in je obdobje zamude daljše od 90 dni:
– datum nastanka zamude;
– znesek obveznosti, s plačilom katerih je kreditojemalec v zamudi;
– podatek, ali je bil zaradi prisilne izterjave obveznosti zoper kreditojemalca začet postopek sodne izvršbe;
– podatek, ali je bil zaradi zamude kreditojemalca pri izpolnitvi obveznosti iz kreditnega posla v skladu s pogodbo kreditojemalcu onemogočena ali omejena uporaba plačilnega računa ali plačilnega instrumenta, ter podatek o ponovni sprostitvi uporabe računa ali plačilnega instrumenta in
– podatek, da je bil sklenjen dogovor o odlogu plačila obveznosti, in obdobje odloga;
5. spremembe podatkov iz 1. do 4. točke tega odstavka zaradi poslovnih dejanj ali drugih dogodkov, ki nastanejo med trajanjem poslovnega razmerja na podlagi teh poslov, ki ne pomenijo položaja iz prejšnje točke, in sicer:
– podatek, ali je kreditodajalec predčasno odstopil od pogodbe, vključno z datumom zaključka posla in podatkom, ali je kreditodajalec zaradi predčasnega odstopa pristopil k izterjavi neodplačanega dela obveznosti;
– znesek neodplačanega dela obveznosti, ki je predmet izterjave;
– datum plačila obveznosti in podatek o predčasnem plačilu;
– sprememba odplačilnega obdobja in
– sprememba zneska ali vrste posamezne anuitete oziroma obroka;
6. podatki o davčnih, upravnih in sodnih izvršbah pri banki:
– datum prejema izvršljivega sklepa o izvršbi ter o dejanjih med postopkom izvršbe: odlog plačila obveznosti, v zvezi s katero se opravlja izvršba, prekinitev izvršilnega postopka ter prenehanje odloga oziroma nadaljevanje izvršilnega postopka;
– znesek neodplačanega dela obveznosti, v zvezi s katero se opravlja izvršba, in
– datum zaključka postopka izvršbe z opredelitvijo statusa terjatve ob zaključku: popolno poplačilo obveznosti, ustavitev izvršbe (umik), vrnitev sklepa izdajatelju.
(3) V centralnem kreditnem registru se obdelujejo naslednji podatki o prevzetih poroštvih fizičnih oseb za obveznosti kreditojemalca, ki je fizična oseba ali poslovni subjekt:
1. o poroku:
– z navedbo podatkov iz prvega odstavka tega člena;
2. o poroštvu:
– datum prevzema poroštva in
– glede obveznosti kreditojemalca, za katerega je oseba dala poroštvo, z navedbo podatkov iz 1. in 4. točke prejšnjega odstavka;
3. o spremembi podatkov iz 1. in 2. točke tega odstavka zaradi poslovnih dejanj ali drugih dogodkov, ki nastanejo med trajanjem poroštva, in sicer:
– datum plačila obveznosti, za katero je dano poroštvo s strani kreditojemalca ali poroka;
– podatke o predčasnem plačilu obveznosti, za katero je dano poroštvo;
– sprememba odplačilnega obdobja za izpolnitev obveznosti kreditojemalca in
– sprememba zneska ali vrste posamezne anuitete oziroma obroka v zvezi z obveznostjo, za katero je dano poroštvo.
(4) Osebni podatki se v centralnem kreditnem registru obdelujejo v skladu s tem zakonom in zakonom, ki ureja varstvo osebnih podatkov.
(5) Banka Slovenije hrani osebne podatke, ki se obdelujejo v centralnem kreditnem registru, največ pet let po tem, ko se ti podatki izbrišejo iz sistema izmenjave informacij. Po poteku tega obdobja Banka Slovenije v centralnem kreditnem registru izbriše podatke iz 1. do 3. točke prvega odstavka tega člena, druge osebne podatke pa blokira tako, da se pooblaščenim osebam Banke Slovenije omogoči uporaba osebnih podatkov izključno za namene iz drugega odstavka 3. člena tega zakona. Banka Slovenije hrani blokirane osebne podatke, dokler je to potrebno za namene iz 3. člena tega zakona.
8. člen 
(zbiranje in obdelava podatkov o poslovnih subjektih) 
(1) V centralnem kreditnem registru se glede kreditojemalca, ki je poslovni subjekt, zbirajo podatki najmanj v obsegu iz prvega odstavka 17. člena tega zakona. V zvezi z zadolženostjo poslovnih subjektov iz naslova kreditnih poslov se zbirajo podatki najmanj v obsegu iz drugega in tretjega odstavka 17. člena tega zakona.
(2) Banka Slovenije z upoštevanjem obsega dejavnosti in vrste poslov, s podzakonskim aktom podrobneje opredeli:
1. vsebino podatkov in informacij iz prejšnjega odstavka;
2. način zbiranja podatkov in informacij za centralni kreditni register.
(3) Zahteve, ki jih določi Banka Slovenije s podzakonskim aktom iz prejšnjega odstavka, se uporabljajo za poročevalske enote po poteku najmanj šestih mesecev od uveljavitve tega podzakonskega akta.
9. člen 
(dodatne zahteve poročanja) 
(1) Poročevalske enote sporočajo podatke in informacije za centralni kreditni register, kadar nastopajo kot kreditodajalec v razmerju do poslovnega subjekta ali fizične osebe, vključno s primeri, ko na podlagi prenosa pogodbe ali terjatev iz določenega posla pridobijo položaj kreditodajalca.
(2) Banka Slovenije lahko od banke zahteva poročanje podatkov in informacij iz 1. točke prvega odstavka 6. člena tega zakona za centralni kreditni register tudi v zvezi s kreditnimi posli in drugimi izpostavljenostmi do poslovnih subjektov, ki jih sklepa ali pridobi:
1. banka prek svojih podružnic v drugih državah članicah ali tretjih državah;
2. družba, ki jo banka vključi v bonitetno konsolidacijo v skladu z 2. poglavjem II. naslova I. dela Uredbe 575/2013/EU.
10. člen 
(pridobivanje podatkov in informacij od upravljavcev drugih zbirk podatkov) 
(1) Center za informatiko na Vrhovnem sodišču Republike Slovenije Banki Slovenije za centralni kreditni register posreduje podatke v zvezi z insolvenčnimi postopki poslovnih subjektov ter podatke iz 5. točke prvega odstavka 7. člena tega zakona v zvezi z osebnimi stečaji fizičnih oseb.
(2) Agencija za javnopravne evidence in storitve Banki Slovenije za centralni kreditni register posreduje podatke o poslovnih subjektih iz Poslovnega registra Slovenije.
(3) Za namene pridobivanja podatkov na podlagi tega člena se zbirka centralnega kreditnega registra povezuje z zbirkami podatkov pri Vrhovnem sodišču Republike Slovenije in Agenciji za javnopravne evidence in storitve, pri čemer se povezovanje osebnih podatkov zagotavlja z uporabo davčne številke fizične osebe oziroma druge podobne identifikacijske oznake tuje fizične osebe.
(4) Upravljavci zbirk podatkov iz tega člena Banki Slovenije na njeno zahtevo podatke in informacije posredujejo brezplačno.
11. člen 
(varovanje zaupnih podatkov v centralnem kreditnem registru) 
(1) Podatki in informacije o posameznem poslovnem subjektu, ki se obdelujejo v centralnem kreditnem registru, so poslovna skrivnost kreditodajalca in poročevalske enote, ki je podatke in informacije posredovala v centralni kreditni register, in se v skladu s tem zakonom štejejo kot zaupni podatki. Ne glede na prejšnji stavek se ne štejejo kot poslovna skrivnost kreditodajalca in poročevalske enote tisti podatki in informacije o poslovnem subjektu, ki se vključujejo v sistem izmenjave informacij.
(2) Banka Slovenije varuje zaupne podatke, ki se zbirajo in obdelujejo v centralnem kreditnem registru, in jih ne sme razkriti drugi osebi ali državnemu organu v obliki in na način, ki omogoča identifikacijo poročevalske enote, kreditodajalca, fizične osebe ali poslovnega subjekta, na katero se podatki nanašajo, razen v primerih in pod pogoji, ki jih določa ta zakon.
(3) Prepoved iz prejšnjega odstavka ne velja:
1. če subjekt iz prejšnjega odstavka, na katerega se nanašajo individualizirani podatki v centralnem kreditnem registru, izrecno pisno pristane, da se sporočijo posamezni zaupni podatki, in
2. če zakon izrecno določa, da lahko državni organi v zvezi s postopki, ki jih vodijo v skladu z zakonom, ter druge osebe, ki jih zakon izrecno pooblašča, pridobijo določene zaupne podatke ali osebne podatke iz centralnega kreditnega registra, če teh podatkov ni mogoče pridobiti iz drugih uradnih zbirk podatkov.
(4) Zaposleni pri Banki Slovenije ter drugi strokovnjaki, ki delajo ali so delali po pooblastilu Banke Slovenije, varujejo zaupne podatke, ki so jih pridobili iz centralnega kreditnega registra pri opravljanju nalog za Banko Slovenije. Dolžnost varovanja zaupnih podatkov velja tudi po prenehanju delovnega razmerja pri Banki Slovenije oziroma po prenehanju opravljanja določenih poslov za Banko Slovenije.
(5) Varovanje zaupnih podatkov v centralnem kreditnem registru med drugim obsega ukrepe tehnične in organizacijske narave ter druge logično-tehnične postopke, s katerimi se varujejo prostori in tehnična oprema ter zagotavlja varnost obdelave in prenosa podatkov ter onemogoča dostop nepooblaščenim osebam do tehnične opreme, na kateri se obdelujejo podatki.
12. člen 
(uporaba in posredovanje podatkov iz centralnega kreditnega registra) 
(1) Banka Slovenije uporablja podatke iz centralnega kreditnega registra za izvajanje svojih nalog in pristojnosti v skladu z zakonom, ki ureja Banko Slovenije, Statutom ESCB in ECB, zakonom, ki ureja bančništvo, ter drugimi predpisi, ki urejajo naloge in pristojnosti Banke Slovenije in Evropske centralne banke. Banka Slovenije uporabi podatke iz centralnega kreditnega registra tudi za vzpostavitev in upravljanje sistema izmenjave informacij v obsegu in pod pogoji, ki jih določa ta zakon.
(2) Banka Slovenije za namene iz prejšnjega odstavka pregleduje in obdeluje osebne podatke iz 7. člena tega zakona, vključno z elektronsko obdelavo, in sicer tako, da lahko do osebnih podatkov dostopajo le osebe, ki so pri Banki Slovenije pooblaščene za dostopanje do osebnih podatkov v centralnem kreditnem registru zaradi izvajanja nalog Banke Slovenije iz 3. člena tega zakona. Banka Slovenije varuje osebne podatke v skladu z zakonom, ki ureja varstvo osebnih podatkov, ter zagotovi sledljivost glede dostopa do osebnih podatkov in uporabe osebnih podatkov tako, da sta mogoča identifikacija pooblaščene osebe, ki je dostopala oziroma uporabljala podatke iz sistema izmenjave informacij, in preverjanje namena, zaradi katerih je ta oseba dostopala do podatkov oziroma uporabljala določene podatke.
(3) Banka Slovenije posreduje podatke in informacije iz centralnega kreditnega registra posameznemu prejemniku, kadar takšno razkritje določa zakon, in v obsegu, ki ga prejemnik potrebuje za izvajanje svojih nalog ali pristojnosti v skladu z veljavnimi predpisi, ki urejajo njegovo delovanje in pristojnosti.
(4) Prejemnik iz prejšnjega odstavka, ki pridobi podatke iz centralnega kreditnega registra, sme te podatke uporabiti samo za izvajanje svojih pristojnosti in nalog v skladu z zakonom in jih po izčrpanem namenu uporabe izbriše ali drugače trajno uniči.
(5) Banka Slovenije lahko za namene obveščanja javnosti v zvezi z izvajanjem njenih nalog na podlagi zakona objavlja podatke iz centralnega kreditnega registra v agregatni obliki na način, da ni mogoče identificirati kreditodajalca, poročevalske enote, fizične osebe ali poslovnega subjekta, na katero se podatki nanašajo. Izjemoma lahko Banka Slovenije objavi podatke o posameznem kreditodajalcu, poročevalski enoti ali poslovnem subjektu, če:
1. poročevalska enota, kreditodajalec ali poslovni subjekt, na katerega se podatki nanašajo, pisno privoli v takšen način objave podatkov ali
2. so podatki, ki so predmet objave, zbrani iz javnih zbirk podatkov.
(6) Banka Slovenije je odgovorna za formalno pravilnost podatkov, ki jih objavi v skladu s prejšnjim odstavkom, posamezna poročevalska enota pa je odgovorna za vsebinsko pravilnost podatkov in informacij, ki jih je sporočila za centralni kreditni register.
13. člen 
(register tujih poslovnih subjektov) 
(1) Banka Slovenije vzpostavi in vodi register poslovnih subjektov, ki niso vpisani v Poslovni register Slovenije v skladu z zakonom, ki ureja Poslovni register Slovenije (v nadaljnjem besedilu: tuji poslovni subjekti) za namene njihove enolične identifikacije v centralnem kreditnem registru.
(2) Banka Slovenije vzpostavi register tujih poslovnih subjektov na način, da:
1. omogoča poročevalskim enotam vnos razpoložljivih identifikacijskih podatkov o tujem poslovnem subjektu;
2. generira enolično identifikacijsko oznako, ki jo Banka Slovenije tujemu poslovnemu subjektu dodeli ob prvem vnosu identifikacijskih podatkov v register tujih poslovnih subjektov.
(3) V registru tujih poslovnih subjektov se zbirajo in vodijo naslednji identifikacijski podatki o tujem poslovnem subjektu:
1. naziv pravne osebe ter ime in priimek zasebnika oziroma podjetnika;
2. država sedeža oziroma prebivališča ter naslov;
3. oznaka LEI;
4. oznaka SWIFT/BIC;
5. davčna številka in oznaka o tem, ali je poslovni subjekt zavezanec za davek na dodano vrednost (tuja identifikacijska številka za davek na dodano vrednost);
6. drug nacionalni identifikator, ki ga poslovnemu subjektu dodeli organ v državi sedeža (matična številka poslovnega registra v državi sedeža oziroma prebivališča ali oznaka drugega uradnega registra v državi sedeža oziroma prebivališča);
7. sektor ter panoga, v katero se uvršča poslovni subjekt glede na dejavnost, in
8. enolična identifikacijska oznaka iz 2. točke prejšnjega odstavka.
(4) Podatki iz prejšnjega odstavka, ki so hkrati podatki fizične osebe in zasebnika ali podjetnika, z vpisom tujega podjetnika ali zasebnika v register tujih poslovnih subjektov postanejo dostopni za namene izmenjave teh podatkov med poročevalskimi enotami.
(5) Identifikacijske podatke o tujem poslovnem subjektu v register vnašajo poročevalske enote na podlagi podatkov, ki jih kreditodajalci pridobijo pri sklepanju kreditnega posla s tujim poslovnim subjektom. Poročevalska enota predloži Banki Slovenije zahtevo za dodelitev enolične identifikacijske oznake za tuj poslovni subjekt, če tej osebi še ni bila dodeljena enolična identifikacijska oznaka v registru tujih poslovnih subjektov, in vnese v register tujih poslovnih subjektov razpoložljive identifikacijske podatke o tujem poslovnem subjektu.
(6) Enolična identifikacijska oznaka v registru tujih poslovnih subjektov, ki jo tujemu poslovnemu subjektu dodeli Banka Slovenije, ter identifikacijski podatki, ki se vodijo v registru tujih poslovnih subjektov, so dostopni poročevalskim enotam za namene poročanja Banki Slovenije za centralni kreditni register.
(7) Poročevalska enota, ki je vnesla identifikacijske podatke o tujem poslovnem subjektu v register tujih poslovnih subjektov pri Banki Slovenije, ob sklepanju pogodbe tuj poslovni subjekt na to opozori ter mu sporoči, da so ti podatki dostopni poročevalskim enotam. Poročevalska enota v 30 dneh po vnosu identifikacijskih podatkov v register tujih poslovnih subjektov tujemu poslovnemu subjektu sporoči enolično identifikacijsko oznako, ki mu je bila dodeljena v tem registru.
(8) Vsaka poročevalska enota lahko na podlagi podatkov, ki jih pridobi pri sklepanju kreditnega posla s tujim poslovnim subjektom, vnese v register tujih poslovnih subjektov spremembe posameznih identifikacijskih podatkov tujega poslovnega subjekta. Enolična identifikacijska oznaka se pri spremembi posameznih identifikacijskih podatkov tujega poslovnega subjekta ne spremeni. V primeru spremembe posameznih identifikacijskih podatkov tujega poslovnega subjekta se v registru tujih poslovnih subjektov omogoči tudi prikaz spremenjenih identifikacijskih podatkov.
3. SISTEM IZMENJAVE INFORMACIJ 
3.1. Vzpostavitev in upravljanje sistema izmenjave informacij
14. člen 
(vzpostavitev in upravljanje sistema izmenjave informacij) 
(1) Banka Slovenije vzpostavi in upravlja sistem izmenjave informacij kot del centralnega kreditnega registra tako, da članom sistema izmenjave informacij omogoča:
1. dostop do individualiziranih podatkov o zadolženosti posameznih fizičnih oseb in poslovnih subjektov, ter
2. izbris napačnega podatka iz sistema izmenjave informacij po postopku iz 24. člena tega zakona.
(2) Upravljanje sistema izmenjave informacij po tem zakonu obsega:
1. vključevanje podatkov in informacij o zadolženosti poslovnih subjektov in fizičnih oseb iz centralnega kreditnega registra v sistem izmenjave informacij ter
2. centralizirano obdelavo vključenih podatkov in informacij, ki obsega izkazovanje podatkov na zaslon in izpis teh podatkov na papir.
15. člen 
(člani sistema izmenjave informacij) 
(1) Člani sistema izmenjave informacij (v nadaljnjem besedilu: člani sistema) so tiste poročevalske enote, ki se obvezno vključijo v sistem izmenjave informacij, in kreditodajalci iz tretjega odstavka tega člena, če se tako odločijo. Člani sistema se vključijo v sistem izmenjave informacij le v delu glede zadolženosti poslovnih subjektov, če sklepajo kreditne posle s poslovnimi subjekti, ali le v delu glede zadolženosti fizičnih oseb, če pri opravljanju svoje dejavnosti sklepajo kreditne posle s fizičnimi osebami.
(2) Poročevalske enote, ki se obvezno vključijo v sistem izmenjave informacij v delu glede zadolženosti fizičnih oseb ali poslovnih subjektov, s katerimi sklepajo kreditne posle, so:
1. banka;
2. banka države članice ali tretje države, ki je ustanovila podružnico v Republiki Sloveniji v skladu z zakonom, ki ureja bančništvo, ter prek podružnice sklepa kreditne posle na območju Republike Slovenije;
3. kreditodajalec s sedežem v Republiki Sloveniji, katerega prevladujoča dejavnost glede na ustvarjene prihodke preteklega poslovnega leta je opravljanje storitev kreditiranja, finančnega zakupa ali faktoringa;
4. kreditodajalec s sedežem v drugi državi članici ali tretji državi, ki je ustanovil podružnico v Republiki Sloveniji, katere prevladujoča dejavnost glede na ustvarjene prihodke preteklega poslovnega leta je opravljanje storitev kreditiranja, finančnega zakupa ali faktoringa;
5. kreditodajalec s sedežem v Republiki Sloveniji, ki je v skladu z zakonom, ki ureja potrošniško kreditiranje, pridobil dovoljenje za opravljanje storitev finančnega zakupa nepremičnin;
6. kreditodajalec s sedežem v drugi državi članici ali tretji državi, ki je ustanovil podružnico v Republiki Sloveniji in preko podružnice opravlja storitev finančnega zakupa nepremičnin na območju Republike Slovenije;
7. ponudnik plačilnih storitev s sedežem v Republiki Sloveniji, ki je v skladu z zakonom, ki ureja plačilne storitve in sisteme, pridobil dovoljenje za opravljanje plačilnih storitev v Republiki Sloveniji ter sklepa kreditne posle v zvezi z opravljanjem plačilnih storitev na območju Republike Slovenije;
8. ponudnik plačilnih storitev s sedežem v drugi državi članici ali tretji državi, ki je v skladu z zakonom, ki ureja plačilne storitve in sisteme, ustanovil podružnico v Republiki Sloveniji ter prek podružnice sklepa kreditne posle v zvezi z opravljanjem plačilnih storitev na območju Republike Slovenije;
9. Družba za upravljanje terjatev bank, ustanovljena v skladu z zakonom, ki ureja ukrepe za krepitev stabilnosti bank;
10. Stanovanjski sklad Republike Slovenije, ustanovljen v skladu z zakonom, ki ureja stanovanjska razmerja, kadar pri izvajanju svojih nalog v skladu z zakonom sklepa kreditne posle s fizičnimi osebami ali poslovnimi subjekti za pridobivanje neprofitnih najemnih stanovanj ali lastnih stanovanj in stanovanjskih stavb z nakupom, gradnjo, vzdrževanjem in rekonstrukcijo stanovanj in stanovanjskih stavb;
11. Eko sklad, Slovenski okoljski javni sklad, ustanovljen v skladu z zakonom, ki ureja varstvo okolja, kadar pri izvajanju svojih nalog v skladu z zakonom sklepa kreditne posle s fizičnimi osebami ali poslovnimi subjekti z uporabo instrumentov sklada, ki jih določa zakon ali ustanovni akt;
12. upravljavec sredstev sistema enotnega zakladniškega računa države, kadar pri izvajanju svojih nalog sklepa kreditne posle s poslovnimi subjekti.
(3) V sistem izmenjave informacij se lahko v delu glede zadolženosti fizičnih oseb ali poslovnih subjektov pod enakimi pogoji kot obvezni člani vključijo naslednje osebe:
1. osebe, ki niso osebe iz prejšnjega odstavka, in v Republiki Sloveniji opravljajo storitve potrošniškega kreditiranja v skladu z zakonom, ki ureja potrošniško kreditiranje;
2. osebe, ki niso osebe iz prejšnjega odstavka, in imajo sedež ali prebivališče v drugi državi članici Evropske unije in opravljajo storitve potrošniškega kreditiranja ali storitve finančnega zakupa nepremičnin;
3. pravne osebe, ki niso osebe iz prejšnjega odstavka, in imajo sedež v Republiki Sloveniji ter v okviru svoje glavne dejavnosti opravljajo storitev kreditiranja s sklepanjem kreditnih pogodb.
16. člen 
(podatki o zadolženosti fizičnih oseb) 
(1) V zvezi z zadolženostjo kreditojemalcev, ki so fizične osebe, se v sistem izmenjave informacij vključujejo vsi podatki iz 7. člena tega zakona.
(2) Za namen pravilnosti poročanja v zvezi z zadolženostjo fizičnih oseb lahko član sistema od ministrstva, pristojnega za upravljanje Centralnega registra prebivalstva, brezplačno pridobi tiste osebne podatke, ki se zbirajo v centralnem kreditnem registru.
17. člen 
(podatki o zadolženosti poslovnih subjektov) 
(1) V sistem izmenjave informacij se vključujejo naslednji podatki o kreditojemalcu, ki je poslovni subjekt:
1. firma in poslovni naslov pravne osebe ali firma oziroma ime in poslovni naslov podjetnika ali zasebnika;
2. davčna številka in oznaka o tem, ali je poslovni subjekt zavezanec za davek na dodano vrednost, kadar je vpisan v davčni register v skladu z zakonom, ki ureja finančno upravo;
3. matična številka, če je poslovni subjekt vpisan v Poslovni register Slovenije v skladu z zakonom, ki ureja Poslovni register Slovenije, ali enolična identifikacijska oznaka tujega poslovnega subjekta iz registra tujih poslovnih subjektov;
4. podatki o stečaju ali prisilni poravnavi ali drugem postopku zaradi insolventnosti, ki se vodi zoper poslovni subjekt v skladu z zakonom, ki ureja finančno poslovanje, postopke zaradi insolventnosti in prisilno prenehanje;
5. drugi podatki o poslovnem subjektu, ki se vodijo v Poslovnem registru Slovenije, registru tujih poslovnih subjektov ali v drugih uradnih evidencah in registrih v Republiki Sloveniji.
(2) V sistem izmenjave informacij se v zvezi z zadolženostjo poslovnih subjektov iz naslova kreditnih poslov s poslovnimi subjekti vključujejo podatki o:
1. vrsti posla;
2. datumu sklenitve posla oziroma izdaje finančnega instrumenta ter datumu zapadlosti obveznosti;
3. zneskih neodplačanih obveznosti iz kreditnega posla ali druge izpostavljenosti;
4. zavarovanjih, ki so dana za izpolnitev obveznosti iz kreditnega posla;
5. znesku nečrpanega dela odobrenega kredita;
6. zamudi pri izpolnitvi obveznosti kreditojemalca.
(3) Banka Slovenije lahko določi, da se za namen upravljanja s kreditnim tveganjem in izpolnjevanja bonitetnih zahtev za banke v skladu z Uredbo 575/2013/EU poleg podatkov in informacij iz prvega in drugega odstavka tega člena med bankami izmenjujejo tudi naslednji podatki in informacije o kreditnih poslih do poslovnih subjektov o:
1. izpostavljenosti do poslovnih subjektov po vrstah finančnih instrumentov, vključno z drugimi izpostavljenostmi;
2. restrukturiranih izpostavljenostih;
3. donosnosti ali nedonosnosti izpostavljenosti in
4. razvrščanju izpostavljenosti, v skladu s predpisi o ocenjevanju izgub iz kreditnega tveganja.
(4) Banka Slovenije lahko določi, da se za namen upravljanja s kreditnim tveganjem in izpolnjevanja bonitetnih zahtev za banke v skladu z Uredbo 575/2013/EU poleg podatkov o kreditnih poslih med bankami izmenjujejo tudi podatki iz prvega do tretjega odstavka tega člena, ki se nanašajo na druge izpostavljenosti.
(5) Banka Slovenije s podzakonskim aktom podrobneje določi vsebino podatkov in informacij iz prvega do četrtega odstavka tega člena, ki se izmenjujejo v sistemu izmenjave informacij v zvezi s poslovnimi subjekti. Podatki iz prvega, drugega in tretjega odstavka tega člena ne vključujejo osebnih podatkov.
18. člen 
(hramba podatkov v sistemu izmenjave) 
(1) Podatki o posameznem kreditnem poslu se v sistemu izmenjave informacij hranijo in so dostopni za izmenjavo štiri leta po prenehanju obveznosti, ki izhaja iz kreditnega posla. Podatki o posameznih poslih zavarovanja, ki so sklenjeni v zvezi z obveznostjo kreditojemalca, se v sistemu izmenjave informacij hranijo štiri leta po prenehanju obveznosti dajalca zavarovanja.
(2) Podatki iz 5. točke prvega odstavka in 6. točke drugega odstavka 7. člena tega zakona se hranijo in so dostopni v sistemu izmenjave informacij do poteka štirih let po končanju postopka zaradi osebnega stečaja oziroma postopka davčne, upravne ali sodne izvršbe.
(3) Po poteku rokov iz prvega in drugega odstavka tega člena se podatki o kreditnih poslih zbrišejo tako, da v sistemu izmenjave informacij niso več dostopni.
3.2. Dostop in obdelava podatkov iz sistema izmenjave informacij
19. člen 
(dostop do podatkov) 
(1) Do podatkov v sistemu izmenjave informacij lahko dostopajo člani sistema, ki izpolnjujejo tehnične pogoje in varnostne zahteve za dostop do sistema izmenjave informacij, ki jih določi Banka Slovenije.
(2) Člani sistema lahko za namene ocenjevanja kreditnega tveganja fizične osebe ali poslovnega subjekta, ki je izrazil interes za sklenitev kreditnega posla ali s katerim so sklenili kreditni posel, dostopajo do vseh podatkov, ki se o tej fizični osebi ali poslovnem subjektu obdelujejo v sistemu izmenjave informacij.
(3) Ne glede na prvi odstavek tega člena lahko kreditodajalci, ki niso člani sistema izmenjave informacij, če izpolnjujejo tehnične pogoje in varnostne zahteve za dostop do sistema izmenjave informacij, ki jih določi Banka Slovenije (v nadaljnjem besedilu: vključeni dajalci kreditov), dostopajo izključno do naslednjih podatkov o zadolženosti posamezne fizične osebe, ki je izrazila interes za sklenitev kreditnega posla, o:
1. znesku neodplačanega dela obveznosti iz kreditnega posla;
2. znesku obveznosti, s plačilom katerih je potrošnik v zamudi;
3. znesku neodplačanega dela obveznosti, v zvezi s katero se opravlja sodna ali davčna izvršba pri banki, in
4. znesku neodplačanega dela obveznosti, za katero je banka začela postopek izterjave, vključno s podatki o omejitvi uporabe ali o onemogočeni uporabi plačilnega računa zaradi izterjave in o ponovni odpravi omejitev.
(4) Do podatkov v sistemu izmenjave informacij lahko pri članih sistema in vključenih dajalcih kreditov dostopajo le osebe, ki so pooblaščene za dostop do zaupnih podatkov zaradi izvajanja nalog pri ocenjevanju kreditnih tveganj člana sistema oziroma vključenega dajalca kreditov v zvezi s sklepanjem ali izvajanjem kreditnih poslov.
(5) Član sistema in vključeni dajalec kreditov varuje osebne podatke v skladu z zakonom, ki ureja varstvo osebnih podatkov, ter med drugim zagotovi sledljivost glede dostopa do podatkov in izpisovanja podatkov iz sistema izmenjave informacij tako, da sta mogoča identifikacija pooblaščene osebe, ki je dostopala oziroma izpisovala podatke iz sistema izmenjave informacij, in preverjanje razlogov, zaradi katerih je ta oseba dostopala oziroma izpisovala določene podatke.
(6) Banka Slovenije na svoji spletni strani objavi seznam članov sistema ter seznam vključenih dajalcev kreditov.
20. člen 
(varovanje zaupnih in osebnih podatkov) 
(1) Člani sistema in vključeni dajalci kreditov, ki na podlagi tega zakona dostopajo do individualiziranih podatkov v sistemu izmenjave informacij, te podatke varujejo kot zaupne in jih ne smejo razkriti drugi osebi ali državnemu organu, razen v obliki povzetka ali v anonimizirani obliki ali če je razkritje podatkov potrebno zaradi naznanitve suma kaznivega dejanja pristojnim organom. Člani sistema in vključeni dajalci kreditov varujejo osebne podatke v skladu z zakonom, ki ureja varstvo osebnih podatkov.
(2) Prepoved iz prejšnjega odstavka ne velja:
1. če kreditojemalec ali dajalec zavarovanja, na katerega se nanašajo podatki, izrecno pisno pristane, da se sporočijo zaupni podatki;
2. v drugih primerih, kjer zakon izrecno določa, da lahko določene osebe pridobijo določene zaupne ali osebne podatke, ki se vodijo v sistemu izmenjave informacij, določa pa tudi namen njihove uporabe ter zagotavlja ustrezno varstvo zaupnih podatkov.
(3) Zaposleni pri članu sistema ali vključenem dajalcu kreditov ter druge osebe, ki delajo ali so delali po njegovem pooblastilu, vse podatke iz sistema izmenjave informacij, ki so jih pridobili pri opravljanju nalog za člana sistema ali vključenega dajalca kreditov, varujejo kot zaupne ali osebne in jih ne smejo razkriti nobeni drugi osebi ali državnemu organu. Dolžnost varovanja zaupnih in osebnih podatkov velja tudi po prenehanju delovnega razmerja ali drugega pogodbenega razmerja s članom sistema ali vključenim dajalcem kreditov.
21. člen 
(uporaba podatkov) 
(1) Član sistema ali vključeni dajalec kreditov lahko dostopa do podatkov v sistemu izmenjave informacij in uporablja te podatke izključno za namene:
1. ocenjevanja kreditne sposobnosti kreditojemalca ter kreditnega tveganja, ki bi s sklenitvijo posameznega kreditnega posla nastalo za tega člana ali vključenega dajalca kreditov ali je nastalo v zvezi z izvajanjem kreditnega posla, in
2. reklamacije, izterjave, revizije in posodabljanja podatkov, ki se vključujejo v sistem izmenjave informacij.
(2) Pred sklenitvijo kreditnega posla član sistema ali vključeni dajalec kreditov na podlagi vpogleda v zbirko podatkov sistema izmenjave informacij in na podlagi drugih podatkov in informacij o kreditojemalcu, s katerimi razpolaga, oceni kreditojemalčevo sposobnost izpolnjevanja obveznosti iz kreditnega posla. Izpis podatkov iz sistema izmenjave informacij je sestavni del kreditne dokumentacije, ki jo vodi član sistema ali vključeni dajalec kreditov.
(3) Član sistema in vključeni dajalec kreditov ne smeta uporabiti podatkov o zadolženosti fizične osebe, ki se obdelujejo v sistemu izmenjave informacij, za neposredno ali ciljno trženje ali pri odločanju, ali naj fizični osebi odpreta transakcijski račun.
22. člen 
(pravica fizične osebe do seznanitve) 
(1) Fizična oseba uveljavlja pravico do seznanitve z obdelavo lastnih osebnih podatkov v sistemu izmenjave informacij v skladu z zakonom, ki ureja varstvo osebnih podatkov, tako, da vloži zahtevo za seznanitev pri Banki Slovenije ali članu sistema. Član sistema v tem delu glede izvajanja pravice posameznika do seznanitve z lastnimi osebnimi podatki za osebne podatke, do katerih lahko posamezen član sistema dostopa, nosi naloge upravljavca.
(2) V postopku odločanja o pravici fizične osebe do seznanitve z obdelavo lastnih osebnih podatkov v sistemu izmenjave informacij se na prvi stopnji ne uporablja zakon, ki ureja splošni upravni postopek.
(3) Za postopek v zvezi s pravico fizične osebe do seznanitve z osebnimi podatki, ki se nanašajo nanjo, se uporablja zakon, ki ureja varstvo osebnih podatkov, pri čemer Banka Slovenije z internim aktom določi podrobnejši postopek tehnične izvedbe obravnave teh vlog.
23. člen 
(pravica poslovnega subjekta do seznanitve) 
(1) Banka Slovenije kot upravljavec sistema izmenjave informacij zagotavlja poslovnemu subjektu pravico do seznanitve z obdelavo lastnih zaupnih podatkov v sistemu izmenjave informacij prek spletne aplikacije z varnim dostopom, ki poslovnemu subjektu omogoči vpogled in lastni izpis glede:
1. informacije, ali se zaupni podatki v zvezi s poslovnim subjektom obdelujejo v sistemu izmenjave informacij ali ne;
2. vseh podatkov, ki se o tem poslovnem subjektu obdelujejo v sistemu izmenjave informacij, vključno z informacijo o tem, kateri kreditodajalec je posredoval podatke za sistem izmenjave informacij;
3. informacije o tem, kdaj, na kakšni podlagi in za kakšen namen je posamezen član sistema, vključeni dajalec kreditov ali drug uporabnik v skladu z zakonom dostopal do teh podatkov, razen če zakon izrecno prepoveduje posredovanje teh informacij.
(2) Banka Slovenije s podzakonskim aktom podrobneje določi postopek in način seznanitve z lastnimi podatki, ki se zagotavlja poslovnim subjektom.
24. člen 
(pravica do dopolnitve, popravka, blokiranja, izbrisa in ugovora) 
(1) Fizična oseba uveljavlja pravico do dopolnitve, popravka, blokiranja, izbrisa in ugovora v zvezi z lastnimi osebnimi podatki, ki se obdelujejo v sistemu izmenjave informacij, v skladu z zakonom, ki ureja varstvo osebnih podatkov.
(2) Fizična oseba uveljavlja pravico iz prejšnjega odstavka z zahtevo, ki nedvoumno omogoča njeno identifikacijo, in sicer tako, da jo predloži Banki Slovenije ali članu sistema, ki je posredoval osebne podatke v sistem izmenjave informacij.
(3) Kadar fizična oseba predloži zahtevo glede dopolnitve, popravka, blokiranja ali izbrisa podatkov Banki Slovenije, Banka Slovenije to zahtevo v treh delovnih dneh od prejema posreduje članu sistema, ki je posredoval sporen podatek za sistem izmenjave informacij. Član sistema najkasneje v desetih delovnih dneh od prejema zahteve fizično osebo obvesti, ali je zahteva utemeljena ali ne.
(4) Poslovni subjekt uveljavlja pravico do dopolnitve, popravka ali izbrisa zaupnih podatkov, ki se obdelujejo v sistemu izmenjave podatkov, na podlagi pisne zahteve, ki jo vloži pri članu sistema, ki je poročal sporne podatke za sistem izmenjave informacij, če dokaže, da so sporni podatki nepopolni, netočni ali neažurni. Član sistema najkasneje v 20 delovnih dneh od prejema zahteve poslovni subjekt obvesti, ali je zahteva utemeljena ali ne.
(5) Če je zahteva fizične osebe iz drugega odstavka tega člena oziroma zahteva poslovnega subjekta iz prejšnjega odstavka utemeljena, član sistema o tem nemudoma obvesti Banko Slovenije ter v skladu z navodili Banke Slovenije na podlagi sedmega odstavka 6. člena tega zakona zagotovi, da se napačni podatek dopolni, izbriše ali spremeni in zagotovi pravilen podatek.
(6) Napačen podatek, ki je bil dopolnjen, spremenjen ali izbrisan, ni naveden v izpisu podatkov iz sistema izmenjave informacij.
3.3. Druge določbe v zvezi z upravljanjem sistema izmenjave informacij
25. člen 
(povezovanje z drugimi sistemi) 
(1) Banka Slovenije lahko za namene iz tretjega odstavka 4. člena tega zakona kot upravljavec sistema izmenjave informacij sklepa dogovore o povezovanju tega sistema z drugimi sistemi, ki so vzpostavljeni v drugih državah članicah Evropske unije in ki omogočajo izmenjavo podatkov o kreditojemalcih in o zadolženosti ter drugih izpostavljenostih za ocenjevanje kreditnih tveganj med sistemom in člani sistema. Pri povezovanju sistema izmenjave informacij z drugimi sistemi v državah članicah Evropske unije lahko Banka Slovenije omogoči izmenjavo vseh podatkov, ki se na podlagi tega zakona zbirajo v sistemu izmenjave informacij, ob upoštevanju načela sorazmernosti in recipročnosti. Povezovanje osebnih podatkov na podlagi dogovora iz prvega stavka tega člena se zagotavlja z uporabo davčne številke ali druge podobne identifikacijske oznake tuje fizične osebe.
(2) Banka Slovenije lahko z upravljavci sistemov izmenjave informacij za ocenjevanje bonitete strank v tretjih državah sklepa dogovore glede izmenjave podatkov o zadolženosti poslovnih subjektov, če upravljavec sistema izmenjave informacij v tretji državi glede na veljavne predpise tretje države zagotavlja primerljivo varstvo zaupnih podatkov, ki so predmet izmenjave, kot ga določa ta zakon.
(3) Banka Slovenije na svoji spletni strani zagotavlja podatke o predpisih in njihovih spremembah, ki urejajo vzpostavitev in upravljanje sistema izmenjave informacij ter uporabo teh podatkov, vključno z informacijami o dogovorih, ki jih je sklenila na podlagi prvega in drugega odstavka tega člena.
26. člen 
(podzakonski akti o upravljanju sistema izmenjave informacij) 
(1) Banka Slovenije v zvezi z vzpostavitvijo in upravljanjem sistema izmenjave informacij določi:
1. tehnične pogoje, ki jih morajo izpolnjevati člani sistema in vključeni dajalci kreditov za članstvo oziroma vključitev v sistem izmenjave informacij ter za zagotavljanje zaupnosti podatkov, ki se zbirajo v sistemu izmenjave informacij;
2. nadomestilo, ki se zaračunava članom sistema in vključenim dajalcem kreditov za članstvo oziroma vključitev v sistem izmenjave informacij ter za dostop do podatkov v sistemu izmenjave informacij;
3. nadomestilo, ki se zaračunava fizičnim osebam in poslovnim subjektom v zvezi z zahtevo za seznanitev z lastnimi podatki, ki se izmenjujejo v sistemu izmenjave informacij.
(2) Banka Slovenije pred sprejetjem aktov iz 1. točke prejšnjega odstavka v zvezi z varovanjem osebnih podatkov, ki se obdelujejo v sistemu izmenjave informacij, pridobi mnenje Informacijskega pooblaščenca.
(3) Za zaračunavanje nadomestila iz 3. točke prvega odstavka tega člena v zvezi z zahtevo za seznanitev z lastnimi osebnimi podatki se upošteva zakon, ki ureja varstvo osebnih podatkov.
(4) Ne glede na 2. točko prvega odstavka tega člena se upravljavcu sredstev sistema enotnega zakladniškega računa države nadomestilo ne zaračunava.
(5) Banka Slovenije določi nadomestili iz prvega odstavka tega člena na način, da vsota nadomestil zagotavlja pokrivanje dejanskih stroškov, ki nastanejo Banki Slovenije iz naslova upravljanja sistema izmenjave informacij.
4. NADZOR BANKE SLOVENIJE 
27. člen 
(nadzor pravilnosti poročanja) 
(1) Za nadzor nad izpolnjevanjem obveznosti glede pravilnosti poročanja podatkov in informacij za centralni kreditni register v skladu s tem zakonom je pristojna Banka Slovenije.
(2) Banka Slovenije lahko od poročevalskih enot zahteva predložitev informacij v zvezi z izpolnjevanjem obveznosti glede poročanja podatkov in informacij za centralni kreditni register.
(3) Banka Slovenije lahko za namene preverjanja informacij iz prejšnjega odstavka opravi pregled poslovanja pri poročevalski enoti.
(4) Za pridobivanje informacij in za pregled poslovanja poročevalske enote v zvezi z nadzorom, ki ga Banka Slovenije opravlja na podlagi tega zakona, se uporablja zakon, ki ureja bančništvo.
(5) Če Banka Slovenije v okviru nadzora nad poročevalskimi enotami ugotovi kršitve tega zakona ali aktov, izdanih na njegovi podlagi, zahteva od poročevalske enote, da odpravi ugotovljene kršitve. Za zahtevo za odpravo ugotovljenih kršitev se uporabljajo določbe zakona, ki ureja bančništvo, glede odredbe o odpravi kršitev.
28. člen 
(nadzor izpolnjevanja pogojev za članstvo) 
(1) Za nadzor nad izpolnjevanjem pogojev glede članstva v sistemu izmenjave informacij oziroma dostopa do podatkov prek sistema izmenjave informacij v skladu s tem zakonom je pristojna Banka Slovenije.
(2) Banka Slovenije lahko od članov sistema in vključenih dajalcev kreditov zahteva predložitev informacij glede izpolnjevanja pogojev za članstvo oziroma vključitev v sistem izmenjave informacij, ki so določeni v aktu iz prvega odstavka 26. člena tega zakona.
(3) Banka Slovenije lahko za namene preverjanja informacij iz prejšnjega odstavka opravi pregled poslovanja pri članu sistema oziroma vključenem dajalcu kreditov pri preverjanju pogojev za vključitev ali po vključitvi v sistem izmenjave informacij.
(4) Za pridobivanje informacij in za pregled poslovanja člana sistema ali vključenega dajalca kreditov se uporablja zakon, ki ureja bančništvo.
(5) Če Banka Slovenije v okviru nadzora nad člani sistema oziroma vključenimi dajalci kreditov ugotovi kršitve zahtev glede članstva oziroma vključitve v sistemu izmenjave informacij, članu sistema oziroma vključenem dajalcu kreditov začasno onemogoči dostop do podatkov v sistemu izmenjave informacij in od člana sistema zahteva, da odpravi ugotovljene kršitve. Za zahtevo za odpravo ugotovljenih kršitev se uporabljajo določbe zakona, ki ureja bančništvo, glede odredbe o odpravi kršitev.
5. KAZENSKE DOLOČBE 
29. člen 
(kršitve poročevalske enote) 
(1) Z globo od 5.000 do 150.000 eurov se za prekršek kaznuje poročevalska enota, če:
1. ne zagotavlja pravočasno podatkov za centralni kreditni register, oziroma ne zagotavlja popolnih in pravilnih podatkov ali napačnih podatkov ne popravi v skladu s postopkovnimi navodili Banke Slovenije (sedmi odstavek 6. člena);
2. v register tujih poslovnih subjektov ne vnese razpoložljivih identifikacijskih podatkov o tujem poslovnem subjektu (peti odstavek 13. člena);
3. ne odpravi ugotovljenih kršitev v skladu z zahtevo iz petega odstavka 27. člena tega zakona.
(2) Z globo od 1.000 do 10.000 eurov se za prekršek kaznuje odgovorna oseba poročevalske enote, ki stori prekršek iz prejšnjega odstavka.
30. člen 
(kršitve člana sistema ali vključenega dajalca kreditov) 
(1) Z globo od 5.000 do 150.000 eurov se za prekršek kaznuje oseba iz drugega odstavka 15. člena tega zakona, če se ne vključi v sistem izmenjave informacij.
(2) Z globo od 5.000 do 150.000 eurov se za prekršek kaznuje član sistema ali vključeni dajalec kreditov, če:
1. dostopa do podatkov v sistemu izmenjave informacij v nasprotju s prvim ali tretjim odstavkom 19. člena tega zakona;
2. dopusti, da do zaupnih podatkov v sistemu izmenjave informacij dostopajo nepooblaščene osebe (četrti odstavek 19. člena);
3. podatkov iz sistema izmenjave informacij ne uporablja za namene, določene v prvem odstavku 21. člena tega zakona;
4. poslovnemu subjektu ne zagotavlja pravice do dopolnitve, popravka ali izbrisa zaupnih podatkov, ki se obdelujejo v sistemu izmenjave informacij (četrti in peti odstavek 24. člena).
(3) Z globo od 1.000 do 10.000 eurov se za prekršek kaznuje odgovorna oseba člana sistema oziroma vključenega dajalca kreditov, ki stori prekršek iz prvega in drugega odstavka tega člena.
31. člen 
(objava kršiteljev) 
Informacijski pooblaščenec z namenom preprečevanja in odvračanja ravnanj, ki pomenijo kršitev določb tega zakona, ki se nanašajo na obdelavo osebnih podatkov, javno objavi informacije v zvezi z ukrepi nadzora in sankcijami zaradi prekrška, ki jih je izrekel.
32. člen 
(izrek globe v hitrem postopku) 
Za prekrške iz tega zakona se sme v hitrem postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe, določene s tem zakonom.
6. PREHODNE IN KONČNE DOLOČBE 
33. člen 
(vzpostavitev centralnega kreditnega registra) 
(1) Banka Slovenije izda podzakonske akte iz drugega odstavka 2. člena, drugega odstavka 8. člena, petega odstavka 17. člena in drugega odstavka 23. člena ter interni akt iz tretjega odstavka 22. člena tega zakona v enem mesecu od uveljavitve tega zakona ter z upoštevanjem drugega in tretjega odstavka tega člena vzpostavi centralni kreditni register v dveh mesecih od uveljavitve tega zakona.
(2) Z dnem vzpostavitve centralnega kreditnega registra se v zvezi s poslovnimi subjekti v centralni kreditni register vključijo podatki in informacije, ki so določeni s podzakonskim aktom iz prejšnjega odstavka in jih Banka Slovenije pridobi na podlagi Sklepa o poročanju monetarnih finančnih institucij (Uradni list RS, št. 21/16).
(3) Z dnem vzpostavitve centralnega kreditnega registra se v zvezi s fizičnimi osebami v centralni kreditni register vključijo podatki in informacije, ki se o fizičnih osebah obdelujejo v sistemu za izmenjavo informacij o boniteti strank, ki je za fizične osebe vzpostavljen na podlagi Zakona o bančništvu (Uradni list RS, št. 25/15 in 44/16 – ZRPPB; v nadaljnjem besedilu: ZBan-2).
34. člen 
(vzpostavitev sistema izmenjave informacij) 
(1) Sistem za izmenjavo informacij o boniteti strank, ki je za fizične osebe vzpostavljen na podlagi ZBan-2 (v nadaljnjem besedilu: sistem za izmenjavo informacij o boniteti strank), z dnem uveljavitve tega zakona velja kot sistem izmenjave informacij po tem zakonu v delu glede podatkov o zadolženosti fizičnih oseb. Pravila sistema za izmenjavo informacij o boniteti strank, ki določajo tehnične pogoje delovanja tega sistema, z dnem uveljavitve tega zakona veljajo kot pravila iz 1. točke prvega odstavka 26. člena tega zakona.
(2) Ne glede na 16. člen tega zakona sistem izmenjave informacij eno leto od vzpostavitve vključuje zgolj podatke o zadolženosti fizičnih oseb, ki se obdelujejo v sistemu za izmenjavo informacij o boniteti strank.
(3) Banka Slovenije vzpostavi sistem izmenjave informacij v delu glede zadolženosti poslovnih subjektov v dveh mesecih od uveljavitve tega zakona. Banka Slovenije izda akt iz 1. točke prvega odstavka 26. člena tega zakona glede tehničnih pogojev, ki jih morajo izpolnjevati člani sistema za vključitev v sistem izmenjave informacij, ter za zagotavljanje zaupnosti podatkov v enem mesecu od uveljavitve tega zakona.
(4) Ne glede na 17. člen tega zakona se največ štiri leta po vzpostaviti sistema izmenjave informacij v delu glede zadolženosti poslovnih subjektov iz centralnega kreditnega registra vključujejo le podatki, ki jih v skladu s 33. členom tega zakona o zadolženosti poslovnih subjektov poročajo banke in podružnice bank držav članic, ki so ustanovljene v Republiki Sloveniji, razen če Banka Slovenije pred potekom štirih let od vzpostavitve z aktom iz 8. člena tega zakona predpiše poročanje podatkov o zadolženosti poslovnih subjektov tudi za druge poročevalske enote, ki se v skladu z drugim odstavkom 15. člena tega zakona obvezno vključijo v sistem izmenjave informacij v delu glede zadolženosti poslovnih subjektov.
(5) Banka Slovenije v enem mesecu od uveljavitve tega zakona s tarifo Banke Slovenije določi nadomestilo iz 2. in 3. točke prvega odstavka 26. člena tega zakona.
35. člen 
(prehodno obdobje glede članov sistema in dostopa do podatkov) 
(1) V sistem izmenjave informacij v delu glede zadolženosti fizičnih oseb se obvezno vključijo poročevalske enote iz drugega odstavka 15. člena tega zakona, razen enot, ki so že vključene v sistem za izmenjavo informacij o boniteti strank, v enem letu po vzpostavitvi sistema izmenjave informacij.
(2) V sistem izmenjave informacij v delu glede zadolženosti poslovnih subjektov se z dnem vzpostavitve tega sistema obvezno vključijo banke in podružnice bank držav članic, ki so ustanovljene v Republiki Sloveniji. Druge poročevalske enote iz drugega odstavka 15. člena tega zakona se obvezno vključijo v sistem izmenjave informacij glede zadolženosti poslovnih subjektov, ko Banka Slovenije s podzakonskim aktom iz 8. člena tega zakona za te poročevalske enote predpiše obveznost poročanja podatkov o zadolženosti poslovnih subjektov. Banka Slovenije najkasneje v roku štirih let od vzpostavitve sistema izmenjave informacij o zadolženosti poslovnih subjektov z aktom iz 8. člena tega zakona določi obveznost poročanja za poročevalske enote iz drugega odstavka 15. člena tega zakona glede podatkov, ki se vključujejo v sistem izmenjave informacij v delu glede zadolženosti poslovnih subjektov.
(3) Pravne osebe iz tretje točke tretjega odstavka 15. člena se lahko vključijo v sistem izmenjave informacij glede zadolženosti poslovnih subjektov, ko Banka Slovenije s podzakonskim aktom iz 8. člena tega zakona za te osebe predpiše vsebino in način poročanja podatkov o zadolženosti poslovnih subjektov. Banka Slovenije najkasneje v roku štirih let od vzpostavitve sistema izmenjave informacij predpiše akt iz prejšnjega stavka.
(4) Ne glede na 19. člen tega zakona bodo vključeni dajalci kreditov lahko dostopali do nabora podatkov iz tretjega odstavka 19. člena tega zakona v enem letu po vzpostavitvi sistema izmenjave informacij.
36. člen 
(razveljavitev in uporaba predpisov) 
(1) Z dnem uveljavitve tega zakona preneha veljati 14. poglavje ZBan-2.
(2) Ne glede na prejšnji odstavek se 14. poglavje ZBan-2 uporablja do poteka prehodnih obdobij iz 34. in 35. člena tega zakona.
37. člen 
(uveljavitev zakona) 
Ta zakon začne veljati osmi dan po objavi v Uradnem listu Republike Slovenije.
Št. 450-05/16-5/20
Ljubljana, dne 22. novembra 2016
EPA 1447-VII
Državni zbor 
Republike Slovenije 
dr. Milan Brglez l.r.
Predsednik