Na podlagi drugega odstavka 23. člena, prve točke prvega odstavka 26. člena Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16) in 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo in 59/11) izdaja Svet Banke Slovenije
sistema izmenjave informacij o zadolženosti poslovnih subjektov – SISBIZ
I. UVODNA DOLOČILA IN OPREDELITEV POJMOV
(1) Pravila sistema izmenjave informacij o zadolženosti poslovnih subjektih – SISBIZ (v nadaljevanju »pravila SISBIZ«) določajo tehnične pogoje za dostop do sistema, ukrepe za zavarovanje zaupnih podatkov, ki se zbirajo in obdelujejo v sistemu, ter ostale pogoje upravljanja in uporabe sistema in s tem povezane porazdelitve medsebojnih pravic, obveznosti in odgovornosti med Upravljavcem ter Članom sistema izmenjave informacij (v nadaljevanju »Član«).
(2) Izrazi, uporabljeni v teh pravilih, pomenijo:
SISBIZ – elektronski sistem za vpogled v podatke in informacije o zadolženosti poslovnih subjektov, ki se izmenjujejo v skladu z ZCKR.
Upravljavec sistema zbirke podatkov o zadolženosti poslovnih subjektov – Banka Slovenije (v nadaljevanju Upravljavec), ki zagotavlja pravilno in nemoteno delovanje SISBIZ in v tem okviru predvsem delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito, vključno s funkcionalnostjo sistema v smislu določb podzakonskih predpisov in navodil, ter upravlja zbirko podatkov v skladu z določbami ZCKR in ZBan-2.
Član – kreditodajalec iz 15. člena ZCKR, ki sklepa kreditne posle s poslovnimi subjekti.
Poslovni subjekt – pravna oseba, podjetnik ali zasebnik.
Generalni skrbnik pri upravljavcu – pooblaščena oseba pri Upravljavcu, ki je zadolžena za izvajanje nalog v skladu s temi pravili.
Generalni skrbnik in njegov namestnik (v nadaljevanju generalni skrbnik) – pooblaščena oseba pri Članu, ki je zadolžena za izvajanje nalog v skladu s temi pravili.
Zaupni podatki – zaupni podatki o strankah bank, kot so opredeljeni v zakonu, ki ureja bančništvo, ter drugi podatki o posameznih kreditojemalcih ali dajalcih zavarovanj, ki se v skladu z zakonom, ki ureja gospodarske družbe ali v skladu z drugimi predpisi, varujejo kot poslovna skrivnost.
ZCKR – Zakon o centralnem kreditnem registru v vsakokrat veljavni vsebini.
ZBan-2 – Zakon o bančništvu v vsakokrat veljavni vsebini.
ZVOP-1 – Zakon o varstvu osebnih podatkov v vsakokrat veljavni vsebini.
(1) Upravljavec vzpostavi in upravlja SISBIZ v skladu z ZCKR z namenom, da omogoči Članom učinkovitejše ocenjevanje kreditnega tveganja pred sklepanjem kreditnih poslov s poslovnimi subjekti ter pri njihovem izvrševanju, in z namenom vzpodbujanja politik in ukrepov za odgovorno kreditiranje, ter za vzdržno zadolževanje in preprečevanje prezadolženosti poslovnih subjektov.
(2) Upravljavec koordinira zahteve ali predloge za spremembe in nadgradnje SISBIZ in organizira delo s Člani.
(3) Upravljavec komunicira z javnostmi v zadevah organizacije in delovanja SISBIZ.
(4) Upravljavec upravlja zbirke podatkov v skladu ZCKR in ZVOP.
(5) Upravljavec ima pravico vpogleda, upravljanja in obdelave osebnih podatkov o generalnih skrbnikih pri Članih in ima za namene, predvidene v ZCKR, pravico in pooblastilo za obdelavo zaupnih podatkov poslovnih subjektov, ki so predmet obdelave v SISBIZ.
(1) Upravljavec pred vključitvijo in kasneje v rednih intervalih zagotovi pregled skladnosti poslovanja SISBIZ pri Članih, ki z upravljavcem sklenejo Pogodbo o uporabi SISBIZ.
(2) Pregled pred vključitvijo iz prejšnjega odstavka se ne izvede pri Članih, ki so z dnem vzpostavitve sistema izmenjave informacij o zadolženosti poslovnih subjektov že zavezani poročati podatke v ta sistem.
(3) Stroške pregleda iz prvega odstavka tega člena nosi subjekt pregleda iz prvega odstavka tega člena v skladu z veljavno Tarifo sistema izmenjave informacij.
III. VKLJUČITEV IN DOSTOP DO SISBIZ ZA ČLANE
(1) Za vključitev in dostop do SISBIZ morajo Člani z Upravljavcem skleniti Pogodbo o uporabi SISBIZ in izpolniti naslednje pogoje:
– imenovati generalnega skrbnika SISBIZ in njegovega namestnika,
– vzpostaviti testno okolje SISBIZ v skladu z navodili Upravljavca,
– zaključiti testiranje z izpolnjeno UAT (User Acceptance Test) izjavo,
– opraviti pregled o ustreznosti/pripravljenosti za vključitev v sistem SISBIZ.
(2) Upravljavec omogoči vključitev Člana v testno okolje SISBIZ po podpisu Pogodbe o uporabi SISBIZ in imenovanju generalnega skrbnika SISBIZ, razen člana iz drugega odstavka 3. člena teh pravil.
(3) Pregled o ustreznosti/pripravljenosti za vključitev v produkcijsko okolje sistema SISBIZ se opravi pred njegovo vključitvijo v produkcijsko okolje sistema SISBIZ. Vsebino pregleda določi Upravljavec.
(4) Po ugotovitvi ustrezne pripravljenosti Člana na uporabo sistema SISBIZ, Upravljavec Člana obvesti o izpolnitvi pogojev za vključitev v produkcijsko okolje SISBIZ.
(5) Upravljavec lahko začasno onemogoči (izklopi) uporabo SISBIZ Članu, ki krši določila Pogodbe o uporabi SISBIZ ali določila teh pravil. Ko Član iz prejšnjega stavka preneha oziroma odpravi kršitev, se mu ponovno omogoči (vklopi) dostop do SISBIZ. Strošek začasnega izklopa in ponovnega priklopa se Članu obračuna v skladu s Tarifo sistema izmenjave informacij.
(6) Člani so dolžni ta pravila izpolnjevati ves čas. Upravljavec izvaja pregled izpolnjevanja teh pravil pri Članu v okviru opravljanja pregleda v skladu s Pogodbo o uporabi SISBIZ. Pri Članih, nad katerimi ima Upravljavec pristojnost nadzora po določbah ZBan-2, pa tudi z opravljanjem nadzora v skladu z določbami ZBan-2.
(1) Nadzor dostopa v SISBIZ in identifikacija pooblaščenih oseb se izvaja s kvalificiranim digitalnim potrdilom (certifikatom) izdanim s strani v ta namen pooblaščenih izdajateljev in ustreznega varnega medija za hrambo certifikata in dostop do SISBIZ (pametne kartice s čipom, pametni ključki).
(2) Za dostop v SISBIZ preko spletne aplikacije se uporablja kvalificirano digitalno potrdilo, ki je vezano na pooblaščeno fizično osebo Člana. Za poizvedovanje po podatkih v SISBIZ z uporabo aplikacijskega vmesnika se lahko uporablja kvalificirano digitalno potrdilo, ki je vezano na pooblaščeno fizično osebo Člana ali pa kvalificirano digitalno strežniško potrdilo izdano na ime Člana.
(3) V primeru poizvedovanja preko kvalificiranega digitalnega strežniškega potrdila se upošteva enoznačni način identificiranja pooblaščene osebe v sistemu SISBIZ (ID pooblaščene osebe). Prepovedano je kakršnokoli posojanje ali skupinska uporaba kvalificiranih digitalnih potrdil, ki so vezani na posamezno pooblaščeno osebo Člana.
(4) Član za svojega generalnega skrbnika naroči digitalno potrdilo pri pooblaščenem izdajatelju. Po prejemu digitalnega potrdila (kartice, pametnega ključka) le-tega prijavi preko spletne aplikacije Banke Slovenije za prijavo digitalnega potrdila. Generalni skrbnik Člana doda v sistem SISBIZ pooblaščeno osebo tako, da:
– omogoči aplikaciji, da prebere digitalno potrdilo (ID digitalnega potrdila),
– vpiše podatke pooblaščene osebe Člana (ime in priimek, šifro pooblaščene osebe, službeni naslov, telefon, in elektronski naslov),
– potrdi vnos (sistem združi ID digitalnega potrdila v bazi SISBIZ s podatki pooblaščene osebe Člana in kasneje to uporabi pri preverjanju digitalnega potrdila ter upravičenosti dostopa do sistema SISBIZ; vsakokratno preverjanje veljavnosti samega digitalnega potrdila gre prek CRL list).
(5) Kvalificirana digitalna potrdila morajo biti shranjena na varni lokaciji (pametnem ključku ali pametni kartici, oziroma v primeru uporabe strežniškega potrdila, na varovanem strežniku). Ob dostopu do sistema SISBIZ mora biti kvalificirano digitalno potrdilo dosegljivo, da lahko Upravljavec oziroma sistem SISBIZ opravi identifikacijo dostopajočega.
(6) Dostop do podatkov je dovoljen le pooblaščenim osebam pri Upravljavcu in Članu, ki se za delo s SISBIZ prijavljajo v sistem z uporabo digitalnega potrdila.
(7) Vsak dostop do podatkov s strani pooblaščene osebe pri Upravljavcu in Članu se beleži in nadzoruje z verodostojno in celovito revizijsko sledjo, ki se hrani za obdobje šestih let na način, ki omogoča poznejše ugotavljanje časa vnosa podatkov v zbirko zaupnih podatkov, namen uporabe ali druge obdelave, vključno z vpogledi, in kdo je to storil.
IV. POOBLASTILA IN NALOGE ZNOTRAJ SISTEMA SISBIZ
Pri Upravljavcu deluje Generalni skrbnik, ki na predlog Člana dodeljuje pravice (pooblastila) Generalnemu skrbniku in njegovemu namestniku posameznega Člana, ta pa podeljujejo pooblastila za delo na SISBIZ svojim sodelavcem – pooblaščenim osebam pri Članu. Izbris ali popravek podatkov o generalnih skrbnikih in njihovih namestnikov pri posameznem Članu se opravi na osnovi pisne zahteve posameznega Člana.
Pri Upravljavcu so pooblastila in naloge porazdeljene med Generalnega skrbnika in Informatorja.
1. Generalni skrbnik:
– izvaja vse potrebne postopke za vključevanje Članov v sistem SISBIZ,
– izvaja tehnični postopek začasnega izklopa Člana, ki krši določila Pogodbe o uporabi SISBIZ ali določila teh pravil,
– v postopku reševanja pritožbe izvaja poizvedbe v podatke o poslovnem subjektu,
– na predlog Člana dodeljuje pravice generalnemu skrbniku in njegovemu namestniku pri posameznem Članu,
– ima vpogled v seznam generalnih skrbnikov in njihovih namestnikov ter ažurira listo preklica Generalnih skrbnikov in njihovih namestnikov posameznega Člana,
– pri oblikovanju novih vsebinskih zahtev ali predlogov za spremembe in nadgradnje aplikacije SISBIZ koordinira delo s Člani,
– pripravlja statistike in poročila,
– sodeluje pri reševanju pritožb v zvezi s pravicami poslovnih subjektov, ki izhajajo iz ZCKR
2. Informator:
– izvaja poizvedbe o poslovnem subjektu.
Pri Članu so pooblastila in naloge porazdeljene med Generalnega skrbnika in njegovega namestnika, Pooblaščeno osebo z večjimi pooblastili, Pooblaščeno osebo za urejanje pooblastil, Pooblaščeno osebo – informatorja, Pooblaščeno osebo za urejanje reklamacij.
1. Generalni skrbnik in namestnik:
– dodeljuje pooblastila vsem pooblaščenim osebam znotraj Člana,
– izvaja poizvedbe v podatke o poslovnem subjektu,
– vnaša, ažurira in pregleduje pritožbe v zvezi s pravicami poslovnih subjektov, ki izhajajo iz ZCKR,
– ima dostop do statističnih podatkov,
– ima dostop do vseh menijskih operacij za vsa ostala pooblastila pri Članu.
2. Pooblaščena oseba z večjimi pooblastili:
– izvaja poizvedbe v podatke o poslovnem subjektu,
– vnaša, ažurira in pregleduje pritožbe komitentov.
3. Pooblaščena oseba za urejanje pooblastil:
– dodeljuje pooblastila vsem ostalim pooblaščenim osebam Člana (razen nivoja generalni skrbnik pri Članu SISBIZ).
4. Pooblaščena oseba – informator:
– izvaja poizvedbe v podatke o poslovnem subjektu.
5. Pooblaščena oseba za urejanje reklamacij:
– vnaša, ažurira in pregleduje pritožbe v zvezi s pravicami poslovnih subjektov, ki izhajajo iz ZCKR.
V. PODATKI V SISTEMU SISBIZ
(1) V sistemu SISBIZ se zbirajo in obdelujejo podatki, ki jih v skladu z ZCKR predpiše Upravljavec s podzakonskim aktom in sicer na način, ki je prikazan v Prilogi 1 teh pravil. Poleg teh podatkov Člani sporočajo Upravljavcu še podatke o generalnih skrbnikih in njihovih namestnikih pri Članih.
(2) V sistem SISBIZ se vključujejo podatki in informacije iz centralnega kreditnega registra, ki deluje pri Upravljavcu v skladu z ZCKR, vanj pa jih posredujejo Člani na podlagi standardiziranega poročanja, ki ga predpiše Upravljavec.
(3) Člani so odgovorni za pravilnost podatkov in informacij, ki jih posredujejo za namen centralnega kreditnega registra pri Upravljavcu.
(4) Izbris podatkov zaradi izpolnitve obveznosti se opravi avtomatično po poteku rokov za hranjenje podatkov v skladu z ZCKR.
VI. VPOGLED V PODATKE SISBIZ
(1) Vpogled v podatke o zadolženosti posameznega poslovnega subjekta v SISBIZ lahko opravijo le pooblaščene osebe Člana (prek spletne aplikacije Info SISBIZ) za namen:
– ocene kreditne sposobnosti kreditojemalca,
– ocene kreditnega tveganja, ki bi s sklenitvijo posameznega kreditnega posla nastalo za Člana ali je nastalo v zvezi z izvajanjem kreditnega posla,
– izterjave zapadlih obveznosti,
– reševanja reklamacije poslovnega subjekta,
– revizije,
– posodabljanja podatkov, ki se vključujejo v sistem izmenjave informacij.
Vpogled v SISBIZ Člani opravijo posamično za vsak poslovni subjekt posebej. Posamezen vpogled se Članu obračuna v skladu z veljavno Tarifo sistema izmenjave informacij.
(2) Generalni skrbnik Člana lahko za namen ocene kreditnega tveganja (upravljanje s kreditnim tveganjem) v zvezi z izvajanjem obstoječih kreditnih poslov, iz sistema SISBIZ pridobi podatke o vseh njihovih komitentih – poslovnih subjektih in kreditnih poslih, ki se izmenjujejo v okviru sistema SISBIZ (v nadaljevanju: paketni izvoz podatkov). Paketni izvoz podatkov se Članu obračuna v skladu z veljavno Tarifo sistema izmenjave informacij.
(3) Kakršnakoli uporaba SISBIZ ali zaupnih podatkov za namene ali v primerih, ki jih ZCKR in ta pravila SISBIZ ne predvidevajo, predstavlja kršitev, ki se sankcionira.
(4) Vpogled v podatke Upravljavcu omogoča pridobitev informacije, kateri od Članov je podatke posredoval v sistem SISBIZ, Članom pa je ta informacija onemogočena.
(5) Član mora podatke, ki jih je pridobil iz sistema SISBIZ, hraniti v nespremenjeni obliki ter mu je prepovedana kakršnakoli nadaljnja obdelava teh podatkov za namene, ki niso v skladu z ZCKR.
VII. NADOMESTILA ZA UPORABO SISBIZ
(1) Nadomestila za uporabo SISBIZ se določijo v Tarifi sistema izmenjave informacij (v nadaljevanju Tarifa). Tarifa določa tudi plačilne roke in ostale plačilne modalitete ter pogoje.
(2) Upravljavec je upravičen zaračunavati Članom nadomestila iz vsakokrat veljavne Tarife.
(3) Upravljavec pri sprejemanju Tarife upošteva načelo poštene in nediskriminatorne obravnave Članov. Višina nadomestila mora ustrezati dejanskim stroškom delovanja sistema in dostopanja do informacij.
(4) Upravljavec istočasno s sprejemom Tarife ali njene spremembe določi datum učinkovanja te spremembe. Upravljavec bo vsakokratno spremembo Tarife objavil v Uradnem listu RS.
VIII. PRAVICE POSLOVNIH SUBJEKTOV
(1) Poslovni subjekt ima po ZCKR pravico do seznanitve z obdelavo lastnih zaupnih podatkov v sistemu izmenjave SISBIZ, vključno s podatki o tem, kateri Član jih je v sistem posredoval in komu so bili posredovani na vpogled.
(2) Poslovnemu subjektu je izvajanje pravice iz prejšnjega odstavka omogočeno prek spletne aplikacije Moj SISBIZ, ki mu omogoča vpogled in izpis podatkov, ki se o njem izmenjujejo v SISBIZ.
(3) Uporaba spletne aplikacije Moj SISBIZ je omogočena le registriranim uporabnikom pri poslovnem subjektu.
(4) Poslovni Subjekt registrira uporabnika spletne aplikacije Moj SISBIZ tako da:
– izpolni spletni obrazec za odobritev dostopa do lastnih podatkov v sistemu izmenjave informacij o zadolženosti poslovnih subjektov (SISBIZ),
– plača nadomestilo za dostop v skladu z veljavno Tarifo,
– preko spletne aplikacije Upravljavca za registracijo digitalnih potrdil registrira kvalificirano digitalno potrdilo največ dveh uporabnikov, ki bosta v njegovi organizaciji pooblaščen za dostop do Moj SISBIZ, iz aplikacije natisne obrazec z informacijo o kvalificiranem digitalnem potrdilu uporabnikov in ga po pošti pošlje na naslov Upravljavca.
(5) Upravljavec bo registriranemu uporabniku poslovnega subjekta omogočil dostop do aplikacije Moj SISBIZ najkasneje v roku treh delovnih dni po prejemu spletne vloge za dostop, podpisanega obrazca z informacijo o kvalificiranem digitalnem potrdilu in potrditvi plačila nadomestila.
(1) Če poslovni subjekt posameznim podatkom, ki se o njem izmenjujejo prek sistema SISBIZ, utemeljeno nasprotuje, lahko zahteva njihov izbris, spremembo ali popravek pri Upravljavcu ali pri Članu, ki je poročal sporne podatke. Pravico iz prejšnjega stavka poslovni subjekt uveljavlja prek spletne aplikacije Moj SISBIZ, ki mu je na voljo pod pogoji in na način, ki so opredeljeni v tretjem, četrtem in petem odstavku 12. člena teh pravil. Poslovni subjekt, ki nima možnosti dostopa do spleta ali ne razpolaga s kvalificiranim digitalnim potrdilom, lahko pravico iz tega odstavka uveljavlja pisno pri Upravljavcu ali Članu na obrazcu »Zahteva poslovnega subjekta za popravek podatkov v sistemu izmenjave informacij o zadolženosti poslovnih subjektov (SISBIZ)«, ki je v Prilogi 2 teh pravil.
(2) Član sistema najkasneje v dvajsetih delovnih dneh od prejema zahteve iz prejšnjega odstavka poslovni subjekt obvesti, ali je zahteva utemeljena, na način, ki ga poslovni subjekt opredeli v zahtevi. V primeru utemeljene zahteve je Član dolžan podatke izbrisati, dopolniti ali popraviti v roku petih delovnih dni po poteku roka iz prejšnjega stavka.
(3) V primeru, da poslovni subjekt zahtevo odda pri Upravljavcu, ta pa jo v nadaljnje reševanje posreduje Članu, jo je ta dolžan obravnavati na način in v rokih, opredeljenih v drugem odstavku tega člena. Z odgovorom, ki ga Član posreduje poslovnemu subjektu, je dolžan seznaniti tudi Upravljavca.
(4) Če se vsebina zahteve poslovnega subjekta nanaša na podatke, ki so v SISBIZ prikazani kot rezultat izračuna različnih podatkov (v skladu z metodologijo iz Priloge 1 teh pravil), lahko Upravljavec poslovnemu subjektu posreduje informacije, ki so bile uporabljene v izračunu na nivoju posameznega Člana.
Upravljavec primerno obvesti, npr. z ustreznimi objavami na svojih spletnih straneh, poslovne subjekte o njihovih pravicah iz tega poglavja.
IX. UKREPI ZA ZAVAROVANJE OSEBNIH PODATKOV
(1) Člani in Upravljavec so dolžni zagotoviti zavarovanje zaupnih podatkov, ki se o poslovnih subjektih izmenjujejo v sistemu SISBIZ, in v svojih aktih predpisati postopke in ukrepe za zavarovanje zaupnih podatkov. Določiti morajo osebe, ki lahko zaradi narave njihovega dela obdelujejo določene zaupne podatke.
(2) Zavarovanje zaupnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo zaupni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
– varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
– varuje aplikativna programska oprema, s katero se obdelujejo zaupni podatki;
– preprečuje nepooblaščen dostop do zaupnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
– zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja zaupnih podatkov;
– omogoča poznejše ugotavljanje, kdaj so bili posamezni zaupni podatki vneseni v zbirke podatkov, uporabljeni ali drugače obdelani in kdo je to storil.
(3) Če poslovni subjekt upravičeno domneva, da Član ne izpolnjuje ukrepov za zavarovanje osebnih podatkov, lahko o domnevni kršitvi obvesti nadzorni organ, ki je v skladu z ZCKR Banka Slovenije.
Član in Upravljavec sta dolžna vzpostaviti katalog zbirke osebnih podatkov za tisti del osebnih podatkov (o generalnih skrbnikih oziroma pooblaščenih osebah pri Članu,) ki sta jih oziroma jih bosta vnesla v SISBIZ in zagotoviti osnovne pogoje prijave te zbirke osebnih podatkov (katalog) za namen vodenja registra zbirk osebnih podatkov Informacijskemu pooblaščencu.
Člani so dolžni v tistem delu svojega poslovanja s poslovnimi subjekti, ki je neposredno povezano z uveljavljanjem pravic in obveznosti iz naslova delovanja SISBIZ, uporabljati znak SISBIZ na način, kot jim ga ob vsakokratni spremembi sporoči Upravljavec.
XI. MEDNARODNA IZMENJAVA PODATKOV
Upravljavec lahko pristopi k mednarodnemu dogovoru o izmenjavi osebnih podatkov za enak namen, za katerega upravlja in organizira sistem SISBIZ in z enakovrednimi mednarodnimi finančnimi inštitucijami.
Sestavni del pravil so naslednje priloge:
– Priloga 1: Pojasnila k Izpisu podatkov iz sistema SISBIZ
– Priloga 2: Zahteva poslovnega subjekta za popravek podatkov v sistemu izmenjave informacij o zadolženosti poslovnih subjektov (SISBIZ)
Ta pravila stopijo v veljajo z dnem objave v Uradnem listu Republike Slovenije.
Ljubljana, dne 20. decembra 2016
Boštjan Jazbec l.r.
