Na podlagi prve točke prvega odstavka 26. člena Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16) in 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo in 59/11) izdaja Svet Banke Slovenije
sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON
I. UVODNA DOLOČILA IN OPREDELITEV POJMOV
(1) Pravila sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON (v nadaljevanju »pravila«) določajo tehnične pogoje za dostop do sistema, ukrepe za zavarovanje osebnih in zaupnih podatkov, ki se zbirajo in obdelujejo v sistemu ter ostala vprašanja upravljanja in uporabe sistema in s tem povezane porazdelitve medsebojnih pravic, obveznosti in odgovornosti med upravljavcem ter člani oziroma vključenimi dajalci kreditov.
(2) Izrazi, uporabljeni v teh pravilih, pomenijo:
SISBON – sistem izmenjave informacij o zadolženosti fizičnih oseb, kot je opredeljen v ZCKR. Omogoča avtomatsko obdelavo osebnih in zaupnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, povezovanje, spreminjanje, vpogled, uporabo ali sporočanje, vključno s prenosom, iskanjem, blokiranjem in brisanjem osebnih in zaupnih podatkov članov in njihovih komitentov.
Upravljavec sistema o zadolženosti fizičnih oseb – Banka Slovenije (v nadaljevanju upravljavec) – zagotavlja pravilno in nemoteno delovanje SISBON in v tem okviru predvsem delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito, kakor tudi funkcionalnost sistema v smislu določb področnih predpisov (ZCKR in ZPotK-2) in opravlja druge naloge upravljavca v skladu s predpisi o varstvu osebnih podatkov in določbami ZCKR.
Člani – subjekti iz drugega in tretjega odstavka 15. člena ZCKR.
Vključeni dajalci kreditov – subjekti iz tretjega odstavka 19. člena ZCKR.
Pogodbeni obdelovalec – pravna ali fizična oseba, ki obdeluje osebne ali zaupne podatke v imenu in za račun upravljavca osebnih podatkov pod pogojem, da izpolnjuje pogoje za opravljanje takšne dejavnosti v skladu s predpisi o varstvu osebnih podatkov, in v skladu s pogodbo z upravljavcem zagotavlja operativno pravilno in nemoteno delovanje SISBON, kar pomeni, da zagotavlja delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito v skladu s predpisi o varstvu osebnih podatkov in ZCKR. Pogodbeni obdelovalec osebnih podatkov komitentov, ki jih v SISBON posredujejo člani, je obdelovalec podatkov, s katerim upravljavec sklene v skladu s predpisi o varstvu osebnih podatkov pogodbo za obdelavo osebnih podatkov komitentov posameznikov in osebnih podatkov pooblaščenih oseb pri posameznem članu.
Komitent – posameznik kot fizična oseba, ki ima pri članu ali več njih izpostavljeno pogodbeno obveznost iz poslov, navedenih v 7. členu ZCKR, ali namerava vzpostaviti tovrstno obveznost kot potencialni dolžnik nasproti kateremu od članov ali vključenih dajalcev kreditov.
Osebni podatki – katerikoli podatek, ki se nanaša na določeno ali določljivo fizično osebo v skladu s predpisi o varstvu osebnih podatkov, predvsem z ZCKR opredeljeni podatki o komitentu, njegovih poslih in poslovnih dogodkih, ki jih člani vnašajo oziroma posredujejo in si jih izmenjujejo preko SISBON kakor tudi podatki o zaposlenih pri posameznem članu ali vključenem dajalcu kreditov. V celotnem sistemu se obravnavajo kot zaupni podatki, vsi podatki v skladu ZCKR in s predpisi o varstvu osebnih podatkov.
ZCKR – Zakon o centralnem kreditnem registru v vsakokratno veljavni vsebini.
ZPotK-2 – Zakon o potrošniških kreditih v vsakokratno veljavni vsebini.
(1) Upravljavec organizira in upravlja SISBON v skladu z ZCKR z namenom, da omogoči članom ter vključenim dajalcem kreditov učinkovito ocenjevanje in obvladovanje kreditnih tveganj, ter vzpodbudi politike in ukrepe za odgovorno kreditiranje in vzdržno zadolževanje ter preprečevanje prezadolženosti komitentov. Upravljavec administrira, usklajuje in nadzira vsebinsko izvajanje odnosov s pogodbenimi obdelovalci in razvijalci ter vzdrževalci SISBON in ostalimi pogodbenimi partnerji upravljavca sistema SISBON.
(2) Upravljavec koordinira zahteve ali predloge za spremembe in nadgradnje aplikacije SISBON in organizira delo s člani in vključenimi dajalci kreditov.
(3) Upravljavec komunicira z javnostmi v zadevah organizacije in delovanja SISBON.
(1) Upravljavec ima za namen upravljanja sistema in notranjega nadzora nad njegovim pravilnim delovanjem ter nad spoštovanjem predpisanih obveznosti s strani posameznih članov in vključenih dajalcev kreditov pravico vpogleda, upravljanja in obdelavo osebnih podatkov generalnih skrbnikov in njihovih namestnikov pri članu in uporabnikov pri vključenem dajalcu kreditov, ter ima za namene, predvidene v ZCKR, pravico za obdelavo osebnih podatkov komitentov, ki so predmet obdelave v SISBON.
(2) Upravljavec upravlja s podatki v sistemu SISBON v smislu ZCKR in predpisov o varstvu osebnih podatkov. Člani ter vključeni dajalci kreditov so uporabniki osebnih podatkov v smislu predpisov o varstvu osebnih podatkov, in sicer glede tistih osebnih podatkov posameznih komitentov, za katere pridobivajo podatke iz SISBON na podlagi ZCKR in ZPotK-2. Člani so v skladu z določbami ZCKR odgovorni za pravilnost podatkov, ki jih vnašajo v SISBON in v tem delu nosijo naloge upravljavca podatkov v skladu z določbami predpisov o varstvu osebnih podatkov.
(1) Upravljavec pred vključitvijo in kasneje v rednih intervalih (praviloma na 3 leta) zagotovi pregled organizacije, delovanja in skladnosti poslovanja SISBON v skladu z ZCKR, temi pravili in predpisi o varstvu osebnih podatkov, pri članih, ki z upravljavcem sklenejo pogodbo in pri morebitnih drugih pogodbenih partnerjih upravljavca.
(2) Upravljavec po potrebi (v primeru zaznanih morebitnih kršitev ZCKR ali teh pravil) zagotovi pregled organizacije, delovanja in skladnosti poslovanja SISBON v skladu z ZCKR, temi pravili in predpisi o varstvu osebnih podatkov pri vključenih dajalcih kreditov.
(3) Pri subjektu, ki so mu bila v okviru pregleda iz prvega in drugega odstavka tega člena izdana priporočila, ki izhajajo iz ugotovitev z visoko stopnjo tveganja, se po poteku obdobja za realizacijo priporočil (praviloma v treh mesecih) izvede ponoven pregled z namenom ugotovitve realizacije takih priporočil.
(4) Stroške pregleda iz prvega, drugega in tretjega odstavka tega člena nosi subjekt pregleda v skladu z vsakokratno veljavno Tarifo sistema izmenjave informacij.
III. VKLJUČITEV IN DOSTOP DO SISBON
(1) Za vključitev in dostop do SISBON morajo člani z upravljavcem skleniti pogodbo in izpolniti naslednje pogoje:
– imenovati generalnega skrbnika SISBON in njegovega namestnika,
– vzpostaviti testno okolje SISBON v skladu z navodili upravljavca,
– opraviti pregled o ustreznosti/pripravljenosti za vključitev v produkcijsko okolje sistema SISBON,
– inicialno napolniti sistem SISBON s svojimi podatki v skladu z ZCKR.
(2) Pregled iz tretje alineje prejšnjega odstavka opravi upravljavec pred vključitvijo člana v produkcijsko okolje sistema SISBON. Vsebina pregleda obsega najmanj pregled:
– postopkov za zagotavljanje varovanja informacij v okviru SISBON,
– postopkov za zagotavljanje varstva osebnih podatkov, do katerih dostopajo uporabniki v okviru SISBON,
– postopkov za podporo uporabi SISBON pri vsakdanjem delu,
– postopkov za seznanjanje zaposlenih z namenom SISBON ter njegovo uporabo,
– postopkov za seznanjanje komitentov z namenom SISBON ter njihovimi pravicami,
– samo-ocenitvenega vprašalnika, ki ga članu posreduje upravljavec,
– načrta testiranja in testni scenariji uporabe SISBON.
(3) Po ugotovitvi ustrezne pripravljenosti člana na uporabo sistema SISBON upravljavec člana obvesti o izpolnitvi pogojev za vključitev v produkcijsko okolje SISBON.
(4) Član mora najkasneje v roku enega meseca po obvestilu iz prejšnjega odstavka izvesti inicialno polnjenje podatkov v produkcijsko okolje SISBON. Pri članu, ki v predpisanem roku ne izvede inicialnega polnjenja podatkov, se izvede ponoven pregled v smislu drugega odstavka tega člena, stroške takšnega pregleda nosi član.
(1) Vključen dajalec kreditov s sedežem v Republiki Sloveniji lahko dostopa do podatkov SISBON v obsegu iz tretjega odstavka 19. člena ZCKR, ko od pristojnega organa pridobi dovoljenje (odločbo) za opravljanje storitev potrošniškega kreditiranja, poda vlogo za pridobitev informacij iz sistema SISBON, predložijo izjavo o izpolnjevanju pogojev, ki jih zahteva ZCKR in ta pravila ter z upravljavcem sklene pogodbo.
(2) Vključeni dajalci kreditov s sedežem v drugi državi členici EU dostopajo do podatkov SISBON pod enakimi pogoji kot vključeni dajalci kreditov s sedežem v Republiki Sloveniji.
(1) Upravljavec lahko začasno onemogoči (izklopi) uporabo SISBON članu oziroma vključenemu dajalcu kreditov, ki krši določila Pogodbe ali določila teh pravil. Ko član ali vključen dajalec kreditov iz prejšnjega stavka preneha oziroma odpravi kršitev se mu ponovno omogoči (vklopi) uporabo SISBON. Strošek začasnega izklopa in ponovnega priklopa se članu oziroma vključenemu dajalcu kreditov obračuna v skladu s Tarifo sistema izmenjave informacij. V primeru, da vključen dajalec kreditov oziroma član, ki mu zakon ne nalaga obveznosti vključitve v sistem SISBON, kršitev ne odpravi v roku, ki mu ga naloži upravljavec, lahko upravljavec odstopi od pogodbe, brez obveznosti do tega člana oziroma vključenega dajalca kreditov.
(2) Upravljavec Informacijskega pooblaščenca obvesti o kršitvah iz prejšnjega odstavka.
(3) Član oziroma vključen dajalec kreditov iz prvega odstavka tega člena, ki mu je bila odpovedana pogodba s strani upravljavca, se lahko ponovno vključi oziroma dostopa do sistema SISBON na način in pod pogoji, ki jih določajo ta pravila.
(4) Člani oziroma vključeni dajalci kreditov so dolžni ta pravila izpolnjevati ves čas. Upravljavec izvaja pregled izpolnjevanja teh pravil pri članu oziroma vključenem dajalcu kreditov v okviru opravljanja pregleda v skladu s pogodbo, pri članih, nad katerimi ima upravljavec pristojnost nadzora po določbah ZBan-2, pa tudi z opravljanjem nadzora v skladu z določbami ZBan-2.
(1) Nadzor vstopa v SISBON in identifikacija pooblaščenih oseb se izvaja s pomočjo kvalificiranih digitalnih potrdil (certifikatov) in ustreznega varnega medija za hrambo certifikatov in dostop do SISBON (pametne kartice s čipom, pametni ključki).
(2) Dostop do podatkov SISBON je možen le z uporabo predhodno dodeljenih kvalificiranih digitalnih potrdil, izdanih s strani pooblaščenih izdajateljev. Za poizvedovanje po podatkih v SISBON preko spletne aplikacije se uporablja kvalificirano digitalno potrdilo izdano na člana oziroma vključenega dajalca kreditov za posamezno fizično (pooblaščeno) osebo pri članu oziroma vključenem dajalcu kreditov. Za poizvedovanje po podatkih v SISBON z uporabo aplikacijskega vmesnika se lahko uporablja kvalificirano digitalno potrdilo iz prejšnjega stavka, ali pa kvalificirano digitalno strežniško potrdilo. V primeru poizvedovanja preko kvalificiranega digitalnega strežniškega potrdila se upošteva enoznačni način identificiranja pooblaščene osebe v sistemu SISBON (ID pooblaščene osebe). Prepovedano je kakršnokoli posojanje ali skupinska uporaba digitalnih potrdil.
(3) Član oziroma vključen dajalec kreditov naroči digitalno potrdilo pri pooblaščenem izdajatelju. Po prejemu digitalnega potrdila (kartice, pametnega ključka) doda generalni skrbnik v sistem SISBON pooblaščeno (fizično) osebo tako, da:
– omogoči aplikaciji, da prebere digitalno potrdilo (ID digitalnega potrdila)
– vpiše podatke pooblaščene osebe (ime in priimek, šifro pooblaščene osebe, službeni naslov, telefon in elektronski naslov)
– potrdi vnos (sistem ID digitalnega potrdila v bazi SISBON združi s podatki pooblaščene osebe in kasneje to uporabi pri preverjanju digitalnega potrdila in upravičenosti dostopa do sistema SISBON; vsakokratno preverjanje veljavnosti samega digitalnega potrdila gre prek CRL list).
(4) Kvalificirana digitalna potrdila morajo biti shranjena na varni lokaciji (pametnem ključku ali pametni kartici oziroma v primeru uporabe strežniškega potrdila na varovanem strežniku). Ob dostopu do sistema SISBON mora biti kvalificirano digitalno potrdilo dosegljivo, da lahko upravljavec oziroma sistem SISBON opravi identifikacijo dostopajočega.
(5) Dostop do podatkov SISBON je dovoljen le pooblaščenim osebam pri upravljavcu in članu oziroma vključenem dajalcu kreditov, ki se za delo s SISBON povežejo na način, kot je opredeljen v drugem odstavku tega člena.
(6) Vsak dostop do podatkov s strani pooblaščene osebe pri upravljavcu in članu oziroma vključenemu dajalcu kreditov se beleži in nadzoruje z verodostojno in celovito revizijsko sledjo ter hrani za obdobje šestih let, tako, da je omogočeno poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani (vključno z vpogledi) in kdo je to storil.
IV. POOBLASTILA IN NALOGE ZNOTRAJ SISTEMA SISBON
Pri upravljavcu deluje generalni skrbnik, ki na predlog člana dodeljuje, spreminja ali odvzema pravice (pooblastila) generalnemu skrbniku in njegovemu namestniku posameznega člana, ta pa dodeljuje, spreminja ali odvzema pooblastila za delo s SISBON svojim sodelavcem – pooblaščenim osebam.
Pri upravljavcu so pooblastila in naloge porazdeljene med generalnega skrbnika, skrbnika operaterja in pooblaščeno osebo za urejanje reklamacij.
(1) Generalni skrbnik:
– izvaja vse potrebne postopke za vključevanje članov v sistem SISBON,
– izvaja vse potrebne postopke za omogočanje dostopa do podatkov s strani vključenih dajalcev kreditov in postopek začasnega izklopa člana oziroma vključenega dajalca kreditov, ki krši določila pogodbe ali določila teh pravil,
– na predlog člana oziroma vključenega dajalca kreditov dodeljuje, spreminja ali odvzema pravice generalnemu skrbniku in njegovemu namestniku pri posameznem članu oziroma uporabniku pri vključenemu dajalcu kreditov,
– ima vpogled v seznam generalnih skrbnikov, njihovih namestnikov in uporabnikov pri članu ali vključenem dajalcu kreditov ter ažurira listo preklica generalnih skrbnikov in njihovih namestnikov ter listo preklica uporabnikov pri vključenem dajalcu kreditov,
– pri oblikovanju novih vsebinskih zahtev ali predlogov za spremembe in nadgradnje aplikacije SISBON koordinira delo s člani,
– pripravlja statistike in poročila,
– sodeluje pri reševanju pritožb strank v obsegu in na način kot pooblaščena oseba za urejanje reklamacij pri upravljavcu,
– v sistem vnaša Zahteve komitentov za izpis osebnih podatkov iz SISBON, ki jih komitenti oddajo pri upravljavcu,
– ima pooblastila za izvajanje nalog iz drugega in tretjega odstavka tega člena.
(2) Skrbnik operater
– obdeluje zahteve komitentov za izpis osebnih podatkov iz SISBON, ki jih v sistem posredujejo člani in upravljavec, kar med drugim obsega tudi izpis podatkov v zaprto ovojnico in pošiljanje teh s priporočeno pošto na želeni naslov komitenta,
– s strani pošte vrnjene izpise osebnih podatkov komitentov v zaprti ovojnici posreduje članu, ki je zahtevo komitenta prejel in vnesel v sistem SISBON, oziroma poskrbi za dostavo vrnjenega izpisa komitentu, če je bila zahteva komitenta za izpis oddana pri upravljavcu, ali za komisijsko uničenje izpisa, če dostava komitentu ni možna.
(3) Pooblaščena oseba za urejanje reklamacij:
– prek sistema posreduje članom prejete pritožbe komitentov,
– pridobiva odgovore oziroma pojasnila članov v zvezi s pritožbami iz prejšnje alineje,
– nadzoruje potek reševanja pritožb komitentov v smislu zagotavljanja časovnih rokov, ki jih predvidevajo predpisi o varstvu osebnih podatkov in ZCKR,
– sodeluje pri reševanju reklamacij komitentov, ki se nanašajo na ukinjenega člana, katerega posli so se prenesli na pravnega naslednika, ki ni vključen v sistem SISBON,
– izvede popravek podatkov v SISBON v primeru ugotovljene upravičene reklamacije komitenta iz prejšnje alineje,
– v sistem vnaša Zahteve komitentov za izpis osebnih podatkov iz SISBON, ki jih komitenti oddajo pri upravljavcu.
(1) Pri članu so pooblastila in naloge porazdeljene med generalnega skrbnika in njegovega namestnika, pooblaščeno osebo z večjimi pooblastili, pooblaščeno osebo z manjšimi pooblastili, pooblaščeno osebo za urejanje pooblastil, pooblaščeno osebo – informatorja, pooblaščeno osebo – operaterja IT ter pooblaščeno osebo za urejanje reklamacij.
(2) Generalni skrbnik in namestnik:
– dodeljuje, spreminja ali odvzema pooblastila iz tretjega do osmega odstavka tega člena internim uporabnikom člana,
– prejema sistemska sporočila o napakah oziroma neskladnosti v podatkih komitenta,
– ima pooblastila za izvajanje nalog iz tretjega do osmega odstavka tega člena.
(3) Pooblaščena oseba z večjimi pooblastili:
– ažurira preklice (storno) podatkov zaradi napake,
– on-line dodaja in ažurira podatke,
– izvaja poizvedbe v podatke o komitentu,
– pregleduje sezname zavrnjenih zahtev za vnos podatkov o komitentu,
– vnaša zahteve komitentov za izpis osebnih podatkov iz SISBON.
(4) Pooblaščena oseba z manjšimi pooblastili:
– on-line dodaja in ažurira podatke,
– izvaja poizvedbe v podatke o komitentu,
– vnaša zahteve komitentov za izpis osebnih podatkov iz SISBON.
(5) Pooblaščena oseba za urejanje pooblastil:
– dodeljuje, spreminja ali odvzema pooblastila iz tretjega do osmega odstavka tega člena internim uporabnikom člana.
(6) Pooblaščena oseba – informator:
– izvaja poizvedbe v podatke o komitentu,
– vnaša zahteve komitentov za izpis osebnih podatkov iz SISBON.
(7) Pooblaščena oseba – operater IT:
– posreduje pakete s podatki v SISBON,
– pregleduje sezname zavrnjenih zahtev za vnos podatkov o komitentu.
(8) Pooblaščena oseba za urejanje reklamacij:
– dodaja zahtevke za pritožbe,
– ažurira zahteve za pritožbe.
Uporabnik pri vključenem dajalcu kreditov izvaja poizvedbe po podatkih komitentov, pregleduje podatke vpogledov in pregleduje statistiko. Vključeni dajalec kreditov lahko imenuje največ dva uporabnika.
(1) Pogodbeni obdelovalec upravljavca:
– sodeluje z vzdrževalci sistema ob morebitnih težavah ali prekinitvah delovanja,
– spremlja in izvaja določila varnostne politike sistema SISBON,
– po naročilu upravljavca obdeluje zahteve komitentov za izpis osebnih podatkov iz SISBON, ki jih v sistem posredujejo člani in upravljavec, kar med drugim obsega tudi izpis podatkov v zaprto ovojnico in pošiljanje teh s priporočeno pošto na želeni naslov komitenta,
– vodi, procesira, ureja in arhivira podatkovne baze,
– po naročilu upravljavca sodeluje pri reševanju reklamacij v delu, ki se nanaša na revizijsko sled (pregled arhiva dejavnosti in revizijske sledi),
– izdeluje statistike po naročilu,
– pripravlja poročila o delovanju sistema z računalniškega vidika,
– sodeluje pri nadgradnjah sistema.
(2) Pogodbeni obdelovalec izven namenov iz prvega odstavka tega člena nima pravice in pooblastil za vpogled v zbirke podatkov o komitentih.
(3) Upravljavec nadzoruje izvajanje postopkov in ukrepov iz drugega odstavka 24. člena teh pravil pri pogodbenem obdelovalcu, ki jih ta opravlja na podlagi pogodbe med njima.
(4) Pogodbeni obdelovalec mora na vsakokratno zahtevo upravljavca nepovratno izbrisati osebne podatke, za katere ne obstoji več pravna podlaga za hrambo, ter tak izbris ustrezno evidentirati. Izbris iz prejšnjega stavka lahko pogodbeni obdelovalec opravi le ob neposredni prisotnosti upravljavca.
V. NAČIN POSREDOVANJA PODATKOV IN NJIHOV IZBRIS
(1) Vnašajo se le tisti podatki, za vnos katerih je podana podlaga v ZCKR.
(2) Člani so komitentom in tretjim osebam odgovorni za pravilnost, ažurnost in izvajanje varstva vnesenih podatkov v smislu predpisov o varstvu osebnih podatkov in ZCKR.
(3) Podatki, ki jih člani posredujejo v SISBON, so vsi tisti podatki, ki jih kot takšne določa vsakokratno veljavni ZCKR ali drug zakon, ki bo v tem delu nadomestil ali dopolnil ZCKR. Poleg teh podatkov člani in vključeni dajalci kreditov sporočajo upravljavcu še podatke o generalnih skrbnikih in njihovih namestnikov pri posameznih članu in uporabnikih pri vključenem dajalcu kreditov.
(1) Podatki se pošiljajo v SISBON na dva načina:
– On-line prek vmesnika v spletnem pregledovalniku,
– paketno prek datoteke.
(2) Pri on-line posredovanju podatkov se ti na strani pošiljatelja digitalno podpišejo in po varnem kanalu SSL pošljejo na strežnik SISBON.
(3) Pri paketnem pošiljanju zagotovijo člani pošiljanje digitalno podpisanih datotek s podatki na strežnik SISBON po varnem kanalu SSL.
(4) Člani so dolžni sprotno posredovati v SISBON vse podatke, s katerimi razpolagajo glede na svojo dejavnost oziroma glede na storitve, ki jih opravljajo. V SISBON morajo posredovati točne podatke, in sicer najkasneje v roku treh delovnih dni od datuma spremembe, razen podatka o višini preostanka obveznosti iz kreditnega posla in višini zapadlih neplačanih obveznosti iz kreditnega posla, ki se poročata enkrat mesečno.
Čas hranjenja podatkov v SISBON določa ZCKR.
(1) Izbris podatkov zaradi izpolnitve obveznosti se opravi avtomatično po poteku rokov za hranjenje podatkov za posamezne vrste poslov, v skladu z ZCKR. Izbris podatkov iz prejšnjega stavka se izvaja dnevno.
(2) Izbris podatkov zaradi smrti komitenta se opravi na zahtevo upravičenega predlagatelja (dediča, sodišča …), kar opravi pooblaščena oseba pri članu po prejemu ustrezne dokumentacije.
(3) Če član prejme zahtevo komitenta za izbris lastnih podatkov, ki jih je o njem posredoval v SISBON, je dolžan zahtevo obravnavati v skladu z določbami 22. člena teh pravil.
(4) Če član sam ugotovi, da je v sistem SISBON zajet napačen podatek, mora ta podatek popraviti ali izbrisati v desetih delovnih dneh od ugotovljene napake.
(5) Izbris ali popravek podatkov generalnih skrbnikov in njihovih namestnikov pri posameznem članu in uporabnikov pri vključenem dajalcu kreditov se opravi na osnovi pisne zahteve posameznega člana oziroma vključenega dajalca kreditov.
VI. VPOGLED V PODATKE SISBON
(1) Vpogled v podatke komitenta v SISBON lahko opravijo le pooblaščene osebe upravljavca ter člana oziroma vključenega dajalca kreditov. Član oziroma vključeni dajalec kreditov lahko opravijo vpogled v podatke izključno za namene:
– ocene kreditne sposobnosti kreditojemalca,
– ocene kreditnega tveganja, ki bi s sklenitvijo posameznega kreditnega posla nastalo za Člana oziroma vključenega dajalca kreditov ali je nastalo v zvezi z izvajanjem kreditnega posla,
– izterjave zapadlih obveznosti,
– reševanja reklamacije komitenta,
– revizije,
– posodabljanja podatkov, ki se vključujejo v SISBON.
(2) Kakršnakoli uporaba SISBON ali osebnih podatkov za namene ali v primerih, ki jih ZCKR, drug zakon in ta pravila ne predvidevajo, predstavlja kršitev, ki se sankcionira.
(3) Obseg dovoljenega vpogleda v podatke SISBON določa ZCKR. Vpogled v podatke upravljavcu omogoča pridobivanje informacij, kateri od članov je podatke vnesel v sistem SISBON, članom in vključenim dajalcem kreditov pa je seznanitev s to informacijo onemogočena.
(1) Član oziroma vključen dajalec kreditov mora podatke, ki jih je pridobil iz sistema SISBON, hraniti v izvorni obliki zapisa in jih lahko uporablja izključno za namene, ki jih predvideva ZCKR.
(2) Kršitev obveznosti in prepovedi iz prejšnjega odstavka se sankcionira skladno z veljavno zakonodajo. Upravljavec o domnevni kršitvi obvesti nadzorni organ (Informacijskega pooblaščenca RS).
VII. CENA ZA UPORABO SISBON
(1) Nadomestila za uporabo SISBON se določijo v tarifi Banke Slovenije (Tarifa sistema izmenjave informacij: v nadaljevanju tarifa). Tarifa določa tudi plačilne roke in ostale plačilne modalitete ter pogoje.
(2) Upravljavec je upravičen zaračunavati članom in vključenim dajalcem kreditov nadomestila iz vsakokrat veljavne tarife.
(3) Upravljavec pri sprejemanju tarife upošteva načelo poštene in nediskriminatorne obravnave članov oziroma vključenih dajalcev kreditov. Višina nadomestila mora ustrezati dejanskim stroškom delovanja in upravljanja sistema izmenjave informacij.
(4) Upravljavec istočasno s sprejemom tarife ali njene spremembe določi datum učinkovanja te spremembe. Upravljavec bo člane in vključene dajalce kreditov o vsakokratni spremembi tarife obvestil z objavo v Uradnem listu Republike Slovenije.
(1) Komitent ima v skladu s predpisi o varstvu osebnih podatkov, če ta pravica ni omejena s posebnim zakonom, med drugim pravico do izpisa svojih podatkov in s tem do vpogleda v vse osebne podatke, ki se v SISBON nanašajo nanj, vključno s podatki o tem, kateri član jih je posredoval in komu so bili posredovani, kdaj, na kakšni pravni podlagi in za kakšen namen. Prav tako ima komitent pravico zahtevati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem in pojasnilo tehničnih oziroma logično-tehničnih postopkov odločanja, če se v zvezi z osebnimi podatki, ki se nanašajo nanj, izvaja avtomatizirano odločanje z obdelavo osebnih podatkov posameznika.
(2) Komitent lahko za izpis iz prejšnjega odstavka zaprosi pri kateremkoli članu ali upravljavcu na način, da izpolni in odda v ta namen pripravljen obrazec »Zahteva komitenta za izpis osebnih podatkov iz SISBON«, ki je v Prilogi 1 teh Pravil.
(3) Pravico do informacij in pojasnil iz prvega odstavka, razen pojasnil v zvezi z avtomatiziranim odločanjem, lahko komitent uveljavlja pri kateremkoli članu ali upravljavcu.
(4) Pravico do pojasnila v zvezi z avtomatiziranim odločanjem iz prvega odstavka lahko komitent uveljavlja pri članu, ki izvaja takšno odločanje.
(5) Komitent lahko pooblasti drugo fizično ali pravno osebo, da pridobi njegove osebne podatke iz sistema SISBON. V ta namen mora komitent izpolniti Prilogo 2 »Pooblastilo za tretjo osebo«, pooblaščenec za vpogled pa obrazec iz Priloge 3: »Zahteva za izpis osebnih podatkov iz SISBON po tretji osebi s pooblastilom«. Komitentov podpis na pooblastilu (Priloga 2) mora biti overjen.
(6) Izpis, informacije in pojasnila se komitentu zagotovijo najkasneje v 15 dneh od prejema njegove pisne zahteve.
(7) Postopki v primeru vrnjenih tiskanih izpisov komitentov upravljavcu so opisana v Prilogi 5 teh pravil: »Navodila v primeru prejema vrnjenih tiskanih izpisov komitentov iz SISBON«.
(1) Če komitent posameznim osebnim podatkom, ki se o njem združujejo in izmenjujejo prek SISBON, utemeljeno nasprotuje, lahko pisno zahteva njihov izbris oziroma spremembo ali popravek pri članu, ki je upravljavec teh podatkov v smislu predpisov o varstvu osebnih podatkov ali pri upravljavcu. Zahtevo poda tako, da izpolni in v pisni obliki odda v ta namen pripravljen obrazec »Zahteva komitenta za popravek osebnih podatkov v SISBON«, ki je v Prilogi 4 teh pravil ali pa poda zahtevo prek spletne aplikacije Moj SISBON.
(2) Dopolnitev, popravo, blokiranje ali izbris osebnih podatkov je dolžan član iz prejšnjega odstavka izvesti v desetih delovnih dneh od dneva, ko je prejel zahtevo in o tem obvestiti komitenta ali ga v istem roku obvestiti o razlogih, zaradi katerih tega ne bo storil.
(3) Če komitent predloži zahtevo glede dopolnitve, popravka, blokiranja ali izbrisa podatkov upravljavcu, upravljavec to zahtevo v treh delovnih dneh od prejema posreduje članu sistema, ki je posredoval sporen podatek v sistem. Član sistema najkasneje v desetih delovnih dneh od prejema zahteve, komitenta in upravljavca obvesti, ali je zahteva utemeljena ali ne in v istem roku izvede popravek, če je zahteva utemeljena.
Komitent ima možnost osebnega vpogleda v svoje podatke v sistemu SISBON prek spletne aplikacije Moj SISBON. Za dostop do podatkov SISBON potrebuje kvalificirano digitalno potrdilo, podrobnejša navodila pa upravljavec objavi na svoji spletni strani.
(1) Upravljavec komitente o njihovih pravicah iz tega poglavja teh pravil primerno obvesti, npr. z ustreznimi objavami na svojih spletnih straneh.
(2) Člani seznanjajo komitente o pravicah iz prejšnjega odstavka in o vsebini ter namenu SISBON prek informativne zloženke in plakata, ki jo pripravi upravljavec ter prek svojih spletnih strani. Član je dolžan imeti zloženke in plakat na vidnem mestu v prostorih kjer posluje s komitenti.
IX. UKREPI ZA ZAVAROVANJE OSEBNIH PODATKOV
(1) Člani kot upravljavci osebnih podatkov v smislu predpisov o varstvu osebnih podatkov, vključeni dajalci kreditov, upravljavec in pogodbeni obdelovalec so dolžni zagotoviti zavarovanje osebnih podatkov, na katere se nanašajo ta pravila, in v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov. Določiti morajo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.
(2) Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
– varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
– varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
– preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
– zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
– omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(3) Če člani oziroma vključeni dajalci kreditov ne izpolnjujejo ukrepov za zavarovanje osebnih podatkov lahko upravljavec o domnevni kršitvi obvesti nadzorni organ (Informacijskega pooblaščenca RS).
Člani, vključeni dajalci kreditov in upravljavec so dolžni vzpostaviti evidenco dejavnosti obdelave osebnih podatkov za del osebnih podatkov v okviru svojih odgovornosti.
Pogodbeni obdelovalec pri izvajanju svojih pogodbenih obveznosti v zvezi s sistemom SISBON prevzema pravice in obveznosti kot pogodbeni obdelovalec v smislu določil predpisov o varstvu osebnih podatkov.
Člani, vključeni dajalci kreditov in pogodbeni obdelovalec so dolžni v tistem delu svojega poslovanja s komitenti, ki je neposredno povezano z uveljavljanjem pravic in obveznosti iz naslova delovanja SISBON, uporabljati znak SISBON na način, kot jim ga od časa do časa sporoči upravljavec.
XI. MEDNARODNA IZMENJAVA OSEBNIH PODATKOV
Upravljavec lahko pristopi k mednarodnemu dogovoru o izmenjavi osebnih podatkov v skladu z določbami 25. člena ZCKR.
Sestavni del pravil so sledeče priloge:
– Priloga 1: Zahteva komitenta za izpis osebnih podatkov iz SISBON,
– Priloga 2: Pooblastilo za tretjo osebo,
– Priloga3: Zahteva za izpis osebnih podatkov iz SISBON po tretji osebi s pooblastilom,
– Priloga 4: Zahteva komitenta za popravek osebnih podatkov v SISBON,
– Priloga 5: Navodila v primeru prejema vrnjenih tiskanih izpisov komitentov iz SISBON.
Ta pravila stopijo v veljajo naslednji dan po objavi v Uradnem listu Republike Slovenije.
Ljubljana, dne 23. oktobra 2017
Boštjan Jazbec l.r.