Neuradno prečiščeno besedilo, ki vsebuje to spremembo:
Opozorilo: Neuradno prečiščeno besedilo predpisa predstavlja
zgolj informativni delovni pripomoček, glede katerega organ ne jamči
odškodninsko ali kako drugače.
Neuradno prečiščeno besedilo Pravil sistema izmenjave
informacij o zadolženosti fizičnih oseb – SISBON obsega:
-
Pravila sistema izmenjave informacij o zadolženosti fizičnih oseb –
SISBON (Uradni list RS, št. 65/17 z dne 20. 11. 2017),
-
Spremembe in dopolnitve Pravil sistema izmenjave informacij o
zadolženosti fizičnih oseb – SISBON (Uradni list RS, št. 6/18 z dne 2. 2.
2018),
-
Spremembe in dopolnitve Pravil sistema izmenjave informacij o
zadolženosti fizičnih oseb – SISBON (Uradni list RS, št. 68/18 z dne 26. 10.
2018).
PRAVILA
sistema izmenjave informacij o zadolženosti fizičnih
oseb – SISBON
(neuradno prečiščeno besedilo št. 2)
I. UVODNA DOLOČILA IN OPREDELITEV POJMOV
1. člen
(1) Pravila sistema izmenjave informacij o zadolženosti
fizičnih oseb – SISBON (v nadaljevanju »pravila«) določajo tehnične
pogoje za dostop do sistema, ukrepe za zavarovanje osebnih in zaupnih podatkov,
ki se zbirajo in obdelujejo v sistemu ter ostala vprašanja upravljanja in
uporabe sistema in s tem povezane porazdelitve medsebojnih pravic, obveznosti
in odgovornosti med upravljavcem ter člani oziroma vključenimi dajalci kreditov.
(2) Izrazi, uporabljeni v teh pravilih, pomenijo:
SISBON – sistem izmenjave informacij o zadolženosti
fizičnih oseb, kot je opredeljen v ZCKR. Omogoča avtomatsko obdelavo osebnih in
zaupnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje,
povezovanje, spreminjanje, vpogled, uporabo ali sporočanje, vključno s
prenosom, iskanjem, blokiranjem in brisanjem osebnih in zaupnih podatkov članov
in njihovih komitentov.
Upravljavec sistema o zadolženosti fizičnih oseb – Banka
Slovenije (v nadaljevanju upravljavec) – zagotavlja pravilno in nemoteno
delovanje SISBON in v tem okviru predvsem delovanje programske in strojne
opreme ter njeno fizično in elektronsko zaščito, kakor tudi funkcionalnost
sistema v smislu določb področnih predpisov (ZCKR in ZPotK-2) in opravlja druge
naloge upravljavca v skladu s predpisi o varstvu osebnih podatkov in določbami
ZCKR.
Člani – subjekti iz drugega in tretjega odstavka 15.
člena ZCKR.
Vključeni dajalci kreditov – subjekti iz tretjega
odstavka 19. člena ZCKR.
Pogodbeni obdelovalec – pravna ali fizična oseba, ki
obdeluje osebne ali zaupne podatke v imenu in za račun upravljavca osebnih
podatkov pod pogojem, da izpolnjuje pogoje za opravljanje takšne dejavnosti v
skladu s predpisi o varstvu osebnih podatkov, in v skladu s pogodbo z
upravljavcem zagotavlja operativno pravilno in nemoteno delovanje SISBON, kar
pomeni, da zagotavlja delovanje programske in strojne opreme ter njeno fizično
in elektronsko zaščito v skladu s predpisi o varstvu osebnih podatkov in ZCKR.
Pogodbeni obdelovalec osebnih podatkov komitentov, ki jih v SISBON posredujejo
člani, je obdelovalec podatkov, s katerim upravljavec sklene v skladu s
predpisi o varstvu osebnih podatkov pogodbo za obdelavo osebnih podatkov
komitentov posameznikov in osebnih podatkov pooblaščenih oseb pri posameznem
članu.
Komitent – posameznik kot fizična oseba, ki ima pri
članu ali več njih izpostavljeno pogodbeno obveznost iz poslov, navedenih v 7.
členu ZCKR, ali namerava vzpostaviti tovrstno obveznost kot potencialni dolžnik
nasproti kateremu od članov ali vključenih dajalcev kreditov.
Osebni podatki – katerikoli podatek, ki se nanaša na
določeno ali določljivo fizično osebo v skladu s predpisi o varstvu osebnih
podatkov, predvsem z ZCKR opredeljeni podatki o komitentu, njegovih poslih in
poslovnih dogodkih, ki jih člani vnašajo oziroma posredujejo in si jih
izmenjujejo preko SISBON kakor tudi podatki o zaposlenih pri posameznem članu
ali vključenem dajalcu kreditov. V celotnem sistemu se obravnavajo kot zaupni
podatki, vsi podatki v skladu ZCKR in s predpisi o varstvu osebnih podatkov.
ZCKR – Zakon o centralnem kreditnem registru v
vsakokratno veljavni vsebini.
ZPotK-2 – Zakon o potrošniških kreditih v vsakokratno
veljavni vsebini.
Uraden osebni dokument – vsaka s fotografijo opremljena
veljavna listina, ki jo izda pristojni državni organ Republike Slovenije ali
druge države in ki se po pravu države izdajateljice šteje za javno listino.
II. UPRAVLJANJE SISBON
2. člen
(1) Upravljavec organizira in upravlja SISBON v skladu z
ZCKR z namenom, da omogoči članom ter vključenim dajalcem kreditov učinkovito
ocenjevanje in obvladovanje kreditnih tveganj, ter vzpodbudi politike in ukrepe
za odgovorno kreditiranje in vzdržno zadolževanje ter preprečevanje
prezadolženosti komitentov. Upravljavec administrira, usklajuje in nadzira
vsebinsko izvajanje odnosov s pogodbenimi obdelovalci in razvijalci ter
vzdrževalci SISBON in ostalimi pogodbenimi partnerji upravljavca sistema
SISBON.
(2) Upravljavec koordinira zahteve ali predloge za
spremembe in nadgradnje aplikacije SISBON in organizira delo s člani in
vključenimi dajalci kreditov.
(3) Upravljavec komunicira z javnostmi v zadevah
organizacije in delovanja SISBON.
3. člen
(1) Upravljavec ima za namen upravljanja sistema in
notranjega nadzora nad njegovim pravilnim delovanjem ter nad spoštovanjem
predpisanih obveznosti s strani posameznih članov in vključenih dajalcev
kreditov pravico vpogleda, upravljanja in obdelavo osebnih podatkov generalnih
skrbnikov in njihovih namestnikov pri članu in uporabnikov pri vključenem
dajalcu kreditov, ter ima za namene, predvidene v ZCKR, pravico za obdelavo
osebnih podatkov komitentov, ki so predmet obdelave v SISBON.
(2) Upravljavec upravlja s podatki v sistemu SISBON v
smislu ZCKR in predpisov o varstvu osebnih podatkov. Člani ter vključeni
dajalci kreditov so uporabniki osebnih podatkov v smislu predpisov o varstvu
osebnih podatkov, in sicer glede tistih osebnih podatkov posameznih komitentov,
za katere pridobivajo podatke iz SISBON na podlagi ZCKR in ZPotK-2. Člani so v
skladu z določbami ZCKR odgovorni za pravilnost podatkov, ki jih vnašajo v
SISBON in v tem delu nosijo naloge upravljavca podatkov v skladu z določbami
predpisov o varstvu osebnih podatkov.
4. člen
(1) Upravljavec pred vključitvijo in kasneje v rednih
intervalih (praviloma na 3 leta) zagotovi pregled organizacije, delovanja in
skladnosti poslovanja SISBON v skladu z ZCKR, temi pravili in predpisi o
varstvu osebnih podatkov, pri članih, ki z upravljavcem sklenejo pogodbo in pri
morebitnih drugih pogodbenih partnerjih upravljavca.
(2) Upravljavec lahko poleg rednih pregledov iz
prejšnjega odstavka kadarkoli izvede izredni pregled skladnosti poslovanja
SISBON v skladu z ZCKR, temi pravili in predpisi o varstvu osebnih podatkov,
kadar pri članu obstajajo okoliščine, ki kažejo, da obstaja znatno tveganje za
pravice in svoboščine komitentov zaradi določene vrste obdelave osebnih
podatkov ali načina zagotavljanja varstva osebnih podatkov pri članu.
(3) Upravljavec po potrebi (v primeru zaznanih morebitnih
kršitev ZCKR ali teh pravil) zagotovi pregled organizacije, delovanja in
skladnosti poslovanja SISBON v skladu z ZCKR, temi pravili in predpisi o
varstvu osebnih podatkov pri vključenih dajalcih kreditov.
(4) Pri subjektu, ki so mu bila v okviru pregleda iz
prvega, drugega in tretjega odstavka tega člena izdana priporočila, ki izhajajo
iz ugotovitev z visoko stopnjo tveganja, se po poteku obdobja za realizacijo
priporočil (praviloma v treh mesecih) izvede ponoven pregled z namenom
ugotovitve realizacije takih priporočil.
(5) Stroške pregleda iz prvega, drugega, tretjega in
četrtega odstavka tega člena nosi subjekt pregleda v skladu z vsakokratno
veljavno Tarifo sistema izmenjave informacij.
III. VKLJUČITEV IN DOSTOP DO SISBON
5. člen
(1) Za vključitev in dostop do SISBON morajo člani z
upravljavcem skleniti pogodbo in izpolniti naslednje pogoje:
-
imenovati generalnega skrbnika SISBON in njegovega namestnika,
-
vzpostaviti testno okolje SISBON v skladu z navodili upravljavca,
-
opraviti pregled o ustreznosti/pripravljenosti za vključitev v
produkcijsko okolje sistema SISBON,
-
inicialno napolniti sistem SISBON s svojimi podatki v skladu z ZCKR.
(2) Pregled iz tretje alineje prejšnjega odstavka opravi
upravljavec pred vključitvijo člana v produkcijsko okolje sistema SISBON.
Vsebina pregleda obsega najmanj pregled:
-
postopkov za zagotavljanje varovanja informacij v okviru SISBON,
-
postopkov za zagotavljanje varstva osebnih podatkov, do katerih
dostopajo uporabniki v okviru SISBON,
-
postopkov za podporo uporabi SISBON pri vsakdanjem delu,
-
postopkov za seznanjanje zaposlenih z namenom SISBON ter njegovo
uporabo,
-
postopkov za seznanjanje komitentov z namenom SISBON ter njihovimi
pravicami,
-
samo-ocenitvenega vprašalnika, ki ga članu posreduje upravljavec,
-
načrta testiranja in testni scenariji uporabe SISBON.
(3) Po ugotovitvi ustrezne pripravljenosti člana na
uporabo sistema SISBON upravljavec člana obvesti o izpolnitvi pogojev za
vključitev v produkcijsko okolje SISBON.
(4) Član mora najkasneje v roku enega meseca po
obvestilu iz prejšnjega odstavka izvesti inicialno polnjenje podatkov v
produkcijsko okolje SISBON. Pri članu, ki v predpisanem roku ne izvede
inicialnega polnjenja podatkov, se izvede ponoven pregled v smislu drugega
odstavka tega člena, stroške takšnega pregleda nosi član.
6. člen
(1) Vključen dajalec kreditov s sedežem v Republiki
Sloveniji lahko dostopa do podatkov SISBON v obsegu iz tretjega odstavka 19.
člena ZCKR, ko od pristojnega organa pridobi dovoljenje (odločbo) za
opravljanje storitev potrošniškega kreditiranja, poda vlogo za pridobitev
informacij iz sistema SISBON, predložijo izjavo o izpolnjevanju pogojev, ki jih
zahteva ZCKR in ta pravila ter z upravljavcem sklene pogodbo.
(2) Vključeni dajalci kreditov s sedežem v drugi državi
členici EU dostopajo do podatkov SISBON pod enakimi pogoji kot vključeni
dajalci kreditov s sedežem v Republiki Sloveniji.
7. člen
(1) Upravljavec lahko začasno onemogoči (izklopi)
uporabo SISBON članu oziroma vključenemu dajalcu kreditov, ki krši določila
Pogodbe ali določila teh pravil. Ko član ali vključen dajalec kreditov iz
prejšnjega stavka preneha oziroma odpravi kršitev se mu ponovno omogoči
(vklopi) uporabo SISBON. Strošek začasnega izklopa in ponovnega priklopa se
članu oziroma vključenemu dajalcu kreditov obračuna v skladu s Tarifo sistema
izmenjave informacij. V primeru, da vključen dajalec kreditov oziroma član, ki
mu zakon ne nalaga obveznosti vključitve v sistem SISBON, kršitev ne odpravi v
roku, ki mu ga naloži upravljavec, lahko upravljavec odstopi od pogodbe, brez
obveznosti do tega člana oziroma vključenega dajalca kreditov.
(2) Upravljavec Informacijskega pooblaščenca obvesti o
kršitvah iz prejšnjega odstavka.
(3) Član oziroma vključen dajalec kreditov iz prvega
odstavka tega člena, ki mu je bila odpovedana pogodba s strani upravljavca, se
lahko ponovno vključi oziroma dostopa do sistema SISBON na način in pod pogoji,
ki jih določajo ta pravila.
(4) Člani oziroma vključeni dajalci kreditov so dolžni
ta pravila izpolnjevati ves čas. Upravljavec izvaja pregled izpolnjevanja teh
pravil pri članu oziroma vključenem dajalcu kreditov v okviru opravljanja
pregleda v skladu s pogodbo, pri članih, nad katerimi ima upravljavec
pristojnost nadzora po določbah ZBan-2, pa tudi z opravljanjem nadzora v skladu
z določbami ZBan-2.
8. člen
(1) Nadzor vstopa v SISBON in identifikacija
pooblaščenih oseb se izvaja s pomočjo kvalificiranih digitalnih potrdil
(certifikatov) in ustreznega varnega medija za hrambo certifikatov in dostop do
SISBON (pametne kartice s čipom, pametni ključki).
(2) Dostop do podatkov SISBON je možen le z uporabo
predhodno dodeljenih kvalificiranih digitalnih potrdil, izdanih s strani
pooblaščenih izdajateljev. Za poizvedovanje po podatkih v SISBON preko spletne
aplikacije se uporablja kvalificirano digitalno potrdilo izdano na člana
oziroma vključenega dajalca kreditov za posamezno fizično (pooblaščeno) osebo
pri članu oziroma vključenem dajalcu kreditov. Za poizvedovanje po podatkih v
SISBON z uporabo aplikacijskega vmesnika se lahko uporablja kvalificirano
digitalno potrdilo iz prejšnjega stavka, ali pa kvalificirano digitalno
strežniško potrdilo. V primeru poizvedovanja preko kvalificiranega digitalnega
strežniškega potrdila se upošteva enoznačni način identificiranja pooblaščene
osebe v sistemu SISBON (ID pooblaščene osebe). Prepovedano je kakršnokoli
posojanje ali skupinska uporaba digitalnih potrdil.
(3) Član oziroma vključen dajalec kreditov naroči
digitalno potrdilo pri pooblaščenem izdajatelju. Po prejemu digitalnega
potrdila (kartice, pametnega ključka) doda generalni skrbnik v sistem
SISBON pooblaščeno (fizično) osebo tako, da:
-
omogoči aplikaciji, da prebere digitalno potrdilo (ID digitalnega
potrdila)
-
vpiše podatke pooblaščene osebe (ime in priimek, šifro pooblaščene
osebe, službeni naslov, telefon in elektronski naslov)
-
potrdi vnos (sistem ID digitalnega potrdila v bazi SISBON združi s
podatki pooblaščene osebe in kasneje to uporabi pri preverjanju digitalnega
potrdila in upravičenosti dostopa do sistema SISBON; vsakokratno preverjanje
veljavnosti samega digitalnega potrdila gre prek CRL list).
(4) Kvalificirana digitalna potrdila morajo biti
shranjena na varni lokaciji (pametnem ključku ali pametni kartici oziroma v primeru
uporabe strežniškega potrdila na varovanem strežniku). Ob dostopu do sistema
SISBON mora biti kvalificirano digitalno potrdilo dosegljivo, da lahko
upravljavec oziroma sistem SISBON opravi identifikacijo dostopajočega.
(5) Dostop do podatkov SISBON je dovoljen le
pooblaščenim osebam pri upravljavcu in članu oziroma vključenem dajalcu
kreditov, ki se za delo s SISBON povežejo na način, kot je opredeljen v drugem
odstavku tega člena.
(6) Vsak dostop do podatkov s strani pooblaščene osebe
pri upravljavcu in članu oziroma vključenemu dajalcu kreditov se beleži in
nadzoruje z verodostojno in celovito revizijsko sledjo ter hrani za obdobje
šestih let, tako, da je omogočeno poznejše ugotavljanje, kdaj so bili posamezni
osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače
obdelani (vključno z vpogledi) in kdo je to storil.
IV. POOBLASTILA IN NALOGE ZNOTRAJ SISTEMA SISBON
9. člen
Pri upravljavcu deluje generalni skrbnik, ki na predlog člana
dodeljuje, spreminja ali odvzema pravice (pooblastila) generalnemu skrbniku in
njegovemu namestniku posameznega člana, ta pa dodeljuje, spreminja ali odvzema
pooblastila za delo s SISBON svojim sodelavcem – pooblaščenim osebam.
10. člen
Pri upravljavcu so pooblastila in naloge porazdeljene med
generalnega skrbnika, skrbnika operaterja in pooblaščeno osebo za urejanje
reklamacij.
(1) Generalni skrbnik:
-
izvaja vse potrebne postopke za vključevanje članov v sistem SISBON,
-
izvaja vse potrebne postopke za omogočanje dostopa do podatkov s strani
vključenih dajalcev kreditov in postopek začasnega izklopa člana oziroma
vključenega dajalca kreditov, ki krši določila pogodbe ali določila teh pravil,
-
na predlog člana oziroma vključenega dajalca kreditov dodeljuje,
spreminja ali odvzema pravice generalnemu skrbniku in njegovemu namestniku pri
posameznem članu oziroma uporabniku pri vključenemu dajalcu kreditov,
-
ima vpogled v seznam generalnih skrbnikov, njihovih namestnikov in
uporabnikov pri članu ali vključenem dajalcu kreditov ter ažurira listo
preklica generalnih skrbnikov in njihovih namestnikov ter listo preklica
uporabnikov pri vključenem dajalcu kreditov,
-
pri oblikovanju novih vsebinskih zahtev ali predlogov za spremembe in
nadgradnje aplikacije SISBON koordinira delo s člani,
-
pripravlja statistike in poročila,
-
sodeluje pri reševanju pritožb strank v obsegu in na način kot
pooblaščena oseba za urejanje reklamacij pri upravljavcu,
-
v sistem vnaša Zahteve komitentov za izpis osebnih podatkov iz SISBON,
ki jih komitenti oddajo pri upravljavcu,
-
ima pooblastila za izvajanje nalog iz drugega in tretjega odstavka tega
člena.
(2) Skrbnik operater
-
obdeluje zahteve komitentov za izpis osebnih podatkov iz SISBON, ki jih
v sistem posredujejo člani in upravljavec, kar med drugim obsega tudi izpis
podatkov v zaprto ovojnico in pošiljanje teh s priporočeno pošto na želeni
naslov komitenta,
-
s strani pošte vrnjene izpise osebnih podatkov komitentov v zaprti
ovojnici posreduje članu, ki je zahtevo komitenta prejel in vnesel v sistem
SISBON, oziroma poskrbi za dostavo vrnjenega izpisa komitentu, če je bila
zahteva komitenta za izpis oddana pri upravljavcu, ali za komisijsko uničenje
izpisa, če dostava komitentu ni možna.
(3) Pooblaščena oseba za urejanje reklamacij:
-
prek sistema posreduje članom prejete pritožbe komitentov,
-
pridobiva odgovore oziroma pojasnila članov v zvezi s pritožbami iz
prejšnje alineje,
-
nadzoruje potek reševanja pritožb komitentov v smislu zagotavljanja
časovnih rokov, ki jih predvidevajo predpisi o varstvu osebnih podatkov in
ZCKR,
-
sodeluje pri reševanju reklamacij komitentov, ki se nanašajo na
ukinjenega člana, katerega posli so se prenesli na pravnega naslednika, ki ni
vključen v sistem SISBON,
-
izvede popravek podatkov v SISBON v primeru ugotovljene upravičene
reklamacije komitenta iz prejšnje alineje,
-
v sistem vnaša Zahteve komitentov za izpis osebnih podatkov iz SISBON,
ki jih komitenti oddajo pri upravljavcu.
11. člen
(1) Pri članu so pooblastila in naloge porazdeljene med
generalnega skrbnika in njegovega namestnika, pooblaščeno osebo z večjimi
pooblastili, pooblaščeno osebo z manjšimi pooblastili, pooblaščeno osebo za
urejanje pooblastil, pooblaščeno osebo – informatorja, pooblaščeno osebo –
operaterja IT ter pooblaščeno osebo za urejanje reklamacij.
(2) Generalni skrbnik in namestnik:
-
dodeljuje, spreminja ali odvzema pooblastila iz tretjega do osmega
odstavka tega člena internim uporabnikom člana,
-
prejema sistemska sporočila o napakah oziroma neskladnosti v podatkih
komitenta,
-
ima pooblastila za izvajanje nalog iz tretjega do osmega odstavka tega
člena.
(3) Pooblaščena oseba z večjimi pooblastili:
-
ažurira preklice (storno) podatkov zaradi napake,
-
on-line dodaja in ažurira podatke,
-
izvaja poizvedbe v podatke o komitentu,
-
pregleduje sezname zavrnjenih zahtev za vnos podatkov o komitentu,
-
vnaša zahteve komitentov za izpis osebnih podatkov iz SISBON.
(4) Pooblaščena oseba z manjšimi pooblastili:
-
on-line dodaja in ažurira podatke,
-
izvaja poizvedbe v podatke o komitentu,
-
vnaša zahteve komitentov za izpis osebnih podatkov iz SISBON.
(5) Pooblaščena oseba za urejanje pooblastil:
-
dodeljuje, spreminja ali odvzema pooblastila iz tretjega do osmega
odstavka tega člena internim uporabnikom člana.
(6) Pooblaščena oseba – informator:
-
izvaja poizvedbe v podatke o komitentu,
-
vnaša zahteve komitentov za izpis osebnih podatkov iz SISBON.
(7) Pooblaščena oseba – operater IT:
-
posreduje pakete s podatki v SISBON,
-
pregleduje sezname zavrnjenih zahtev za vnos podatkov o komitentu.
(8) Pooblaščena oseba za urejanje reklamacij:
-
dodaja zahtevke za pritožbe,
-
ažurira zahteve za pritožbe.
12. člen
Uporabnik pri vključenem dajalcu kreditov izvaja poizvedbe po
podatkih komitentov, pregleduje podatke vpogledov in pregleduje statistiko.
Vključeni dajalec kreditov lahko imenuje največ dva uporabnika.
13. člen
(1) Pogodbeni obdelovalec upravljavca:
-
sodeluje z vzdrževalci sistema ob morebitnih težavah ali prekinitvah
delovanja,
-
spremlja in izvaja določila varnostne politike sistema SISBON,
-
po naročilu upravljavca obdeluje zahteve komitentov za izpis osebnih
podatkov iz SISBON, ki jih v sistem posredujejo člani in upravljavec, kar med
drugim obsega tudi izpis podatkov v zaprto ovojnico in pošiljanje teh s
priporočeno pošto na želeni naslov komitenta,
-
vodi, procesira, ureja in arhivira podatkovne baze,
-
po naročilu upravljavca sodeluje pri reševanju reklamacij v delu, ki se
nanaša na revizijsko sled (pregled arhiva dejavnosti in revizijske sledi),
-
izdeluje statistike po naročilu,
-
pripravlja poročila o delovanju sistema z računalniškega vidika,
-
sodeluje pri nadgradnjah sistema.
(2) Pogodbeni obdelovalec izven namenov iz prvega
odstavka tega člena nima pravice in pooblastil za vpogled v zbirke podatkov o
komitentih.
(3) Upravljavec nadzoruje izvajanje postopkov in ukrepov
iz drugega odstavka 24. člena teh pravil pri pogodbenem obdelovalcu, ki jih ta
opravlja na podlagi pogodbe med njima.
(4) Pogodbeni obdelovalec mora na vsakokratno zahtevo
upravljavca nepovratno izbrisati osebne podatke, za katere ne obstoji več
pravna podlaga za hrambo, ter tak izbris ustrezno evidentirati. Izbris iz
prejšnjega stavka lahko pogodbeni obdelovalec opravi le ob neposredni
prisotnosti upravljavca.
V. NAČIN POSREDOVANJA PODATKOV IN NJIHOV IZBRIS
14. člen
(1) Vnašajo se le tisti podatki, za vnos katerih je
podana podlaga v ZCKR.
(2) Člani so komitentom in tretjim osebam odgovorni za
pravilnost, ažurnost in izvajanje varstva vnesenih podatkov v smislu predpisov
o varstvu osebnih podatkov in ZCKR.
(3) Podatki, ki jih člani posredujejo v SISBON, so vsi
tisti podatki, ki jih kot takšne določa vsakokratno veljavni ZCKR ali drug
zakon, ki bo v tem delu nadomestil ali dopolnil ZCKR. Poleg teh podatkov člani
in vključeni dajalci kreditov sporočajo upravljavcu še podatke o generalnih
skrbnikih in njihovih namestnikov pri posameznih članu in uporabnikih pri vključenem
dajalcu kreditov.
15. člen
(1) Podatki se pošiljajo v SISBON na dva načina:
-
On-line prek vmesnika v spletnem pregledovalniku,
-
paketno prek datoteke.
(2) Pri on-line posredovanju podatkov se ti na strani
pošiljatelja digitalno podpišejo in po varnem kanalu SSL pošljejo na strežnik
SISBON.
(3) Pri paketnem pošiljanju zagotovijo člani pošiljanje
digitalno podpisanih datotek s podatki na strežnik SISBON po varnem kanalu SSL.
(4) Člani so dolžni sprotno posredovati v SISBON vse
podatke iz drugega in tretjega odstavka 7. člena ZCKR, s katerimi razpolagajo
glede na svojo dejavnost oziroma glede na storitve, ki jih opravljajo. V SISBON
morajo posredovati točne podatke, in sicer takoj ob sklenitvi kreditnega posla
oziroma nastanku položaja iz drugega in tretjega odstavka 7. člena ZCKR.
16. člen
Čas hranjenja podatkov v SISBON določa ZCKR.
17. člen
(1) Izbris podatkov zaradi izpolnitve obveznosti se
opravi avtomatično po poteku rokov za hranjenje podatkov za posamezne vrste
poslov, v skladu z ZCKR. Izbris podatkov iz prejšnjega stavka se izvaja dnevno.
(2) Izbris podatkov zaradi smrti komitenta se opravi na
zahtevo upravičenega predlagatelja (dediča, sodišča …), kar opravi pooblaščena
oseba pri članu po prejemu ustrezne dokumentacije.
(3) Če član prejme zahtevo komitenta za izbris lastnih
podatkov, ki jih je o njem posredoval v SISBON, je dolžan zahtevo obravnavati v
skladu z določbami 22. člena teh pravil.
(4) Če član sam ugotovi, da je v sistem SISBON zajet
napačen podatek, mora ta podatek popraviti ali izbrisati v desetih delovnih
dneh od ugotovljene napake.
(5) Izbris ali popravek podatkov generalnih skrbnikov in
njihovih namestnikov pri posameznem članu in uporabnikov pri vključenem dajalcu
kreditov se opravi na osnovi pisne zahteve posameznega člana oziroma
vključenega dajalca kreditov.
VI. VPOGLED V PODATKE SISBON
18. člen
(1) Vpogled v podatke komitenta v SISBON lahko opravijo
le pooblaščene osebe upravljavca ter člana oziroma vključenega dajalca
kreditov. Član oziroma vključeni dajalec kreditov lahko opravijo vpogled v
podatke izključno za namene:
-
ocene kreditne sposobnosti kreditojemalca v zvezi s sklenitvijo novega
kreditnega posla,
-
ocene kreditnega tveganja, ki bi s sklenitvijo posameznega kreditnega
posla nastalo za Člana oziroma vključenega dajalca kreditov ali je nastalo v
zvezi z izvajanjem kreditnega posla,
-
izterjave zapadlih obveznosti,
-
reševanja reklamacije komitenta,
-
revizije,
-
posodabljanja podatkov, ki se vključujejo v SISBON.
(2) Član oziroma vključeni dajalec kreditov, lahko opravi
vpogled v podatke SISBON za določenega posameznika zaradi ocene kreditnega
tveganja v zvezi s sklenitvijo novega kreditnega posla, samo na podlagi
izkazanega interesa posameznika za sklenitev kreditnega posla. Šteje se, da je
interes posameznika za sklenitev kreditnega posla izkazan, če član oziroma
vključeni dajalec kreditov nedvoumno potrdi istovetnost osebe, ki je izkazala
interes, z vpogledom v uradni osebni dokument osebe ob njeni osebni navzočnosti
ali z uporabo sredstva elektronske identifikacije takšne ravni zanesljivosti,
ki ob izdaji zahteva osebno navzočnost stranke in ga izda izdajatelj sredstva
elektronske identifikacije s sedežem v Republiki Sloveniji v skladu s predpisi,
ki urejajo elektronsko identifikacijo.
(3) Če je član ali vključen dajalec kreditov v okviru
obstoječega poslovnega razmerja s posameznikom že opravil nedvoumno
identifikacijo, kot izhaja iz prejšnjega odstavka, se za namene vpogleda v
podatke v SISBON šteje, da je član ali vključen dajalec kreditov nedvoumno
potrdil istovetnost posameznika tudi brez osebne navzočnosti, če je posameznik
izkazal interes za sklenitev kreditnega posla z uporabo sredstev varne
elektronske komunikacije, ki so dogovorjena s članom ali vključenim dajalcem
kreditov in vključujejo osebne varnostne elemente visoke ravni zanesljivosti,
ki jih za namene enolične identifikacije posamezniku dodeli član ali vključeni
dajalec kreditov (kot kombinacija črk, številk ali znakov) ali drug izdajatelj
sredstev elektronske identifikacije s sedežem v Republiki Sloveniji v skladu s
predpisi, ki urejajo elektronsko identifikacijo.
(4) Kakršnakoli uporaba SISBON ali osebnih podatkov za
namene ali v primerih, ki jih ZCKR, drug zakon in ta pravila ne predvidevajo,
predstavlja kršitev, ki se sankcionira.
(5) Obseg dovoljenega vpogleda v podatke SISBON določa ZCKR.
Vpogled v podatke upravljavcu omogoča pridobivanje informacij, kateri od članov
je podatke vnesel v sistem SISBON, članom in vključenim dajalcem kreditov pa je
seznanitev s to informacijo onemogočena.
19. člen
(1) Član oziroma vključen dajalec kreditov mora podatke,
ki jih je pridobil iz sistema SISBON, hraniti v izvorni obliki zapisa in jih
lahko uporablja izključno za namene, ki jih predvideva ZCKR.
(2) Kršitev obveznosti in prepovedi iz prejšnjega
odstavka se sankcionira skladno z veljavno zakonodajo. Upravljavec o domnevni
kršitvi obvesti nadzorni organ (Informacijskega pooblaščenca RS).
VII. CENA ZA UPORABO SISBON
20. člen
(1) Nadomestila za uporabo SISBON se določijo v tarifi
Banke Slovenije (Tarifa sistema izmenjave informacij: v nadaljevanju tarifa).
Tarifa določa tudi plačilne roke in ostale plačilne modalitete ter pogoje.
(2) Upravljavec je upravičen zaračunavati članom in
vključenim dajalcem kreditov nadomestila iz vsakokrat veljavne tarife.
(3) Upravljavec pri sprejemanju tarife upošteva načelo
poštene in nediskriminatorne obravnave članov oziroma vključenih dajalcev
kreditov. Višina nadomestila mora ustrezati dejanskim stroškom delovanja in
upravljanja sistema izmenjave informacij.
(4) Upravljavec istočasno s sprejemom tarife ali njene
spremembe določi datum učinkovanja te spremembe. Upravljavec bo člane in
vključene dajalce kreditov o vsakokratni spremembi tarife obvestil z objavo v
Uradnem listu Republike Slovenije.
VIII. PRAVICE KOMITENTOV
21. člen
(1) Komitent ima v skladu s predpisi o varstvu osebnih
podatkov, če ta pravica ni omejena s posebnim zakonom, med drugim pravico do
izpisa svojih podatkov in s tem do vpogleda v vse osebne podatke, ki se v
SISBON nanašajo nanj, vključno s podatki o tem, kateri član jih je posredoval
in komu so bili posredovani, kdaj, na kakšni pravni podlagi in za kakšen namen.
Prav tako ima komitent pravico zahtevati informacije o namenu obdelave in vrsti
osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem in
pojasnilo tehničnih oziroma logično-tehničnih postopkov odločanja, če se v
zvezi z osebnimi podatki, ki se nanašajo nanj, izvaja avtomatizirano odločanje
z obdelavo osebnih podatkov posameznika.
(2) Komitent lahko za izpis iz prejšnjega odstavka
zaprosi pri kateremkoli članu ali upravljavcu na način, da izpolni in odda v ta
namen pripravljen obrazec »Zahteva komitenta za izpis osebnih podatkov iz
SISBON«, ki je v Prilogi 1 teh Pravil.
(3) Pravico do informacij in pojasnil iz prvega
odstavka, razen pojasnil v zvezi z avtomatiziranim odločanjem, lahko komitent
uveljavlja pri kateremkoli članu ali upravljavcu.
(4) Pravico do pojasnila v zvezi z avtomatiziranim
odločanjem iz prvega odstavka lahko komitent uveljavlja pri članu, ki izvaja
takšno odločanje.
(5) Komitent lahko pooblasti drugo fizično ali pravno
osebo, da pridobi njegove osebne podatke iz sistema SISBON. V ta namen mora
komitent izpolniti Prilogo 2 »Pooblastilo za tretjo osebo«, pooblaščenec
za vpogled pa obrazec iz Priloge 3: »Zahteva za izpis osebnih podatkov
iz SISBON po tretji osebi s pooblastilom«. Komitentov podpis na pooblastilu
(Priloga 2) mora biti overjen.
(6) Izpis, informacije in pojasnila se komitentu
zagotovijo najkasneje v 15 dneh od prejema njegove pisne zahteve.
(7) Postopki v primeru vrnjenih tiskanih izpisov
komitentov upravljavcu so opisana v Prilogi 5 teh pravil: »Navodila v
primeru prejema vrnjenih tiskanih izpisov komitentov iz SISBON«.
22. člen
(1) Če komitent posameznim osebnim podatkom, ki se o
njem združujejo in izmenjujejo prek SISBON, utemeljeno nasprotuje, lahko pisno
zahteva njihov izbris oziroma spremembo ali popravek pri članu, ki je
upravljavec teh podatkov v smislu predpisov o varstvu osebnih podatkov ali pri
upravljavcu. Zahtevo poda tako, da izpolni in v pisni obliki odda v ta namen
pripravljen obrazec »Zahteva komitenta za popravek osebnih podatkov v SISBON«,
ki je v Prilogi 4 teh pravil ali pa poda zahtevo prek spletne aplikacije
Moj SISBON.
(2) Dopolnitev, popravo, blokiranje ali izbris osebnih
podatkov je dolžan član iz prejšnjega odstavka izvesti v desetih delovnih dneh
od dneva, ko je prejel zahtevo in o tem obvestiti komitenta ali ga v istem roku
obvestiti o razlogih, zaradi katerih tega ne bo storil.
(3) Če komitent predloži zahtevo glede dopolnitve,
popravka, blokiranja ali izbrisa podatkov upravljavcu, upravljavec to zahtevo v
treh delovnih dneh od prejema posreduje članu sistema, ki je posredoval sporen
podatek v sistem. Član sistema najkasneje v desetih delovnih dneh od prejema
zahteve, komitenta in upravljavca obvesti, ali je zahteva utemeljena ali ne in
v istem roku izvede popravek, če je zahteva utemeljena.
23. člen
Komitent ima možnost osebnega vpogleda v svoje podatke v
sistemu SISBON prek spletne aplikacije Moj SISBON. Za dostop do podatkov SISBON
potrebuje kvalificirano digitalno potrdilo, podrobnejša navodila pa upravljavec
objavi na svoji spletni strani.
24. člen
(1) Upravljavec komitente o njihovih pravicah iz tega
poglavja teh pravil primerno obvesti, npr. z ustreznimi objavami na svojih
spletnih straneh.
(2) Člani seznanjajo komitente o pravicah iz prejšnjega
odstavka in o vsebini ter namenu SISBON prek informativne zloženke in plakata,
ki jo pripravi upravljavec ter prek svojih spletnih strani. Član je dolžan
imeti zloženke in plakat na vidnem mestu v prostorih kjer posluje s komitenti.
IX. UKREPI ZA ZAVAROVANJE OSEBNIH PODATKOV
25. člen
(1) Člani kot upravljavci osebnih podatkov v smislu
predpisov o varstvu osebnih podatkov, vključeni dajalci kreditov, upravljavec
in pogodbeni obdelovalec so dolžni zagotoviti zavarovanje osebnih podatkov, na
katere se nanašajo ta pravila, in v svojih aktih predpisati postopke in ukrepe
za zavarovanje osebnih podatkov. Določiti morajo osebe, ki so odgovorne za
določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega
dela obdelujejo določene osebne podatke.
(2) Zavarovanje osebnih podatkov obsega organizacijske,
tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni
podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov,
njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da
se:
-
varujejo prostori, oprema in sistemsko programska oprema, vključno z
vhodno-izhodnimi enotami;
-
varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
-
preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu,
vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
-
zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali
anonimiziranja osebnih podatkov;
-
omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki
vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je
to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice
posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(3) Če člani oziroma vključeni dajalci kreditov ne
izpolnjujejo ukrepov za zavarovanje osebnih podatkov lahko upravljavec o
domnevni kršitvi obvesti nadzorni organ (Informacijskega pooblaščenca RS).
26. člen
Člani, vključeni dajalci kreditov in upravljavec so dolžni
vzpostaviti evidenco dejavnosti obdelave osebnih podatkov za del osebnih
podatkov v okviru svojih odgovornosti.
27. člen
Pogodbeni obdelovalec pri izvajanju svojih pogodbenih
obveznosti v zvezi s sistemom SISBON prevzema pravice in obveznosti kot
pogodbeni obdelovalec v smislu določil predpisov o varstvu osebnih podatkov.
X. CELOSTNA PODOBA
28. člen
Člani, vključeni dajalci kreditov in pogodbeni obdelovalec so
dolžni v tistem delu svojega poslovanja s komitenti, ki je neposredno povezano
z uveljavljanjem pravic in obveznosti iz naslova delovanja SISBON, uporabljati
znak SISBON na način, kot jim ga od časa do časa sporoči upravljavec.
XI. MEDNARODNA IZMENJAVA OSEBNIH PODATKOV
29. člen
Upravljavec lahko pristopi k mednarodnemu dogovoru o
izmenjavi osebnih podatkov v skladu z določbami 25. člena ZCKR.
Priloga
1: Zahteva komitenta za izpis osebnih podatkov iz SISBON
Priloga
2: Pooblastilo za tretjo osebo
Priloga
3: Zahteva za izpis osebnih podatkov iz SISBON po tretji osebi s pooblastilom
Priloga
4: Zahteva komitenta za popravek osebnih podatkov v SISBON
Priloga
5: Navodila v primeru prejema vrnjenih tiskanih izpisov komitentov iz SISBON
Pravila sistema izmenjave informacij o
zadolženosti fizičnih oseb – SISBON (Uradni list RS, št. 65/17) vsebujejo naslednje končne
določbe:
»XII. KONČNE DOLOČBE
30. člen
Sestavni del pravil so sledeče priloge:
-
Priloga 1: Zahteva komitenta za izpis osebnih podatkov iz SISBON,
-
Priloga 2: Pooblastilo za tretjo osebo,
-
Priloga3: Zahteva za izpis osebnih podatkov iz SISBON po tretji osebi s
pooblastilom,
-
Priloga 4: Zahteva komitenta za popravek osebnih podatkov v SISBON,
-
Priloga 5: Navodila v primeru prejema vrnjenih tiskanih izpisov
komitentov iz SISBON.
31. člen
Ta pravila stopijo v veljajo naslednji dan po objavi v
Uradnem listu Republike Slovenije.«.
Spremembe in dopolnitve Pravil sistema
izmenjave informacij o zadolženosti fizičnih oseb – SISBON (Uradni list RS, št.
6/18) vsebujejo naslednji končni določbi:
»3. člen
(1) Spremembe Pravil se uporabljajo od uveljavitve.
(2) Sprememba četrtega odstavka 15. člena Pravil se
uporablja od 1. 3. 2019 dalje.
(3) Člani morajo najmanj (30) dni pred začetkom uporabe
spremenjenega četrtega odstavka 15. člena Pravil upravljavcu predložiti
dokumentacijo, iz katere izhaja, da bo član z dnem začetka uporabe izpolnjeval
tehnične pogoje za izpolnjevanje obveznosti poročanja v skladu s spremembo
četrtega odstavka 15. člena Pravil.
4. člen
Ta sprememba Pravil začne veljati petnajsti dan po objavi v
Uradnem listu Republike Slovenije.«.
Spremembe in dopolnitve Pravil sistema
izmenjave informacij o zadolženosti fizičnih oseb – SISBON (Uradni list RS, št.
68/18) vsebujejo naslednjo končno
določbo:
»3. člen
Ta sprememba Pravil začne veljati z dnem objave v Uradnem
listu Republike Slovenije.«.
Veljaven predpis
Veljaven predpis, vendar se še ne uporablja
Objavljen predpis, ki še ne velja
Neveljaven predpis
Neveljaven predpis, ki se še uporablja
Predpis v pripravi
Konec postopka, predpis ni nikoli veljal
Konzumiran ali obsoleten predpis