na dokumentu
Nalaganje dokumenta...
Pravila sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON
OBJAVLJENO V: Uradni list RS 65-3073/2017, stran 8722 DATUM OBJAVE: 20.11.2017
VELJAVNOST: od 21.11.2007 / UPORABA: od 21.11.2017
RS 65-3073/2017
Verzija
9 / 10
Čistopis se uporablja od 19.12.2025 do 6.8.2026. Status čistopisa na današnji dan, 18.2.2026: AKTUALEN.
3073. Pravila sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON
Na podlagi prve točke prvega odstavka 26. člena Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16) in 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo in 59/11) izdaja Svet Banke Slovenije
P R A V I L A
sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON
sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON
I. UVODNA DOLOČILA IN OPREDELITEV POJMOV
1. člen
(1)
Pravila sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON (v nadaljevanju »pravila«) določajo tehnične pogoje za dostop do sistema, ukrepe za zavarovanje osebnih in zaupnih podatkov, ki se zbirajo in obdelujejo v sistemu ter ostala vprašanja upravljanja in uporabe sistema in s tem povezane porazdelitve medsebojnih pravic, obveznosti in odgovornosti med upravljavcem ter člani oziroma vključenimi dajalci kreditov.
(2)
Izrazi, uporabljeni v teh pravilih, pomenijo:
SISBON – sistem izmenjave informacij o zadolženosti fizičnih oseb, kot je opredeljen v ZCKR. Omogoča avtomatsko obdelavo osebnih in zaupnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, povezovanje, spreminjanje, vpogled, uporabo ali sporočanje, vključno s prenosom, iskanjem, blokiranjem in brisanjem osebnih in zaupnih podatkov članov in njihovih komitentov.
Upravljavec sistema o zadolženosti fizičnih oseb – Banka Slovenije (v nadaljevanju upravljavec) – zagotavlja pravilno in nemoteno delovanje SISBON in v tem okviru predvsem delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito, kakor tudi funkcionalnost sistema v smislu določb področnih predpisov (ZCKR in ZPotK-2) in opravlja druge naloge upravljavca v skladu s predpisi o varstvu osebnih podatkov in določbami ZCKR.
Člani – subjekti iz drugega in tretjega odstavka 15. člena ZCKR.
Vključeni dajalci kreditov – subjekti iz tretjega odstavka 19. člena ZCKR.
Pogodbeni obdelovalec – pravna ali fizična oseba, ki obdeluje osebne ali zaupne podatke v imenu in za račun upravljavca osebnih podatkov pod pogojem, da izpolnjuje pogoje za opravljanje takšne dejavnosti v skladu s predpisi o varstvu osebnih podatkov, in v skladu s pogodbo z upravljavcem zagotavlja operativno pravilno in nemoteno delovanje SISBON, kar pomeni, da zagotavlja delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito v skladu s predpisi o varstvu osebnih podatkov in ZCKR. Pogodbeni obdelovalec osebnih podatkov komitentov, ki jih v SISBON posredujejo člani, je obdelovalec podatkov, s katerim upravljavec sklene v skladu s predpisi o varstvu osebnih podatkov pogodbo za obdelavo osebnih podatkov komitentov posameznikov in osebnih podatkov pooblaščenih oseb pri posameznem članu.
Komitent – posameznik kot fizična oseba, ki ima pri članu ali več njih izpostavljeno pogodbeno obveznost iz poslov, navedenih v 7. členu ZCKR, ali namerava vzpostaviti tovrstno obveznost kot potencialni dolžnik nasproti kateremu od članov ali vključenih dajalcev kreditov.
Osebni podatki – katerikoli podatek, ki se nanaša na določeno ali določljivo fizično osebo v skladu s predpisi o varstvu osebnih podatkov, predvsem z ZCKR opredeljeni podatki o komitentu, njegovih poslih in poslovnih dogodkih, ki jih člani vnašajo oziroma posredujejo in si jih izmenjujejo preko SISBON kakor tudi podatki o zaposlenih pri posameznem članu ali vključenem dajalcu kreditov. V celotnem sistemu se obravnavajo kot zaupni podatki, vsi podatki v skladu ZCKR in s predpisi o varstvu osebnih podatkov.
ZCKR – Zakon o centralnem kreditnem registru v vsakokratno veljavni vsebini.
ZPotK-2 – Zakon o potrošniških kreditih v vsakokratno veljavni vsebini.
Uraden osebni dokument – vsaka s fotografijo opremljena veljavna listina, ki jo izda pristojni državni organ Republike Slovenije ali druge države in ki se po pravu države izdajateljice šteje za javno listino.
Uredba eIDAS – Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES.
II. UPRAVLJANJE SISBON
2. člen
(1)
Upravljavec organizira in upravlja SISBON v skladu z ZCKR z namenom, da omogoči članom ter vključenim dajalcem kreditov učinkovito ocenjevanje in obvladovanje kreditnih tveganj, ter vzpodbudi politike in ukrepe za odgovorno kreditiranje in vzdržno zadolževanje ter preprečevanje prezadolženosti komitentov. Upravljavec administrira, usklajuje in nadzira vsebinsko izvajanje odnosov s pogodbenimi obdelovalci in razvijalci ter vzdrževalci SISBON in ostalimi pogodbenimi partnerji upravljavca sistema SISBON.
(2)
Upravljavec koordinira zahteve ali predloge za spremembe in nadgradnje aplikacije SISBON in organizira delo s člani in vključenimi dajalci kreditov.
(3)
Upravljavec komunicira z javnostmi v zadevah organizacije in delovanja SISBON.
3. člen
(1)
Upravljavec ima za namen upravljanja sistema in notranjega nadzora nad njegovim pravilnim delovanjem ter nad spoštovanjem predpisanih obveznosti s strani posameznih članov in vključenih dajalcev kreditov, pravico obdelovati osebne podatke generalnih skrbnikov in njihovih namestnikov pri članu in podatke pooblaščenih uporabnikov pri vključenem dajalcu kreditov, ter ima za namene, predvidene v ZCKR, pravico za obdelavo osebnih podatkov komitentov, ki so predmet obdelave v SISBON.
(2)
Upravljavec upravlja s podatki v sistemu SISBON v smislu ZCKR in predpisov o varstvu osebnih podatkov. Člani ter vključeni dajalci kreditov so uporabniki osebnih podatkov v smislu predpisov o varstvu osebnih podatkov, in sicer glede tistih osebnih podatkov posameznih komitentov, za katere pridobivajo podatke iz SISBON na podlagi ZCKR in ZPotK-2.
(3)
Člani so v skladu z določbami ZCKR odgovorni tudi za pravilnost podatkov, ki jih vnašajo v SISBON in v tem delu kot samostojni upravljavci osebnih podatkov zagotavljajo točnost podatkov v skladu z določbami predpisov o varstvu osebnih podatkov ter uresničevanje pravic posameznikov, katerih podatke obdelujejo v okviru uporabe sistema SISBON.
4. člen
(1)
Upravljavec pred vključitvijo in kasneje v rednih intervalih (praviloma na 3 leta) zagotovi pregled organizacije, delovanja in skladnosti poslovanja SISBON v skladu z ZCKR, temi pravili in predpisi o varstvu osebnih podatkov, pri članih, ki z upravljavcem sklenejo pogodbo in pri morebitnih drugih pogodbenih partnerjih upravljavca.
(2)
Upravljavec lahko poleg rednih pregledov iz prejšnjega odstavka kadarkoli izvede izredni pregled skladnosti poslovanja SISBON v skladu z ZCKR, temi pravili in predpisi o varstvu osebnih podatkov, kadar pri članu obstajajo okoliščine, ki kažejo, da obstaja znatno tveganje za pravice in svoboščine komitentov zaradi določene vrste obdelave osebnih podatkov ali načina zagotavljanja varstva osebnih podatkov pri članu.
(3)
Upravljavec po potrebi (v primeru zaznanih morebitnih kršitev ZCKR ali teh pravil) zagotovi pregled organizacije, delovanja in skladnosti poslovanja SISBON v skladu z ZCKR, temi pravili in predpisi o varstvu osebnih podatkov pri vključenih dajalcih kreditov.
(4)
Pri subjektu, ki so mu bila v okviru pregleda iz prvega, drugega in tretjega odstavka tega člena izdana priporočila, ki izhajajo iz ugotovitev z visoko stopnjo tveganja, se po poteku obdobja za realizacijo priporočil (praviloma v treh mesecih) izvede ponoven pregled z namenom ugotovitve realizacije takih priporočil.
(5)
Stroške pregleda iz prvega, drugega, tretjega in četrtega odstavka tega člena nosi subjekt pregleda v skladu z vsakokratno veljavno Tarifo sistema izmenjave informacij.
III. VKLJUČITEV IN DOSTOP DO SISBON
5. člen
(1)
Za vključitev in dostop do SISBON morajo člani z upravljavcem skleniti pogodbo in izpolniti naslednje pogoje:
-
imenovati generalnega skrbnika SISBON in njegovega namestnika,
-
vzpostaviti testno okolje SISBON v skladu z navodili upravljavca,
-
opraviti pregled o ustreznosti/pripravljenosti za vključitev v produkcijsko okolje sistema SISBON,
-
inicialno napolniti sistem SISBON s svojimi podatki v skladu z ZCKR.
(2)
Pregled iz tretje alineje prejšnjega odstavka opravi upravljavec pred vključitvijo člana v produkcijsko okolje sistema SISBON. Vsebina pregleda obsega najmanj pregled:
-
postopkov za zagotavljanje varovanja informacij v okviru SISBON,
-
postopkov za zagotavljanje varstva osebnih podatkov, do katerih dostopajo uporabniki v okviru SISBON,
-
postopkov za podporo uporabi SISBON pri vsakdanjem delu,
-
postopkov za seznanjanje zaposlenih z namenom SISBON ter njegovo uporabo,
-
postopkov za seznanjanje komitentov z namenom SISBON ter njihovimi pravicami,
-
samo-ocenitvenega vprašalnika, ki ga članu posreduje upravljavec,
-
načrta testiranja in testni scenariji uporabe SISBON.
(3)
Po ugotovitvi ustrezne pripravljenosti člana na uporabo sistema SISBON upravljavec člana obvesti o izpolnitvi pogojev za vključitev v produkcijsko okolje SISBON.
(4)
Član mora najkasneje v roku enega meseca po obvestilu iz prejšnjega odstavka izvesti inicialno polnjenje podatkov v produkcijsko okolje SISBON. Pri članu, ki v predpisanem roku ne izvede inicialnega polnjenja podatkov, se izvede ponoven pregled v smislu drugega odstavka tega člena, stroške takšnega pregleda nosi član.
(5)
Član upravljavca takoj obvesti o vseh zadevah in okoliščinah, ki bi lahko vplivale na njegovo izpolnjevanje pogojev glede članstva v SISBON.
6. člen
(1)
Vključen dajalec kreditov s sedežem v Republiki Sloveniji lahko dostopa do podatkov SISBON v obsegu iz tretjega odstavka 19. člena ZCKR, ko od pristojnega organa pridobi dovoljenje (odločbo) za opravljanje storitev potrošniškega kreditiranja, poda vlogo za pridobitev informacij iz sistema SISBON, predložijo izjavo o izpolnjevanju pogojev, ki jih zahteva ZCKR in ta pravila ter z upravljavcem sklene pogodbo.
(2)
Vključeni dajalci kreditov s sedežem v drugi državi členici EU dostopajo do podatkov SISBON pod enakimi pogoji kot vključeni dajalci kreditov s sedežem v Republiki Sloveniji.
(3)
Vključen dajalec kreditov upravljavca takoj obvesti o vseh zadevah in okoliščinah, ki bi lahko vplivale na njegovo izpolnjevanje pogojev glede dostopa do podatkov SISBON.
7. člen
(1)
Upravljavec lahko začasno onemogoči (izklopi) uporabo SISBON članu oziroma vključenemu dajalcu kreditov, ki krši določila Pogodbe ali določila teh pravil. Ko član ali vključen dajalec kreditov iz prejšnjega stavka preneha oziroma odpravi kršitev se mu ponovno omogoči (vklopi) uporabo SISBON. Strošek začasnega izklopa in ponovnega priklopa se članu oziroma vključenemu dajalcu kreditov obračuna v skladu s Tarifo sistema izmenjave informacij. V primeru, da vključen dajalec kreditov oziroma član, ki mu zakon ne nalaga obveznosti vključitve v sistem SISBON, kršitev ne odpravi v roku, ki mu ga naloži upravljavec, lahko upravljavec odstopi od pogodbe, brez obveznosti do tega člana oziroma vključenega dajalca kreditov.
(2)
Upravljavec Informacijskega pooblaščenca obvesti o kršitvah iz prejšnjega odstavka.
(3)
Član oziroma vključen dajalec kreditov iz prvega odstavka tega člena, ki mu je bila odpovedana pogodba s strani upravljavca, se lahko ponovno vključi oziroma dostopa do sistema SISBON na način in pod pogoji, ki jih določajo ta pravila.
(4)
Člani oziroma vključeni dajalci kreditov so dolžni ta pravila izpolnjevati ves čas. Upravljavec izvaja pregled izpolnjevanja teh pravil pri članu oziroma vključenem dajalcu kreditov v okviru opravljanja pregleda v skladu s pogodbo, pri članih, nad katerimi ima upravljavec pristojnost nadzora po določbah ZBan-2, pa tudi z opravljanjem nadzora v skladu z določbami ZBan-2.
8. člen
(1)
Nadzor vstopa v SISBON in identifikacija pooblaščenih oseb se izvaja s pomočjo kvalificiranih digitalnih potrdil (certifikatov) in ustreznega varnega medija za hrambo certifikatov in dostop do SISBON (pametne kartice s čipom, pametni ključki).
(2)
Dostop do podatkov SISBON je možen le z uporabo predhodno dodeljenih kvalificiranih digitalnih potrdil, izdanih s strani pooblaščenih izdajateljev. Za poizvedovanje po podatkih v SISBON preko spletne aplikacije se uporablja kvalificirano digitalno potrdilo izdano na člana oziroma vključenega dajalca kreditov za posamezno fizično (pooblaščeno) osebo pri članu oziroma vključenem dajalcu kreditov. Za poizvedovanje po podatkih v SISBON z uporabo aplikacijskega vmesnika se lahko uporablja kvalificirano digitalno potrdilo iz prejšnjega stavka, ali pa kvalificirano digitalno strežniško potrdilo. V primeru poizvedovanja preko kvalificiranega digitalnega strežniškega potrdila se upošteva enoznačni način identificiranja pooblaščene osebe v sistemu SISBON (ID pooblaščene osebe). Prepovedano je kakršnokoli posojanje ali skupinska uporaba digitalnih potrdil.
(3)
Član oziroma vključen dajalec kreditov naroči digitalno potrdilo pri pooblaščenem izdajatelju. Po prejemu digitalnega potrdila (kartice, pametnega ključka) doda generalni skrbnik v sistem SISBON pooblaščeno (fizično) osebo tako, da:
-
omogoči aplikaciji, da prebere digitalno potrdilo (ID digitalnega potrdila)
-
vpiše podatke pooblaščene osebe (ime in priimek, šifro pooblaščene osebe, službeni naslov, telefon in elektronski naslov)
-
potrdi vnos (sistem ID digitalnega potrdila v bazi SISBON združi s podatki pooblaščene osebe in kasneje to uporabi pri preverjanju digitalnega potrdila in upravičenosti dostopa do sistema SISBON; vsakokratno preverjanje veljavnosti samega digitalnega potrdila gre prek CRL list).
(4)
Kvalificirana digitalna potrdila morajo biti shranjena na varni lokaciji (pametnem ključku ali pametni kartici oziroma v primeru uporabe strežniškega potrdila na varovanem strežniku). Ob dostopu do sistema SISBON mora biti kvalificirano digitalno potrdilo dosegljivo, da lahko upravljavec oziroma sistem SISBON opravi identifikacijo dostopajočega.
(5)
Dostop do podatkov SISBON je dovoljen le pooblaščenim osebam pri upravljavcu in članu oziroma vključenem dajalcu kreditov, ki se za delo s SISBON povežejo na način, kot je opredeljen v drugem odstavku tega člena.
(6)
Vsak dostop do podatkov s strani pooblaščene osebe pri upravljavcu in članu oziroma vključenemu dajalcu kreditov se beleži in nadzoruje z verodostojno in celovito revizijsko sledjo ter hrani za obdobje šestih let, tako, da je omogočeno poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani (vključno z vpogledi) in kdo je to storil.
IV. POOBLASTILA IN NALOGE ZNOTRAJ SISTEMA SISBON
9. člen
Pri upravljavcu deluje generalni skrbnik, ki na predlog člana dodeljuje, spreminja ali odvzema pravice (pooblastila) generalnemu skrbniku in njegovemu namestniku posameznega člana, ta pa dodeljuje, spreminja ali odvzema pooblastila za delo s SISBON svojim sodelavcem – pooblaščenim osebam.
10. člen
Pri upravljavcu so pooblastila in naloge porazdeljene med generalnega skrbnika, skrbnika operaterja in pooblaščeno osebo za urejanje reklamacij.
(1)
Generalni skrbnik:
-
izvaja vse potrebne postopke za vključevanje članov v sistem SISBON,
-
izvaja vse potrebne postopke za omogočanje dostopa do podatkov s strani vključenih dajalcev kreditov in postopek začasnega izklopa člana oziroma vključenega dajalca kreditov, ki krši določila pogodbe ali določila teh pravil,
-
na predlog člana oziroma vključenega dajalca kreditov dodeljuje, spreminja ali odvzema pravice generalnemu skrbniku in njegovemu namestniku pri posameznem članu oziroma uporabniku pri vključenemu dajalcu kreditov,