(1) Pravila sistema izmenjave informacij o zadolženosti poslovnih subjektih – SISBIZ (v nadaljevanju »pravila SISBIZ«) določajo tehnične pogoje za dostop do sistema, ukrepe za zavarovanje zaupnih podatkov, ki se zbirajo in obdelujejo v sistemu, ter ostale pogoje upravljanja in uporabe sistema in s tem povezane porazdelitve medsebojnih pravic, obveznosti in odgovornosti med Upravljavcem ter Članom sistema izmenjave informacij (v nadaljevanju »Član«).

(2) Izrazi, uporabljeni v teh pravilih, pomenijo:

SISBIZ – elektronski sistem za vpogled v podatke in informacije o zadolženosti poslovnih subjektov, ki se izmenjujejo v skladu z ZCKR.

Upravljavec sistema zbirke podatkov o zadolženosti poslovnih subjektov – Banka Slovenije (v nadaljevanju Upravljavec), ki zagotavlja pravilno in nemoteno delovanje SISBIZ in v tem okviru predvsem delovanje programske in strojne opreme ter njeno fizično in elektronsko zaščito, vključno s funkcionalnostjo sistema v smislu določb podzakonskih predpisov in navodil, ter upravlja zbirko podatkov v skladu z določbami ZCKR in ZBan-2.

Član – kreditodajalec iz 15. člena ZCKR, ki sklepa kreditne posle s poslovnimi subjekti.

Poslovni subjekt – pravna oseba, podjetnik ali zasebnik.

Generalni skrbnik pri upravljavcu – pooblaščena oseba pri Upravljavcu, ki je zadolžena za izvajanje nalog v skladu s temi pravili.

Generalni skrbnik in njegov namestnik (v nadaljevanju generalni skrbnik) – pooblaščena oseba pri Članu, ki je zadolžena za izvajanje nalog v skladu s temi pravili.

Zaupni podatki – zaupni podatki o strankah bank, kot so opredeljeni v zakonu, ki ureja bančništvo, ter drugi podatki o posameznih kreditojemalcih ali dajalcih zavarovanj, ki se v skladu z zakonom, ki ureja gospodarske družbe ali v skladu z drugimi predpisi, varujejo kot poslovna skrivnost.

ZCKR – Zakon o centralnem kreditnem registru v vsakokrat veljavni vsebini.

ZBan-2 – Zakon o bančništvu v vsakokrat veljavni vsebini.

ZVOP-1 – Zakon o varstvu osebnih podatkov v vsakokrat veljavni vsebini.

(1) Upravljavec vzpostavi in upravlja SISBIZ v skladu z ZCKR z namenom, da omogoči Članom učinkovitejše ocenjevanje kreditnega tveganja pred sklepanjem kreditnih poslov s poslovnimi subjekti ter pri njihovem izvrševanju, in z namenom vzpodbujanja politik in ukrepov za odgovorno kreditiranje, ter za vzdržno zadolževanje in preprečevanje prezadolženosti poslovnih subjektov.

(2) Upravljavec koordinira zahteve ali predloge za spremembe in nadgradnje SISBIZ in organizira delo s Člani.

(3) Upravljavec komunicira z javnostmi v zadevah organizacije in delovanja SISBIZ.

(4) Upravljavec upravlja zbirke podatkov v skladu ZCKR in ZVOP.

(5) Upravljavec ima pravico vpogleda, upravljanja in obdelave osebnih podatkov o generalnih skrbnikih pri Članih in ima za namene, predvidene v ZCKR, pravico in pooblastilo za obdelavo zaupnih podatkov poslovnih subjektov, ki so predmet obdelave v SISBIZ.

(1) Upravljavec pred vključitvijo in kasneje v rednih intervalih zagotovi pregled skladnosti poslovanja SISBIZ pri Članih, ki z upravljavcem sklenejo Pogodbo o uporabi SISBIZ.

(2) Pregled pred vključitvijo iz prejšnjega odstavka se ne izvede pri Članih, ki so z dnem vzpostavitve sistema izmenjave informacij o zadolženosti poslovnih subjektov že zavezani poročati podatke v ta sistem.

(3) Stroške pregleda iz prvega odstavka tega člena nosi subjekt pregleda iz prvega odstavka tega člena v skladu z veljavno Tarifo sistema izmenjave informacij.

(1) Za vključitev in dostop do SISBIZ morajo Člani z Upravljavcem skleniti Pogodbo o uporabi SISBIZ in izpolniti naslednje pogoje:

• imenovati generalnega skrbnika SISBIZ in njegovega namestnika,
• vzpostaviti testno okolje SISBIZ v skladu z navodili Upravljavca,
• zaključiti testiranje z izpolnjeno UAT (User Acceptance Test) izjavo,
• opraviti pregled o ustreznosti/pripravljenosti za vključitev v sistem SISBIZ.

(2) Upravljavec omogoči vključitev Člana v testno okolje SISBIZ po podpisu Pogodbe o uporabi SISBIZ in imenovanju generalnega skrbnika SISBIZ, razen člana iz drugega odstavka 3. člena teh pravil.

(3) Pregled o ustreznosti/pripravljenosti za vključitev v produkcijsko okolje sistema SISBIZ se opravi pred njegovo vključitvijo v produkcijsko okolje sistema SISBIZ. Vsebino pregleda določi Upravljavec.

(4) Po ugotovitvi ustrezne pripravljenosti Člana na uporabo sistema SISBIZ, Upravljavec Člana obvesti o izpolnitvi pogojev za vključitev v produkcijsko okolje SISBIZ.

(5) Upravljavec lahko začasno onemogoči (izklopi) uporabo SISBIZ Članu, ki krši določila Pogodbe o uporabi SISBIZ ali določila teh pravil. Ko Član iz prejšnjega stavka preneha oziroma odpravi kršitev, se mu ponovno omogoči (vklopi) dostop do SISBIZ. Strošek začasnega izklopa in ponovnega priklopa se Članu obračuna v skladu s Tarifo sistema izmenjave informacij.

(6) Člani so dolžni ta pravila izpolnjevati ves čas. Upravljavec izvaja pregled izpolnjevanja teh pravil pri Članu v okviru opravljanja pregleda v skladu s Pogodbo o uporabi SISBIZ. Pri Članih, nad katerimi ima Upravljavec pristojnost nadzora po določbah ZBan-2, pa tudi z opravljanjem nadzora v skladu z določbami ZBan-2.

(1) Nadzor dostopa v SISBIZ in identifikacija pooblaščenih oseb se izvaja s kvalificiranim digitalnim potrdilom (certifikatom) izdanim s strani v ta namen pooblaščenih izdajateljev in ustreznega varnega medija za hrambo certifikata in dostop do SISBIZ (pametne kartice s čipom, pametni ključki).

(2) Za dostop v SISBIZ preko spletne aplikacije se uporablja kvalificirano digitalno potrdilo, ki je vezano na pooblaščeno fizično osebo Člana. Za poizvedovanje po podatkih v SISBIZ z uporabo aplikacijskega vmesnika se lahko uporablja kvalificirano digitalno potrdilo, ki je vezano na pooblaščeno fizično osebo Člana ali pa kvalificirano digitalno strežniško potrdilo izdano na ime Člana.

(3) V primeru poizvedovanja preko kvalificiranega digitalnega strežniškega potrdila se upošteva enoznačni način identificiranja pooblaščene osebe v sistemu SISBIZ (ID pooblaščene osebe). Prepovedano je kakršnokoli posojanje ali skupinska uporaba kvalificiranih digitalnih potrdil, ki so vezani na posamezno pooblaščeno osebo Člana.

(4) Član za svojega generalnega skrbnika naroči digitalno potrdilo pri pooblaščenem izdajatelju. Po prejemu digitalnega potrdila (kartice, pametnega ključka) le-tega prijavi preko spletne aplikacije Banke Slovenije za prijavo digitalnega potrdila. Generalni skrbnik Člana doda v sistem SISBIZ pooblaščeno osebo tako, da:

• omogoči aplikaciji, da prebere digitalno potrdilo (ID digitalnega potrdila),
• vpiše podatke pooblaščene osebe Člana (ime in priimek, šifro pooblaščene osebe, službeni naslov, telefon, in elektronski naslov),
• potrdi vnos (sistem združi ID digitalnega potrdila v bazi SISBIZ s podatki pooblaščene osebe Člana in kasneje to uporabi pri preverjanju digitalnega potrdila ter upravičenosti dostopa do sistema SISBIZ; vsakokratno preverjanje veljavnosti samega digitalnega potrdila gre prek CRL list).

(5) Kvalificirana digitalna potrdila morajo biti shranjena na varni lokaciji (pametnem ključku ali pametni kartici, oziroma v primeru uporabe strežniškega potrdila, na varovanem strežniku). Ob dostopu do sistema SISBIZ mora biti kvalificirano digitalno potrdilo dosegljivo, da lahko Upravljavec oziroma sistem SISBIZ opravi identifikacijo dostopajočega.

(6) Dostop do podatkov je dovoljen le pooblaščenim osebam pri Upravljavcu in Članu, ki se za delo s SISBIZ prijavljajo v sistem z uporabo digitalnega potrdila.

(7) Vsak dostop do podatkov s strani pooblaščene osebe pri Upravljavcu in Članu se beleži in nadzoruje z verodostojno in celovito revizijsko sledjo, ki se hrani za obdobje šestih let na način, ki omogoča poznejše ugotavljanje časa vnosa podatkov v zbirko zaupnih podatkov, namen uporabe ali druge obdelave, vključno z vpogledi, in kdo je to storil.

Pri Upravljavcu deluje Generalni skrbnik, ki na predlog Člana dodeljuje pravice (pooblastila) Generalnemu skrbniku in njegovemu namestniku posameznega Člana, ta pa podeljujejo pooblastila za delo na SISBIZ svojim sodelavcem – pooblaščenim osebam pri Članu. Izbris ali popravek podatkov o generalnih skrbnikih in njihovih namestnikov pri posameznem Članu se opravi na osnovi pisne zahteve posameznega Člana.