§ 2 Vyhláška, kterou se stanoví podrobnější pravidla organizace vnitřního provozu obchodníka s cennými papíry a podrobnější pravidla jednání obchodníka s cennými papíry ve vztahu k zákazníkům – Kontrolní a bezpečnostní opatření pro zpracování a evidenci dat
Vyhláška, kterou se stanoví podrobnější pravidla organizace vnitřního provozu obchodníka s cennými papíry a podrobnější pravidla jednání obchodníka s cennými papíry ve vztahu k zákazníkům · 466/2002 Sb. · § 2 · Obchodní a korporátní právo
Stručně: Paragraf 2 vyhlášky 466/2002 stanovuje obchodníkům s cennými papíry povinnost zajistit správu informačního systému a telekomunikačních zařízení a podrobně upravit ve vnitřním předpisu pravidla pro nakládání s daty, přístup k nim, jejich ochranu a zálohování, včetně pořizování záznamů komunikace se zákazníky.
§ 2 Kontrolní a bezpečnostní opatření pro zpracování a evidenci dat
(1) Obchodník přijme do pracovního poměru alespoň jednu osobu jako správce informačního systému, telekomunikačních a záznamových zařízení (dále jen „správce“) nebo uzavře smlouvu se třetí osobou, která bude činnost správce vykonávat.
(2) Obchodník ve vnitřním předpisu upraví zejména
a) podmínky přístupu zaměstnanců k informačnímu systému a údajům v něm zaznamenaným, rozsah přístupových práv a proces jejich nastavování, včetně způsobu rozhodování o rozsahu přístupových práv jednotlivých zaměstnanců a rozhodování o jejich změnách,
b) podmínky, za kterých budou do informačního systému vkládána data získaná v souvislosti s výkonem činnosti obchodníka a jejich změny, a podmínky nakládání s těmito daty,
c) postup při řešení situací, kdy dojde k poruše funkcí informačního systému, telekomunikačních prostředků nebo záznamových zařízení používaných obchodníkem, včetně způsobu zajištění náhradního provozu informačního systému, telekomunikačních a záznamových zařízení,
d) opatření zajišťující pravidelné zálohování dat uložených v informačním systému a jejich uchovávání nejméně po dobu deseti let,3)
e) ochranu informačního systému před vstupem a zásahy ze strany neoprávněných osob a před poškozením,
f) postup rekonstrukce dat v případě, že došlo k neoprávněnému zásahu podle písmene e) nebo k poškození informačního systému,
g) opatření zajišťující, aby zaměstnanci při poskytování investičních služeb podle § 8 odst. 2 písm. a) až d) zákona o cenných papírech zákazníkům používali telekomunikační zařízení, u nichž obchodník zajistí pořizování záznamů komunikace,
h) pravidla používání telekomunikačních zařízení, alespoň vyhrazení určitých telefonních linek, a případně jiných telekomunikačních zařízení pro účely související s výkonem činností při poskytování investičních služeb podle § 8 odst. 2 písm. a) až d) zákona o cenných papírech zákazníkům, a pořizování záznamů komunikace na těchto telefonních linkách, případně jiných telekomunikačních zařízeních a jejich uchovávání nejméně po dobu deseti let;3) záznam podle věty první obsahuje alespoň datum a čas komunikace, údaje identifikující odesílatele a příjemce, jsou-li dostupné, a obsah přenášené zprávy; obchodník zajistí možnost pořízení úplných výpisů záznamů komunikace na vyhrazených telefonních linkách, případně jiných telekomunikačních zařízeních podle věty první a možnost pořizování výstupu ze záznamového zařízení,
i) opatření zajišťující, aby správu záznamového zařízení použitého k zaznamenávání komunikace podle písmene h) prováděl výhradně správce, a
j) opatření zajišťující, aby záznamy komunikace podle písmene h) nemohly být v záznamovém zařízení dodatečně měněny.
(3) Dodržování povinností podle odstavce 2 písm. e) a f) zajišťuje obchodník prostřednictvím správce zejména
a) pravidelnými kontrolami základních funkcí technických a programových prostředků informačního systému,
b) přiměřenou pravidelnou aktualizací technických a programových prostředků informačního systému a
c) použitím zabezpečovacích prostředků.
(4) Obchodník upraví vnitřním předpisem nebo ve smlouvě, je-li správcem třetí osoba, zejména povinnost správce
a) odmítnout neoprávněný vstup do informačního systému zaměstnanci obchodníka nebo jiné osobě,
b) provést neodkladná opatření v případě neoprávněného vstupu nebo zásahu podle odstavce 2 písm. e) nebo poškození informačního systému a
c) informovat o postupu podle písmen a) a b) zaměstnance pověřeného výkonem compliance (§ 4) a příslušného vedoucího zaměstnance nebo člena statutárního orgánu obchodníka.
Paragraf 2 vyhlášky 466/2002 stanovuje obchodníkům s cennými papíry povinnost zajistit správu informačního systému a telekomunikačních zařízení a podrobně upravit ve vnitřním předpisu pravidla pro nakládání s daty, přístup k nim, jejich ochranu a zálohování, včetně pořizování záznamů komunikace se zákazníky.
Co to znamená v praxi
Obchodník musí mít určenou osobu (zaměstnance nebo externího dodavatele) odpovědnou za správu informačních systémů a telekomunikačních zařízení.
Musí vytvořit interní pravidla, která jasně definují, kdo a jakým způsobem může přistupovat k datům, jak se data vkládají a mění, a jak se řeší poruchy systémů.
Je povinné pravidelně zálohovat všechna data a uchovávat je po dobu minimálně deseti let.
Obchodník musí zajistit nahrávání veškeré komunikace se zákazníky týkající se investičních služeb, a to na vyhrazených linkách, s uchováním záznamů po dobu deseti let.
Na co si dát pozor
Vnitřní předpisy musí být velmi detailní a pokrývat všechny aspekty uvedené v odstavci 2, od přístupových práv až po postupy při poškození dat.
Zajištění pořizování záznamů komunikace se zákazníky je klíčové a musí být technicky i procesně podchyceno, včetně uchovávání záznamů a možnosti jejich úplného výpisu.
Je nutné mít robustní systém ochrany informačního systému před neoprávněnými zásahy a poškozením, a také plán pro rekonstrukci dat v případě incidentu.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.