§ 4
Kontrolní a bezpečnostní opatření pro zpracování a evidenci dat
[K § 12 odst. 1 písm. b) zákona]
(1) Obchodník zajišťuje správu informačního systému telekomunikačních a záznamových zařízení, a to alespoň jedním zaměstnancem, kterého touto činností pověří, nebo třetí osobou na základě písemné smlouvy (dále jen "správce").
(2) Obchodník ve vnitřním předpisu upraví alespoň
a) podmínky přístupu zaměstnanců k informačnímu systému a údajům v něm zaznamenaným, rozsah přístupových práv a proces jejich nastavování, včetně způsobu rozhodování o rozsahu přístupových práv jednotlivých zaměstnanců a rozhodování o jejich změnách,
b) podmínky, za kterých budou do informačního systému vkládána data získaná v souvislosti s výkonem činnosti obchodníka a jejich změny, a podmínky nakládání s těmito daty,
c) postup při řešení situací, kdy dojde k poruše funkcí informačního systému, telekomunikačních prostředků nebo záznamových zařízení používaných obchodníkem, včetně způsobu zajištění náhradního provozu informačního systému, telekomunikačních a záznamových zařízení,
d) opatření zajišťující pravidelné zálohování dat uložených v informačním systému a jejich uchovávání nejméně po dobu 10 let, 2)
e) ochranu informačního systému před vstupem a zásahy ze strany neoprávněných osob a před poškozením,
f) postup rekonstrukce dat v případě, že došlo k neoprávněnému zásahu podle písmene e) nebo k poškození informačního systému,
g) opatření zajišťující, aby zaměstnanci při poskytování investičních služeb podle § 4 odst. 2 písm. a) až d) zákona zákazníkům používali telekomunikační zařízení, u nichž obchodník zajistí pořizování záznamů komunikace,
h) pravidla používání telekomunikačních zařízení, a to alespoň vyhrazení určitých telefonních linek, a případně jiných telekomunikačních zařízení pro účely související s výkonem činností při poskytování investičních služeb podle § 4 odst. 2 písm. a) až d) zákona zákazníkům, a pořizování záznamů komunikace na těchto telefonních linkách, případně jiných telekomunikačních zařízeních a jejich uchovávání nejméně po dobu 10 let,
i) náležitosti záznamu podle písmene h), kterými jsou alespoň datum a čas komunikace, údaje identifikující odesílatele a příjemce, jsou-li dostupné, a obsah přenášené zprávy; obchodník zajistí možnost pořízení úplných výpisů záznamů komunikace na vyhrazených telefonních linkách případně jiných telekomunikačních zařízeních a možnost pořizování výstupu ze záznamového zařízení,
j) opatření zajišťující, aby správu záznamového zařízení použitého k zaznamenávání komunikace podle písmene h) prováděl výhradně správce a
k) opatření zajišťující, aby záznamy komunikace podle písmene h) nemohly být v záznamovém zařízení dodatečně měněny.
(3) Dodržování povinností podle odstavce 2 písm. e) a f) zajišťuje obchodník prostřednictvím správce alespoň
a) pravidelnými kontrolami základních funkcí technických a programových prostředků informačního systému,
b) přiměřenou pravidelnou aktualizací technických a programových prostředků informačního systému a
c) použitím zabezpečovacích prostředků.
(4) Obchodník upraví vnitřním předpisem nebo sjedná ve smlouvě se správcem, je-li správcem třetí osoba, povinnost správce
a) odmítnout neoprávněný vstup do informačního systému zaměstnanci obchodníka nebo jiné osobě,
b) provést neodkladná opatření v případě neoprávněného vstupu nebo zásahu podle odstavce 2 písm. e) nebo poškození informačního systému a
c) informovat o postupu podle písmene a) a b) zaměstnance pověřeného výkonem compliance (§ 6) a příslušného vedoucího zaměstnance nebo člena statutárního orgánu obchodníka.
------------------------------------------------------------------
2) § 17 zákona o podnikání na kapitálovém trhu.