§ 5
Kontrolní a bezpečnostní opatření pro zpracování a evidenci dat
(1) Investiční společnost nebo investiční fond zajišťuje správu informačního systému telekomunikačních a záznamových zařízení, a to alespoň jedním zaměstnancem, kterého touto činností pověří, nebo třetí osobou na základě písemné smlouvy (dále jen "správce").
(2) Investiční společnost nebo investiční fond ve vnitřním předpisu upraví alespoň
a) podmínky přístupu zaměstnanců k informačnímu systému a k údajům v něm zaznamenaným, rozsah možnosti přístupu (přístupových práv) a proces jejich nastavování, včetně způsobu rozhodování o rozsahu přístupových práv jednotlivých zaměstnanců nebo jiných osob a rozhodování o jejich změnách,
b) podmínky, za kterých budou do informačního systému vkládána data získaná v souvislosti s výkonem činnosti společnosti a jejich změny, a podmínky nakládání s těmito daty,
c) postup při řešení situací, kdy dojde k poruše funkcí informačního systému, telekomunikačních prostředků nebo záznamových zařízení používaných investiční společností nebo investičním fondem, včetně způsobu zajištění náhradního provozu informačního systému, telekomunikačních a záznamových zařízení,
d) opatření zajišťující pravidelné a řádné zálohování dat uložených v informačním systému a jejich uchovávání nejméně po dobu 10 let,
e) ochranu informačního systému před vstupem a zásahy ze strany neoprávněných osob a před poškozením,
f) postup rekonstrukce dat v případě, že došlo k neoprávněnému zásahu podle písmene e) nebo k poškození informačního systému,
g) opatření zajišťující, aby zaměstnanci pověření obchodováním s majetkem v podílových fondech a s majetkem investičního fondu používali pro výkon této činnosti telekomunikační zařízení, u nichž investiční společnost nebo investiční fond zajistí pořizování záznamů komunikace; ve vztahu k třetí osobě, která pro společnost zajišťuje činnost podle věty první, investiční společnost nebo investiční fond zajistí úpravu těchto opatření smluvně,
h) pravidla používání telekomunikačních zařízení, a to alespoň vyhrazení určitých telefonních linek, případně jiných telekomunikačních zařízení, pro činnosti související s obhospodařováním majetku v podílových nebo investičních fondech včetně komunikace mezi investiční společností nebo investičním fondem a depozitářem, osobou, která pro investiční společnost nebo investiční fond vykonává činnosti podle § 2 odst. 1 písm. a) až j) na smluvním základě, a pořizování záznamů komunikace na těchto telefonních linkách, případně jiných telekomunikačních zařízeních, a jejich uchovávání nejméně po dobu 10 let,
i) náležitosti záznamu podle písmene h), kterými jsou alespoň datum a čas komunikace, údaje identifikující odesílatele a příjemce, jsou-li dostupné, a obsah přenášené zprávy; investiční společnost nebo investiční fond zajistí možnost pořízení úplných výpisů záznamů komunikace na vyhrazených telefonních linkách, případně jiných telekomunikačních zařízeních, a možnost pořizování výstupu ze záznamového zařízení,
j) opatření zajišťující, aby správu záznamového zařízení použitého k zaznamenávání komunikace podle písmene h) prováděl výhradně správce, a
k) opatření zajišťující, aby záznamy komunikace podle písmene h) nemohly být v záznamovém zařízení dodatečně měněny.
(3) Dodržování povinností podle odstavce 2 písm. e) a f) zajišťuje investiční společnost nebo investiční fond prostřednictvím správce alespoň
a) pravidelnými kontrolami základních funkcí technických a programových prostředků informačního systému,
b) přiměřenou pravidelnou aktualizací technických a programových prostředků informačního systému a
c) použitím zabezpečovacích prostředků.
(4) Investiční společnost nebo investiční fond upraví vnitřním předpisem nebo sjedná ve smlouvě se správcem, je-li správcem třetí osoba, povinnost správce
a) odmítnout neoprávněný vstup do informačního systému zaměstnanci investiční společnosti nebo investičního fondu nebo jiné osobě,
b) provést neodkladná opatření v případě neoprávněného vstupu do informačního systému nebo poškození informačního systému a
c) informovat o postupu podle písmen a) a b) zaměstnance pověřeného výkonem compliance (§ 7) a příslušného vedoucího zaměstnance nebo člena statutárního orgánu investiční společnosti nebo investičního fondu.
(5) Investiční společnost nebo investiční fond stanoví způsob kontroly shody dat zanesených do evidencí se skutečným stavem a postup odstranění zjištěných nesrovnalostí (rekonciliace) přiměřený rozsahu a povaze činnosti, kterou investiční společnost nebo investiční fond provádí, počtu investorů a objemu svěřených peněžních prostředků, případně investičních nástrojů, a četnost takové kontroly, nejméně však jednou za týden, a dále stanoví způsob kontroly plnění těchto povinností.