Rozdział 4 - Warunki techniczne i organizacyjne prowadzenia działalności - Postępowanie podmiotów prowadzących działalność w zakresie pośrednictwa w zbywaniu i odkupywaniu jednostek uczestnictwa oraz tytułów uczestnictwa, a także doradztwa inwestycyjnego w odniesieniu do takich instrumentów.
Dziennik Ustaw
Dz.U.2021.1266 t.j.
Akt obowiązujący Wersja od: 26 lipca 2023 r.
Rozdział 4
Warunki techniczne i organizacyjne prowadzenia działalności
Warunki techniczne i organizacyjne prowadzenia działalności
§ 15.
1.
Podmiot opracowuje i wdraża system kontroli wewnętrznej służący zapewnieniu zgodności działalności podmiotu oraz osób działających na jego rzecz z obowiązującymi przepisami prawa oraz procedurami i regulaminami wewnętrznymi obowiązującymi w podmiocie.2.
Podmiot wyznacza, spośród swoich pracowników, osobę odpowiedzialną za przeprowadzanie kontroli wewnętrznej w zakresie prowadzonej przez podmiot działalności, o której mowa w art. 32 ust. 2 i 2b ustawy. Osoba ta w szczególności:1)
sprawuje nadzór nad działalnością podmiotu oraz osób w nim zatrudnionych według kryterium zgodności z przepisami prawa oraz procedurami i regulaminami wewnętrznymi obowiązującymi w podmiocie;2)
przeprowadza kontrole działalności podmiotu oraz osób w nim zatrudnionych według kryteriów określonych w pkt 1;3)
sprawuje nadzór nad przepływem informacji poufnych i stanowiących tajemnicę zawodową, dostępem do tych informacji oraz przeciwdziałaniem ich wykorzystywaniu w sposób niezgodny z przepisami prawa lub procedurami i regulaminami wewnętrznymi obowiązującymi w podmiocie przez osoby obowiązane do ich przestrzegania;4)
doradza oraz na bieżąco pomaga osobom wykonującym czynności, w ramach prowadzonej przez podmiot działalności, w wypełnianiu przez te osoby obowiązków zgodnie z przepisami prawa oraz procedurami i regulaminami wewnętrznymi obowiązującymi w podmiocie;6)
sprawuje nadzór nad załatwianiem reklamacji klientów podmiotu oraz prowadzi rejestr reklamacji;7)
sprawuje nadzór nad prowadzeniem przez podmiot rejestru, o którym mowa w § 20 ust. 3 i § 21;8)
ocenia zgodność postępowania podmiotu z przepisami § 42-50;9)
dokumentuje wyniki przeprowadzonych kontroli oraz przedstawia je właściwym organom podmiotu.3.
Nie rzadziej niż raz w roku osoba odpowiedzialna za przeprowadzanie kontroli wewnętrznej sporządza pisemny raport prawidłowości i skuteczności wypełniania przez podmiot obowiązków związanych z prowadzoną działalnością podmiotu. Raport zawiera w szczególności wskazanie ujawnionych w danym roku kalendarzowym nieprawidłowości oraz środków podejmowanych w przypadkach zaistnienia nieprawidłowości.4.
Sposób przeprowadzania kontroli wewnętrznych określa regulamin kontroli wewnętrznej, który określa co najmniej:1)
cel i zakres przeprowadzanych kontroli;2)
szczegółowe zasady i tryb przeprowadzania kontroli oraz założenia dotyczące ich częstotliwości;3)
zakres obowiązków osoby przeprowadzającej kontrolę;4)
szczegółowe zasady dokumentowania wyników kontroli i przedstawiania ich odpowiednim organom podmiotu;5)
tryb postępowania w przypadku ujawnienia podczas kontroli nieprawidłowości w zakresie działania podmiotu lub osób powiązanych z podmiotem.§ 16.
1.
W ramach systemu kontroli wewnętrznej podmiot prowadzi i aktualizuje książkę procedur zawierającą procedury i regulaminy wewnętrzne obowiązujące w tym podmiocie w związku z prowadzoną działalnością. Książka procedur może być prowadzona w postaci elektronicznej.2.
Podmiot regularnie weryfikuje systemy oraz procedury i regulaminy wewnętrzne obowiązujące w podmiocie według kryterium prawidłowości i skuteczności wypełniania przez podmiot obowiązków wynikających z przepisów oraz podejmuje działania mające na celu eliminację nieprawidłowości.§ 17.
1.
Podmiot prowadzi dziennik kontroli zawierający informacje o kontrolach wewnętrznych przeprowadzanych w podmiocie w roku kalendarzowym, który zawiera:1)
oznaczenie podmiotu kontrolującego;2)
zakres kontroli;3)
datę rozpoczęcia kontroli;4)
datę zakończenia kontroli;5)
wnioski z kontroli lub zalecenia pokontrolne.2.
Dane, o których mowa w ust. 1 pkt 1-3, podlegają wpisowi do dziennika kontroli nie później niż w dniu rozpoczęcia kontroli, a dane, o których mowa w ust. 1 pkt 4 i 5 - niezwłocznie po jej zakończeniu.§ 18.
1.
Podmiot opracowuje i wdraża procedurę zapobiegającą ujawnieniu lub wykorzystaniu informacji stanowiących tajemnicę zawodową przez osoby kierujące działalnością podmiotu i osoby uczestniczące w świadczeniu usług lub osoby posiadające dostęp do tych informacji.2.
Procedura zawiera co najmniej:1)
wskazanie stanowisk, na których są zatrudnione osoby objęte obowiązkiem zachowania tajemnicy zawodowej, oraz wyraźny zakaz ujawniania i wykorzystywania przez te osoby takich informacji;2)
wskazanie wyjątków od zakazu ujawniania informacji stanowiących tajemnicę zawodową;3)
sposób postępowania z dokumentami zawierającymi informacje stanowiące tajemnicę zawodową, w szczególności sposób dostępu i ewidencjonowania tego dostępu oraz sposób zapewnienia bezpieczeństwa informacji.§ 19.
1.
W podmiocie funkcjonuje sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, zapewniający adekwatny do poziomu ryzyka poziom bezpieczeństwa informacji.2.
Podmiot wprowadza zabezpieczenia urządzeń uniemożliwiające nieuprawniony dostęp do systemów teleinformatycznych i przetwarzania danych.3.
Systemy teleinformatyczne podmiotu są zabezpieczone przed nieuprawnionym dostępem do danych przetwarzanych przez te systemy.4.
Podmiot opracowuje i wdraża wewnętrzne procedury dostępu do jego systemów teleinformatycznych oraz stosuje sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej, umożliwiające odtworzenie historii dostępu do systemów teleinformatycznych, wraz z historią modyfikacji i przetwarzania danych.5.
Urządzenia i systemy teleinformatyczne podmiotu powinny być zabezpieczone przed utratą danych spowodowaną awarią, zakłóceniami lub zdarzeniami losowymi. W celu zapewnienia ciągłości obsługi i pracy systemów teleinformatycznych podmiot, przynajmniej raz dziennie, tworzy kopię bazy danych lub stosuje inne środki techniczne umożliwiające odtworzenie danych oraz podjęcie pracy systemów teleinformatycznych w przypadku awarii lub utraty części lub całości danych w podstawowych bazach danych. Podmiot zapewnia poufność, integralność i dostępność kopii bazy danych.§ 20.
1.
Podmiot przyjmujący zlecenia klienta przekazywane za pomocą telefonu, telefaksu oraz w postaci elektronicznej zapewnia:1)
poufność składanych zleceń, w szczególności ich zabezpieczenie przed odsłuchaniem lub odczytaniem przez osoby nieuprawnione;2)
integralność składanych zleceń, w szczególności ich zabezpieczenie przed modyfikacją lub usunięciem przez osoby nieuprawnione;3)
zabezpieczenie przed możliwością ich składania przez osoby nieuprawnione, w szczególności przez ustalenie odrębnego identyfikatora lub hasła dla każdego klienta;4)
rejestrację daty i czasu otrzymania zlecenia;5)
możliwość potwierdzenia klientowi faktu złożenia zlecenia - z wyłączeniem zleceń składanych za pośrednictwem telefonu.2.
Podmiot dokłada należytej staranności w celu zapewnienia sprawnej obsługi klienta w zakresie przyjmowania zleceń w sposób określony w ust. 1, w szczególności podmiot może przyjmować takie zlecenia po uprzedniej identyfikacji osoby składającej zlecenie, zgodnej z zasadami ustalonymi między podmiotem a tym klientem.3.
Podmiot prowadzi rejestr wszystkich zleceń złożonych przez klienta, na rzecz którego świadczy usługi pośrednictwa w zbywaniu i odkupywaniu jednostek uczestnictwa lub tytułów uczestnictwa, w danym roku kalendarzowym.§ 21.
Podmiot prowadzi rejestr umów zawieranych z poszczególnymi funduszami zawierający:1)
datę zawarcia umowy;2)
nazwy funduszy, których jednostki uczestnictwa lub tytuły uczestnictwa będą dystrybuowane w ramach zawartej umowy.§ 22.
1.
Podmiot przechowuje i archiwizuje dokumenty związane z prowadzeniem działalności w zakresie pośrednictwa w zbywaniu i odkupywaniu jednostek uczestnictwa lub tytułów uczestnictwa funduszy oraz nieodpłatnego doradztwa inwestycyjnego, w szczególności:1)
formularze zleceń złożonych przez klienta;2)
dokumenty zawierające oświadczenia woli oraz inne dokumenty uzyskane stosownie do § 28 ust. 1 oraz § 37 ust. 1, dotyczące wiedzy i doświadczenia klienta;3)
dokumenty udzielonych pełnomocnictw;4)
kopie sporządzanych przez podmiot dokumentów, które są przekazywane wraz z przyjętym zleceniem lub innym oświadczeniem woli do podmiotu prowadzącego rejestr uczestników funduszy;5)
inne niż określone w pkt 1-4 dokumenty związane z prowadzeniem przez podmiot działalności w zakresie pośrednictwa w zbywaniu i odkupywaniu jednostek uczestnictwa lub tytułów uczestnictwa funduszy oraz nieodpłatnego doradztwa inwestycyjnego.2.
Dokumenty, o których mowa w ust. 1, są przechowywane oddzielnie od innych dokumentów i akt gromadzonych przez podmiot w związku z wykonywaną przez niego działalnością inną niż określona w ust. 1.3.
Przechowywanie i archiwizowanie, o którym mowa w ust. 1, dotyczy również:1)
zleceń oraz innych oświadczeń woli przyjętych za pośrednictwem telefonu, telefaksu lub w postaci elektronicznej;2)
informacji przekazywanych lub otrzymywanych przez podmiot za pośrednictwem telefonu, telefaksu lub w postaci elektronicznej;3)
dokumentów sporządzonych lub otrzymanych przez podmiot w postaci elektronicznej.§ 23.
1.
Zasady archiwizacji dokumentów związanych z działalnością podmiotu określa regulamin przechowywania i archiwizacji dokumentów, który określa w szczególności:1)
rodzaj przechowywanych dokumentów;2)
sposób przechowywania dokumentów i innych nośników informacji;3)
sposób zabezpieczenia zarchiwizowanych dokumentów i innych nośników informacji przed nieuprawnionym dostępem;4)
sposób sprawowania nadzoru nad prawidłowością gromadzenia i archiwizacji dokumentów i innych nośników informacji;5)
okres przechowywania zarchiwizowanych dokumentów i innych nośników informacji;6)
wskazanie stanowisk, na których są zatrudnione osoby odpowiedzialne za gromadzenie i przechowywanie dokumentów i innych nośników informacji.2.
Dokumenty, o których mowa w § 22 ust. 3, są przechowywane na nośnikach informacji umożliwiających odczytanie treści informacji zawartych w tych dokumentach przez cały okres ich przechowywania.3.
Dokumenty oraz inne nośniki informacji zawierające dane, które podmiot przechowuje i archiwizuje, są przechowywane w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym oraz umożliwiający kontrolę dostępu, zapewniającą możliwość śledzenia modyfikacji i przetwarzania danych.4.
Podmiot zapewnia należyte zabezpieczenie pomieszczeń, w których jest prowadzone archiwum, prowadzi ewidencję korzystania z archiwum oraz wyznacza osobę odpowiedzialną za prowadzenie archiwum.§ 24.
1.
Podmiot nagrywa rozmowy telefoniczne prowadzone z klientem w związku ze świadczonymi usługami oraz sporządza protokoły, notatki lub nagrania rozmów przeprowadzonych w bezpośredniej obecności klienta lub potencjalnego klienta w związku z tymi usługami.2.
Obowiązki określone w ust. 1, w tym w odniesieniu do usług, podmiot wykonuje na zasadach określonych w art. 72-76 rozporządzenia 2017/565.3.
Podmiot oznacza datę i dokładny czas sporządzania, przekazania lub otrzymania informacji, o których mowa w ust. 1, w przypadku gdy dane te nie są zawarte w ich treści.4.
Obowiązek, o którym mowa w ust. 1, obejmuje również nagrywanie rozmów telefonicznych i zapisywanie korespondencji elektronicznej, związanych z czynnościami, które mogłyby skutkować świadczeniem przez podmiot usługi, nawet jeżeli w wyniku prowadzenia tych rozmów lub korespondencji nie dochodziłoby do świadczenia usługi. Obowiązek nagrywania rozmów telefonicznych i zapisywania korespondencji elektronicznej obejmuje urządzenia podmiotu oraz, pod warunkiem zatwierdzenia do używania przez podmiot prywatnych urządzeń osób zatrudnionych w podmiocie - także takie prywatne urządzenia.5.
Podmiot informuje klienta lub potencjalnego klienta o nagrywaniu rozmów telefonicznych lub zapisywaniu prowadzonej korespondencji elektronicznej, w wyniku których dochodziłoby lub mogłoby dojść do świadczenia usługi, przed rozpoczęciem takiego nagrania lub zapisu. Podmiot może poinformować jednokrotnie klienta lub potencjalnego klienta, że będzie nagrywał lub zapisywał przyszłe rozmowy lub korespondencję. Podmiot nie może prowadzić rozmów telefonicznych lub korespondencji elektronicznej, jeżeli nie poinformował klienta lub potencjalnego klienta o nagrywaniu rozmów lub zapisywaniu korespondencji.6.
Podmiot zapewnia, aby pracownicy podmiotu nie prowadzili rozmów telefonicznych lub korespondencji elektronicznej związanych z czynnościami, o których mowa w ust. 4, z wykorzystaniem zatwierdzonych do używania przez podmiot prywatnych urządzeń tych osób, jeżeli nie jest w stanie nagrywać tych rozmów lub zapisywać prowadzonej korespondencji elektronicznej.§ 25.
1.
Podmiot zapewnia, aby w miejscach, w których jest prowadzona przez niego działalność, znajdowały się urządzenia telekomunikacyjne umożliwiające stały i bezpośredni kontakt z centralą podmiotu, a także zapewniające sprawną obsługę klientów.2.
W pomieszczeniu, w którym jest prowadzona działalność, powinno znajdować się wyodrębnione miejsce umożliwiające klientom złożenie zlecenia z zachowaniem poufności.3.
Pomieszczenia, w których jest prowadzona działalność w zakresie pośrednictwa w zbywaniu i odkupywaniu jednostek uczestnictwa lub tytułów uczestnictwa funduszy, powinny być zabezpieczone przed niekontrolowanym dostępem osób nieuprawnionych.