1.
Systemy informatyczne firmy inwestycyjnej i wykorzystywane przez tę firmę inwestycyjną w prowadzonej działalności maklerskiej podsystemy informatyczne zabezpiecza się w taki sposób, aby uniemożliwić nieuprawniony dostęp do danych przetwarzanych przez te systemy i podsystemy.
2.
Firma inwestycyjna stosuje zabezpieczenia urządzeń uniemożliwiające nieuprawniony dostęp do systemów i podsystemów informatycznych oraz przetwarzania danych. Firma inwestycyjna opracowuje i wdraża wewnętrzne procedury regulujące dostęp do systemów i podsystemów informatycznych firmy inwestycyjnej oraz kontrolę tego dostępu, zapewniające możliwość jego odtworzenia wraz z historią modyfikacji i przetwarzania danych.
3.
Firma inwestycyjna jest obowiązana podejmować działania mające na celu zapewnienie ciągłości obsługi oraz pracy urządzeń oraz systemów i podsystemów informatycznych wykorzystywanych w prowadzonej działalności, w szczególności przez:
1)
przeprowadzanie testów w zakresie prawidłowości działania urządzeń oraz systemów i podsystemów informatycznych w przypadku ich wdrożenia lub modyfikacji, w oparciu o opracowane, wdrożone i stosowane procedury wewnętrzne określające metodologię przeprowadzanych testów;
2)
monitorowanie w czasie rzeczywistym oraz dokonywanie okresowych przeglądów i ocen wykorzystywanych urządzeń oraz systemów i podsystemów informatycznych w celu identyfikowania i eliminacji potencjalnych lub rzeczywistych zakłóceń;
3)
zapewnienie wydajności urządzeń oraz systemów i podsystemów informatycznych w stopniu odpowiadającym skali prowadzonej działalności, racjonalnie przewidywalnego wzrostu skali działalności w najbliższym czasie oraz nadzwyczajnych warunków, które mogłyby zakłócić pracę urządzeń oraz systemów i podsystemów informatycznych;
4)
zapewnienie odpowiednich zasobów kadrowych posiadających stosowne uprawnienia do dostępu do urządzeń oraz systemów i podsystemów, odpowiednie kwalifikacje oraz wystarczającą ilość czasu na realizację obowiązków;
5)
zabezpieczenie urządzeń oraz systemów i podsystemów informatycznych przed utratą danych spowodowaną awarią zasilania, innymi awariami lub zakłóceniami oraz innymi zdarzeniami losowymi;
6)
opracowanie i wdrożenie procedur związanych z wykorzystywaniem urządzeń oraz systemów i podsystemów informatycznych oraz procedur w zakresie zapewnienia ciągłości działania i zasad zachowania ciągłości działania w przypadku wystąpienia sytuacji nadzwyczajnych;
7)
tworzenie, przynajmniej raz dziennie, kopii baz danych i posiadanie niezbędnych narzędzi umożliwiających odtworzenie i wykorzystanie danych oraz podjęcie pracy urządzeń oraz systemów i podsystemów informatycznych w przypadku awarii lub utraty części lub całości danych w bazach danych na skutek wystąpienia sytuacji nadzwyczajnej;
8)
przechowywanie kopii baz danych w miejscu, w którym w przypadku awarii lub utraty części lub całości danych w bazach danych na skutek wystąpienia sytuacji nadzwyczajnej nie dojdzie do utraty kopii baz danych.
4.
W związku z wykorzystywaniem urządzeń oraz systemów i podsystemów informatycznych w ramach działalności skutkującej wprowadzaniem zleceń do systemu obrotu, firma inwestycyjna w zakresie, w którym nie podlega regulacjom rozporządzenia delegowanego Komisji (UE) 2017/589 z dnia 19 lipca 2016 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne dla firm inwestycyjnych prowadzących handel algorytmiczny (Dz. Urz. UE L 87 z 31.03.2017, str. 417), jest obowiązana opracować, wdrożyć i stosować odpowiednie rozwiązania zapewniające:
1)
możliwość automatycznego odrzucania, blokowania lub anulowania wprowadzonych do systemów lub podsystemów zleceń, które nie spełniają wymagań określonych przez przepisy prawa, firmę inwestycyjną lub inny podmiot, w tym spółkę prowadzącą rynek regulowany lub ASO;
2)
informowanie inspektora nadzoru, o którym mowa w § 24 ust. 4, i kierownika jednostki realizującej funkcję zarządzania ryzykiem albo osoby odpowiedzialnej za wdrożenie systemu zarządzania ryzykiem, w przypadku zamiaru wykonania lub przekazania w systemach lub podsystemach informatycznych zleceń, które zostały zablokowane lub anulowane;
3)
zgodność funkcji urządzeń oraz systemów i podsystemów informatycznych z wymaganiami systemów informatycznych podmiotu, do którego kierowane są zlecenia, w szczególności spółki prowadzącej rynek regulowany lub ASO oraz podmiotów prowadzących rozliczenie lub rozrachunek transakcji, których uczestnikiem jest firma inwestycyjna.
5.
W przypadku prowadzenia przez firmę inwestycyjną rachunków lub rachunków pieniężnych systemy i podsystemy informatyczne firmy inwestycyjnej powinny gwarantować możliwość tworzenia za okresy nie krótsze niż okresy, w których firma inwestycyjna jest obowiązana do przechowywania danych związanych z prowadzoną działalnością maklerską, odpowiednio historii rachunków, rachunków pieniężnych i rejestrów operacyjnych, zawierającej chronologiczne zestawienie operacji dokonywanych na tych rachunkach lub rejestrach, w szczególności dane dotyczące:
1)
w odniesieniu do rachunku pieniężnego:
a) salda początkowego i końcowego środków pieniężnych za każdy dzień,
b) wpłat na rachunek, z uwzględnieniem wpłat dokonanych w formie przelewu, a w szczególności kwot poszczególnych wpłat, daty i opisu operacji oraz dokumentu źródłowego,
c) wypłat z rachunku, a w szczególności kwot poszczególnych wypłat, daty i opisu operacji oraz dokumentu źródłowego,
d) przelewów środków pieniężnych z rachunku, a w szczególności kwot poszczególnych przelewów, daty i opisu operacji oraz dokumentu źródłowego,
e) środków z rozliczonych w danym dniu transakcji, a w szczególności kwot rozliczonych środków, daty i opisu operacji oraz dokumentu źródłowego,
f) blokady środków pieniężnych w związku ze złożeniem zlecenia kupna instrumentów finansowych, a w szczególności kwot środków objętych blokadą, daty i opisu operacji oraz numeru zlecenia,
g) blokady środków pieniężnych ustanowionej w przypadku innym niż wymieniony w lit. f, a w szczególności kwoty środków objętych blokadą,
h) zniesienia blokady środków pieniężnych w związku z anulowaniem zlecenia kupna instrumentów finansowych, a w szczególności daty i numeru zlecenia,
i) naliczonych odsetek za opóźnienie, a w szczególności daty i opisu operacji;
a) salda początkowego i końcowego środków pieniężnych za każdy dzień,
b) wpłat na rachunek, z uwzględnieniem wpłat dokonanych w formie przelewu, a w szczególności kwot poszczególnych wpłat, daty i opisu operacji oraz dokumentu źródłowego,
c) wypłat z rachunku, a w szczególności kwot poszczególnych wypłat, daty i opisu operacji oraz dokumentu źródłowego,
d) przelewów środków pieniężnych z rachunku, a w szczególności kwot poszczególnych przelewów, daty i opisu operacji oraz dokumentu źródłowego,
e) środków z rozliczonych w danym dniu transakcji, a w szczególności kwot rozliczonych środków, daty i opisu operacji oraz dokumentu źródłowego,
f) blokady środków pieniężnych w związku ze złożeniem zlecenia kupna instrumentów finansowych, a w szczególności kwot środków objętych blokadą, daty i opisu operacji oraz numeru zlecenia,
g) blokady środków pieniężnych ustanowionej w przypadku innym niż wymieniony w lit. f, a w szczególności kwoty środków objętych blokadą,
h) zniesienia blokady środków pieniężnych w związku z anulowaniem zlecenia kupna instrumentów finansowych, a w szczególności daty i numeru zlecenia,
i) naliczonych odsetek za opóźnienie, a w szczególności daty i opisu operacji;
2)
w odniesieniu do rachunku papierów wartościowych i rachunku zbiorczego:
a) salda początkowego i końcowego dla każdego rodzaju instrumentów finansowych za każdy dzień,
b) blokady instrumentów finansowych, a w szczególności liczby instrumentów finansowych objętych blokadą, daty i opisu operacji,
c) nabycia instrumentów finansowych w drodze wykonania zlecenia kupna w obrocie zorganizowanym, a w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
d) nabycia instrumentów finansowych poza obrotem zorganizowanym, a w szczególności liczby instrumentów finansowych, daty zapisania na rachunku i opisu operacji oraz dokumentu źródłowego,
e) zbycia instrumentów finansowych w drodze wykonania zlecenia sprzedaży w obrocie zorganizowanym, a w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
f) zbycia instrumentów finansowych poza obrotem zorganizowanym, a w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
g) przeniesienia instrumentów finansowych na inny rachunek papierów wartościowych lub rachunek zbiorczy należący do tego samego podmiotu, a w szczególności liczby instrumentów finansowych, daty i opisu operacji oraz dokumentu źródłowego.
a) salda początkowego i końcowego dla każdego rodzaju instrumentów finansowych za każdy dzień,
b) blokady instrumentów finansowych, a w szczególności liczby instrumentów finansowych objętych blokadą, daty i opisu operacji,
c) nabycia instrumentów finansowych w drodze wykonania zlecenia kupna w obrocie zorganizowanym, a w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
d) nabycia instrumentów finansowych poza obrotem zorganizowanym, a w szczególności liczby instrumentów finansowych, daty zapisania na rachunku i opisu operacji oraz dokumentu źródłowego,
e) zbycia instrumentów finansowych w drodze wykonania zlecenia sprzedaży w obrocie zorganizowanym, a w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
f) zbycia instrumentów finansowych poza obrotem zorganizowanym, a w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
g) przeniesienia instrumentów finansowych na inny rachunek papierów wartościowych lub rachunek zbiorczy należący do tego samego podmiotu, a w szczególności liczby instrumentów finansowych, daty i opisu operacji oraz dokumentu źródłowego.
6.
Przepisy ust. 5 pkt 2 stosuje się odpowiednio w przypadku rejestrowania przez firmę inwestycyjną instrumentów finansowych w sposób inny niż na rachunkach papierów wartościowych lub na rachunkach zbiorczych.
7.
W przypadku przechowywania instrumentów finansowych systemy i podsystemy informatyczne firmy inwestycyjnej powinny gwarantować możliwość rejestrowania danych umożliwiających identyfikację instrumentów finansowych będących przedmiotem poszczególnych operacji.
8.
Przepisów ust. 1-7 nie stosuje się do zagranicznej firmy inwestycyjnej.
9.
Przepisy ust. 1-3 i ust. 5 pkt 2 stosuje się odpowiednio do banku powierniczego, w zakresie systemów informatycznych służących do prowadzenia rachunków.
10.
Przepisów ust. 1-7 nie stosuje się, w zakresie prowadzenia ASO lub OTF, do firmy inwestycyjnej prowadzącej ASO lub OTF, do której ma zastosowanie rozporządzenie delegowane Komisji (UE) 2017/584 z dnia 14 lipca 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne w zakresie systemów obrotu (Dz. Urz. UE L 87 z 31.03.2017, str. 350), zwane dalej "rozporządzeniem 2017/584".
