AZ OTP MOBIL KFT. A SIMPLEPAY FIZETÉSI MŰVELETEK ELFOGADÁSA PÉNZFORGALMI SZOLGÁLTATÁS vPOS KÁRTYAELFOGADÁSÁVAL KAPCSOLATOS TEVÉKENYSÉGÉRE VONATKOZÓ ADATKEZELÉSI TÁJÉKOZTATÓJA
AZ OTP MOBIL KFT. A SIMPLEPAY FIZETÉSI MŰVELETEK ELFOGADÁSA PÉNZFORGALMI SZOLGÁLTATÁS vPOS KÁRTYAELFOGADÁSÁVAL KAPCSOLATOS TEVÉKENYSÉGÉRE VONATKOZÓ ADATKEZELÉSI TÁJÉKOZTATÓJA
Jelen Adatkezelési Tájékoztató az OTP Mobil Kft. vPOS ÁSZF-jének mellékletét képezi és a vPOS kártyaelfogadói szolgáltatás során végzett adatkezelés feltételeit tartalmazza.
1. Az adatkezelő adatai és elérhetőségei
OTP Mobil Szolgáltató Korlátolt Felelősségű Társaság
Rövidített név: OTP Mobil Kft.
Cégjegyzékszám: 00-00-000000
Nyilvántartja: Fővárosi Törvényszék Cégbírósága
Székhelye: 0000 Xxxxxxxx, Xxxx xx 000-000. B. ép. 5. em.
Postacíme: 0000 Xxxxxxxx, Xxxx xx 000-000. B. ép. 5. em.
Adószáma: 24386106-2-41
Képviseli: Xxxxx Xxxxx ügyvezető Tevékenységi engedély száma: H-EN-I-21/2023.
Tevékenységi engedély dátuma: 2023. február 22.
Honlap: xxxx://xxx.xxxxxxxxx.xx A továbbiakban: OTPM vagy adatkezelő
2. Az adatkezelő adatvédelmi tisztviselője
Xxxx Xxxxxxx Elérhetőségei:
a) OTPM székhelyén (0000 Xxxxxxxx, Xxxx xx 000-000. B. ép. 5. em.)
b) e-mail címe: xxx@xxxxxxxx.xxx
c) postacíme: 0000 Xxxxxxxx, Xxxx xx 000-000. B. ép. 5. em.
3. Az adatkezelés feltételei
Az OTPM az alábbi természetes személyek alábbi adatait kezeli az alábbi célra, jogalapon és időtartamban:
1
Érintetti kör | Kezelt adatok köre | Adatkezelési cél | Adatkezelés jogalapja | Adatkezelés időtartama |
Kereskedők esetében: egyéni vállalkozó, egyéni cég, őstermelő, áfás magánszemély, egyéni ügyvéd, közjegyző, önálló praxisjoggal rendelkező orvos, társaság képviselője(i), társaság nyilatkozattevője(i), társaság tényleges tulajdonosa(i), társaság nevében aláírásra jogosult(ak), társaság nevében meghatalmazottja(i) és azok tanúi, társaság kapcsolattartó(i), kézbesítési megbízott | Név, lakcím, e-mail cím, telefonszám, beosztás (minőség), aláírás, éves fizetési forgalom, Tevékenységi kör (MCC besorolás), Elfogadóhely e-mail címe, Kereskedői azonosító | A Szerződés megkötésének előkészítése, a szerződés teljesítése | Jogi személy kapcsolattartó, képviselő, tényleges tulajdonos, aláírásra jogosult, meghatalmazott, tanú esetén: GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek Egyéni vállalkozó, őstermelő, egyéni ügyvéd, áfás magánszemély esetén: GDPR 6. cikk (1) bekezdés b) pontja: szerződés létrehozatala és teljesítése GDPR 6. cikk (1) bek. c) pont: jogi kötelezettség teljesítése - az adózási kötelezettség teljesítéséhez szükséges adatok esetén az adózás rendjéről szóló 2017. évi CL. törvény („Art.”) 78. § (3), 202. § (1), számviteli kötelezettség teljesítéséhez szükséges iratok esetén a számvitelről szóló 2000. évi C. törvény („Sztv.”) 168- 169. §. | Ha az adatok az adózási kötelezettség teljesítéséhez szükséges iratokban szerepelnek, annak a naptári évnek az utolsó napjától számított 5 évig kerülnek tárolásra és megőrzésre, amelyben az adóról bevallást, adatbejelentést, bejelentést kellett volna tenni, illetve bevallás, adatbejelentés, bejelentés hiányában az adót meg kellett volna fizetni. Ha az adatok a szerződött kereskedővel kötött szerződésben szerepelnek, a számviteli kötelezettség teljesítéséhez a szerződés megszűnésétől számított 8 évig kerülnek megőrzésre és tárolásra az adatok. Egyéb esetben a kereskedővel kötött szerződés megszűnését követő 5 évig őrzendők az adatok (általános polgári jogi elévülési idő). |
Név, lakcím, e-mail cím, telefonszám, beosztás (minőség) | A Szerződésből eredő jogok, követelések érvényesítése, jogi igények előterjesztése | GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek | Szerződés megszűnésétől számított 5 éves általános elévülési idő. | |
Név, e-mail cím, telefonszám, beosztás | Kapcsolattartás | GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek | A szerződés megszűnéséig | |
családi és utónév, születési család és utónév, születési hely és idő, anyja születési neve, személyazonosító okmány típusa és | Személy- és ügyfélazonosítás, ügyfél- átvilágítás, ügyfél | GDPR 6. cikk (1) bekezdés c) pontja: jogi kötelezettség teljesítése: a pénzmosás és terrorizmus | A szerződés megszűnésétől számított 8 év (Pmt. 56. § (2) bekezdése) |
száma, lakcím vagy tartózkodási hely, lakcímkártya száma, állampolgárság, tulajdonosi érdekeltség jellege és mértéke, kiemelt közszereplői minőség, pénzeszköz és vagyon forrása, adószám, főtevékenység, nyilvántartási szám, aláírás, adatok rögzítésének időpontja, az a tény, hogy a hatóság, bíróság, ügyészség, felügyeleti hatóság vagy az adatkezelő jelzést nyújtott be a tényleges tulajdonosi nyilvántartásban szereplő adatoktól való eltérésre Pénzeszköz és vagyon forrása körében kezelt adatok köre: • legalább hárommillió forint értékben, a meghatározott vagyoneszköz- csoportoknál külön-külön megjelölve az ügyfél által becsült érték szerinti összértéknek megfelelő nagyságrendi kategóriákat): • Ingatlantulajdon (résztulajdon is) • Gépjármű • Egyéb nagy értékű ingóság • Immateriális és vagyoni értékű javak, így különösen szellemi termékek felhasználási joga, bérleti jog • Pénzintézeti számlakövetelés, értékpapír, más pénzeszköz, virtuális fizetőeszköz • Készpénz • Gazdasági társaságban fennálló tulajdoni részesedés becsült piaci értéke • Nyilatkozat a tartozásokról • Nyilatkozat a jövedelemről • A nyilatkozatot tevő, képviseletre jogosult személy neve és beosztása | azonosításához bemutatott okmányokról másolat készítése | finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. tv. (Pmt.) 7. – 10. §-a, 16. – 16/A. §-a, a 2021. évi XLIII. tv. (Afad tv.) 4. § (1) bekezdése, 8. § (3) bekezdése, 13. §-a, 21. § (3) bekezdése a tényleges tulajdonosi nyilvántartásból történő ellenőrzéshez és hozzáféréshez, valamint az eltérések bejelentéséhez, továbbá a 21/2017 (VIII. 3.) NGM rendelet 6/A. §-a és 3. melléklete | A szerződés megszűnésétől számított 10 év (Pmt. 58. § (1) bekezdése) |
(jogi személy vagy jogi személyiséggel nem rendelkező szervezet esetén.) | ||||
Tényleges tulajdonos kiemelt közszereplő, kiemelt közszereplő közeli hozzátartozója vagy kiemelt közszereplővel közeli kapcsolatban álló személy esetében: kKiemelt közszereplőnek, kiemelt közszereplő közeli hozzátartozójának, vagy kiemelt közszereplővel közeli kapcsolatban álló személynek minősül-e? Amennyiben igen, akkor a Pmt. mely pontja alapján minősül kiemelt közszereplőnek. | A tényleges tulajdonos kiemelt közszereplői, kiemelt közszereplő közeli hozzátartozója, vagy kiemelt közszereplővel közeli kapcsolatban álló személy minőségének feltárása, nyilatkozat felvétele | GDPR 6. cikk (1) bekezdés c) pont szerinti jogi kötelezettség, amit a Pmt. 8. – 9/A. §-a ír elő. | A Pmt. 56 §. (1)-(2) bekezdés és az 57. § (1) – (2) bekezdése alapján 8 év | |
Név, e-mail cím | A Kereskedőnek kijelölt kapcsolattartója útján a webáruházával kapcsolatosan edukációs, tájékoztatási anyagok küldése, amelyekhez elektronikus direkt marketing tartalmak, így ajánlatok, promóciók, reklámtartalmak is csatolásra kerülnek. | GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás | A hozzájárulás visszavonásáig | |
Név, e-mail cím | IT körlevél küldése | GDPR 6. cikk (1) bek f) pontja: Jogos érdek, amely az alábbi: az OTPM és a Kereskedő jogos üzleti érdeke, hogy a vPOS kártyaelfogadási rendszer és a Kereskedő IT rendszere a szerződésnek megfelelően összekötésre kerüljön, és azon az éles tranzakciók elindulhassanak, és ehhez a Kereskedő IT szakemberei naprakész műszaki információkat kapjanak. Ezen túlmenően a szerződés időtartama alatt a Kereskedő és az OTPM közös jogos üzleti érdeke az is, hogy a Kereskedő valamennyi műszaki jellegű változásról értesüljön | A kereskedői szerződés megszűnéséig |
és annak megfelelően tudja saját rendszereit módosítani. | ||||
Név, e-mail cím | Kereskedők által megjelölt kapcsolattartón keresztül a Kereskedők tájékoztatása a webáruházzal kapcsolatos jogi, adózási és szakmai információkról, Kereskedők oktatása, jogszerű és hatékony webáruház működtetés elősegítése | GDPR 6. cikk (1) bek f) pontja: Jogos érdek, amely az alábbi: az OTPM és a Kereskedő jogos üzleti érdeke, hogy a vPOS kártyaelfogadási szolgáltatásra szerződött kereskedők és webáruházai jogszerűen, szakmailag professzionálisan működjenek, és ezt az OTPM elősegítse információk rendelkezésre bocsátásával jogi, marketing szakmai, adózási, számviteli, logisztikai és egyéb szakmai/műszaki kérdésekben, és így megvalósuljon a kereskedők edukációja, amellyel biztonságosabb, fogyasztóbarátabb webáruházi működés érhető el. | A Kereskedői szerződés megszűnéséig | |
Név, e-mail cím, képviselt szervezet neve, telefonszám, bejelentésben foglalt személyes adatok, jelszó | Jira Service Desk szolgáltatás nyújtása | a GDPR 6. cikk (1) bekezdés f) pontja szerinti Jogos érdek | 5 évig | |
Kártyabirtokos, Vevő (Fizető fél), áruátvevő (internetes, telefonos és postai (MOTO) rendeléshez kapcsolódó kártyás vásárlás esetén) | Kártyabirtokos neve Kártya száma Kártya lejárati dátuma Service code Kártya CVV/CVC2 kódja Kártya mágnescsík és chipen tárolt adatai Kártya PIN és PIN blokk | Internetes kártyás fizetés lebonyolítása, értesítés küldése a tranzakció sikerességéről | GDPR 6. cikk (1) bekezdés f) pontja: az OTPM és a Kereskedő jogos érdeke | Kártyabirtokos neve, Kártya száma, Kártya lejárati dátuma és a Service code adattárolási ideje: Ha az adatok az adózási kötelezettség teljesítéséhez szükséges iratokban szerepelnek, annak a naptári évnek az utolsó napjától számított 5 évig kerülnek tárolásra és megőrzésre, amelyben az adóról bevallást, adatbejelentést, bejelentést kellett volna tenni, illetve bevallás, adatbejelentés, bejelentés |
hiányában az adót meg kellett volna fizetni. Ha az adatok a számviteli kötelezettség teljesítéséhez szükségesek, akkor 8 évig kerülnek megőrzésre és tárolásra. Egyéb esetben 5 évig őrzendők az adatok (általános polgári jogi elévülési idő). Kártya CVV/CVC2 kódja, Kártya mágnescsík és chipen tárolt adatai, Kártya PIN és PIN blokk adattárolási ideje: a fizetési tranzakció befezéséig. | ||||
Internetes kártyás fizetés során a tranzakció végrehajtásához közvetlenül nem szükséges bekért egyéb adatok: - kibocsátó bank, - kártyatípus, - kártyabirtokos neve, e-mail címe, IP címe, telefonszáma, - termékre vonatkozó adatok, - termék szállítására, vételár számlázására vonatkozó adatok A vásárló online vásárlás során használt böngészőjéből gyűjtött adatok: - Accept http fejléc értéke, amely az a formátum, ami a http kérés törzsében megjelenik - használt böngésző és operációs rendszer neve és verziószáma, alapértelmezett nyelve | Csalás megelőzés és csalás felderítés, beleértve az erős ügyfélhitelesítést is | GDPR 6. cikk (1) bekezdés f) pontja: az OTPM és a Kereskedő jogos érdeke | 5 évig őrzendők az adatok (általános polgári jogi elévülési idő). |
- a böngésző forrás IP címe - a böngésző tud-e java kódot futtatni - a böngésző nyelve; - a böngésző színmélysége; - a böngésző képernyőjének magassága; - a böngésző képernyőjének szélessége; - a böngésző időzónája. A vásárló vásárlásának módja a Kereskedőnél: - Vendégként, regisztráció nélkül - Regisztrált vásárlóként - Harmadik feles azonosítóval regisztrált vásárlóként (Google, Facebook, egyéb fiókkal regisztrálva) | ||||
Ügyfélszolgálatot megkereső személy | Név Telefonszám e-mail cím levelezési cím rögzített hangfelvétel a megkeresésben foglalt egyéb személyes adatok | Ügyfélszolgálat, panaszkezelés | GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség teljesítése: a Fsztv. 70. §-a | Rögzített hangfelvétel megőrzési ideje: 5 év (Fsztv. 70. § (2) bekezdése) Rögzített panasz és arra adott válasz megőrzési ideje: 5 év (Fsztv. 70. § (3) bekezdése) |
Érintett személyek | Az Adatkezelőhöz érkező adatvédelmi megkeresésekkel összefüggő személyes adatok: az Adatkezelőhöz forduló természetes személyek / jogi személyek vagy egyéb szervezetek esetén a kapcsolattartó személyek kapcsolattartáshoz szükséges adatai (így különösen: név, cím, e-mail cím, telefonszám), a megkeresés tartalma, valamint a megkereséssel kapcsolatban tett lépések és a megkereséssel kapcsolatban készült dokumentumok. Például: ha az érintett e-mailben kéri az összes adata | Az érintett személyek adatvédelmi jogai (részletesen lásd: 8. pont) érvényesítésével kapcsolatos adatkezelés | GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges). A jogi kötelezettség: a GDPR 15-22. cikkeiben foglalt érintetti jogok gyakorlásának lehetővé tétele, illetve a megkereséssel kapcsolatban tett egyéb lépések dokumentálása. | Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
törlését a GDPR alapján, és ezt teljesíti is az Adatkezelő, akkor magát a törlést kérő e- mailt ettől függetlenül megőrzi. | ||||
Érintett személyek | Ha az Adatkezelő valamely adatkezelése az érintett hozzájárulásán alapult, az Adatkezelő az adott hozzájárulást archiválja. Ennek célja, hogy a hozzájárulás jogszerűsége bármikor igazolható legyen. Ha az érintett a hozzájárulását visszavonja, az Adatkezelő a visszavonó nyilatkozatot (és az azzal kapcsolatos kommunikációt) is megőrzi. Ennek célja, hogy az Adatkezelő mindig tisztában legyen azzal, hogy egy érintett visszavonta hozzájárulását egy meghatározott adatkezeléshez. | Az érintett személyek adatkezeléshez történő hozzájárulásainak, valamint a hozzájáruló nyilatkozat esetleges visszavonásának archiválása | GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges). A jogi kötelezettség: a GDPR 7. cikk (1) szerint, ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. | Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
Érintett személyek | Az érintett személyeknek az adatvédelmi incidenshez kapcsolódó személyes adatai. | Adatvédelmi incidensek nyilvántartása (ideértve az incidensek kezelésével kapcsolatban tett lépések dokumentálását) | GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges). A jogi kötelezettség: a GDPR 33. cikk (5) alapján az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az adatvédelmi hatóság ellenőrizze a GDPR követelményeinek való megfelelést. | Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
A lakcímkártyán szereplő személyi azonosító számot (személyi számot) az OTPM nem kezeli és jogszabály alapján nem is kezelheti.
Mivel a szerződés megkötéséhez szükséges személyes adatok szolgáltatása nélkül az OTPM a szerződéskötést előkészíteni, a szerződést megkötni, illetőleg teljesíteni nem tudja, az Érintett köteles e célok eléréséhez szükséges személyes adatokat az OTPM részére megadni. Az adatszolgáltatás elmaradása esetén az OTPM jogosult a szerződéskötést, illetőleg a szerződés teljesítését megtagadni.
Az Érintett és az OTPM pozíciója közötti egyensúly megőrzése érdekében a telefonbeszélgetést folytató Érintett számára is biztosított, hogy rögzítse a beszélgetést. Az Ügyfél ezen tevékenysége kizárólag azon cél elérése érdekében történhet, mely miatt az OTPM is rögzíti a beszélgetést. Az Érintett a hangrögzítésről a telefonbeszélgetés megkezdésekor köteles tájékoztatni az OTPM-et. Az Érintett sem az OTPM, sem az Érintett által rögzített hanganyagot nem hozhatja nyilvánosságra, azt kizárólag az OTPM-mel folytatott esetleges jogvita során használhatja fel. Vita esetén az OTPM minden esetben az OTPM által rögzített hanganyagot veszi figyelembe.
Az ügyfélszolgálati, panaszkezelési tevékenységet az OTPM és az OTP Bank Nyrt. (1051 Budapest, Nádor u. 16.) közötti közös adatkezelési szerződés alapján az OTPM és az OTP Bank Nyrt. közös adatkezelőként végzi. A GDPR 26. cikk (2) bekezdésének megfelelően ezúton adunk tájékoztatást a közös adatkezelési szerződés lényeges rendelkezéseiről:
- Az OTPM és az OTP Bank Nyrt. mindegyike maga vezeti a felelősségébe tartozó adatkezelési tevékenységekről az adatvédelmi nyilvántartást, adatvédelmi incidensekről vezetett nyilvántartást, az érintett személyek és felügyeleti hatóságok részéről az adatkezelésekkel kapcsolatban érkezett kérések nyilvántartását, az általuk az adatkezelésekkel kapcsolatban igénybe vett adatfeldolgozók nyilvántartását, valamint az adatkezelésekkel összefüggő adattovábbítások nyilvántartását.
- A hozzájáruló nyilatkozatoknak az adatkezelők által közösen megállapított időtartamban, visszakereshető módon történő megőrzéséről az OTP Bank Nyrt. gondoskodik.
- Az érintettek tájékoztatását akkor, amikor az ügyfélszolgálat telefonos vagy e-mail-en keresztül történő megkeresése történik, beleértve – amennyiben alkalmazható – az érintett hozzájáruló nyilatkozatának megszövegezését is, az OTP Bank Nyrt. végzi. OTP Bank Nyrt. gondoskodik továbbá az adatkezelési hozzájáruló nyilatkozatok beszerzéséről és tárolásáról, őrzéséről, nyilvántartásáról is.
- Az OTPM saját honlapján elhelyezett jelen adatkezelési tájékoztatójában az ügyfélszolgálati adatok kezelésével kapcsolatos tájékoztatást külön is megteszi.
- Az OTPM és az OTP Bank Nyrt. mindegyike a közös adatkezelések tekintetében külön-külön megfogalmazott adatkezelési tájékoztatójukat saját maguk külön-külön teszik közzé és juttatják el az érintetteknek.
- Az OTPM és az OTP Bank Nyrt. a közös adatkezeléssel érintett adatkezelések esetében közösen határozzák meg az adatkezelés célját és fő eszközeit a GDPR 26. cikk (1) bekezdésének megfelelően.
- Az érintett mindegyik közös adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja jogait.
- Az OTPM és az OTP Bank Nyrt. a hozzájuk beérkezett megkereséseket maguk, önállóan válaszolják meg a közösen elfogadott eljárásrendnek megfelelően.
- Az érintett adatainak helyesbítésére, törlésére, az adatkezelés korlátozására, az érintett adatai kezelése elleni tiltakozására és az adathordozhatóságra vonatkozó kérelmének teljesítése az OTPM és az OTP Bank Nyrt. részéről önállóan történik.
- A hatósági megkereséseket az OTPM és az OTP Bank Nyrt. saját maga válaszolja meg azon hatósági megkeresések esetén, amik tevékenységéhez kapcsolódnak.
- Az adatvédelmi incidenst az a közös adatkezelő jelenti be a hatóságnak, amelynek tevékenységét az incidens érinti.
- Az érintetteket az adatvédelmi incidensről az az adatkezelő tájékoztatja, amelynek a tevékenységét az adatvédelmi incidens érintette. Ha az adatvédelmi incidens mindkét adatkezelőt érintette, az incidensről az érintetteket az adatkezelők önállóan, külön-külön tájékoztatják.
- Az OTP Bank Nyrt. adatvédelmi tisztviselője: Xxxxxx Xxxxx, e-mail: xxxxxxxxxxx@xxxxxxx.xx, cím: 1051 Budapest, Nádor u. 16.
A GDPR 6. cikk (1) bekezdés f) pontja szerinti Jogos érdek megjelölése: a panasztétel, panasz kivizsgálása, elintézése és kezelése körében történő adatkezelés, beleértve a telefonhívások rögzítését is, a vevő, az OTPM és a Kereskedő közös érdeke, mivel ezen adatok kezelése a Honlap használatával, a vPOS kártyaelfogadási szolgáltatás igénybevételével, a vásárlási tranzakcióval összefüggő fogyasztóvédelmi, polgári jogi jogai és érdekei érvényesítéséhez szükséges. Ezen személyes adatok kezelése felett a vevő hangfelvételéhez kapcsolódó személyhez fűződő joga nem élvez elsőbbséget, mivel a személyhez fűződő joga nem sérül, hiszen a telefonhívás legelején, még a vevő megszólalása előtt tájékoztatást kap a vevő a hangfelvételes rögzítéséről, és módjában áll eldönteni, hogy ennek ellenére folytatja-e a telefonbeszélgetést vagy megszakítja azt. A telefonos ügyfélszolgálaton kívül az e-mailes ügyfélszolgálat ugyanolyan szolgáltatást és megoldást nyújt, vagyis van választási lehetőség a vevő panaszainak kivizsgálására.
A *-gal jelölt adatok megadása kötelező, anélkül az ügyfélszolgálat nem tudja rögzíteni a panaszt. A fenti jogos érdekeken alapuló adatkezelés ellen az érintett bármikor tiltakozhat.
A fenti jogos érdeken alapuló adatkezeléshez tartozó érdekmérlegelési teszteket az OTPM kérésre megküldi az érintettnek.
A fenti hozzájáruláson alapuló adatkezelés esetén az érintett bármikor jogosult visszavonni hozzájárulását az OTPM-nek küldött e-mailben: xxxxxxxxxxxxxxx@xxxxxx.xx és az OTPM-nek küldött postai levélben, valamint az IT körlevél alján biztosított leiratkozás gombra történő rányomással.
A fenti hozzájárulás megadása nem feltétele a Szerződés megkötésének, a hozzájárulás visszavonása pedig nincs jogi hatással a Szerződés hatályára.
4. Adattovábbítás, adatfeldolgozók
4.1. Adattovábbítás önálló címzettjei
Az OTPM a fenti személyes adatokat az alábbi önálló adatkezelőknek továbbítja:
a) Nemzetközi kártyatársaságok:
- MasterCard Europe S.P.R.L. (Xxxxxxxx xx Xxxxxxxx 000X X-0000, Xxxxxxxx, Xxxxxxx)
- Visa Europe Limited (0 Xxxxxxx Xxxxxx, Xxxxxx X0 0XX Xxxxxx Xxxxxxx) – Az Európai Bizottság GDPR 45. cikk (3) bekezdése alapján 2021. június 28-án hozott megfelelőségi határozata alapján.
b) Könyvvizsgáló: Ernst & Young Könyvvizsgáló Korlátolt Felelősségű Társaság (XX-0000 Xxxxxxxx, Xxxx xx 00.; g.: 01-09-267553) önálló adatkezelő
c) Ügyvédi irodák
4.2. Adatfeldolgozók
Az OTPM a fenti érintetti adatok kezelésébe az alábbi adatfeldolgozókat vonja be:
Adatfeldolgozó neve | Xxxxxxxxxxxxxx által végzett tevékenység |
OTP Bank Nyrt. Cg.: 00-00-000000 Székhely: 0000 Xxxxxxxx, Xxxxx x.00. | Fraud monitoring rendszer üzemeltetése Panaszkezelési szoftver és rendszer üzemeltetése Vállalatirányítási rendszer szolgáltatás biztosítása, üzemeltetése Könyvelés Authorizáció és authorizációs szoftver üzemeltetése Compliance feladatok támogatása szolgáltatás nyújtása |
Quadron Kibervédelmi Kft. Cg.: 00-00-000000 Székhely: 0000 Xxxxxxxx, Xxx xxxx 00-00. | Kiberbiztonsági és kibervédelmi szolgáltatás és tanácsadás Információbiztonsági felelős |
nConnect Hungary Kft. Cg.: 00-00-000000 Székhely: 0000 Xxxxxx, Xxxxxxx Xxxxx xxxx 00. | IT biztonsági tanácsadás, etikus hacker szolgáltatás |
Remedios Zrt. Cg.: 00-00-000000 Székhely: 000 Xxxxxxxx, Xxxxxx xxxx 00. | Szerver támogatás és karbantartás |
Innovitech Kft. Cg: 00-00-000000 Székhely: 0000 Xxxxxxxx, Xxxxxxxxxx xxxx 0. | Szoftverfejlesztési, ezzel kapcsolatos tanácsadási és az elkészített szoftverekkel kapcsolatos support szolgáltatás |
ITSEC Partner Bt. Cg.: 00-00-000000 Székhely: 2094 Nagykovácsi, Árvácska u. 2. | IT biztonsági tanácsadás, etikus hacker szolgáltatás |
Consroll Kft. Cg.: 00-00-000000 Székhely: Felsőtold, Xxxxxxxxx xxxx 00. | Belső ellenőrzés |
MORTOFF Informatikai Tanácsadó és Szolgáltató Kft. Cg.: 00-00-000000 Székhely: 1138 Budapest, Dunavirág u. 2. I. torony 3. em., | Adattárházi rendszer fejlesztése és támogatása |
Bitnet Group Kft. Cg.: 00-00-000000 Székhely: 0000 Xxxxxxxx, Xxxxxxx xx 00. | Szoftverfejlesztés, tanácsadás, támogatás |
5. Érintettek jogai
Az érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozó rendelkezései (így különösen a GDPR 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82. cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve az Adatkezelő ennek megfelelően nyújt tájékoztatást az érintettek részére az adatkezeléssel kapcsolatos jogaikról és jogorvoslati lehetőségeikről.
Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen az érintett joggyakorlással (lásd: GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő
meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
5.1 Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy visszajelzést kapjon az Adatkezelőtől arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett arra vonatkozó joga, hogy kérelmezheti a Munkáltatótól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; és
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal (GDPR 22. cikk (1) és (4)) ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
(3) Az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
5.2 A helyesbítéshez való jog
Az érintett jogosult arra, hogy az Adatkezelő az érintett kérésére indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Az érintett jogosult továbbá arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
5.3 A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő gyűjtötte vagy más módon kezelte;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és adott esetben nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatok jogellenesen kerültek kezelésre;
e) a személyes adatokat az Adatkezelőnek az alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; vagy
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a fentebb írtak értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megtesszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges, többek között:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;
c) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5.4 Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelés korlátozásának feloldásáról az Adatkezelő előzetesen tájékoztatja az érintett, akinek kérésére a fentiek alapján korlátozták az adatkezelést.
5.5 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
5.6 Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, ha:
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők (így az Adatkezelő és egyéb adatkezelő) közötti közvetlen továbbítását.
(3) A fentebb írt jog gyakorlása nem sértheti a törléshez való jog („elfeledtetéshez való jog”) vonatkozásában írt rendelkezéseket, továbbá e jog nem érintheti hátrányosan mások jogait és szabadságait.
5.7 A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen. Ebben az esetben a személyes adatokat az Adatkezelő nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
5.8 A felügyeleti hatóságnál történő panasztételhez való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint az érintettre vonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit. Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (weboldal: xxxx://xxxx.xx/; cím: 1055 Budapest, Xxxx Xxxxx u. 9-11.; postacím: 1363 Budapest, Pf.: 9.; telefon: x00-0-000-0000; fax: x00-0-000-0000; e-mail: xxxxxxxxxxxxxxx@xxxx.xx).
5.9 A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
5.10 Az Adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait.
(2) Az Adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az Adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is. Az ilyen per Magyarországon a törvényszék hatáskörébe tartozik. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A bíróság illetékességéről és elérhetőségeiről az alábbi honlapon tájékozódhat: xxx.xxxxxxx.xx.
6. Mikor és hogyan módosítjuk a jelen adatkezelési tájékoztatót?
Amennyiben a kezelt adatok köre, az adatkezelés többi körülménye változik, a jelen adatkezelési tájékoztatót a GDPR előírásainak megfelelően módosítjuk és közzétesszük a xxx.xxxxxxxxx.xx weboldalon. Kérjük, hogy minden esetben gondosan olvassa el az adatkezelési tájékoztató módosításait, mert fontos információkat tartalmaznak személyes adatai kezeléséről.