A K&H PÉNZFORGALMI SZOLGÁLTATÓ KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG ADATKEZELÉSI TÁJÉKOZTATÓJA
A K&H PÉNZFORGALMI SZOLGÁLTATÓ KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG ADATKEZELÉSI TÁJÉKOZTATÓJA
Hatályos: 2024. augusztus 1.
Tartalom
III. ADATVÉDELMI ALAPFOGALMAK 4
V. A TÁRSASÁG ÁLTAL VÉGZETT ADATKEZELÉSEK 5
VI. ADATÁTADÁS ÉS ADATTOVÁBÍTÁS 14
VII. A TÁRSASÁG ÁLTAL ALKALMAZOTT ADATBIZTONSÁGI INTÉZKEDÉSEK 16
VIII. AZ ÉRINTETTEK ADATVÉDELMI JOGAI ÉS JOGORVOSLATI LEHETŐSÉGEI 17
IX. A TÁRSASÁG MŰKÖDÉSÉBŐL EREDŐ ADATVÉDELMI SAJÁTOSSÁGOK 22
A K&H Pénzforgalmi Szolgáltató Korlátolt Felelősségű Társaság (székhely: 1095 Budapest, Xxxxxxx Xxxx fasor 9.; cégjegyzékszám: 01-09-338123) (a továbbiakban: „Társaság”) ügyfeleivel, ügyfelei kapcsolattartóival, marketing üzenetei címzettjeivel és létesítményei látogatóival, valamint egyéb érintettekkel („érintett(ek)”) kapcsolatban az EU 2016/679. számú Általános Adatvédelmi Rendelete („GDPR”) 4. cikk 1. xxxxxx szerint „személyes adatnak” minősülő információkat kezel. A jelen adatkezelési tájékoztató (a továbbiakban: „Tájékoztató”) ezen személyes adatok kezeléséről, valamint az érintettek adatkezeléssel kapcsolatos jogairól és jogorvoslati lehetőségeiről ad tájékoztatást.
A Társaság elérhetőségei:
Székhelye és levelezési címe: 0000 Xxxxxxxx, Xxxxxxx Xxxx xxxxx 0.
Cégjegyzékszáma: Cg. 00-00-000000, nyilvántartja a Fővárosi Törvényszék Cégbírósága
Telefonszáma: +36 1/20/30/70 335 3355
E-mail címe: xxxxx@xx.xx Weboldala: xxxxx://xxx.xxxxx.xx
Adatvédelmi tisztviselőjének neve és elérhetőségei: Dr. Xxxxxx Xxxxx Xxxxxx, xxxxxxxxxxxxxx_xxxxx@xx.xx
A TÁJÉKOZTATÓ FRISSÍTÉSE ÉS ELÉRHETŐSÉGE
A Társaság fenntartja a jogot, hogy jelen Tájékoztatót egyoldalúan, a módosítást követő hatállyal módosítsa, figyelemmel a vonatkozó jogszabályokban foglalt korlátozásokra, és szükség esetén az érintettek megfelelő időben történő előzetes tájékoztatásával. Jelen Tájékoztató módosítására különösen abban az esetben kerülhet sor, ha arra jogszabályváltozás, adatvédelmi hatósági gyakorlat, üzleti- vagy munkavállalói igény, illetve újonnan felfedezett biztonsági kockázat miatt szükség van.
AZ ÉRINTETTEK TÁJÉKOZTATÁSA
Az adatkezelés megkezdése előtt a Társaság egyértelmű és részletes tájékoztatást ad az adatkezeléssel kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat és mely adatkezeléssel kapcsolatos jogok és jogorvoslati lehetőségek illetik meg az érintettet.
A Társaság adatkezelésekre különösen az alábbi jogszabályok rendelkezései irányadóak:
- az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, (általános adatvédelmi rendelet) szóló, (EU) 2016/679 Rendelet („GDPR”),
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.),
- az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény (Fsztv.),
- a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (továbbiakban: Pmt.)
- 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól
- 2013. évi V. törvény a Polgári Törvénykönyvről
- az elektronikus hírközlésről szóló 2003. évi C. törvény (továbbiakban: Eht.)
- az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (továbbiakban: Eker. tv.)
- a számvitelről szóló 2000. évi C. törvény,
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (továbbiakban: Grt.)
- a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény. (továbbiakban: DM tv.)
- 19/2017. (VII. 19.) MNB rendelet a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény végrehajtásának az MNB által felügyelt szolgáltatókra vonatkozó, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól.
Ügyfél: az az Érintett, aki a Társaságtól pénzforgalmi szolgáltatást vesz igénybe.
Fizetési titok: minden olyan, az egyes ügyfelekről a pénzforgalmi intézmény, elektronikuspénz- kibocsátó intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzforgalmi intézménnyel, elektronikuspénz-kibocsátó intézménnyel kötött szerződéseire vonatkozik. A fizetési titokra vonatkozó szabályokat alkalmazni kell arra a személyre is, aki szolgáltatás igénybevétele céljából lép kapcsolatba a pénzforgalmi intézménnyel, de a szolgáltatást nem veszi igénybe.
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve
- azonosítható természetes személy.
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító.
Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat jogszabály is meghatározhatja.
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Harmadik ország: minden olyan állam, amely tagja az Európai Gazdasági Térségnek (EGT).
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.
Törvényi megfelelés
Az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges, mint pl.: bizonylatok megőrzésére vonatkozó kötelezettség a 2000. évi C. törvény 169. § alapján, vagy az ügyfél- átvilágítási intézkedések során a Társaság birtokába jutó személyes adatok megőrzésére vonatkozó kötelezettség a 2017. évi LIII. törvény 56. §-a alapján.
Érintett hozzájárulása
Az adatkezeléshez való hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel félreérthetetlenül jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. A Társaság kifejezetten felhívja az érintettek figyelmét, hogy ha a személyes adatok kezelése az érintett hozzájárulásán alapszik, az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ha az érintett visszavonja hozzájárulását, akkor a Társaság a személyes adatokat abból a célból, amire a hozzájárulás vonatkozott, a továbbiakban nem kezeli. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
Jogos érdek
A Társaság oldalán fennálló, az adatkezelés jogszerűségét megalapozó, jogszerű, érdekmérlegelésre alkalmas módon kifejezett, valóságos és létező érdek.
Szerződés teljesítése
Amennyiben az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik, és a Társaság a másik fél, vagy személyes adatok kezelése szerződéskötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, a Társaság adatkezelésének jogalapja a szerződés teljesítéséhez szükséges adatkezelés.
V. A TÁRSASÁG ÁLTAL VÉGZETT ADATKEZELÉSEK
1. Kereskedői érdeklődés:
A Társaság weboldalán található online felületen (xxxxx://xxx.xxxxx.xx/xxxxxxxxxx-xxxxxxxxxx) az érdeklődő természetes-és jogi személyek (a továbbiakban: Érdeklődő) kapcsolatfelvételt kezdeményezhetnek a Társasággal. A kereskedői regisztráció kitöltése és elküldése esetén a Társaság üzletkötői felveszik az Érdeklődővel a kapcsolatot üzleti ajánlatunk bemutatása céljából. A Társaság kereskedői érdeklődés esetén a hatályos jogszabályok betartása mellett a jelen Adatvédelmi Tájékoztatóban foglaltak szerint az előregisztráció során megadott személyes és nem személyes adatokat kezel.
Az adatkezelés célja: a Társaság honlapján kapcsolatfelvételt kezdeményező potenciális ügyfelek és/vagy kapcsolatartójuk azonosítása, számukra szerződéses ajánlat készítése.
Az adatkezelés jogalapja: az Érdeklődő természetes személy, vagy az Érdeklődő jogi személy nevében eljáró természetes személy kapcsolattartó hozzájárulása, mely bármikor, indokolás nélkül visszavonható.
Kezelt személyes adatok köre: a potenciális ügyfél és/vagy kapcsolattartójának neve, mobiltelefon száma és e-mail címe, továbbá minden olyan személyes adat, amelyet az érintett és/vagy kapcsolatartója a visszahívás kérésével kapcsolatosan a Társaság tudomására hoz.
Az adatkezelés időtartama: a hozzájárulás visszavonásáig, illetve az érintettel való kapcsolatfelvételtől számított 30 nap.
Közreműködő adatfeldolgozó: XxxxxXxxxx.xxx Zrt.
2. Ügyfél-átvilágítási intézkedések:
Jogszabály által elrendelt ügyfél-azonosítás, kockázati besorolás, és tényleges tulajdonos megállapítása; rendelkezésre-, illetve képviseletre jogosult személyek, valamint a meghatalmazottak azonosítása.
Az adatkezelés célja: A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (“Pmt.”) szerinti ügyfél-átvilágítási intézkedések elvégzése.
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: Név, Születéskori név, Születési hely, Születési idő, Anyja leánykori neve, Állampolgárság, Állandó lakcím, Azonosító okmány adatai, Azonosító okmány típusa, Azonosító okmány másolata, vagyon- és pénzeszköz forrása, tényleges tulajdonosi nyilatkozat, kiemelt közszereplői nyilatkozat, érintett aláírása
Az adatkezelés időtartama: az üzleti kapcsolat megszűnésétől számított 8 év, hatósági megkeresés esetén legfeljebb 10 év
Közreműködő adatfeldolgozó: K&H Bank Zrt., Bankovní informační technologie s.r.o., Československá obchodní banka, a. s., CRIF - Czech Credit Bureau
3. Szerződéskezelés:
A Társaság a fizetési kártya-elfogadói hálózatához csatlakozni kívánó kereskedőkkel szerződést köt mellyel kapcsolatban a kereskedő, illetve a szerződésben említésre kerülő kapcsolattartók személyes adatait kezeli.
Az adatkezelés célja: Szerződéses jogviszony létrehozása és szerződés illetve szolgáltatás teljesítése
Az adatkezelés jogalapja: Szerződés teljesítése
Kezelt személyes adatok köre: Természetes személy ügyfél esetén név, székhelycím, levelezési cím, nyilvántartási szám, adószám, számlaszám; Jogi személy ügyfelekhez kapcsolódó természetes személyek vonatkozásában név, beosztás, vezetékes telefonszám, mobiltelefonszám, email cím
Az adatkezelés időtartama: A szerződéses jogviszony időtartama alatt
Közreműködő adatfeldolgozó: K&H Bank Zrt., Bankovní informační technologie s.r.o.
4. Ügyfelekkel való kapcsolattartás:
A Társaság az ügyfelek részéről telefonon, e-mailben vagy személyesen érkező bejelentései, kérelmei és más beadványai, érkeztetése és megválaszolása során, valamint technikai támogatás biztosítása érdekében az ügyfelek, illetve kapcsolattartói adatait kezeli.
Az adatkezelés célja: Ügyfelekkel való kapcsolattartás
Az adatkezelés jogalapja: Szerződés teljesítése
Kezelt személyes adatok köre: Név, mobiltelefonszám, email cím
Az adatkezelés időtartama: A szerződéses jogviszony időtartama alatt
Közreműködő adatfeldolgozó: Bankovní informační technologie s.r.o.
5. Hírlevél küldése:
A Társaság a xxx.xxxxx.xx honlapon regisztráló személyek – a regisztráció során megadott – adatait a hatályos jogszabályi előírásoknak megfelelően kezeli, illetve használja fel annak érdekében, hogy ajánlatait, reklámjait személyre szabottan juttathassa el a regisztrálóknak. Hírlevélről leiratkozni szintén a honlapon vagy bármely hírlevél alján elhelyezett „Leiratkozom" linken, illetve honlapon megadott kapcsolattartási elérhetőségeken (xxxxx://xxx.xxxxx.xx/xxxxxx) keresztül lehetséges.
Az adatkezelés célja: ajánlatok, cikkek küldése, a Társaság gazdasági reklámját is tartalmazó hírlevél küldése.
Az adatkezelés jogalapja: az érintett hozzájárulása, mely bármikor, indokolás nélkül visszavonható.
Kezelt személyes adatok köre: regisztráló neve és e-mail címe, a hírlevél küldéséhez adott hozzájárulás ténye (csatornái), fel- és leiratkozási adatok, üzenetek kézbesíthetőségére, megnyitására vonatkozó elsődlegesen analitikai adatok.
Az adatkezelés időtartama: a hozzájárulás visszavonásig.
Közreműködő adatfeldolgozó: az XXXXX.xxxxx Korlátolt Felelősségű Társaság. Az XXXXX.xxxxx Korlátolt Felelősségű Társaság alvállalkozója (al-adatfeldolgozó) az INTEGRITY Kft., amely szerver- szolgáltatást végez.
6. Panaszkezelés
A Társaság a panaszügyintézés során tudomására jutott személyes adatokat a panaszkezelés érdekében kezeli, és az ügyfelek panaszairól, valamint az azok rendezését, megoldását szolgáló intézkedésekről nyilvántartást vezet. Amennyiben a panaszokhoz az ügyfél olyan iratot vagy adatot csatol, amelynek kezelésére a Társaság nem jogosult, az a benyújtó részére visszaküldésre kerül.
Az adatkezelés célja: a panaszügyek kivizsgálása, megválaszolása
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: az ügyfél neve, mobiltelefonszáma és e-mail címe, az ügyfél képviseletében eljáró személy vezeték- és keresztneve, telefonon közölt panasz hangfelvétele, továbbá minden olyan személyes adat, amelyet az ügyfél a panasszal kapcsolatosan a Társaság tudomására hoz, illetve a panasz kivizsgálásához szükséges mértékben a Társasággal kötött szerződéssel kapcsolatos személyes adatok.
Az adatkezelés időtartama: a Társaság a panaszt és az arra adott választ (írásbeli dokumentumok), valamint a telefonon közölt panasz hangfelvételét 5 évig őrzi meg.
7. Kivonatok, számlaértesítő levelek kiküldése:
Szerződéses jogviszonyból származó kivonatok és számlaértesítők Ügyfelek részére történő eljuttatása.
Az adatkezelés célja: kivonatok, számlaértesítő levelek kiküldése
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: az ügyfél neve, székhely- és levelezési cím Az adatkezelés időtartama: kivonatok, számlaértesítő levelek kiküldéséig Közreműködő adatfeldolgozó: XEROX Magyarország Kft.
8. Pénzmosás megelőzéssel összefüggő hatósági bejelentés
A Társaság a Pmt. vonatkozó rendelkezése értelmében pénzmosás és terrorizmusfinanszírozás dolog büntetendő cselekményből való származására utaló adat, tény, körülmény (a továbbiakban együtt: bejelentés alapjául szolgáló adat, tény, körülmény) felmerülése esetén bejelentést tesz, valamint pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adatot, tényt, körülményt bejelent a Nemzeti Adó- és Vámhivatal Központi Irányítás Pénzmosás és Terrorizmusfinanszírozás Xxxxxx Xxxxx részére
Az adatkezelés célja: Pénzmosás és terrorizmusfinanszírozás megelőzéssel kapcsolatos bejelentések megtétele
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: Név, Születési név, Anyja leánykori neve, Születési hely, Születési idő, Állandó lakcím, Tartózkodási hely, Állampolgárság, Azonosító okmányok típusa és száma
Az adatkezelés időtartama: a bejelentés megtételét követően 8 évig
9. Csalásmegelőzés:
A Társaság e körben a személyes adatokat és az abból kinyert információkat a jogszabály által előírt ellenőrző, megelőző, feltáró és kivizsgáló jellegű intézkedések elvégzéséhez, valamint egyéb kötelezettségek teljesítése érdekében kezeli. (i) Csalások és/vagy etikátlan magatartások: a tevékenységek során a Társaság felhasználhatja a csalásmegelőző profilkészítési folyamat eredményeként előálló profiladatokat. A folyamat keretében a Társaság munkavállalói, a meglevő ügyfelek, a potenciális ügyfelek és bármely más, a Társasággal vagy ügyfeleivel szemben csalási szándékkal fellépő személyek által végrehajtott vagy megkísérelt csalások ellenőrzése és
megelőzése történik, ideértve a visszaélések bejelentésének (whistleblowing) folyamatát és a normál engedélyezési eljárás során elvégzett kiegészítő ellenőrzéseket is. (ii) Fizikai és digitális biztonság: e körben a Társaság az ún. beszivárgást, a Társaság elleni támadásokat és a kiszivárogtatást (adatszivárgást) ellenőrzi és vizsgálja ki, amelyek kárt okozhatnak a Társaságnak, a Társaság munkavállalóinak vagy ügyfeleinek.
Az adatkezelés célja: Csalásmegelőzés, chargeback kezelés
Az adatkezelés jogalapja: jogi és szerződéses kötelezettség teljesítése
Kezelt személyes adatok köre: Ügyfél (kapcsolattartó) adatai: Név, e-mail cím, telefonszám, levelezési cím. Kártyabirtokos adatai: név, cím, e-mail cím
Az adatkezelés időtartama: Csalások, bejelentések kivizsgálását követ öt év
10. Szerződési feltételek előzetes ellenőrzése:
A Társaság az üzleti kapcsolat jellegéből (pl. hotel, autókölcsönző szolgáltatás) adódó lehetséges kintlévőségek (szobafoglalás törlése) biztosítása céljából ellenőrzi az ügyfél más pénzügyi intézményekkel szemben fennálló kötelezettségeit.
Az adatkezelés célja: Az ügyféllel szemben felmerülő financiális kockázatok felmérése
Az adatkezelés jogalapja: szerződéses teljesítése
Kezelt személyes adatok köre: Név, Születéskori név, Anyja leánykori neve, Állandó lakcím, Levelezési cím, Születési hely, Születési idő, Email cím, Állampolgárság, Azonosító okmány adatai, Hitel adatok
Az adatkezelés időtartama: feltételek értékelését követően azonnal
Közreműködő adatfeldolgozó: BISZ Központi Hitelinformációs Zrt.
11. Hatóságok által érkezett megkeresések megválaszolása
A Társaság részére a különböző nemzeti, illetve nemzetközi hatóságok részéről érkező megkereséseket a Társaság a hatóság által megadott adattartalommal és határidőben köteles megválaszolni.
Az adatkezelés célja: hatósági megkeresések kiszolgálása
Az adatkezelés jogalapja: törvényi kötelezettség teljesítése
Kezelt személyes adatok köre: a hatósági megkeresésben megjelölt adatok
Az adatkezelés időtartama: a Társaság a megkeresést és az arra adott választ a válaszadástól számított egy évig őrzi meg
Közreműködő adatfeldolgozó: TMF Hungary Kft.
12. A Társaság jogainak gyakorlása és védelme:
Az adatkezelés a Társaság jogi igényeinek előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, ideértve a bírósági és hatósági eljárások kezdeményezését, jogi szakértők és jogi képviselők igénybevételét.
Az adatkezelés célja: jogi igények előterjesztése, érvényesítész, illetve védelme
Az adatkezelés jogalapja: a Társaság jogos érdeke
Kezelt személyes adatok köre: jogi igények előterjesztése, érvényesítész, illetve védelme szempontjából releváns adatok
Az adatkezelés időtartama: a szerződés megszűnését követő 5 éven belül, valamint jogi eljárás esetén az eljárás iratai és adatai tekintetében az eljárás jogerős lezárásától számított 5 éven belül
13. Elszámolási tevékenység végzése:
A Társaság közvetlen üzleti tevékenysége az ügyfeleivel kötött szerződés értelmében a Társaság fizetési kártya elfogadásával hálózatába tartozó virtuális és fizikai terminálok útján kezdeményezett tranzakciókat az ügyfél felé elszámolja. E tevékenység keretében a Társaság a tranzakciók elszámolásához szükséges személyes adatokat kezeli.
Az adatkezelés célja: bankkártyával végzett tranzakciók elszámolása
Az adatkezelés jogalapja: szerződéses kötelezettség teljesítése
Kezelt személyes adatok köre: Ügyfél (kapcsolattartó) adatai: Név, e-mail cím, telefonszám, levelezési cím; Kártyabirtokos adatai: kártyaszám, kártya lejárati dátum, CVV/CVC kód, név"
Az adatkezelés időtartama: tranzakciót követő nyolc évig
Közreműködő adatfeldolgozó: NEXI/SIA S.p.A.; Global Payments Europe, s.r.o.
14. Iktatás
A Társaság a jogszabályi előírások és tevékenységének adminisztrálása érdekében belső iratkezelési és irattározási rendszer üzemeltet, melynek során személyes adatokat is tartalmazó dokumentumokat tárol.
Az adatkezelés célja: iktatás
Az adatkezelés jogalapja: törvényi kötelezettség teljesítése (pl. 2017. évi LIII. tv.)
Kezelt személyes adatok köre: Név, Dokumentumokhoz kapcsolódó egyéb leíró adatok
Az adatkezelés időtartama: a vonatkozó jogszabályokban előírt határidő pl. 2017. évi LIII. tv. alapján 8 év)
15. Szállítói szerződéskezelés
A Társaság a szállítóival kötött szerződései nyilvántartása érdekében a vonatkozó szerződéseket, azok adatait, közöttük a partner és a kapcsolattartók személyes adatait tárolja.
Az adatkezelés célja: szállítói szerződések kezelése
Az adatkezelés jogalapja: szerződés teljesítése, továbbá a Társaság jogos érdeke a kapcsolattartók személyes adatai vonatkozásában
Kezelt személyes adatok köre: Név, illetve a szerződésekben feltüntetett egyéb személyes adatok (pl.: kapcsolattartók elérhetőségei)
Az adatkezelés időtartama: a szerződés megszűnését követő 5 évig
16. Piackutatás; termékekre, szolgáltatásokra vonatkozó kutatás, ügyfélvélemény kérés
A Társaság meg kívánja ismerni ügyfelei véleményét szolgáltatásnyújtásával kapcsolatban annak érdekében, hogy a visszajelzések alapján meglévő termékeit, szolgáltatásait javítani és fejleszteni tudja, továbbá olyan jövőbeli termékeket és szolgáltatásokat tudjon kialakítani, amelyek mindinkább megfelelnek ügyfelei igényeinek. A fentiek érdekénben a Társaság fel kívánja keresni ügyfeleit, ideértve ügyfelei vonatkozásában nyilvántartott kapcsolódó természetes személyeket (kapcsolattartókat) is.
Az adatkezelés célja: ügyfél-visszajelzések megismerése a Társaság termékeinek és szolgáltatásainak javítása és fejlesztés céljából
Az adatkezelés jogalapja: a Társaság jogos érdeke
Az érintettek köre: az ügyfelek kapcsolattartói
Kezelt személyes adatok köre: az ügyfelek kapcsolattartóira vonatkozó alapadatok, jellemzően: név, e-mail cím, telefonszám, levelezési cím
Az adatkezelés időtartama:
• A megkereshetőség vonatkozásában: az ügyfélkapcsolat fennállása alatt, de legfeljebb az ügyfele kutatási tárgyú megkeresésekkel szembeni tiltakozása, vagy a kapcsolattartó, mint érintett adatkezeléssel szemben kifejezett tiltakozásáig
• A megkeresettek visszajelzései vonatkozásában: a megkeresettek visszajelzései hozzájárulásuk esetén kerülnek összekapcsolásra az ügyfél adataival, amely az érintettek hozzájárulásának visszavonásáig, vagy az ügyfél törlésre irányuló kérelme időpontjáig áll fenn
• Közreműködő adatfeldolgozó vonatkozásában: legfeljebb az adott megkeresési kampányok lezárását követő 90 napig
Közreműködő adatfeldolgozó: a Társasággal megbízási jogviszonyban álló, piackutatási tevékenységet ellátó vállalkozások
Fontos: az adatkezeléssel szemben az érintett bármikor – indokolás és korlátozás nélkül –
tiltakozhat
17. Online szerződés-előkészítéshez kapcsolódó adatkezelések
A Társaság honlapján az érdeklődő természetes-és jogi személyeknek (a továbbiakban: Érdeklődő) lehetőségük van jelezni kártyaelfogadói szerződéselőkészítésre vonatkozó igényüket online űrlap kitöltésével és Társaság részére való beküldésével. Sikeres igénybenyújtás esetén a Társaság megkezdi az igény feldolgozását, a szerződéshez megadott adatokat ellenőrzik, a hiányzó adatokról tájékoztatja az Érdeklődőt, majd jóváhagyás után továbbítja az igényt az Érdeklődő által megjelölt K&H bankfiók munkatársai számára a szerződéskötés lebonyolítása céljából.
A Társaság az „online szerződés-előkészítés” űrlap - személyes és nem személyes adatokat is tartalmazó - adattartalmát az adatrögzítő személy kapcsolattartási e-mail címe megadásától
kezdve rögzíti, és a hatályos jogszabályok betartása mellett kezeli. A Társaság az adott folyamattal kapcsolatban több adatkezelést is végez:
- a Társaság ellenőrzi a megadott e-mail cím alapján, hogy tartozik-e folyamatban lévő igénylés
az e-mail címhez, és amennyiben igen, felajánlja a korábbi igénylés folytatását
- emlékeztető e-mailt küld folyamatban lévő igénylés, valamint tájékoztató e-mailt igénybefogadás esetén
- adószám megadása esetén a Társaság az űrlap kitöltésének meggyorsítása és az Érdeklődő kényelme céljából az Opten Kft. céginformációs szolgáltatásának igénybevételével a cégnyilvántartásba bekérdezést végez és onnan cégadatokat vesz át
- igénybenyújtás esetén a Társaság elbírálja a szerződéskötési igényt, és pozitív döntés esetén előkészíti a szerződést
- az Érdeklődő által megjelölt K&H bankfiók munkatársa a cégképviseletre jogosult személyt a vonatkozásában megadott elérhetőségeken keresi ügyfélazonosítás és a szerződés aláírása céljából
Az adott pont szerinti adatkezelések a szerződés megkötéséig tartanak, az azt követő adatkezelésre az adott fejezet 3. pontjában írtak vonatkoznak.
a) Folyamatban lévő igénylés ellenőrzése, annak folytatását biztosító link (hivatkozás) küldése
e-mailben
Az adatkezelés célja: folyamatban lévő igénylés folytatásának biztosítása. A Társaság ellenőrzi a megadott e-mail cím alapján, hogy tartozik-e folyamatban lévő igénylés az e-mail címhez, és amennyiben igen, felajánlja a korábbi igénylés folytatását. Amennyiben az Érdeklődő a korábbi igénylés folytatása mellett dönt, a Társaság az űrlap kitöltésének folytatását biztosító linket (hivatkozást) küld e-mailben az Érdeklődő részére. Az e-mail címre küldött üzenetben elhelyezett linkre (hivatkozásra) kattintva folytatható az igényléshez szükséges adatrögzítés.
Az adatkezelés jogalapja: a Társaság jogos érdeke a GDPR 6. cikk (1) f) pontja alapján (jogos érdek)
Kezelt személyes adatok köre: az adatrögzítő személy által kapcsolattarásra megadott e-mail cím
Az adatkezelés időtartama: a megküldött link az e-mail cím rögzítését követő 14 napig él, azaz az adatbevitel folytatása az online űrlap utolsó mentett állapotától, de csak az e-mail cím rögzítésétől számítva 14 napon belül van lehetőség. Az online szerződés előkészítési folyamattal kapcsolatos adatokat annak véglegesítése és beküldésének elmaradása esetén a Társaság az e-mail cím rögzítésének dátumát követő 30 naptári napig kezeli.
Közreműködő adatfeldolgozó: XxxxxXxxxx.xxx Zrt. az online űrlap üzemeltetése vonatkozásában
b) Tájékoztató e-mailek küldése
Az adatkezelés célja: a kitöltésre nyitva álló határidő lejártát 3 nappal megelőzően a Társaság emlékeztető e-mailt küld az Érdeklődő részére, amelyben felhívja a figyelmét az adatbevitel folytatásának lehetőségére és a korábban megküldött link érvényességi idejére. A Társaság ezen túlmenően az Érdeklődőt e-mail útját tájékoztatja igénylése befogadásáról tájékoztatása céljából.
Az adatkezelés jogalapja: a Társaság jogos érdeke a GDPR 6. cikk (1) f) pontja alapján (jogos érdek) Kezelt személyes adatok köre: az adatrögzítő személy által kapcsolattarásra megadott e-mail cím Az adatkezelés időtartama: a tájékoztató e-mailek egy alkalommal kerülnek kiküldésre
Közreműködő adatfeldolgozó: XxxxxXxxxx.xxx Zrt. az online űrlap üzemeltetése vonatkozásában
c) Cégnyilvántartásba bekérdezés adószám alapján
Az adatkezelés célja: adószám megadása esetén a Társaság az űrlap kitöltésének meggyorsítása és az Érdeklődő kényelme céljából az Opten Kft. céginformációs szolgáltatásának igénybevételével a cégnyilvántartásba bekérdezést végez és onnan cégadatokat vesz át
Az adatkezelés jogalapja: a Társaság jogos érdeke a GDPR 6. cikk (1) f) pontja alapján (jogos érdek)
Kezelt személyes adatok köre: jogi személy ügyfelekhez kapcsolódó természetes személyek vonatkozásában titulus, vezetéknév, keresztnév, szerepkör a közhiteles cégadatokon túlmenően
Az adatkezelés időtartama: az igénylési folyamat véglegesítése és beküldésének elmaradása esetén az e-mail rögzítését követő 30 naptári nap, igénybenyújtás esetén a szerződéselőkészítésre vonatkozó igény feldolgozása és elbírálása adatkezelésnél írtak szerint
Közreműködő adatfeldolgozó: XxxxxXxxxx.xxx Zrt. az online űrlap üzemeltetése vonatkozásában
d) Szerződés-előkészítésre vonatkozó igény feldolgozása és elbírálása
Az adatkezelés célja: az Érdeklődők kártyaelfogadói szerződéselőkészítésre vonatkozó igényük befogadása, elbírálása, az esetleges hiányokról, valamint a szerződéskötést célzó további lépésekről való tájékoztatás
Az adatkezelés jogalapja: a GDPR 6. cikk (1) b) pontja alapján (a szerződés megkötését megelőzően az érintett kérésére történő lépések megtétele)
Kezelt személyes adatok köre:
- az adatrögzítő személy kapcsolattarásra megadott e-mail címe
- az elfogadóhely(ek) kapcsolattartóira vonatkozó alábbi adatok: titulus, vezetéknév, keresztnév, vezetékes és mobil telefonszám, e-mail cím
- VPOS szolgáltatás igénylése esetén:
o technikai kapcsolattartó e-mail címe
o elfogadóhely kapcsolattartójára vonatkozó alábbi adatok: titulus, vezetéknév, keresztnév, vezetékes és mobil telefonszám, e-mail cím
o szoftverfejlesztőre vonatkozó alábbi adatok: titulus, vezetéknév, keresztnév, vezetékes és mobil telefonszám, e-mail cím
- kapcsolódó magánszemélyekre vonatkozó alábbi adatok: szerepkör (kapcsolattartó személy, képviselő, meghatalmazott, K&H POS24 felhasználó, tényleges tulajdonos), titulus, vezetéknév, keresztnév, beosztás, születési név, állampolgárság, születési dátum, születési hely, édesanyja leánykori neve, elérhetőségi címadatok, vezetékes és mobil telefonszám, e-mail cím)
- képviselő aláírási címpéldánya
Az adatkezelés időtartama: a szerződés-előkészítésre vonatkozó igény elutasításáig, vagy jóváhagyása esetén a szerződéskötés időpontjáig
Kapcsolódó adatkezelés időtartama: elutasított igénylés, illetve meghiúsult szerződéskötés esetén az elutasítástól, ill. meghiúsulástól számított 5 évig (GDPR 6. cikk (1) f) alapján)
Közreműködő adatfeldolgozó: XxxxxXxxxx.xxx Zrt. az online űrlap üzemeltetése vonatkozásában
VI. ADATÁTADÁS ÉS ADATTOVÁBÍTÁS
1. Az adattovábbítás, adatátadás feltételei
A személyes adatot a Társaság akkor továbbít, ha ahhoz az Érintett hozzájárult, vagy törvény azt megengedi vagy előírja. A Társaság törvény felhatalmazása alapján jogosult az Érintett szerződéseivel kapcsolatosan nyilvántartott adatait kockázatkezelés, statisztikai elemzés, ellenőrzés, valamint bírósági perek nyilvántartása céljából a Társaság minősített befolyással rendelkező tulajdonosa, a Československá obchodní banka, a. s. (Xxxxxxxx 000/000 00000 Xxxxxx 0, Xxxx Xxxxxxxxxxx) számára átadni. EGT-államba irányuló adattovábbítást a hatályos adatvédelmi jogszabályok alapján úgy kell tekinteni, mintha Magyarország területén belül történne az adattovábbítás.
A Társaság személyes adatot nem EGT-államba (harmadik országba) csak akkor továbbít, ha ehhez az Érintett kifejezetten hozzájárult, vagy az adatkezelésnek a jogszabályokban előírt feltételei teljesülnek, és a harmadik országban biztosított a személyes adatok megfelelő szintű védelme.
Harmadik személy részére történő adatátadásra kizárólag törvény alapján (pl. az Fsztv. 60-64. §- aiban, illetve a Központi Hitelinformációs Rendszerről szóló 2011. évi CXXII. törvényben szereplő esetekben), az Érintett hozzájárulása nélkül is sor kerülhet.
2. Adatfeldolgozás
A Társaság által megbízott adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelésre vonatkozó törvények keretei között a Társaság határozza meg. Az általa adott utasítások jogszerűségéért a Társaság felel. Az adatfeldolgozó tevékenységének ellátása során a Társaság rendelkezése szerint vehet igénybe további adatfeldolgozót. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni. Az adatfeldolgozásra vonatkozó szerződést a Társaság írásba foglalja. Az adatfeldolgozással nem bíz meg olyan szervezetet, amely a Társaság üzleti tevékenységben érdekelt.
A Társaság által igénybe vett adatfeldolgozók listáját az alábbi táblázat tartalmazza.
XEROX Magyarország Kft. (0000 Xxxxxxxx, Xxxxxxxxxx xx 00-00) | Xxxxxxxxx, számlaértesítő levelek és egyéb nyomtatványok nyomtatása, borítékolása és a borítékolt számlakivonatoknak a Magyar Posta részére történő átadása. |
K&H Csoportszolgáltató Központ Kft. (0000 Xxxxxxxx, Xxxxxxx Xxxx xxxxx 0.) | A Társaság expedíciós (küldemények átvétele, feldolgozása, rendeltetési helyre történő eljuttatása, belső iratforgalom biztosítása stb.) tevékenységének ellátása. |
NEXI/SIA S.p.A. (Olaszország, Xxx Xxxxx 00, X00000 Xxxxx) | A Társaság és elfogadói kártyaelszámolási tevékenységének és kiegészítő tevékenységének ellátása. |
XXXXX.xxxxx Kft. (0000 Xxxxxxxx, Xxxxx xxxx 0-0/X 0. em. 10.) Al-adatfeldolgozók: INTEGRITY Kft. | Tömeges e-mail-küldési szolgáltatás a feliratkozottak részére. |
(8000 Székesfehérvár, Gyetvai u 6.) | |
K&H Bank Zrt. (0000 Xxxxxxxx, Xxxxxxx Xxxx xxxxx 0.) | Call center tevékenységek. |
K&H Bank Zrt. (0000 Xxxxxxxx, Xxxxxxx Xxxx xxxxx 0.) | IT üzemeltetési szolgáltatások (hardver, szoftver, hálózat, nyomtatás, szkennelés, telefon szolgáltatások, GIRO vonal). |
KBC Global Services NV (Shared Service Center Brno) Cseh Köztársaság, Xxxxxxxx 000/000 000 00 Xxxxx 0 | Meglévő ügyfelek nemzetközi szankciós (embargó) listákon történő ellenőrzéséhez igénybe vett rendszer üzemeltetése, elsődleges vizsgálat elvégzése. |
CRIF - Czech Credit Bureau Cseh Köztársaság, Štětkova 1638/18, 140 00 Praha 4 | A leendő és meglévő ügyfelek pénzmosás és terrorizmus finanszírozás megelőzéssel kapcsolatos ellenőrzéséhez igénybe vett rendszer üzemeltetése. |
Československá obchodní banka, a. s. Cseh Köztársaság, Xxxxxxxx 000/000 000 00 Xxxxx 0 | A leendő és meglévő ügyfelek pénzmosás és terrorizmus finanszírozás megelőzéssel kapcsolatos ellenőrzéséhez igénybe vett rendszer üzemeltetése. |
XxxxxXxxxx.xxx Zrt. (0000 Xxxxxxxx, Xxxxxxx xxxx 00-00.) | A Társaság honlapjának (ideértve a chat-funkciót is) üzemeltetése. |
Global Payments Europe, s.r.o. (Cseh Köztársaság, V Olšinách 626/80, Strašnice, 100 00 Prague 10) | Bánkkártyával végzett tranzakciók engedélyezése. |
Bankovní informační technologie, s.r.o. (Cseh Köztársaság, Xxxxxxxx 000/000 000 00 Xxxxx 0) Al-adatfeldolgozók: Monet+ a.s. (763 14 Zlín, Za Dvorem 505, Cseh Köztársaság) DabiS Group s.r.o (Xxxxxxxxx 0000/00, 000 00 Xxxxx, Xxxx Xxxxxxxxxxx) | Informatikai rendszerek üzemeltetése és karbantartása. |
TMF Magyarország Kft. (0000 Xxxxxxxx, Xxxxxxxx xxxx 00. B. ép. 13. em.) Al-adatfeldolgozók: Manage IT d.o.o. (00000 Xxxxxxx, Xxxxxxxx 0. Szerbia) Xxxxx Xxxxxx Xxxxxx EV (0000 Xxxxxxxx, Xxxxxxx xxxx 00. IV. em. 4.) Kis-Xxxxx Xxxxx EV (0000 Xxxx, Xxxxxxxx Xxxxx xx 0. 2. em. 7.) Microsoft Limited (Microsoft Campus, Thames Valley Park, Reading, Berkshire, RG6 1WG, United Kingdom) | Számviteli, adóügyi és bérszámfejtési tevékenység. |
CARDNET Zrt. (0000 Xxxxxxxx, Xxxxxxx Xxxxxx xxxx 00- 00.) Al-adatfeldolgozók: Pandant TMSZ Kft. | POS terminál üzemeltetés. |
(0000 Xxxxxxxx, Xxxxxxxxxxx xx 0.) | |
UNICOMP Kft. (0000 Xxxxxxxxxxxxxx, Xxxxxxxx xxxx 0.) | POS terminál üzemeltetés. |
3. Kiszervezés
A Társaság az Fsztv. 14. §-a alapján – az adatvédelmi előírások betartása mellett – tevékenységének bármely elemét kiszervezheti, vagyis azok végzésével más szervezetet bízhat meg.
A Társaság által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző részére nem jelenti a fizetési titok sérelmét.
A Társaság biztosítja, hogy e szervezetek gondoskodjanak az érintett adatainak az adatvédelemre, fizetési titokra vonatkozó jogszabályokban meghatározott feltételeknek megfelelő biztonságos kezeléséről.
A Társaság részére kiszervezett tevékenységet végzők jegyzéke a Társaság honlapján, a
„dokumentumok” menüpont, „egyéb dokumentumok” almenüpont alatt érhető el.
VII. A TÁRSASÁG ÁLTAL ALKALMAZOTT ADATBIZTONSÁGI INTÉZKEDÉSEK
1. Az adatvédelmi incidensek és adatvédelmi nyilvántartás kezelésének IT támogatása
Ennek keretében rendszeres önellenőrzések folytatása, amelynek során a Társaság ellenőrzi, hogy IT rendszerének működése és az irányadó vállalati előírások megfelelnek-e a jogszabályi előírásoknak. Az önellenőrzés keretében a megfelelőség felülvizsgálatán kívül a Társaság a technológiai ellenálló képességet is teszteli (IT biztonsági felülvizsgálat). A Társaság rendszeresen elemzi az IT rendszerekben feldolgozott és tárolt adatok nyilvántartását (IT biztonsági vagyonleltár), és az azokat fenyegető IT biztonsági kockázatokat.
2. Azonosítási rendszerek
A Társaság a rendszereihez hozzáférő felhasználókat azonosítja, és a hozzáférési jogosultságok felügyeli. A Társaság központi címtár rendszert, továbbá elektronikus aláírásokat (azonosításra, aláírásra, titkosításra) alkalmaz a felhasználói jogosultságok ellenőrzése érdekében, a Társaság emellett elosztott jogosultságkezelést (az egyes rendszerekhez/rendszercsoportokhoz kapcsolódó jogosultságok beállítására különböző személyek jogosultak), jelszó-menedzsmentet (minimális jelszókomplexitás és jelszó-cserék előírása és kikényszerítése), és több-faktoros azonosítást (több azonosító komponens használata, nem csak a felhasználói név és jelszó) használ.
3. Ártó programok elleni védelem
A Társaság többszintű, több technológián és gyártón alapuló heterogén védelmi rendszert üzemeltet az általánosan elterjedt ártó programok (bot, malware, spyware, stb.) ellen a kliens és szerver számítógépeken, hálózati eszközökön, tartalomszűrőkön.
4. Biztonsági események kezelése
A Társaság a rendszerek és alkalmazások technikai naplóit gyűjti és tárolja, adatbiztonsági, adatvédelmi vagy IT biztonsági események rekonstruálása és esetleges vizsgálata céljából. Az adatvédelmi károk elkerülése és csökkentése érdekében a Társaság biztonsági incidensek esetén felveszi a kapcsolatot az érintett személyekkel, együttműködik külső szervekkel és szolgáltatókkal a biztonsági események nyomon követése és kezelése során.
5. Felhasználók támogatása és oktatása
A Társaság szükség esetén célirányos figyelemfelhívásokkal tájékoztatja munkavállalóit az esetleges veszélyezhelyzetekről, továbbá szakirányú képzésekkel és oktatási programmal, szükség esetén célirányos figyelemfelhívó kampányokkal fejleszti és tartja szinten a munkavállalók informatikai és adatbiztonsági felkészültségét.
6. Hálózatbiztonság
A feldolgozó rendszereket és a vállalati belső hálózatot a Társaság a publikus hálózatoktól elszeparálja, és védi az illetéktelen hozzáférésektől. A hálózati kapcsolatok létrehozása során azonosítja a kapcsolódó végponti eszközöket, hogy a hálózatán csak engedélyezett állapotú számítógépek tudjanak kommunikálni. Továbbá biztonságos azonosítással és titkosítással gondoskodik arról, hogy a hálózati kommunikáció során a továbbított és kezelt adatok és üzenetek bizalmassága megőrződjön.
7. Külső partnerek adatkezelése
A Társaság tájékoztatást nyújt a külső partnereknél végzett adatkezelésről, és az IT szolgáltatókkal történő kapcsolattartást és információ-áramlást szabályozza, valamint minden szolgáltatóval és partnerrel titoktartási megállapodást köt.
8. Sérülékenység menedzsment
A Társaság rendszeresen felméri, elemzi és értékeli az IT biztonsági sérülékenységeket, és ennek alapján megteszi a szükséges intézkedéseket. A Társaság rendszeresen telepít biztonsági frissítéseket a vállalati számítógépekre és eszközökre, és vizsgálja az ügyfeleknek nyújtott szolgáltatásai biztonságát.
9. Tartalomszűrés
A Társaság technológiai és adminisztratív lépésekkel azonosítja és szűri a kéretlen (spam), a megtévesztő (phising), és az ártó (malware) tartalmú elektronikus leveleket és forgalmakat. Ennek részeként felügyeli a hálózati hozzáféréseket és a böngészési tevékenységeket a hálózatán, elemzi a rendszer-hozzáféréseket és a hálózati forgalmakat, az ügyfeleket és a szolgáltatásokat veszélyeztető támadások észlelése és kezelése céljából.
10. Adathordozók védelme
A Társaság nyilvántartást vezet a használt adathordozókról, és technológiai és adminisztratív lépésekkel gondoskodik biztonságos kezelésükről.
11. Az iratok és adatok fizikai védelme
Az elektronikus és papíralapú iratok fizikai védelme tekintetébe a Társaság zárható szerverszobákkal, továbbá naprakész iratkezelési szabályzattal rendelkezik, amely előírja a papíralapú iratok megfelelő biztonsági protokoll szerinti, zárt tárolását, és a megfelelő jogosultsággal rendelkező személyek általi kizárólagos hozzáférhetőségét.
VIII. AZ ÉRINTETTEK ADATVÉDELMI JOGAI ÉS JOGORVOSLATI LEHETŐSÉGEI
1. Adatvédelmi jogok és jogorvoslatok
Az érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozó rendelkezései (így különösen a GDPR 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82.
cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve a Társaság ennek megfelelően nyújt tájékoztatást az érintettek részére az adatkezeléssel kapcsolatos jogaikról és jogorvoslati lehetőségeikről.
A Társaság indokolatlan késedelem nélkül, de mindenféleképpen az érintett joggyakorlással (lásd: GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
A Társaság az érintett által kért információkat írásban, vagy – az érintett elektronikus úton benyújtott kérelme, illetve ezirányú kérelme esetén – elektronikusan adja meg. Az érintett részére szóbeli tájékoztatás is adható, amennyiben az érintett a személyazonosságát a Társaság részére igazolja.
2. Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy visszajelzést kapjon a Társaságtól arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat a Társaság közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett arra vonatkozó joga, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; és
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal (GDPR 22. cikk (1) és (4)) ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
(3) Az adatkezelés tárgyát képező személyes adatok másolatát a Társaság az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért a Társaság az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
3. A helyesbítéshez való jog
Az érintett jogosult arra, hogy a Társaság kérésére indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Az érintett jogosult továbbá arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
4. A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat a BANK gyűjtötte vagy más módon kezelte;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és adott esetben nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatok jogellenesen kerültek kezelésre;
e) a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha a Társaság nyilvánosságra hozta a személyes adatot, és a fentebb írtak értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megtesszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek, vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges, többek között:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;
c) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5. Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) A Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az adatkezelés korlátozásának feloldásáról a Társaság előzetesen tájékoztatja az érintett, akinek kérésére a fentiek alapján korlátozták az adatkezelést.
6. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
A Társaság minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.
7. Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt a Társaság akadályozná, ha:
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők (így a Társaság és egyéb adatkezelő) közötti közvetlen továbbítását.
(3) A fentebb írt jog gyakorlása nem sértheti a törléshez való jog („elfeledtetéshez való jog”) vonatkozásában írt rendelkezéseket, továbbá e jog nem érintheti hátrányosan mások jogait és szabadságait.
8. A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben a személyes adatokat a Társaság nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az
érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon az érintettre vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
(3) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
(4) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
(5) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
9. A felügyeleti hatóságnál történő panasztételhez való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint az érintettre vonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit.
Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (weboldal: xxxx://xxxx.xx/; cím: 0000 Xxxxxxxx, Xxxxxxxx Xxxxxxxx xxxxx 00/x; postacím: 1530 Budapest, Pf.: 5.; telefon: x00-0-000-0000; fax: x00-0-000-0000; e-mail: xxxxxxxxxxxxxxx@xxxx.xx).
10. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
11. A Társasággal vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait.
(2) A Társasággal vagy az adatfeldolgozóval szembeni eljárást a Társaság vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is.
IX. A TÁRSASÁG MŰKÖDÉSÉBŐL EREDŐ ADATVÉDELMI SAJÁTOSSÁGOK
1. Fénykép- és videofelvétel
A Társaság félfogadásra alkalmas székhelyén, a Társaság részére irodahelységet bérbe adó partner (Millennium Irodaház Kft.) a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvény alapján elektronikai vagyonvédelmi rendszer által folytatott megfigyelést alkalmaz, valamint az elektronikai vagyonvédelmi rendszer segítségével fénykép- és videofelvételt készít(het). Az adatkezeléssel kapcsolatos bővebb felvilágosítás a partner honlapján található.
2. Hangfelvétel
A Társaság a közte és az ügyfél közötti alábbi csatornákon folytatott telefonos kommunikációt az érintett előzetes tájékoztatását követően megadott hozzájárulása alapján rögzíti. A rögzített felvételeket a Társaság az alább kifejtett célokból kezeli, amelyek az alábbi célcsoportokban foglalhatók össze:
- Jogi kötelezettség teljesítése (panaszkezeléssel kapcsolatos megőrzés és rendelkezésre bocsátás, befektetési szolgáltatásokkal kapcsolatos nyilvántartási kötelezettség vezetése, azonosítási kötelezettséggel kapcsolatos megőrzés, számviteli megőrzési kötelezettség);
- Jogi igények védelme (jogi igények előterjesztése, érvényesítése, védelme);
- Belső vállalatirányítási célok (minőségellenőrzés, folyamatoptimalizálás, visszaélés és csalás megelőzés, ellenőrzés).
A Társaság telefonos kommunikációs csatornái az alábbiak:
TeleCenter elérhetőségei
A Társaság telefonos ügyfélszolgálatán fogadja ügyfelei szóbeli panasz-és egyéb tárgyú bejelentéseit, nyilatkozatait, nyújt számukra kérésükre általános és személyre szabott tájékoztatást, Az ügyintézés kezdetekor a Társaság tájékoztatja ügyfeleit a telefonos kommunikáció rögzítéséről. A hangrögzítéshez hozzájárulni nem kívánó ügyfelek számára a Társaság bármely más elérhetősége nyitva áll kapcsolatfelvétel céljából. A telefonos kommunikáció kezelése panaszkezelés tárgyú hívás esetén a Társaság számára kötelező, jogalapja jogi kötelezettség teljesítése, egyéb tárgyú hívás esetén a hangfelvétel kezelése az érintett hozzájáruláson alapul, jogalapja az érintett hozzájárulása. A panaszkezelés tárgyú telefonbeszélgetést a Társaság panaszkezelési tárgyú jogszabályi kötelezettség teljesítése céljából kezeli, és a hangfelvételt a rögzítéstől számított 5 (öt) évig őrzi meg. Az általános és személyre szabott tájékoztatás tartalmú telefonbeszélgetéseket a Társaság jogi igények védelme céljából őrzi meg és kezeli a rögzítéstől számított 5 (öt) évig.
Kereskedői Fraud Menedzsment munkatársainak telefonos elérhetőségei
A Társaság fenti területe is fogadja telefonon leendő bankkártya elfogadó ügyfelei szerződéskötéssel kapcsolatos megkereséseit, valamint szerződött bankkártya elfogadó ügyfelei
- különösen visszaélés megelőzés tárgyú – bejelentéseit és fogadja be áru visszavétel igényeit. Az ügyintézés kezdetekor a Társaság tájékoztatja ügyfeleit a telefonos kommunikáció rögzítéséről. A hangrögzítéshez hozzájárulni nem kívánó ügyfelek számára a Társaság bármely más elérhetősége nyitva áll kapcsolatfelvétel céljából. A hangfelvétel kezelése az érintett hozzájárulásán alapul, jogalapja az érintett hozzájárulása. A telefonbeszélgetést a Társaság
szerződés teljesítése, valamint jogi igények védelme céljából kezeli, és a hangfelvételt a rögzítéstől számított 5 (öt) évig őrzi meg.
A Társaság a felvételeket a fentiekben meghatározott célokon túlmenően belső vállalatirányítási célokból (pl.: minőségellenőrzés, folyamatoptimalizálás, visszaélés és csalás megelőzés, ellenőrzés) is felhasználhatja azok megőrzési ideje alatt.
A Társasággal kapcsolatba lépő vagy a Társaság által felkeresett érintett kérésére, tájékoztatási kérelmére a Társaság a hangfelvétel másolatát az adatkezelés ideje alatt az érintett rendelkezésére bocsátja.
A felvételeket a Társaság zártan kezeli, azokat kizárólag a Társaság adott szolgáltatásnyújtási folyamatban résztvevő munkatársai, minőség-ellenőrzés, csalás-megelőzés vagy belső ellenőrzés tárgyú vizsgálat esetén az azt lefolytató munkatársak, valamint jogi igények előterjesztése, érvényesítése és védelme céljából történő adatkezelés esetén jogi képviseletet ellátó személyek ismerhetik meg. A felvételek bírósági vagy más hatósági eljárásban felhasználásra kerülhetnek akár a Társaság kezdeményezésére, akár az eljáró hatóság felhívására, amelyek során a felvételeket a hatósági eljárást lefolytató személyek ismerhetik meg a szükséges mértékben. Amennyiben a felvételek felhasználására nem kerül sor, a rögzített beszélgetések a megőrzési idő leteltével törlésre kerülnek.