A COFIDIS MAGYARORSZÁGI FIÓKTELEPE ÜZLETI TEVÉKENYSÉGÉVEL KAPCSOLATOS ADATKEZELÉSI TÁJÉKOZTATÓJA

A COFIDIS MAGYARORSZÁGI FIÓKTELEPE ÜZLETI TEVÉKENYSÉGÉVEL KAPCSOLATOS ADATKEZELÉSI TÁJÉKOZTATÓJA

Hatályos: 2024.07.01-től

Cofidis Magyarországi Fióktelepe

Székhely: 0000 Xxxxxxxx, Xxxx xx 00-00.

Telefon: 00 0 000 0000

Levelezési cím: 1433 Budapest, Pf. 1140.

Cg: 00-00-000000 (Fővárosi Törvényszék Cégbírósága)

xxxxxxx.xx

1. AZ ADATKEZELŐ MEGNEVEZÉSE ÉS ELÉRHETŐSÉGEI Adatkezelő megnevezése: Cofidis Magyarországi Fióktelepe Székhelye: 0000 Xxxxxxxx, Xxxx xx 00-00.

Postacím: 1433 Budapest, Pf. 1140

Cégjegyzékszáma: 00-00-000000

Adószáma: 22196796-2-41

Creditreform Crefo-szám: 9311202422

Ügyfélszolgálati telefonszám: x00-0-000-0000 Honlap: xxx.xxxxxxx.xx

E-mail és Ügyfélszolgálat: xxxxxx@xxxxxxx.xx Adatvédelmi tisztviselő elérhetősége: Xxxxxxxx Xxxxx; e-mail: xxxxxxxxxxx@xxxxxxx.xx

2. BEVEZETÉS

2.1 A Cofidis Magyarországi Fióktelepe (a továbbiakban: Cofidis vagy Adatkezelő) mint adatkezelő magára nézve kötelezőnek ismeri el jelen tájékoztató jogi tartalmát. Kötelezettséget vállal arra, hogy a tevékeny- ségével kapcsolatos minden adatkezelés megfelel a hatályos jogsza- bályokban meghatározott elvárásoknak.

2.2 A Cofidis az érintett személyes adatainak kezelése és feldolgozá- sa, így különösen nyilvántartása és továbbítása során a természetes személyeknek a személyes adatok kezelése tekintetében történő vé- delméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/ EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR), az információs önrendelkezési jogról és az információszabad- ságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), a hitel- intézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (a továbbiakban: Hpt.), valamint a személyes adatok védelmé- re vonatkozó egyéb jogszabályi rendelkezések és hatósági ajánlások alapján jár el.

2.3 A Cofidis az adatbiztonsági követelmények betartása érdekében gondoskodik az érintett személyes adatainak védelméről és bizton- ságáról, különösen a továbbított, tárolt vagy egyéb más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesz- tése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jo- gosulatlan hozzáférés megelőzéséről és ezek esetleges előfordulása esetén azok orvoslásáról, hátrányos következményeinek enyhítéséről. A Cofidis belső szervezeti egységei útján megtesz minden olyan adat- biztonsági, technikai és szervezési, valamint adminisztratív intézke- dést, amely a személyes adatok megfelelő szintű biztonságát garan- tálja. Mindennek érdekében a vállalaton belül elkülönül és egymástól független a biztonsági, az adatvédelmi és az informatikai rendszerek üzemeltetésének és fejlesztésének funkciója.

2.4 A Cofidis a személyes adatokat a jelen tájékoztatóban meghatáro-

xxxxxx szerint az érintettek hozzájárulásával, törvény felhatalmazása alapján, szerződés teljesítése és a szerződés megkötését megelőző, az érintett által kért lépések megtétele érdekében, illetve az Adatke- zelő jogos érdekeinek érvényesítése érdekében kezeli.

2.5 A Cofidis a pénzügyi tevékenységét a honlapján keresztül, annak igénybevételével nyújtja. A Cofidis szolgáltatásai nyújtásához az ügy- felek és egyéb érintettek által megadott személyes adatok kezelése szükséges.

2.6 A Cofidis által ügyfeleiről kezelt személyes adatok egyúttal bank- titoknak minősülnek. A Cofidis a banktitkot a vonatkozó jogszabályi előírások alapján kiemelt védelemben részesíti.

2.7 A Cofidis jelen tájékoztatóban kinyilvánítja azokat az elveket, melyek meghatározzák a személyes adatok védelmével kapcsolatos politikáját és mindennapos gyakorlatát.

2.8 A Cofidis e tájékoztatóban nyilatkozik továbbá arról, hogy milyen célokra és hogyan használja fel az általa kezelt személyes adatokat, illetve hogyan biztosítja a személyes adatok védelmét.

2.9 A tájékoztató kialakítása során a Xxxxxxx figyelembe vette a vonat- kozó hatályos jogszabályokat, illetve a fontosabb ajánlásokat, különös tekintettel az alábbiakra:

a) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes ada- tok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet – GDPR)

b) 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.);

c) 2013. évi CCXXXVII. törvény (Hpt.) a hitelintézetekről és a pénzügyi vállalkozásokról;

d) 2017. évi LIII. törvény a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.);

e) 2011. évi CXXII. törvény a központi hitelinformációs rendszerről;

f) 1997. évi CXLI. törvény az ingatlan-nyilvántartásról;

g) 1991. évi XLI. törvény a közjegyzőkről;

h) 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímé- nek nyilvántartásáról;

i) 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól (Szvmt.);

j) 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről (Katv.);

k) 2003. évi C. törvény az elektronikus hírközlésről (Eht.);

l) 42/2015. (III. 12.) Korm. rendelet a pénzügyi intézmények, a bizto- sítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről;

m) 1996. évi XX. törvény a személyazonosító jel helyébe lépő azonosí- tási módokról és az azonosító kódok használatáról (Szaztv.);

n) 2013. évi V. törvény a Polgári Törvénykönyvről (Ptk.);

o) 1997. évi CLV. törvény a fogyasztóvédelemről (Fgytv.);

p) 2000. évi C. törvény a számvitelről (Számv. tv.);

q) 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (Grt.).

2.10 A Cofidis az érintetteknek biztosítja a tájékoztatást és a szemé- lyes adatokhoz való hozzáférést, valamint a további érintetti jogok gyakorlását.

2.11 A Cofidis fenntartja magának a jogot, hogy a jelen tájékoztatót bármikor, egyoldalúan megváltoztassa. Az esetleges változásokról kel- lő időben értesíti ügyfeleit. A Cofidis ennek körében vállalja különösen, hogy amennyiben bármilyen módon változtatna a személyes adatok kezelésére vonatkozó elvein és gyakorlatán, ezekről a változásokról előzetesen értesíti a xxx.xxxxxxx.xx látogatóit, hogy azok mindig pon- tosan és folyamatosan ismerjék az xxx.xxxxxxx.xx portál egész terü- letén érvényes adatkezelési elveket és gyakorlatot.

2.12 A Cofidis vállalja, hogy a személyes adatok kezeléséről és vé- delméről szóló jelen tájékoztató mindig a ténylegesen alkalmazott elveket és a valóságos gyakorlatot tükrözi. A személyes adatok kezelése és védelme tekintetében az Üzletszabályzatban és a jelen tájékoztatóban foglaltak esetleges eltérése esetén e tájékoztató irányadó.

3. FOGALMAK

Az e tájékoztatóban használt fogalmak teljesen megegyeznek a vonat- kozó jogszabályokban használt fogalmakkal, és a jelen tájékoztató 1. mellékletében találhatóak meg.

4. A COFIDIS ADATKEZELÉSEI

Az Adatkezelő személyes adatot kizárólag a személyes adatok kezelé- sére vonatkozó, az alkalmazandó jogszabályi előírásokban meghatáro- zott elvek szem előtt tartásával kezel.

Az e tájékoztatóban ismertetett adatkezelések minden esetben vala- mely, a Cofidis mint adatkezelő által nyújtott szolgáltatáshoz kapcsolód- nak, amely szolgáltatást az érintett, mint ügyfél igénybe vesz, igénybe vett, vagy amely igénybe vétele, azzal vagy a Cofidisszel összefüggő in- formációszerzés céljából a Cofidis-szel kapcsolatba került, illetve amely szolgáltatást a Cofidis valamely személy részére az érintett közremű- ködésével, személyes érintettségével (pl. kezes, természetes személy érintett képviselője, meghatalmazottja) nyújt.

4.1 A xxx.xxxxxxx.xx naplózása

A xxx.xxxxxxx.xx weboldal meglátogatásakor a webszerver automati- kusan naplózza a felhasználó tevékenységét. A naplózás során kezelt IP cím olyan számsorozat, mellyel az internetre csatlakozó felhasználók számítógépei azonosíthatók. Az IP címek segítségével akár földrajzilag is lokalizálható az adott számítógépet használó látogató. A megláto- gatott oldalak címe, valamint a dátum, időpont adatok önmagukban az érintett azonosítására nem alkalmasak, azonban egyéb (pl. regiszt- ráció során megadott) adatokkal összekapcsolva alkalmasak arra, hogy segítségükkel a felhasználóra vonatkozó következtetéseket lehessen levonni. A Cofidis a naplóállományok elemzése során felmerült adato- kat más információval nem kapcsolja össze, a felhasználó személyének azonosítására nem törekszik, így a naplóállományok elemzése során a Xxxxxxx nem kezel személyes adatot.

A kezelt adatok köre: dátum, időpont, a felhasználó számítógépének

IP címe, a felhasználó számítógépének böngészőjével kapcsolatos ada- tok és a meglátogatott oldal címe.

Adatfeldolgozó: A Cofidis ezen tevékenység ellátásához adatfeldolgo- zót vehet igénybe. Az adatfeldolgozó nevét, elérhetőségét és az ellátott tevékenység leírását a 7. pont tartalmazza.

4.2 Külső szolgáltatók naplózással kapcsolatos adatkezelése:

A portál html kódja a Cofidistól független, külső szerverről érkező és külső szerverre mutató hivatkozásokat tartalmaz. A külső szolgáltató szervere közvetlenül a felhasználó számítógépével áll kapcsolatban.

Felhívjuk látogatóink figyelmét, hogy e hivatkozások szolgáltatói az ő szerverükre történő közvetlen kapcsolódás, a felhasználó böngésző- jével való közvetlen kommunikáció miatt felhasználói adatokat (pl. IP cím, böngésző, operációs rendszer adatai, meglátogatott oldal címe és a látogatás időpontja) képesek gyűjteni.

A felhasználó számára esetlegesen személyre szabott tartalmakat a külső szolgáltató szervere szolgálja ki. A Cofidis és a külső szolgáltató szervere közötti kapcsolat kizárólag az utóbbi kódjának beillesztésére terjed ki, így személyes adatok átadása, továbbítása sem történik.

A webauditálási célú és a honlap látogatói adatok webszerver általi rögzítésével megvalósított adatkezelések az interneten elterjedt adat- kezelések, így azokat az internet használatával, weblapok látogatásával elfogadja a felhasználó.

Az adatok külső szolgáltatók szervere általi kezeléséről az alább felso- rolt adatkezelők tudnak részletes felvilágosítást nyújtani.

A xxx.xxxxxxx.xx weboldal látogatottsági és egyéb webanalitikai ada- tainak független mérését és auditálását külső szolgáltatóként a Google Analytics és a Piano Analytics szervere segíti. A mérési adatok keze- léséről az adatkezelő a xxxx://xxx.xxxxxx.xxx/xxxx/xx/xxxxxxxx/ és a xxxxx://xxxxx.xx/xxxxxxx-xxxxxx/ címen ad részletes felvilágosítást.

A honlap optimalizációját a Hotjar eszközével végezzük, amely az egérmozgásról, kattintási adatokról és űrlapállapotokról gyűjt adatokat. Az adatgyűjtés során minden űrlapadat maszkolásra kerül, valós adat rögzítése és tárolása nem történik. A Hotjar adatvédel- mi irányelvei itt olvashatók: xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxxx/ privacy.

A hirdetések személyre szabott kiszolgálása érdekében a Google AdWords, a Facebook és a xxx.xxxxxx.xxx/xxxxxxxxxxx szolgáltatók szervereire szintén közvetlenül kapcsolódik a xxx.xxxxxxx.xx oldalt meglátogató felhasználó számítógépe.

Ezen szolgáltatók naplózási gyakorlatáról a xxxxx://xxx.xxxxxxxx.xxx/ about/privacy és a xxx.xxxxxx.xxx/xxxx/xx/xxxxxxxx/xxxxxxx/ címeken lehet informálódni.

4.3 A Cofidis honlapjainak saját cookie kezelése

A Cofidis a honlapjainak működtetése, azok használatának megköny- nyítése, az azokon végzett tevékenység nyomon követése és releváns ajánlatok megjelenítése érdekében a felhasználó böngészéshez hasz- nált eszközén kis adatcsomagot, ún. sütit (cookie) helyez el és a későb- bi látogatás során olvas vissza.

A Cofidis által használt sütik céljáról, valamint további jellemzőikről, így elnevezésükről, feladatukról és érvényességi idejükről részletesebb tájékoztatás érhető el a Cofidis honlapján a „Cookie (süti) kezelési tájé- koztató” dokumentumban, továbbá az oldal első látogatásakor megjele- nő felugró ablak „Süti beállítások módosítása” linkjére kattintva, illetve a honlap alján található „Süti beállítások módosítása” gombra kattintva. Az adatkezelés célja: a honlap működésének biztosítása, statisztika készítése és a honlap optimalizálása, valamint hirdetések nyújtása.

Az adatkezelés jogalapja: az érintett hozzájárulása.

A kezelt adatok köre: a fentiekben meghatározott részletes tájékozta- tásban megjelöltek szerint.

Az adatkezelés időtartama: az adott süti tekintetében a fentiekben meghatározott részletes tájékoztatásban megjelölt időtartam.

Adatfeldolgozó: A Cofidis ezen tevékenység ellátásához adatfeldolgo- zót vehet igénybe. Az adatfeldolgozó nevét, elérhetőségét és az ellátott tevékenység leírását a 7. pont tartalmazza.

A sütit a felhasználó képes törölni saját számítógépéről, illetve letilthatja böngészőjében a sütik alkalmazását. Ennek módjáról a fentiekben meg- határozott részletes tájékoztatás nyújt konkrét információkat.

4.4 Külső szolgáltatók cookie kezelése a Cofidis honlapjain

Egyes szolgáltató partnerek a felhasználó böngészéshez használt esz- közén kis adatcsomagot, ún. sütit (cookie) helyeznek el és a későbbi internethasználat során olvasnak vissza.

Ezen, külső szolgáltatótól származó sütik használatára csak abban az esetben kerül sor, ha ahhoz a honlapon elhelyezett nyilatkozat (a számára megfelelő beállítások megadása) segítségével a látogató ki- fejezetten hozzájárul.

A Cofidis honlapjainak felkeresésekor webanalitikai rendszere üzemelteté- se érdekében a Google Analytics, a Piano Analytics és a Hotjar kezel sütit. A felhasználók követése és személyre szabott ajánlások megjeleníté- se érdekében az alábbi szolgáltatók kezelnek sütit: Google AdWords, Doubleclick, Facebook és Optinmonster.

A partnerszolgáltatók ún. remarketing segítségével személyre szabott hirdetéseikkel elérhetik a Cofidistől független más weboldalon is azo- kat a személyeket, akik korábban felkeresték a honlapot.

A partnerszolgáltatók tájékoztatóiról és beállítási lehetőségeiről, va- lamint a sütik letiltásának módjáról részletesebb információ érhető el a 4.3. pontban megjelölt dokumentumokban.

4.5 A Cofidis elektronikus kapcsolattartása az Ügyfelekkel és a Cofidis telefonos, illetve ahhoz hasonló elveken működő

ügyfélszolgálatai / releváns ügyfélkapcsolati területei hangfel- vételeinek rögzítése

A kapcsolattartást szolgálja a weboldalon a „Visszahívást kérek!” me- nüpont, az élő chat ablak használata, honlapon megjelenített űrlapok kitöltése, a kapcsolat menüpont alatt megjelenített kapcsolati formák használata (elektronikus levelezési címekkel és telefonos elérhetősé- gekkel), valamint a telefonos ügyfélszolgálat és ügyfélkapcsolati terü- letek működtetése.

A Cofidis az Ügyfelektől vagy egyéb érintettektől beérkezett üzenete- ket azok tartalma alapján kategorizálja és az adott szervezeti egységé- hez rendeli ügyintézésre (pl. általános tájékoztatások, panaszkezelés, megbízás indítása, szerződéskötés és módosítás kezdeményezése, változásbejelentés, követelésekkel kapcsolatos egyeztetés, stb.).

A Cofidis a beérkezett üzenetekben szereplő személyes adatok vonat- kozásában azzal a feltételezéssel él, hogy a küldő fél az abban fog- laltakat önkéntesen és kellő előzetes tájékozódást követően juttatta el a Cofidis részére.

Az adatkezelés célja: hitelszerződések megkötése, befejezése, az ügyfe- lekkel való kapcsolattartás, segítségnyújtás, az ügyfél és az Adatkezelő jo- gainak érvényesítése, panaszkezelés, valamint az utólagos bizonyíthatóság. Az adatkezelés jogalapja: az érintett hozzájárulása, panaszkezelés esetén a Hpt. 288. § (4) bekezdése, egyéb esetekben a GDPR 6. cikk

(1) bek. a) és b) pontja.

A kezelt adatok köre: azonosítószám, dátum, időpont, név, a kapcso- lattartás formájától függően e-mail cím, telefonszám, lakcím, az ügyfél által írásban, elektronikus formában vagy szóban megadott további sze- mélyes adatok

Az adatkezelés időtartama: az adatkezelési cél megvalósulásáig, il- letve a Cofidis vagy közvetítője eljárásával kapcsolatos panasz esetén a Hpt. 288. §-a alapján 5 év.

4.6 Karrier menüpont – jelentkezés az álláshirdetésekre

A xxx.xxxxxxx.xx oldalon, a „Karrier” menüpont segítségével lehetőség van a Xxxxxxx által megüresedett pozíciókra jelentkezni az ott megadott e-mail címek használatával.

Az adatokat a toborzást végző kijelölt HR kolléga külön erre létrehozott e-mail fiókban fogadja, majd áthelyezi megőrzésre az erre kijelölt elekt- ronikus mappájába.

Az adatkezelés célja: a Cofidis részére munkavállalók toborzása, kap- csolattartás a pályázókkal, pályázatának értékelése, a meghirdetett munkakörre (munkakörökre) a legmegfelelőbb jelölt és a jelölt számára legmegfelelőbb munkakör megtalálása, lezárt pályázat esetén pedig esetleges eltérő, illetve további állásajánlattal való megkeresés.

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása.

A kezelt adatok köre: e-mail cím, név, lakcím, telefonszám, fénykép, végzettségre és szakmai tapasztalatokra vonatkozó adatok, a kísérő- levelek, önéletrajzok megküldésének dátuma, valamint a pályázat- ban, önéletrajzban, kísérőlevélben megadott egyéb személyes adatok; továbbá a pályázat státusára vonatkozó adatok, így a benyújtás idő- pontjára, a pályázat folyamatban létére, közbülső értékelési szakaszok teljesítésére, a pályázattal kapcsolatos pozitív döntésre vagy annak el- utasítására vonatkozó adatok.

A Cofidis a jelentkezők LinkedIn, Facebook és Twitter közösségi oldala- kon bárki számára nyilvánossá tett, az álláshirdetéssel, a megpályázott munkakörrel összefüggésben releváns adatokat megtekintheti, de azo- kat nem rögzíti és nem továbbítja.

Rendszerünkben személyes adatok automatizált kezelését végezzük oly módon, hogy a megadott személyes adatokat a munkakörhöz kap- csolódó személyes jellemzők értékelésére, a pályázók kompetenciáival kapcsolatos adatok rendszerezésére használjuk. A pályázatokra vonat- kozó döntést azonban kizárólag nem automatizált módon, a Cofidis erre felhatalmazott munkatársai hoznak.

Az adatok törlésének határideje: A megpályázott munkakör betölté- sét vagy a kiválasztási folyamat eredménytelenné nyilvánítását követő két év. A személyes adatai kezeléséhez adott hozzájárulásnak a pályázó általi visszavonását követően haladéktalanul.

4.7 Hírlevél, elektronikus direkt marketing küldése

A Cofidis az ügyfelek, érdeklődők adatait kezeli annak érdekében, hogy saját és üzleti partnerei reklámjait közölje felhasználói részére az álta- luk megadott elérhetőségeken.

Ha a pénzügyi szolgáltatás igénylése során az ügyfél nem teljesen tölti ki az igénylést a rendszerünk bizonyos ideig felkínálja a lehetősé-

get arra, hogy a félbeszakadt igénylésre felhívja az ügyfél figyelmét. Amennyiben az ügyfél él ezzel a lehetőséggel, és feliratkozik a Cofidis hírlevelére, első tájékoztató levélként megkapja a befejezetlen igény- lésre vonatkozó emlékeztetőnket, valamint a call center hívását is ez- zel kapcsolatban.

A Cofidis által szervezett nyereményjátékokon való hozzájárulás meg- adása esetén a jelen fejezetben ismertetett hírlevél adatbázisba kerül- nek az átvett adatok.

Az adatkezelés célja: gazdasági reklámot is tartalmazó e-mail hír- levelek küldése az érdeklődők részére, saját és partner felületeken személyre szabott marketing üzenetek megjelenítése, a felhasználói vi- selkedésen (pl. megnyitás, kattintás) alapuló személyre szóló ajánlatok készítése, az Adatkezelő saját és partnerei üzleti ajánlatainak küldése. Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, az Eker. tv. 13/A. §-a és a Grt. 6. § (5) bekezdése; a GDPR 6. cikk (1) bekezdés f) pontja, a Cofidis jogos érdekeinek érvényesítése

A kezelt személyes adatok típusa: név, lakcím, levelezési cím, e-mail cím, telefonszám és a direktmarketing célú megkereséshez adott hoz- zájárulás, továbbá a rendszer tárolja a fel- és leiratkozással, az üzene- tek küldésével, kézbesítésével és megnyitásával kapcsolatos analitikai adatokat (pl. az események dátuma és időpontja, számítógép IP címe, kézbesíthetetlenség oka).

Az IP cím olyan számsorozat, mellyel az internetre csatlakozó felhaszná- lók számítógépei egyértelműen azonosíthatók. Az IP címek segítségével akár földrajzilag is lokalizálható az adott számítógépet használó láto- gató. A meglátogatott oldalak címe, valamint a dátum, időpont adatok önmagukban az érintett azonosítására nem alkalmasak, azonban egyéb (pl. regisztráció során megadott) adatokkal összekapcsolva alkalmasak arra, hogy segítségükkel a felhasználóra vonatkozó következtetéseket lehessen levonni.

Az adatkezelés időtartama:

– a felhasználó hozzájárulásának visszavonásáig, de legfeljebb

– a felhasználó utolsó adatfrissítésétől számított 24 hónap.

A direkt marketing üzenetek továbbításához adott hozzájárulás vissza- vonására és a személyes adatok törlésének vagy módosításának kez- deményezésre a xxx.xxxxxxx.xx honlapon a Kapcsolat menüpont alatti elérhetőségek használatával van mód. A leiratkozás véglegesítése 48 órát vesz igénybe.

5. A COFIDIS ÁLTAL NYÚJTOTT PÉNZÜGYI SZOLGÁLTATÁSOKHOZ KAPCSOLÓDÓ ADATKEZELÉSEI:

A Cofidis a következő adatkezelési célok keretében végez személyes adatokkal adatkezelési műveleteket:

– pénzügyi szerződés előkészítése, megkötése és végrehajtása,

– ügyfél azonosítás,

– hitelbírálat, scoring

– pénzügyi és működési kockázat mérése, kezelése,

– bankbiztonsági, üzletbiztonsági és belső ellenőrzés,

– szolgáltatás nyújtásból fakadó jogok és kötelezettségek elszámolása, igazolása;

– ügyfélkapcsolat, kommunikáció;

– követelés kezelés és érvényesítés

– az ügyfélre vonatkozó, újabb kockázat vállalása szempontjából rele- váns adat vagy tény megosztása.

Az ügyfél személyes adatai – az alábbiakban részletezettek szerint – addig kezelhetőek, amíg ez az igénylés elbírálásához, a Cofidis jogsza- bály által előírt, illetve szerződéses kötelezettségeinek teljesítéséhez, illetve követeléseinek érvényesítéséhez szükséges.

A Cofidis az igénylés kedvezőtlen elbírálása esetén az ügyfél személyes adatait, illetve az azokat tartalmazó iratokat 30 napon belül törli, illet- ve megsemmisíti vagy megsemmisítésre a részére iratmegsemmisítés kiszervezett tevékenységet végző társaság részére átadja, kivéve, ha az Adós hozzájárulását adta ahhoz, hogy a Cofidis az igénylés során megadott személyes adatait az igénylés elutasítása esetén is direkt marketing tevékenysége céljából további 5 évig megőrizze.

A Cofidis egyedi adatkezelései részletesen:

5.1 Hitel és pénzkölcsön, valamint lízing nyújtása, valamint

a Cofidis által kínált pénzügyi termékek értékesítése közvetítő igénybevételével

Adatkezelés célja: a Cofidis által kínált pénzügyi termékek igénybevé- tele az ügyfelek által, ennek körében a Hpt. szerinti közvetítő igénybevé- tele a Cofidis által kínált pénzügyi termékek értékesítéséhez

A közvetítők általi adatkezelést és adatfeldolgozást a 6. és 7. pontok részletezik.

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés b) pontja, azaz az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

A kezelt adatok köre: Az ügyfél családi- és utóneve, születési neve, neme, anyja születési neve, születési idő és hely, állampolgárság, e-mail cím, te- lefonszám, azonosító okmány típusa, azonosító okmány száma, azonosító okmány lejárata, lakcímkártya száma, adóazonosító jel, családi állapot, el- tartottak száma, lakcím (ennek hiányában tartózkodási hely), lakcím típu- sa, lakáshelyzet, lakcímbejelentés dátuma, levelezési cím, fizetési számla (bankszámla) adatai, a Központi Hitelinformációs Rendszerben (a továb- biakban: KHR) nyilvántartandó adatok, a Magyar Nemzeti Bank részére kötelezően szolgáltatandó adatok, jövedelemre, foglalkozásra, rendszeres havi kiadásokra vonatkozó adatok, társigénylő esetén a társigénylő ugyan- ezen adatai. Videós ügyfél-azonosítást követő, auditált elektronikus hírközlő rendszer használatával rögzített ügyféli nyilatkozattal való szerződéskötés esetén a szerződéses jognyilatkozat kép- és hangfelvétele.

A kezelt adatok forrása: az ügyfél (társigénylő) adatszolgáltatása,

ideértve a papír alapon, elektronikus úton, továbbá számlainformációs szolgáltatást nyújtó szolgáltató útján történő adatszolgáltatást is Adatkezelés időtartama:

1. A Pmt.-ben meghatározott időtartam, vagy ha az hosszabb, az az időtartam, ameddig az ügyfélkapcsolattal kapcsolatban igény érvé- nyesíthető, azaz az elévülés megszakadásának vagy nyugvásának esetét kivéve az ügyfélkapcsolat megszűnésétől számított 8 évig.

2. A Számv. tv. alapján a számviteli bizonylat és az ezzel kapcsolatos nyilvántartások tekintetében az adatkezelés időtartama 8 év.

Adattovábbítás:

– A pozitív (a kötelezettségeiket rendben fizető adósok tekintetében) referenciaadatok KHR-ből történő lekérdezése, valamint adattováb- bítás esetén a BISZ Zrt. (1205 Budapest, Mártonffy u. 25-27.; info@ xxxx.xx, xxx.xxxx.xx)

– A negatív (mulasztással rendelkező adósok, vagy visszaélések te- kintetében) referenciaadatok KHR-ből történő lekérdezése, valamint adattovábbítás esetén a BISZ Zrt.

5.2 A törvény által előírt ügyfél-átvilágítási intézkedések megtétele Adatkezelés célja: az Ügyfél, illetve képviselőjének személyes vagy videós azonosítása, a tényleges tulajdonosra vonatkozó adatok rögzíté- se, valamint a felvett adatok ellenőrzése a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozása érdekében

Az adatkezelés jogalapja: 2017. évi LIII. törvény a pénzmosás és a ter- rorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.) A kezelt adatok köre: a hitelkérelemben és a mellékleteiben feltünte- tett, valamint a Pmt.-ben rögzítésre előírt adatok, így különösen az ügy- fél, képviselője és a tényleges tulajdonos azonosítását szolgáló adatok, az azonosító okmányára vonatkozó adatok és az okmány másolata; videós azonosítás esetén továbbá az érintettről, valamint bemutatott okmányairól készített kép- és hangfelvétel

A kezelt adatok forrása: az ügyfél személyes, írásos, illetve videó- kapcsolat útján tett adatszolgáltatása

Az adatkezelés időtartama: a Pmt.-ben meghatározott időtartam Adattovábbítás: A Pmt.-ben meghatározott bejelentési kötelezettség teljesítése a Pmt. szerinti pénzügyi információs egység részére, a Pmt.- ben megjelölt adatokkal.

A személyazonosság ellenőrzése érdekében szükséges adattovábbítás a Pmt.-ben meghatározott nyilvántartások kezelője részére.

5.3 Hitelbírálat, scoring

A hitelbírálat során automatizált, vagy részben automatizált döntésho- zatal történik, az érintett és a Cofidis közötti szerződés megkötése érde- kében a Cofidis saját fejlesztésű hitelkezelő szoftverében.

A hitelkérelem érdemi vizsgálata – amelynél az ügyfél már nincs jelen

– a minősítést, azaz a hiteligénylő előre meghatározott paraméterek szerinti besorolását foglalja magában. A minősítés folyamata során alkalmazott logikát alapvetően a hitelnyújtás célja és a hitel összege, valamint a hiteligénylő fizetőképessége befolyásolja. A minősítés pontos szempontjai, valamint a minősítési értékek a Cofidis üzleti titkát képe- zik. A hitelbírálattal összefüggésben az ügyfél minden esetben jogosult arra, hogy emberi beavatkozást kérjen, álláspontját kifejezze, és a hitel- bírálati döntéssel szemben kifogást nyújtson be.

Adatkezelés célja: annak megállapítása, hogy a Cofidis az igénylő számára a kívánt kondíciókkal a kért szolgáltatás nyújtását biztosítani tudja-e

Az adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés f) pontja, a Cofidis jogos érdekeinek érvényesítése (2. sz. melléklet)

A Cofidis jogos érdekét képezi e körben, hogy az általa nyújtott hitel, kölcsön és lízing megtérülése biztosított legyen, a szerződés megköté- sével a Cofidis ne vállaljon jogi vagy gazdasági szempontból nem elfo- gadható kockázatot.

A kezelt adatok köre: a hiteligénylési nyomtatványokon feltüntetett adatok, valamint az ezen adatok igazolására szolgáló papír alapú vagy elektronikus dokumentumokon, adatállományokban feltüntetett adatok, a Cofidis rendelkezésére álló meglévő ügyféladatok, valamint nyilvános adatbázisok adatai, melynek köre a Cofidis Üzletszabályzatában nyer rögzítést.

A kezelt adatok forrása: az érintett papíralapon vagy elektronikus úton, illetve számlainformációs szolgáltatást nyújtó szolgáltató útján megtett adatszolgáltatása, ideértve a hiteligénylési nyomtatványokon feltünte- tett adatokat, valamint az ezeket igazoló papír alapú vagy elektronikus dokumentumokon, adatállományokban szereplő adatokat is; a Cofidis által az érintett ügyfélről meglévő vagy korábbi ügyfélkapcsolat alapján kezelt adatok, illetve nyilvános adatbázisok

Az adatkezelés időtartama: Az adatkezelés addig tart, ameddig az ügyfélkapcsolattal kapcsolatban igény érvényesíthető, azaz az el- évülés megszakadásának vagy nyugvásának esetét kivéve az ügyfél- kapcsolat megszűnésétől számított 5 évig.

5.4 Pénzügyi és működési kockázat mérése, kezelése

A kockázatkezelés és -monitoring során a Cofidis saját fejlesztésű hi- telkezelő szoftverében részben automatizált döntéshozatal történik, az érintett és a Cofidis közötti szerződés teljesítése érdekében. A minő- sítés folyamata során alkalmazott logikát alapvetően a hitelnyújtás célja és a hitel összege, valamint a hiteligénylő fizetőképessége befolyásolja. A minősítés pontos szempontjai, valamint a minősítési értékek a Cofidis üzleti titkát képezik. A kezelt adatokból a Cofidis – összeegyeztethető célú további adatkezelésként – deperszonalizált statisztikákat is előállít. Adatkezelés célja: a szerződések teljesítésének folyamatos nyomon követése, fizetőképesség ellenőrzése

Az adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés f) és c) pont- ja, a Cofidis jogos érdekeinek érvényesítése (2. sz. melléklet) valamint a Hpt. 99. § (3) bekezdésének teljesítése

A Xxxxxxx jogos érdekét képezi e körben, hogy az általa nyújtott hitel, kölcsön és lízing megtérülése biztosított legyen, a hitelezési tevékeny- ség ne járjon a Xxxxxxx által jogi vagy gazdasági szempontból nem elfo- gadható kockázat felmerülésével.

A kezelt adatok köre: a hiteligénylési nyomtatványon feltüntetett ada- tok, a Cofidis rendelkezésére álló meglévő ügyféladatok.

A kezelt adatok forrása: az érintett adatszolgáltatása, a Xxxxxxx által az érintett ügyfélről az ügyfélkapcsolat alapján kezelt adatok.

Az adatkezelés időtartama: Az adatkezelés addig tart, ameddig az ügyfélkapcsolattal kapcsolatban igény érvényesíthető, azaz az el- évülés megszakadásának vagy nyugvásának esetét kivéve az ügyfél- kapcsolat megszűnésétől számított 5 évig.

5.5 Pénzmosással (vagy pénzmosás gyanúval) és visszaéléssel (vagy visszaélésgyanúval) érintett esetek rögzítése és a kapcso- lódó kockázatok mérése, kezelése

Adatkezelés célja: A pénzmosás megelőzés és a kapcsolódó bejelen- tési kötelezettségek teljesítése, valamint visszaélések megelőzése, fel- derítése, nyomon követése.

Az adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés c) és f) pontja, a Cofidisre vonatkozó jogi kötelezettség teljesítése és a Cofidis jogos érdekeinek érvényesítése (2. sz. melléklet).

A kezelt adatok köre: a hitelkérelmi nyomtatványok adatai valamint a Cofidis rendelkezésére álló meglévő ügyféladatok.

A kezelt adatok forrása: a hiteligénylési nyomtatvány, közhiteles adat- bázisok, a Cofidis rendelkezésére álló meglévő ügyféladatok.

Az adatkezelés időtartama: A Pmt. rendelkezéseinek megfelelően, il- letve a visszaéléssel (vagy visszaélésgyanúval) érintett személyek ada- tai határozatlan ideig tárolódnak a tárolás szükségességének 5 évente történő felülvizsgálatával.

5.6 A biztosítókról és a biztosítási tevékenységről szóló törvényben foglalt feltételekkel folytatott biztosításközvetítői tevékenység végzése

Adatkezelés célja: A Cofidis pénzügyi termékeihez kapcsolódó hitel- fedezeti biztosítások megkötése és ajánlása, biztosítási jogviszonyból származó igények érvényesítése

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés b) pontja, azaz az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (biztosítá- si csatlakozási dokumentumok kitöltése)

A kezelt adatok köre: Az ügyfél által a biztosítással kapcsolatban ren- delkezésre bocsátott, valamint a Cofidis rendelkezésre álló meglévő ügyféladatok. Videós ügyfél-azonosítást követő, auditált elektronikus hírközlő rendszer használatával rögzített, a hitelfedezeti biztosításra vonatkozó ügyféli csatlakozási nyilatkozat esetén a nyilatkozat kép- és hangfelvétele.

A kezelt adatok forrása: a személyes adatok az érintettől származnak

Az adatkezelés időtartama:

– A Pmt.-ben meghatározott időtartam, vagy ha az hosszabb, az az idő- tartam, ameddig az ügyfélkapcsolattal kapcsolatban igény érvénye- síthető, azaz az elévülés megszakadásának vagy nyugvásának esetét kivéve az ügyfélkapcsolat megszűnésétől számított 8 évig.

– A Számv. tv. alapján a számviteli bizonylat és az ezzel kapcsolatos nyilvántartások tekintetében az adatkezelés időtartama 8 év.

5.7 A követeléskezelés

Adatkezelés célja: a magánszemélyek a Cofidisszel fennálló szerző- désből eredő lejárt tartozásának kezelése (követeléskezelés)

A behajtási folyamatok (sms, elektronikus és postai levélküldés, tele- fonbeszélgetés) során a Cofidis az ügyfélnek azokat a személyes adatait kezeli, amelyeket a követelés alapjául szolgáló szerződéses kapcsolat keretében az ügyfél önkéntes megadásával, illetve jogszabály rendelke- zése alapján rögzített.

A behajtási eljárás részeként a Cofidis a lejárt követelés érvényesítése érde- kében a személyes adatokat továbbíthatja külső követeléskezelő partnere részére a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény 161. § (1) bekezdésének c) pontja és 164. § q) pont- ja alapján. A Cofidis követeléskezeléssel foglalkozó megbízottja kizárólag az MNB-nél bejelentett, függő ügynöki tevékenység végzésére jogosult sze- mély lehet. A követelés behajtása érdekében a Cofidis az alábbi adatköröket továbbíthatja a követeléskezeléssel foglalkozó megbízottak részére:

A kezelt adatok köre: adós és adóstárs, kezes, zálogkötelezett szemé- lyek személyi adatai: név, anyja neve, születési neve, születési helye és ideje, személyazonosító igazolvány száma, lakcím, értesítési cím, tele- fonszám, fedezeti cím (jelzáloghitel esetén);

a követelés összege: devizanem, tőke, lejárt tőke, lejárt kamat, egyéb járulékok, késedelmi kamat bontásban; a törlesztő számla száma (az a Cofidis által vezetett számla, amelyre a kötelezett a Cofidissel szemben fennálló tartozását teljesíteni köteles); késedelmes napok száma, kése- delembe esés napja, ügyleti és késedelmi kamatok mértéke.

A Cofidis követeléskezelői, mint függő ügynökök megtalálhatók a Magyar Nemzeti Bank által vezetett, nyilvánosan lekérdezhető nyilvántartásban. Azon ügyfeleink esetében, akik a közjegyzői vagy magánokirati szer- ződés aláírásakor általuk megadott levelezési és/vagy lakcímen el- érhetetlennek bizonyulnak, a Cofidis a GIRinfO rendszerhez fordul új lakcímadat beszerzése érdekében. Erre az ügyfél szerződéskötés kere- tében megadott hozzájáruló nyilatkozata, valamint a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény rendelkezései adnak lehetőséget.

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés b) pontja

A kezelt adatok forrása: A hitelszerződés adatai, az érintett nyilatko- zatai, a Cofidis nyilvántartásai és a GIRinfO adatai

Az adatkezelés időtartama: A Pmt. rendelkezéseinek megfelelően követeléskezelés lejárta, mint az ügyfélkapcsolat megszűnése után 8 év. Illetve amennyiben a követelés még fennáll és nem évült el akkor az elévülés lejártáig.

5.8 A Cofidis székhelyére, illetve egyéb, a Cofidis által használt épületbe mint magánterületre meghatározott céllal belépni kívá- nó természetes személyekről kamerafelvétel készítése és tárolá- sa bank- és üzleti titok védelme, vagyonvédelem, az emberi élet, valamint a testi épség védelme céljából

Az adatkezelés célja: az emberi élet, a a testi épség, valamint a vagyon és a törvény által védett titkok védelme érdekében a jogsértések megelőzése, észlelése, az elkövető tettenérése, valamint a jogsértések bizonyítása.

Az adatkezelés jogalapja: a felvételkészítés céljához kapcsolódó jo- gos érdekek érvényesítése [GDPR 6. cikk (1) bekezdés f) pontja].

A kezelt személyes adatok köre: a Cofidis területére belépő érintettek a képfelvételeken látszódó arcképmása és egyéb, a megfigyelőrend- szer által rögzített személyes adatai.

A kezelt adatok forrása: az érintettről készült felvétel

Az adatkezelés időtartama: a rögzített felvétel bírósági vagy hatósági eljárásban való felhasználásának vagy az érintett joggyakorlására irá- nyuló kérésének hiányában 30 nap.

5.9 Nyereményjáték szervezése, nyereményjáték adatbázisa

Az adatkezelés célja: a Cofidis által szervezett nyereményjátékok le- bonyolítása, a nyereményjáték adatbázis kezelése

Az adatkezelés jogalapja: az érintett kifejezett hozzájárulása, a GDPR

6. cikk (1) bekezdés a) pontja

A kezelt személyes adatok köre: név, e-mail cím, nyertesség esetén lakcím, képmás

Az adatok forrása: az érintett hozzájárulása

Az adatkezelés időtartama: nyereményjáték lezárása után 60 napig

5.10 Elhunyt ügyfél örökösei adatainak kezelése

Az adatkezelés célja: A Cofidis elhunyt ügyféllel szemben fennálló kö- vetelésének érvényesítése

Az adatkezelés jogalapja: szerződés teljesítése, GDPR 6. cikk (1) bek.

b) pontja

A kezelt személyes adatok köre: Örökösök személyes adatai (név, születési hely, idő, lakcím)

Az adatok forrása: az érintett örökösei, hagyatékátadó végzés

Az adatkezelés időtartama: A pénzmosás és a terrorizmus finanszíro- zása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény szerinti 8 év.

6. ADATTOVÁBBÍTÁS

Az adatkezelésekhez kapcsolódó adattovábbítások, melyekre a Cofidis az érintett hozzájárulása, szerződés megkötése és teljesítése illetőleg törvényi rendelkezés alapján jogosult (címzettek a Cofidisen kívüli to- vábbi lehetséges adatkezelők):

– banktitoknak minősülő adatok a törvényben megjelölt jogosult részé- re való továbbítása a Hpt.-ben meghatározottak szerint

– a pozitív (a kötelezettségeiket rendben fizető adósok tekintetében) referenciaadatok KHR-ből történő lekérdezése, valamint adattováb- bítás esetén a BISZ Zrt. (1205 Budapest, Mártonffy u. 25-27.; info@ xxxx.xx, xxx.xxxx.xx)

– a negatív (mulasztással rendelkező adósok, vagy visszaélések te- kintetében) referenciaadatok KHR-ből történő lekérdezése, valamint adattovábbítás esetén a BISZ Zrt.

– a Nemzeti Adó- és Vámhivatal (1054 Budapest, Széchenyi u. 2., www. xxx.xxx.xx) és a munkáltató a jövedelemigazolás ellenőrzése esetén

– okmányellenőrzés és egyéb lekérdezés esetén a Belügyminisztérium Nyilvántartások Vezetéséért Felelős Helyettes Államtitkársága (1094 Budapest, Xxxxxx Xxxx u. 35.)

– a Cofidis a közvetítői díjhoz kapcsolódó adategyeztetésben (hitelfedezeti biztosítási szerződés létrejötte esetén) ACM VIE SA (00 xxx xx Xxxxxx, 00000 XXXXXXXXXX Cedex 09 Franciaország), ACM IARD SA (00 xxx xx Xxxxxx, 00000 XXXXXXXXXX Cedex 09 Franciaország) a biztosítási szerződés teljesítéséhez szükséges adatok továbbítása a biztosítóhoz.

A Cofidis pénzügyi termékeit a Hpt. szerinti közvetítők útján is kí- nálja ügyfeleinek. E közvetítők közül a független közvetítők a köz- vetítéssel szükségszerűen együtt járó személyesadat-kezelés te- kintetében – a NAIH-4263-2/2012/V számon adott állásfoglalásával összhangban – adatkezelői minőségben járnak el, és a Cofidis ré- szére az ügyfelek személyes adatait továbbítják, valamint a Cofidis is továbbít számukra – kizárólag az adott közvetítővel kapcsolatban álló ügyfelekre kiterjedően, a közvetítői tevékenységhez szükséges mértékben – személyes adatokat.

A Cofidis teljesíti továbbá az általa kezelt személyes adatok tekinte- tében mindazon adattovábbításokat (így különösen a tevékenységének ellenőrzését ellátó hatóságok részére), amelyek elvégzését az adatto- vábbítás jogosultjának megjelölésével számára jogszabály kifejezetten, kötelező jelleggel előírja.

7. ADATFELDOLGOZÓK

A Cofidis pénzügyi termékeit a Hpt. szerinti közvetítők útján is kínálja ügyfeleinek, valamint követeléskezeléssel is megbíz közvetítőként eljáró jogalanyokat. E közvetítők közül a függő közvetítők (így a pénzügyi ter- mékeket e jogviszonyban kínáló közvetítők, illetve valamennyi, követelés- kezeléssel megbízott közvetítő) – a közvetítéssel szükségszerűen együtt járó személyesadat-kezelés tekintetében – a NAIH-4263-2/2012/V szá- mon adott állásfoglalásával összhangban a Cofidis adatfeldolgozóiként járnak el. A Cofidis függő közvetítői megtalálhatók a Magyar Nemzeti Bank által vezetett, nyilvánosan lekérdezhető nyilvántartásban.

A Cofidis tevékenységét egyes, adatkezeléssel járó feladatok ellátásá- ban a Hpt. szerinti kiszervezett tevékenységet végző jogalanyok segítik. Ezen – adatfeldolgozóként eljáró – jogalanyok a következők:

– BINARIT Informatikai Zártkörűen Működő Részvénytársaság (0000 Xxxxxxxx, Xxxx xx 00.): az EURO-INFORMATION S.A.S. által üzemel- tetett informatikai rendszer és a Központi Hitelinformációs Rendszer közötti adatkapcsolat megteremtését célzó szoftver üzemeltetése

– a BINARIT Informatikai Zártkörűen Működő Részvénytársaság alvállal- kozójaként: Bronson & Bronson Számítástechnikai és Oktatási Betéti Xxxxxxxx (0000 Xxx, Xxxx Xxxxxx xxxx 0.): egyedi szoftverfejlesztés, tesztelés, adatfeldolgozás, szoftverfejlesztési tanácsadás

– a BINARIT Informatikai Zártkörűen Működő Részvénytársaság alvál- lalkozójaként: G Software Informatikai Betéti Xxxxxxxx (0000 Xxxxxx- xxx, Xxxx xx 00.): egyedi szoftverfejlesztés, tesztelés, adatfeldolgozás, szoftverfejlesztési tanácsadás

– EPDB Nyomtatási Központ Zártkörűen Működő Részvénytársaság (0000 Xxxxxxxx, Xxxxxxxx xx 000-000.): a Cofidis által ügyfeleinek küldendő levelek nyomtatása és a levelek címzése, borítékolása

– az EPDB Nyomtatási Központ Zártkörűen Működő Részvénytársaság alvállalkozójaként: Díjbeszedő Holding Zártkörűen Működő Részvény- társaság (0000 Xxxxxxxx, Xxxxxxxx xx 000-000.): informatikai infra- struktúra, hardver és szoftver környezet biztosítása

– MOHU MOL Hulladékgazdálkodási Zártkörűen Működő Részvénytár- saság (0000 Xxxxxxxx, Xxxxxxx xxxx 00.): iratmegsemmisítés

– a MOHU MOL Hulladékgazdálkodási Zártkörűen Működő Részvény- társaság alvállalkozójaként: REISSWOLF BUDAPEST Adat- és Doku- mentumkezelő Korlátolt Felelősségű Társaság (0000 Xxxxxxxx, Xxxxxxx xx 0.): iratmegsemmisítés

– a MOHU MOL Hulladékgazdálkodási Zártkörűen Működő Részvény- társaság alvállalkozójaként: Iron Mountain Magyarország Kereske- delmi és Szolgáltató Korlátolt Felelősségű Xxxxxxxx (0000 Xxxxxxxx, Xxxxxxx xxxx 00. IV. és V.): iratmegsemmisítés

– EURO-INFORMATION S.A.S. (0 xxx Xxxxxxxx-Xxxxxxxxx Xxxxxxxxxx 00000 Xxxxxxxxxx, Xxxxxxxxxxxxx): informatikai rendszerek üzemel- tetése, karbantartása, ezen belül adatok tárolása, mentése, archivá- lása, konverziója, felhasználói támogatás

– az EURO-INFORMATION S.A.S. alvállalkozójaként: ARIADNEXT S.A.S. (0000 xxxxxx xxx Xxxxxx Xxxxxx 00000 Xxxxxx-Xxxxxxx, Xxxxxxx- xxxxxx): adatkonverziós és adatellenőrzési szolgáltatás

– az EURO-INFORMATION S.A.S. alvállalkozójaként: Aggreg8 Korlátolt Felelősségű Társaság (6722 Szeged, Boldogasszony sugárút 23-25. földszint 6.): számlainformációs szolgáltatás

– az EURO-INFORMATION S.A.S. alvállalkozójaként: DocuSign France

S.A.S. (0-00 xxx Xxxxxxx Xxxxxx 00000 Xxxx-xxx-Xxxxxxxxxx, Francia- ország): elektronikus aláírás szolgáltatás

– XEROX Magyarország Kereskedelmi Korlátolt Felelősségű Társa- ság (0000 Xxxxxxxx, Xxxxxxxx Xxxxxx xxxx 00-00. 2/B. ép. 2. em.): a Cofidis által ügyfeleinek küldendő levelek nyomtatása és a levelek címzése, borítékolása

– a XEROX Magyarország Kereskedelmi Korlátolt Felelősségű Társaság alvállalkozójaként: INNODOX Technologies Kereskedelmi és Szolgál- tató Zártkörűen Működő Részvénytársaság (0000 Xxxxxxxx, Xxxx- xxxxx xxxx 0-00.): szoftver üzemeltetése és karbantartása

– Iron Mountain Magyarország Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (0000 Xxxxxxxx, Xxxxxxx xxxx 00. IV. és V.): di- gitalizálási és iratkezelési szolgáltatás

– az Iron Mountain Magyarország Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság alvállalkozójaként: DATASHRED Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (0000 Xxxxxxxx, Xxxx Xxxxxxx xxxx 0. D. ép. földszint 1.): iratmegsemmisítés

– az Iron Mountain Magyarország Kereskedelmi és Szolgáltató Korlátolt Fe- lelősségű Társaság alvállalkozójaként: HCL Technologies Ltd. (Technology Hub, SEZ, Plot No. 0X, Xxxxxx 000, Xxxxx 000000, Xxxxx): IT támogatás

– az Iron Mountain Magyarország Kereskedelmi és Szolgáltató Korlá- tolt Felelősségű Társaság alvállalkozójaként: Iron Mountain Services Private Ltd. (Level 02, Block A, WTC-2, Bagmane World Technology Centre (BWTC) K.R. Puram – Marathahalli Ring Road, Mahadevpura, Bangalore 560048, India): IT támogatás

– az Iron Mountain Magyarország Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság alvállalkozójaként: Iron Mountain Information Management, Llc. (One Federal Street, Boston, MA 02110, Amerikai Egyesült Államok): IT és szervezeti támogatás

– az Iron Mountain Magyarország Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság alvállalkozójaként: Care All Kereskedelmi és Szolgáltató Korlátolt Felelősségű Xxxxxxxx (0000 Xxxxxxxx, Xxxxx- xxxxxxx xx 00. A. ép. fszt.): szoftver telepítése és terméktámogatás

– az Iron Mountain Magyarország Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság alvállalkozójaként: TRINITY-SERVICE Korlátolt Felelősségű Társaság (0000 Xxxxxxxx, Xxxxxxx xxxx 0.): szoftverhez kapcsolódó infrastruktúra biztosítása és üzemeltetése

– Mobile Engine Szoftverfejlesztő és Üzemeltető Korlátolt Felelősségű Társaság (0000 Xxxxxxxx, Xxxxx xxxx 00.): szoftver üzemeltetése, karbantartása és fejlesztése

– ULYSSYS Számítástechnikai Fejlesztő és Tanácsadó Korlátolt Felelős- ségű Társaság (0000 Xxxxxxxx, Xxxxxxx xxxx 00.): szoftver üzemel- tetése, karbantartása és fejlesztése

– e-Postoffice Szolgáltató Korlátolt Felelősségű Társaság (0000 Xx- xxxxxx, Xxxxxxx xxxx 0. fszt. 1.): elektronikus iratrendezési, tárolási és kommunikációs (e-Cégkapu, továbbá 2020.02.29-től e-FMH és e-Végrehajtás) szolgáltatás

– az e-Postoffice Szolgáltató Korlátolt Felelősségű Társaság alvállalkozó- jaként: Invitech ICT Services Korlátolt Felelősségű Társaság (0000 Xx- xxxxx, Xxxxxx xxxx 0.): szerver elhelyezés és szerverbérlet szolgáltatás

– FaceKom Korlátolt Felelősségű Társaság (0000 Xxxxxxxx, Xxxxx Xxxx- xx xxxx 0.): elektronikus hírközlő eszköz útján végzett ügyfél-átvilá- gítás működtetéséhez kapcsolódó üzemeltetési és támogatási szol- gáltatások nyújtása

– NRC Marketingkutató és Tanácsadó Korlátolt Felelősségű Társaság (0000 Xxxxxxxx, Xxxxxxxx xxxx 00.): vélemény- és piackutatás

– MEDIATECH GROUPE S.A.S. (Bureau 000 00 Xxxxxx xxx Xxxxxx-Xxxxxxx 00000 Xxxxxx, Xxxxxxxxxxxxx): a Cofidis ügyfeleinek kérdőívek, kitöltésre figyelmeztető üzenetek küldése, a beérkezett eredmények elemzése

– CALLCOMM Zártkörűen Működő Részvénytársaság (0000 Xxxxxxxxx- xx, Xxxxxxxxx xxxx 000.): a Cofidis központi IVR információs vonalára beérkező túlcsorduló, a Cofidis ügyfelei által kezdeményezett, általá- nos jellegű telefonhívások megválaszolása

– a CALLCOMM Zártkörűen Működő Részvénytársaság alvállalkozója- ként: VCC Live Hungary Korlátolt Felelősségű Xxxxxxxx (0000 Xxxx- xxxx, Xxxxxxxx xx 0/X. 5. em.): szoftver üzemeltetése és karbantartása

– BIG FISH Payment Services Korlátolt Felelősségű Társaság (0000 Xxxx- xxxx, Xxxxxxx xxx 0-0.): elektronikus fizetéseket támogató szolgáltatás.

8. ADATKEZELÉSSEL KAPCSOLATOS EGYÉB TÉNYEK

8.1 Adatbiztonság

Személyes adatokat a Cofidis azon munkavállalói és kiszervezett tevé- kenységet végző adatfeldolgozói ismerhetnek meg, akik számára az ada- tok ismerete jogszabályi, valamint szerződéses jogosultságok érvényesí- tése és kötelezettségek teljesítése körében szükséges. Ezen munkakörök a Cofidisnél különösen az ügyfélszolgálati, értékesítői, hitelbírálati, behajtási, elemzői, pénzügyi, kontrolling és informatikai tevékenységgel kapcsolatos, valamint az ellenőrzési és compliance jellegű munkakörök. A személyes adatokat ténylegesen is megismerő személyek körét az adott szerződés és annak teljesülésének egyedi sajátosságai határozzák meg.

Az adatkezelés és adatfeldolgozás során a Cofidis és adatfeldolgozói a kor technikai követelményeinek megfelelő fizikai és informatikai biztonsági eszközökkel gondoskodnak az adatok biztonságáról. A Cofidis informa- tikai biztonsági szabályzatban rögzíti az adatbiztonsághoz kapcsolódó belső részletszabályait. A Cofidis az adatfeldolgozóival kötött szerződé- seiben rögzíti az elvárt adatbiztonsági követelményeket. A Cofidis a teljes körű adatbiztonság érdekében törekszik arra, hogy olyan adatfeldolgo- zókkal szerződjön, akik megfelelnek a vonatkozó nemzetközi szabvá- nyoknak és erről tanúsítvánnyal rendelkeznek. Az adatbiztonsági köve- telményeknek való megfelelést igazoló tanúsítványok meglétét a Cofidis rendszeresen ellenőrzi.

8.2 Szervezési intézkedések

A Cofidis informatikai fejlesztései megvalósítása során az informati- kai biztonsági és az adatvédelmi szempontok érvényesítése érdeké- ben már a tervezési szakaszban kötelező az adatvédelmi tisztviselő és az informatikai biztonsági szervezeti egység véleményének a kikérése. A Cofidis valamennyi informatikai rendszerét biztonsági osztályba so- rolja, amelyekhez informatikai biztonsági követelményeket határozott meg. Ezen követelményeknek a rendszer kialakítása és működtetése során a fejlesztőknek és üzemeltetőknek meg kell felelni.

A Cofidis az informatikai rendszereihez a hozzáférést személyhez köt- hető jogosultsággal teszi lehetővé. A hozzáférések kiosztásánál érvénye- sül a „szükséges és elégséges jogok elve”, azaz a Társaság informatikai rendszereit és szolgáltatásait minden felhasználó csak a munkaköri fel- adatának ellátásához szükséges mértékben, az ennek megfelelő jogo- sultságokkal és a szükséges időtartamig használhatja. Az informatikai rendszerekhez és szolgáltatásokhoz hozzáférési jogot csak az a személy kaphat, aki biztonsági vagy egyéb (pl. összeférhetetlenségi) okokból nem esik korlátozás alá, valamint rendelkezik az annak biztonságos haszná- latához szükséges szakmai, üzleti és információbiztonsági ismeretekkel. Az informatikai rendszereink üzemeltetése – így különösen az incidens- kezelés, változáskezelés – és fejlesztése során a nemzetközileg elfoga- dott módszerek, ajánlások figyelembe vételével járunk el.

A belső működését a Cofidis belső szabályozások útján is szervezi.

A személyes adatok kezelését érintő folyamatok belső szabályozásairól

– mind a kialakításuk, mind a módosításuk esetében – előzetesen ki kell kérni az adatvédelmi tisztviselő véleményét.

A Cofidis minden munkavállalója a munkaviszonyának létesítésekor írá- sos nyilatkozatban szigorú titoktartási szabályokat vállal, és a munkavég- zése során ezek szerint a titoktartási szabályok szerint köteles eljárni.

Követelmény, hogy a személyes adatokat tartalmazó iratok ne maradja- nak a munkavégzés után az asztalokon, azokat a munkavállalók zárják el a jogosulatlan hozzáférés megakadályozása érdekében (ún.: tiszta asztal politika).

8.3 Technikai intézkedések

A Cofidis az általa üzemeltetett vagy használt épületeket, azok helyi- ségeit és ezáltal az ott kezelt, feldolgozott és tárolt adatokat különböző védelmi rendszerekkel védi (pl.: riasztó, kamerák, rácsok, jogosultság ellenőrzéshez kötött beléptető rendszerek, tűzvédelmi rendszerek stb.). Alkalmaz továbbá a Cofidis időzáras páncélszekrényeket is.

A Cofidis az adatokat – az adatfeldolgozói által tárolt adatok kivételével – saját eszközökön adatközpontban tárolja. Az adatokat tároló informatikai eszközöket a Cofidis elhatároltan, külön zárt szerverteremben tárolja, több- lépcsős, jogosultság ellenőrzéshez kötött beléptető rendszerrel védetten.

A Cofidis többszintű, tűzfalas védelemmel védi a belső hálózatát. Az al- kalmazott nyilvános hálózatok belépési pontjain mindenhol minden esetben hardveres tűzfal (határvédelmi eszköz) helyezkedik el. Az ada- tokat a Cofidis redundánsan – azaz több helyen – tárolja, hogy védje azokat az informatikai eszköz meghibásodásából fakadó megsemmisü- léstől, elveszéstől, sérüléstől, a jogellenes megsemmisítéstől.

Többszintű, aktív, komplex kártékony kódok elleni védelemmel (pl. vírus- védelem) védjük a belső hálózatainkat a külső támadásoktól. A Cofidis által működtetett informatikai rendszerekhez, adatbázisokhoz az elen- gedhetetlen külső elérést a Cofidis titkosított adatkapcsolaton (VPN) keresztül valósítja meg. Mindent megteszünk azért, hogy informatikai eszközeink, szoftvereink folyamatosan megfeleljenek a piaci működés- ben általánosan elfogadott technológiai megoldásoknak.

A fejlesztéseink során olyan rendszereket alakítunk ki, amelyekben a nap- lózás révén kontrollálhatók és nyomon követhetők a végzett műveletek, észlelhetők a bekövetkezett incidensek, például a jogosulatlan hozzáférés. A Cofidis a papíralapon kezelt adatokat is az előírt adatvédelmi követel- ményeknek megfelelően semmisíti meg az őrzési idő lejártával. A meg- semmisítést az REISSWOLF Budapest Adat-és Dokumentumkezelő Kft. (Cg.: 01 09 715780, Székhely: 0000 Xxxxxxxx, Xxxxxxx xx 0.) végzi két- szekciós daráló és tömörítő géppel szigorú biztonsági követelmények mellett, amit a Cofidis rendszeresen visszaellenőriz.

9. ÉRINTETT JOGAI, JOGORVOSLATI LEHETŐSÉGEI Az Ön jogai:

Fontos számunkra, hogy Ön tisztában legyen az adatvédelmi előírások

által biztosított érintetti jogaival. Ennek érdekében az alábbiakban röviden

– a teljesség igénye nélkül – felsoroljuk, hogy melyek a legfontosabb jo- gosultságai a ránk bízott adataival kapcsolatban. Kérjük, hogy ha további

jogai vagy az egyes jogosultságok részletei kapcsán esetlegesen kérdései merülnek fel, forduljon bizalommal hozzánk elérhetőségeinken.

9.1 A hozzájárulás visszavonásához való jog:

Ha az Ön személyes adatait a részünkre megadott hozzájárulása alapján kezeljük, ezen hozzájárulását bármikor visszavonhatja. Hozzájárulásá- nak visszavonása ugyanakkor nem érinti a visszavonás előtt a hozzájá- rulása alapján végrehajtott adatkezelés jogszerűségét. Hozzájárulásá- nak visszavonása nyomán adatait – a vonatkozó előírásokkal és a 9.4. pontban írtakkal összhangban – abban az esetben töröljük, ha adatai kezelésének nincs más jogalapja.

9.2 Az adatokhoz való hozzáférés joga:

Elérhetőségeinken bármikor jogosult arra, hogy megfelelő tájékoztatást kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, akkor Ön jogosult arra, hogy az adatkezelés körülményeiről tájékoztatást kapjon, valamint hozzáférhessen az általunk kezelt sze- mélyes adataihoz, és azokról másolatot kaphasson.

A hozzáférés keretében megadott tájékoztatás során a következő infor- mációkat adjuk meg az Ön részére:

– mi az adatkezelés célja,

– milyen személyes adatait kezeljük,

– ha az adatait másnak továbbítjuk vagy továbbítottuk, kik a továbbított adatok címzettjei,

– mi az adatok tárolási időtartama, illetve annak meghatározási módja,

– az Ön érintetti jogai, ideértve a felügyeleti hatósághoz való panasszal fordulás lehetőségét,

– ha harmadik személytől jutottunk hozzá az adataihoz, az ezzel kap- csolatos információk,

– automatizált döntéshozatal esetén az ezzel kapcsolatos információk.

9.3 A helyesbítéshez való jog:

Ön jogosult arra, hogy kérésére a Cofidis indokolatlan késedelem nélkül helyesbítse, javítsa a pontatlan adatokat, illetve kérheti a hiányos ada- tok kiegészítését.

9.4 A törléshez való jog:

Ön kérheti, hogy indokolatlan késedelem nélkül töröljük általunk kezelt személyes adatait, ha:

– a továbbiakban már nincs szükségünk az adott adatokra;

– Ön visszavonja az adatok kezelésére korábban adott hozzájárulását, kivéve, ha más jogalapon az adatok kezelése szükséges;

– Ön tiltakozik a személyes adatok kezelése ellen, és az adatkezelés- nek nincs elsőbbséget élvező jogszerű oka vagy adatainak kezelése közvetlen üzletszerzési célból történt;

– adatainak kezelése jogellenes;

– ha adatait jogszabály alapján előírt jogi kötelezettség teljesítése ér- dekében törölni kell.

9.5 Az adatkezelés korlátozásához való jog:

Ha személyes adatainak kezelése jogellenes, de Ön bármilyen okból az adatok törlését ellenzi, kérheti ehelyett személyes adatai felhaszná- lásának korlátozását.

A korlátozást akkor is kérheti, ha nekünk már nincs szükségünk az Ön adataira, de Ön, mint érintett igényli valamely jogi igényének előterjesz- téséhez, érvényesítéséhez vagy védelméhez.

Ha vitatja általunk kezelt személyes adatai pontosságát, vagy tiltakozott

– nem közvetlen üzletszerzési célból kezelt – személyes adatai kezelé- se ellen, az adatkezelést azon időtartamra korlátozzuk, amely a szemé- lyes adatok pontosságának ellenőrzéséhez, illetve annak vizsgálatához

szükséges, hogy a Cofidis mint adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

A korlátozás ideje alatt adatkezelési műveletek csak az Ön hozzájárulá- sával, illetve jogi igények, személyek jogainak védelme vagy közérdek okán végezhetők, ezen túlmenően csak tárolni lehet az adatokat. A kor- látozás feloldásáról a Cofidis előzetesen tájékoztatja.

9.6 A tiltakozáshoz való jog:

Ha adatait közérdekű feladat végrehajtásához vagy a Cofidis vagy harmadik fél jogos érdekeinek érvényesítéséhez kezeljük, Xxxxx joga van tiltakozni személyes adatainak kezelése ellen. Ebben az esetben a Xxxxxxx személyes adatait közvetlen üzletszerzési célból semmilyen esetben nem kezelheti tovább. Egyéb célú adatkezelést a tiltakozást követően a Cofidis akkor folytathat a továbbiakban, ha az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Ön érdekeivel, jogaival és szabadságaival szemben, vagy ezen okok jogi igények előterjesztéséhez, érvényesítéséhez vagy védel- méhez kapcsolódnak.

9.7 Az adathordozhatósághoz való jog:

Ön jogosult arra, hogy a Cofidis rendelkezésére bocsátott, az Ön hozzá- járulása vagy a Cofidisszel kötött szerződése alapján kezelt személyes adatait adathordozhatóságra alkalmas formátumban megkapja.

9.8 Az adatvédelmi felügyelő hatóság eljárásának kezdeményezése: Személyes adatai kezelésével kapcsolatban jogosult panasszal élni bár- mely, a GDPR szerinti adatvédelmi felügyelő hatóságnál, így különösen a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, amelynek elérhetőségei az alábbiak:

Nemzeti Adatvédelmi és Információszabadság Hatóság

Székhely: 0000 Xxxxxxxx, Xxxx Xxxxx xxxx 0-00. Levelezési cím: 1363 Budapest, Pf. 9.

Telefon: x00-0-000-0000, Fax: x00-0-000-0000

E-mail: xxxxxxxxxxxxxxx@xxxx.xx, Honlap: xxxx://xxx.xxxx.xx

9.9 Bírósági jogérvényesítés

Ha az Ön megítélése szerint személyes adataival kapcsolatban a Xxxxxxx a személyes adatok kezelésére vonatkozó előírásokat megsérti, Ön bí- rósághoz fordulhat.

A per során azt, hogy az adatkezelés az alkalmazandó előírásokban fog- laltaknak megfelel, az Adatkezelő köteles bizonyítani. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása sze- rint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

A perben fél lehet az is, akinek egyébként nincs perbeli jogképessé- ge. A perbe a Nemzeti Adatvédelmi és Információszabadság Hatóság az érintett pernyertessége érdekében beavatkozhat.

Ha a bíróság a kérelmének helyt ad, az Adatkezelőt a jogellenes adat- kezelés megszüntetésére, az adatkezelés jogszerűségének helyreállí- tására, illetve az érintett jogai érvényesülésének biztosítására kötelezi. A bíróság jogszabályban meghatározott esetekben elrendelheti ítéleté- nek – az Adatkezelő azonosító adatainak közzétételével történő – nyil- vánosságra hozatalát.

9.10 Kártérítéshez való jog

Ha az Adatkezelő a jogellenes adatkezeléssel vagyoni vagy nem vagyo- ni kárt okoz, köteles azt megtéríteni.

Az Adatkezelőt a kárért való felelősség az alkalmazandó előírásokban foglaltak szerinti terjedelemben és módon terheli, és az alól az ezekben foglaltak szerint mentesülhet.

1. MELLÉKLET – FOGALMAK

1. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelé- sének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog ha- tározza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

2. adatkezelés: a személyes adatokon vagy adatállományokon automati- zált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbí- tás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, össze- hangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

4. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

5. adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

6. adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fi- zikai megsemmisítése;

7. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevé- ben személyes adatokat kezel;

8. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbí- tott, tárolt vagy más módon kezelt személyes adatok véletlen vagy jog- ellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

9. cookie (sütik): a felhasználó böngészőjén keresztül annak a böngé- széshez használt eszközére kerülő információs fájl;

10. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügy- nökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.

11. direkt marketing (közvetlen üzletszerzési) tevékenység: azok- nak a közvetlen megkeresés módszerével végzett tájékoztató tevékeny- ségeknek és kiegészítő szolgáltatásoknak az összessége, amelyeknek célja termékek vagy szolgáltatások értékesítésével, szolgáltatásával vagy eladásösztönzésével közvetlen kapcsolatban álló reklám továbbí- tása a fogyasztók vagy kereskedelmi partnerek részére;

12. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;

13. harmadik személy: az a természetes vagy jogi személy, közha- talmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a sze- mélyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

14. az érintett hozzájárulása: az érintett akaratának önkéntes, konk- rét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő sze- mélyes adatok kezeléséhez;

15. IP cím: egyedi hálózati azonosító, amelyet az internetprotokoll se- gítségével kommunikáló számítógépek egymás azonosítására használ- nak;

16. személyes adat: az érintettre vonatkozó bármely információ;

17. tilalmi lista: azon érintettek név- és lakcímadatainak a nyilván- tartása, akik megtiltották, illetve – a közvetlen üzletszerző szerv erre irányuló előzetes megkeresése ellenére – nem járultak hozzá, hogy személyes adataikat kapcsolatfelvétel vagy üzletszerzési lista céljából felhasználják, vagy megtiltották azok e célból történő további kezelését;

2. MELLÉKLET – ÉRDEKMÉRLEGELÉSI TESZTRE VONATKOZÓ INFORMÁCIÓK

10. ÉRDEKMÉRLEGELÉSI TESZT ELVÉGZÉSÉNEK OKA

A hitel-, kölcsön- és lízing (a továbbiakban együtt: hitel) nyújtása, mint a Cofidis által végzett fő tevékenység a pénzügyi világban jelentős koc- kázatokkal jár. Kockázatról reális döntési alternatívák esetén beszélhe- tünk, egy esemény lehetséges kimenetelei testesítik meg a kockázatot. Ez egyben utal arra, hogy a kockázat vállalása nem egyoldalúan a vár- ható veszteség lehetőségét foglalja magában, hanem a várható nyere- séget is. A banki gyakorlatban azonban – a jogszabályi elvárásoknak és a gazdasági tényszerűségeknek megfelelően – a várható veszteségek meghatározására, felmérésére helyeződik a hangsúly.

A kockázathoz szorosan kapcsolódik a probléma, a veszély és a bi- zonytalanság fogalma. A probléma a megoldásra váró feladatot tes- tesíti meg; a veszély a körülmények olyan kedvezőtlen együttállására vonatkozik, mely a potenciális veszteségek bekövetkezéséhez vezet. A bizonytalanság pedig abból ered, hogy a lehetséges kimenetelek bekövetkezési valószínűsége nem ismert. A problémát az ügyfél hitel- képességének felmérése jelenti. A bank a potenciális ügyféltől, illet- ve harmadik féltől (pl. hitelinformációs rendszer) származó, valamint az ügyfeléről már nyilvántartott információk alapján határozza meg a hiteligénylő visszafizetési képességét és hajlandóságát. Ezen infor- mációk megbízhatósága csak részben bizonyítható, illetve a teljesí-

tést jövőbeli körülmények is befolyásolhatják. Ebből fakadóan a hitel- ügyletnek két alapvető kimenetele lehetséges: a hiteladós visszafizeti a felvett hitelt, annak kamataival együtt vagy nem fizeti vissza tarto- zását, ezáltal a Cofidisnekvesztesége keletkezik. Ez a két lehetséges kimenet testesíti meg a hitelnyújtás kockázatát.

A GDPR 6. cikk (1) bekezdés f) pontjában foglalt rendelkezések értelmé- ben a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekei- nek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek a személyes adatok védelmét teszik szükségessé. Xxxxx megállapítása céljából, hogy a jelen érdekmérlegelési teszt tár- gyát képező személyes adat vonatkozásában teljesül-e ez a feltétel, vagyis a Cofidis az Érintett további külön hozzájárulása nélkül, illet- ve hozzájárulásának visszavonását követően is jogosult-e személyes adatok (további) kezelésére, szükséges a jelen érdekmérlegelési teszt elvégzése.

Az érdekmérlegelési teszt során a Cofidis:

– azonosítja az adatkezelőnek, azaz a Cofidisnek az érdekmérlegelé- si teszt tárgyát képező személyes adatok kezeléséhez fűződő jogos érdekét,

– megállapítja az Érintetteknek az érdekmérlegelési teszt tárgyát képe- ző személyes adataival kapcsolatos érdekeit, az érintett alapjogokat, mint a Cofidis jogos érdekeinek ellenpontját,

– elvégzi a Cofidis jogos érdekeinek és az Érintettek érdekeinek, alapjo- gainak súlyozását és ez alapján megállapítja, hogy a személyes adat kezelhető-e.

11. A COFIDIS MINT ADATKEZELŐ JOGOS ÉRDEKE:

A jelen érdekmérlegelési teszt tárgyát képező személyes adatok: a hi- teligénylési nyomtatványon feltüntetett adatok, a Cofidis rendelkezésére álló meglévő ügyféladatok, valamint nyilvános adatbázisok adatai, így különösen az Érintettre vonatkozó azonosító adatok (családi és utónév, születési családi és utónév, állampolgárság, születési hely és idő, anyja születési neve, lakcím, azonosító okmányának típusa és száma, okirat érvényessége, bemutatott okirat másolata; videós azonosítás esetén az érintett képmása, okmányainak képe és hangja), amelyek az Érintett tudtával került a Cofidishez, a Cofidis és az érintett között létrejött szer- ződés megkötésének a céljából; továbbá a hiteligényléshez megadandó vagy annak kapcsán jogszerűen lekérdezhető adatok (jövedelmi hely- zet, fennálló hitelek és a Cofidisszel meglévő szerződések adatai).

A szerződésen alapuló hitel igénybevétele során a hitelfelvevő a Cofidisre ruházta a szerződés teljesítésével járó feladatok elvégzését.

A szerződés teljesítésével kapcsolatban az érintett személy fent neve- zett személyes adatai kezelését a szerződés megkötéséhez kapcsoló- dóan elfogadta, azzal a céllal, hogy a szerződés fennállása alatt az érin- tett ügyfél azonosítható legyen, illetve vele a szerződés megköthető és teljesíthető legyen.

A hitelszerződés alapján az Érintett hitelfelvevő hitelt kapott a Cofidistől, amelyet a szerződésben foglaltak szerint vissza kell fizetnie.

A hitelszerződés alapján a Cofidisnek valós és jogszerű érdeke fűződik ahhoz, hogy

– a hitelfelvevő a hitelszerződésből fakadó kötelezettségeit teljesítse,

– ennek biztosítása céljából a hitelfelvevő hitelképességét megvizsgálja,

– a hitelfelvevőt érintő kockázatokat előre értékelje, majd folyamatosan figyelemmel kísérje,

– és amennyiben a szerződésben foglaltak szerinti teljesítésre nem ke- rül sor, a hitelfelvevő teljesítésének elmaradásával járó jogi eljárások megindítása mellett a Cofidis prudens működésének követelményé- vel összhangban a jövőbeni kockázatok kiszűrje és a meglévő vesz- teségeket minimalizálja.

Az Érintett a fentiekben részletezett személyes adatainak kezelése a Cofidis valós és jogszerű érdekének érvényesítéséhez szükséges, mi- vel ez nélkülözhetetlen:

– az Érintettek egyértelmű azonosításához, hiszen az adatok egy része az Érintett természetes személyazonosítói adatai,

– a hitelszerződésből fakadó kötelezettségek nyilvántartásához, amely a Cofidis jogszabályi kötelezettsége is,

– az Érintettel történő kapcsolatfelvételhez, a megfelelő tájékoztatások nyújtásához, a hitel fizetéséhez kötődő megkeresések megküldésé- hez, valamint

– a fennálló vagy később esetlegesen jelentkező kockázatok megelő- zése, kiszűrése érdekében.

12. AZ ÉRINTETT ÉRDEKEI, ALAPJOGOK:

Magyarország Alaptörvénye szerint mindenkinek joga van a személyes adatai védelméhez. A személyes adatok védelmére Magyarországon a GDPR és az Infotv. tartalmaz rendelkezéseket, elsősorban azzal a cél- lal, hogy a természetes személyek magánszféráját az adatkezelők tart- sák tiszteletben, adatkezelésük során az adatkezelési alapelveknek, így különösen a jogszerűség, tisztességes eljárás és átláthatóság, a célhoz kötöttség és az adattakarékosság elveinek megfelelően járjanak el.

Az Érintettnek a fentiek szerint joga és védelmet élvező érdeke fűződik ahhoz, hogy

– információs önrendelkezési jogát gyakorolhassa,

– magánszféráját az adatkezelő tiszteletben tartsa,

– az információs önrendelkezési jog érvényesítését elősegítő jogszabá- lyi rendelkezések érvényesüljenek.

13. A COFIDIS ÉS AZ ÉRINTETT ÉRDEKEINEK MÉRLEGELÉSE

Az információs önrendelkezési jog nem abszolút jogosítvány, hanem megfelelő alkotmányos keretek között korlátozható.

Az Érintett fentiekben megjelölt személyes adatainak Xxxxxxx általi ke- zeléséhez, így különösen a hitelbírálati minősítés és a scoring saját fej- lesztésű adatbázisban történő elvégzéséhez, a kockázatkezeléshez és a belső ellenőrzéshez a Cofidisnek a fentiekben részletezettek szerint valós és egyértelműen jogos érdeke fűződik, mivel az nélkülözhetetlen az Érintettel szembeni szerződésből fakadó kockázatok felméréséhez, kezeléséhez, a fizetési képesség előrevetítéséhez, az elmaradás érvé- nyesítéséhez, a későbbi kockázatok kezeléséhez és a Cofidis tulajdo- nossal szembeni kötelezettségének teljesítéséhez.

Az Érintettnek ugyancsak lényeges érdeke fűződik a személyes adatai védelmében az információs önrendelkezési joga gyakorlásához, ma- gánszférájának védelméhez.

Kiemelten fontos körülmény, hogy a Xxxxxxx általi személyesadat-ke- zelés jellegéből fakadóan nem okoz jelentős érdeksérelmet az Érintett számára, hiszen a hitelszerződés megkötése az érintett kifejezett aka- ratával egyezően történt, a hitel nyújtása, mint a Xxxxxxx által teljesíten- dő szolgáltatás megszerzése érdekében.

A céljai megvalósítása érdekében hitelt felvevő Érintettnek ugyanak- kor jelentős érdeke fűződik ahhoz is, hogy a jogszabályoknak megfelelő szerződéseiből fakadó kötelezettségét teljesítse, és ennek érdekében megfelelő tájékoztatásban részesüljön.

A Xxxxxxx általi adatkezelést kényszerítő erejű jogos okként indokolja az, hogy a hitelbírálati, kockázatkezelési és ellenőrzési funkciók enélkül ellehetetlenülnének, ami előidézné azt, hogy a Cofidis szolgáltatásait az ügyfelek részére (ideértve a nem kockázatos ügyfeleket is) lényege- sen kedvezőtlenebb feltételekkel tudná csak biztosítani, illetve a koc- kázatos ügyfelek vonatkozásában csak későbbi, az ügyfelek szem- pontjából mind pénzügyi, mind adatkezelési tekintetben rájuk nézve kedvezőtlenebb eljárások megindítására kerülhetne sor.

Jelentős közérdek fűződik továbbá ahhoz, hogy a magánjogi jogala- nyok között létrejött szerződésekből fakadó kötelezettségek teljesí- tését a későbbi kockázatos ügyfelekre tekintettel nyomon kövessük, a forgalom biztonsága és a prudens működés figyelembevételével.

A problémás ügyfelek adatainak kezelése támogatja a szerződések teljesítéséhez fűződő jogbiztonság fennmaradását, és annak hiánya negatív hatással lehetne a Cofidis szerződéses gyakorlatára, és ezen keresztül a hazai piacgazdaság működésére, stabilitására.

Ennek alapján megfelelő jogos magánérdekek és közérdekek fűződ- nek ahhoz, hogy a magánjogi szerződések jogosultjai – jelen eset- ben a Cofidis – a fentebb részletezett tevékenységekhez kezelhessék az érintett személyes adatait, amelyek a fenti célok megvalósítása ér- dekében nélkülözhetetlenek.

14. BIZTOSÍTÉKOK

a) Az Érintett bármikor tiltakozhat személyes adatának kezelése ellen, ha az adatkezelés az adatkezelő jogos érdeke alapján történik.

b) Az adatkezelő a személyes adatokat ekkor nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érde- keivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

c) Az érintettre olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve jogha- tással jár vagy őt hasonlóképpen jelentős mértékben érinti, akkor terjedhet ki, ha ez az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges. Az érintett ekkor is jogosult arra, hogy emberi beavatkozást kérjen, álláspontját kife- jezze, és a döntés ellen kifogást nyújtson be.

d) Az adatkezelés tekintetében az érintett bármikor gyakorolhatja hoz- záférési jogát.

e) A Cofidis az érintetti kérelmet annak benyújtásától számított legrövi- debb időn belül, de legfeljebb 1 hónapon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérel- mezőt írásban tájékoztatja.

f) A Cofidis valamennyi ügyféladatot – a személyes adatok védelmére vonatkozó előírásokon túl – a banktitokra vonatkozó követelmények- nek megfelelően kezel és részesít fokozott védelemben.

15. AZ ÉRDEKMÉRLEGELÉSI TESZT EREDMÉNYE

A Cofidis a jelen teszt tárgyát képező személyes adatok kezeléséhez fűződő érdeke felülmúlja az Érintett személyes adatainak védelméhez fűződő érdekeit, tekintettel az alábbiakra:

– a Cofidisnek lényeges, valós érdeke fűződik a hitelbírálat, kockázatke- zelés, ellenőrzés elvégzéséhez, a hiteligénylő adatainak kezeléséhez,

– a tárgybeli személyes adatok Xxxxxxx általi kezeléséhez az Érintettnek is lényeges érdeke fűződik, a hitel felvétele és a vállalt kötelezettségei teljesítése érdekében,

– a megnevezett személyes adatok kezelése nem okoz jelentős érdek- sérelmet az Érintett számára,

– az érintett személyes adatok Xxxxxxx általi kezeléséhez közérdek is köthető,

– a Cofidis által az alkalmazandó előírásoknak megfelelően nyújtott adatvédelmi és adatbiztonsági biztosítékok a tárgybeli személyes adat kezelése által az érintettnek okozott érdeksérelmet tovább csökkentik.

ÖSSZEGZÉS:

Az érdekmérlegelési teszt eredményeként tehát megállapításra került, hogy a GDPR 6. cikk (1) bekezdés f) pontjában meghatározott adatkeze- lési jogalap a fentiekben megjelölt személyes adatok kezelése vonatko- zásában a Cofidis által jogszerűen alkalmazható.