A Selection Capital Ingatlan Alapkezelő Zártkörűen Működő Részvénytársaság Adatkezelési tájékoztatója
Adatkezelési tájékoztatója
Módosítás/ hatálybalépés dátuma: 2021. szeptember 1.
- AZ ADATKEZELÉSI TÁJÉKOZTATÓ CÉLJA
A Selection Capital Zrt. (továbbiakban: „Selection Capital”, vagy „Adatkezelő”, vagy „Társaság”), mint adatkezelő, magára nézve kötelezőnek ismeri el jelen jogi közlemény tartalmát. A Selection Capital kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés megfelel a jelen szabályzatban és a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak.
A jelen tájékoztató célja az abban foglalt, így pedig különösen elsősorban a Selection Capital által végzett tevékenységek és általa nyújtott szolgáltatások keretében felmerülő adatkezelésekkel kapcsolatos tájékoztatás nyújtása.
A Selection Capital adatkezeléseivel kapcsolatosan felmerülő adatvédelmi szabályzatok, tájékoztatók folyamatosan elérhetők a www.selectioncapital.hu webcímen.
A Selection Capital fenntartja magának a jogot jelen tájékoztató bármikori, egyoldalú megváltoztatására.
Amennyiben kérdése lenne jelen tájékoztatónkhoz kapcsolódóan, kérjük, írja meg nekünk, a 3. pontban meghatározott elérhetőségeinkre és kollégánk megválaszolja kérdését.
A Selection Capital elkötelezett ügyfelei és partnerei személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását. A Selection Capital a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonsága érdekében szükséges.
A Selection Capital az alábbiakban ismerteti adatkezelési elveit, bemutatja azokat az elvárásokat, melyeket saját magával, mint adatkezelővel szemben megfogalmazott, és betart. Adatkezelési alapelvei összhangban vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal:
• 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: „Info tv.”);
• Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 9/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: „GDPR”)
• a kollektív befektetési formákról és kezelőikről, valamint egyes pénzügyi tárgyú törvények módosításáról szóló 2014. évi XVI. törvény („Kbftv.”),
• 2017. évi LIII. törvény – a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról (a továbbiakban: „Pmt.”)
• a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Grt.”). - DEFINÍCIÓK, ADATKEZELÉSRE VONATKOZÓ ELVEK
2.1 Defínicók
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
3
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy hazai jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a hazai jog is meghatározhatja;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a hazai joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
cookie”: a cookie egy rövid szöveges fájl, amit a webszerverünk elküld az érintett eszközére (legyen szó bármilyen számítógépről mobiltelefonról vagy tabletről) és olvas vissza. Vannak ideiglenes (munkamenet vagy más néven session) cookie-k, amelyek automatikusan törlődnek az eszközéről, amikor bezárja a böngészőt, és vannak hosszabb élettartamú cookie-k, amelyek hosszabb ideig maradnak az érintett eszközén (ez függ az érintett eszközének beállításaitól is);
„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
„érintett” a személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható személy, amely mindig egy meghatározott személy kell, hogy legyen. Kizárólag természetes személyek minősülnek érintettnek, tehát jogi személyek nem, ezáltal az adatvédelem csak a természetes személyek adatait védi. Viszont személyes adatnak minősül például az egyéni vállalkozó vagy egy cég képviselőjének adata is (pl. telefonszáma, email címe, születési helye, ideje stb.).
„érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a
személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„harmadik ország”: azon ország, amely az Európai Uniónak és az Európai Gazdasági Térségnek nem tagállama. Az Európai Unió tagállamai köthetnek olyan nemzetközi megállapodásokat, amelyek kiterjednek a személyes adatoknak a harmadik országok vagy a nemzetközi szervezetek részére történő továbbítására, ha e megállapodások nem érintik a GDPR vagy az uniós jog egyéb rendelkezéseit;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. A természetes személyek továbbá összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyek profiljának létrehozására és az adott személy azonosítására;
2.2. Az adatkezelésre vonatkozó elvek ismertetése
Az Adatkezelő a személyes adatokat jogszerűen és tisztességesen, az érintettek számára átlátható módon, a jelen tájékoztatóban meghatározott, egyértelmű és jogszerű célokból kezeli („célhoz kötöttség elve szerint”). Az adatkezelés az Adatkezelő céljainak eléréséhez szükséges mértékre korlátozódik („adattakarékosság”). A pontosság elvének megfelelően Adatkezelő biztosítja, hogy az általa kezelt személyes adatok naprakészek legyenek, ennek érdekében Adatkezelő minden ésszerű intézkedést megtesz, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse („pontosság elve”). Adatkezelő tudomásul veszi, hogy a személyes adatokat csak a céljainak eléréséhez szükséges ideig tárolhatja (korlátozott tárolhatóság elve”). Adatkezelő az adatok kezelését oly módon végzi, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is („integritás és bizalmas jelleg”). Ezen adatkezelési elvnek való megfelelés érdekében tett adatbiztonsági intézkedéseket a jelen tájékoztató 9. pontja tartalmazza. Adatkezelő a bemutatott elveknek való megfelelés igazolása érdekében az egyes adatkezelési műveleteiről belső adatkezelési nyilvántartásokat vezet („elszámoltathatóság elve”).
- AZ ADATKEZELŐ ADATAI
Az Adatkezelő adatai, elérhetőségei a következők:
| Név: | Selection Capital Zrt. |
| Székhely: | 1037 Budapest, Szépvölgyi út 39. |
| Cégjegyzékszám: | 01-10-140897 |
| Adószám: | 27983908 |
| Telefonszám: | 0619990433 |
| E-mail: | csobadi.akos@selectioncapital.hu |
| Adatkezelő képviselője: | Csobádi Ákos Lajos |
| Adatvédelemmel kapcsolatban kijelölt kapcsolattartó: | Csobádi Ákos Lajos |
Az Adatkezelő jelen tájékoztató szerinti adatkezelésével kapcsolatos bármely kérdését, kérését kérjük juttassa el az info@selectioncapital.hu e-mail címre, illetve írásban a 1037 Budapest, Szépvölgyi út 39. posta címünkre.
- A KEZELT SZEMÉLYES ADATOK KÖRE, AZ ADATKEZELÉS CÉLJA, JOGCÍME ÉS IDŐTARTAMA
Felhívjuk a Selection Capital részére adatközlők figyelmét, hogy amennyiben nem saját személyes adataikat adják meg, az adatközlő kötelessége az érintett harmadik személy hozzájárulásának beszerzése. Előfordulhat, hogy a Selection Capital a harmadik személlyel személyes kapcsolatba nem kerül, így a jelen pontnak való megfelelést az adatközlő köteles biztosítani, és Selection Capitalt ezzel összefüggésben felelősség nem terheli. Ettől függetlenül, a Selection Capital mindenkor jogosult ellenőrizni, hogy valamely személyes adat kezelésére a megfelelő jogalap rendelkezésre áll-e. A Selection Capital minden tőle telhetőt megtesz annak érdekében, hogy töröljön minden olyan személyes adatot, amelyet jogosulatlanul bocsátottak a rendelkezésére. A Selection Capital biztosítja, hogy amennyiben ez a tudomására jut, ezen személyes adat más számára nem kerül továbbításra, sem a Selection Capital által felhasználásra.
Az egyes adatkezeléseinkkel kapcsolatban a következő tájékoztatásokat adjuk.
4.1. ÁLLÁSHIRDETÉSRE JELENTKEZÉSSEL KAPCSOLATOS ADATKEZELÉS
Az adatkezelés célja:
Az érintettek adatainak kezelése állásra történő jelentkezés céljából.
Az adatkezelés jogalapja:
Az érintett hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont.
A kezelt személyes adatok köre:
Érintett személyes adatai, amennyiben az érintett által rendelkezésünkre bocsátott önéletrajzon szerepelnek:
• Név
• Nem
• Állampolgárság
• Lakcím
• Születési hely, idő
• Telefonszám
• Nyelvtudás
• Szakmai tapasztalat, érdeklődési terület
• Egyéb, az önéletrajzban szereplő adatok
Az adatkezelés időtartama:
Az érintett hozzájárulása visszavonásáig (törlési kérelméig), ennek hiányában a Selection Capital az állásra jelentkezők (akár konkrét meghirdetett állásra, akár álláshirdetés nélkül benyújtott jelentkezési anyagok esetén) pályázati anyagait azok beérkezésétől számított legfeljebb két évig tárolja, annak érdekében, hogy esetlegesen felmerülő toborzási igényeihez ezen időszak alatt felhasználja. A Selection Capital erről az állásra jelentkezőket honlapján jelen tájékoztatóval tájékoztatja. Ennek megfelelően ezen pályázati anyagok tárolásának jogalapja az érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont). A pályázati anyagokhoz a Selection Capital munkaügyi osztályának illetékes kollegái, illetve a kiválasztási folyamat során döntéshozatalra jogosult illetékes munkatársak férhetnek hozzá.
4.2. DIREKTMARKETING MEGKERESÉSEKKEL KAPCSOLATOS ADATKEZELÉS
Az adatkezelés célja:
Az érintettek részére közvetlen megkeresés küldése a Társaság által a Társaság termékeire, szolgáltatásaira vonatkozóan.
Az adatkezelés jogalapja:
Érintett önkéntes hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont
A kezelt személyes adatok köre:
• Név
• Pozíció
• Email-cím
• Telefon
• Cégnév, cég címe
Az adatkezelés időtartama:
Az érintett hozzájárulása visszavonásáig (törlési kérelméig). A hozzájárulást a Társaság fenti 3. pontban megjelölt székhelyére küldött levélben, vagy a info@selectioncapital.hu címre küldött e-mailben bármikor vissza lehet vonni.
4.3. PANASZKEZELÉSSEL KAPCSOLATOS ADATKEZELÉS
Az adatkezelés célja:
Az érintettek panaszainak jogszabályoknak, illetve kapcsolódó felügyeleti ajánlásoknak, így különösen az Magyar Nemzeti Bank 13/2015. (X.16) számú ajánlásának megfelelő kezelése, kivizsgálása és megválaszolása. A panaszkezelésre vonatkozó részletes szabályokat az Adatkezelő panaszkezelési szabályzata tartalmazza, mely elérhető a www.selectioncapital.hu linken.
Az adatkezelés jogalapja:
Adatkezelőre vonatkozó, a Kbftv. 11. § (1) bekezdés a) pontja és az ott hivatkozott, a Kbftv. 2. számú mellékletének 10. pontjában előírt jogi kötelezettségek teljesítése – GDPR 6. cikk (1) bekezdés c) pont
.
A panasz kivizsgálásával kapcsolatosan kezelt személyes adatok köre:
a) ügyfél neve,
b) szerződésszám, ügyfélszám
c) lakcím, levelezési cím, telefonszám
d) panasz előterjesztésének helye, ideje, módja,
e) értesítés módja,
f) panasszal érintett termék vagy szolgáltatás,
g) panasz leírása, oka,
h) ügyfél igénye,
i) a panasz alátámasztásához szükséges, az ügyfél birtokában lévő olyan dokumentumok másolata, amely az Adatkezelőnél nem áll rendelkezésre és azok által tartalmazott adatok,
j) maghatalmazott útján eljáró ügyfél esetében érvényes meghatalmazás és az által tartalmazott adatok,
k) a panasz kivizsgálásához szükséges egyéb adat.
Az Adatkezelő a panaszokról nyilvántartást vezet, mely tartalmazza:
a) panasz leírását, panasz tárgyát képező esemény vagy tény megjelölését;
b) a panasz benyújtásának időpontját;
c) a panasz rendezésére vagy megoldására szolgáló intézkedés leírását, elutasítás esetén annak indokát;
d) az intézkedés teljesítésének határidejét és a végrehajtásért felelős személy megnevezését;
e) a panasz megválaszolásának időpontját.
Az adatkezelés időtartama:
A panasz megtételétől számított 5 év, azzal, hogy amennyiben ezen időtartam alatt jogvita merül fel és bírósági és/vagy hatósági eljárás indul, úgy a jogvita jogerős lezárásáig kerülnek az adatok kezelésre.
4.4. ÜGYFÉLÁTVILÁGÍTÁSSAL KAPCSOLATOS ADATKEZELÉS
Az adatkezelés célja:
A Társaság ügyfeleinek átvilágítása a vonatkozó jogszabályi előírásoknak megfelelően a Pmt. 6. § (1) bekezdése szerinti esetekben.
Az adatkezelés jogalapja:
Adatkezelőre vonatkozó, a Pmt. 6.,7.,8. és 9. §-aiban előírt jogi kötelezettségek teljesítése – GDPR 6. cikk (1) bekezdés c) pont
- Az ügyfél azonosítás során kezelt adatok köre:
a) természetes személy esetén:
8
aa) családi és utóneve,
ab) születési családi és utóneve,
ac) állampolgársága,
ad) születési helye, ideje,
ae) anyja születési neve,
af) lakcíme, ennek hiányában tartózkodási helye,
ag) azonosító okmányának típusa és száma;
b) jogi személy vagy jogi személyiséggel nem rendelkező szervezet esetén:
ba) név, rövidített név,
bb) székhelye, külföldi székhelyű vállalkozás esetén – amennyiben ilyennel rendelkezik – magyarországi fióktelepének címe,
bc) főtevékenysége,
bd) képviseletére jogosultak neve és beosztása,
be) ha ilyennel rendelkezik – kézbesítési megbízottjának a természetes személyekre vonatkozó a) pont aa) és af) alpontjai szerinti adatai,
bf) cégbírósági nyilvántartásban szereplő jogi személy esetén cégjegyzékszáma, egyéb jogi személy esetén a létrejöttéről (nyilvántartásba vételéről, bejegyzéséről) szóló határozat száma vagy nyilvántartási száma,
bg) adószáma.
- A fentieken túl a személyazonosság igazoló ellenőrzése érdekében az alábbi okiratok bemutatását követeli meg az Adatkezelő vagy jogosult közhiteles nyilvántartásból adatlekérdezést végezni:
a) természetes személy esetén
aa) magyar állampolgár esetében a személyazonosság igazolására alkalmas hatósági igazolványát és lakcímet igazoló hatósági igazolványát, ez utóbbit abban az esetben, ha lakóhelye vagy tartózkodási helye Magyarországon található,
ab) külföldi állampolgár esetében úti okmányát vagy személyazonosító igazolványát, feltéve, hogy az magyarországi tartózkodásra jogosít, tartózkodási jogot igazoló okmányát vagy tartózkodásra jogosító okmányát, magyarországi lakcímet igazoló hatósági igazolványát, amennyiben lakóhelye vagy tartózkodási helye Magyarországon található;
b) jogi személy, jogi személyiséggel nem rendelkező szervezet esetén a nevében vagy megbízása alapján eljárni jogosult személy a) pontban megjelölt okiratának bemutatásán túl az azt igazoló – harminc napnál nem régebbi – okiratot, hogy
ba) a céget a cégbíróság nyilvántartásba vette, vagy a cég a bejegyzési kérelmét benyújtotta, egyéni vállalkozó esetében az egyéni vállalkozói tevékenység megkezdésének bejelentése megtörtént vagy az egyéni vállalkozó nyilvántartásba vételre került,
bb) a b) pont ba) alpontba nem tartozó belföldi jogi személy esetén, ha annak létrejöttéhez hatósági vagy bírósági nyilvántartásba vétel szükséges, a nyilvántartásba vétel megtörtént,
9
bc) külföldi jogi személy vagy jogi személyiséggel nem rendelkező szervezet esetén a saját országának joga szerinti bejegyzése vagy nyilvántartásba vétele megtörtént;
c) bírósági vagy hatósági nyilvántartásba vétel iránti kérelem bírósághoz vagy hatósághoz történő benyújtását megelőzően a jogi személy vagy jogi személyiséggel nem rendelkező szervezet létesítő okiratát. - A pénzmosás és a terrorizmus finanszírozása megelőzése és megakadályozása, a Pmt-ben meghatározott kötelezettségek megfelelő teljesítése, az ügyfél-átvilágítási kötelezettség teljes körű végrehajtása, valamint a felügyeleti tevékenység hatékony ellátása céljából az Adatkezelő a személyazonosság igazoló ellenőrzése érdekében:
a) a fenti 1. pontban meghatározott adatokat tartalmazó, bemutatott okiratról – ideértve az okiratban feltüntetett valamennyi személyes adatot -, a lakcímet igazoló hatósági igazolvány személyi azonosítót igazoló oldala kivételével másolatot készít, vagy
b) a fenti 1. pontban meghatározott adatok vonatkozásában elvégzett közhiteles nyilvántartásból történő adatlekérdezés eredményét rögzíti és nyilvántartja. - A fentieken túl az adatkezelő kezeli az ügyfél tényleges tulajdonosára vonatkozó alábbi adatokat:
Amennyiben természetes személy ügyfél jár el természetes személy nevében:
a) családi és utónevét,
b) születési családi és utónevét,
c) állampolgárságát,
d) születési helyét, idejét,
e) lakcímét, ennek hiányában tartózkodási helyét,
f) kiemelt közszereplői minőségre vonatkozó adatok.
Amennyiben természetes személy jogi személy vagy jogi személyiséggel nem rendelkező szervezet ügyfél képviseletében jár el:
a) családi és utónevét,
b) születési családi és utónevét,
c) állampolgárságát,
d) születési helyét, idejét,
e) lakcímét, ennek hiányában a tartózkodási helyét,
f) a tulajdonosi érdekeltség jellegét és mértékét,
h) kiemelt közszereplői minőségre vonatkozó adatok.
Az Adatkezelő köteles a tényleges tulajdonos személyazonosságára vonatkozó adat ellenőrzésére a részére bemutatott okirat, nyilvánosan hozzáférhető nyilvántartás vagy más olyan nyilvántartás alapján, amelynek kezelőjétől törvény alapján adatigénylésre jogosult.
Amennyiben jogi személy vagy jogi személyiséggel nem rendelkező szervezet ügyfél tényleges tulajdonosa a vonatkozó előírások alapján a vezető tisztségviselő, az adatkezelő köteles a vezető tisztségviselőt azonosítani és személyazonosságának igazoló ellenőrzését elvégezni, melynek keretében
10
a fentiek szerinti természetes személyekre vonatkozó adatokat köteles kezelni. Az Adatkezelő köteles rögzíteni az elvégzett ügyfél-átvilágítási intézkedéseket, valamint az arra vonatkozó információt is, ha ezen intézkedéseket nem tudta végrehajtani. - Fentieken túl természetes személy ügyfél kapcsán kezelésre kerül azon információ, hogy kiemelt közszereplőnek vagy kiemelt közszereplő közeli hozzátartozójának, vagy a kiemelt közszereplővel közeli kapcsolatban álló személynek minősül-e és amennyiben igen, úgy az ügyfél köteles az adatkezelő szolgáltatásának igénybevételével kapcsolatos pénzeszközök forrására és a vagyon forrására vonatkozó információkat is megadni.
Az adatkezelés időtartama:
A Pmt. 56. § (2) bekezdése alapján az adatkezelő az ügyfélátvilágítás során birtokába jutott személyes adatokat, a Pmt. 57. § (1) bekezdése alapján a személyes adatnak nem minősülő adatokat, a Pmt. 57. § (1) bekezdése alapján pedig a birtokába jutott okiratot, illetve annak másolatát, beleértve az elektronikus azonosítás során birtokába jutott okiratot is, valamint a Pmt. szerinti esetleges bejelentés és a Pmt. 42. § szerinti adatszolgáltatás teljesítését, az ügylet teljesítésének a 34. § és a 35. § szerinti felfüggesztését igazoló iratot, illetve azok másolatát, valamint minden egyéb, az üzleti kapcsolattal összefüggésben keletkezett iratot, illetve azok másolatát az üzleti kapcsolat megszűnésétől, illetve az ügyleti megbízás teljesítésétől számított 8 évig jogosult, illetve köteles kezelni, ezen határidőt követően ezek törlésre illetve megsemmisítésre kerülnek, kivéve a Pmt. 58. § (1) előírása szerint, amennyiben az adatkezelő felügyeletét ellátó szerv, a pénzügyi információs egység, a nyomozó hatóság, az ügyészség vagy a bíróság megkeresésére az üzleti kapcsolat megszűnésétől, illetve az ügyleti megbízás teljesítésétől számított 8 évnél hosszabb ideig, de ez esetben is legfeljebb 10 évig köteles megőrizni. Ez utóbbi esetben az adatkezelő a kapcsolódó eljárás meghiúsulását vagy jogerős lezárását követően törli a meghosszabbított adatkezeléssel érintett adatokat.
4.5. Ügyfelekkel történő szerződéskötés, létrejött szerződések teljesítése, kapcsolódó számviteli és adójogi kötelezettségek teljesítése
Az adatkezelések célja: - Ügyfelekkel történő szerződéskötés és szerződések teljesítése és
- A szerződések teljesítésével kapcsolatos, számviteli és adójogi kötelezettségek teljesítése.
Az adatkezelések jogalapja: - Szerződés megkötése, illetve szerződés teljesítése – GDPR 6. cikk (1) bekezdés b) pont
- Adatkezelőre vonatkozó jogi (adójogi és számviteli) kötelezettségek teljesítése – GDPR 6. cikk (1) bekezdés c) pont
A kezelt személyes adatok köre:
• Név, anyja neve,
• Születési név,
• Születési hely és idő
• Lakcím
• Bankszámlaszám
Az adatkezelés időtartama:
Az adózás rendjéről szóló 2017. évi CL. törvény 78. § (3) bekezdés alapján a bizonylat kiállításához szükséges adatokat tartalmazó bizonylatot, könyvet, nyilvántartást tartalmazó iratokat a nyilvántartás módjától függetlenül az adó megállapításához való jog elévüléséig, halasztott adó esetén a halasztott
11
adó esedékessége naptári évének utolsó napjától számított öt évig, ezen felül a 2000. évi C. törvény 169. § (1) és (2) bekezdése által előírt könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatokat (beleértve többek között a megállapodást vagy szerződést is amely a gazdasági esemény elszámolását támasztja alá), valamint ezeket alátámasztó nyilvántartásokat Adatkezelő nyolc évig köteles megőrizni. Amennyiben ezen időtartam alatt jogvita merül fel és bírósági és/vagy hatósági eljárás indul és az ezen időtartamon túl ér véget, úgy a jogvita jogerős lezárásáig kerülnek az adatok kezelésre. - AUTOMATIZÁLT DÖNTÉSHOZATAL, PROFILALKOTÁS
Az Adatkezelőnél automatizált döntéshozatalra nem kerül sor és a az adatkezelő nem végez profilalkotást. - ADATFELDOLGOZÁS
Az adatkezelő a jelen tájékoztatóval érintett adatkezelései tekintetében adatfeldolgozót az alább részletezettek szerint vesz igénybe.
Az Adatkezelő az ezen dokumentumban részletezett adatkezelése ellátásához az itt nevesített Adatfeldolgozókat veszi igénybe. Az Adatfeldolgozók önálló döntést nem hoznak, kizárólag az Adatkezelővel kötött szerződés és a kapott utasítások szerint jogosultak eljárni. Az Adatkezelő ellenőrzi az Adatfeldolgozók munkáját. Az Adatfeldolgozók további adatfeldolgozó igénybevételére csak az Adatkezelő előzetes írásbeli hozzájárulásával jogosultak.
Adatfeldolgozók:
1.
Név: Barakuda Informatika Zártkörűen Működő Részvénytársaság
Székhely: 1024 Budapest, Rózsahegy utca 1.
Cégjegyzékszám: 01 10 048490
E-mail: info@barakuda.hu
Adatfeldolgozás célja: Az IT rendszerek/hardverek üzemeltetéséhez, karbantartásához és a kötelező mentésekhez szükséges hozzáférésekből adódó esetleges adatfeldolgozás.
2.
Név: INTEGRITY Informatikai Korlátolt Felelősségű Társaság
Székhely: Székesfehérvár
Postacím :1132 Budapest, Victor Hugo u. 18-22.
Cégjegyzékszám: 07 09 003739
E-mail: info@integrity.hu
Adatfeldolgozás célja: A szerver rendszerek karbantartásához és üzemeltetéséhez szükséges hozzáférésekből adódó esetleges adatfeldolgozás.
3.
Név: Trinity Consulting Tanácsadó és Informatikai Zártkörűen Működő Részvénytársaság
Székhely: 1037 Budapest, Montevideo utca 7.
Cégjegyzékszám: 01 10 045264
E-mail: kreskai.daniel@trinityconsulting.hu
Adatfeldolgozás célja: A Trias Real Estate rendszer bérléséhez szükséges és alkalmazása során felmerülő esetleges adatfeldolgozás.
4.
12
Név: NormaConto Pénzügyi, Számviteli és Tanácsadó Korlátolt Felelősségű Társaság
Székhely: 1221 Budapest, Bimbó utca 5.
Cégjegyzékszám: 06 09 007555
E-mail: info@normaconto.hu
Adatfeldolgozás célja: A bérszámfejtéshez és könyveléshez szükséges hozzáférésekből adódó esetleges adatfeldolgozás.
5.
Név: Comfort Business Solutions Korlátolt Felelősségű Társaság
Székhely: 1096 Budapest, Sobieski János utca 30. fszt. 1.
Cégjegyzékszám: 01 09 307868
E-mail: illes.gyorgy@comfortadvise.hu
Adatfeldolgozás célja: A belső szabályzatok szerinti működés ellenőrzéséhez, ideértve az informatikai működést is, és a belső jelentések készítéséhez szükséges hozzáférés biztosítása.
6.
Név: Velkei Csaba egyéni vállalkozó
Székhely: 1038 Budapest, Tündérliget u. 9. A ép B lph, fsz. 2.
Cégjegyzékszám/ nyilvántartási szám: 50031443
E-mail: velkei.csaba@t-online.hu
Adatfeldolgozás célja: A belső eljárások kialakításához, amely ellenőrizhetővé teszi és szabályozza a cég törvényes működését, illetve a jogszabályok betartatásához szükséges hozzáférés biztosítása. - AZ ÉRINTETTEK JOGAIRÓL VALÓ TÁJÉKOZTATÁS
7.1 A tájékoztatáshoz, valamint a kezelt személyes adatokhoz való hozzáféréshez való jog (GDPR 13. és 15. cikkek):
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken
13
alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat az Adatkezelő széles körben használt elektronikus formátumban bocsátja rendelkezésre, kivéve, ha az érintett másként kéri.
Az előző bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
A fentiek szerinti jogok a 3. pontban megjelölt elérhetőségeken keresztül gyakorolhatók.
7.2 Helyesbítés joga (GDPR 16.cikk):
Az Adatkezelő az érintett kérésére az érintettre nézve pontatlan személyes adatot indokolatlan késedelem nélkül helyesbíti. Az adatkezelés célját figyelembe véve az érintett jogosult arra, hogy kérje a hiányos személyes adatainak – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
7.3. Törléshez („elfeledtetéshez”) való jog (GDPR 17.cikk):
Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat:
a) személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre vagy amennyiben az adatkezelés közvetlen üzletszerzéshez kapcsolódna;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből;
c) megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében és ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll;
d) a népegészségügy területét érintő olyan közérdekből, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
14
e) a népegészségügy területét érintő közérdek alapján és ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll;
f) közérdekű archiválás, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést1; vagy
g) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
7.4 Az adatkezelés korlátozásához való jog (GDPR 18.cikk):
Az érintett kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az érintett ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett az Adatkezelő közérdeken vagy jogos érdeken alapuló adatkezelése kapcsán tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az Adatkezelő azon érintettet, akinek a kérésére a fentiek alapján korlátozta az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
7.5 Adathordozhatósághoz való jog (GDPR 20.cikk):
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés hozzájáruláson vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog fentiek szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
Az adathordozhatósághoz való jog gyakorlása nem sértheti a törléshez („elfeledtetéshez”) való jogot. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.
7.6 Tiltakozáshoz való jog (GDPR 21.cikk):
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az Adatkezelő általi kezelése ellen, amennyiben az adatkezelés jogalapja közérdek vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítésének szükségessége, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
7.7 Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást (GDPR 22.cikk)
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
A fenti előírás nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
A fenti a) és c) pontjában említett esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
A fent említett döntések nem alapulhatnak a személyes adatok különleges kategóriáin, kivéve, ha a GDPR 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, azaz a különleges adatok kezelésére a GDPR szerinti megfelelő hozzájárulás vagy a GDPR által meghatározottak szerinti
16
jelentős közérdek alapján kerül sor és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor. Az Adatkezelő a jelen pont kapcsán rögzíti, hogy jelenleg a jelen tájékoztató 5. pontjában foglaltaknak megfelelően az Adatkezelő által a jelen tájékoztatóban rögzített adatkezelések kapcsán automatizált döntéshozatalra és profilalkotásra sem kerül sor.
7.8. Visszavonás joga (GDPR 7.cikk (3):
Az érintett jogosult arra, hogy amennyiben az Adatkezelő adatkezelése az érintett hozzájárulásán alapul hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
- ADATBIZTONSÁGI INTÉZKEDÉSEK:
Az Adatkezelő, valamint a szerverhálózat üzemeltetője az adatokat az észszerűen hozzáférhető legkorszerűbb hardver- és szoftvertámogatás mellett védi különösen a jogosulatlan hozzáféréstől, megváltoztatástól, továbbítástól, nyilvánosságra hozataltól, törléstől vagy megsemmisítéstől, valamint a véletlen megsemmisülés és sérülés ellen, ezzel szolgálva az adatbiztonságot. Az Adatkezelő által kezelt adatokat főszabály szerint csak az Adatkezelőnek a jelen tájékoztatóban meghatározott adatkezelési célok megvalósításában résztvevő munkavállalói és egyéb közreműködői ismerhetik meg, akiket munkaszerződésük, illetve a foglalkoztatásukra vonatkozó jogviszonyuk, továbbá egyéb szerződéses jogviszonyuk, a jogszabályi rendelkezések, illetőleg az Adatkezelő utasítása alapján valamennyi, általuk megismert adat tekintetében titoktartási kötelezettség terhel.
Az Adatkezelő minden adatkezelési tevékenységét pontosan dokumentálni kell. Az Adatkezelőnek valamennyi általa végzett adatkezelési tevékenységről nyilvántartást kell vezetnie. Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza a kezelt adatok továbbításának időpontját, jogalapot, címzettet, adatok körének meghatározását, az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
8.1 Papíralapon kezelt személyes adatok biztonsága
A papíralapon kezelt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza, melyeket az Adatkezelő minden munkavállalója köteles betartani:
• az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;
• a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;
• a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá;
• a munkáltató adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
• az Adatkezelő adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
• amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza az Adatkezelő.
8.2 A digitálisan tárolt személyes adatok biztonsága
17
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza:
• az adatkezelés során az Adatkezelő által használt számítógépek az Adatkezelő tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír az Adatkezelő;
• az Adatkezelő rendszerében található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről az Adatkezelő rendszeresen gondoskodik;
• az adatokkal történő minden központilag kezelt rendszeradat nyomon követhetően naplózásra kerül;
• a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
• amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
• a hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos tükrözéssel kerüli el az Adatkezelő az adatvesztést;
• a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez az Adatkezelő illetve megbízott adatfeldolgozója, a mentés a központi szerver teljes adatállományára vonatkozik és adathordozóra történik;
• a lementett adatokat tároló adathordozó az erre a célra kialakított páncéldobozban tűzbiztos helyen és módon tárolt;
• a személyes adatokat kezelő hálózaton az Adatkezelő a vírusvédelemről folyamatosan gondoskodik;
• a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával az Adatkezelő megakadályozza illetéktelen személyek hálózati hozzáférését,
• az Adatkezelő munkavállalói az az Adatkezelő hálózatához csak az az Adatkezelő vezetékes hálózatán vagy egyedi esetekben távolról titkosított VPN kapcsolaton keresztül csatlakozhatnak. - ELJÁRÁS A 7. PONT SZERINTI JOGOK GYAKORLÁSÁVAL KAPCSOLATOS ÉRINTETTI KÉRELEM ESETÉN
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon (30 napon) belül tájékoztatja az érintett a jelen tájékoztatóban rögzített jogok gyakorlásával kapcsolatos érintetti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal (60 nappal) meghosszabbítható. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás lehetőség szerint elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az Adatkezelő a kért információkat és tájékoztatást díjmentesen biztosítja, azzal, hogy amennyiben az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés
18
meghozatalával járó adminisztratív költségekre észszerű összegű díjat számolhat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
Az Adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről. - ÉSZREVÉTELEIT, KÉRDÉSEIT, PANASZÁT ÍGY JELEZHETI
Ön a tárolt személyes adatával és az adatkezeléssel kapcsolatos bármely kérdését, kérését, tiltakozását írásban vagy e-mailben tudja eljuttatni az Adatkezelő ezen tájékoztatóban írt elérhetőségeire. Kérjük, tartsa szem előtt, hogy személyes adatai kezelésével kapcsolatban – az Ön érdekében – csak abban az esetben áll módunkban felvilágosítást adni, illetve intézkedést tenni, ha személyazonosságát hitelt érdemlően igazolta. - ADATVÉDELMI INCIDENSEK KEZELÉSE
Az Adatlezelő a személyes adatok törvényes és biztonságos kezelésére kiemelt figyelmet fordít. Adatvédelmi incidensnek nevezzük a biztonság olyan sérülését, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. 11.1 Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. A bejelentésben a felügyeleti szervet a következőkről kell tájékoztatni: a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
19
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. 11.2 Az érintettek tájékoztatása az adatvédelmi incidensről Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül, világosan és közérthetően tájékoztatja az érintettet az adatvédelmi incidensről. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül: a) Az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. - Jogorvoslat Az érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (levelezési cím: 1363 Budapest, Pf.: 9., telefon: +36 (1) 391-1400, email: ugyfelszolgalat@naih.hu, honlap: www.naih.hu) bejelentéssel vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatai kezelésével kapcsolatban jogsérelem érte vagy annak közvetlen veszélye fennáll, illetve jogainak megsértése esetén bírósághoz is fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani. A per elbírálása a törvényszék hatáskörébe tartozik. A pert az érintett választása szerint a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindíthatja.
A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani.