ADATKEZELÉSI TÁJÉKOZTATÓ
Az ERGO Versicherung Aktiengesellschaft Magyarországi Fióktelepe, mint adatkezelő (továbbiakban biztosító) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info törvény) 20. § (1) és (2) bekezdése alapján az alábbiak szerint tájékoztatást ad az általa végzett adatkezelés elveiről. 1. Kapcsolódó fogalmak Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy; Ügyfél: ügyfélnek minősül a szerződő, a biztosított, a kedvezményezett, a károsult, a biztosító szolgáltatására jogosult más személy; az adatvédelemi rendelkezések alkalmazásában ügyfél az is, aki a biztosító számára szerződéses ajánlatot tesz; Személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés; Különleges adat: az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat; Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; Tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri; Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja; Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj-vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; Adattovábbítás: az hozzáférhetővé tétele;
adat
meghatározott
harmadik
személy
számára
történő
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges; Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából; Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
1 Hatályos: 2015.10.01-től
Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése; Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik; Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján történő szerződést is - adatok feldolgozását végzi; Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; Harmadik ország: minden olyan állam, amely nem EGT-állam; Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés. 2.
Az adatkezelés célja
Az adatkezelés célja a biztosítási szerződés megkötéséhez, módosításához, állományban tartásához, a biztosítási szerződésből származó követelések megítéléséhez szükséges, vagy törvény által meghatározott egyéb cél. 3.
Az adatkezelés jogalapja
Az ERGO Versicherung Aktiengesellschaft Magyarországi Fióktelepe adatkezelése az ügyfelek hozzájárulásán, valamint a biztosítási tevékenység végzését szabályozó 2003. évi LX. törvény (Biztosítási törvény) és az Info törvény felhatalmazásán, valamint a biztosítási tevékenységre vonatkozó törvényekben előírt kötelező adatkezelési rendelkezéseken alapul. A biztosító az ügyfél egészségi állapotával összefüggő adatokat a fent meghatározott célokból, az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről szóló 1997. évi XLVII. törvény rendelkezései szerint, kizárólag az érintett írásbeli hozzájárulásával kezelheti. 4.
A kezelt adatok köre
A biztosító abból a célból kezel személyes adatokat, hogy az ügyfelei részére az életbiztosítási tevékenység végzéséhez kapcsolódó feladatokat teljesítse. E körben a biztosítót a tudomására jutott és az ügyfelei személyi körülményeire, vagyoni helyzetére, gazdálkodására, valamint a biztosítóval kötött biztosítási szerződéseire vonatkozó – államtitoknak és szolgálati titoknak nem minősülő - adatok tekintetében (biztosítási titok) időbeli korlátozás nélkül titoktartási kötelezettség terheli. 5.
Az adatkezelés időtartama
A biztosító a személyes adatokat a biztosítási jogviszony fennállásának idején, valamint azon időtartam alatt kezelheti, ameddig a biztosítási jogviszonnyal kapcsolatban igény érvényesíthető.
2 Hatályos: 2015.10.01-től
A létre nem jött biztosítási szerződéssel kapcsolatos személyes adatokat a biztosító addig kezelhet, ameddig a szerződés létrejöttének meghiúsulásával kapcsolatban igény érvényesíthető. A biztosító köteles törölni minden olyan, ügyfeleivel volt ügyfeleivel vagy létre nem jött szerződéssel kapcsolatos személyes adatot, amelynek kezelése esetében az adatkezelési cél megszűnt, vagy amelynek kezeléséhez az érintett hozzájárulása nem áll rendelkezésre, illetve amelynek kezeléséhez nincs törvényi jogalap. A biztosító az Info törvény 6. § (5) bekezdésében foglaltak alapján, az ott meghatározott körben, további külön hozzájárulás nélkül, illetve a hozzájárulás visszavonását követően is jogosult a személyes adatok kezelésére. Az adatkezelési időtartam lejártával egyidejűleg a személyes adatok törlésre kerülnek. A biztosító a törvényen alapuló kötelező adatkezelés esetén a vonatkozó törvényben előírt határidő lejártáig kezeli az érintettnek a törvényben megjelölt személyes adatait, a törvényben meghatározott célból. 6.
Adatfeldolgozás, adattovábbítás, elektronikus adatfeldolgozás
6.1. Adatfeldolgozás A biztosító, mint adatkezelő - az adatvédelmi előírások betartása mellett - az ügymenetének bármely elemét kiszervezheti, kivéve a Biztosítási törvény 6. számú melléklet I. pontjában foglaltakat. A kiszervezett tevékenységet végző közreműködőt csak a biztosító előzetes írásbeli jóváhagyásával alkalmazhat. A termékértékesítés más általi végzése nem minősül az ügymenet kiszervezésének. Amennyiben a kiszervezett tevékenység keretében a biztosító az ügyfeleinek személyes adatát továbbítja a kiszervezett tevékenységet végzőhöz, úgy a kiszervezett tevékenységet végző a biztosító adatfeldolgozójának minősül. A biztosító adatfeldolgozójának a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az Info törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között a biztosító határozza meg. Az adatfeldolgozó részére adott utasítások jogszerűségéért a biztosító mint adatkezelő felel. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a biztosító rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a biztosító rendelkezései szerint köteles tárolni és megőrizni. 6.2. Adattovábbítás A biztosító által kezelt személyes adatok, mint biztosítási titok, csak akkor adhatók ki harmadik személynek, ha a) az ügyfél vagy annak törvényes képviselője a kiszolgáltatható biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásban felmentést ad, vagy b) törvény alapján a titoktartási kötelezettség nem áll fenn. A Biztosító a Biztosítási törvény 157. § - 159. §- ban szereplő felhatalmazás alapján az érintett hozzájárulása nélkül is továbbíthat biztosítási titoknak minősülő személyes adatokat az ott felsorolt szerveknek. 6.3. Elektronikus adatfeldolgozás A biztosító megbízásából elektronikus adatfeldolgozási tevékenységet végző szervezet:
Szervezet
ERGO Fióktelepe
Versicherung (székhely: 1082
Adatkezelési szempontú tevékenység adatkezelő
3 Hatályos: 2015.10.01-től
Budapest, Futó u. 47-53., cg.: 01-10-045982) ERGO Versicherung Aktiengesellschaft (AT-1110 Wien, ERGO Center, Businesspark Marximum/Objekt 3, Modecenterstrasse 17.) 7.
elektronikus adatfeldolgozó
Előzetes tájékoztatási kötelezettség
Az adatkezelőnek az érintettel az adatkezelés megkezdése előtt közölnie kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az adatkezelőnek az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. A biztosító az előzetes tájékoztatási kötelezettségének a biztosítási termékekre vonatkozó általános szerződési feltételekkel, a szerződéskötéshez kapcsolódó nyomtatványokkal és a jelen adatkezelési tájékoztatóval tesz eleget. 8.Az érintettek jogai és érvényesítésük 8.1. Tájékoztatás kérése személyes adatok kezeléséről Az érintett bármikor tájékoztatást kérhet a személyes adatai kezeléséről (módjáról, folyamatáról), kérheti az esetlegesen hibás adatok helyesbítését, illetve – a kötelező adatkezelés kivételével – kérheti a személyes adatai törlését vagy zárolását. Törlés vagy zárolás kérése esetén a biztosító ugyanakkor nem tudja garantálni, hogy a biztosítási szerződésen alapuló kötelezettségeit maradéktalanul teljesíteni tudja. A biztosító az érintett kérelmére írásban tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. A biztosító a belső adatvédelmi felelőse útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az adatvédelmi incidensekkel kapcsolatos intézkedések nyilvántartásában tárolt adatokat öt évig, a különleges adatok húsz évig meg kell őrizni. A biztosító a kért tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül adja meg az érintett részére. A tájékoztatás ingyenes. A biztosító az érintett tájékoztatását csak az Info törvényben meghatározott esetekben tagadhatja meg. A tájékoztatás megtagadása esetén a biztosító írásban közli az érintettel, hogy a felvilágosítás megtagadására az Info törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén a biztosító tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság
4 Hatályos: 2015.10.01-től
Hatósághoz (székhelycím: 1024 Budapest, Szilágyi Erzsébet fasor 22/c.; a továbbiakban: Hatóság) fordulás lehetőségéről. 8.2. Személyes adatok helyesbítésének kérése Ha a személyes adat nem felel meg a valóságnak, és a valóságnak megfelelő személyes adat a biztosító, mint adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti. 8.3. Személyes adatok törlésének vagy zárolásának kérése A személyes adatot törölni kell, ha a) kezelése jogellenes; b) az érintett kéri, kivéve, ha az adatkezelés jogszabály kötelező rendelkezésén alapul; c) az hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki; d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; e) azt a bíróság vagy a Hatóság elrendelte. Törlés helyett a biztosító zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. A biztosító megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Ha a biztosító az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről. 8.4. Tiltakozás a személyes adatok kezelése ellen Az érintett tiltakozhat személyes adatának kezelése ellen, a) ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint c) törvényben meghatározott egyéb esetben. A biztosító a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha a biztosító az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
5 Hatályos: 2015.10.01-től
Ha az érintett a biztosító döntésével nem ért egyet, illetve ha a biztosító a hivatkozott 15 napos határidőt elmulasztja, az érintett - a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül bírósághoz fordulhat. 8.5. Bírósági jogérvényesítés Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik. A per - az érintett választása szerint - az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. A biztosító, mint adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Ha a Biztosító, mint adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett a Biztosítótól sérelemdíjat követelhet. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért és az adatkezelő köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott. 8.6. Marketing célú adatkezelés A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (Reklámtv.) 6. § (1) bekezdése alapján közvetlen üzletszerzés céljából reklám természetes személynek, mint reklám címzettjének közvetlen megkeresése módszerével (így különösen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján, a postai címzett reklámküldemény kivételével) kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult. A biztosító nyilvántartja a hozzájáruló nyilatkozatot tevő személyek adatait a hozzájáruló nyilatkozat, valamint a vonatkozó jogszabályokban foglaltak (Reklámtv., a kutatás és közvetlen üzletszerzés célját szolgáló név és lakcímadatok kezeléséről) alapján. Az ebben a nyilvántartásban rögzített adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával továbbítható. Az érintett ügyfél hozzájárulhat, hogy a biztosító az irányadó jogszabályokkal összhangban marketing célból közvetlen megkereséssel postai levélben vagy egyéb kommunikációs eszköz (telefon, e-mail, SMS stb.) útján tájékoztassa a szolgáltatásairól és ebből a célból az adatait kezelje. Az érintett a marketing célból való adatkezelésre vonatkozó hozzájárulását bármikor, korlátozás és indokolás nélkül ingyenesen visszavonhatja a biztosítóhoz címzett postai levélben, vagy a nevét, a születési idejét és az édesanyja nevét tartalmazó, az
[email protected] címre küldött e-mailben. Ebben az esetben az ügyfél részére a továbbiakban reklám célú megkeresés nem küldhető.
6 Hatályos: 2015.10.01-től