Szab-17/2010-7 - Adatvédelmi szabályzat (bankcsoport szintű utasítás)
Folyamatgazda szakterület
belső adatvédelmi felelős
Szakértők:
Dr. Dósa Imre – belső adatvédelmi felelős
Kapcsolódó hatósági vagy GE szabályozások
Tartalomjegyzék I.
BEVEZETŐ RENDELKEZÉSEK................................................................................................................................................................................. 2
II.
ÁLTALÁNOS RÉSZ ................................................................................................................................................................................................. 3 1. 2.
A SZABÁLYZAT HATÁLYA: ........................................................................................................................................................................................ 3 FOGALMAK MEGHATÁROZÁSA .................................................................................................................................................................................. 4 2.5.1 Általános fogalmak .................................................................................................................................................................................. 4 2.5.2 Jogi fogalmak ........................................................................................................................................................................................... 5
III. KÜLÖNÖS RÉSZ .................................................................................................................................................................................................. 10 1.
AZ ADATKEZELÉSSEL KAPCSOLATOS ALAPVETŐ SZABÁLYOK ............................................................................................................................................ 10 1.1. Az adatkezelés célhoz kötöttsége és arányossága .............................................................................................................................. 10 1.2. Az Adatalany hozzájárulása és az adatkezelésre szóló törvényi felhatalmazás ................................................................................ 10 1.3. Az Adatalany (érintett) jogai ................................................................................................................................................................ 13 1.4. Személyes adatok nyilvánosságra hozatala ........................................................................................................................................ 14 1.5. ADATTOVÁBBÍTÁS KÜLFÖLDRE ................................................................................................................................................................................. 14 1.7. A Társaság adatkezelései ...................................................................................................................................................................... 15 1.8. Konzultáció a Belső adatvédelmi felelőssel ......................................................................................................................................... 15 2. A MUNKAVÁLLALÓK SZEMÉLYES ADATAINAK KEZELÉSE ................................................................................................................................................. 16 3. A TÁRSASÁG NEM HITELEZÉSI ÜZLETI PARTNEREINEK ADATAI, AZOK KEZELÉSE ................................................................................................................... 17
1/21
4. INFORMÁCIÓBIZTONSÁG ........................................................................................................................................................................................... 17 5. A BELSŐ ADATVÉDELMI FELELŐS ÉS AZ ADATVÉDELMI NYILVÁNTARTÁS ........................................................................................................................... 17 5.1. A Belső adatvédelmi felelős .................................................................................................................................................................. 17 5.2. Belső adatvédelmi nyilvántartás .......................................................................................................................................................... 18 5.4. Az adatvédelmi oktatás rendje ............................................................................................................................................................. 19 5.5. Az adatvédelmi kontrollok .................................................................................................................................................................... 19 6. KÖZPONTI HITELINFORMÁCIÓS RENDSZERRE VONATKOZÓ SZABÁLYOK ............................................................................................................................ 21 7. MELLÉKLETEK: ........................................................................................................................................................................................................ 21
I.
BEVEZETŐ RENDELKEZÉSEK
A Budapest Hitel és Fejlesztési Bank Zrt. (székhelye: 1138 Budapest, Váci út 193.; cégjegyzékszáma: Fővárosi Bíróság, mint Cégbíróság 01-10041037), a Budapest Lízing Zrt. (székhelye: 1138 Budapest, Váci út 193.; cégjegyzékszáma: Fővárosi Bíróság, mint Cégbíróság 01-10-041997), a Budapest Autófinanszírozási Zrt. (székhelye: 1138 Budapest, Váci út 193.; cégjegyzékszáma: Fővárosi Bíróság, mint Cégbíróság 01-10-043394), valamint a Budapest Alapkezelő Zrt. (székhelye: 1138 Budapest, váci út 193., cégjegyzékszáma: Fővárosi Bíróság Cégbírósága 01-10-041964), a Budapest Eszközfinanszírozó Korlátolt Felelősségű Társaság (1138 Budapest, Váci út 193., cégjegyzékszáma: Fővárosi Bíróság Cégbírósága Cg. 01-09-266772), az SBB Solution Zártkörűen Működő Részvénytársaság (székhelye: 1138 Budapest, Váci út 193.. cégjegyzékszáma: ővárosi Bíróság Cégbírósága 01-10-041505), valamint a Budapest Flotta Szolgáltató és Kezelő Zártkörűen Működő Részvénytársaság (székhelye: 1138 Budapest Váci út 193., cégjegyzékszáma: Fővárosi Bíróság Cégbírósága 01-10-043545) (a továbbiakban együtt is, mint: Társaság) a jelen utasításban felsorolt jogszabályokban foglalt követelmények alapján, a törvényi előírások végrehajtása érdekében, az alábbi adatvédelmiszabályzatot készítette.
A Szabályzat célja:
2/21
Jelen Szabályzat célja a Társaság leendő, meglévő vagy jogviszonyuk alapján már megszűntnek vagy elutasítottnak minősített ügyfelei, valamint a Társaság munkavállalói vagy egyéb, munkavégzésre irányuló jogviszony alapján foglalkoztatott személyek, illetőleg a Társasággal szerződéses kapcsolatban álló partnerek vagy más harmadik természetes személyek (a továbbiakban együtt, mint: Adatalany vagy Érintett) által, meghatározott adatkezelési célból, a Társaság részére átadott személyes adataik kezelése, továbbítása, feldolgozása, tárolása során biztosítva legyen az adatalanyok információs önrendelkezési jogának maradéktalan érvényesülése, törvényes érdekeik és jogaik védelme, az adatok kezelésének jogszerű célhoz rendelése és a felhasználás alatt mindvégig e jogszerű célhoz kötöttsége. A Szabályzat célja továbbá az adatok kezelésének és továbbításának, jogszerűsége, fenntartható legyen azok minősége, és biztosítva legyen az adatok jogosulatlan személyek általi hozzáférhetetlensége. Az adatalanyi minőség - és ezáltal az adatvédelmi szabályoknak történő megfelelés követelménye - a személyes adat jogszerű módon történő megszerzésétől kezdődően, az adott jogviszony létrehozásán keresztül annak fennállása alatt és azt követően is fennáll mindaddig, amíg az adott adatalannyal összefüggésben a személyes adatok végleges és visszafordíthatatlan módon történő törlése, deperszonalizálása - vagy ahol az lehetséges, illetve szükséges, a megsemmisítése - végrehajtásra nem kerül. E szabályzat célja továbbá, hogy meghatározza a Bankcsoportban vezetett adatvédelmi nyilvántartások működésének törvényes rendjét, biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak az érvényesülését, valamint hogy a személyes adatok kezelése a jogszabályokban előírtaknak megfelelően történjen. Jelen Szabályzat a Bankcsoport tevékenységével összefüggően az adatvédelem alapvető elveit, alkalmazandó legfontosabb szabályait határozza meg. Adott és a jelen Szabályzatban is hivatkozott, kapcsolódó belső utasítások tartalmazhatnak részletes szabályokat egy meghatározott adatkezeléssel kapcsolatos követendő eljárásról, feladatokról és felelősségi körökről, az adattovábbítás módjáról és feltételeiről, az adatok törléséről. *
II. ÁLTALÁNOS RÉSZ
1. A Szabályzat hatálya:
3/21
Jelen Szabályzat a Társaság valamennyi munkavállalójára, munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott munkatársára, ezen felül valamennyi szerződő partnerére, egyéb adatkezelőkre vagy adatfeldolgozóra kiterjed, akik/amelyek feladatuk ellátása során az Adatalany személyes adatnak minősülő adataival bármilyen jellegű műveletet végeznek (ahhoz hozzáférnek, azt kezelik, feldolgozzák, továbbítják, törlik, stb.) A Szabályzat hatálya kiterjed a Társaságban - annak székhelyén, telephelyén és fióktelepén – folytatott valamennyi, természetes személy személyes adatait tartalmazó adatkezelésre illetve adatfeldolgozásra, függetlenül attól, hogy az adatkezelés illetve adatfeldolgozás teljesen vagy részben számítógépes eszközzel (elektronikus úton), illetve manuális módon történik.
2. Fogalmak meghatározása 2.5.1 Általános fogalmak Adat
Bizalmasság
Tények, elképzelések nem értelmezett, de értelmezhető közlési formája. Az adatok tárolásának megszűntetése. Módszerei: - elektronikus rendszer esetén: törlés vagy deperszonalizálás - elektronikus hordozható adattároló esetén: demagnetizálás vagy fizikai megsemmisítés - papír: fizikai megsemmisítés (pl. égetés, lezúzás). az információ azon tulajdonsága, amely meghatározza, kik számára megismerhető.
Biztonság
A működés zavartalan állapota, melyben folyamatos, korlátozásoktól mentes, teljes körű üzleti tevékenység fenntartható.
Adatmegsemmisítés (törlés)
Budapest Bankcsoport A Budapest Bank és leányvállalatainak összessége vagy egyes tagjai. Deperszonalizálás (anonimizálás)
4/21
Olyan technikai eljárás, amely biztosítja az érintett személy vagy céges ügyfél és az adat közötti kapcsolat helyreállítása lehetőségének végleges kizárását, oly módon, hogy adatokat vissza nem állítható módon elmaszkolja vagy egyéb módon torzítja. Ezáltal nem lehet egyértelműen az adott személyt (akár természetes, akár jogi személy) beazonosítani. (Lásd még: „Személyes adat” bejegyzést).
Dokumentum
Valamely szerv működése vagy személy tevékenysége során keletkezett vagy hozzá érkezett, egy egységként kezelendő rögzített információ, adategyüttes, amely megjelenhet papíron, mikrofilmen, mágneses, elektronikus vagy bármilyen más adathordozón; tartalma lehet szöveg, adat, grafikon, hang, kép, mozgókép vagy bármely más formában lévő információ vagy ezek kombinációja.
Dokumentumkezelés
Dokumentum készítése, nyilvántartása, rendszerezése, biztonságos megőrzése, használatra bocsátása, megsemmisítése és/vagy levéltárba adása.
Elektronikus dokumentum
Számítástechnikai program felhasználásával - elektronikus formában rögzített - elektronikus úton keletkezett, érkezett vagy továbbított dokumentum, amelyet számítástechnikai adathordozón tárolnak. Elektronikus vagy papír alapú, kitöltésre és aláírásra kerülő dokumentum, amely jellemzően két típusú elemből épül fel: 1. minden esetben azonosan használt, „előre megírt”, változatlanul maradó szövegrész(ek) valamint 2. a konkrét eset/ügylet során konkrét adatok megjelenítésére szolgáló adatmező(k). Jelentéstöbblettel bíró adat vagy adathalmaz. A Bankcsoport munkájában részt vevő, nem alkalmazotti jogviszonyban lévő dolgozó. OHR száma 5-tel kezdődik. E körbe tartoznak a jogi fogalomként definiált „Harmadik személyek” közül az e kategóriába eső személyek. Az információs vagyonelem azon tulajdonsága, amely lehetővé teszi, hogy az, a feljogosított felhasználó által támasztott igény alapján, hozzáférhető és igénybe vehető legyen. Az információs vagyon elemeinek pontosságának és teljességének védelmét biztosító tulajdonság.
Formanyomtatvány Információ Külső munkatárs Rendelkezésre állás Sértetlenség
2.5.2 Jogi fogalmak
Adatfeldolgozás
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról)
Adatfeldolgozó
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelő megbízásából beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi.
5/21
Adatkezelés
Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNSminta, íriszkép) rögzítése is.
Adatkezelő
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Adattovábbítás
Ha a személyes vagy egyéb adatot meghatározott harmadik személy (vagy külső munkatárs) számára hozzáférhetővé teszik.
Adatvédelem
A személyes adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.
Adatzárolás
Személyes adatok tekintetében az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, megváltoztatásának, megsemmisítésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele.
Avtv.
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
Banktitok
Banktitok minden olyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik. Banktitok szempontjából a pénzügyi intézmény ügyfelének kell tekinteni mindenkit, aki (amely) a pénzügyi intézménytől pénzügyi szolgáltatást vesz igénybe.
6/21
Bit. Biztosítási titok Bszt.
Értékpapírtitok
2003. évi LX. törvény a biztosítókról és a biztosítási tevékenységről. Biztosítási titok minden olyan - államtitoknak nem minősülő -, a biztosító, a biztosításközvetítő, a biztosítási szaktanácsadó rendelkezésére álló adat, amely a biztosító, a biztosításközvetítő, a biztosítási szaktanácsadó egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerződéseire vonatkozik. 2007. évi CXXXVIII. törvény a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól. Értékpapírtitok minden olyan, az egyes ügyfélről a befektetési szolgáltató, az árutőzsdei szolgáltató, a befektetésialap-kezelő, a tőzsde és az elszámolóházi tevékenységet végző szervezet rendelkezésére álló adat, amely az ügyfél személyére, adataira, vagyoni helyzetére, üzleti befektetési tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, illetve a befektetési szolgáltatóval, árutőzsdei szolgáltatóval, befektetésialap-kezelővel kötött szerződéseire, számlájának egyenlegére és forgalmára vonatkozik. Az értékpapírtitokra vonatkozó rendelkezések szempontjából ügyfélnek kell tekinteni mindenkit, aki (amely) befektetési szolgáltatótól, árutőzsdei szolgáltatótól, befektetésialap-kezelőtől, tőzsdétől, elszámolóházi tevékenységet végző szervezettől szolgáltatást vesz igénybe.
Harmadik ország
Minden olyan ország, amely nem tagja az Európai Gazdasági Közösségnek.
Harmadik személy
A személyes adatkezelés tekintetében olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
Hozzájárulás
Az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Hpt.
2013. évi CCXXXVII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról.
Információbiztonsági Program
Összefoglaló elnevezése az információ- és IT biztonsággal foglalkozó tevékenységek, folyamatok és szabályzatok együttesének. Az Információbiztonsági Program végrehajtása az IT biztonság, kockázatkezelés és törvényi megfelelés csoport feladatainak részét képezi.
7/21
Közérdekből nyilvános adat
Minden olyan, természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet kezelésében lévő vagy rá vonatkozó, a közérdekű adat fogalma alá nem tartozó adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli.
Közérdekű adat
Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső adat.
Különleges adat
a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat.
Minõsített adat
a) a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelmérõl szóló törvényben meghatározott köziratban szereplõ, államtitkot vagy szolgálati titkot tartalmazó adat, b) a szóban közölt államtitkot vagy szolgálati titkot képezõ információ, c) államtitkot vagy szolgálati titkot képezõ információt hordozó objektum, technikai eszköz, d) nem tárgyiasult formában megjelenõ államtitkot vagy szolgálati titkot képezõ információ, eljárási mód vagy más ismeretanyag;
Mny. Tv.
1997. évi LXXXII. törvény a magánnyugdíjról és a magán nyugdíjpénztárakról.
Nyilvánosságra hozatal
Ha a személyes vagy egyéb adatot bárki számára hozzáférhetővé teszik.
Öpt.
1993. évi XCVI. törvény az Önkéntes Kölcsönös Biztosító Pénztárakról.
8/21
Pénztártitok
Pénztártitok minden olyan, a pénztártagról a pénztár vagy a pénztári szolgáltató szervezet rendelkezésére álló, a tevékenysége folytán tudomására jutó tény, információ vagy adat, amely a pénztártag személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, tulajdonosi, üzleti kapcsolataira, valamint egyéni számláján nyilvántartott összegre, járulékbefizetéseire és a részére járó nyugdíjszolgáltatásra vonatkozik.
Ptk.
Polgári Törvénykönyvről szóló 2013. évi V. törvény.
Személyes adat
Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.
Személyesadatnyilvántartó rendszer (nyilvántartó rendszer)
Személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető.
Tiltakozás
Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
Ttv.
2009. évi CLV. törvény a minősített adat védelméről.
Üzleti titok
A Bankcsoport gazdasági tevékenységéhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a Bankcsoport jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a Bankcsoport a szükséges intézkedéseket megtette. A megőrzésnek nincs időkorlátja. (Ptk.)
9/21
III. KÜLÖNÖS RÉSZ
1.
1.1.
Az adatkezeléssel kapcsolatos alapvető szabályok
Az adatkezelés célhoz kötöttsége és arányossága
1.1.1. Személyes adat csak meghatározott törvényes célból, jog gyakorlása, kötelezettség teljesítése érdekében kezelhető. Az adatkezelés célhoz kötöttségét, arányosságát az Infotv. szabályozza. A célhoz kötöttséget az érintett hozzájárulása nem pótolja. Az adatkezelés céljának meghatározásakor az összes Bankcsoportban releváns adatkezelési célt számba kell venni. Az adatkezelési cél meghatározásáért az adatkezelést megalapozó termék, folyamat üzleti felelőse tartozik felelősséggel. 1.1.2. A statisztikai célra felvett, átvett vagy feldolgozott személyes adatok csak statisztikai célra használhatóak fel. 1.2.
Az Adatalany hozzájárulása és az adatkezelésre szóló törvényi felhatalmazás
1.2.1. Személyes adat a Társaságnál akkor kezelhető, ha - ahhoz az érintett hozzájárult, vagy - azt törvény illetve törvény felhatalmazása alapján helyi önkormányzati rendelet elrendeli. 1.2.1.1. A Társaság ügyfeleitől az adott Társaság Üzletszabályzatának megfelelően irányadó fejezetében foglaltak alapján, valamint külön íven megszövegezett dokumentumon („TÁJÉKOZTATÓ A BUDAPEST BANK-CSOPORT ÁLTAL A KÖZPONTI HITELINFORMÁCIÓS RENDSZER („KHR”) RÉSZÉRE TÖRTÉNŐ ADATSZOLGÁLTATÁSRÓL VALAMINT AZ ÜGYFELEK SZEMÉLYES ADATAINAK KEZELÉSÉRŐL”) szerzi be a személyes adatok kezeléséhez való hozzájárulást. A hozzájárulást bizonyítható módon kell beszerezni Szerződéskötéskor kért felhatalmazáshoz a Hpt. értelmében (és az Infotv. szabályaival összhangban) elegendő az ügyfél aláírása is, tehát az egyszerű okirati forma.
10/21
A Hpt./Tpt. és az Infotv. rendelkezéseivel összhangban kialakított - a Budapest Bank, a Budapest Alapkezelő, a Budapest Autófinanszírozás és a Budapest Lízing lakossági és vállalati ügyfélkörbe tartozó ügyfelei esetén rendszeresített - fent körülírt KHR Tájékoztató és Adatkezelési Nyilatkozat minden ügyletkötést megelőzően az ügyféllel vagy képviselőjével aláíratandó. A KHR Tájékoztató és Adatkezelési Nyilatkozat aláírásának ügyfél általi megtagadása az ügyletkötés elutasításával jár. A KHR Tájékoztató és Adatkezelési Nyilatkozattal kapcsolatos tudnivalókat tartalmazó belső segédlet a jelen utasítás 1. sz. mellékletét képezi. A jelen pontban körülírt KHR Tájékoztató és Adatkezelési Nyilatkozat ügyfél által kellő időben történő aláírásáért, az ehhez szükséges folyamat kialakításáért, annak működtetéséért, a folyamat szükség szerinti rendszeres felülvizsgálatáért és ellenőrzéséért első sorban az adott pénzügyi szolgáltatásért felelős termékmenedzser, másodsorban a terület SMT szintű vezetője felelős. 1.2.1.2. Előfordulhat, hogy a pénzügyi- vagy befektetési szolgáltatásra vonatkozó szerződéskötést megelőző fázisban, az igények felmérése, az előzetes és nem kötelező érvényű bírálat vagy más körülmények miatt a szerződéses jogviszony létrehozásával egyidejűleg használatos KHR Tájékoztató és Adatkezelési Nyilatkozat komplexitása miatt még nem alkalmazható, így az un. „prospective” (leendő) ügyfelek hozzájárulását elkülönült, külön íven szövegezett hozzájárulással, illetőleg akár elektronikus úton (pl. interneten keresztül vagy rögzített telefonbeszélgetés során) beszerezhetjük. Ennek egyik, példaként szolgáló mintáját a jelen Szabályzat 2. sz. melléklete tartalmazza. Konkrét esetben javasolt lehet a Belső adatvédelmi felelős segítségét kérni a szöveg kialakításához. A jelen pontban körülírt „prospective” ügyfél hozzájárulás kellő időben történő beszerzéséért, az ehhez szükséges folyamat kialakításáért, annak működtetéséért, a folyamat szükség szerinti rendszeres felülvizsgálatáért és ellenőrzéséért első sorban az adott pénzügyi szolgáltatásért felelős termékmanager, másodsorban a terület SMT szintű vezetője felelős. 1.2.1.3. A Társaság munkavállalóitól vagy munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott munkatársaitól a jelen utasítás 2.3. pontjában szabályozottak alapján, egyéb természetes személy szerződéses partnereitől az adott jogviszonyra irányadó szerződés keretei között szerzi be a szükséges adatkezelési hozzájárulást. A hozzájárulást minden esetben, írásban kell beszerezni, az adott jogviszonyra vonatkozó alaki szabályok betartásával. A jelen pontban körülírt Nyilatkozat munkavállaló vagy díjazás ellenében foglalkoztatott gyakornokok által kellő időben történő aláírásáért, az ehhez szükséges folyamat kialakításáért, annak működtetéséért, a folyamat szükség szerinti rendszeres felülvizsgálatáért és ellenőrzéséért első sorban az adott területért felelős HR manager, másodsorban az Emberi erőforrás vezető, míg az önkéntes alapon, díjfizetés nélkül foglalkoztatott gyakornokok, a beszállítók által alkalmazott munkatársak, a munkaerő kölcsönző cégeken keresztül bérelt munkaerő, valamint a megbízási szerződéssel foglalkoztatott egyéni vállalkozók (megbízottak) esetén az adott, a foglalkoztatást igénybe vevő és a szerződést kötő üzleti terület menedzsere, másodsorban pedig annak SMT szintű vezetője a felelős.
11/21
1.2.1.4. Amennyiben adatkezelést törvény vagy felhatalmazása alapján önkormányzati rendelet ír elő, az Adatalany előzetes hozzájárulására nincs szükség (ami az előzetes tájékoztatást ugyanakkor nem érinti, ha a törvény azt megköveteli). Az adatkezelést az adott törvényi előírás szerint és annak keretei között kell végezni, akár az Adatalany tiltakozása vagy ellenvetése esetén is. (pl. a pénzmosás megelőzéséről és megakadályozásáról szóló törvény a pénzügyi intézményekre bizonyos adatkezelési és adattovábbítási kötelezettséget ír elő ügyfelek vagy pénzügyi ügyletek vonatkozásában, amelyet akkor is végre kell hajtani, ha az ügyfél kifogásolja, vagy tiltakozik ellene, illetve ha a törvény megköveteli, akár az Adatalany tudta és előzetes tájékoztatása nélkül is). Törvényen alapuló adatkezeléseknél az Adatalany jogorvoslati lehetőségeit is az adatkezelést elrendelő törvény szabályozza. Néhány jellemző törvényen alapuló adatkezelés: - A Társaság érdeke ezt az ügyféllel szemben fennálló követelése eladásához vagy lejárt követelése érvényesítéséhez szükségessé teszi. - A Hpt. a banktitok megtartásának kötelezettsége alól felmentést ad, illetve meghatározza mi, nem jelenti a banktitok sérelmét. - a Pmtv. alapján a pénzmosási bejelentési kötelezettség teljesítése nem tekinthető a banktitok megsértésének. 1.2.1.5. Az Infotv. értelmében az érintett kérelmére indult eljárásban - ilyen lehet pl. a hitelbírálati eljárás lefolytatása céljából benyújtott kérelem vagy a leendő munkavállaló által a Társasághoz beadott önéletrajz és motivációs levél, stb. - a szükséges adatainak kezeléséhez való hozzájárulást vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni, melyre alapvetően a KHR Tájékoztató és Adatkezelési Nyilatkozat szolgál, illetőleg leendő ügyfelek esetén lehetőség van ettől eltérően, előzetesen jóváhagyott hozzájárulási szöveg felhasználására is (ld. Pl. az un. „prospective” ügyfelek esetén a 2. sz. mellékletet). Az érintettel az adat felvétele előtt közölni kell az adatkezelés célját, valamint azt, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést, elrendelő jogszabályt is (pl. pénzmosás megelőzési célból felvett tényleges tulajdonosi nyilatkozat esetén a Pmtv., ill a KHR adattovábbítás lehetőségéről történő előzetes tájékoztatás esetén a vonatkozó törvényi rendelkezések). A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. 1.2.1.6. A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak kötelesek az általuk megismert ügyfél személyes adatait, mint banktitkot időkorlátozás nélkül megőrizni. A banktitok megsértése és/vagy a személyes adatok jogosulatlan kezelése adott esetben büntetőjogi
12/21
kategóriába is tartozó cselekmények lehetnek, ugyanakkor polgári jogi kárfelelősségi és munkajogi következményei is lehetnek egy jogosulatlan adatkezelésnek vagy banktitok megsértésének. A Társaság által a jelen Szabályzat hatálybalépését követően rendszeresítendő valamennyi formanyomtatványon, űrlapon – ideértve a nyomtatott és a számítógépes formátumot is - el kell különíteni és egyértelműen meg kell jelölni az adott adatkezelés céljához elengedhetetlen, azaz kötelező és az ezt meghaladó körben kezelendő, azaz szabadon választhatóan megadható adatokat. A jelenleg használt formanyomtatványok, űrlapok esetében – ideértve a nyomtatott és a számítógépes formátumot is - ezt a jelen Szabályzat hatálybalépését követő első módosítás alkalmával kell megtenni. 1.3. Az Adatalany (érintett) jogai Az érintett bármikor és korlátozás nélkül tájékoztatást kérhet személyes adatai kezeléséről, kivéve, ha azt törvény kifejezetten kizárja (pl. bűnügyi- vagy pénzmosási adatok kezelése körében). Az érintett kérelmére a Társaság 15 napon belül tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá arról, hogy kik és milyen célból kapták meg az adatokat. A tájékoztatás kérés pontosítására történő felhívás nem tekinthető a tájékoztatási kérelem elutasításának. Az érintett kérelmének elutasítása csak törvényben meghatározott esetekben lehetséges, az elutasított kérelmekről a Bank a Nemzeti Adatvédelmi és Információszabadság Hatóságot (a továbbiakban: NAIH) a Belső adatvédelmi felelős útján évente értesíti. Adatváltozás vagy téves adatrögzítés észlelése esetén az érintett kérheti kezelt adatainak helyesbítését, illetve kijavítását. A téves adatot a Társaság haladéktalanul helyesbíteni köteles és erről írásban kell tájékoztatnia az érintettet. Az ügyfél adatkezeléssel kapcsolatos megkereséseit, a tájékoztatás megadását, az adatok helyesbítését, illetőleg javítását a standard panaszkezelési folyamat szerint a Panaszkezelés végzi (H-812/2012-Panaszkezelési szabályzat), szükség esetén előzetesen egyeztetve a Belső adatvédelmi felelőssel.
13/21
1.4. Személyes adatok nyilvánosságra hozatala A Társaságnál kezelt személyes adatok nyilvánosságra hozatala - kivéve, ha törvény rendeli el - tilos. Jogszerű nyilvánosságra hozatalnak számít pl. az alkalmazottak nevének, beosztásának és hivatali elérhetőségeik (pl. hivatalos vezetékes vagy mobiltelefon szám, hivatali célú e-mail cím) telefonközponton keresztüli kiszolgáltatása vagy nevek és beosztások kifüggesztett tájékoztatóra, útmutató táblára történő kihelyezése, stb. azzal, hogy a jelen pontban szabályozott felhatalmazás beszerzése minden ilyen esetben előzetesen kötelező. Jogszerű továbbá a munkavállalók fényképének belépőkártyán, belső kommunikációs eszközön történő megjelenítése. 1.5. Adattovábbítás külföldre 1.5.1. Valamennyi személyes adat csak az ügyfél vagy annak törvényes képviselője által előzetesen írásban adott engedélye alapján – kivéve a törvényben meghatározott vagy a jelen utasításban szabályozott eseteket - továbbítható harmadik személy számára 1.5.2. A Társaság az Adattovábbítási Hirdetményben, illetőleg ha az adattovábbítás kiszervezési tevékenység keretén belül történik, a Kiszervezési Hirdetményben teszi közzé azon belföldi és külföldi cégeket, amelyek részére adatokat továbbíthat. Az adattovábbítást tervező banki alkalmazott – aki különösen lehet az IT rendszergazda, a termékgazda, az operáció dolgozója, a behajtás dolgozója, a projektvezető illetve bármely adattovábbítást végző szervezeti egység dolgozója-, amennyiben a cég vagy a továbbítani kívánt adat nem szerepel az Adattovábbítási- vagy Kiszervezési Hirdetményben, a tervezett adattovábbítást legalább 30 nappal megelőzően a belső adatvédelmi felelőst írásban értesíti a következővel: ki, mikor, hova, kinek a részére, milyen célból, milyen jogszabály vagy ügyfél felhatalmazás alapján kíván adatot továbbítani, és a továbbítani kívánt adatok pontos felsorolását. Az értesítés alapján a belső adatvédelmi felelős megvizsgálja a tervezett adattovábbítás jogi feltételeit, és az adattovábbítást engedélyezi vagy megtiltja. Az adattovábbítás kizárólag a belső adatvédelmi felelős engedélye után kezdhető meg, illetve folytatható. A Hirdetmények vezetéséről és a mindenkor hatályos verziók publikálásáról a Jogi Igazgatóság gondoskodik. 1.5.3. Az Európai Unió tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
14/21
1.5.4. Személyes adat az adathordozótól vagy az adatátvitel módjától függetlenül Európai Unió területén kívüli adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha ahhoz az érintett hozzájárul, ha azt törvény lehetővé teszi, vagy ha arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelő védelmet biztosít az átadott adatok kezelése során. Az Európai Unió területén kívüli adatfeldolgozóval megbízási szerződést kell kötni, a megbízási szerződést az Európai Közösségek Bizottságának Határozatában foglaltaknak megfelelő tartalommal kell elkészíteni. (MK. 2004/51.) 1.5.5. A tulajdonos részére bármely személyes adatot érintő információ a Belső adatvédelmi felelős útmutatása alapján és a Vezérigazgató előzetes jóváhagyását követően továbbítható. Ismételt küldés esetén új engedélyt csak az adattovábbítás feltételeinek megváltozásakor kell kérni. 1.6.
A Közvetlen üzletszerzési (direkt marketing) és piackutatási célú adatkezelések
A közvetlen üzletszerzési (direkt marketing) és piackutatási célú adatkezelések alapvető és elvi szabályai vonatkozásában a Budapest Bankcsoport információmenedzsment politikájában meghatározottakat kell alkalmazni. A DM célú megkeresések részletes szabályait és a DM célú megkeresést kizáró ügyfelekkel kapcsolatos eljárási rendet a mindenkor hatályos, lakossági ügyfelekre irányadó „CRM” Utasítás szabályozza. 1.7.
A Társaság adatkezelései
A Társaság adatkezeléseit a belső adatvédelmi nyilvántartásban veszi számba. Ennek tartalmát a 5.2. Belső adatvédelmi nyilvántartás fejezet határozza meg.
1.8.
Konzultáció a Belső adatvédelmi felelőssel
A feladatkörében felmerülő adatvédelmi, adatkezelési kérdésekben minden társasági alkalmazott köteles a Belső adatvédelmi felelőssel előzetesen konzultálni, és a jelen utasításban meghatározott és szükséges jóváhagyásokat előzetesen kellő időben beszerezni.
15/21
A Belső adatvédelmi felelős olyan állásfoglalását, melynek tartalma más hasonló ügyekben is alkalmazható, adatbázisban rögzíti. A Bankcsoport szempontjából kiemelkedő állásfoglalásokról a Belső adatvédelmi felelős a Működési Kockázati Bizottság előtt tájékoztatást ad. 2.
A munkavállalók személyes adatainak kezelése
2.1. A Társaság a munkavállalók személyes adatait bizalmasan kezeli. A munkavállaló személyi adatlapján, önéletrajzában, teljesítményértékelésben és a munkaviszonnyal összefüggő, a munkaviszony létesítése és fenntartása szempontjából lényeges nyilatkozatokban szereplő adatokat a Társaság bér- és társadalombiztosítási elszámolás, a munkavállaló előmenetelének tervezése, érdekellentétek kezelése, valamint a Bankcsoport tagjai szolgáltatásainak és termékeinek ajánlása céljából nyilvántartja, kezeli. Ezeket, az adatokat a Társaság a részére bér- és tb-elszámolást végző társaság részére, a Bankcsoport tagjai részére az adatvédelmi előírásokat betartva külföldre is továbbíthatja. 2.2. A Társaság külföldre adatot kizárólag abban az esetben továbbít, ha a külföldi adatkezelőnél a magyar jogszabályok által támasztott követelményeket kielégítő adatkezelés feltételei minden egyes adatra nézve teljesülnek. 2.3. A Társaság, mint munkáltató általi adatkezelés a munkavállaló által aláírt munkaszerződésben, munkáltatói utasításban szabályozott. A Társaság új belépő munkavállalói a jelen pontban meghatározott adatkezeléshez történő hozzájárulást alapvetően írásban adják meg, de lehetőség van az illetékes szakterületek (Emberi Erőforrás, IT, JOG) bevonását követően kialakított elektronikus úton beszerzett hozzájárulásokat is beszerezni pl. már meglévő, e-mail címmel rendelkező munkavállaló vonatkozásában. Az elektronikus úton beszerzett hozzájárulások adatbiztonsági szabályoknak történő megfelelését (biztonságos tárolás, visszakereshetőség, egyénhez rendelhetőség, illetéktelenek hozzáférésének megakadályozása) biztosítani kell. 2.4. A munkavállaló a munkáltató által vezetett nyilvántartások rá vonatkozó adataiba bármikor betekinthet, vagy arról tájékoztatást kérhet. Ezen adatokhoz az Emberi Erőforrás kijelölt munkatársai, illetve azok férhetnek hozzá, akiket a Társaság belső utasításai erre feljogosítanak.
16/21
2.5. Adatszivárgás gyanúja/megtörténte esetén a munkavállaló köteles értesíteni a belső adatvédelmi felelőst. A Társaság által a munkavállalók, munkavégzésre irányuló egyéb jogviszonyban foglalkoztatottak vagy szerződéses partnerek részére hivatali célú felhasználásra biztosított e-mail cím, internet elérhetőség, hivatali célú telefonhívások munkáltató általi ellenőrzésének, az ellenőrzéssel kapcsolatos jogok és kötelezettségek részletes szabályairól külön utasításokban kell rendelkezni. 3.
A Társaság nem hitelezési üzleti partnereinek adatai, azok kezelése
A Társaság természetes személyekkel meglevő szerződéseiben szereplő személyes adatok kezelésére vonatkozóan is az Infotv. szabályait kell betartani. A jogi személyekre, illetve jogi személyiséggel nem rendelkező gazdasági társaságokra a Társaság által az adott céggel meglevő szerződésekben kell rendelkezni az esetleg átadásra kerülő személyes adatok köréről, annak céljáról, időtartamáról, stb. és a szerződés keretei között, a jelen utasítás előírásait figyelembe véve kell az annak megfelelő kezelést biztosítani, melynek részletszabályait a mindenkor hatályos Beszerzési utasítás (Szab-09/2010 - A beszerzésről - Bankcsoport szintű utasítás) tartalmazza. 4. Információbiztonság Az információbiztonsági rendszabályok megalkotása a Bank illetékes területeinek – IT Biztonság, Kockázatkezelés és Törvényi Megfelelés feladatkörébe tartozik. Az információbiztonsági rendszabályokat a külön utasítások tartalmazzák. 5.
A Belső adatvédelmi felelős és az adatvédelmi nyilvántartás
5.1. A Belső adatvédelmi felelős A belső adatvédelmi felelős jelen szabályzatban szabályozott tevékenysége körében a vezérigazgató felügyelete alá tartozik. Éves munkatervét készít, melyet a vezérigazgató jóváhagy. A munkaterv végrehajtásáról negyedévente beszámol a vezérigazgatónak. A Belső adatvédelmi felelős Infotv. által meghatározott feladatait az alábbiak szerint látja el:
17/21
közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában. (1.8. Konzultáció a Belső adatvédelmi felelőssel) E-mail megkeresésekre 15 napon belül választ ad vagy közli a válaszadás akadályát. A Belső Ellenőrzéssel együttműködve kapcsolatot tart a NAIH-al, Bankszövetség adatvédelmi munkacsoportjával, a tulajdonos cégcsoport adatvédelmi felelőseivel, szervezeteivel. ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását. A részletes adatvédelmi kontrollokat a 5.5. Az adatvédelmi kontrollok tartalmazza; kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót. Az adatvédelmi tárgyú panaszok kivizsgálásában, intézésében a Panaszkezelési Szabályzatnak megfelelően vesz részt; elkészíti a belső adatvédelmi szabályzatot, felügyeli a kiszervezési, adattovábbítási hirdetményt; vezeti a belső adatvédelmi nyilvántartást; gondoskodik az adatvédelmi ismeretek oktatásáról a 6.4 szerint. 5.2.
Belső adatvédelmi nyilvántartás
Az Infotv. alapján az adatkezelőnek az adatfeldolgozásban érintett ügyféladatokról nyilvántartást kell vezetnie, amelyet a belső adatvédelmi nyilvántartásban kell nyilvántartani. A Bankcsoport belső adatvédelmi nyilvántartása az alábbiakból tevődik össze:
Adatvédelmi nyilvántartásba bejelentett adatkezelések; Adatvagyon felmérés adatai; Adattovábbítási- és Kiszervezési Hirdetmények; Harmadik felek bankcsoporti adatokhoz hozzáférése
5.3. Az Adatvédelmi Nyilvántartás A Belső adatvédelmi felelős az adatkezelés megkezdése előtt a NAIH által közzétett technikai rendszeren keresztül, a nyilvántartásba vétel végett bejelenti az Info tv. szerint bejelentésre köteles adatkezeléseket, az adatkezelés körülményeiben beállt olyan változásokat, melyek
18/21
adatvédelmi szempontból relevánsak. A bejelentés megtétele iránt az adatkezelésért felelős üzleti terület vezetője a Belső adatvédelmi felelőst az adatkezelés megkezdése előtt 15 nappal e-mail útján megkeresi. A Társaság NAIH-tól kapott nyilvántartási számát, az adatok minden továbbításánál, nyilvánosságra hozatalánál és az érintettnek való kiadásakor fel kell tüntetni. 5.4.
Az adatvédelmi oktatás rendje
Valamennyi Társasághoz belépő új dolgozó, a belépést követően az E-Iránytű program keretében kap adatvédelmi oktatást. A Társaságnál az aktív állományban lévő alkalmazott részére szükség szerint adatvédelmi oktatást kell tartani. Az oktatásban részt vett személyeknek jelenléti íven igazolni kell az oktatás megtörténtét. Az adatvédelmi oktatás lefolytatása a Belső adatvédelmi felelős feladata, melyet a jogi szakterülettel együttműködésben lát el. Az e-learning oktatás keretében biztosított képzésen részt vevők körét a Belső adatvédelmi felelős az Emberi Erőforrás és Compliance szakterületekkel egyetértésben határozza meg. 5.5.
Az adatvédelmi kontrollok
A Belső adatvédelmi felelős az alábbi területek felett gyakorol másodszintű kontrollt: 5.5.1.
Az adatkezelések támogatása
A Belső adatvédelmi felelős az 1.8. Konzultáció a Belső adatvédelmi felelőssel szerint a Compliance Bizottság előtt beszámol a Társaság adatvédelmi szempontból jelentős tevékenységeiről, kiemelve az esetleges adatvédelmi kockázatokat. 5.5.2.
19/21
Belső, más kontroll alá nem eső adatátadás workflow
A Belső, más kontroll alá nem eső adatátadás workflow használatával kell igényelni olyan Bankcsoporton belüli adatátadást, adattovábbítást, melynél az adatot igénylő szervezeti egység (dolgozója) az igényelt adatot tartalmazó rendszerhez nem rendelkezik hozzáféréssel. Az adatigénylésben a kért adatok azonosító adatain kívül meg kell jelölni, hogy az igénylő mely munkafolyamatához van szükség az igényelt adatokra. Az igénylő az átadott adatok biztonságos kezeléséért felelősséget vállal. A Belső adatvédelmi felelős havonta legalább egy igénylés szúrópróba szerű ellenőrzését végzi el. Ennek keretében az igénylőt nyilatkoztatja az adatigénylés okáról, az igényelt adatok kezeléséről. Ha szabálytalan adatigénylést, jelen Szabályzat rendelkezéseinek be nem tartását tapasztalja, az adatigénylő szervezeti egységének SMT szintű vezetőjét értesíti. Az ellenőrzés eredményéről a Működési Kockázat Bizottság előtt legalább negyedévente beszámol. 5.5.4.
Tiszta asztal – Clean Desk policy
A Belső adatvédelmi felelős a Clean Desk Policy ellenőrzéseket Data Form és Dashboard eszközökkel másodszintű ellenőrzés keretében felügyeli. Ennek eredményéről a Compliance Bizottság előtt beszámol. A CleanDesk felelősöket havonta e-mail útján tájékoztatja a feladatellátás helyzetéről, az ellenőrzés dokumentálásában tapasztalt elmaradásról. Az elsőszintű ellenőrzést a Szab-03/2002-14 Bankbiztonsági szabályzat szabályozza és a CleanDesk felelősök, a Bankbiztonság valamint a BCU végzi. A felügyelt tevékenységet a mindenkor hatályos U-12/2011 - Információ- és dokumentumkezelés a Budapest Bankcsoportnál szabályozza.
5.5.5.
Fejlesztés adatvédelmi követelményeinek kontrollja
A Belső adatvédelmi felelős a Bankcsoport informatikai fejlesztései során érvényesülő adatvédelmi követelményeket Fejlesztés adatvédelmi követelményei workflow útján segíti, felügyeli. Ennek eredményéről a Compliance Bizottság előtt beszámol. 5.5.6.
20/21
Dolgozatírás a Bankcsoportban
A Belső adatvédelmi felelős a Bankcsoport üzleti adatait felhasználó dolgozatok titokvédelmi követelményeit Dolgozatírás a Bankcsoportban workflow útján segíti, felügyeli. Ennek eredményéről a Compliance Bizottság előtt beszámol. A felügyelt tevékenységet a mindenkor hatályos U-12/2011 - Információ- és dokumentumkezelés a Budapest Bankcsoportnál szabályozza.
6.
Központi Hitelinformációs Rendszerre vonatkozó szabályok
A KHR-ben kezelt adatokkal, a Bankcsoport munkatársainak feladatairól a részletes szabályokat a mindenkor hatályos Ügyviteli utasítás (Információszolgáltatás a Központi hitelinformációs rendszer részére) , valamint az 1.2.1.1. pontban részletezett belső segédlet tartalmazza.
7. Mellékletek: 1 - KHR Tájékoztató és Adatkezelési Nyilatkozattal kapcsolatos tudnivalókat tartalmazó Belső Segédlet 2 - Az un. *prospective* (leendő) ügyfelek adatkezelési hozzájárulását tartalmazó minta
21/21