ADATVÉDELMI SZABÁLYZAT RISK CÉGCSOPORT
Alanyi hatály A szabályzat alanyi hatálya kiterjed a Risk Cégcsoportban (Leasing Risk Kft., Credit Risk Kft.), munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló ill. kölcsönzött munkaerőként foglalkoztatott valamennyi természetes személyre. Tárgyi hatály A szabályzat tárgyi hatálya kiterjed a Társaságok által végzett adatfeldolgozási tevékenységére A szabály célja: annak biztosítása, hogy a Társaságok működése a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról maradéktalanul megfeleljen. 1. Adatvédelemi alapelvek Az adatvédelmi alapelvek iránymutatásként szolgálnak a Társaságok adatkezelései során annak érdekében, hogy az ügyfelek és munkavállalók személyes adatainak kezelése a jogszabályi előírásoknak maradéktalanul megfeleljen. Az alapelvek betartásáért az adatkezelő felel és szükség esetén bizonyítani kell tudni adatkezelése jogszerűségét. A Risk Cégcsoport társaságai tevékenységük során a vonatkozó jogszabály alapján adatfeldolgozó tevékenységet folytatnak az egyes adatkezelőkkel kötött követeléskezelési tevékenységre vonatkozó megbízási szerződés alapján. A megbízótól kapott személyes adatok kezelésére vonatkozóan minden esetben a megbízó adatkezelési szabályzata az irányadó. Az adatkezelés csak a jogalap illetve a vonatkozó jogszabály szerint történhet. A Risk cégcsoport társaságai a megbízó követeléskezelő, megbízásának végrehajtása során egyszerre lehetnek adatkezelő és adatfeldolgozó bizonyos tevékenységekre vonatkozóan. Előfordulhat tehát, hogy a Risk cégcsoport, -mint megbízott- a birtokába került személyes adatokkal adatfeldolgozást végez bizonyos műveleteknél, más esetekben viszont, nem csupán ügyviteli technikai feladatok hajt végre, hanem adatkezelést is, tehát az adatkezelői minősége is megállapítható (ennek minden ismert következményével – bejelentkezés, tájékoztatás stb.). Mindez a megbízottal kötött szerződés, valamint a megbízott által kifejtett tényleges tevékenység jellege alapján dönthető el.
9. Adatfeldolgozás 10. § (1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit e törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. Az általa adott utasítások jogszerűségéért az adatkezelő felel. (2) Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe. (3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. (4) Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. 3. § E törvény alkalmazása során:
9.3 adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja; 10. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
1. 1. Általános alapelvek
Személyes adatnak csak természetes személlyel összefüggésbe hozható adat tekinthető. Személyes adat csak előre meghatározott célból, a cél megvalósulásához szükséges mértékben és ideig kezelhető. Személyes adat kezelése – törvényi felhatalmazás hiányában – az adatalany kényszer nélküli és megfelelő tájékoztatást követő, önkéntes hozzájárulásán kell alapuljon. A tisztességes adatkezelés elvének megfelelően az adatalany soha nem válhat a személyes adatok kezelésével járó folyamat puszta tárgyává, az érintett, személyes adatai feletti rendelkezése tekintetében nem válhat kiszolgáltatottá az adatkezelővel vagy más személlyel szemben. Az adatminőség elve szerint a kezelt adatoknak, az adatkezelés céljával összhangban pontosnak, teljesnek és aktuálisnak kell lenniük. A biztonsági elv alapján az adatokat a technika mindenkori állásának megfelelő ésszerű intézkedésekkel védeni kell a jogosulatlan hozzáférés, megváltoztatás, jogosulatlan nyilvánosságra hozatal, sérülés, megsemmisülés ellen. Az adatkezelés tényének, helyének, céljának, az adatkezelő személyének és az adatkezelés politikájának nyilvánosnak kell lennie. A személyes részvétel elvéből fakadóan az adatalany megismerheti, helyesbítheti, kiegészítheti, töröltetheti a rá vonatkozó adatokat. 1. 2. Egyes jellemző adatkezelések alapelvei Ügyfél iratainak fénymásolása A személyes adatot tartalmazó irat akkor fénymásolható, ha ez minden más ésszerű alternatíva vizsgálata mellett is elkerülhetetlen, és akkor is a másolatot úgy kell elkészíteni, hogy a másolat csak a legszükségesebb adatokat rögzítse. Az adatkezelőnek kimerítően ismernie kell a fénymásolat készítésének célját, és az adatalanyt kérésére erről tájékoztatni kell.
Kamerák használata, telefonbeszélgetések rögzítése Kamerás megfigyelések esetén az adatalanyokat előre tájékoztatni kell a kamera üzemeléséről, a képfelvételek esetleges rögzítéséről, a rögzített képek tárolásának helyéről és időtartamáról. A telefonbeszélgetések rögzítésének jogi feltétele az érintett adatalanyok előzetes, tájékoztatáson alapuló hozzájárulása. Az ügyfél hozzájárulásának beszerzése A személyes adatok kezeléséhez való hozzájárulást az adatalanyok az adatkezelést megelőzően kell megadják. A hozzájárulásnak egyértelmű és részletes tájékoztatáson kell alapulnia, melynek tartalmaznia kall az adatkezelés célját, jogalapját, időtartamát, az adatkezelésre jogosult személyét, az adatalany jogait, jogorvoslati lehetőségeit. A hozzájárulás beszerzése a megbízó adatkezelő feladata és felelőssége. Külföldre történő adatáramlás Adatvédelmi szempontból az Európai Unió tagállamaiba irányuló adattovábbítás nem igényel speciális felhatalmazást, azaz belföldre történő adattovábbításnak tekinthető. (A banktitok védelme
szempontjából azonban – a banktitokra vonatkozó rendelkezések betartása érdekében – az adatalany kifejezett hozzájárulása kell, a banktitoknak tekinthető adatai külföldre továbbításához.) Az Európai Unió határain kívülre történő adattovábbítás feltétele, hogy ahhoz az érintett külön hozzájáruljon, vagy arról törvény, illetve nemzetközi szerződés rendelkezzék ill. a fogadó ország joga az EU által meghatározott megfelelő védelmet biztosítson az adatkezelés tekintetében vagy ezt a felek szerződéses feltételekben biztosítsák. A különleges adatok védelme A 2011. évi CXII tv. szerint az alábbi adatok különleges adatoknak minősülnek, így a kezelésükhöz való hozzájárulás csak írásban szerezhető meg és az egyéb törvényi feltételek meglétét, így különösen a célhoz kötöttség feltételét különösen szigorúan kell vizsgálni: a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat. Ha az adatfeldolgozásra vonatkozó megbízás alapján a cégcsoport bármelyik társasága különleges adatot szükséges kezeljen, akkor a megbízó az erre vonatkozó belső adatvédelmi szabályzata szerint kell a nyilvántartás adattovábbítási adatait az megőrizni. 2. Adatvédelem szervezetei 2. 1. Adatalany Minden olyan természetes személy, akinek személyes adatát a Társaság kezeli.
2. 2. Adatkezelő Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki/amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. A Risk cégcsoport esetében a mindenkori megbízó, kivéve az olyan teljesítési segédként (behajtóként) elvégzett adatkezeléseket, mint új adatok (megváltozott lakcím, levelezési cím, elérhetőségek stb) felvétele és továbbítása a megbízó felé, az átadott és esetlegesen felvett ügyféladatok rögzítése, tárolása a behajtói megbízásban szereplő rendelkezés szerinti módon és ideig. 2. 3. Adatfeldolgozó Adatfeldolgozó az – az adatkezelő szervezetén kívüli – természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki/amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi. A Risk cégcsoport alapesetben saját jogon ügyféladatokat nem kezel, csak a jogszabály szerint megbízás alapján adatfeldolgozásnak minősülő tevékenységet folytat. 2. 4. Belső adatvédelmi felelős A cégcsoport tagvállalatainak a vonatkozó törvénynek rendelkezéseinek megfelelően nem kell belső adatvédelmi felelőst kineveznie. 2. 5. Nemzeti Adatvédelmi és Információszabadság hatóság A Hatóság autonóm államigazgatási szerv. A Hatóság feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. 2.6. Adatvédelmi nyilvántartás
65. § (1) Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről, az érintettek tájékozódásának elősegítése érdekében a Hatóság hatósági nyilvántartást (a továbbiakban: adatvédelmi nyilvántartás) vezet, amely – a (2) bekezdésben meghatározott kivételekkel – tartalmazza a) az adatkezelés célját, b) az adatkezelés jogalapját, c) az érintettek körét, d) az érintettekre vonatkozó adatok leírását, e) az adatok forrását, f) az adatok kezelésének időtartamát, g) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is, h) az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét, i) az alkalmazott adatfeldolgozási technológia jellegét, j) a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait. A Risk cégcsoport esetében a megbízó adatkezelő törvényi kötelezettsége a megbízási szerződés alapján végzett adatfeldolgozási tevékenységet, valamint a szerződött Risk csoporttagot, mint adatfeldolgozót bejelenteni. Illetve a NAIH 2014 07 03-i ajánlása alapján a követelés kezelő teljesítési segédjeként végzett behajtói tevékenysége során esetlegesen adatkezelést is végezhet, ezért ilyen minőségében bejelentkezik az adatvédelmi nyilvántartásba, amennyiben a megbízása felhatalmazza adatkezelésre is . A behajtási tevékenység esetén:
Az adatkezelés megnevezése: nem fizető ügyfelek adtainak kezelése Az adatkezelés célja: kétes kintlévőségek kezelése, nyilvántartása, behajtása megbízási szerződések alapján.
Az adatkezelés jogalapja: Finanszírozási (hitel, kölcsön, lízing) szerződés, az érintett hozzájárulása, 355/1998 sz. PSZÁF határozat: pénzügyi lízing. A Pénzügyi Szervezetek Állami Felügyelete elnökének 14/2012. (XII.13.) számú ajánlása a követeléskezelők számára a követeléskezelési gyakorlatuk során elvárt fogyasztóvédelmi elvekről , Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása a követeléskezelés, tartozásbehajtás, adósságbehajtás, faktoring tevékenység során alkalmazott követeléskezelési technikák adatvédelmi követelményeiről 2014-07-03 Valamint a következő jogszabályhelyek: Hpt. (2013. évi CCXXXVII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról1), a fogyasztóknak nyújtott hitelről szóló 2009. évi CLXII. tv., valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011 évi CXII Tv.
Az adatfeldolgozó: az adatkezelővel megbízási jogviszonyban lévő Risk cégcsoport tag. (Illetve adatkezelőként ez üresen marad.) Budapest, 2014. szeptember 15.
Kovács Attila ügyvezető igazgató
