Porsche Versicherungs AG. Magyarországi Fióktelepe Adatvédelmi szabályzat 1. Szabályozás célja Az információs önrendelkezési jogról és az információszabadságról szóló szabályozás célja, hogy az Alaptörvényben biztosított alapjogok érvényesítése érdekében meghatározza az információs jogok tartalmát és biztosítsa e jogok hatékony érvényesülését, a személyes adatok védelméhez és a közérdekű adatok nyilvánosságához fűződő alapjogok érvényesítésének kereteit. A törvényi szabályozás célja továbbá az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon. A jelen szabályzat célja − az ügyfelek, munkavállalók és más érintett természetes személyek személyes adatainak tiszteletben tartása, és a jogszabályok által előírt védelemben való részesítése, −
a Porsche Versicherungs AG. Magyarországi Fióktelepe (továbbiakban Társaság) birtokába jutott, jogszabály hatálya alá tartozó adatok felhasználása, kezelése és az érintett természetes személyeknek a személyes adataikkal kapcsolatos jogairól szóló rendelkezések meghatározása.
2. A szabályzat hatálya Alanyi hatálya Jelen szabályozás védelemben részesíti a Társaság valamennyi munkatársának, továbbá a Társasággal szerződéses kapcsolatba kerülő természetes személyeknek (ügyfeleknek) a személyes adatait. Jelen szabályozást a munkatársak, a Társasággal szerződéses kapcsolatban álló vállalkozások, akik munkájuk során személyes adatok birtokába jutnak és ezeket az adatokat felhasználják, feldogozzák, illetve továbbítják, kötelesek megismerni, elfogadni, alkalmazni, ezért a Társaság felelősséggel tartozik. Szervezeti hatálya Kiterjed a Társaság valamennyi személyes adatkezelést végző szervezeti egységére. Tárgyi hatálya Kiterjed a Társaság birtokába jutott minden, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (továbbiakban Törvény) meghatározott adatra, adatkezelésre, adatfeldolgozásra, amely természetes személy adataira, valamint közérdekű adatra, vagy közérdekből nyilvános adatra vonatkozik és teljesen vagy részben automatizált eszközzel vagy manuálisan folyik.
1
Hivatkozások, kapcsolódó jogszabályok − − − − − − − − − − − − − −
az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 2012. évi I. törvény a Munka Törvénykönyvéről (továbbiakban Mt.), 1995. évi CXXV. törvény a nemzetbiztonsági szolgálatokról, 2009. évi CLV. törvény a minősített adat védelméről, 1997. évi LXXX. törvény a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről, 1997. évi XLVII. törvény az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 2003. évi XCII. törvény az adózás rendjéről, 1995. évi CXVII. törvény személyi jövedelemadóról (továbbiakban Szja. tv.) 2014. évi LXXXVIII. törvény a biztosítási tevékenységről (továbbiakban Bit.) 2007. évi CXXXVI. törvény a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról (továbbiakban Pmtv.)
3. Értelmező rendelkezések Érintett: Bármely meghatározott, személyes adat alapján azonosított, vagy - közvetlenül vagy közvetve – azonosítható természetes személy. Mindazon természetes személyek - volt, jelenlegi vagy leendő ügyfelek, illetve munkavállalók -, akiknek személyes vagy különleges adatához a Társaság, hozzájut, azt kezeli, feldolgozza, továbbítja. Információ: Az adott rendszer számára annak működését befolyásoló, új ismereteket nyújtó jelek, jelsorozatok (pl. adat, tájékoztatás, hír) tartalmi jelentése. Információs önrendelkezési jog: Az információs önrendelkezési jog a személyes adatok védelmét garantáló állampolgári alapjog. Tárgya a személyes adat. Hitelesség: Az adat akkor tekinthető hitelesnek, ha bizonyíthatóan hiteles forrásból származik, ha az adatkezelő rendszerben kezelt adat nem, vagy csak ellenőrzötten, dokumentáltan változtatható. Személyes adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (továbbiakban: érintett) kapcsolatba hozható személyes adat, valamint az adatból az érintettre levonható következtetés.
2
A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az érintettet - egyértelműen és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. A személyes adatok az azonosító és a leíró adatok. Az érintett egyediesítésére természetes vagy mesterséges azonosító adatok szolgálnak. Természetes azonosító adat különösen: az érintett - neve, - anyja leánykori neve, - születési helye és ideje, - lakóhelyének illetve tartózkodási helyének címe. Mesterséges azonosító adat a matematikai vagy más algoritmus szerint generált adat, így különösen az érintett - a személyi azonosítója - a társadalombiztosítási azonosító jele (TAJ), - az adóazonosító jele, - a személyi igazolvány száma, az útlevél száma, - az ügyfél-azonosító kódja, - a bankszámla-száma, - az egyedi szerződéseket azonosító kódja. A leíró adatok az adatkezelés célja tekintetében releváns egyéb adatok. A meghatározott természetes személlyel kapcsolatba nem hozható leíró adat nem személyes adat (pl. statisztikai adat). Különleges adat: − a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre, pártállásra, az érdek-képviseleti szervezeti tagságra, a vallásos vagy más világnézeti meggyőződésre vonatkozó adat, −
az egészségi állapotra, kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat, kivéve, ha erre a jogosult (adatalany) kifejezetten és írásban előzetesen hozzájárult. A biztosítási ajánlat során egészségi állapotra vonatkozó személyes adatot felvétele.
Bűnügyi személyes adat: A büntetőeljárás során vagy azt megelőzően a bűncselekménnyel, vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére j
3
jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel összefüggésbe hozható, valamint a büntetett előéletre vonatkozó személyes adat. Közérdekű adat: Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat. Közérdekből nyilvános adat: A közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli. Adatvédelmi felelős: A Társaság adatkezelésének különös feltételeiről, az adatvédelmi jogszabályokban foglalt rendelkezések érvényesítéséért a jelen adatvédelmi szabályzat keretein belül felelős személy. Az adatvédelmi felelős hatáskörének és feladatainak részletes leírását a jelen szabályzat 4.4. pontja tartalmazza. Hozzájárulás: Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. Tiltakozás: Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. Tiltakozást mind az ügyfelek, mind a Társaság munkavállalói benyújthatnak, amennyiben úgy ítélik meg, hogy személyes adataik kezelése során a Társaság jogellenesen járt el. Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az által megbízott adatfeldolgozóval végrehajtatja. Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, valamint az adatkezelőt, az adatkezelést elrendelő törvény határozza meg. A jelen szabályzat alkalmazásában a Társaság az ügyfelei és a munkavállalói adatai vonatkozásában adatkezelőnek minősül. Adatkezelés: Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése, megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép- hang- és képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
4
Adatbiztonság: Olyan állapot, amikor a megtett technikai, és szervezési intézkedések, és a kialakított eljárási és adatvédelmi szabályok oly módon érvényesülnek, hogy ez által az adatok védettek a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy megsemmisülés ellen. Sértetlenség: Az adatok, adathordozók fizikai, vagy logikai teljességének megléte. Tartós adathordozó: Olyan eszköz, amely lehetővé teszi az adat céljának megfelelő ideig történő tartós tárolását és a tárolt adatok változatlan formában és tartalommal történő megjelenítését. Adattovábbítás Az adat meghatározott harmadik személy számára hozzáférhetővé tétele. Adatfeldolgozás: Az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik. Az adatfeldolgozást végző szervezeti egység vezetője az adott szervezeti egység tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződést is - adatok feldolgozását végzi. Adatmegjelölés: Az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából. Adatzárolás: Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából. Adatmegsemmisítés: Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése. Adatfelelős: Az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek működése során ez az adat keletkezett. Adatközlő: Az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi. Adatállomány: Az egy nyilvántartásban kezelt adatok összessége.
5
Harmadik személy: Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatfeldolgozóval vagy az adatkezelővel. Nyilvánosságra hozatal: Az adatkezelés egyik módja, amikor a személyes adatot harmadik személyek számára hozzáférhetővé teszik. Törvény közérdekből - az adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. Adatkezelési nyilatkozat (adatkezelési hozzájárulás): Természetes személy kifejezett, írásos nyilatkozata, amelyben hozzájárul ahhoz, hogy személyes adatnak minősülő alapadatait a Társaság gyűjtse, kezelje, feldolgozza és továbbítsa. Külföldre történő továbbítás esetén erre az érintett nyilatkozatát kifejezetten be kell szerezni. Adatvédelem: Az adat- és információvédelmi eljárási szabályok, technikai és szervezési feltételek azon együttese, amelyek az adatbiztonság megteremtését szolgálják. Nemzeti Adatvédelmi és Információszabadság Hatóság: Az Országgyűlés által a Törvény alapján megválasztott hatóság. Feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. Biztosítási titok, üzleti titok: Mindazon adat, ami a mindenkor hatályos jogszabályok (Bit., Ptk.) szerint biztosítási titoknak, üzleti titoknak minősül. Közvetlen üzletszerzés (DM): Azon közvetlen megkeresés módszerével végzett tájékoztató tevékenységeknek és kiegészítő szolgáltatásoknak az összessége, amelyeknek célja az érintettek részére termékek vagy szolgáltatások ajánlása, hirdetések továbbítása, a fogyasztók vagy kereskedelmi partnerek tájékoztatása, üzletkötés (vásárlás) előmozdítása érdekében. Gazdasági reklám: Olyan közlés, tájékoztatás, illetve megjelenési mód, amely valamely termék, szolgáltatás, ingatlan, vagyoni értékű jog értékesítésének, vagy más módon történő igénybevételének előmozdítására, vagy e céllal összefüggésben a vállalkozás neve, megjelölése, tevékenysége népszerűsítése, vagy áru, árujelző ismertségének növelésére irányul. EGT- állam: Az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, tovább az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai gazdasági Térségről szóló megállapodásban részes állam állampolgáraival azonos jogállást élvez.
6
Harmadik ország: Minden olyan állam, amely nem EGT- állam.
4. Társaságon belüli adatvédelmi tevékenység − −
4.1.
ügyfelek rendszeres tájékoztatása a személyes adatok védelméről, adatvédelmi felelős tájékoztatásának, felvilágosításának a kérése minden olyan esetben, ahol az adatvédelmi szabályok nem egyértelműek, vagy az adatvédelmi szabályok alkalmazása szempontjából konfliktus merül fel az ügyfél és a Társaság alkalmazottja, megbízottja között.
Általános szabályok - adatok kezelése az érintett hozzájárulása esetén
A Társaság az érintettekre vonatkozó adatokat csak törvény vagy helyi önkormányzati rendelet felhatalmazása (és közérdeken alapuló cél) alapján, illetve az érintett kifejezett és előzetes írásbeli hozzájárulása esetén kezeli. A Társaság a személyes adatokat a biztosítási jogviszony fennállása idején, valamint azon időtartam alatt kezelheti, ameddig a biztosítási jogviszonnyal kapcsolatban igény érvényesíthető. A létre nem jött biztosítási szerződéssel kapcsolatos adatok addig kezelhetőek, amíg a szerződés létrejöttének meghiúsulásával kapcsolatban igény érvényesíthető. A vonatkozó jogszabályokban meghatározott adatokon túl egyéb személyes adat, különleges adat, amely nem kapcsolódik az adatkezelés céljához és mértékéhez, nem kérhető az érintettől. A Társaság személyes adatokat a munkavállalóitól a munkaviszony létesítésével, fenntartásával kapcsolatosan szerezhet meg, csak és kizárólag olyan körben használhatja fel, amely a munkaviszony fenntartásához, a munkavállaló minősítéséhez, a vele kapcsolatos jogok és kötelezettségek teljesítéséhez szükségesek. Különleges adatok bekérésére, kezelésére a Társaság munkavállalói nem jogosultak, ilyen adaton nem kérhetnek az ügyféltől, illetve az érintettől. Bűnügyi személyes adat kezelésére kizárólag a hatósági megkeresések kapcsán, kizárólag a hatósági megkeresés megválaszolása érdekében kerülhet sor (kivéve felvételi eljárás során benyújtott erkölcsi bizonyítvány). Erre kizárólag a hatósági megkeresések megválaszolására kijelölt jogosult. A Társaság vezető tisztségviselői betekintési joggal rendelkeznek a megkeresésekhez és azok válaszaihoz, e jogukat a belső adatvédelmi felelős útján is gyakorolhatják. Az érintett ügyintézők a vonatkozó szabályzatokban meghatározott módon kötelesek a megkeresések megválaszolásában közreműködni. Az érintett előzetes tájékoztatásának követelménye Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait a Társaság automatizált feldolgozás alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
7
Kötelező adatkezelés esetén a tájékoztatás megtörténhet fenti információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is. Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma.
4.2.
Személyes adatok kezelése
Személyes adat akkor kezelhető, ha − ahhoz az érintett hozzájárul, vagy − azt törvény, vagy – törvény felhatalmazása alapján az abban meghatározott körben – helyi önkormányzat rendelete elrendeli Különleges adat akkor kezelhető, ha − az adatkezeléshez az érintett írásban hozzájárul, vagy − a jogszabályban meghatározott adatok esetében az nemzetközi egyezményen alapul, vagy alkotmányban biztosított alapvető jog érvényesítése, továbbá nemzetbiztonság, bűnmegelőzés vagy bűnüldözés érdekében törvény elrendeli, − egyéb esetekben azt törvény elrendeli. Célhoz kötöttség Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelés minden szakaszában meg kell felelni e célnak, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. Adatkezelés jogalapja Személyes adatot – akár az érintett hozzájárulásával, akár jogszabály alapján – különösen akkor lehet kezelni, ha ez közérdekű adat vagy a Társaság törvényi kötelezettségének teljesítéséhez, a Társaság vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és a Társaság között létrejött szerződés teljesítéséhez, a Társaság vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges. Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg. Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése a Társaság vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy a Társaság vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
8
Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges. Ha a hozzájáruláson alapuló adatkezelés célja a Társasággal írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – a Törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. Az érintett a nyilatkozat aláírásával járul hozzá, hogy a Társaság - biztosítási szerződés megkötésére vonatkozó ajánlattal kapcsolatos személyes adatokat (név, születési hely, idő, anyja neve, lakcím, e-mail cím, telefonszám, gépjármű adatok) kezelje, tárolja, nyilvántartsa, az ajánlattal érintett biztosítótársaságnak átadja a biztosítási szerződés megkötése, kezelése, fennálló szerződés módosítása, a szerződésből eredő jogok és kötelezettségek teljesítése, a hatékony ügyfélkiszolgálás érdekében, -
a közvetített ügylet kapcsán a tudomására jutó valamennyi adatot, tényt, információt a Volkswagen AG (Berliner Ring 2, 38440 Wolfsburg), mint anyavállalat és leányvállalatai részére –ügylet- és ügyfél-minősítési célokra történő felhasználás valamint a Társaság működésének, belső folyamatainak ellenőrzése végett – továbbítsa. A felhatalmazás a biztosítási titok megtartásának kötelezettsége alóli felmentésnek minősül.
-
a biztosítási szerződéssel, illetve új biztosítási termékekkel kapcsolatban, marketing kutatások céljából és egyéb marketing célokból a Társaság megkeresse, továbbá hozzájárul személyes adatai (név, lakcím) e-mail címem, telefonszám átadásához a megjelölt társaságok részére, hogy azok a biztosítási szerződéssel, illetve. új biztosítási termékekkel kapcsolatban, marketing kutatások céljából és egyéb marketing célokból, így különösen az általuk értékesített termékek, szolgáltatások ajánlása céljából megkeressék, aktuális híreikről, akcióikról tájékoztassák (telefon, sms, mms, e-mail, fax útján) az ügyfelet.
Az érintett a hozzájárulás megadásával nyilatkozik arról is, hogy az adatkezeléshez, adattovábbításhoz és az adatfeldolgozáshoz való hozzájárulása önkéntes és azt az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve az adatkezeléssel kapcsolatos jogokról és jogorvoslati lehetőségekről való szükséges és elégséges tájékoztatást követően bocsátja a Társaság rendelkezésére. Ha az érintett a hozzájárulást nem adja meg, a Társaság a szolgáltatását nem nyújtja kivéve, ha az érintett a marketing célból történő felhasználásra vonatkozó hozzájárulást tagadja meg. Ebben az esetben, a Társaság az érintett adatait marketing célból nem jogosult felhasználni.
9
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, a Társaság a felvett adatokat törvény eltérő rendelkezésének hiányában további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti, ha a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy a Társaság vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. A Társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az adatok adattovábbítási nyilvántartásban való megőrzésére irányuló - és ennek alapján a tájékoztatási - kötelezettség időtartama személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb időtartam nem állapítható meg. Ha külön törvény eltérően nem rendelkezik, reklám természetes személynek, mint reklám címzettjének közvetlen megkeresés módszerével (DM), így különösen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten előzetesen írásban hozzájárult. Hozzájáruló nyilatkozat bármely olyan módon tehető, amely tartalmazza a nyilatkozó nevét és lakcímét, illetve - meghatározott életkor esetén – születési helyét és idejét, továbbá azoknak a személyes adatoknak a körét, amelyeknek a kezeléséhez a nyilatkozó hozzájárul, valamint a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezéseket is. A hozzájáruló nyilatkozat bármikor korlátozás és indokolás nélkül, ingyenesen visszavonható (nyilatkozó nevét és minden személyes adatát törölni kell és részére reklám nem közölhető). Adatkezelés korlátai Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján a Társaság személyes adatot akként vesz át, hogy az adattovábbító adatkezelő az adattovábbítással egyidejűleg jelzi a személyes adat − kezelésének lehetséges célját, − kezelésének lehetséges időtartamát, − továbbításának lehetséges címzettjeit, − érintettje e törvényben biztosított jogainak korlátozását, vagy − kezelésének egyéb korlátozását (a továbbiakban: együtt: adatkezelési korlátozás), a Társaság, mint adatátvevő, a személyes adatot az adatkezelési korlátozásnak megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési korlátozásnak megfelelően biztosítja. A Társaság az adatkezelési korlátozásra tekintet nélkül is kezelheti a személyes adatot és biztosíthatja az érintett jogait, ha ahhoz az adattovábbító adatkezelő előzetes hozzájárulását adta, amennyiben az nem ütközik a Magyarország joghatósága alatt álló jogalanyok tekintetében alkalmazandó jogi rendelkezésbe.
10
4.3.
Az érintett jogai és kötelezettségei
Tájékoztatás kérése Az érintett kérelmezheti tájékoztatását személyes adatai kezeléséről, személyes adatainak helyesbítését, valamint személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását. Az érintett kérelmére a Társaság tájékoztatást ad az érintett általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. A Társaság köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül írásban, közérthető formában megadni a tájékoztatást, amely ingyenes. Személyes adat helyesbítése, törlése Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat rendelkezésre áll, a személyes adatot az adatkezelő helyesbíti. A személyes adatot törölni kell, ha − kezelése jogellenes, − az érintett – a Törvényben foglaltak szerint – kéri, − az hiányos vagy téves – és ez az állapot jogszerűen nem módosítható – feltéve, hogy a törlést törvény nem zárja ki, − az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, (a törlési kötelezettség nem vonatkozik azon személyes adatra, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni), − azt a bíróság vagy a Hatóság elrendelte. Törlés helyett a Társaság zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. A Társaság megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Ha a Társaság az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén a tájékoztatni kell az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről. Az érintett jogait törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi
11
érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából - beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében. Tiltakozás személyes adatok kezelése ellen Az érintett tiltakozhat személyes adatának kezelése ellen, − ha a személyes adatok kezelése vagy továbbítása kizárólag a Társaságra vonatkozó jogi kötelezettség teljesítéséhez vagy a Társaság, az adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; − ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, valamint − törvényben meghatározott egyéb esetben. A Társaság a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha az érintett tiltakozásának megalapozottsága megállapításra kerül, az adatkezelést beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Bírósági jogérvényesítés és kártérítés Az érintett a jogainak megsértése esetén a Társaság ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, a Társaság köteles bizonyítani. Ha a bíróság a kérelemnek helyt ad, a Társaságot a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére kötelezi. A bíróság elrendelheti ítéletének – a Társaság azonosító adatainak közzétételével történő nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett e törvényben védett jogai megkövetelik. A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben a Társaság felel az adatfeldolgozó által okozott kárért is. A Társaság mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
4.4.
Az adatvédelmi felelős hatásköre és feladatai
A belső adatvédelmi feladatokat az adatvédelmi felelős látja el, aki a társaság vezető tisztségviselői közvetlen felügyelete alatt látja el feladatait és kezdeményezi a szükséges lépéseket. Hatáskör: − közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
12
−
− − − − − − − −
ellenőrzi a Törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását; kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel a Társaságot vagy az adatfeldolgozót; elkészíti és szükség szerint, de legalább évente felülvizsgálja az Adatvédelmi Szabályzatot; rendszeresen ellenőrzi a szabályzatban foglaltak betartását; rendszeresen felülvizsgálja a Társaságon belüli adatkezelés elvi és gyakorlati tudnivalóiról szóló tájékoztatókat (honlap, nyomtatványok, stb.) gondoskodik az adatvédelmi ismeretek terjesztéséről; koordinálja – felkérésre - az egyes szervezeti egységek, avagy leányvállalatok közötti eltérő adatvédelmi érdekeket; adatvédelmi szempontból véleményezi az új termékek vagy szolgáltatásokkal kapcsolatos koncepciókat, terveket, normatív utasításokat; kapcsolatot tart a Hatósággal (szükség esetén megteszi a szükséges bejelentést).
Az adatvédelmi felelős a feladatai ellátása során az adatfeldolgozóktól minden olyan kérdésben felvilágosítást kérhet, és az összes olyan iratba betekinthet, adatkezelést megismerhet, amely személyes vagy közérdekű adatokkal összefügghet. Minden olyan helyiségbe beléphet, ahol adatkezelés folyik. Az adatvédelmi felelős az ügyfeleket érintő jogellenes adatkezelés észlelése esetén a Társaság vezető tisztségviselőit az adatkezelés jogszerűsége helyreállítására kéri fel. A Társaság valamennyi vezetője és munkatársa köteles az adatvédelmi feladatai ellátásában az adatvédelmi felelőst és a Hatóságot támogatni. E szabályzat szerinti hatáskörében önállóan jár el. Az adatvédelmi felelős a Hatóságnak nyilvántartásba vétel végett bejelenteni − az adatkezelés célját; − az adatok fajtáját és kezelésük jogalapját; − az érintettek körét; − az adatok forrását; − a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; − az egyes adatfajták törlési határidejét; − a Társaság, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét; − a belső adatvédelmi felelős nevét és elérhetőségi adatait. A Társaság az első nyilvántartásba vételkor nyilvántartási számot kap. A nyilvántartási számot az adatok minden továbbításánál, nyilvánosságra hozásánál és az érintettnek való kiadásakor fel kell tüntetni. Az előzetes bejelentésben felsorolt adatok megváltozását 8 napon belül be kell jelenteni a Hatóságnak, és a nyilvántartást megfelelően módosítani kell. Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely − a Társasággal munkaviszonyban, tagsági, tanulói viszonyban, ügyfélkapcsolatban álló személyek adatait tartalmazza;
13
− −
− −
az érintett anyagi és egyéb szociális támogatását célzó és nyilvántartó adatokat tartalmaz; a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy - külön törvényben meghatározottak szerint - az adatok személlyel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra; a Társaságtól levéltári kezelésbe került át.
A belső adatvédelmi felelősök konferenciája A belső adatvédelmi felelősök konferenciája (a továbbiakban: konferencia) a Hatóság és a belső adatvédelmi felelősök rendszeres szakmai kapcsolattartását szolgálja, célja a személyes adatok védelmére és a közérdekű adatok megismerésére vonatkozó jogszabályok alkalmazása során az egységes joggyakorlat kialakítása. A konferenciát a Hatóság elnöke szükség szerint, de évente legalább egyszer hívja össze, és meghatározza napirendjét. A konferencia tagja minden olyan szervezet belső adatvédelmi felelőse, amelynél a felelős kinevezése törvény alapján kötelező. A konferencia tagjai lehetnek azon szervezetek belső adatvédelmi felelősei, amelyek esetében a kinevezés nem kötelező. E célból a Hatóság által vezetett belső adatvédelmi felelősi nyilvántartásba bejelentkezhetnek. A Hatóság a kapcsolattartás céljából belső adatvédelmi felelősi nyilvántartást vezet a konferencia tagjairól. A nyilvántartás tartalmazza a belső adatvédelmi felelős nevét, postai és elektronikus levélcímét, továbbá a képviselt szervezet megnevezését. A nyilvántartásban a Hatóság a Törvényben meghatározott adatokat a belső adatvédelmi felelős e megbízatásának megszűnéséről való tudomásszerzéséig tartja nyilván
5. Adatok kezelése és továbbítása 5.1.
Általános kötelezettségek
A Társaság szolgáltatásával összefüggésben valamint figyelemmel kísérése céljából a következő adatokat kezeli:
egyéb
adatszolgáltatások
− az ügyfelek azonosításához szükséges személyes adatok, amelyek kezelésére a Pmtv. ad felhatalmazást, − az ügyfelek devizabelföldi – devizakülföldi megkülönböztetésére szolgáló (rezidens – nem rezidens, állampolgárság, harmadik országbeli megkülönböztetés) adat, amely az adókötelezettség teljesítéséhez szükséges, az Szja tv. alapján, − az ügyfelek biztosítási szerződéskötéshez szükséges személyes és vagyoni adatai, − egyéb, jogszabályi kötelezettség teljesítéséhez szükséges adata (pl. születési anyakönyvi kivonat vagy halotti anyakönyvi kivonat adatai), − olyan magánszemélyek személyes, a jogszabály által előírt adatai, amelyek nem állandó ügyfelei aTársaságnak, de a Társaság valamely ügyfelének meghatalmazása alapján bármilyen, a szolgáltatással kapcsolatos műveletet végeznek, − munkavállalók és megbízottak személyes adatai, amelyek a munkaviszony létesítéséhez, módosításához, fenntartásához, megszüntetéséhez, illetve ezek hatósági bejelentéséhez szükségesek (pl. önéletrajz, erkölcsi bizonyítvány, kinevezési okirat és módosításai, teljesítmény-értékelések, fegyelmi büntetés iratai, fénykép), − munkavállalók munkaviszonyával kapcsolatos évi vagy évközi minősítések, amelyek alapján a munkavállaló munkavégzése véleményezésre, minősítésre kerül,
14
− munkavállalók társadalombiztosítási, TB kifizetéssel, segélyezéssel, állami támogatással, továbbképzéssel kapcsolatos adatai.
5.2. Az ügyfélkapcsolati adatok rögzítésének szabályai Ügyfélnyilvántartás Az ügyfélnyilvántartás a Társaság és az ügyfél között létrejövő szolgáltatásra vonatkozó tények dokumentálására szolgáló adatkezelés. Az ügyfélnyilvántartás tartalmazza a Társaság valamennyi ügyfelének adatait. Az ügyfél adatainak kezelői Társaság dolgozói, akiknek tevékenységük ellátásához az adott adatok szükségesek. Az adatok nyilvántartása vegyes rendszerben, számítógépen és manuális módszerrel történik. 5.2.1. Ügyfél adatainak rögzítése és nyilvántartása Ügyfél adatainak rögzítése Az ügyfél adat rögzítése az arra kijelölt munkatárs feladata. A rendszerben rögzített adatok pontosságát és teljes körűségét ellenőrizni kell. Az ügyfél adatainak ügyfél adattörzsben történő rögzítése előtt minden esetben meg kell győződni arról, hogy az adott ügyfél szerepel-e már rendszerben. Amennyiben az ügyfél adatai korábban rögzítésre kerültek a rendszerben az ügyfelet tilos újból rögzíteni. Az ügyfél-duplikációt mindenképp el kell kerülni. Ez esetben az ügylet rögzítése előtt ellenőrizni kell, hogy az ügyfél adataiban nem történt-e változás, továbbá azt, hogy a korábbi rögzítés során az összes kötelező mezőt kitöltötték-e. Amennyiben történt változás, vagy a rögzített adatok hiányosak, az ügyfél törzsadatot módosítani, ill. kiegészíteni szükséges. Új ügyféladatok felvitele Az ügyfél nevét a magánszemély ügyfél esetén személyi igazolványból vagy útlevélből, gazdasági társaság esetében pedig a cégkivonatból kell beírni. Végül meg kell adni az ügyfél állandó lakcímét magánszemély esetén, ill. a székhely címet gazdasági társaság esetén. Amennyiben az ügyfél levelezési címet ad meg, úgy a levelezési cím kerül rögzítésre az ügyféltörzsbe. Az ügyfél személyes adatainak (születési hely, idő, anyja neve, leánykori név) rögzítése kizárólag személyazonosításra alkalmas okmányból történhet. 5.2.2. Telefonok automatikus hangfelvétel rögzítése A Társaság a telefonon történő panaszbejelentés esetén a telefonos kommunikációról automatikusan hangfelvétel-rögzítést készít. Ennek során: − a telefonközpont az ügyfelek panasz-nyilatkozatainak megtörténte és tartalmának utólagos ellenőrizhetősége céljából a beszélgetéseket rögzíti, amiről a beszélgetés kezdetén az ügyfelet hangbemondással tájékoztatni kell,
15
A jogszabályi előírásoknak megfelelően a hangfelvételt a Társaság öt évig köteles megőrizni, továbbá az ügyfél kérésére köteles biztosítani a hangfelvétel visszahallgathatóságát, illetve köteles térítésmentesen a hangfelvételről készített hitelesített jegyzőkönyvet rendelkezésére bocsátani. Szolgáltatáshoz jogszerűen igénybe vett személyek esetében alkalmazandó előírások A szolgáltatási tevékenységhez jogszerűen igénybe vett személynek - a kockázattal arányos mértékben - rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, melyek biztosítják az adatok jogszerű kezelését. Az a személy,a mely egyidejűleg más harmadik személyek részére is végez tevékenységet, köteles az így tudomására jutott tényt, adatot, információt elkülönítetten - az adatvédelmi előírások betartásával – kezelni. A kiszervezett tevékenységet végző közreműködőt abban az esetben alkalmazhat, ha a megkötött szerződés ezt lehetővé teszi és az igénybe vett személy biztosítja a kiszervezett tevékenységnek a Felügyelet, az MNB és a hitelintézet belső ellenőrzése, könyvvizsgálója által történő ellenőrzését. Az igénybe vett személynek nyilatkoznia kell arról is, hogy ismeri a Törvény és a Bit. biztosítási titokra vonatkozó rendelkezéseit, valamint az üzleti titokra vonatkozó rendelkezéseket. Külön nyilatkoznia kell arról is, hogy a személyes adatok védelme körében az adatok védelméről – különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés elkerüléséről – gondoskodnak. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket dolgoznak ki. Megbízott biztosításközvetítőkre vonatkozó előírások A Megbízott útján biztosítási ajánlat csak olyan ügyféltől fogadható be, aki azonosságát az előírt okmányokkal igazolja, azokat bemutatja, vagyis a Megbízottnál személyesen megjelenik és az azonosítása megtörtént. Amennyiben az ügyfél nem hajlandó személyét azonosítani, a biztosítási ajánlat befogadását meg kell tagadni. A Megbízott az ügyfél adatait – az ügyfél által bemutatott okmányok alapján – az ajánlat kitöltésekor rögzíti, és azt az ügyféllel aláíratja. Természetes személy esetén, az azonosítás során rögzíteni kell az ügyfél − családi és utónevét (születéskori nevét), − házassági nevét (ha van), − születési helyét, idejét, − anyja leánykori nevét, − lakcímét, − azonosító okmány számát, annak típusát, kiállító hatóság megnevezését, betűjelét. Külföldi természetes személy esetén a fentiek közül a fényképes azonosító okmány alapján megállapítható adatokat, valamint a magyarországi tartózkodási helyet kell rögzíteni. Azonosítás során a Megbízott köteles az alábbi eredeti okmányok valamelyikének bemutatását az ügyféltől megkövetelni: Magyar állampolgársággal rendelkező természetes személy esetén: − személyazonosító igazolvány és lakcímet igazoló hatósági igazolvány (ha az érvényes bejelentett lakcímet a személyi igazolvány nem tartalmazza),
16
− − −
új típusú, legkorábban 2001-ben kibocsátott kártyás vezetői engedély és lakcímet igazoló hatósági igazolvány, útlevél és lakcímet igazoló hatósági igazolvány, 14. életévét be nem töltött természetes személy esetén személyi azonosítót igazoló hatósági igazolvány, vagy útlevél, vagy diákigazolvány.
Magyar állampolgársággal nem rendelkező természetes személy esetén: − EU állampolgár minden elismert azonosító okmánya, vagy − fényképes azonosító okmány (útlevél, személyi azonosító igazolvány – ha az magyarországi tartózkodásra jogosít, vagy érvényes tartózkodási engedély) és − a magyarországi lakóhely vagy tartózkodási hely (ha van, dokumentum alapján). Amennyiben az ügyleti megbízást az ügyfél jogi személy, vagy más szervezet, további harmadik személy számára kívánja bonyolítani, úgy a Megbízott köteles az ügyletben szereplő minden fél személyazonosságát, illetve azonosító adatait megállapítani. A Társaság Pénzmosás megelőzéséről szóló szabályzata tartalmazza a vonatkozó pénzmosási szabályokat. A Megbízott kötelezettséget vállal, hogy eljárása során a Társaság Pénzmosás megelőzéséről szóló szabályzatában foglaltakat betartja. Kijelenti, hogy ismeri a szabályzatban foglalt kötelezettségeit és azok elmulasztásának következményeit. A Kereskedő és alkalmazottai, egyé foglalkoztatottjai a pénzmosásról szóló szabályzatban foglaltakat szigorúan bizalmasan kötelesek kezelni. 5.3. Egyéb a Társaság által kezelt adatok: A Társasággal munkaviszonyban álló munkavállalókra vonatkozó szabályok A Társaságban a jelen szabályzatban foglaltak szerint kell ellátni a személyügyi nyilvántartás és a bér-és munkaügyi nyilvántartás (a továbbiakban együtt: munkaügyi nyilvántartás) vezetését, továbbá a munkavállaló személyi iratainak és adatainak kezelését (a továbbiakban együtt: munkaügyi adatkezelés). E szabályokat a munkaviszony megszüntetése, illetve az e jogviszony létesítésére irányuló előzetes eljárásokra is megfelelően alkalmazni kell. A bérszámfejtést végző szervezetnek csak azok az adatok továbbíthatók, amelyeket a bérszámfejtés feladatait meghatározóan a vonatkozó törvények alapján előírnak. A belső adatvédelmi felelős köteles biztosítani, hogy a munkavállaló a róla nyilvántartott adatokba és iratokba korlátozás nélkül betekinthessen, azokról másolatot vagy kimutatást kaphasson, illetve kérheti adatai helyesbítését, illetve javítását. A munkavállaló jogosult megismerni, hogy a munkaügyi adatkezelés során adatait kinek, milyen célból és milyen terjedelemben továbbították. A személyes adatot tartalmazó iratokba jogosult betekinteni: − munkavállaló a saját adatait tartalmazó irataiba; − a munkáltatói jogok gyakorlója; − a törvényességi felügyeletet ellátó szervezet (pl. NAV, MNB); − a fegyelmi bizottságként eljáró testület vagy személy; − a bíróság; − feladatkörükben eljárva a nemzetbiztonsági szolgálatok, valamint a munkaviszonnyal összefüggésben indult büntetőeljárásban a nyomozó hatóság, az ügyész és a bíróság;
17
az ügyészi törvényességi feladatkörében eljárva az ügyész; a személyes adatok kezelésével összefüggésben a Hatóság; a személyügyi, munkaügyi és bérszámfejtői feladatokat ellátó személy, személyes adatok kezelésével összefüggésben a belső adatvédelmi felelős, illetve feladatkörében eljárva a belső ellenőrzés Igazgatósági felhatalmazás alapján A munkavállaló a munkaviszonyát érintő, illetve nyilvántartott személyi adatváltozást a munkáltatói jogok gyakorlójának vagy a munkahelyi felettesének köteles bejelenteni. − − − −
A Társasággal a munkavégzésre irányuló egyéb jogviszonyban álló személyekre kapcsolatos nyilvántartást a Számviteli és Jelentésszolgálati Osztály Vezetője a Titkársággal együtt vezeti. Béradatok A Társaság, mint munkáltató, a bérszámfejtési feladatok elvégzésére megbízás alapján a NEXON Vállalkozási és Kereskedelmi Kft. (1138 Budapest, Váci út 186., adószám: 10245264, Cégjegyzékszám: 01 09 062647), mint megbízott szolgáltatását veszi igénybe, aki a bérszámfejtés elvégzése körében a munkavállaló Társaság által rendelkezésére bocsátott személyes adatai tekintetében adatkezelést- és feldolgozást végez. A Társaság munkavállalói részére történő bérkifizetésekhez a munkavállaló alábbi adatait továbbítja a bérszámfejtésnek, valamint a megbízottjának: −
− − − − − −
−
az azonosításához szükséges adatok: neve (leánykori neve), születési helye, ideje, anyja leánykori neve, állampolgársága, TAJ száma, adóazonosító jele, személyigazolvány száma, lakcíme, magánnyugdíj-pénztári tagság, (amennyiben van, az önkéntes nyugdíjpénztári és egészségpénztári tagságra vonatkozó adatok) a képzettségével kapcsolatos adatok (START-kártya esetén): legmagasabb iskolai végzettsége, a jelenlegi munkaviszony adatai: jelenlegi munkaviszony kezdete munkavállaló jelenlegi besorolása, besorolásának időpontja, vezetői megbízása, FEOR-száma, a juttatásai adatai: alapbér, jutalmak, cafeteria, egyéb juttatások, a jogviszonyának megszűnésével kapcsolatos adatok: a jogviszony megszűnésének időpontja, módja; a végkielégítés adatai, a munkavégzésre irányuló előző jogviszonyával összefüggő adatok, a korábbi munkaviszonyával kapcsolatos adatok: korábbi munkaviszonyban töltött időtartamok, a munkahely megnevezése, a megszűnés módja, időpontja, alapbére, juttatásai, a munkaidő (pihenőidő, szabadság, táppénz, gyes) adatai.
6. Védelmi alapelvek Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie a Társaságnak, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Az adatbiztonsági rendszabályok érvényesítése érdekében a szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében. Az alábbi alapelveket figyelembe kell venni a konkrét védelmi intézkedések kidolgozása során:
18
Tudatosság: Az informatikai rendszerekbe vetett bizalom növelése érdekében minden azt használó személynek legalább alapszinten ismernie kell a biztonsági módszereket és eljárásokat. Felelősség: Az információ-rendszerek tulajdonosainak, támogatóinak és felhasználóinak biztonságot érintő felelősségének egyértelműnek és világosnak kell lennie. Arányosság: A biztonsági fokozatoknak és intézkedéseknek megfelelőnek és arányosnak kell lenniük a védett rendszerek értékével és megbízhatósági követelményeivel, a biztonság fokozásának költségeivel, illetve a biztonság megsértéséből eredő potenciális károk súlyosságával és valószínűségével. Aktualitás: A biztonságot gyakori időközönként újra kell gondolni, és fel kell frissíteni a biztonság megsértéséből eredő potenciális kockázatok és következmények változásainak megfelelően. Integráció: Koherens és integrált biztonsági megközelítés szükséges egy információrendszer összes elemének tekintetében. Reakciókészség: Az összes résztvevőnek együtt kell működnie a biztonság sérülésének, a biztonság megsértésének megelőzése és a megsértésre adandó gyors válasz érdekében.
6.1. Az adatbiztonság követelménye Az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét. A Társaság, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A személyes adatok automatizált feldolgozása során a Társaság és az adatfeldolgozó további intézkedésekkel biztosítja − a jogosulatlan adatbevitel megakadályozását; − az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását; − annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják; − annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe; − a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és − azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön. Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési
19
megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
6.2. Fizikai veszélyforrások kezelése A jogosulatlan hozzáférés elkerülése érdekében fel kell készíteni a fizikai védelmi rendszert az illetéktelen behatolások elhárítására, illetve az informatikai, adatátviteli, telekommunikációs infrastruktúra üzemeltetőit ezek észlelésére, jelzésére és elhárítására, és az eszközök jogosulatlan használatának megakadályozására.
6.3. Védelmi intézkedések A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága vonatkozásában az alábbi szempontokra figyelemmel kell eljárni: Humán kockázat: a humán kockázat ellen oktatással és/vagy a felvételi eljárásban foglalt előzetes ellenőrzésekkel kell védekezni. Manuális adatkezelés: a személyes adatok manuális kezelésének biztonsága érdekében az alábbi intézkedéseket kell foganatosítani: Tűz- és vagyonvédelem: Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni. Hozzáférés-védelem: A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. Archiválás: Az említett adatkezelések iratait archiválni és irattári kezelésbe kell venni. Az informatikai biztonság megvalósítása során a Társaság a Bit. és a vonatkozó jogszabályi rendelkezéseket a mértékadó ágazati szabványok figyelembevételével belső eljárásában érvényesíti, valamint biztosítja a számítógépes adatrögzítésre, adatvédelemre, adatmentésre és feldolgozásra vonatkozó előírások teljesülését, valamint biztosítja minden egyéb vonatkozó jogszabályban vagy szabályzatban foglalt előírás teljesülését, ideértve a következetesség, a folyamatos figyelemmel kísérhetőség és az ellenőrizhetőség biztosítását is.
7. Adatkezelés, részére
adattovábbítás
harmadik
személyek
7.1. Adatszolgáltatás harmadik személyek részére más célból A Társaság az ügyfélről tudomására jutott adatot – beleértve az ügyfél személyes és pénzügyi adatait, valamint a kötelezettségek teljesítésére, fizetőkészségre vonatkozó információkat – jogosult a Társaság érdekeltségi körébe tartozó vállalkozásoknak kockázatelemzési és marketing célból átadni, amennyiben ehhez az ügyfél kifejezett és írásos hozzájárulását megszerezte. Az ügyfelek adatait a jogszabályokban és jelen szabályzatban meghatározottak szerint az ügyfél kifejezett írásos hozzájárulásával továbbítható − a Társaság tulajdonosa felé külföldre – EGT-tagállamba, illetve harmadik országba, − a Társasággal szerződéses jogviszonyban álló megbízott biztosításközvetítők, − a Társaság üzemszerű működése során járulékos tevékenységet végző vállalkozások, − a Társaság megbízásából fogyasztói illetve ügyfél-elégedettségi felmérést, kutatást végző szervezetek feladatainak teljesítéséhez szükséges mértékben és időtartamra.
20
A Társaság biztosítja, hogy az általa átadott adatokat a mindenkor hatályos adatvédelmi szabályok és a biztosítási titokra vonatkozó törvényi rendelkezések betartása mellett kezelik.
7.2. Adatszolgáltatás egyéb szervezetek és hatóságok részére A Társaság jogszabályi előírások alapján adatszolgáltatási kötelezettséget teljesít. A Társaság a Bit. rendelkezéseinek megfelelően az érintett hatóságoknak a hivatkozott jogszabályban megjelölt feltételekkel és tartalommal adatokat szolgáltat. Személyes adatok akkor továbbíthatók, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve egyenként teljesülnek. Az érintett előzetesen is adhat ilyen tartalmú hozzájárulást, amely szólhat határozott időtartamra és / vagy a megkereséssel élő szervek meghatározott körére. Az érintett nyilatkozattételétől függetlenül teljesíteni kell a büntető ügyekben eljáró hatóságoktól - rendőrség, bíróság, ügyészség - valamint a nemzetbiztonsági szolgálatoktól, illetve a Bit. biztosítási titokra vonatkozó rendelkezéseiben megjelölt szervektől, jogszabályban meghatározott feltételek mellett érkező megkereséseket. Az üzleti- és biztosítási titok harmadik személy részére történő kiadásának, továbbításának feltételeit a vonatkozó jogszabályok (Bit.) határozza meg. A Társaság belső szabályzatában meghatározott módon, a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2007. évi CXXXVI. törvény (Pmtv.) rendelkezései alapján ügyfél-átvilágítást, adatkezelést, adatközlést, illetve ügyféltájékoztatást végez. Adatfeldolgozás Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a Törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között a Társaság határozza meg. Az adatfeldolgozó adatfeldolgozót.
az
adatkezelő
rendelkezése
szerint
vehet
igénybe
további
Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatvédelemre vonatkozó rendelkezések szerint köteles tárolni és megőrizni. Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni.
7.3. Adattovábbítás külföldre Személyes adat (beleértve a különleges adatot is) az országból – az adathordozótól vagy adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha − ahhoz az érintett kifejezetten hozzájárult, vagy − a törvény lehetővé teszi és a harmadik országban az átadott adatok kezelése, illetve feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. A személyes adatok megfelelő szintű védelme akkor biztosított, ha az Európai Unió kötelező jogi aktusa azt megállapítja, vagy a harmadik ország és Magyarország között az érintetteknek az előzetes tájékoztatásra vonatkozó jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban vagy az adatkezelés, illetve adatfeldolgozás kötelező szervezetei szabályozásnak megfelelően történik.
21
Személyes adatok a nemzetközi jogsegélyről, az adóügyi információcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzetközi szerződésben meghatározott célból, feltételekkel és adatkörben továbbíthatók harmadik országba. Az EGT tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyarország területén belüli adattovábbításra kerülne sor.
8. Az adatvédelmi jogkövetkezményei
szabályok
megszegésének
Munkajogi felelősség: A munkavállalók a Társaság felé felelnek a jelen szabályzat megszegéséért az Mt.-ben és a munkaszerződésükben foglaltak alapján, továbbá a Törvény szerint. Polgári jogi felelősség: A Társaság az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben a Társaság felel az adatfeldolgozó által okozott kárért is. A Társaság mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Az érintett jogainak megsértése esetén, bírósághoz fordulhat. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, a Társaság köteles bizonyítani. Ha a bíróság a kérelemnek helyt ad, a Társaságot a tájékoztatás megadására, az adat helyesbítésére, törlésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére vagy adat kiadására kötelezi. A bíróság elrendelheti ítéletének – a Társaság azonosító adatainak közzétételével történő nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett törvényben védett jogai megkövetelik. A Hatóság eljárása: Jogellenes adatkezelés észlelése esetén a Hatóság a törvényben meghatározott intézkedések megtételére jogosult. A Hatósághoz tett bejelentése miatt senkit sem érhet hátrány. A bejelentőt a közérdekű bejelentővel azonos védelem illeti meg.
9. Az adatbiztonsági ellenőrzése
előírások
érvényesülésének
Az adatvédelemmel kapcsolatos jogszabályi előírások, így különösen jelen szabályzat rendelkezéseink betartását, az adatkezelést végző szervezeti egységek vezetői kötelesek folyamatosan ellenőrizni. Ennek keretében a Hatóság feladatkörét részletesen a Törvény határozza meg.
22
Nemzeti Adatvédelmi és Információszabadság Hatóság A Hatóság autonóm államigazgatási szerv. Feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. A Hatóság a Törvényben meghatározottak szerint − bejelentés alapján vizsgálatot folytat; − hivatalból adatvédelmi hatósági eljárást folytathat; − hivatalból titokfelügyeleti hatósági eljárást folytathat; − a közérdekű adatokkal és a közérdekből nyilvános adatokkal kapcsolatos jogsértéssel összefüggésben bírósághoz fordulhat; − a más által indított perbe beavatkozhat; − adatvédelmi nyilvántartást vezet. − javaslatot tehet a személyes adatok kezelését, valamint a közérdekű adatok és a közérdekből nyilvános adatok megismerését érintő jogszabályok megalkotására, illetve módosítására, véleményezi a feladatkörét érintő jogszabályok tervezetét; − tevékenységéről minden évben március 31-éig beszámolót hoz nyilvánosságra és a beszámolót benyújtja az Országgyűlésnek; − általános jelleggel vagy meghatározott adatkezelő részére ajánlást bocsát ki; − véleményezi a közfeladatot ellátó szerv tevékenységével kapcsolatosan az e törvény szerint közzéteendő adatokra vonatkozó különös, illetve egyedi közzétételi listákat; − törvényben meghatározott szervekkel vagy személyekkel együttműködve képviseli Magyarországot az Európai Unió közös adatvédelmi felügyelő testületeiben; − megszervezi a belső adatvédelmi felelősök konferenciáját. A Hatóság független, csak a Törvénynek van alárendelve, feladatkörében nem utasítható, a feladatát más szervektől elkülönülten, befolyásolástól mentesen látja el. A Hatóság számára feladatot csak törvény állapíthat meg. A Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll. A Hatóság vizsgálata nem minősül közigazgatási hatósági eljárásnak, arra a közigazgatási hatósági eljárás általános szabályairól szóló törvényt nem kell alkalmazni. Ha a Hatóság a személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatos jogsérelem vagy annak közvetlen veszélye fennállását megalapozottnak tartja, az adatkezelőt a jogsérelem orvoslására, illetve annak közvetlen veszélye megszüntetésére szólítja fel. Adatvédelmi hatósági eljárás A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság adatvédelmi hatósági eljárást indíthat. Az adatvédelmi hatósági eljárás kizárólag hivatalból indítható, az akkor sem minősül kérelemre indult eljárásnak, ha az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg. Ha azonban az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg, a bejelentőt az adatvédelmi hatósági eljárás megindításáról, illetve befejezéséről értesíteni kell. A Hatóság adatvédelmi hatósági eljárást indít, ha a bejelentésen alapuló vizsgálat alapján vagy egyébként valószínűsíthető a személyes adatok jogellenes kezelése, és a jogellenes adatkezelés
23
− −
személyek széles körét érinti, nagy érdeksérelmet vagy kárveszélyt idézhet elő.
Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság − megtilthatja a személyes adatok jogellenes kezelésének vagy feldolgozásának tényét, − elrendelheti a valóságnak nem megfelelő személyes adat helyesbítését, − elrendelheti a jogellenesen kezelt személyes adatok zárolását, törlését vagy megsemmisítését, − megtilthatja a személyes adatok jogellenes kezelését vagy feldolgozását, − megtilthatja a személyes adatok külföldre továbbítását vagy átadását − elrendelheti az érintett tájékoztatását, ha azt az adatkezelő jogellenesen tagadta meg, valamint − bírságot szabhat ki. Adatvédelmi nyilvántartás Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről, az érintettek tájékozódásának elősegítése érdekében a Hatóság hatósági nyilvántartást (a továbbiakban: adatvédelmi nyilvántartás) vezet, amely tartalmazza − az adatkezelés célját, jogalapját, − az érintettek körét, az érintettekre vonatkozó adatok leírását, − az adatok forrását, − az adatok kezelésének időtartamát, − a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is, − az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét, − az alkalmazott adatfeldolgozási technológia jellegét, − a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait. Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely − az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való részvételre irányuló, tanulói vagy tanulószerződéses jogviszonyban, kollégiumi tagsági viszonyban vagy - a pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók ügyfelei kivételével - ügyfélkapcsolatban álló személyek adataira vonatkozik; − egyház belső szabályai szerint történik; − az egészségügyi ellátásban kezelt személy betegségével, egészségi állapotával kapcsolatos személyes adatokra vonatkozik gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából; − az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik; − a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira, vagy a büntetés-végrehajtás során a büntetés-végrehajtással összefüggésben kezelt személyes adatokra vonatkozik; − a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy törvényben meghatározottak szerint - az adatok érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; − a médiaszolgáltatásokról és a tömegkommunikációról szóló törvény szerinti médiatartalom-szolgáltató olyan adatait tartalmazza, amelyek kizárólag saját tájékoztatási tevékenységét szolgálják; − a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra,
24
−
a levéltári őrizetbe vett iratokkal összefüggésben valósul meg.
Az adatvédelmi nyilvántartás nyilvános, azt a Hatóság a honlapján bárki számára hozzáférhető módon közzéteszi. A személyes adatok kezelésének nyilvántartásba vételét az adatkezelő - a kötelező adatkezelés kivételével az adatkezelés megkezdése előtt - kérelmezi a Hatóságnál. A kötelező adatkezelés, valamint az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg. A kötelező adatkezelés nyilvántartásba vételét az adatkezelő az adatkezelést elrendelő jogszabály hatálybalépését követő húsz napon belül kérelmezi a Hatóságnál. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. A Hatóság az adatkezelést a kérelem megérkezésétől számított nyolc napon belül nyilvántartásba veszi. Ha a Hatóság a nyilvántartásba vétel iránti kérelmet határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltak szerint megkezdheti. Ha a kérelem olyan adatkezelés nyilvántartásba vételére irányul, amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, illetve amely az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé, a nyilvántartásba vétel feltétele, hogy az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók legyenek. Az adatkezelést a Hatóság a kérelem megérkezésétől számított negyven napon belül nyilvántartásba veszi. Az adatok megváltozása esetén az adatkezelő a változás bekövetkezésétől számított nyolc napon belül változásbejegyzési kérelmet nyújt be a Hatóságnak, a kérelemnek csak a megváltozott adatokat kell tartalmaznia. A Hatóság az adatvédelmi nyilvántartásba vételi kérelem tárgyában határozatának tartalmaznia kell az adatkezelés nyilvántartási számát, amelyet az adatkezelőnek az adatok minden továbbításánál, nyilvánosságra hozásánál és az érintettnek való kiadásakor fel kell tüntetni. A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét. A 2012. január 1-jét megelőzően megkezdett, de az adatvédelmi nyilvántartásba 2012. január 1-jét megelőzően be nem jelentett, az Törvény szerinti adatvédelmi nyilvántartás hatálya alá eső adatkezelés nyilvántartásba vételét a Törvény szabályai szerint 2012. június 30-ig kérelmezte a Társaság. Az adatkezelés nyilvántartási száma: NAIH-56379/2012. A Hatóság eljárása során - az annak lefolytatásához szükséges mértékben és ideig kezelheti mindazon személyes adatokat, valamint törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatokat, amelyek az eljárással összefüggnek, illetve amelyek kezelése az eljárás eredményes lefolytatása érdekében szükséges. A Hatóság a vizsgálata során beszerzett adatokat hatósági eljárásában felhasználhatja. A minősített adatot érintő adatkezeléssel kapcsolatos eljárása során a Hatóság a minősített adatot a minősített adat védelméről szóló törvényben meghatározott felhasználói engedély nélkül is megismerheti.
25
10. Záró és hatályba léptető rendelkezések A Hatóságtól érkező megkeresésekre az érdemi választ az adatvédelmi felelős adja meg, írja alá. Az ilyen ügyek intézésében az érintett személyek az ügyviteli szabályoknak megfelelően közreműködnek. Ha indokolt, hogy az ilyen megkeresésre az érdemi választ cégjegyzésre jogosult vezető tisztségviselő írja alá, akkor a válaszirat-tervezet kiadmányozására az adatvédelmi felelős útján lehet előterjeszteni. A Hatóság korlátozás nélkül jogosult e szabályzatot megismerni, arról másolatot kérni valamint az adatkezeléssel kapcsolatos további információkat kérni. Az előzőek feltétele az, hogy az adatvédelmi Hatóság vállalja azt, hogy a kapcsolódó minősített biztonsági szabályok esetében a vonatkozó információvédelmi szabályokat betartja és – amennyiben szükséges titoktartási nyilatkozatot is aláír. Az ilyen kérést lehetőség szerint az adatvédelmi felelős útján kell teljesíteni. Jelen szabályzat 2016. január 1. napján lép hatályba.
26
