Adatkezelési tájékoztató
Biztosítási alkusz szolgáltatás igényléséhez és szerződéskötéshez kapcsolódó személyes adatkezeléshez
Insurance Partners Biztosítási Alkusz Korlátolt Felelősségű Társaság
A jelen adatkezelési tájékoztató célja, hogy az Európai Parlament és Tanács (EU) 2016/679 számú általános adatvédelmi rendeletének (továbbiakban: rendelet vagy GDPR) való megfelelés céljából átláthatóvá tegye, hogy abiztosítási alkusz szolgáltatás igénybevétele során az Insurance Partners Biztosítási Alkusz Korlátolt Felelősségű Társaság (Székhely/levelezési cím: 1126 Budapest, Tartsay Vilmos utca 14.; Nyilvántartó hatóság: Fővárosi Törvényszék Cégbírósága; Cégjegyzékszám: 01-09-938962; Adószám: 22686242-1-43; Statisztikai számjel: 22686242-6622-113-01; a továbbiakban „IP”) rendelkezésére bocsátott, vagy az IP rendelkezésére álló személyes adatokat az IPmilyen célból, milyen jogalap alapján, hogyan gyűjti, használja fel, azokba kik tekinthetnek bele és kiknek kerülnek továbbításra, az IPazokat meddig őrzi meg, valamint hogy milyen jogok illetik meg az érintett természetes személyeket személyes adataik kezelésével kapcsolatban.
A biztosítási alkusz szolgáltatás igénybevétele során az IPrendelkezésére álló személyes adatok kezelése a termék, szolgáltatás igénybevételének szükségszerű és elengedhetetlen feltétele, azok rendelkezésre bocsátásának megtagadása vagy elmaradása esetén az az IP, illetve az érintett biztosító(k) döntéshozatalát akadályozhatja, korlátozhatja, kizárhatja.
1. Adatkezelő
Név: Insurance Partners Biztosítási Alkusz Korlátolt Felelősségű Társaság
Székhely/levelezési címe: 1126 Budapest, Tartsay Vilmos utca 14.
Cégjegyzékszám: 01-09-938962
Adószáma: 22686242-1-43
Honlap: www.huninsurance.hu
Telefonszám: +36 1 225 0038
E-mail cím: adatkezeles@huninsurance.hu
Képviselőjének neve: Kárpáti Gábor, ügyvezető
2. Általános fogalmak:
érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
különleges adat: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
ügyfél: a szerződő, a biztosított, a kedvezményezett, a károsult, a biztosító számára szerződéses ajánlatot tett és a biztosító szolgáltatására jogosult más személy;
címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
Biztosítási titok: minden olyan - minősített adatot nem tartalmazó -, a biztosító, a viszontbiztosító, a biztosításközvetítő rendelkezésére álló adat, amely a biztosító, a viszontbiztosító, a biztosításközvetítő ügyfeleinek - ideértve a károsultat is - személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval, illetve a viszontbiztosítóval kötött szerződéseire vonatkozik;
Biztosítási titkot képeznek különösen az alábbi adatok:
- a biztosító ügyfelének személyes adatai;
- a biztosított vagyontárgy és annak értéke;
- a biztosítási összeg;
- élet-, baleset-, betegség- és felelősségbiztosítási szerződés esetén az egészségi állapottal összefüggő adatok;
- a kifizetett biztosítási összeg mértéke és a kifizetés ideje;
- a biztosítási szerződéssel, létrejöttével, nyilvántartásával, a szolgáltatással összefüggő összes lényeges tény és körülmény.
harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
Releváns jogszabályok:
Bit: A biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény;
Eker tv.: Az elektronikus kereskedelmi szolgáltatások valamint az információs társadalomról összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény;
Grt.: a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény;
Hpt.: A hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény;
Infotv.: Az információs önrendelkezési jogról és az információ- szabadságról szóló 2011. évi CXII. törvény;
Sztv.: A Számvitelről szóló 2000. évi C. törvény;
Szvmt.: a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény;
Távért tv.: a távértékesítés keretében kötött pénzügyi ágazati szolgáltatási szerződésekről szóló 2005. évi XXV. törvény;
3. Az IP által történő adatkezelés és az adatkezelés célja
3.1. A termékek, szolgáltatások igénybevételéhez kapcsolódó adatkezelés
Az IP által végzett adatkezelés célja a biztosítási alkusz szolgáltatás nyújtása, igénybevétele,a jelen Adatkezelési Tájékoztatóban megjelölt termék, szolgáltatás igénybevételével kapcsolatban az adatkezeléssel érintett személy/ügyfél azonosítása, az igényelt termék, szolgáltatás iránti kérelem (biztosítási igény) elbírálásának előkészítése – beleértve az adatok ellenőrzésének jogát is -, kapcsolattartás, szerződéskötési feltételek beállta esetén a szerződéskötés lebonyolítása, továbbá a termék, szolgáltatás igénybevételéhez kapcsolódó jogok-és kötelezettségek kölcsönös teljesítése és érvényesítése.
A kezelt adatok az érintettek által a szerződéskötés során megadott, valamint a szolgáltatás igénybevétele során keletkező egyéb, az érintettel kapcsolatba hozható adatok, valamint az azokból levonható következtetések.
| ADATKEZELÉS CÉLJA | KEZELT ADATOK, ADATKÖRÖK | AZ ADATKEZELÉS JOGALAPJA |
|---|---|---|
| A terméket, szolgáltatást igénybe vevő természetes személy azonosítása | neve; születési helye és ideje; anyja neve; lakcíme; állampolgársága; azonosító okmányának típusa és száma; adóazonosító jele, illetve száma; vállalkozói igazolvány száma; egyéni vállalkozó adószáma; egyéni vállalkozói tevékenysége végzésének helye; | szerződés teljesítése (GDPR 6. cikk (1) bekezdés b.) pont) |
| Kapcsolattartás az ügyféllel | Levelezési vagy értesítési cím; vezetékes vagy mobil telefonszám; elektronikus levelezési cím (email cím) | szerződés teljesítése (GDPR 6. cikk (1) bekezdés b.) pont) |
| megbízási szerződés megkötése, módosítása, nyilvántartása, teljesítése | biztosítástól függően (i) természetes személyi azonosító adatok, lakcím, nem, (ii) egyéb azonosító adatok (pl. adóazonosító jel, rendszám, telefonszám, e-mail cím); (iii) pénzügyi adatok (pl. bankszámlaszám, jövedelemre, megtakarításra vonatkozó adatok); (iv) a biztosítási szerződésre vonatkozó adatok, ideértve a biztosítási szerződésre bejelentett igények/károk adatait is (pl. a biztosított vagyontárgyra, a kockázatviselés helyére vonatkozó adatok, fényképek, vagy személybiztosítások, illetve személyi károk esetén akár egészségügyi adatok). | szerződés teljesítése (GDPR 6. cikk (1) bekezdés b.) pont) |
| biztosítási szerződés megkötése, módosítása, nyilvántartása, teljesítése, biztosítási szolgáltatások közvetítése | szerződés teljesítése (GDPR 6. cikk (1) bekezdés b.) pont)
jogi kötelesség teljesítése (GDPR 6. cikk (1) bekezdés c.) pont) |
|
| kockázatvállalás, kockázat elbírálása, kockázatkezelés | szerződés teljesítése (GDPR 6. cikk (1) bekezdés b.) pont)
jogi kötelesség teljesítése (GDPR 6. cikk (1) bekezdés c.) pont) |
Személyes adatainak a megadására a biztosítási szerződésmegkötése és teljesítése érdekében van szükség. Meghatározottösszegű és típusú biztosítások esetén az adatok szolgáltatásátjogszabály írja elő számunkra, a pénzmosás és terrorizmusfinanszírozásának a megelőzése és megakadályozás érdekében. Az adatszolgáltatás elmaradása ezért - különösen ez utóbbiesetben - azzal a következménnyel jár Önre nézve, hogy nem kötünk Önnel szerződést, vagy az igényelt biztosítási fedezet nem teremthető meg. Ugyanilyen következménnyel járhat az is, ha a biztosítás megkötéséhez egészségügyi kockázatfelmérés,vagy az Ön személyi körülményeire, vagyoni helyzetére vonatkozóigényfelmérés szükséges, azonban Ön az ehhez szükségesadatainak a kezeléséhez nem járul hozzá.
A kezelt adatok esetén az egészségi állapottal összefüggő adatok nélkülözhetetlenek a szerződés megkötéséhez, illetve a szolgáltatás teljesítéséhez. Az adatszolgálgatás minden adat vonatkozásában önkéntes, de a fentebb megjelölt adatok hiánya a kockázat meghatározását lehetetlenné teszi, amely a biztosítási ajánlat visszautasítását vonhatja maga után.
Az ügyfél egészségi állapotával összefüggő adatokat az IP a Bit. 135.§ (1) bekezdésében meghatározott célokból, az egészségügyi és a hozzájuk kapcsolódó személyes, illetve különleges adatok kezeléséről szóló 1997. évi XLVII. törvény rendelkezései szerint, kizárólag az érintett írásbeli hozzájárulásával kezelheti.
Az IP az ügyfél hozzájárulása esetén a tevékenységéhez kapcsolódó információkról hírlevélben, e-mailen tájékoztatást adhat az ügyfeleinek.
Az IP az ügyfél hozzájárulása esetén e-mailen, telefonon, személyesen megkeresheti az ügyfelet ajánlattétel céljából, vagy közvetlen üzletszerzést célzó küldeményt juttathat el a részére.
Amennyiben az ügyfél nem kívánja, hogy IP a továbbiakban ajánlataival megkeresse, az adatkezeles@huninsurance.hu e-mail címre, illetve az 1126 Budapest, Tartsay Vilmos u. 14. postai címre küldött levelével korlátozásmentesen leiratkozhat.
Az ügyfél az általa tett, tájékoztatást célzó és reklám küldeményre vonatkozó adatkezelési nyilatkozatát megváltoztathatja telefonon keresztül az IP +36 1 225 0038 telefonszámán.
IP az ügyfelek személyes adatait a Bit-ben foglaltak szerint továbbíthatja.
Az adattovábbítási nyilvántartásban szereplő személyes adatokat az adattovábbítástól számított 5 év elteltével, a Bit. 136.§-a alá eső adatok vagy az Infotv. szerint különleges adatnak minősülő adatok továbbítása esetén 20 év elteltével törölni kell.
3.2 Az IP részére jogi kötelezettségként meghatározott adatkezelések
Az IPrészére egyes jogszabályok kötelező adatkezeléseket, adattovábbításokat írnak elő, ahol az adatkezelés jogalapja elsődlegesen törvény rendelkezése, illetve egyéb jogi kötelezettség teljesítése, így pl. egyes szervezetektől, hatóságoktól (adóhatóság, bíróság, közjegyző, nyomozó hatóság stb.) érkező megkeresések, adatkérések esetén részükre történő adatszolgáltatás.
Tájékoztatjuk Önt arról, hogy a hatóságok törvényi felhatalmazáson alapuló, írásbeli adatkéréseit az Adatkezelőnek teljesítenie kell. Az Adatkezelő az adattovábbításokról az Infotv. 15. § (2)-(3) bekezdésével összhangban nyilvántartást vezet (mely hatóságnak, milyen személyes adatot, milyen jogalapon, mikor továbbított az Adatkezelő), amelynek tartalmáról kérésére az Adatkezelő tájékoztatást nyújt, kivéve, ha a tájékoztatását törvény kizárja.
3.3 Marketing célból történő adatkezelés, Közvetlen üzletszerzési célú adatkezelések
Az IP időről időre új termékekkel és szolgáltatásokkal jelenik meg a piacon, illetve termékei, szolgáltatásai igénybevételéhez esetenként kedvezményeket nyújthat különböző akciók keretében.
Ügyfélkapcsolat:
Termékeiről, akcióiról, illetve az igénybe vehető kedvezményekről rendszeresen tájékoztatni szeretné ügyfeleit. Ennek megfelelően további célból, az új termékekről, szolgáltatásokról való tájékoztatás, az Érintett hatékonyabb, személyre szabottabb kiszolgálása, reklámüzenetek küldése, marketing tevékenység végzése céljából az Érintett kifejezett, önkéntes és bármikor visszavonható hozzájárulása alapján is sor kerül személyes adatok gyűjtésére, kezelésére (pl. honlapon reklám, hírlevél-küldésre történő jelentkezés, regisztráció útján, termék, szolgáltatás igénylésekor külön marketing hozzájáruló nyilatkozat alapján, játékszabályzatban szabályozott, meghirdetett játékok útján, stb.).
Az Adatkezelő által a közvetlen üzletszerzési céllal kezelt adatok köre:
- név, lakcím, születési hely, idő, telefonszám, e-mail cím
- az érintett személyi körülményeire, vagyoni viszonyaira vonatkozó adatok (pl. más biztosítónál, pénzintézetnél meglévő, biztosításokra, hitelekre, megtakarításokra, egészségpénztári, nyugdíjpénztári tagságra, gépjármű, lakás és más biztosítható vagyontárgyak meglétére vonatkozó információk).
Közvetlen üzletszerzési céllal történő kapcsolatfelvétel nem ügyfél természetes személlyel, illetve társaság esetén nem ügyfelet képviselő természetes személlyel:
Kizárólag a közvetlen üzletszerzés céljából küldendő küldemények fogadásához való hozzájárulás beszerzése érdekében kapcsolatfelvételi lista, illetve üzletszerzési lista összeállítása céljából legfeljebb az érintett nevét, lakcímét, elektronikus levélcímét vagy elektronikus hírközlési azonosítóját, születési helyét és idejét, az érintett érdeklődési körére vonatkozó információt, valamint családi állapotát kezelheti, amennyiben az elektronikus hírközlési eszköz (különösen telefon) útján történő megkeresés elején, különösen a beszélgetés megkezdésekor hozzájárult ehhez a hívott érintett. Az emberi beavatkozás nélküli, automatizált hívórendszer az érintett tekintetében csak akkor alkalmazható közvetlen üzletszerzési vagy tájékoztatási célra, ha ehhez az érintett előzetesen hozzájárult.
A Társaság nem küld kéretlen reklámüzenetet, azonban közvetlen üzletszerzési céllal kereshet meg még nem ügyfél természetes személyeket kapcsolattartási és üzletszerzési listája alapján. Ilyen, a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről 1995. évi CXIX. törvény 3. § felhatalmazása alapján történő megkeresés címzettje megtilthatja közvetlen üzletszerzési céllal történő felhasználását, és kérheti Adatkezelőt a kapcsolattartási vagy/és üzletszerzési listájáról történő törlését.
Hozzájárulás visszavonása, adatok törlése:
Amennyiben a korábban hozzájárulást tett személy nem szeretne a jövőben reklám, marketing tárgyú üzeneteket kapni az IPrészéről, visszavonó nyilatkozatát az alábbiak útján teheti meg:
- postai küldeményben az alábbi postacímen: 1126 Budapest, Tartsay Vilmos utca 14.
- elektronikus levél formájában az alábbi e-mail címen: adatkezeles@huninsurance.hu
- telefonon, az alábbi telefonszámon: +36 1 225 0038
- személyesen, az IP székhelyén munka időben.
Azon Érintettek, akik reklám, marketing üzenetek küldéséhez való hozzájárulásukat visszavonják, törvény rendelkezése folytán úgynevezett „tiltó listára” kerülnek, hogy részükre a továbbiakban ne kerüljön sor marketing üzenetek küldésére.
3.4 Egyéb célból történő adatkezelések
3.4.1. Hangfelvétel útján történő rögzítés
Az Adatkezelő panaszügyintézése során tudomására jutott személyes adatokat a Bit. panaszkezelésre vonatkozó szabályainak való megfelelés érdekében kezeli, és a bejelentett panaszokról, valamint az azok rendezését, megoldását szolgáló intézkedésekről nyilvántartást vezet.
Telefonon történő panaszkezelés esetén az Adatkezelő a közötte és az ügyfél közötti telefonos kommunikációt hangfelvétellel rögzíti. A telefonbeszélgetések rögzítése a Bit. alapján kötelező.
A panaszkezelési célon felül a biztosítási igények és szükségletek minél pontosabb kielégítése érdekében az értékesítés során az ügyféllel történő megbeszélést a megbeszélést követően a megbeszélésről készített emlékeztető elkészítéséig hangfelvétellel rögzítheti. Az adatkezelés jogalapja: szerződés teljesítése (GDPR 6. cikk (1) bekezdés b.) pont).
A panaszkezelés tárgykörén túl, hangfelvétel mellett történik a telefonos kommunikáció olyan esetekben, ahol a beszélgetésnek a felek telefonon tett jognyilatkozatainak bizonyítása, illetőleg szerződéses jogviszony esetén a felek együttműködésének, a szerződésszerű teljesítésnek, a szolgáltató jogszerű eljárásának dokumentálása szempontjából jelentősége van.
Minden hangfelvétellel rögzített telefonbeszélgetés esetén, annak megkezdésekor tájékoztatást kell adni arról, hogy a beszélgetés hangfelvétellel rögzítésre kerül, valamint, a hangfelvételek megőrzéséről, megismerhetőségéről, valamint, hogy az adatkezelő honlapján, valamint a székhelyén további, részletes adatkezelési tájékoztató található az Érintettek adatkezeléssel kapcsolatos jogairól.
A hangfelvétel szövegét azon személyek ismerhetik meg, akiknek munkavégzésével összefüggésben az szükséges.
A hangfelvétel panasz esetén az illetékes hatóság, esetleges jogvita esetén az eljáró bíróság részére kerülhet kiadásra, továbbá csak a törvényben meghatározottak szerinti egyéb esetekben használható fel.
Amennyiben az érintett személy készít hangfelvételt az IP-vel folytatott telefon beszélgetésről, ezáltal maga is adatkezelővé válik, melyre kiterjed az adatvédelmi normák hatálya (pl. a célhoz kötött adatkezelés, adatmegőrzési idő stb.).
3.4.2 A jelen Weboldal látogatásával kapcsolatos adatkezelés, a sütik kezelése
Az IP www.huninsurance.hu weboldalán a bárki számára hozzáférhetően közzétett információk megtekintéséhez személyes adatok megadása nem szükséges.
Az Adatkezelő a weboldal látogatóiról automatikusan az alábbi adatokat kapja:
- a látogató IP-címe,
- a látogatás időpontja,
- a weboldalon megtekintett aloldalak és tartalmak.
Célja különböző lehet: információgyűjtés arra vonatkozóan, hogyan használja az Érintett a weboldalt, megjegyzi a látogató egyéni beállításait, megkönnyíti a weboldal használatát a felhasználók számára stb. Kapcsolódhatnak munkamenethez, hirdetésekhez – annak érdekében, hogy a felhasználó érdeklődésének megfelelő hirdetések jelenjenek meg a weblapon – , használat elősegítéséhez, a bejelentkezés biztonságához stb.
Ezeket az adatokat az Adatkezelő kizárólag a honlappal kapcsolatos elemzésre, a honlap fejlesztésére, felhasználói élmény növelésére, a honlap biztonságos működésének az ellenőrzésére használja fel.
Viselkedésalapú reklám csak akkor használható a weboldalon, ha ehhez az Érintett előzetesen megfelelő tájékoztatáson alapuló önkéntes hozzájárulást ad. A „süti” („cookie”) tényleges alkalmazásáról az Érintett tájékoztatása oly módon történik, hogy alkalmazásakor az IP honlapján jól láthatóan és jól észlelhetően kerül elhelyezésre egy a cookie alkalmazásáról szóló figyelemfelhívás, amely kiutal, egy további kattintással elérhető tájékoztatóra a cookie alkalmazása tekintetében.
4. Kezelt adatok köre
Az IP elsődlegesen termékeinek, szolgáltatásainak nyújtása céljából kezel személyes adatokat, amelyek alapvetően az Érintett által megadott, általa ismert személyes adatok, illetőleg harmadik személyektől beszerzett személyes adatok. A kezelt adatok az Érintett által a szerződéskötés során megadott, valamint a szolgáltatás igénybevétele során keletkező egyéb, az Érintettel kapcsolatba hozható adatok, valamint az azokból levonható következtetések. A kezelt adatokra vonatkozó információkat a fenti pontok tartalmazzák.
Az egyes termékektől, szolgáltatásoktól függően a kapcsolódó Keretszerződés, tájékoztató, Adatkezelési Kikötés is további részleteket tartalmazhatnak az adatkezelésre, a kezelt adatokra vonatkozóan, melyek esetében a megismerés, tudomásulvétel tekintetében az Üzletszabályzatra vonatkozó rendelkezések az irányadók.
Az adatok kezelését az IP jogszerűen, tisztességesen és átlátható módon végzi.
A kezelt adatok körét az adatkezelés célja (pl. személyazonosítás, biztosítási igény elbírálása, kapcsolattartás stb.) határozza meg, személyes adatok csak célhoz kötötten, a cél eléréséhez szükséges mértékben és ideig, illetve jogszabályban meghatározott időtartamig kezelhetők.
Az adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, mely időszakonként adategyeztetést tesz szükségessé.
Ha az adatkezelést az adatkezelő IP nevében más végzi, az IPkizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Az adatfeldolgozó által végzett adatkezelést az adatkezelő IP az adatfeldolgozóval kötött szerződésben szabályozza.
5. Az Adatkezelés célja, jogalapja és egyéb körülményei
A személyes adatok IP kezelése akkor jogszerű, ha legalább az alábbiak egyike teljesül:
a) az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés a IP-re vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés a IP vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az egyes adatkezelések esetében az adatkezelés konkrét célját, jogalapját a fentiek tartalmazzák.
6. Az adatkezelés időtartama (Megőrzési idő)
Az IP fő szabályként köteles törölni minden olyan, az Érintettre vonatkozó személyes adatot, amelynek kezelése esetében az adatkezelési cél megszűnt, vagy amelynek kezeléséhez az Érintett hozzájárulása nem áll rendelkezésre, illetve amelynek kezeléséhez nincs törvényi jogalap.
Az adatkezelési célok és egyes törvényi rendelkezések esetenként eltérő megőrzési időket eredményeznek.A kezelt papír alapú, illetve elektronikus adatok megőrzésére a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a „Ptk.”) 6:22. § (1) bekezdése szerinti általános elévülési idő az irányadó, mely jelenleg öt év, és amelyet azalapszerződés megszűnésétől kell számítani.
Egyes jogszabályok további – ettől eltérő, rövidebb vagy hosszabb - adatmegőrzési időket írhatnak elő. Ilyenek pl. a számviteli törvényben (az „Szmt.”), a pénzmosás megelőzéssel kapcsolatos törvényi szabályozásban (a „Pmt.”) meghatározott őrzési idők, illetve a hozzájéruláson alapuló adatkezelés esetén a a visszavonásik őrzi. Az IP ilyen esetben az adatokat a különös jogszabályban kötelezően előírt megőrzési idő figyelembevételével őrzi.
7. Adatok megismerésére jogosultak köre
Az adatokat az IP azon munkavállalói ismerhetik meg a feladataik teljesítéséhez szükséges célokból, akik az adatkezelési célok megvalósításában, ellenőrzésében közreműködnek, valamint a képviselettel kapcsolatban eljárnak, a munkavégzésükhöz feltétlenül szükséges mértékben. Az adatkezelő IP-n belüli, személyes adatokhoz való hozzáférést a hozzáférési jogosultságok belső eljárásrendje szabályozza az egyes munkakörökhöz kapcsolva.
Megismerik továbbá az adatokat az IPáltal igényben vett adatfeldolgozók, kiszervezett tevékenységet végzők, így különösen az IP által igénybe vett közvetítők, továbbá azok, akik, vagy amelyek részére az Érintett hozzájárulása, illetve törvény rendelkezése folytán a személyes adatok továbbításra kerülnek társaságunk által meghatározott terjedelemben és a tevékenységük végzéséhez szükséges mértékben.
Társaságunk az adatkezelések során különösen a jelen tájékoztató 9. pontjában meghatározott adatfeldolgozókat, illetve társaságunk részére kiszervezett tevékenységet végző szolgáltatókat veszi igénybe, erre irányuló szolgáltatási szerződések keretében.
8. Adattovábbítás harmadik felek részére
Az IP az Ön személyes adatait a szolgáltatást nyújtó külön tájékoztatóban meghatározott biztosítókkal közli.
Az IP esetében a kezelt adatok egyben biztosítási titoknak is minősülnek. A biztosítási titok továbbítása vonatkozásában a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (Bit) vonatkozó rendelkezései az irányadók.
A biztosítási titoknak minősülő adatokat az IP– az Érintett hozzájárulása kivételével – csak a vonatkozó jogszabályokban meghatározott esetekben továbbítja harmadik személynek.
Ezekre az adattovábbításokra egyrészt jogszabályokban előírt adatszolgáltatás teljesítése során (Felügyeleti hatóság, Magyar Nemzeti Bank, hatóságok, stb.), másrészt hatósági illetőleg egyéb megkeresések (bíróság, közjegyző stb.) megválaszolása kapcsán, illetve ellenőrzési jog gyakorlása esetében kerülhet sor.
Személyes adatok továbbítására harmadik országba vagy nemzetközi szervezet részére csak abban az esetben kerülhet sor, ha az adatokat átvevő adatkezelő, illetve adatfeldolgozó teljesíti GDPR-ban az adattovábbításra rögzített feltételeket.
9. Adatfeldolgozás és kiszervezés
Az IP bizonyos szolgáltatások nyújtása vagy tevékenységek végzése során harmadik fél szolgáltatásait veszi igénybe (pl. informatikai szolgáltatások, üzemeltetéssel kapcsolatos feladatok ellátása), amely során az IP-vel szerződéses jogviszonyban álló partner az IPutasításai alapján adatkezelést végez, ezért azIP adatfeldolgozójának minősül. Az adatfeldolgozó a tevékenysége ellátása során bizonyos esetekben az Ön személyes adataihoz hozzáférhet és jogosult azokat megismerni. Az ilyen esetekben az IP megfelelő szervezeti és technológiai intézkedéseket tesz az Ön személyes adatainak védelme érdekében és ilyen intézkedések alkalmazását követeli meg az adatfeldolgozóitól is a személyes adatainak védelme érdekében.
Az adatfeldolgozás jogalapja: a jogi kötelezettség teljesítése (GDPR 6. § (1) bekezdés c) pontja alapján)
Az Ön személyes adatainak továbbítása jellemzően az alábbi címzettek részére történik:
a) informatikai rendszertámogatási szolgáltatást nyújtók részére;
b) adattárolási, archiválási, irattárolási és megsemmisítési tevékenységet végző szolgáltatók részére;
c) jogi képviselők, ügyvédek részére;
d) postázási, kézbesítési és iratkezelési szolgáltatást nyújtók részére;
e) ügyfélbizonylatok és tájékoztatók előállító, nyomdai szolgáltatást nyújtók részére;
f) bankkártya megszemélyesítés és előállító társaságok részére;
g) fizetési szolgáltatást lebonyolító társaságok részére;
h) követeléskezelők és végrehajtók részére.
Az IP a termék szolgáltatás nyújtása, illetve igénybevétele során rendelkezésre bocsátott, illetve rendelkezésére álló adatokat harmadik országba vagy nemzetközi szervezet részére kizárólag jogszabályban meghatározott esetben továbbítja.
Adatfeldolgozók és kiszervezett tevékenységet végzők nevét és elérhetőségeit, altaluk nyújtott szolgáltatások megnevezéseit, a továbbított személyes adatok körét és az időtartamot a jelen tájékoztató 1. számú melléklete tartalmazza.
10. Az érintettek adatkezeléssel kapcsolatos jogai és jogorvoslati lehetőségei
Az adatkezeléssel érintettet az alábbi jogok illetik meg:
a) tájékoztatást kérhet személyes adatai kezeléséről;
b) kérheti személyes adatainak helyesbítését;
c) kérheti személyes adatainak törlését vagy korlátozását;
d) élhet adathordozhatósághoz való jogával;
e) tiltakozhat személyes adatának kezelése ellen;
f) jogainak megsértése esetén az IP-hez, az adatvédelmi felügyeleti hatósághoz, valamint bírósághoz fordulhat.
10.1. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése
Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
Az adatkezelőnek elő kell segítenie az érintett jogainak a gyakorlását.
Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 25 napon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt feltételekkel további két hónappal meghosszabbítható. amelyről az érintettet tájékoztatni kell.
Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 25 napon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az adatkezelő az információkat és az érintett jogairól szóló tájékoztatást és intézkedést díjmentesen biztosítja, azonban a Rendeletben írt esetekben díj számítható fel.
A részletes szabályok a GDPR Rendelet 12 cikke alatt találhatók.
10.2. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. Ennek keretében az érintettet tájékoztatni kell:
a) az adatkezelő és képviselője kilétéről és elérhetőségeiről,
b) az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen),
c) a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,
d) jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
e) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik - , illetve a címzettek kategóriáiról, ha van ilyen;
f) adott esetben annak tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) az érintett hozzájárulásán alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
Az előzetes tájékozódáshoz való jog részletes szabályait a GDPR Rendelet 13. cikke tartalmazza.
10.3. Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg
Ha az adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintettet az adatkezelőnek a személyes adatok megszerzésétől számított legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor tájékoztatnia kell az előbbi 2. pontban írt tényekről és információkról, továbbá az érintett személyes adatok kategóriáiról, valamint a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.
Ezt nem kell alkalmazni, ha
a) az érintett már rendelkezik az információkkal;
b) lehetetlen vagy aránytalanul nagy erőfeszítéssel járna az érintettek számára a tájékoztatás megadása; vagy
c) aránytalanul magas költségekkel járna; vagy
d) az adat megszerzését vagy közlését a Társaság esetében az alkalmazandó jogszabály kifejezetten előírja, amely az érintettek jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik.
A további szabályokra az előbbi 2. pontban (Előzetes tájékozódáshoz való jog) írtak irányadók.
E tájékoztatás részletes szabályait a GDPR Rendelet 14. cikke tartalmazza.
10.4. Az érintett hozzáférési joga
Az érintett visszajelzést kérhet arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Amennyiben ilyen adatkezelés folyamatban van, tájékoztatást kérhet:
a) az adatkezelés céljáról,
b) az érintett személyes adatok kategóriáiról,
c) arról, kik ismerhetik meg a személyes adatokat, különösen, hogy harmadik országba továbbítják-e,
d) az adatkezelés időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól,
e) azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) az adatvédelmi felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról;
h) automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Amennyiben a személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR Rendelet 46. cikk szerinti megfelelő garanciákról. Az adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.
Az érintett hozzáférési jogára vonatkozó részletes szabályokat a GDPR Rendelt 15. cikke tartalmazza.
10.5. A helyesbítéshez való jog
Az érintett kérésére az IP indokolatlan késedelem nélkül helyesbíti a rá vonatkozó pontatlan személyes adatokat, illetve figyelembe véve az adatkezelés célját, kérheti a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Ezen szabályokat a GDPR Rendelet 16. cikke tartalmazza
10.6. A törléshez való jog („az elfeledtetéshez való jog”) és korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
A törléshez való jog nem érvényesíthető, ha az adatkezelés szükséges
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a népegészségügy területét érintő közérdek alapján;
d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A törléshez való jogra vonatkozó részletes szabályokat a GDR Rendelet 17. cikke tartalmazza.
10.7. Az adatkezelés korlátozásához való jog
Az érintett az adatkezelés korlátozására jogosult az alábbi esetekben:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az IP-nek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell. A vonatkozó szabályokat a GDPR Rendelet 18. cikke tartalmazza.
10.8. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az IP minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az IP tájékoztatja e címzettekről.
E szabályok a Rendelet 19. cikke alatt találhatók.
10.9. Az adathordozhatósághoz való jog
Az érintett kérheti, hogy az IP rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és azokat másik adatkezelőnek továbbítsa, vagy az adatok továbbítását az IP közvetlenül másik adatkezelő részére továbbítsa, anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
Az adathordozhatósághoz való jog gyakorlása nem sértheti a GDPR Rendelet 17. cikkét (A törléshez való jog („az elfeledtetéshez való jog”). Az adtahordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. E jog nem érintheti hátrányosan mások jogait és szabadságait.
A részletes szabályokat a GDPR Rendelet 20. cikke tartalmazza.
10.10. A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az IP által jogos érdek alapján, valamint profilalkotással kapcsolatosan kezelt adatkezelései ellen. Ebben az esetben az IP a személyes adatokat csak akkor kezelheti tovább, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
10.11. Hozzájárulás visszavonása
Amennyiben a személyes adatok kezelése az Érintett hozzájárulásán alapszik, az Érintett jogosult arra, hogy az általa az IP-nek adott hozzájárulását bármikor visszavonja. Ez azonban nem jelenti automatikusan a visszavonással érintett adatok törlését; erre csak abban az esetben kerülhet sor, ha az adatkezelésnek nincs más jogalapja.
10.12. Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:
a) a tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet nem kell az tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
A további szabályokat a GDPR Rendelet 34. cikke tartalmazza.
10.13. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Ez tehát az Érintettet megillető alanyi jog, nem függ attól, hogy ezt kérelmezi vagy sem.
Ez a jogosultság nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
Az előbbi a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
Az alkalmazhatóság fenti eseteiben a döntések nem alapulhatnak a személyes adatoknak a különleges kategóriáin, kivéve a kifejezett hozzájárulást, amennyiben az Érintett jogainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
A további szabályokat a GDPR Rendelet 22. cikke tartalmazza.
10.14. Korlátozások
Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja jogok és kötelezettségek (GDPR Rendelet 12-22. cikk, 34. cikk, 5. cikk) hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát.
E korlátozás feltételeit a GDPR Rendelet 23. cikke tartalmazza.
10.15. Jogorvoslati lehetőségek
Javasoljuk, hogy hatósági, bírósági eljárás kezdeményezése előtt éljen az IP-nél benyújtható tiltakozás, panasz lehetőségével.
Jogainak gyakorlásával kapcsolatban az IP-nél az alábbi módokon lehet eljárni:
a) postai küldeményben az IP székhelyén,
b) elektronikus levél formájában az IP honlapján a panaszkezelés céljából feltüntetett e-mail címen és
c) telefonon, azonosítás és hangrögzítés mellett az IP honlapján feltüntetett telefonszámon, valamint
d) személyesen, az IPszékhelyén munkaidőben.
Nemzeti Adatvédelmi és Információszabadság Hatóság Az érintett személyes adatainak kezelésével kapcsolatban panaszt tehet az adatvédelmi felügyeleti hatóságnál (Nemzeti Adatvédelmi és Információszabadság Hatóság, 1125 Budapest, Szilágyi Erzsébet fasor 22/c, postacím: 1530 Budapest, Pf.: 5. e-mail: ugyfelszolgalat@naih.hu; Telefon: 06 1 391 1400; Telefox: 06 1 391 1410; web: www.naih.hu).
Bíróság
Az érintett az IP, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az IP, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban, az Európai Unió kötelező jogi aktusaiban meghatározott előírások megsértésével kezeli. A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az IP köteles bizonyítani.
11. Az érintett megkeresésének megválaszolása
Az IP a 7 pont szerinti megkeresések, valamint a 7. pont szerint benyújtott panasz kapcsán hozott intézkedésekről haladéktalanul, de a kérelem beérkezésétől számított legfeljebb 25 napon belül tájékoztatja az érintettet, mely határidő a kérelem összetettségétől, illetve a kérelmek számától függően legfeljebb 2 hónappal meghosszabbítható. A válaszadási határidő meghosszabbításáról a kérelem kézhezvételétől számított 25 napon belül tájékoztatja az érintettet az IP
Amennyiben az IP úgy dönt, hogy nem tesz intézkedéseket az érintett kérelmére, haladéktalanul, de legfeljebb a kérelem beérkezésétől számított 25 napon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az Érintett jogaival kapcsolatos tájékoztatást azIP díjmentesen biztosítja. Ha az Érintett kérelme egyértelműen megalapozatlan, vagy különösen annak ismétlődő jellege miatt túlzó, az IP– figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre –, megtagadhatja a kérelem alapján történő intézkedést.
12. Az adatkezelés biztonsága
Az IP az Infotv., a GDPR, valamint egyéb vonatkozó magyar és európai uniós jogszabályok alapján köteles eljárni informatikai rendszere biztonságos működtetése és az adatok védelme iránt.
A személyes adatok védelme, biztonsága érdekében az IP belső szabályozási (adat-és titokvédelem, információbiztonság, hozzáférési jogosultságok stb.), szervezési, műszaki, oktatási intézkedésekkel gondoskodik az adatkezelés biztonságáról. Ilyenek pl. az IT biztonsági infrastruktúrát alkotó technológiák pl. biztonsági hozzáférés-szabályozások, jogosultságkezelő rendszerek, mely a munkavégzéshez szükséges mértékre korlátozzák a hozzáférési jogosultságokat az egyes munkavállalók esetében, egyes elkülönítések (pl. biztosítások nyilvántartása) adatszivárgás elleni védelem, számítógépes azonosítók, jelszó, képernyővédelem, naplózás stb.
Az IP olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. Az IP az adatkezelés során megőrzi a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult; a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét; a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
Egyes kockázatok (pl. adathalász levelek, vírusok, kémprogramok stb.) elleni védelem céljából szűrőprogramok kerülnek alkalmazásra. Ezen alkalmazásoknak esetenként következménye lehet pl. kívülről érkező magánlevelek szűrőprogram általi megállítása is.
Az érintettek személyes adatainak további védelmét szolgálja, hogy az IP adatvédelmi tisztviselőt alkalmaz, aki az IP legfelső vezetésének tartozik felelősséggel és feladatai ellátásával kapcsolatban utasításokat nem fogadhat el senkitől.
Ha az adatkezelést az IP nevében más végzi, ezen adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelésnek a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról valamint a GDPR rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
13. Egyéb rendelkezések
E tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor adunk tájékoztatást. Tájékoztatjuk ügyfeleinket, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, a Magyar Nemzeti Bank, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik az adatkezelőt. Az IP a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
14. A jelen Tájékoztató módosítása
Az IP – a jogszabályok által meghatározott keretek között – időről időre módosíthatja a jelen Adatvédelmi Tájékoztatót annak érdekében, hogy az összhangban legyen az IPjogi kötelezettségeinek, valamint az érintett személyes adataival kapcsolatos adatkezelési tevékenységeinek változásaival. Kérjük, hogy az esetleges változások megismerése érdekében rendszeresen ellenőrizze a jelen Adatvédelmi Tájékoztató hatályát.
A Tájékoztató módosulásáról a www.huninsurance.hu weboldalon, a módosítás hatályba lépését legalább 15 nappal megelőzően közzétett tájékoztatóval értesítjük ügyfeleinket.
Insurance Partners Biztosítási Alkusz Korlátolt Felelősségű Társaság
1. számú melléklet
Adatfeldolgolzók és kiszervezett tevékenységet végzők adatai
Az adatfeldolgozó, kiszerveett tevékenységet végző neve, elérhetőségei
Név: Eurokontroll Kft.
Székhely: 1011 Budapest, Mária tér 5. mfszt. 1.
Cégjegyzékszám: 01-09-167798
Adószám: 10771224-2-41
Telefon: + 36 1 489-3515
E-mail cím: office@eurokontroll.hu
Honlap: www.eurokontroll.hu
Képviseli: Tóth Géza Péter
Nyújtott szolgáltatások
könyvviteli, személyügyi és munkaügyi, illetve bérszámfejtési szolgáltatások
A részére továbbított adatok köre
- a fenti 4. pontban meghatározott adatok teljes köre.
Az adatfeldolgozás, kiszervezés időtartama
A szolgáltatásra vonatkozó szerződés időtartama, a személyes adatok törléséig (visszavonásig) illetőleg azt követően a polgári jogi elévülés időtartamáig, ha jogszabály ettől eltérően nem rendelkezik
További adatfeldolgozókról, kiszervezett tevékenységet végzőkről külön tájékoztatja az EBI az érintetteket.