A K&H PÉNZFORGALMI SZOLGÁLTATÓ KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG ADATKEZELÉSI TÁJÉKOZTATÓJA Hatályos: 2023. október 20.
I. ÁLTALÁNOS INFORMÁCIÓK
A K&H Pénzforgalmi Szolgáltató Korlátolt Felelősségű Társaság (székhely: 1095 Budapest, LechnerÖdön fasor 9.; cégjegyzékszám: 01-09-338123) (a továbbiakban: „Társaság”) ügyfeleivel, ügyfeleikapcsolattartóival, marketing üzenetei címzettjeivel és létesítményei látogatóival, valamint egyébérintettekkel („érintett(ek)”) kapcsolatban az EU 2016/679. számú Általános Adatvédelmi Rendelete(„GDPR”) 4. cikk 1. pontja szerint „személyes adatnak” minősülő információkat kezel. A jelen adatkezelési tájékoztató (a továbbiakban: „Tájékoztató”) ezen személyes adatok kezeléséről, valamint az érintettek adatkezeléssel kapcsolatos jogairól és jogorvoslati lehetőségeiről ad tájékoztatást.
A Társaság elérhetőségei:
Székhelye és levelezési címe: 1095 Budapest, Lechner Ödön fasor 9.
Cégjegyzékszáma: Cg. 01-09-338123, nyilvántartja a Fővárosi Törvényszék Cégbírósága
Telefonszáma: +36 1/20/30/70 335 3355
E-mail címe: khpos@kh.hu
Weboldala: https://www.khpos.hu
Adatvédelmi tisztviselőjének neve és elérhetőségei: Dr. Kürthy Gábor László,dataprotection_khpos@kh.hu
A TÁJÉKOZTATÓ FRISSÍTÉSE ÉS ELÉRHETŐSÉGE
A Társaság fenntartja a jogot, hogy jelen Tájékoztatót egyoldalúan, a módosítást követő hatállyal módosítsa, figyelemmel a vonatkozó jogszabályokban foglalt korlátozásokra, és szükség esetén azérintettek megfelelő időben történő előzetes tájékoztatásával. Jelen Tájékoztató módosítására különösen abban az esetben kerülhet sor, ha arra jogszabályváltozás, adatvédelmi hatósági gyakorlat,üzleti- vagy munkavállalói igény, illetve újonnan felfedezett biztonsági kockázat miatt szükség van.
AZ ÉRINTETTEK TÁJÉKOZTATÁSA
Az adatkezelés megkezdése előtt a Társaság egyértelmű és részletes tájékoztatást ad az adatkezelésselkapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kikismerhetik meg az adatokat és mely adatkezeléssel kapcsolatos jogok és jogorvoslati lehetőségek illetikmeg az érintettet.
Az adatkezelés megkezdése előtt a Társaság egyértelmű és részletes tájékoztatást ad az adatkezeléssel kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat és mely adatkezeléssel kapcsolatos jogok és jogorvoslati lehetőségek illetik meg az érintettet.
II. JOGSZABÁLYI HÁTTÉR
A Társaság adatkezelésekre különösen az alábbi jogszabályok rendelkezései irányadóak:
- az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelésetekintetében történő védelméről és az ilyen adatok szabad áramlásáról, (általános adatvédelmirendelet) szóló, (EU) 2016/679 Rendelet („GDPR”),
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény(továbbiakban: Infotv.),
- az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény (Fsztv.),
- a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017.évi LIII. törvény (továbbiakban: Pmt.)
- 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenységszabályairól
- 2013. évi V. törvény a Polgári Törvénykönyvről
- az elektronikus hírközlésről szóló 2003. évi C. törvény (továbbiakban: Eht.)Public
- az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggőszolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (továbbiakban: Eker. tv.)
- a számvitelről szóló 2000. évi C. törvény,
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII.törvény (továbbiakban: Grt.)
- a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995.évi CXIX. törvény. (továbbiakban: DM tv.)
- 19/2017. (VII. 19.) MNB rendelet a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény végrehajtásának az MNB által felügyelt szolgáltatókra vonatkozó, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi ésvagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszer kidolgozásának és működtetése minimum követelményeinek részletes szabályairól.
III. ADATVÉDELMI ALAPFOGALMAK
Ügyfél: az az Érintett, aki a Társaságtól pénzforgalmi szolgáltatást vesz igénybe.
Fizetési titok: minden olyan, az egyes ügyfelekről a pénzforgalmi intézmény, elektronikuspénz kibocsátó intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfélszemélyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzletikapcsolataira, valamint a pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény általvezetett számlájának egyenlegére, forgalmára, továbbá a pénzforgalmi intézménnyel,elektronikuspénz-kibocsátó intézménnyel kötött szerződéseire vonatkozik. A fizetési titokra vonatkozóvszabályokat alkalmazni kell arra a személyre is, aki szolgáltatás igénybevétele céljából lép kapcsolatbaa pénzforgalmi intézménnyel, de a szolgáltatást nem veszi igénybe.
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve- azonosítható természetes személy.
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármelyinformáció; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító.
Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló ésegyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyébszerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együttmeghatározza; az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat jogszabály is meghatározhatja.
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyébszerv, amely az adatkezelő nevében személyes adatokat kezel.
Harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármelyegyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal aszemélyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatokkezelésére felhatalmazást kaptak.
PublicHarmadik ország: minden olyan állam, amely tagja az Európai Gazdasági Térségnek (EGT).
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezeltszemélyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását,jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozószemélyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.
IV. ADATKEZELÉSI JOGALAPOK
Törvényi megfelelés
Az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges, mint pl.:bizonylatok megőrzésére vonatkozó kötelezettség a 2000. évi C. törvény 169. § alapján, vagy az ügyfélátvilágítási intézkedések során a Társaság birtokába jutó személyes adatok megőrzésére vonatkozókötelezettség a 2017. évi LIII. törvény 56. §-a alapján.
Érintett hozzájárulása
Az adatkezeléshez való hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel félreérthetetlenül jelzi, hogybeleegyezését adja az őt érintő személyes adatok kezeléséhez. A Társaság kifejezetten felhívja az érintettek figyelmét, hogy ha a személyes adatok kezelése az érintett hozzájárulásán alapszik, azérintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ha az érintett visszavonja hozzájárulását, akkor a Társaság a személyes adatokat abból a célból, amire a hozzájárulás vonatkozott,a továbbiakban nem kezeli. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, avisszavonás előtti adatkezelés jogszerűségét.
Jogos érdek
A Társaság oldalán fennálló, az adatkezelés jogszerűségét megalapozó, jogszerű, érdekmérlegelésre alkalmas módon kifejezett, valóságos és létező érdek.
Szerződés teljesítése
Amennyiben az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik, és a Társaság a másik fél, vagy személyes adatok kezelése szerződéskötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, a Társaság adatkezelésének jogalapja a szerződés teljesítéséhez szükséges adatkezelés.
V. A TÁRSASÁG ÁLTAL VÉGZETT ADATKEZELÉSEK
1. Kereskedői érdeklődés:A Társaság weboldalán található online felületen (https://www.khpos.hu/kereskedoi-erdeklodes) az érdeklődő természetes-és jogi személyek (a továbbiakban: Érdeklődő) kapcsolatfelvételt kezdeményezhetnek a Társasággal. A kereskedői regisztráció kitöltése és elküldése esetén aTársaság üzletkötői felveszik az Érdeklődővel a kapcsolatot üzleti ajánlatunk bemutatása céljából.A Társaság kereskedői érdeklődés esetén a hatályos jogszabályok betartása mellett a jelenAdatvédelmi Tájékoztatóban foglaltak szerint az előregisztráció során megadott személyes és nemszemélyes adatokat kezel.
Az adatkezelés célja: a Társaság honlapján kapcsolatfelvételt kezdeményező potenciális ügyfelekés/vagy kapcsolatartójuk azonosítása, számukra szerződéses ajánlat készítése.
Az adatkezelés jogalapja: az Érdeklődő természetes személy, vagy az Érdeklődő jogi személynevében eljáró természetes személy kapcsolattartó hozzájárulása, mely bármikor, indokolásnélkül visszavonható.
Kezelt személyes adatok köre: a potenciális ügyfél és/vagy kapcsolattartójának neve, mobiltelefon száma és e-mail címe, továbbá minden olyan személyes adat, amelyet az érintettés/vagy kapcsolatartója a visszahívás kérésével kapcsolatosan a Társaság tudomására hoz.
Az adatkezelés időtartama: a hozzájárulás visszavonásáig, illetve az érintettel való kapcsolatfelvételtől számított 30 nap.
Közreműködő adatfeldolgozó: ShiwaForce.com Zrt.
2. Ügyfél-átvilágítási intézkedések:
Jogszabály által elrendelt ügyfél-azonosítás, kockázati besorolás, és tényleges tulajdonos megállapítása; rendelkezésre-, illetve képviseletre jogosult személyek, valamint a meghatalmazottak azonosítása.
Az adatkezelés célja: A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (“Pmt.”) szerinti ügyfél-átvilágítási intézkedésekelvégzése.
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: Név, Születéskori név, Születési hely, Születési idő, Anyja leánykorineve, Állampolgárság, Állandó lakcím, Azonosító okmány adatai, Azonosító okmány típusa,Azonosító okmány másolata, vagyon- és pénzeszköz forrása, tényleges tulajdonosi nyilatkozat,kiemelt közszereplői nyilatkozat, érintett aláírása
Az adatkezelés időtartama: az üzleti kapcsolat megszűnésétől számított 8 év, hatóságimegkeresés esetén legfeljebb 10 év
Közreműködő adatfeldolgozó: K&H Bank Zrt., Bankovní informační technologie s.r.o.,Československá obchodní banka, a. s., KBC Global Services NV (Shared Service Center CZ), CRIF -Czech Credit Bureau3.
Szerződéskezelés:
A Társaság a fizetési kártya-elfogadói hálózatához csatlakozni kívánó kereskedőkkel szerződéstköt mellyel kapcsolatban a kereskedő, illetve a szerződésben említésre kerülő kapcsolattartók személyes adatait kezeli.
Az adatkezelés célja: Szerződéses jogviszony létrehozása és szerződés, illetve szolgáltatás teljesítése
Az adatkezelés jogalapja: Szerződés teljesítése
Kezelt személyes adatok köre: Természetes személy ügyfél esetén név, székhelycím, levelezési cím, nyilvántartási szám, adószám, számlaszám; Jogi személy ügyfelekhez kapcsolódó természetes személyek vonatkozásában név, beosztás, vezetékes telefonszám, mobiltelefonszám, email cím
Az adatkezelés időtartama: A szerződéses jogviszony időtartama alatt
Közreműködő adatfeldolgozó: K&H Bank Zrt., Bankovní informační technologie s.r.o.4. Ügyfelekkel való kapcsolattartás: A Társaság az ügyfelek részéről telefonon, e-mailben vagy személyesen érkező bejelentései,kérelmei és más beadványai, érkeztetése és megválaszolása során, valamint technikai támogatás biztosítása érdekében az ügyfelek, illetve kapcsolattartói adatait kezeli.
Az adatkezelés célja: Ügyfelekkel való kapcsolattartás
Az adatkezelés jogalapja: Szerződés teljesítése
Kezelt személyes adatok köre: Név, mobiltelefonszám, email cím
Az adatkezelés időtartama: A szerződéses jogviszony időtartama alatt
Közreműködő adatfeldolgozó: Bankovní informační technologie s.r.o.
5. Hírlevél küldése:
A Társaság a www.khpos.hu honlapon regisztráló személyek – a regisztráció során megadott –adatait a hatályos jogszabályi előírásoknak megfelelően kezeli, illetve használja fel annak érdekében, hogy ajánlatait, reklámjait személyre szabottan juttathassa el a regisztrálóknak. Hírlevélről leiratkozni szintén a honlapon vagy bármely hírlevél alján elhelyezett „Leiratkozom"linken, illetve honlapon megadott kapcsolattartási elérhetőségeken(https://www.khpos.hu/rolunk) keresztül lehetséges.
Az adatkezelés célja: ajánlatok, cikkek küldése, a Társaság gazdasági reklámját is tartalmazóhírlevél küldése.
Az adatkezelés jogalapja: az érintett hozzájárulása, mely bármikor, indokolás nélkül visszavonható.
Kezelt személyes adatok köre: regisztráló neve és e-mail címe, a hírlevél küldéséhez adotthozzájárulás ténye (csatornái), fel- és leiratkozási adatok, üzenetek kézbesíthetőségére,megnyitására vonatkozó elsődlegesen analitikai adatok.
Az adatkezelés időtartama: a hozzájárulás visszavonásig.
Közreműködő adatfeldolgozó: az EDIMA.email Korlátolt Felelősségű Társaság. Az EDIMA.emailKorlátolt Felelősségű Társaság alvállalkozója (al-adatfeldolgozó) az INTEGRITY Kft., amely szerverszolgáltatást végez.
6. Panaszkezelés
A Társaság a panaszügyintézés során tudomására jutott személyes adatokat a panaszkezelés érdekében kezeli, és az ügyfelek panaszairól, valamint az azok rendezését, megoldását szolgáló intézkedésekről nyilvántartást vezet. Amennyiben a panaszokhoz az ügyfél olyan iratot vagyadatot csatol, amelynek kezelésére a Társaság nem jogosult, az a benyújtó részére visszaküldésre kerül.
Az adatkezelés célja: a panaszügyek kivizsgálása, megválaszolása
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: az ügyfél neve, mobiltelefonszáma és e-mail címe, az ügyfél képviseletében eljáró személy vezeték- és keresztneve, telefonon közölt panasz hangfelvétele, továbbá minden olyan személyes adat, amelyet az ügyfél a panasszal kapcsolatosan a Társaság tudomására hoz, illetve a panasz kivizsgálásához szükséges mértékben a Társasággal kötöttszerződéssel kapcsolatos személyes adatok.
Az adatkezelés időtartama: a Társaság a panaszt és az arra adott választ (írásbeli dokumentumok), valamint a telefonon közölt panasz hangfelvételét 5 évig őrzi meg.
7. Kivonatok, számlaértesítő levelek kiküldése:
Szerződéses jogviszonyból származó kivonatok és számlaértesítők Ügyfelek részére történő eljuttatása.
Az adatkezelés célja: kivonatok, számlaértesítő levelek kiküldése
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: az ügyfél neve, székhely- és levelezési cím
Az adatkezelés időtartama: kivonatok, számlaértesítő levelek kiküldéséig
Közreműködő adatfeldolgozó: XEROX Magyarország Kft.
8. Pénzmosás megelőzéssel összefüggő hatósági bejelentés
A Társaság a Pmt. vonatkozó rendelkezése értelmében pénzmosás és terrorizmus finanszírozás dolog büntetendő cselekményből való származására utaló adat, tény, körülmény (a továbbiakban együtt: bejelentés alapjául szolgáló adat, tény, körülmény) felmerülése esetén bejelentést tesz, valamint pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adatot, tényt, körülményt bejelent a Nemzeti Adó- és Vámhivatal KözpontiIrányítás Pénzmosás és Terrorizmusfinanszírozás Elleni Iroda részére
Az adatkezelés célja:
Pénzmosás és terrorizmusfinanszírozás megelőzéssel kapcsolatosbejelentések megtétele
Az adatkezelés jogalapja: jogi kötelezettség teljesítése
Kezelt személyes adatok köre: Név, Születési név, Anyja leánykori neve, Születési hely, Születésiidő, Állandó lakcím, Tartózkodási hely, Állampolgárság, Azonosító okmányok típusa és száma
Az adatkezelés időtartama: a bejelentés megtételét követően 8 évig
9. Csalásmegelőzés:
A Társaság e körben a személyes adatokat és az abból kinyert információkat a jogszabály általelőírt ellenőrző, megelőző, feltáró és kivizsgáló jellegű intézkedések elvégzéséhez, valamint egyébkötelezettségek teljesítése érdekében kezeli. (i) Csalások és/vagy etikátlan magatartások: atevékenységek során a Társaság felhasználhatja a csalásmegelőző profilkészítési folyamat eredményeként előálló profiladatokat. A folyamat keretében a Társaság munkavállalói, a meglevőügyfelek, a potenciális ügyfelek és bármely más, a Társasággal vagy ügyfeleivel szemben csalásiszándékkal fellépő személyek által végrehajtott vagy megkísérelt csalások ellenőrzése és megelőzése történik, ideértve a visszaélések bejelentésének (whistleblowing) folyamatát és anormál engedélyezési eljárás során elvégzett kiegészítő ellenőrzéseket is. (ii) Fizikai és digitálisbiztonság: e körben a Társaság az ún. beszivárgást, a Társaság elleni támadásokat és akiszivárogtatást (adatszivárgást) ellenőrzi és vizsgálja ki, amelyek kárt okozhatnak a Társaságnak,a Társaság munkavállalóinak vagy ügyfeleinek.
Az adatkezelés célja: Csalásmegelőzés, chargeback kezelés
Az adatkezelés jogalapja: jogi és szerződéses kötelezettség teljesítése
Kezelt személyes adatok köre: Ügyfél (kapcsolattartó) adatai: Név, e-mail cím, telefonszám,levelezési cím. Kártyabirtokos adatai: név, cím, e-mail cím
Az adatkezelés időtartama: Csalások, bejelentések kivizsgálását követ öt év
10. Szerződési feltételek előzetes ellenőrzése:
A Társaság az üzleti kapcsolat jellegéből (pl. hotel, autókölcsönző szolgáltatás) adódó lehetséges kintlévőségek (szobafoglalás törlése) biztosítása céljából ellenőrzi az ügyfél más pénzügyi intézményekkel szemben fennálló kötelezettségeit.
Az adatkezelés célja: Az ügyféllel szemben felmerülő financiális kockázatok felmérése
Az adatkezelés jogalapja: szerződéses teljesítése
Kezelt személyes adatok köre: Név, Születéskori név, Anyja leánykori neve, Állandó lakcím,Levelezési cím, Születési hely, Születési idő, Email cím, Állampolgárság, Azonosító okmány adatai,Hitel adatok
Az adatkezelés időtartama: feltételek értékelését követően azonnal
Közreműködő adatfeldolgozó: BISZ Központi Hitelinformációs Zrt.11. Hatóságok által érkezett megkeresések megválaszolása
A Társaság részére a különböző nemzeti, illetve nemzetközi hatóságok részéről érkezőmegkereséseket a Társaság a hatóság által megadott adattartalommal és határidőben kötelesmegválaszolni.
Az adatkezelés célja: hatósági megkeresések kiszolgálása
Az adatkezelés jogalapja: törvényi kötelezettség teljesítése
Kezelt személyes adatok köre: a hatósági megkeresésben megjelölt adatok
Az adatkezelés időtartama: a Társaság a megkeresést és az arra adott választ a válaszadástól számított egy évig őrzi meg
Közreműködő adatfeldolgozó: TMF Hungary Kft.12.
A Társaság jogainak gyakorlása és védelme:
Az adatkezelés a Társaság jogi igényeinek előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, ideértve a bírósági és hatósági eljárások kezdeményezését, jogi szakértők és jogiképviselők igénybevételét.
Az adatkezelés célja: jogi igények előterjesztése, érvényesítész, illetve védelme
Az adatkezelés jogalapja: a Társaság jogos érdeke
Kezelt személyes adatok köre: jogi igények előterjesztése, érvényesítész, illetve védelmeszempontjából releváns adatok
Az adatkezelés időtartama: a szerződés megszűnését követő 5 éven belül, valamint jogi eljárás esetén az eljárás iratai és adatai tekintetében az eljárás jogerős lezárásától számított 5 éven belül
13. Elszámolási tevékenység végzése:
A Társaság közvetlen üzleti tevékenysége az ügyfeleivel kötött szerződés értelmében a Társaságfizetési kártya elfogadásával hálózatába tartozó virtuális és fizikai terminálok útjánkezdeményezett tranzakciókat az ügyfél felé elszámolja. E tevékenység keretében a Társaság atranzakciók elszámolásához szükséges személyes adatokat kezeli.
Az adatkezelés célja: bankkártyával végzett tranzakciók elszámolása
Az adatkezelés jogalapja: szerződéses kötelezettség teljesítése
Kezelt személyes adatok köre: Ügyfél (kapcsolattartó) adatai: Név, e-mail cím, telefonszám,levelezési cím; Kártyabirtokos adatai: kártyaszám, kártya lejárati dátum, CVV/CVC kód, név"
Az adatkezelés időtartama: tranzakciót követő nyolc évig
Közreműködő adatfeldolgozó: NEXI/SIA S.p.A.; Global Payments Europe, s.r.o., Rubeand AG14. Iktatás
A Társaság a jogszabályi előírások és tevékenységének adminisztrálása érdekében belső iratkezelési és irattározási rendszer üzemeltet, melynek során személyes adatokat is tartalmazó dokumentumokat tárol.
Az adatkezelés célja: iktatás
Az adatkezelés jogalapja: törvényi kötelezettség teljesítése (pl. 2017. évi LIII. tv.)
Kezelt személyes adatok köre: Név, Dokumentumokhoz kapcsolódó egyéb leíró adatok
Az adatkezelés időtartama: a vonatkozó jogszabályokban előírt határidő pl. 2017. évi LIII. tv.alapján 8 év)
15. Szállítói szerződéskezelés
A Társaság a szállítóival kötött szerződései nyilvántartása érdekében a vonatkozó szerződéseket, azok adatait, közöttük a partner és a kapcsolattartók személyes adatait tárolja.
Az adatkezelés célja: szállítói szerződések kezelése
Az adatkezelés jogalapja: szerződés teljesítése, továbbá a Társaság jogos érdeke a kapcsolattartók személyes adatai vonatkozásában
Kezelt személyes adatok köre: Név, illetve a szerződésekben feltüntetett egyéb személyes adatok (pl.: kapcsolattartók elérhetőségei)
Az adatkezelés időtartama: a szerződés megszűnését követő 5 évig
16. Piackutatás; termékekre, szolgáltatásokra vonatkozó kutatás, ügyfélvélemény kérés
A Társaság meg kívánja ismerni ügyfelei véleményét szolgáltatásnyújtásával kapcsolatban annak érdekében, hogy a visszajelzések alapján meglévő termékeit, szolgáltatásait javítani és fejleszteni tudja, továbbá olyan jövőbeli termékeket és szolgáltatásokat tudjon kialakítani, amelyek mindinkább megfelelnek ügyfelei igényeinek. A fentiek érdekénben a Társaság fel kívánja keresni ügyfeleit, ideértve ügyfelei vonatkozásában nyilvántartott kapcsolódó természetes személyeket(kapcsolattartókat) is.
Az adatkezelés célja: ügyfél-visszajelzések megismerése a Társaság termékeinek ésszolgáltatásainak javítása és fejlesztés céljából
Az adatkezelés jogalapja: a Társaság jogos érdeke
Az érintettek köre: az ügyfelek kapcsolattartói
Kezelt személyes adatok köre: az ügyfelek kapcsolattartóira vonatkozó alapadatok, jellemzően: név, e-mail cím, telefonszám, levelezési cím
Az adatkezelés időtartama:
• A megkereshetőség vonatkozásában: az ügyfélkapcsolat fennállása alatt, de legfeljebb azügyfele kutatási tárgyú megkeresésekkel szembeni tiltakozása, vagy a kapcsolattartó, mint érintett adatkezeléssel szemben kifejezett tiltakozásáig
• A megkeresettek visszajelzései vonatkozásában: a megkeresettek visszajelzései hozzájárulásuk esetén kerülnek összekapcsolásra az ügyfél adataival, amely az érintettek hozzájárulásának visszavonásáig, vagy az ügyfél törlésre irányuló kérelme időpontjáig állfenn
• Közreműködő adatfeldolgozó vonatkozásában: legfeljebb az adott megkeresési kampányok lezárását követő 90 napig
Közreműködő adatfeldolgozó: a Társasággal megbízási jogviszonyban álló, piackutatási tevékenységet ellátó vállalkozások
Fontos: az adatkezeléssel szemben az érintett bármikor – indokolás és korlátozás nélkül –tiltakozhat
VI. ADATÁTADÁS ÉS ADATTOVÁBÍTÁS
1. Az adattovábbítás, adatátadás feltételei
A személyes adatot a Társaság akkor továbbít, ha ahhoz az Érintett hozzájárult, vagy törvény azt megengedi vagy előírja. A Társaság törvény felhatalmazása alapján jogosult az Érintett szerződéseivel kapcsolatosan nyilvántartott adatait kockázatkezelés, statisztikai elemzés, ellenőrzés, valamint bírósági perek nyilvántartása céljából a Társaság minősített befolyással rendelkező tulajdonosa, a Československá obchodní banka, a. s. (Radlická 333/150 15057 Prague 5, Cseh Köztársaság) számára átadni. EGT-államba irányuló adattovábbítást a hatályos adatvédelmi jogszabályok alapján úgy kell tekinteni, mintha Magyarország területén belül történne az adattovábbítás. A Társaság személyes adatot nem EGT-államba (harmadik országba) csak akkor továbbít, ha ehhez az Érintett kifejezetten hozzájárult, vagy az adatkezelésnek a jogszabályokban előírt feltételei teljesülnek, és a harmadik országban biztosított a személyes adatok megfelelő szintű védelme. Harmadik személy részére történő adatátadásra kizárólag törvény alapján (pl. az Fsztv. 60-64. §- aiban, illetve a Központi Hitelinformációs Rendszerről szóló 2011. évi CXXII. törvényben szereplő esetekben), az Érintett hozzájárulása nélkül is sor kerülhet.
2. Adatfeldolgozás
A Társaság által megbízott adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelésre vonatkozó törvények keretei között a Társaság határozza meg. Az általa adott utasítások jogszerűségéért a Társaság felel. Az adatfeldolgozó tevékenységének ellátása során a Társaság rendelkezése szerint vehet igénybe további adatfeldolgozót. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni. Az adatfeldolgozásra vonatkozó szerződést a Társaság írásba foglalja. Az adatfeldolgozással nem bíz meg olyan szervezetet, amely a Társaság üzleti tevékenységben érdekelt. A Társaság által igénybe vett adatfeldolgozók listáját az alábbi táblázat tartalmazza.
| XEROX Magyarország Kft. (1037 Budapest, Szépvölgyi út 35-37) | Kivonatok, számlaértesítő levelek és egyéb nyomtatványok nyomtatása, borítékolása és a borítékolt számlakivonatoknak a Magyar Posta részére történő átadása. |
| K&H Csoportszolgáltató Központ Kft. (1095 Budapest, Lechner Ödön fasor 9.) | A Társaság expedíciós (küldemények átvétele, feldolgozása, rendeltetési helyre történő eljuttatása, belső iratforgalom biztosítása stb.) tevékenységének ellátása. |
| NEXI/SIA S.p.A. (Olaszország, Via Gonin 36, I20147 Milan) | A Társaság és elfogadói kártyaelszámolási tevékenységének és kiegészítő tevékenységének ellátása. |
| EDIMA.email Kft. (1075 Budapest, Holló utca 3-9/A 3. em. 10.) Al-adatfeldolgozók: INTEGRITY Kft. (8000 Székesfehérvár, Gyetvai u 6.) | Tömeges e-mail-küldési szolgáltatás a feliratkozottak részére. |
| K&H Bank Zrt. (1095 Budapest, Lechner Ödön fasor 9.) | Call center tevékenységek. |
| K&H Bank Zrt. (1095 Budapest, Lechner Ödön fasor 9.) | IT üzemeltetési szolgáltatások (hardver, szoftver, hálózat, nyomtatás, szkennelés, telefon szolgáltatások, GIRO vonal). |
| KBC Global Services NV (Shared Service Center Brno) Cseh Köztársaság, Radlická 333/150 150 57 Praha 5 | Meglévő ügyfelek nemzetközi szankciós (embargó) listákon történő ellenőrzéséhez igénybe vett rendszer üzemeltetése, elsődleges vizsgálat elvégzése. |
| CRIF - Czech Credit Bureau Cseh Köztársaság, Štětkova 1638/18, 140 00 Praha 4 | A leendő és meglévő ügyfelek pénzmosás és terrorizmus finanszírozás megelőzéssel kapcsolatos ellenőrzéséhez igénybe vett rendszer üzemeltetése. |
| Československá obchodní banka, a. s. Cseh Köztársaság, Radlická 333/150 150 57 Praha 5 | A leendő és meglévő ügyfelek pénzmosás és terrorizmus finanszírozás megelőzéssel kapcsolatos ellenőrzéséhez igénybe vett rendszer üzemeltetése. |
| ShiwaForce.com Zrt. (1123 Budapest, Alkotás utca 17-19.) | A Társaság honlapjának (ideértve a chat-funkciót is) üzemeltetése. |
| Global Payments Europe, s.r.o. (Cseh Köztársaság, V Olšinách 626/80, Strašnice, 100 00 Prague 10) Al-adatfeldolgozók: Rubean AG (Németország, Kistlerhofstraße 168, 81379 München) | Bánkkártyával végzett tranzakciók engedélyezése. |
| Bankovní informační technologie, s.r.o. (Cseh Köztársaság, Radlická 333/150 150 00 Praha 5) Al-adatfeldolgozók: Monet+ a.s. (763 14 Zlín, Za Dvorem 505, Cseh Köztársaság) DabiS Group s.r.o (Chopinova 1478/22, 120 00 Praha, Cseh Köztársaság) | Informatikai rendszerek üzemeltetése és karbantartása. |
| TMF Magyarország Kft. (1138 Budapest, Népfürdő utca 22. B. ép. 13. em.) Al-adatfeldolgozók: Manage IT d.o.o. (11030 Belgrad, Zmanjska 3. Szerbia) Török István Attila EV (1131 Budapest, Rokolya utca 19. IV. em. 4.) Kis-Vörös Péter EV (7632 Pécs, Aidinger János út 7. 2. em. 7.) Microsoft Limited (Microsoft Campus, Thames Valley Park, Reading, Berkshire, RG6 1WG, United Kingdom) | Számviteli, adóügyi és bérszámfejtési tevékenység. |
| CARDNET Zrt. (1135 Budapest, Reitter Ferenc utca 46- 48.) Al-adatfeldolgozók: Pandant TMSZ Kft. (1045 Budapest, Istvántelki út 8.) | POS terminál üzemeltetés. |
| UNICOMP Kft. (8000 Székesfehérvár, Palánkai utca 3.) P | POS terminál üzemeltetés. |
3. Kiszervezés
A Társaság az Fsztv. 14. §-a alapján – az adatvédelmi előírások betartása mellett – tevékenységének bármely elemét kiszervezheti, vagyis azok végzésével más szervezetet bízhat meg. A Társaság által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző részére nem jelenti a fizetési titok sérelmét. A Társaság biztosítja, hogy e szervezetek gondoskodjanak az érintett adatainak az adatvédelemre, fizetési titokra vonatkozó jogszabályokban meghatározott feltételeknek megfelelő biztonságos kezeléséről. A Társaság részére kiszervezett tevékenységet végzők jegyzéke a Társaság honlapján, a „dokumentumok” menüpont, „egyéb dokumentumok” almenüpont alatt érhető el.
VII. A TÁRSASÁG ÁLTAL ALKALMAZOTT ADATBIZTONSÁGI INTÉZKEDÉSEK
1. Az adatvédelmi incidensek és adatvédelmi nyilvántartás kezelésének IT támogatása
Ennek keretében rendszeres önellenőrzések folytatása, amelynek során a Társaság ellenőrzi, hogyIT rendszerének működése és az irányadó vállalati előírások megfelelnek-e a jogszabályielőírásoknak. Az önellenőrzés keretében a megfelelőség felülvizsgálatán kívül a Társaság atechnológiai ellenálló képességet is teszteli (IT biztonsági felülvizsgálat). A Társaság rendszeresenelemzi az IT rendszerekben feldolgozott és tárolt adatok nyilvántartását (IT biztonságivagyonleltár), és az azokat fenyegető IT biztonsági kockázatokat.
2. Azonosítási rendszerek
A Társaság a rendszereihez hozzáférő felhasználókat azonosítja, és a hozzáférési jogosultságokfelügyeli. A Társaság központi címtár rendszert, továbbá elektronikus aláírásokat (azonosításra,aláírásra, titkosításra) alkalmaz a felhasználói jogosultságok ellenőrzése érdekében, a Társaságemellett elosztott jogosultságkezelést (az egyes rendszerekhez/rendszercsoportokhoz kapcsolódó jogosultságok beállítására különböző személyek jogosultak), jelszó-menedzsmentet (minimális jelszókomplexitás és jelszó-cserék előírása és kikényszerítése), és több-faktoros azonosítást (több azonosító komponens használata, nem csak a felhasználói név és jelszó) használ.
3. Ártó programok elleni védelem
A Társaság többszintű, több technológián és gyártón alapuló heterogén védelmi rendszert üzemeltet az általánosan elterjedt ártó programok (bot, malware, spyware, stb.) ellen a kliens és szerver számítógépeken, hálózati eszközökön, tartalomszűrőkön.
4. Biztonsági események kezelése
A Társaság a rendszerek és alkalmazások technikai naplóit gyűjti és tárolja, adatbiztonsági,adatvédelmi vagy IT biztonsági események rekonstruálása és esetleges vizsgálata céljából. Azadatvédelmi károk elkerülése és csökkentése érdekében a Társaság biztonsági incidensek esetén felveszi a kapcsolatot az érintett személyekkel, együttműködik külső szervekkel és szolgáltatókkala biztonsági események nyomon követése és kezelése során.
5. Felhasználók támogatása és oktatása
A Társaság szükség esetén célirányos figyelemfelhívásokkal tájékoztatja munkavállalóit az esetleges veszélyezhelyzetekről, továbbá szakirányú képzésekkel és oktatási programmal, szükség esetén célirányos figyelemfelhívó kampányokkal fejleszti és tartja szinten a munkavállalók informatikai és adatbiztonsági felkészültségét.
6. Hálózatbiztonság
A feldolgozó rendszereket és a vállalati belső hálózatot a Társaság a publikus hálózatoktólelszeparálja, és védi az illetéktelen hozzáférésektől. A hálózati kapcsolatok létrehozása soránazonosítja a kapcsolódó végponti eszközöket, hogy a hálózatán csak engedélyezett állapotúszámítógépek tudjanak kommunikálni. Továbbá biztonságos azonosítással és titkosítással gondoskodik arról, hogy a hálózati kommunikáció során a továbbított és kezelt adatok és üzenetek bizalmassága megőrződjön.
7. Külső partnerek adatkezelése
A Társaság tájékoztatást nyújt a külső partnereknél végzett adatkezelésről, és az IT szolgáltatókkal történő kapcsolattartást és információ-áramlást szabályozza, valamint minden szolgáltatóval és partnerrel titoktartási megállapodást köt.
8. Sérülékenység menedzsment
A Társaság rendszeresen felméri, elemzi és értékeli az IT biztonsági sérülékenységeket, és ennek alapján megteszi a szükséges intézkedéseket. A Társaság rendszeresen telepít biztonsági frissítéseket a vállalati számítógépekre és eszközökre, és vizsgálja az ügyfeleknek nyújtottszolgáltatásai biztonságát.
9. Tartalomszűrés
A Társaság technológiai és adminisztratív lépésekkel azonosítja és szűri a kéretlen (spam), amegtévesztő (phising), és az ártó (malware) tartalmú elektronikus leveleket és forgalmakat. Ennek részeként felügyeli a hálózati hozzáféréseket és a böngészési tevékenységeket a hálózatán, elemzi a rendszer-hozzáféréseket és a hálózati forgalmakat, az ügyfeleket és a szolgáltatásokat veszélyeztető támadások észlelése és kezelése céljából.
10. Adathordozók védelme
A Társaság nyilvántartást vezet a használt adathordozókról, és technológiai és adminisztratív lépésekkel gondoskodik biztonságos kezelésükről.
11. Az iratok és adatok fizikai védelme
Az elektronikus és papíralapú iratok fizikai védelme tekintetébe a Társaság zárható szerverszobákkal, továbbá naprakész iratkezelési szabályzattal rendelkezik, amely előírja apapíralapú iratok megfelelő biztonsági protokoll szerinti, zárt tárolását, és a megfelelő jogosultsággal rendelkező személyek általi kizárólagos hozzáférhetőségét.
VIII. AZ ÉRINTETTEK ADATVÉDELMI JOGAI ÉS JOGORVOSLATI LEHETŐSÉGEI
1. Adatvédelmi jogok és jogorvoslatok
Az érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozórendelkezései (így különösen a GDPR 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82.cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve aTársaság ennek megfelelően nyújt tájékoztatást az érintettek részére az adatkezelésselkapcsolatos jogaikról és jogorvoslati lehetőségeikről.
A Társaság indokolatlan késedelem nélkül, de mindenféleképpen az érintett joggyakorlással (lásd:GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembevéve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, delegkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet azintézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
A Társaság az érintett által kért információkat írásban, vagy – az érintett elektronikus úton benyújtott kérelme, illetve ezirányú kérelme esetén – elektronikusan adja meg. Az érintett részéreszóbeli tájékoztatás is adható, amennyiben az érintett a személyazonosságát a Társaság részére igazolja.
2. Az érintett hozzáférési joga(1) Az érintett jogosult arra, hogy visszajelzést kapjon a Társaságtól arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat a Társaság közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetvea nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nemlehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett arra vonatkozó joga, hogy kérelmezheti a Társaságtól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhataz ilyen személyes adatok kezelése ellen;
f) valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; és
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal (GDPR 22. cikk (1) és (4)) ténye, ideértve a profilalkotást is,valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóérthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
(3) Az adatkezelés tárgyát képező személyes adatok másolatát a Társaság az érintettrendelkezésére bocsátja. Az érintett által kért további másolatokért a Társaság azadminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
3. A helyesbítéshez való jog
Az érintett jogosult arra, hogy a Társaság kérésére indokolatlan késedelem nélkül helyesbítse a rávonatkozó pontatlan személyes adatokat. Az érintett jogosult továbbá arra, hogy kérje a hiányosszemélyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
4. A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rávonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat a BANK gyűjtötte vagy más módon kezelte;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és azadatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és adott esetben nincs elsőbbséget élvezőjogszerű ok az adatkezelésre;
d) a személyes adatok jogellenesen kerültek kezelésre;
e) a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogikötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha a Társaság nyilvánosságra hozta a személyes adatot, és a fentebb írtak értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megtesszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmeztea szóban forgó személyes adatokra mutató linkek, vagy e személyes adatok másolatának,illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges, többek között:a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; b) a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jogszerinti kötelezettség teljesítése céljából;
c) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagyd) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5. Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyesadatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) A Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de azérintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagyvédelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat atárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez,érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainakvédelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehetkezelni.
Az adatkezelés korlátozásának feloldásáról a Társaság előzetesen tájékoztatja az érintett,akinek kérésére a fentiek alapján korlátozták az adatkezelést.
6. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
A Társaság minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére aTársaság tájékoztatja e címzettekről.
7. Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja,továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül,hogy ezt a Társaság akadályozná, ha:
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők (így a Társaság és egyéb adatkezelő) közötti közvetlen továbbítását.
(3) A fentebb írt jog gyakorlása nem sértheti a törléshez való jog („elfeledtetéshez való jog”) vonatkozásában írt rendelkezéseket, továbbá e jog nem érintheti hátrányosan mások jogait és szabadságait.
8. A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben a személyes adatokat a Társaság nem kezeli tovább, kivéve, ha bizonyítja, hogy azadatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek azérintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon az érintettre vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
(3) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történőkezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
(4) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan ésa 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokonalapuló automatizált eszközökkel is gyakorolhatja.
(5) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha azadatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
9. A felügyeleti hatóságnál történő panasztételhez való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, haaz érintett megítélése szerint az érintettre vonatkozó személyes adatok kezelése megsérti a GDPRrendelkezéseit.Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (weboldal: http://naih.hu/; cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c; postacím:1530 Budapest, Pf.: 5.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail:ugyfelszolgalat@naih.hu).
10. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nemfoglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
11. A Társasággal vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok –köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül hatékonybírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nemmegfelelő kezelése következtében megsértették a GDPR szerinti jogait.
(2) A Társasággal vagy az adatfeldolgozóval szembeni eljárást a Társaság vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárásmegindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is.
IX. A TÁRSASÁG MŰKÖDÉSÉBŐL EREDŐ ADATVÉDELMI SAJÁTOSSÁGOK
1. Fénykép- és videofelvétel
A Társaság félfogadásra alkalmas székhelyén, a Társaság részére irodahelységet bérbe adó partner (Millennium Irodaház Kft.) a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvény alapján elektronikai vagyonvédelmi rendszer által folytatott megfigyelést alkalmaz, valamint az elektronikai vagyonvédelmi rendszer segítségével fénykép- ésvideofelvételt készít(het). Az adatkezeléssel kapcsolatos bővebb felvilágosítás a partner honlapjántalálható.
2. Hangfelvétel
A Társaság a közte és az ügyfél közötti alábbi csatornákon folytatott telefonos kommunikációt azérintett előzetes tájékoztatását követően megadott hozzájárulása alapján rögzíti. A rögzített felvételeket a Társaság az alább kifejtett célokból kezeli, amelyek az alábbi célcsoportokban foglalhatók össze:
- Jogi kötelezettség teljesítése (panaszkezeléssel kapcsolatos megőrzés és rendelkezésrebocsátás, befektetési szolgáltatásokkal kapcsolatos nyilvántartási kötelezettség vezetése,azonosítási kötelezettséggel kapcsolatos megőrzés, számviteli megőrzési kötelezettség);
- Jogi igények védelme (jogi igények előterjesztése, érvényesítése, védelme);
- Belső vállalatirányítási célok (minőségellenőrzés, folyamatoptimalizálás, visszaélés és csalásmegelőzés, ellenőrzés).
A Társaság telefonos kommunikációs csatornái az alábbiak:
TeleCenter elérhetőségei
A Társaság telefonos ügyfélszolgálatán fogadja ügyfelei szóbeli panasz-és egyéb tárgyú bejelentéseit, nyilatkozatait, nyújt számukra kérésükre általános és személyre szabotttájékoztatást, Az ügyintézés kezdetekor a Társaság tájékoztatja ügyfeleit a telefonoskommunikáció rögzítéséről. A hangrögzítéshez hozzájárulni nem kívánó ügyfelek számára aTársaság bármely más elérhetősége nyitva áll kapcsolatfelvétel céljából. A telefonoskommunikáció kezelése panaszkezelés tárgyú hívás esetén a Társaság számára kötelező,jogalapja jogi kötelezettség teljesítése, egyéb tárgyú hívás esetén a hangfelvétel kezelése azérintett hozzájáruláson alapul, jogalapja az érintett hozzájárulása. A panaszkezelés tárgyútelefonbeszélgetést a Társaság panaszkezelési tárgyú jogszabályi kötelezettség teljesítése céljából kezeli, és a hangfelvételt a rögzítéstől számított 5 (öt) évig őrzi meg. Az általános ésszemélyre szabott tájékoztatás tartalmú telefonbeszélgetéseket a Társaság jogi igények védelmecéljából őrzi meg és kezeli a rögzítéstől számított 5 (öt) évig.Kereskedői Fraud Menedzsment munkatársainak telefonos elérhetőségei
A Társaság fenti területe is fogadja telefonon leendő bankkártya elfogadó ügyfelei szerződéskötéssel kapcsolatos megkereséseit, valamint szerződött bankkártya elfogadó ügyfelei- különösen visszaélés megelőzés tárgyú – bejelentéseit és fogadja be áru visszavétel igényeit.
Az ügyintézés kezdetekor a Társaság tájékoztatja ügyfeleit a telefonos kommunikáció rögzítéséről. A hangrögzítéshez hozzájárulni nem kívánó ügyfelek számára a Társaság bármelymás elérhetősége nyitva áll kapcsolatfelvétel céljából. A hangfelvétel kezelése az érintett hozzájárulásán alapul, jogalapja az érintett hozzájárulása. A telefonbeszélgetést a Társaságszerződés teljesítése, valamint jogi igények védelme céljából kezeli, és a hangfelvételt arögzítéstől számított 5 (öt) évig őrzi meg.
A Társaság a felvételeket a fentiekben meghatározott célokon túlmenően belső vállalatirányítási célokból (pl.: minőségellenőrzés, folyamatoptimalizálás, visszaélés és csalás megelőzés,ellenőrzés) is felhasználhatja azok megőrzési ideje alatt. A Társasággal kapcsolatba lépő vagy a Társaság által felkeresett érintett kérésére, tájékoztatási kérelmére a Társaság a hangfelvétel másolatát az adatkezelés ideje alatt az érintett rendelkezésére bocsátja. A felvételeket a Társaság zártan kezeli, azokat kizárólag a Társaság adott szolgáltatás nyújtási folyamatban résztvevő munkatársai, minőség-ellenőrzés, csalás-megelőzés vagy belső ellenőrzés tárgyú vizsgálat esetén az azt lefolytató munkatársak, valamint jogi igények előterjesztése,érvényesítése és védelme céljából történő adatkezelés esetén jogi képviseletet ellátó személyek ismerhetik meg. A felvételek bírósági vagy más hatósági eljárásban felhasználásra kerülhetnek akár a Társaság kezdeményezésére, akár az eljáró hatóság felhívására, amelyek során a felvételeket a hatósági eljárást lefolytató személyek ismerhetik meg a szükséges mértékben. Amennyiben a felvételek felhasználására nem kerül sor, a rögzített beszélgetések a megőrzési időleteltével törlésre kerülnek.
3. Adatkezelés a Társaság internetes oldalain
A Társaság az interneten bárki számára elérhető weboldalain esetenként olyan technológiát használ, amelynek során az oldal látogatójának számítógépén a felhasználói élmény fokozása érdekében a kép- és hangmegjelenítéshez szükséges beállításokat, különböző szolgáltatások használatát elősegítő beállításokat, stb. – a felhasználó által bármikor megváltoztatható,törölhető módon – tárolja (cookie vagy „süti”). A részletes cookie (süti) tájékoztatás a Társaság honlapján (www.khpos.hu) érhető el.