ADATKEZELÉSI TÁJÉKOZTATÓ

A Dreamworks Consulting Kft. (székhely: 1149 Budapest, Kövér Lajos utca 45-47. A. ép. 2. em. 12.; cégjegyzékszám: 01-09-309375; adószám: 25913143-2-43, „Adatkezelő”) elkötelezett partnerei és megbízói személyes adatainak védelme iránt, ezért kiemelt figyelmet fordít arra, hogy a személyes adatok gyűjtése, kezelése, felhasználása, feldolgozása és esetleges továbbítása során az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény, a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény, valamint a 2018. május 25. napjától alkalmazandó, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet, azaz a GDPR és az egyéb vonatkozó jogszabályok, nemzeti és nemzetközi ajánlások rendelkezéseit megtartva járjon el.

Ön a szolgáltatásaink igénybevételével elismeri, hogy a jelen adatkezelési tájékoztatóban foglaltakat megismerte és hozzájárul ahhoz, hogy az Adatkezelő az Ön által megadott adatokat az irányadó jogszabályok szerint kezelje, nyilvántartsa.

1. Értelmező rendelkezések

Érintett:

Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

Személyes Adat:

Az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;

Hozzájárulás:

Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

Tiltakozás:

Az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;

Adatkezelő (vagy többes szám első személy):

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja; jelen esetben a Dreamworks Consulting Kft.

Adatkezelés:

A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adattovábbítás:

Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

Nyilvánosságra Hozatal:

Az adat bárki számára történő hozzáférhetővé tétele;

Adattörlés:

Az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;

Adatmegsemmisítés:

Az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;

Adatzárolás:

Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

Adatfeldolgozás:

Az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;

Adatfeldolgozó:

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

Harmadik Fél:

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

EGT-Állam:

Az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

Harmadik Ország:

Minden olyan állam, amely nem EGT-állam;

Adatvédelmi Incidens:

A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

2. Az Ön adatkezelője és elérhetősége

Adatkezelő: Dreamworks Consulting Kft.

székhely: 1149 Budapest, Kövér Lajos utca 45-47. A. ép. 2. em. 12

cégjegyzékszám: 01-09-309375;

adószám: 25913143-2-42;

Honlap: https://hitellesen.hu

Elérhetőség:

telefonszám: +36 70 500 5550

e-mail cím : hitellesen2020@gmail.com

3. Az adatkezeléssel érintettek köre

Az Adatkezelő hitelközvetítéssel kapcsolatos szolgáltatásnyújtása során felmerülő adatkezeléssel érintettek köre a hitelközvetítői szolgáltatást igénybe vevők köre. Az Adatkezelő a szolgáltatását igénybe vevő természetes személyek adatait kezeli.

4. Az adatkezelés célja

Az Adatkezelő a birtokába került, a szolgáltatásnyújtásával kapcsolatos személyes adatok (a szolgáltatást igénybe vevő neve, e-mail címe, telefonszáma és a kívánt hitelfelvétellel kapcsolatos adatai) felvétele és tárolása az Adatkezelő szolgáltatásának megfelelő és kifogástalan minősgében történő nyújtása, az ügyfél érintettel való kapcsolattartás, valamint az ügyfél érintettel kötött szerződés teljesítése céljából történik.

5. A kezelt adatok köre és az adatkezelés jogalapja

5.1 A kezelt adatok köre

a) Kapcsolattartás és az adatkezelő szolgáltatásnyújtásának minőségbiztosítása céljából kezelt adatok

Az Adatkezelő az érintett ügyféllel való kapcsolattartás és szolgáltatásnyújtásnak minőségének biztosítása céljából az érintett alábbi személyes adatait kezeli:

név
e-mail cím
telefonszám

b) Az érintettel kötött szerződés teljesítése céljából kezelt adatok

Az Adatkezelő az érintettel kötött, illetve megkötendő szerződés teljesítése céljából, az érintett alábbi személyes adatait kezeli:

név;
e-mail cím;
telefonszám;
kívánt hitelcél;
kívánt hitelösszeg;
az értintett családjának havi jövedelme;
az érintett életkora;
az érintett gyermekeinek száma;
az érintett meglévő hiteltörlesztései;

5.2 Az adatkezelés jogalapja

a) Az adatkezelés jogalapja kapcsolattartás és az adatkezelő szolgáltatásnyújtásának minőségbiztosítása céljából kezelt adatok vonatkozásában

Az Adatkezelő az 5.1 a) pontban meghatározott adatokat az érintettel kötött, pénzügyi szolgálatások közvetítésére irányuló szerződés teljesítése, illetőleg a szerződés megkötését megelőzően az érintett kérésére történő lépések (szerződést teljesítéséhez szükséges kapcsolattartás) szükségessége (GDPR 6. cikk (1) bekezdésének b) pontja) alapján kezeli.

b) Az adatkezelés jogalapja az érintettel kötött szerződés teljesítése céljából kezelt adatok vonatkozásában

Az Adatkezelő az 5.1 b) pontban meghatározott adatokat az érintettel kötött, pénzügyi szolgálatások közvetítésére irányuló szerződés teljesítése, illetőleg a szerződés megkötését megelőzően az érintett kérésére történő lépések (különösen, az érintett által igénybe venni kívánt pénzügyi szolgáltatás kiválasztása, közvetítése, és az érintett pénzügyi lehetőségével kapcsolatos tájékoztatás nyújtása) szükségessége (GDPR 6. cikk (1) bekezdésének b) pontja) alapján kezeli.

6. Az adatkezelés időtartama

Az adatkezelés kizárólag a cél megvalósulásához szükséges mértékben, ideig és kizárólag azzal a személyes adattal történik, amely az adatkezelés céljának megvalósulásához elengedhetetlenül szükséges és a cél elérésére egyébként alkalmas.

Az Adatkezelő az érintett ügyfél 5.1 a)-b) pontokban meghatározott adatait legkésőbb a pénzügyi szolgáltatás közvetítését követő, ennek hiányában az ügyfél érintettel történt utolsó kapcsolatfelvételt követő legfeljebb 6 hónapig, illetőleg az érintett hozzájárulásának visszavonásáig kezeli.

7. Az adatok megismerésére jogosultak

Az Ön által megadott személyes adatokat az Adatkezelő munkavállalói, vezető tisztségviselői, tanácsadói, az adatfeldolgozásban részt vevő vagy egyéb alkalmazottai, továbbá azon partnerei, amelyeknek a részére történő adattovábbításhoz Ön hozzájárult, ismerhetik meg és kezelhetik.

Jogszabályi előírás alapján a bíróságok és egyes hatóságok jogosultak megismerni az Adatkezelő által kezelt személyes adatokat. A bíróság, az ügyészség és más hatóságok (pl. rendőrség, adóhatóság, Nemzeti Adatvédelmi és Információszabadság Hatóság) tájékoztatás adása, adatok közlése vagy iratok rendelkezésre bocsátása miatt megkereshetik az Adatkezelő. Ezekben az esetekben adatszolgáltatási kötelezettségünket teljesítenünk kell, a megkeresés céljának megvalósításához elengedhetetlenül szükséges mértékben.

8. Adatok átadása és továbbítása

Tisztában vagyunk azzal, hogy az Ön adatai értéket képviselnek és mindent megteszünk annak érdekében, hogy azokat adatkezelésünk során megvédjük.

A velünk közölt személyes adatokat meghatározott esetekben megosztjuk a velünk együttműködő vagy nevünkben eljáró harmadik felekkel, ha ez szükséges azon cél eléréséhez, amelynek érdekében az érintett, illetve Ön az adatokat közölte. A személyes adatokat az Adatkezelő abban az esetben is átadhatja más harmadik személyeknek, ha ez az Ön hatékonyabb kiszolgálását szolgálja, illetve ha az említett harmadik felek az Adatkezelő megbízásából kezelik az érintett adatokat.

Gondoskodtunk azonban arról, hogy ezek a harmadik személyek az információt és adatokat megfelelően védjék.

Bizonyos esetekben az alábbi megosztási körökbe tartozó feleknek továbbítjuk az Ön személyes adatait, illetve ezeknek adunk hozzáférést bizonyos személyes adataihoz:

az Adatkezelő azon partnerei, amelyek pénzügyi termékével kapcsolatos szolgáltatásnyújtás történik.

Az Adatkezelő a közvetített pénzügyi szolgáltatásra irányuló szerződés megkötését követően az érintett személyes adatait a közvetített szerződés szerinti pénzügyi szolgálatónak átadja, amely adatkezelés vonatkozásában a pénzügyi szolgáltató, mint adatkezelő adatvédelmi dokumentációja nyújt további tájékoztatást az érintett részére.

Egyéb harmadik felekkel csak akkor osztunk meg információt, ha

ahhoz az Ön hozzájárulásával rendelkezünk;
azt számunkra jogszabály írja elő; vagy
az jogi eljárások céljából, azokkal kapcsolatban vagy jogszabály által biztosított jogok gyakorlása vagy védelme érdekében szükséges.

A személyes adatok átadásával Ön kifejezett hozzájárulást ad az adatok ilyen jellegű továbbításához illetve szavatolja, hogy a személyes adatokat ilyen céllal az Adatkezelő részére átadni jogosult.

Az Adatkezelő a személyes adatokat továbbíthatja olyan harmadik fél adatfeldolgozók felé, amelyek megfelelő szintű technikai és szervezeti garanciákat nyújtanak. Az Adatkezelő az általánosan elfogadott adatvédelmi gyakorlatnak megfelelően külső szolgáltatókat vehet igénybe rendszeres szerverkarbantartás, adattárolás vagy egyéb informatikai feladatok elvégzésére.

Az Adatkezelő az adattovábbításokat minden esetben dokumentálja és azokról nyilvántartást vezet.

Amint megszűnnek az adatok jogszerű kezelésének vagy átadásának feltételei, az Adatkezelő haladéktalanul intézkedik a személyes adatok adatbázisból törlése iránt és értesítést küld Önnek a törlés tényéről.

9. Adatok továbbítása harmadik országba

Az adatkezelés során az Adatkezelő az Önök által megadott személyes adatokat harmadik országba nem továbbítja.

10. Adatbiztonság

Az adatkezelés során az Adatkezelő tudomására jutott, mind az elektronikus információs rendszerben tárolt, mind a hagyományos papíralapú adathordozókon tárolt adatokat a legnagyobb körültekintéssel, szigorúan bizalmasan kezeli és minden törvényes eszközzel törekszik védeni azokat különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, egyéb visszaélés, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen műszaki és szervezési intézkedésekkel.

Szervezeti intézkedések keretében épületeinkben ellenőrizzük a fizikai hozzáférést, munkavállalóinkat folyamatosan oktatjuk és a papír alapú dokumentumokat megfelelő védelemmel elzárva tartjuk.

Az Adatkezelő zárt IT-rendszere megfelelő biztonságot nyújt az adatok elektronikus információs rendszerben való kezeléséhez. Adatfeldolgozóink és partnereink az Adatkezelőhöz hasonlóan gondoskodnak az adatok védelméről és azokat szigorúan csak célhoz kötötten használják. A kezelt adatok az arra feljogosítottak számára hozzáférhetőek, az adatok hitelessége és hitelesítése biztosított, az adatok változatlanok, valamint az adatok a jogosulatlan hozzáférés ellen védettek.

Az Adatkezelő olyan technikai, szervezési és szervezeti intézkedésekkel gondoskodik az adatok biztonságáról, ami az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. Általánosan elfogadott technológiai és működésbiztonsági megoldásokat vezettünk be annak érdekében, hogy megakadályozzuk az azonosítható személyes adatok elvesztését, módosítását, megsemmisítését vagy az azokkal történő visszaélést. A tőlünk telhető legnagyobb mértékben gondoskodunk arról, hogy megfelelő titoktartási kötelezettségvállalás, valamint technikai és biztonsági intézkedések révén biztosítsuk az Adatkezelő által kezelt személyes adatok védelmét. A személyes adatokhoz csak a megfelelő jogosultsággal rendelkező, titoktartási kötelezettséget vállaló munkatársaink illetve az arra feljogosított adatfeldolgozók férhetnek hozzá.

A beérkezett adatok tekintetében szigorú előírásokat tartunk be az Ön adatainak biztonsága és a jogellenes hozzáférés megakadályozása érdekében.

11. Adatfeldolgozási tevékenység

Az Adatkezelő az adatkezelési tevékenységéhez adatfeldolgozó(k) (informatikai szolgáltatók) közreműködését és szolgáltatásait veszi igénybe. Az adatfeldolgozásra az Adatkezelő és az adatkezelő között létrejött adatfeldolgozási szerződés alapján kerül sor, mely biztosítja az adatfeldolgozó titoktartási kötelezettségét, ezáltal pedig az adatkezelés biztonságát. Az adatfeldolgozó kizárólag szerverszolgáltatás nyújtásával működik közre az adatkezelés során.

Az Adatkezelő adatfeldolgozójának (informatikai szolgáltatójának) megjelölése:

név: Rackhost Informatikai Korlátolt Felelősségű Társaság

székhely: 6722 Szeged, Tisza Lajos körút 41.

cégjegyzékszám: 06-09-016853

adószám: 23184626-2-06

12. Az érintettek adatkezeléssel kapcsolatos jogai

12.1 A hozzáféréshez való jog (tájékoztatáskérés)

Az érintettek tájékoztatást kérhetnek az általuk átadott és az Adatkezelő által kezelt személyes adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – személyes adataik továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

A tájékoztatás iránti kérelem előterjesztésére a 2. pontban megadott elérhetőségeken keresztül, írásban van lehetőség.

A tájékoztatás iránti kérelmet – az érintettek adatai biztonsága érdekében – csak személyesen teljesíti az Adatkezelő. Ennek érdekében a tájékoztatás iránti kérelmet írásban postán történő megküldés esetén teljes bizonyító erejű magánokirat formájában, e-mailben, illetve faxon a megfelelő azonosító adatok megadásával van lehetőség az Adatkezelő részére megküldeni. Az Adatkezelő a lehető legrövidebb idő alatt, de legkésőbb 30 napon belül írásban, közérthető módon megadja a tájékoztatást az érintett által megadott címre.

Felhívjuk a figyelmet, hogy évente egy-egy adatkörre vonatkozó tájékoztatás ingyenes, további tájékoztatásért az Adatkezelő észszerű költségtérítést számíthat fel.

12.2 Helyesbítéshez való jog

Amennyiben az érintett a 2. pontban megadott elérhetőségeken keresztül jelzi – a pontosított személyes adat egyidejű megadásával – az Adatkezelő felé, hogy a kezelt személyes adat a valóságnak nem felel meg, vagy az Adatkezelő egyéb úton tudomást szerez a személyes adatok hibájáról és a helyes adatokról, akkor a személyes adatot az Adatkezelő helyesbíti. A helyesbítésről, illetve a helyesbítésre vonatkozó kérelmének elutasításáról az Adatkezelő értesíti az érintettet.

12.3 Törlés vagy zárolás

Az érintettek jogosultak személyes adatik törlését vagy zárolását kérni. A személyes adatokat abban az esetben zároljuk, amennyiben a rendelkezésére álló információ alapján feltételezhető, hogy a törlés sértené az érintett személy jogos érdekeit. Az így zárolt személyes adatot kizárólag addig kezeljük, amíg fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. A törlés vagy zárolás megtörténtéről értesítjük, vagy a törlésre illetve zárolásra vonatkozó kérelmének elutasításáról tájékoztatjuk az érintett személyeket.

Az érintettek jogosultak személyes adatik törlését kérni. A törlés iránti kérelmet az Adatkezelő abban az esetben utasítja el, ha az Adatkezelő a személyes adatok kezelésére az érintett hozzájárulásának visszavonását követően is rendelkezik jogalappal az adatok további tárolására, felhasználására. Ilyen eset például az, ha az adatok őrzésére vonatkozó határidő nem telt le. Amennyiben azonban ilyen kötelezettség nem áll fenn, akkor az Adatkezelő a kérelmet legfeljebb egy hónapon belül teljesíti. A törlés megtörténtéről értesítjük, vagy a törlésre vonatkozó kérelmének elutasításáról tájékoztatjuk az érintett személyeket.

12.4 Zároláshoz (adatkezelés korlátozásához) való jog

Az érintett személy az 2. pontban megadott elérhetőségeken keresztül, írásban kérheti, hogy a személyes adatait az Adatkezelő zárolja (az adatkezelés korlátozott jellegének egyértelmű jelölésével és az egyéb adatoktól elkülönített kezelés biztosításával). A személyes adatokat abban az esetben zároljuk, amennyiben a rendelkezésére álló információ alapján feltételezhető, hogy a törlés sértené az érintett személy jogos érdekeit. A zárolás addig tart, amíg az érintett által megjelölt indok szükségessé teszi az adatok tárolását. A zárolás megtörténtéről értesítjük, vagy a zárolásra vonatkozó kérelmének elutasításáról tájékoztatjuk az érintett személyeket.

12.5 Megjelölés

Az Adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

12.6 Tiltakozás

Az érintett személy a 2. pontban megadott elérhetőségeken keresztül saját helyzetével kapcsolatos okból bármikor tiltakozhat az adatkezelés ellen, ha álláspontja szerint az Adatkezelő a személyes adatát a jelen adatkezelési tájékoztatóban megjelölt céllal összefüggésben nem megfelelően kezelné. Ebben az esetben az Adatkezelőnek kell igazolnia, hogy a személyes adat kezelését olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Az Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.

Ha a tiltakozás megalapozott, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – az Adatkezelő megszünteti, az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

12.7 Adathordozhatóság

Az érintettek jogosultak arra, hogy a rájuk vonatkozó, általuk a rendelkezésünkre bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapják, továbbá jogosultak arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsák anélkül, hogy ezt mi akadályoznánk, ha az adatkezelés az érintettek hozzájárulásán alapszik és személyes adataik kezelését automatizáltan végezzük.

13. Az adatváltozás bejelentése

Ön a saját rendelkezési körükbe tartozó, az Adatkezelő által kezelt adatok megváltozását 15 napon belül jogosultak és egyben kötelesek bejelenteni. Ennek elmulasztásából eredő következményekért Önt terheli minden felelősség.

14. Hozzájárulás visszavonása

Amennyiben az adatkezelés jogalapja az Ön hozzájárulása, az adatkezeléshez való hozzájárulásukat bármikor visszavonhatják, mely az adatkezelés hozzájárulás visszavonása előtti jogalapját nem érinti. Amennyiben az adatkezelés jogalapja kizárólag az Ön hozzájárulása, a hozzájárulás visszavonása után személyes adataikat nem kezeljük, azok mindennemű nyilvántartásunkból törlésre kerülnek.

15. Jogorvoslathoz való jog

A személyes adataik védelmével kapcsolatos panasszal és az adatkezeléssel kapcsolatos kérdésekkel az érintettek a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1055 Budapest, Falk Miksa utca 9-11., postacím: 1363 Budapest, Pf.: 9., telefonszám:+36 30 683 5969, a továbbiakban: „NAIH”), továbbá jogorvoslatért bírósághoz fordulhatnak, amely az ügyben soron kívül jár el. Utóbbi esetben az érintett szabadon eldöntheti, hogy a lakóhelye (állandó lakcím) vagy a tartózkodási helye (ideiglenes lakcím), illetve az Adatkezelő székhelye szerint illetékes törvényszéknél nyújtja-e be keresetét. A lakóhelye vagy tartózkodási helye szerinti törvényszéket megkeresheti a http://birosag.hu/ugyfelkapcsolati-portal/birosag-kereso oldalon. Az Adatkezelő székhelye szerint a perre a Fővárosi Törvényszék rendelkezik illetékességgel.

Önök jogosultak továbbá bírósághoz fordulni a NAIH Önre vonatkozó, jogilag kötelező erejű döntésével szemben is. Az érintett jogosult továbbá bírósági jogorvoslatra, ha a NAIH nem foglalkozik a panaszával, vagy három hónapon belül nem tájékoztatja önt a benyújtott panaszával kapcsolatos eljárási fejleményekről vagy annak eredményéről. Önnek jogában áll a panasznak a nevében történő benyújtásával, a NAIH határozatának bírósági felülvizsgálatával, a keresetindítással, valamint a kártérítési jogának a nevében történő érvényesítésével egy olyan nonprofit jellegű szervezetet vagy egyesületet megbízni, amelyet valamely európai uniós tagállam jogának megfelelően hoztak létre, és amelynek alapszabályban rögzített céljai a közérdek szolgálata, valamint az érintettek jogainak és szabadságának a személyes adatok vonatkozásában biztosított védelme.

16. Jogok korlátozása

A fentiek szerinti jogok kivételes esetekben jogszabályi rendelkezés alapján korlátozhatók, így különösen az érintett vagy mások jogainak védelme érdekében.

Az Adatkezelő az Önök adatkezelési nyilatkozatával ellentétes adatszolgáltatást csak és kizárólag erre jogszabályban felhatalmazott szervek megkeresésére, jogszabályban meghatározott esetekben teljesít.

17. Adatvédelmi incidensek kezelése

Az adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása érdekében az Adatkezelő az informatikai rendszereken naplózza a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemzi, ellenőrzi.

Amennyiben az Adatkezelő ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesítik az Adatkezelő vezetőjét.

Az Adatkezelő munkavállalói kötelesek jelenteni az Adatkezelő vezetőjének, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

Adatvédelmi incidens bejelenthető az Adatkezelő fenti 2. pontban meghatározott email címén, telefonszámán, amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

Adatvédelmi incidens bejelentése esetén az Adatkezelő haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó.

Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti NAIH-nak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, az Adatkezelő a bejelentéssel egyidejűleg mellékeli a késedelem igazolására szolgáló indokokat is a NAIH számára.

Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat az Adatkezelő behatárolja, elkülöníti és gondoskodik az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően az Adatkezelő megkezdi a károk helyreállítását és a jogszerű működés visszaállítását.

Az adatvédelmi incidensekről az Adatkezelő nyilvántartást vezet, amely tartalmazza:

az érintett személyes adatok körét;
az adatvédelmi incidenssel érintettek körét és számát;
az adatvédelmi incidens időpontját;
az adatvédelmi incidens körülményeit, hatásait;
az adatvédelmi incidens orvoslására megtett intézkedéseket;
az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

18. Egyebek

Az Adatkezelő fenntartja magának a jogot a jelen adatkezelési tájékoztató bármikori egyoldalú módosítására. Abban az esetben, ha a jelen rendelkezések valamelyikében fentiek alapján változás állna be, az adatvédelmi irányelvek módosított verzióját közzétesszük a Weboldalon, ezért kérjük, időről időre szíveskedjenek tanulmányozni a jelen adatkezelési tájékoztató aktuális tartalmát.

Kérdés vagy észrevétel esetén forduljon hozzánk bizalommal a jelen tájékoztatóban megadott elérhetőségek bármelyikén.

Adatvédelmi és Adatbiztonsági Szabályzat

Dreamworks Consulting Kft.

1 A szabályzat hatálya

1.1 Jelen Adatvédelmi és Adatbiztonsági Szabályzatának („Szabályzat”) hatálya a Dreamworks Consulting Kft. (székhely: 1149 Budapest, Kövér Lajos utca 45-47. A. ép. 2. em. 12.; cégjegyzékszám: 01-09-309375; adószám: 25913143-2-42, „Adatkezelő”) és valamennyi szervezeti egysége tevékenysége során megvalósuló adatkezelésekre, így különösen az Adatkezelő pénzügyi szolgáltatás közvetítésére irányuló tevékenysége során megvalósuló adatkezelésekre terjed ki.

1.2 A Szabályzat hatálya kiterjed továbbá az Adatkezelő minden tagjára és alkalmazottjára, (függetlenül a foglalkoztatási jogviszony jellegéről), illetve az Adatkezelővel szerződéses kapcsolatban álló valamennyi természetes személyre.

1.3 A közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjére az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. („Infotv.”) törvény illetőleg az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, „GDPR”) rendelkezései irányadók.

1.4 Amennyiben a közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítése során személyes adatok kezelése válna szükségessé, úgy – a személyes adatok kezelését illetően – a jelen Szabályzat rendelkezései az irányadóak.

2 A szabályzat célja

2.1 A Szabályzat célja az Adatkezelő tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Magyarország Alaptörvényében („Alaptörvény”) meghatározott alapvető jog érvényesülésének biztosítása, illetve az Adatkezelő által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályok meghatározása.

3 Irányadó jogszabályok

3.1 Az Adatkezelőnek az adatkezelése során a következő jogszabályokban foglalt előírásoknak megfelelően kell eljárnia, a jelen belső szabályzatban foglaltak szerint:

az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR”)
az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”)
a polgári törvénykönyvről szóló 2013. évi V. törvény („Ptk.”)
a munka törvénykönyvéről szóló 2012. évi I. törvény („Mt.”)

4 Értelmező rendelkezések

4.1 E Szabályzat alkalmazása során:

a) személyes adat:	az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
b) érintett:	bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
c) hozzájárulás:	az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
d) tiltakozás:	az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
e) adatkezelés:	a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
f) adatkezelő	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja
g) adattovábbítás:	az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
h) nyilvánosságra hozatal:	az adat bárki számára történő hozzáférhetővé tétele;
i) adattörlés:	az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
j) adatzárolás:	az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából
k) adatmegsemmisítés:	az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
l) adatfeldolgozás:	az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
m) adatfeldolgozó::	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
n) adatállomány:	az egy nyilvántartásban kezelt adatok összessége
o) harmadik fél:	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak
p) EGT-Állam:	az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez
q) Harmadik Ország:	minden olyan állam, amely nem EGT-állam;
r) adatvédelmi incidens:	a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
s) címzett:	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
t) képviselő:	az az Európai Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában
u) technikai és szervezési intézkedések	technikai és szervezési intézkedések: az adatkezelő által az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelően meghatározott eljárásrend annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

5 Az adatkezelés alapelvei

5.1 Az Adatkezelő tevékenysége során végzett adatkezelés során a jelen szabályzatban foglalt rendelkezésekre tekintettel jár el. Az Adatkezelő mindenkori ügyvezetője, illetőleg amennyiben ez az ügyvezetőtől eltér, a munkáltatói jogok gyakorlója határozza meg az Adatkezelő alkalmazottainak adatkezeléssel kapcsolatos feladatait.

5.2 Az Adatkezelő a személyes adatok kezelése során az alábbi alapelvek figyelembe vételével jár el.

5.2.1 Az Adatkezelő az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi (jogszerűség, tisztességes eljárás és átláthatóság).

5.2.2 Az Adatkezelő a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség).

5.2.3 Az Adatkezelő az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság). Ennek megfelelően Az Adatkezelő nem gyűjt és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges.

5.2.4 Az Adatkezelő adatkezelése pontos és naprakész. Az Adatkezelő minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság).

5.2.5 Az Adatkezelő a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre (korlátozott tárolhatóság).

5.2.6 Az Adatkezelő megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg).

5.2.7 Az Adatkezelő felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá Az Adatkezelő igazolja ezen megfelelést (elszámoltathatóság). Ennek értelmében az Adatkezelő gondoskodik a jelen belső szabályzatban foglaltak folyamatos érvényesüléséről, az adatkezelésének folyamatos felülvizsgálatáról és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről. Az Adatkezelő a jogszabályi kötelezettségeknek való megfelelés igazolására dokumentációt készít.

6 Adatkezelési jogalapok

6.1 A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az itt meghatározott jogalapok egyike teljesül:

6.1.1 Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (a továbbiakban: hozzájáruláson alapuló adatkezelés).

6.1.2 Az adatkezelés olyan szerződés teljesítéséhez szükséges, melyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (a továbbiakban: szerződésen alapuló adatkezelés).

6.1.3 Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (a továbbiakban: jogi kötelezettségen alapuló adatkezelés).

6.1.4 Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (a továbbiakban: létfontosságú érdeken alapuló adatkezelés).

6.1.5 Az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (a továbbiakban: közhatalmi jogosítványon alapuló adatkezelés).

6.1.6 Az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (a továbbiakban: jogos érdeken alapuló adatkezelés).

7 Az adatkezelési nyilvántartások

7.1 Az Adatkezelő a tevékenysége körében végzett adatkezelésre vonatkozó, a GDPR és a vonatkozó jogszabályok által előírt kötelezettségeknek megfelelő technikai és szervezési intézkedések megalkotása céljából, illetve a GDPR-nak való megfelelés bizonyítása érdekében, illetőleg az elszámoltathatóság elvére tekintettel Adatkezelési Nyilvántartást és a 7.4 pontban meghatározott speciális nyilvántartásokat vezeti.

7.2 Az Adatkezelési Nyilvántartás tartalmazza az Adatkezelő által kezelt összes adatkört.

7.3 Az Adatkezelési Nyilvántartás legalább a következő információkat tartalmazza:

a) az adatkezelő neve és elérhetősége, valamint az adatkezelő képviselőjének és adatvédelmi tisztviselőjének a neve és elérhetősége,

b) az adatkezelés céljai és jogalapjai,

c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése

d) olyan címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő tevékenysége során megvalósuló adatkezelés keretében közli, vagy közölni fogja, ideértve a harmadik országbeli címzetteket és a nemzetközi szervezeteket

e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők – az adatkezelés időtartama;

g) ha lehetséges, a technikai és szervezési intézkedések általános leírása,

h) az Adatkezelő szervezetén belül az adatokhoz történő hozzáférésre jogosultak meghatározása, és az általuk hozzáférhető adatkategóriák meghatározása

7.4 Az adatkezelési nyilvántartáson túl Az Adatkezelő az alábbi speciális nyilvántartásokat vezeti

a) adattovábbítás nyilvántartása

b) érintetti jogok érvényesítése iránti kérelmek és az arra az Adatkezelő által adott válaszok nyilvántartása

c) hatósági megkeresések és az arra az Adatkezelő által adott válaszok nyilvántartása

d) adatkezelés megszüntetése iránti kérelmek nyilvántartása

e) ügyfelek nyilvántartása

f) marketing célú megkeresések nyilvántartása

g) munkaviszonnyal összefüggő személyes adatok kezelésének nyilvántartása

h) munkaerő-felvétel nyilvántartása

i) adatvédelmi incidensek nyilvántartása.

7.5 Amennyiben az Adatkezelő valamely adatkezelő vonatkozásában adatfeldolgozási tevékenységet is végez, a 7.3 pontban meghatározottakon túl az Adatkezelési Nyilvántartásban meghatározza az alábbi információkat is:

a) mely tevékenységéhez kötötten minősül az Adatkezelő adatfeldolgozónak,

b) ki az adatkezelő, akinek a nevében az adatfeldolgozási tevékenységet végzi,

c) az adatfeldolgozói tevékenysége során milyen személyes adatokhoz fér hozzá, és

d) mennyi ideig tárolhatja az adatfeldolgozói tevékenysége során kezelt személyes adatokat.

7.6 Amennyiben az Adatkezelő adatfeldolgozókkal is végeztet adatkezelési tevékenységet, úgy az Adatkezelő nyilvántartást vezet az Adatkezelő nevében végzett adatkezelési tevékenységek valamennyi kategóriájáról. Ez a nyilvántartás a következő információkat tartalmazza:

a) az adatfeldolgozó vagy adatfeldolgozók és azok képviselőinek neve és elérhetőségei;

b) az adatkezelő nevében végzett adatkezelési tevékenységek kategóriái;

c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása.

7.7 A nyilvántartásokat Az Adatkezelő írásban vezeti, papír alapon vagy elektronikus formátumban.

8 Az érintett jogai és azok érvényesítése

8.1 Az Adatkezelő a GDPR rendelkezéseivel összhangban az alábbiakat biztosítja az érintettek számára.

8.2 Tájékoztatáshoz való jog

8.2.1 A tájékoztatáshoz való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.

8.2.2 Az Adatkezelő tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt tájékoztatást az érintettek számára.

8.2.3 Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni.

8.3 Tájékoztatás az érintett kérésére

8.3.1 Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

8.3.2 Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 30 napon belül tájékoztatja az érintettet az egyéb érintetti jogokra vonatkozó érintetti kérelem nyomán hozott intézkedésekről.

8.3.3 Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, a 30 napos határidő további 60 nappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 30 napon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

8.3.4 A tájékoztatást és intézkedést díjmentesen kell biztosítani.

8.3.5 Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, úgy az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a) észszerű összegű díjat számíthat fel, vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

8.3.6 A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

8.4 Kötelező tájékoztatás

8.4.1 Amennyiben az Adatkezelő az adatokat közvetlenül az érintettől szerezte meg (ide értve különösen az ügyfeleket), úgy az Adatkezelő mindenképpen tájékoztatást nyújt az alábbiakról:

a) az Adatkezelő képviselőjének a kiléte és elérhetőségei,

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen,

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja,

d) a jogos érdeken alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei,

e) adott esetben a személyes adatok címzettjei,

f) adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

8.4.2 A személyes adatok első megszerzésének időpontjában az Adatkezelő a fentieken túl az érintetteket tájékoztatja az alábbiakról is:

a) a személyes adatok tárolásának időtartamáról,

b) az érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, egyes jogalapokhoz tartozó adatkezelés esetében törlését vagy kezelésének korlátozását, és egyes jogalapokhoz tartozó adatkezelés esetében tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról,

c) a hozzájáruláson alapuló adatkezelés bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,

d) a felügyeleti hatósághoz (Nemzeti Adatvédelmi Hatóság, „Hatóság” vagy „NAIH”) címzett panasz benyújtásának jogáról,

e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása.

8.4.3 A 8.4.1 és 8.4.2 pontban meghatározott tartalmú tájékoztató („Adatkezelési Tájékoztató”) jelen szabályzat 1. sz. melléklettét képezi

8.4.4 Ha az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és a 8.4.2 pontban említett minden releváns kiegészítő információról.

8.4.5 Az Adatkezelő a kötelező tájékoztatásnak többféle módon tehet eleget.

8.4.6 A 8.4.1 és 8.4.2 pontban foglalt információkat az Adatkezelő (Adatkezelési Tájékoztató címen) közzéteszi a honlapján olyan módon, hogy az könnyen megtalálható és könnyen elérhető legyen bárki számára.

8.4.7 A honlapon való közzététel mellett vagy helyett, az Adatkezelő választhatja az Adatkezelési Tájékoztató szerződés mellékleteként történő hozzáférhetővé tételét. Ebben az esetben elegendő az adott érintetti körre vonatkozó adatkezelési tájékoztatást az érintett rendelkezésére bocsátani. Általános Szerződési Feltétel („ÁSZF”) részét nem képezheti az Adatkezelési Tájékoztató.

8.4.8 Amennyiben az Adatkezelő a jogszabályi kötelezettségen alapuló tevékenység végzése körében kezelt adatokat nem közvetlenül az érintettől szerezte meg, úgy az Adatkezelőnek nem áll fenn az érintettel szemben a 8.4.1. és 8.4.2 pontokban írt tájékoztatási kötelezettsége figyelemmel arra, hogy az irányadó jogszabályok a jogszabályi kötelezettségen alapuló tevékenység vonatkozásában szigorú titoktartási kötelezettséget ír elő.

8.5 Hozzáféréshez való jog

8.5.1 A hozzáférés joga minden adatkezelési jogalap vonatkozásában megilleti az érintettet.

8.5.2 Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai,

b) az érintett személyes adatok kategóriái,

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat az Adatkezelő közölte vagy közölni fogja,

d) adott esetben a személyes adatok tárolásának tervezett időtartama,

e) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, egyes jogalapokhoz kötött adatkezelés esetén ezen adatok törlését vagy kezelésének korlátozását, és egyes jogalapokhoz kötött adatkezelés esetén tiltakozhat az ilyen személyes adatok kezelése ellen,

f) a felügyeleti hatósághoz címzett panasz benyújtásának joga,

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ,

h) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

8.5.3 Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja.

8.5.4 Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, melynek mértékét az Adatkezelő árszabási szabályzata, egyéb szabályzata, vagy egyéb dokumentum tartalmazza.

8.6 Helyesbítéshez való jog

8.6.1 A helyesbítéshez való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.

8.6.2 Az Adatkezelő, az érintett erre irányuló kérelme esetén indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozóan pontatlanul kezelt személyes adatokat. Az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

8.7 Törléshez (elfeledtetéshez) való jog

8.7.1 A törléshez (elfeledtetéshez) való jog nem illeti meg az érintettet automatikusan, minden jogalaphoz kapcsolódó adatkezelés vonatkozásában.

8.7.2 Az Adatkezelő indokolatlan késedelem nélkül törli az érintettre vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását (hozzájáruláson alapuló adatkezelés esetén), és az adatkezelésnek nincs más jogalapja;

c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre a közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés esetében;

d) a személyes adatok jogellenesen kerültek kezelésre;

e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

8.7.3 Az érintett törlési kérelmének az Adatkezelő nem tesz eleget, amennyiben az adatkezelés szükséges a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó jogszabályi kötelezettség teljesítéséhez.

8.7.4 Amennyiben az Adatkezelőhez törlési kérelem érkezik, az Adatkezelő első lépésként megvizsgálja, hogy a törlési kérelem valóban a jogosulttól származik-e. Ennek érdekében az Adatkezelő elkérheti az érintett és az Adatkezelő között fennálló szerződés azonosítására szolgáló adatokat (például szerződésszám, szerződés kelte), az érintett számára az Adatkezelő által kiállított irat azonosítószámát, az érintettről nyilvántartott személyazonosító adatok megadását (az Adatkezelő azonban nem kérhet azonosításként olyan plusz adatot, amelyet az érintettről nem tart nyilván).

8.7.5 Amennyiben az Adatkezelőnek eleget kell tennie a törlési kérelemnek, úgy köteles mindent megtenni annak érdekében, hogy a személyes adat az összes adatbázisból törlésre kerüljön.

8.7.6 Az Adatkezelő a törlésről jegyzőkönyvet vesz fel annak érdekében, hogy a törlés megtörténtét igazolni tudja. A jegyzőkönyvet az Adatkezelő képviselője vagy az a személy(ek) írja(ák) alá, aki(k)nek erre a munkaköri leírása nyomán jogosultsága van. A törlési jegyzőkönyv tartalmazza:

a) az érintett nevét

b) a törölt személyes adattípust

c) a törlés időpontját.

8.7.7 Az Adatkezelő tájékoztatja a törlési kötelezettségről mindazokat, akik számára a személyes adat továbbításra került.

8.8 Az adatkezelés korlátozáshoz való jog

8.8.1 A korlátozáshoz való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.

8.8.2 Az Adatkezelő az érintett kérésére korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) Az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés során tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy Az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

8.8.3 Ha az adatkezelés az előző pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Európai Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

8.8.4 Az Adatkezelő tájékoztatja a kötelezettségről mindazokat, akik számára a személyes adat továbbításra került.

8.9 Tiltakozás

8.9.1 A tiltakozás joga az érintettet a közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés adatkezelési jogalapok esetében illeti meg.

8.9.2 Az Adatkezelő az érintett tiltakozás iránti kérelme esetén a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

8.9.3 Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.

8.9.4 Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

8.10 Adathordozhatósághoz való jog

8.10.1 Az adathordozhatósághoz való jog a hozzájáruláson vagy a szerződésen alapuló adatkezelés jogalap esetében illeti meg az érintettet, ha az adatkezelés automatizált módon történik.

8.10.2 Az Adatkezelő biztosítja, hogy érintett a rá vonatkozó, általa az Adatkezelő számára rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá, hogy ezeket az adatokat az érintett egy másik adatkezelőnek továbbítsa.

9 Adatbiztonsági rendelkezések

9.1 Az Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

9.2 Előzőek értelmében az Adatkezelő köteles garantálni az általa kezelt adatok bizalmasságát, sérthetetlenségét és rendelkezésre állását.

9.3 A megfelelő szintű adatbiztonsági intézkedések meghatározása érdekében Az Adatkezelő a kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából értékel, és biztonsági fokozatba sorol.

9.4 Az egyes adatkezelések biztonsági fokozatának megállapításához elemezni kell:

a) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a várható kárt;

b) azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét;

c) azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni;

d) az adatbiztonságot veszélyeztető más kockázati elemeket;

9.5 Az adatkezelés biztonsága megvalósítása érdekében az Adatkezelő fizikai, logikai és adminisztratív kontrollokat alkalmaz együttesen.

9.6 Az Adatkezelő legalább az alábbi fizikai kontrollokat alkalmazza:

a) Az Adatkezelő a jogosulatlan személyek belépésének kiszűrésére alkalmas beléptetési rendszer működtetésével biztosítja, hogy épületébe/irodájába jogosulatlan személyek ne léphessenek be (pl. elektronikus beléptetési rendszer működtetés; vagy egyszerű kulcsos beléptetés, ahol a kulcs csak belépésre jogosultaknak áll rendelkezésre; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

b) Az Adatkezelő az általa mind elektronikusan, mind pedig papír alapon kezelt adatokhoz való jogosulatlan hozzáférés elkerülése érdekében biztosítja, hogy a kezelt adatokhoz fizikailag ne férhessen hozzá arra jogosulatlan személy. E kötelezettségét biztosítására szolgál különösen az irodák, szerver szobák zárása; monitor fóliák alkalmazása; monitorok olyan módon történő elhelyezése, hogy az azon szereplő adatokra kizárólag a jogosultak láthassanak rá; annak követelménye, hogy csak az Adatkezelő által auditált adathordozót lehessen a számítógépekhez csatlakoztatni; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja.

9.7 Az Adatkezelő legalább az alábbi logikai kontroll(oka)t alkalmazza.

9.7.1 Az Adatkezelő biztosítja, hogy az általa kezelt adatokhoz kizárólag az arra megfelelő jogosultsággal rendelkezők férjenek hozzá (jogosultsági szintek meghatározása munkakörönként; számítógépes adatbázisokhoz való hozzáférés jogosultsági szinteknek megfelelő beállítása; a belső számítógépes hálózatba való belépés felhasználó névhez és jelszóhoz kötése; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

9.8 Az Adatkezelő legalább az alábbi adminisztratív kontrollokat alkalmazza.

9.8.1 Az Adatkezelő biztosítja, hogy a személyes adatokhoz való esetleges hozzáférés dokumentációkban nyomon követhető legyen (tevékenység logolás; épületbe/irodába való beengedés naplózása (akár papír alapon); vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

9.8.2 Az Adatkezelő biztosítja olyan iratkezelési eljárásrend kialakítását, hogy a hozzá tévesen beérkező személyes adatokat tartalmazó iratok a lehető leghamarabb kiszűrésre kerüljenek és azokat a lehető legszűkebb személyi kör ismerje meg (amennyiben a postabontó úgy ítéli meg, hogy ilyen adatot tartalmazó irat birtokába jutott, úgy azt kizárólag erre vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

10 Adatvédelmi incidensek kezelése

10.1 Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. Ennek elkerülése érdekében az adatkezelése során felmerülő adatvédelmi incidenseket Adatkezelő a jelen pontban meghatározott intézkedésekkel kezeli

10.2 A tudomására jutott adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a Hatóságnak.

10.3 Az adatvédelmi incidenst nem kell a Hatóságnak bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

10.4 Amennyiben a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

10.5 Amennyiben az adatvédelmi incidens Hatóság számára történő bejelentése szükséges, úgy a bejelentésben:

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

10.6 Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

10.7 A 10.6 pont szerinti tájékoztatásban az érintettel világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell:

a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

b) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

c) ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

10.8 Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

a) Az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b) Az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

10.9 Amennyiben az Adatkezelő adatfeldolgozási tevékenységet is végez, úgy a nála bekövetkezett adatvédelmi incidensről haladéktalanul tájékoztatja az adatkezelőt, akinek a számára az adatfeldolgozási tevékenységet végzi.

10.10 Amennyiben az Adatkezelő adatfeldolgozót alkalmaz, úgy az adatfeldolgozó szerződésben ki kell kötni, hogy az adatfeldolgozó köteles a nála bekövetkezett adatvédelmi incidenst haladéktalanul bejelenteni Az Adatkezelőnek.

10.11 Az Adatkezelő az adatvédelmi incidenseket nyilvántartja. Az adatvédelmi incidensek nyilvántartása tartalmazza:

a) az adatvédelmi incidensekhez kapcsolódó tényeket;

b) az adatvédelmi incidensek hatásait; és

c) az adatvédelmi incidens orvoslására tett intézkedéseket.

11 AZ Adatkezelő pénzügyi szolgáltatás közvetítésére irányuló szolgáltatásnyújtásával kapcsolatos adatkezelés

11.1 Az Adatkezelő ügyfeleinek személyes adatait a szolgáltatásának megfelelő és kifogástalan minőségben történő nyújtása, az ügyfél érintettel való kapcsolattartás, valamint az ügyfél érintettel kötött szerződés teljesítése céljából történik.

11.1.1 Az Adatkezelő ügyfeleinek alábbi adatai kezelhetőek:

a) név;

b) e-mail cím;

c) telefonszám;

d) kívánt hitelcél;

e) kívánt hitelösszeg;

f) az értintett családjának havi jövedelme;

g) az érintett életkora;

h) az érintett gyermekeinek száma;

i) az érintett meglévő hiteltörlesztései.

11.1.2 Az ügyfeleknek történő szolgáltatásnyújtással kapcsolatos adatkezelés során jellemzően az alábbi jogalapok kerülnek meghatározásra:

a) szerződésen alapuló [az Adatkezelő szolgáltatásainak igénybevételére szolgáló szerződés];

11.1.3 Az ügyfelek személyes adatait az Adatkezelő a pénzügyi szolgáltatás közvetítését követő, ennek hiányában az ügyfél érintettel történt utolsó kapcsolatfelvételt követő legfeljebb 6 hónapig kezeli.

11.1.4 Az ügyfél személyes adatainak hozzájárulásán alapuló adatkezelés esetén az adatkezelés legkésőbb az ügyfél hozzájárulásának visszavonásáig (törlési kérelméig) tart, kivéve, ha az adatkezelés vonatkozásában más jogalap (az ügyféllel kötött szerződés teljesítése) a hozzájárulás visszavonását követően is fennáll.

12 Munkaviszonnyal összefüggő adatkezelés

12.1 Az Adatkezelő az általa kiírt álláspályázatban az elérhetőség megjelölésével hivatkozik az „Adatkezelési Tájékoztatóra”. Amennyiben az Adatkezelő nem elektronikus úton tette elérhetővé az „Adatkezelési Tájékoztatót”, úgy a 8.4.1 és 8.4.2 pontban meghatározott információkat és vonatkozó rendelkezéseket az álláspályázatba foglalja.

12.1.1 Amennyiben az Adatkezelő az álláspályázat az állás betöltését követően is tárolni kívánja az álláspályázó által beadott iratokat, úgy ehhez az álláspályázó hozzájárulását kell kérni. A hozzájárulásnak önkéntesnek, konkrétnak, megfelelő tájékoztatáson alapulónak és egyértelműnek kell lennie. Ennek érdekben a hozzájáruló nyilatkozatnak legalább az alábbiakat kell tartalmaznia:

a) Az Adatkezelő képviselőjének kiléte és elérhetőségei;

b) a személyes adatok tervezett kezelésének célja (pl. későbbi megkeresés újonnan megnyílt pozíció betöltésére), valamint az adatkezelés jogalapja (hozzájáruláson alapuló);

c) a személyes adatok tárolásának időtartama;

d) a személyes adatok címzettjei, illetve a címzettek kategóriái;

e) adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat

f) az érintett azon joga, hogy kérelmezheti Az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását;

g) az érintett azon joga, hogy bármely időpontban visszavonhatja a hozzájárulását, amely azonban nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

h) a Hatósághoz címzett panasz benyújtásának jogáról,

i) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

12.1.2 A pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak – kérésére – 90 napon belül vissza kell küldeni, vagy a pályázónak a személyes adatai további pályázatok során történő felhasználására vonatkozó hozzájárulása hiányában meg kell semmisíteni. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni.

12.2 Az Adatkezelő a munkavállalók adatait a Mt. vonatkozó rendelkezései alapján kezeli és az Mt.-ben meghatározott módon tájékoztatja, a GDPR-ban foglalt adatkezelési alapelvek betartása mellett.

12.2.1 Az Adatkezelő a munkavállalóknak tájékoztatást ad az általa igénybe vett adatfeldolgozókkal kapcsolatban azok kilétéről és a számukra továbbított adatok köréről.

12.2.2 A munkaviszonyban történő adatkezelés során jellemzően az alábbi jogalapok kerülnek meghatározásra:

a) szerződésen alapuló [a munkaszerződés]

b) jogi kötelezettségen alapuló [például adózás, tartásdíj levonás]

c) jogos érdeken alapuló [például munkahelyi ellenőrzéssel kapcsolatos adatok] adatkezelés.

12.2.3 Az Adatkezelő a fenti jogalapok alapján a munkaviszony létesítésével és fennállásával kapcsolatban az alábbi személyes adatokat kezelheti

a) a munkavállaló neve,

b) születési neve,

c) születési helye, ideje,

d) állampolgársága,

e) édesanyja születési neve,

f) lakcíme, tartózkodási helye,

g) adóazonosító jele,

h) TAJ száma,

i) telefonszáma,

j) elektronikus elérhetősége,

k) bankszámla száma, ahova az érintettet megillető munkabér utalásra kerül,

l) a munkaviszony kezdete és vége.

12.2.4 Amennyiben az adatkezelő 12.2.2. c) pont alapján kezel adatot, úgy a GDPR rendelkezéseinek megfelelően ez esetben szükséges az alábbi érdekmérlegelési tesztet elvégezni:

a) Az Adatkezelő jogos érdekének megnevezése

b) kik az érintettek és milyen jogai sérülnek

c) érdekmérlegelés

d) milyen intézkedéseket, garanciákat alkalmaz Az Adatkezelő az így gyűjtött személyes adatok megfelelő védelme érdekében.

12.2.5 Az adott személyes adat körének kezelésére vonatkozóan elvégzett érdekmérlegelési teszt(ek)et a munkavállalók számára hozzáférhetővé kell tenni [például belső hálózat útján, munkaszerződés mellékleteként].

13 Az adatfeldolgozó igénybevételére vonatkozó rendelkezés

13.1 Ha az adatkezelést az Adatkezelő nevében más, az Adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

13.2 Az adatfeldolgozó az Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.

13.3 Az adatfeldolgozó által végzett adatkezelés vonatkozásában az Adatkezelő és az adatfeldolgozó szerződést kötnek. Ezen szerződés az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az Adatkezelő kötelezettségeit és jogait határozza meg.

13.4 Az előző pont szerinti szerződés különösen előírja, hogy az adatfeldolgozó:

a) a személyes adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli,

b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c) alkalmazza a legalább az Adatkezelő által előírt szintű adatbiztonsági intézkedéseket;

d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan fentebb említett feltételeket;

e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

f) segíti Az Adatkezelőt az adatvédelmi incidens szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g) vállalja, hogy a nála bekövetkező adatvédelmi incidens esetén haladéktalanul tájékoztatja erről Az Adatkezelőt;

h) az adatkezelési szolgáltatás nyújtásának befejezését követően Az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat Az Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő.

13.5 Az adatfeldolgozó és a nála személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag Az Adatkezelő utasításának megfelelően kezelheti.

14 ADATOK TOVÁBBÍTÁSA ÉS AZ ADATOK TOVÁBBÍTÁSÁNAK Nyilvántartása

14.1 Az Adatkezelő adatkezelésén belül személyes adatok továbbítása csak a célhoz kötöttség elvének megfelelően történhet, olyan harmadik személyhez, aki hozzáférési joggal rendelkezik az adatokhoz. Hozzáférési jogosultsággal rendelkeznek az Adatkezelő munkavállalói, vezető tisztségviselői, az adatfeldolgozásban részt vevő vagy egyéb alkalmazottai, valamint az érintett hozzájárulása esetén az Adatkezelő partnerei.

14.2 Személyes adatot továbbítani harmadik fél részére csak jogszabályban foglalt esetekben vagy az érintett hozzájárulásával lehet, amennyiben az adatkezelés feltételei és garanciái minden egyes személyes adatra nézve teljesülnek. Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.

14.3 Az Adatkezelő csak akkor továbbíthatja az adatot, ha megvizsgálta, hogy annak jogszabályban foglalt feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei és garanciái minden egyes személyes adatra megvalósulnak-e.

14.4 Jelen pont rendelkezéseit kell alkalmazni az adatkezelések valamint nyilvántartások összekapcsolása, ideértve az ugyanazon adatkezelő adatkezeléseinek valamint nyilvántartásainak összekapcsolása esetén is.

14.5 Az adattovábbításról az Adatkezelő adattovábbítási nyilvántartást vezet. Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) meg kell őrizni.

14.6 Az adattovábbítási nyilvántartás az alábbi információkat tartalmazza:

a) az adattovábbító által kezelt/gyűjtött személyes adatok továbbításának időpontját,

b) a továbbított adatköröket,

c) az adattovábbítás jogalapját

d) az adattovábbítás címzettjét (név, cím, székhely),

e) az adattovábbításért felelős nevét és telefonszámát.

14.7 Külföldre vagy nemzetközi szervezet számára történő adattovábbítást megelőzően az Adatkezelőnek meg kell vizsgálnia, hogy a külföldre vagy nemzetközi szervezet számára adattovábbítás jogszabályban foglalt feltételei és garanciái fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.

14.8 Az EGT-államba (Európai Gazdasági Térségbe tartozó állam) irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

14.9 Az Adatkezelő a munkavállalókra vonatkozó adatot harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállalók hozzájárulásával közölhet.

14.10 A harmadik országban honos adatkezelő vagy adatfeldolgozó részére történő adattovábbításra csak a GDPR 45. cikke szerint (a Bizottság megfelelőségi határozata alapján) vagy a 46. cikke szerint (megfelelő garanciák alapján) kerülhet sor.

14.10.1 Az Unió egészére kiterjedő hatállyal az Európai Bizottság dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújt.

14.10.2 A 14. 10.1 pontban meghatározott bizottsági határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

14.10.3 A GDPR 46. cikk (2) bekezdése alapján, a felügyeleti hatóság külön engedélye nélkül csak az alábbiak tekinthetőek megfelelő garanciákat nyújtó intézkedéseknek:

a) közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;

b) a GDPR 47. cikke szerinti kötelező erejű vállalati szabályok;

c) az Európai Bizottság által a GDPR 93. cikkének (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;

d) a felügyeleti hatóság által elfogadott és az Európai Bizottság által a GDPR 93. cikkének (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;

e) a GDPR 40. cikk szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy

f) a GDPR 42. cikk szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.