Adatvédelmi szabályzat

Hatályos: 2018. május 25.
Az adatvédelmi szabályzat nyomtatható formában ide kattintva letölthető.

 

TARTALOMJEGYZÉK

 

Felhasznált jogszabályok jegyzéke

Értelmező rendelkezések

ELSŐ RÉSZ

Általános rendelkezések

1. fejezet    A szabályzat célja és hatálya

2. fejezet    Az adatvédelem alapfogalmai és elvei

A személyes adat

Az adatkezelés és az adatfeldolgozás

Az adatkezelés célhoz-kötöttsége és arányossága

3. fejezet    Az adatkezelések szabályai

Az adatkezelés törzskönyve

Az érintett jogai

4. fejezet    Adatközlések

Intézményen belüli adattovábbítás, adatkezelések összekapcsolása

Adattovábbítás megkeresés alapján

Adattokkal kapcsolatos titoktartás

Külföldre irányuló adattovábbítás

Személyes adatok nyilvánosságra hozatala

5. fejezet    Adatbiztonsági rendszabályok

Számítógépen tárolt adatok

Manuális kezelésű adatok

6. fejezet    Ellenőrzés.

Általános ellenőrzés

A Társaság adatvédelmi felelőse

MÁSODIK RÉSZ

Egyes adatkezelések

7. fejezet    Ügyfélnyilvántartás

8. fejezet    Személyzeti nyilvántartás

9. fejezet    Bér- és munkaügyi nyilvántartás

HARMADIK RÉSZ

Vegyes és záró rendelkezések

1.sz. melléklet  Adatkezelés törzskönyve

Felhasznált jogszabályok jegyzéke:

Az alábbi jogszabályok rendelkezéseit kell figyelembe vennie az adatkezelési koncepció és az adatvédelmi szabályzat elkészítése és annak betartása során:

- 2016/679 számú EU rendelet (GDPR)

– 2003. évi XCII. törvény az adózás rendjéről, (az adótitok szabályai miatt)

– 2012. évi I. törvény a munka törvénykönyvéről,

–2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

-2013. évi CCXXXVII. törvény a hitelintézetekről és pénzügyi vállalkozásokról

– 1995. évi LXVI. tv. a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről

– 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről,

– 1995. évi CXXV. törvény a nemzetbiztonsági szolgálatokról (40-42. § a nemzetbiztonsági szolgálatok adatkérései)

– 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről.

– 2017. XC. törvény a büntetőeljárásról

 

 

Értelmező rendelkezések

 E szabályzat alkalmazása során:

 

1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;

 

2. személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;

 

3. különleges (szenzitív) adat:

a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

 

4. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;

 

5. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;

 

6. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;

 

7. hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;

 

8. tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;

 

 

 

9. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;

 

10. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

 

11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

 

12. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

 

13. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;

 

14. adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

 

15. adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

 

16. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;

 

17. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik;

 

18. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;

 

19. adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;

 

20. adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi;

 

21. adatállomány: az egy nyilvántartásban kezelt adatok összessége;

 

22. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;

 

23. EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

 

24. harmadik ország: minden olyan állam, amely nem EGT-állam;

25. kötelező szervezeti szabályozás: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja;

 

26. adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

 

Amennyiben a jelen szabályzatban foglalt forgalmak és a GDPR-ban rögzített fogalmak között értelmezési kérdés merülne fel, úgy a GDPR-ban rögzített fogalmak és értelmezések irányadó.

 

ELSŐ RÉSZ

 

Általános rendelkezések

 

A PK Követeléskezelő Zrt. az Európai Parlament és a Tanács (EU) 2016/679 rendeletében (a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info. törvény) 24. §-ában megállapított feladatkörében eljárva a mai napon az alábbiak szerint állapítja meg a Társaságnál zajló adatkezelés rendjét.

 

Az Adatkezelő adatai

 

Név: PK Követeléskezelő Zrt.

Székhely: 1111 Budapest, Vak Bottyán u. 3. fsz.. 2

Cégjegyzékszám: 01-10-042107

Cégbejegyzés: Fővárosi Törvényszék, mint Cégbíróság

első adatvédelmi felelős neve: Dr. Tarr Imre                                                                     

Elérhetőségei: 06202566840, tarr.imre@pk-rt.hu

 

 

1. fejezet

A szabályzat célja és hatálya

1.1. E szabályzat célja, hogy meghatározza a PK Követeléskezelő Zrt. által vezetett nyilvántartások működésének törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak, s az adatbiztonság követelményeinek érvényesülését.

1.2. A szabályzat hatálya kiterjed a PK Követeléskezelő Zrt. által folytatott valamennyi személyes adatokat tartalmazó adatkezelésre.

 

2. fejezet

Az adatvédelem elvei

Az adatkezelés célhoz-kötöttsége és arányossága

 

2.1. Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

2.2. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

2.3. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

2.4. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

 

2.5. A személyes adatok kezelését tisztességesnek és törvényesnek kell tekinteni, ha az érintett véleménynyilvánítási szabadságának biztosítása érdekében az érintett véleményét megismerni kívánó személy az érintett lakóhelyén vagy tartózkodási helyén felkeresi, feltéve, hogy az érintett személyes adatait e törvény rendelkezéseinek megfelelően kezelik és a személyes megkeresés nem üzleti célra irányul. A személyes megkeresésre a munka törvénykönyve szerinti munkaszüneti napon nem kerülhet sor.

 

3. fejezet

 Az adatkezelések szabályai

 

3.1. Személyes adat akkor kezelhető, ha

a) ahhoz az érintett hozzájárul, vagy

b) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés),

c) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges,

d) az adatkezelés közérdekű,

e) az adatkezelés az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges.

 

3.2. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

 

Ezen rendelkezés nem alkalmazandó abban az esetben, ha:

 

a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy a fentiekben említett tilalom nem oldható fel az érintett hozzájárulásával;

b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a feltételekre és garanciákra figyelemmel;

i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

j) az adatkezelés a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

 

Ezen különleges (szenzitív) személyes adatokat abban az esetben lehet a fent meghatározott említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

 

3.3. Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.

3.4. Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűncselekmények megelőzésére és üldözésére irányuló, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, valamint a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó nyilvántartásokat.

3.5. Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése

a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy

b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

3.6. Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek.

3.7. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.

3.8. Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

3.9. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában

a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy

b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll

további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

3.10.Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell.

3.11.Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy nyilvánosságra hozatalra általa átadott személyes adatok tekintetében.

3.12.Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

Az adatkezelés törzskönyve

 

3.13.A PK Követeléskezelő Zrt. által létesített minden adatkezelésről törzskönyvet kell vezetni. A törzskönyv első példányát, az adatkezelést, illetve adatfeldolgozást végző alkalmazott vezetője, második példányát a PK Követeléskezelő Zrt. adatvédelmi felelőse őrzi.

3.14.A törzskönyv dokumentálja az adatkezeléssel kapcsolatos legfontosabb tényeket és körülményeket.

Ezek különösen:

-az adatkezelés megnevezése,

-célja, rendeltetése,

-jogszabályi alapja (törvény, PK Követeléskezelő Zrt. szabályzat)

- kezelője (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, irodája és telefonszáma),

- érintettek köre és száma,

- nyilvántartott adatok köre,

- adatok forrása (maga az érintett, vagy más adatkezelés),

- adatfeldolgozás módszere (manuális, számítógépes, vegyes)

- az adatokon végzett gyakori adatkezelési műveletek (tárolás, módosítás, aktualizálás, válogatás, rendszerezés, stb.)

- adattovábbítás (Mely szerv részére? Milyen rendszerességgel?)

- adatbiztonsági intézkedések,

- adatok megőrzésének illetve törlésének ideje.

3.15.A törzskönyv adatainak valódiságát a PK Követeléskezelő Zrt. adatvédelmi felelőse és az illetékes adatkezelő évente felülvizsgálja, az időközben történt változásokat átvezeti. Az adatkezelés megszűnése után a törzskönyvet irattári kezelésbe kell venni.

Az érintett jogai

 

3.16.Az érintett kérelmezheti az adatkezelőnél

a) tájékoztatását személyes adatai kezeléséről,

b) személyes adatainak helyesbítését, valamint

c) személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását.

3.17. Az érintett kérelmére az adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

3.18. Az adatkezelő - ha belső adatvédelmi felelőssel rendelkezik, a belső adatvédelmi felelős útján - az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az adatkezelő adatvédelmi incidens esetén indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a Nemzeti Adatvédelmi és Információs Hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

3.19.Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

3.20.A 3.18. és a 3.19. pont szerinti adatok nyilvántartásban való megőrzésére irányuló - és ennek alapján a tájékoztatási - kötelezettség időtartamát az adatkezelést előíró jogszabály korlátozhatja. E korlátozás körében személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb időtartam nem állapítható meg.

3.21.Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.

3.22.A 3.21. pontban foglalt tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

3.23.Az érintett tájékoztatását az adatkezelő csak a GDPR rendelkezése vagy az Info. törvény 9. § (1) bekezdésében, valamint a 19. §-ban meghatározott esetekben tagadhatja meg.

3.24.A tájékoztatás megtagadása esetén az adatkezelő írásban közli az érintettel, hogy a felvilágosítás megtagadására e törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

3.25.Az elutasított kérelmekről az adatkezelő a Hatóságot évente a tárgyévet követő év január 31-éig értesíti.

3.26.Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti.

3.27.A személyes adatot törölni kell, ha

a) kezelése jogellenes;

b) az érintett – a jogszabályi rendelkezésre alapozottan foglaltak szerint - kéri;

c) az hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki;

d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;

e) azt a bíróság vagy a Hatóság elrendelte.

3.28.A 3.27. d) pontjában meghatározott esetben a törlési kötelezettség nem vonatkozik azon személyes adatra, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni.

3.29.Törlés helyett az adatkezelő zárolja a személyes adatot, ha

  1. az érintett vitatja a személyes adatok pontosságát,
  2. az adatkezelés jogellenes, és az érintett ellenzi azok törlését és ehelyett kéri azok felhasználásának korlátozását,
  3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
  4. az érintett tiltakozott az adatkezelés ellen.

       Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.

3.30.Az adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

3.31. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

3.32.Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

3.33. Az érintettet megilleti a tiltakozás joga,

  1. ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
  2. ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
  3. törvényben meghatározott egyéb esetben.

3.34. Az  érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható, interoperábilis formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az érintett önkéntes hozzájárulását adta, vagy szerződés teljesítéséhez szükséges az adat és az adatkezelés automatizált módon történik. Az érintett ezen joga nem sértheti a törléshez való jogot, valamint nem alkalmazható, ha az adatkezelés közérdekű.

3.35.Az érintettnek a GDPR illetve az Info törvény 14-18. §-ban meghatározott jogait törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából - beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.

 

 

4. fejezet

Adatközlések

 

4.1. Személyes adat harmadik személlyel adattovábbítás, vagy nyilvánosságra hozatal formájában közölhető.

4.2.Adattovábbítás, ha az adatot meghatározott harmadik személy tudomására hozzák. Az adattovábbítás megvalósulhat az adatkezelésbe történő betekintéssel vagy kivonat készítésével is.

4.3.Nyilvánosságra hozatal, ha az adatot bárki számára hozzáférhetővé teszik. (Ptk. alapján Személyhez fűződő jogokat sért, aki üzleti titok birtokába jut, és azt jogosulatlanul nyilvánosságra hozza, vagy azzal egyéb módon visszaél.)

 

 

Intézményen belüli adattovábbítás, adatkezelések összekapcsolása

 

4.4.A PK Követeléskezelő Zrt. szervezeti rendszerén belül az ügyfelek és az alkalmazottak személyes adatai - a feladat elvégzéséhez szükséges mértékben és ideig - csak olyan szervezeti egységhez továbbíthatók, amely a pénzügyi szolgáltatási tevékenységgel és a munkaviszonnyal kapcsolatos adminisztratív és szervezési feladatokat lát el.

4.5.A PK Követeléskezelő Zrt.-n belüli adattovábbítással kapcsolatos konkrét kérdéseket minden adatkezelés esetében külön kell megállapítani, és az adatkezelés törzskönyvében rögzíteni.

4.6.A PK Követeléskezelő Zrt.-nél folyó, különböző célra irányuló adatkezelések csak törvényes cél érdekében, indokolt esetben, ideiglenesen kapcsolhatók össze.

4.7.Az adatkezelések összekapcsolásával kapcsolatos alábbi tényeket jegyzőkönyvbe kell venni:

az összekapcsolt adatkezelések megnevezése,

az összekapcsolás célja, rendeltetése,

az összekapcsolás időpontja és tartama,

jogszabályi alapja (törvény, PK Követeléskezelő Zrt. szabályzata)

az összekapcsolást végző személy neve, beosztása, és telefonszáma,

az összekapcsolással érintettek köre és száma,

az összekapcsolt adatok köre,

az összekapcsolás módszere (manuális, számítógépes, vegyes)

adatbiztonsági intézkedések.

4.8.A jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát a PK Követeléskezelő Zrt. adatvédelmi felelőshöz, harmadik példányát pedig a PK Követeléskezelő Zrt. ügyvezetőjéhez kell továbbítani. A jegyzőkönyvet tíz évig kell megőrizni.

A banktitok

4.9. Banktitok minden olyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik.

       A banktitokra vonatkozó rendelkezései szempontjából a pénzügyi intézmény ügyfelének tekintendő mindenki, aki (amely) a pénzügyi intézménytől pénzügyi szolgáltatást vesz igénybe. A banktitokra vonatkozó szabályokat alkalmazni kell arra a személyre is, aki szolgáltatás igénybevétele céljából lép kapcsolatba a pénzügyi intézménnyel, de a szolgáltatást nem veszi igénybe.

       A banktitokra vonatkozó rendelkezéseket a közvetítő ügyfelének adataira is megfelelően alkalmazni kell.

4.10.Banktitok csak akkor adható ki harmadik személynek, ha

a) a pénzügyi intézmény ügyfele, annak törvényes képviselője a rá vonatkozó kiszolgáltatható banktitok-kört pontosan megjelölve közokiratba vagy teljes bizonyító erejű magánokiratba foglaltan kéri vagy erre felhatalmazást ad; nem szükséges a közokiratba, teljes bizonyító erejű magánokiratba foglalás, ha az ügyfél ezt az írásbeli nyilatkozatát a pénzügyi intézménnyel történő szerződéskötés keretében - ideértve a fizetési számla váltásának kezdeményezését is - nyújtja,

b) e törvény a banktitok megtartásának kötelezettsége alól felmentést ad,

c) a pénzügyi intézmény érdeke ezt az ügyféllel szemben fennálló követelése eladásához vagy lejárt követelése érvényesítéséhez szükségessé teszi,

d) a pénzügyi intézmény által megbízott tanúsító szervezet és alvállalkozója ezt a tanúsítási eljárás lefolytatása keretében ismeri meg.

4.11. A 4.10. b) pontjában foglaltak alapján a banktitok megtartásának kötelezettsége nem áll fenn:

a) a feladatkörében eljáró MNB-vel, OBA-val, betét- és intézményvédelmi alappal, a Szhitv. alapján a szövetkezeti hitelintézeti integráció feladatkörében eljáró központi bankjával, kötelező intézményvédelmi szervezettel, valamint az Állami Számvevőszékkel, Gazdasági Versenyhivatallal, a Pénzügyi Békéltető Testülettel, az önkéntes intézményvédelmi és betétbiztosítási alapokkal, az európai támogatások felhasználásának szabályszerűségét ellenőrző Európai Csalásellenes Hivatallal (OLAF),

b) a hagyatéki ügyben eljáró közjegyzővel és jegyzővel, valamint a feladatkörében eljáró gyámhatósággal,

c) a csődeljárás, felszámolási eljárás, önkormányzati adósságrendezési eljárás, illetve végelszámolás ügyében eljáró vagyonfelügyelővel, felszámolóval, pénzügyi gondnokkal, illetve végelszámolóval,

d) a folyamatban lévő büntetőeljárás keretében eljáró, valamint a feljelentés kiegészítését végző nyomozó hatósággal, ügyészséggel,

e) a büntető-, valamint polgári ügyben, a csőd-, illetve felszámolási eljárás, továbbá kényszertörlési eljárás, valamint önkormányzati adósságrendezési eljárás keretében a bírósággal,

f) a külön törvényben meghatározott feltételek megléte esetén a titkosszolgálati eszközök alkalmazására, titkos információgyűjtésre felhatalmazott szervvel,

g) a főigazgató eseti engedélye alapján a törvényben meghatározott feladatkörében eljáró nemzetbiztonsági szolgálattal,

h) az adó-, vám- és egészségbiztosítási, nyugdíjbiztosítási igazgatási kötelezettség teljesítésének ellenőrzése, valamint az ilyen tartozást megállapító végrehajtható okirat végrehajtása, továbbá a jogalap nélkül felvett ellátás összegének megtérülése érdekében eljáró adóhatósággal, vámhatósággal, illetve egészségbiztosítási szervvel, nyugdíjbiztosítási igazgatási szervvel,

i) bírósági végrehajtási eljárásban és a bírósági végrehajtó által lefolytatott közigazgatási végrehajtási eljárásban - ideértve a bírósági végrehajtásról szóló 1994. évi LIII. törvény 79/C. § (2) bekezdése alapján a közös számla nem adós tulajdonosának nevére és címére vonatkozó megkeresést is - eljáró végrehajtóval, valamint a bírósági végrehajtási eljárásba a lakáscélú állami támogatásokról szóló kormányrendeletek alapján bekapcsolódni szándékozó lakáscélú állami támogatások ügyében eljáró szervvel,

j) a feladatkörében eljáró alapvető jogok biztosával,

k) a pénzügyi közvetítőrendszer stabilitásáról szóló törvény szerinti feladatkörében eljáró államháztartásért felelős miniszterrel, a pénz-, tőke- és biztosítási piac szabályozásáért felelős miniszterrel és az Európai Unió működéséről szóló szerződés 107. cikk hatálya alá tartozó állami támogatások - az Európai Unió működéséről szóló szerződésben szereplő mezőgazdasági termékek előállításához és kereskedelméhez nyújtott támogatások és az Európai Mezőgazdasági Vidékfejlesztési Alapból nyújtott támogatások, valamint jogszabályban más miniszter feladatkörébe utalt támogatások kivételével - versenyszempontú ellenőrzésének hazai koordinálásáért felelős miniszterrel,

l) a lakáscélú támogatások igénybevételének és felhasználásának jogszerűsége céljából feladatkörében ellenőrzést végző lakáscélú állami támogatások ügyében eljáró szervvel, kincstárral, lakásgazdálkodásért és lakáspolitikáért felelős miniszterrel, valamint pénz-, tőke- és biztosítási piac szabályozásáért felelős miniszterrel, továbbá a jogalap nélkül felvett fogyatékossági támogatás összegének megtérülése érdekében eljáró lakáscélú állami támogatások ügyében eljáró szervvel,

m) a feladatkörében eljáró Nemzeti Adatvédelmi és Információszabadság Hatósággal,

n) a Magyar Könyvvizsgálói Kamara által a pénzügyi intézménynél működő vagy volt könyvvizsgálója ellen indított fegyelmi eljárás keretében a Magyar Könyvvizsgálói Kamarával,

o) a feladatkörében eljáró kormányzati ellenőrzési szervvel,

p) az eltűnt vagy az elfogatóparancs, európai elfogatóparancs, nemzetközi elfogatóparancs hatálya alatt álló személyek felkutatását, továbbá az ismeretlen személy vagy holttest azonosítását végző rendőri szervvel,

q) a természetes személyek adósságrendezési eljárásában eljáró főhitelezővel, Családi Csődvédelmi Szolgálattal, családi vagyonfelügyelővel, bírósággal,

r) a szociális rászorultságtól függő pénzbeli és természetbeni ellátások jogosultsági feltételeinek vizsgálatával összefüggő feladatkörében eljáró, szociális hatáskört gyakorló szervvel,

s) a csődeljárásról és a felszámolási eljárásról szóló törvényben meghatározott felszámoló szervezetek nyilvántartásával és hatósági ellenőrzésével összefüggő feladatai során eljáró, a felszámoló szervezeteket nyilvántartó hatósággal

szemben e szerveknek a pénzügyi intézményhez intézett írásbeli megkeresése esetén.

4.12. A banktitok megtartásának kötelezettsége nem áll fenn abban az esetben sem, ha

a) az adóhatóság és a Felügyelet nemzetközi szerződés, illetve együttműködési megállapodás alapján, külföldi hatóság írásbeli megkeresésének teljesítése érdekében írásban kér adatot a pénzügyi intézménytől, ha a megkeresés tartalmazza a külföldi hatóság által aláírt titoktartási záradékot,

b) a hitelintézet az adózás rendjéről szóló törvény alapján szolgáltat adatot,

c) a pénzügyi intézmény a hitelszerződésből eredő kötelezettségeiknek eleget tenni nem tudó természetes személyek lakhatásának biztosításáról szóló 2011. évi CLXX. törvény 13. § (1) bekezdése alapján szolgáltat adatot,

d) a pénzügyi intézmény az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény meghatározott bejelentési kötelezettségének tesz eleget,

e) a pénzügyi intézmény a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvényben (a továbbiakban: Pmt.) meghatározott bejelentési kötelezettségét teljesíti,

f) a magyar bűnüldöző szerv nemzetközi kötelezettségvállalás alapján külföldi bűnüldöző szerv írásbeli megkeresésének teljesítése céljából - harmadik ország bűnüldöző szerve esetén, ha a megkeresés tartalmazza a harmadik országbeli adatkérő által aláírt titoktartási záradékot - írásban kér banktitoknak minősülő adatot a pénzügyi intézménytől, vagy

g) a pénzügyi információs egységként működő hatóság a Pmt.-ben meghatározott feladatkörében eljárva vagy külföldi pénzügyi információs egység írásbeli megkeresésének teljesítése céljából - harmadik ország pénzügyi információs egysége esetén, ha a megkeresés tartalmazza a harmadik országbeli adatkérő által aláírt titoktartási záradékot - írásban kér banktitoknak minősülő adatot a pénzügyi intézménytől.

4.13. Az írásbeli megkeresésben meg kell jelölni azt az ügyfelet, akiről vagy amelyről a 4.11. pontban megjelölt szerv vagy hatóság a banktitok kiadását kéri, valamint a kért adatok fajtáját és az adatkérés célját, kivéve, ha a feladatkörében eljáró Felügyelet helyszíni ellenőrzést folytat.

       Ha törvény másként nem rendelkezik, akkor a 4.11. pontban meghatározott esetben a pénzügyi intézmény a nyomozó hatóság és az ügyészség írásbeli megkeresésére tizenöt munkanapon belül, a nemzetbiztonsági szolgálat írásbeli megkeresésére kettő munkanapon belül szolgáltatja a kért adatot.

4.14.Nem kell a 4.12. szerinti adatokat az írásbeli megkeresésében megjelölni, ha a Gazdasági Versenyhivatal előzetes értesítés nélkül helyszíni szemlét vagy helyszíni kutatást tart. Ezekben az esetekben a Gazdasági Versenyhivatal megkeresését a helyszínen közli.

4.15.Az adatkérésre jogosult a rendelkezésére bocsátott adatokat kizárólag arra a célra használhatja fel, amelyet az adatkéréskor megjelölt.

4.16.A pénzügyi intézmény a Hpt. 162. § (1)-(3) bekezdésben, valamint az 162. §-ban foglalt esetekben az adatok kiszolgáltatását - titoktartási kötelezettségére hivatkozva - nem tagadhatja meg.

       Az MNB jogszabályban, a pénzügyi intézmény számára előírt adatszolgáltatás során is jogosult banktitokhoz jutni.

       Az adóhatóság a FATCA-törvényből, valamint a pénzügyi számlákkal kapcsolatos egyéb adatszolgáltatási kötelezettség teljesítése céljából az Aktv. 43/B. és 43/C., továbbá 43/H. §-a szerinti adatszolgáltatás során is jogosult banktitokhoz jutni.

4.17.A pénzügyi intézmény a nyomozó hatóság, a nemzetbiztonsági szolgálat és az ügyészség írásbeli megkeresésére haladéktalanul, de legkésőbb kettő munkanapon belül kiszolgáltatja a kért adatot az általa lebonyolított ügyletről, ha adat merül fel arra, hogy az ügylet

a) kábítószerrel visszaéléssel, kábítószer-kereskedelemmel, kábítószer birtoklásával, kóros szenvedélykeltéssel, kábítószer készítésének elősegítésével vagy új pszichoaktív anyaggal visszaéléssel,

b) terrorcselekménnyel, terrorcselekmény feljelentésének elmulasztásával, terrorizmus finanszírozásával,

c) robbanóanyaggal vagy robbantószerrel visszaéléssel

d) lőfegyverrel vagy lőszerrel visszaéléssel

e) pénzmosással

f) bűnszövetségben vagy bűnszervezetben elkövetett bűncselekménnyel,

g) bennfentes kereskedelemmel vagy

h) piacbefolyásolással

van összefüggésben.

4.18.A 4.16. pontban foglalt rendelkezést a rendőrségről szóló törvényben meghatározott terrorizmust elhárító, valamint a belső bűnmegelőzési és bűnfelderítési feladatokat ellátó szervre a hatáskörükbe tartozó bűncselekményekkel összefüggő adatok tekintetében kell alkalmazni.

4.18. A pénzügyi intézmény a megkeresések teljesítése során a minősített adat védelméről szóló törvényben és egyéb, a minősített adat kezelésére vonatkozó jogszabályokban előírt követelmények betartásával jár el.

       Ha a pénzügyi intézmény a nyomozó hatóság, a nemzetbiztonsági szolgálat vagy az ügyészség írásbeli megkeresésére határidőn belül az adatszolgáltatást nem teljesíti és a mulasztását a megkereső szerv felé írásban sem menti ki, a megkereső szerv erről tájékoztatja a Felügyeletet.

4.20. A Hpt. 161. § (2) bekezdés d), f), g) és o) pontja, a 161. § (3) bekezdés e)-g) pontja, a 162. §, valamint az 164. § p) pontja alapján történő adatátadásról a pénzügyi intézmény az érintett ügyfelet nem tájékoztathatja.

4.21.Az adatkérő a 4.19. pontban említett esetek kivételével az ügyfelet az adatkérésről tájékoztatja.

4.22.Nem jelenti a banktitok sérelmét

a) az olyan összesített adatok szolgáltatása, amelyből az egyes ügyfelek személye vagy üzleti adata nem állapítható meg,

b) a Hpt. 3. § (1) bekezdés b)-g) és l) pontjában foglalt tevékenységek legalább egyikét végző pénzügyi intézmény, valamint a kizárólag garanciavállalással, készfizető kezesség vállalásával foglalkozó jogi személy részéről a központi hitelinformációs rendszerről szóló törvényben meghatározott központi hitelinformációs rendszerbe, illetve e rendszerből a törvényben meghatározott referenciaadat-szolgáltató részére nyújtott referenciaadat-szolgáltatás,

c) a pénzügyi intézmény által felhatalmazott könyvvizsgálónak, a megbízott vagyonellenőrnek, jogi vagy egyéb szakértőnek, valamint a pénzügyi intézmény részére biztosítási fedezetet nyújtó biztosítónak a biztosítási szerződés teljesítéséhez szükséges mértékben történő adatátadás,

d) a pénzügyi intézmény igazgatóságának írásbeli hozzájárulásával a pénzügyi intézményben befolyásoló részesedéssel rendelkező tagnak vagy az ilyen befolyást szerezni kívánó személy (társaság), az üzletág átvételét tervező társaság, illetve az ilyen tag vagy esetleges jövőbeni tag által felhatalmazott könyvvizsgálónak, jogi vagy más szakértőnek történő, valamint a Hpt. 17. és 17/A. § szerinti állományátruházáshoz kapcsolódóan az átadó és az átvevő pénzügyi intézmény közötti adatátadás,

e) az MNB által - a banktitokra vonatkozó szabályok betartásával - a hitelintézetekről egyedi azonosításra alkalmas adatok szolgáltatása

ea) statisztikai célra a Központi Statisztikai Hivatal

eb) a nemzetgazdasági folyamatok elemzése, illetve a központi költségvetés tervezése céljából az államháztartásért felelős miniszter

részére,

f) a pénzügyi intézmény által a külföldi pénzügyi intézmény számára történő adattovábbítás, abban az esetben, ha a pénzügyi intézmény ügyfele (adatalany) ahhoz írásban hozzájárult és a külföldi pénzügyi intézménynél (adatkezelőnél) a magyar jogszabályok által támasztott követelményeket kielégítő adatkezelés feltételei minden egyes adatra nézve teljesülnek, valamint a külföldi pénzügyi intézmény székhelye szerinti állam rendelkezik a magyar jogszabályok által támasztott követelményeket kielégítő adatvédelmi jogszabállyal,

g) a külföldi pénzügyi intézmény székhelye szerinti illetékes felügyeleti hatóság számára a felügyeleti tevékenységéhez szükséges, és a külföldi felügyeleti hatóság és a Felügyelet között együttműködési megállapodásban rögzített módon történő adattovábbítás, ha a megállapodás tartalmazza az adatok bizalmas kezelésére, felhasználására vonatkozó rendelkezést, továbbá a Felügyelet hozzájárulását a külföldi felügyeleti hatóságnak átadott adatok külföldi illetékes bűnüldöző szervnek történő továbbításához,

h) a pénzügyi intézmény által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző és az általa igénybe vett közreműködő részére,

i) az összevont alapú felügyeleti megfelelés vonatkozásában történő, valamint a pénzügyi konglomerátumok kiegészítő felügyeletéről szóló törvényben foglalt rendelkezések teljesítése érdekében történő adatátadás,

j) a Felügyelet által a hitelintézetekről egyedi azonosításra alkalmas adatok szolgáltatása a feladatkörében eljáró Gazdasági Versenyhivatal részére,

k) az OBA által a 161. § (2) bekezdés a), b), d), e) és h) pontjai alapján, az e szervezeteknek az OBA-hoz intézett írásbeli megkeresésére adott válasz, továbbá a külföldi betétbiztosítási rendszerek, valamint külföldi felügyeleti hatóságok részére együttműködési megállapodásban rögzített módon történő adattovábbítás, ha az adatok kezelésére, illetve felhasználására vonatkozóan a magyar szabályozással legalább egyenrangú védelem biztosított,

l) a pénzügyi intézmény által vállalt kockázat fedezetét nyújtó harmadik személy részére, a kockázatvállalás alapján fennálló követelés összegére és esedékességére vonatkozó adatszolgáltatás,

j) a jegybanki feladatkörében eljáró MNB részére, írásbeli megkeresés alapján az MNB tv. 4. § (1)-(7) bekezdésében meghatározott alapvető feladatai teljesítése érdekében végrehajtott műveletei biztosítékául szolgáló hitelkövetelésekre vonatkozó adatátadás,

m) a pénzügyi intézmény által a pénzügyi intézménnyel szerződéses kapcsolatban levő közvetítő részére a közvetítő által közvetített pénzügyi szolgáltatásra vonatkozó szerződés teljesítéséhez kapcsolódó adatszolgáltatás,

n) a Felügyelet által a Hpt. 176. § (7) bekezdése szerinti válsághelyzetben az EGT-állam központi bankjainak vagy az Európai Központi Banknak történő adattovábbítás, ha az adatok törvény által előírt feladatuk teljesítéséhez szükségesek,

o) a pénzügyi intézmény ügyfele által nyilvánosságra hozott állítással összefüggésben a pénzügyi intézmény részéről a közte és ügyfele közötti jogviszonyra vonatkozó, a nyilvánosság előtti válaszadáshoz szükséges mértékben történő adatközlés,

p) a jegybanki feladatkörében eljáró MNB által alapvető feladatai ellátása érdekében a jegybanki információs rendszerben rendelkezésre álló adatoknak egyedi azonosításra alkalmas módon való átadása a Központi Bankok Európai Rendszere és annak tagjai számára, azok kérelme alapján, az Európai Unió működéséről szóló szerződésből eredő vagy központi banki feladataik teljesítéséhez szükséges mértékben,

q) a központi szerződő fél, valamint a központi értéktári tevékenység végzésének érdekében szükséges, a központi értéktár és a központi szerződő fél közötti adattovábbítás,

r) ha a pénzügyi intézmény a Ptk. 6:418. §-ában meghatározott kötelezettségét teljesíti,

s) a szanálási feladatkörében eljáró MNB által a Szantv. szerinti független és ideiglenes értékelőnek - valamint az értékelésben közreműködőnek - az értékelés elkészítése érdekében, a vagyonértékesítés alkalmazása során a lehetséges ajánlattevőknek, továbbá a vagyonértékesítés alkalmazása során az áthidaló intézménynek nem minősülő átvevőnek való adat- és információátadás,

t) az elhalálozott által felvett és még vissza nem fizetett kölcsönhöz és le nem járt pénzügyi lízinghez kapcsolódóan a fennálló tartozás összegéről, a lejárt tartozás összegéről, az esedékes havi törlesztőrészletről, azon számlaszámról, amelyre a törlesztőrészletet fizetni kell (hitelszámla száma), valamint a hátralévő futamidőről az örökhagyó közeli hozzátartozója részére - annak írásbeli kérelmére - történő adatszolgáltatás a hagyatéki eljárás jogerős lezárásáról történő tudomásszerzés napjáig,

x) a Felügyelet MNB tv. 57. § (1) bekezdés c) pontjában, illetve 140. § (2) bekezdésében foglalt adattovábbítása.

164/A. §176 Nem jelenti a banktitok sérelmét a hitelintézet által jelzálog-hitelintézet részére történő adatátadás abban az esetben, ha az adatátadás jelzáloglevéllel történő refinanszírozás keretében

a) a jelzálog-hitelintézet fedezet-nyilvántartásához,

b) az 575/2013/EU rendelet 125. cikk (2) bekezdésében, 199. cikk (2) bekezdésében, 208. cikk (5) bekezdésében, valamint 402. cikk (3) bekezdésében foglalt feltételek teljesülésének igazolásához, vagy

c) a jelzálog-hitelintézetről és a jelzáloglevélről szóló törvényben meghatározott törvényi engedményezéskor ellátandó feladatokra történő felkészüléshez

Az üzleti titok

4.22. Üzleti titok a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli.

4.23.A pénzügyi intézmény és a pénzügyi, kiegészítő pénzügyi szolgáltatást nyújtó - pénzügyi intézménynek nem minősülő - vállalkozás (ideértve a közvetítőt is) tulajdonosa, a pénzügyi intézményben befolyásoló részesedést szerezni kívánó személy, a vezető állású személy, valamint a pénzügyi intézmény és a pénzügyi, kiegészítő pénzügyi szolgáltatást nyújtó - pénzügyi intézménynek nem minősülő - vállalkozás alkalmazottja köteles a pénzügyi intézmény működésével kapcsolatban tudomására jutott üzleti titkot - időbeli korlátozás nélkül - megtartani.

4.24.A titoktartási kötelezettség nem áll fenn a feladatkörében eljáró

a) MNB-vel

b) OBA-val, betét- és intézményvédelmi alappal, a Szhitv. alapján a szövetkezeti hitelintézeti integráció feladatkörében eljáró központi bankjával és az ugyanezen törvényben leírt kötelező intézményvédelmi szervezettel,

c) nemzetbiztonsági szolgálattal,

d) Állami Számvevőszékkel,

e) Gazdasági Versenyhivatallal,

f) kormányzati ellenőrzési szervvel,

g) vagyonellenőrrel,

h) a rendőrségről szóló törvényben meghatározott terrorizmust elhárító, valamint a belső bűnmegelőzési és bűnfelderítési feladatokat ellátó szervvel szemben.

4.25.A titoktartási kötelezettség az eljárás alapját képező ügyre vonatkozóan nem áll fenn a feladatkörében eljáró

a) nyomozó hatósággal, ügyészséggel szemben a folyamatban lévő büntetőeljárás, valamint a feljelentés kiegészítése keretében,

b) a büntető-, valamint hagyatékkal kapcsolatos polgári ügyben, továbbá a csőd-, illetve felszámolási eljárás, valamint önkormányzati adósságrendezési eljárás keretében a bírósággal szemben,

c) a törvényben meghatározott feltételek megléte esetén a titkosszolgálati eszközök alkalmazására, titkos információgyűjtésre felhatalmazott szervvel szemben.

4.26.A pénzügyi intézmény a nyomozó hatóságot, a rendőrségről szóló törvényben meghatározott terrorizmust elhárító, valamint a belső bűnmegelőzési és bűnfelderítési feladatokat ellátó szervet a „halaszthatatlan intézkedés” jelzéssel ellátott, önálló jogszabályban előírt ügyészi jóváhagyást nélkülöző megkeresésére is köteles tájékoztatni az általa kezelt, az adott üggyel összefüggő, üzleti titoknak minősülő adatokról.

4.27.Nem jelenti az üzleti titok sérelmét az MNB által a hitelintézetekről egyedi azonosításra alkalmas adatok szolgáltatása

a) a nemzetgazdasági folyamatok elemzése, illetve a központi költségvetés tervezése céljából, vagy

b) ha olyan helyzet áll elő, amely potenciálisan veszélyezteti a pénzügyi közvetítőrendszer stabilitását

az államháztartásért felelős miniszter és a pénz-, tőke- és biztosítási piac szabályozásáért felelős miniszter részére.

(7) Nem jelenti az üzleti titok sérelmét a Felügyelet MNB tv. 57. § (1) bekezdés c) pontjában, illetve 140. § (2) bekezdésében foglalt adattovábbítása.

4.28. Nem jelenti az üzleti titok sérelmét, ha a pénzügyi intézmény a Magyarország Kormánya és az Amerikai Egyesült Államok Kormánya között a nemzetközi adóügyi megfelelés előmozdításáról és a FATCA szabályozás végrehajtásáról szóló Megállapodás kihirdetéséről, valamint az ezzel összefüggő egyes törvények módosításáról szóló 2014. évi XIX. törvényből (a továbbiakban: FATCA-törvény) fakadó kötelezettségek teljesítése érdekében az adó- és egyéb közterhekkel kapcsolatos nemzetközi közigazgatási együttműködés egyes szabályairól szóló 2013. évi XXXVII. törvény (a továbbiakban: Aktv.) 43/B-43/C. §-a szerinti adatszolgáltatási kötelezettséget teljesíti az adóhatóság felé.

       Nem jelenti az üzleti titok sérelmét, ha a pénzügyi intézmény az Aktv. 43/H. §-a szerinti adatszolgáltatási kötelezettséget teljesíti az adóhatóság felé.

       Nem jelenti az üzleti titok sérelmét a szanálási feladatkörében eljáró Magyar Nemzeti Bank (a továbbiakban: szanálási feladatkörében eljáró MNB) által a pénzügyi közvetítő rendszer egyes szereplőinek biztonságát erősítő intézményrendszer továbbfejlesztéséről szóló törvény szerinti szanálási biztosnak a szanálási biztosi feladatok ellátása érdekében, valamint a független értékelőnek vagy az ideiglenes értékelésben közreműködőnek az értékelés elkészítése érdekében, a vagyonértékesítés alkalmazása során adatok, információk átadása a lehetséges ajánlattevőknek, valamint a vagyonértékesítés alkalmazása során az áthidaló intézménynek nem minősülő átvevőnek való adat- és információátadás.

 

Adattokkal kapcsolatos titoktartás

 

4.29. Aki üzleti vagy banktitok birtokába jut, köteles azt időbeli korlátozás nélkül megtartani.

         A titoktartási kötelezettség alapján az üzleti vagy a banktitok körébe tartozó tény, információ, megoldás vagy adat, az e törvényben meghatározott kivétellel a pénzügyi intézmény, illetve az ügyfél felhatalmazása nélkül nem adható ki harmadik személynek, és feladatkörön kívül nem használható fel.

         Aki üzleti titok vagy banktitok birtokába jut, nem használhatja fel arra, hogy annak révén saját maga vagy más személy részére közvetlen vagy közvetett módon előnyt szerezzen, továbbá, hogy a pénzügyi intézménynek vagy az intézmény ügyfeleinek hátrányt okozzon.

4.30. A PK Követeléskezelő Zrt. jogutód nélküli megszűnése esetén a PK Követeléskezelő Zrt. által kezelt üzleti vagy banktitkot tartalmazó irat a keletkezésétől számított hatvan év múlva a levéltári kutatások céljára felhasználható.

4.31. A fizetési rendszert működtető pénzügyi vállalkozás a pénzforgalmi szolgáltató és az ügyfél közötti pénzforgalmi szolgáltatási keretszerződés szerint rendelkezésére álló, személyes adatnak minősülő banktitkot, fizetési titkot legfeljebb a fizetési műveletből eredő követelés elévüléséig jogosult kezelni a fizetéssel kapcsolatos csalások, valamint a készpénz-helyettesítő fizetési eszközzel történő visszaélések megelőzése, vizsgálata és felderítés céljából.

4.32. Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén.

         A pénzügyi intézmény köteles törölni minden olyan, ügyfeleivel, volt ügyfeleivel vagy létre nem jött szerződéssel kapcsolatos személyes adatot, amelynek kezelése esetében az adatkezelési cél megszűnt vagy amelynek kezeléséhez az érintett hozzájárulása nem áll rendelkezésre, illetve amelynek kezeléséhez nincs törvényi jogalap.

         A pénzügyi intézmény a létre nem jött szolgáltatási szerződéssel kapcsolatos banktitkot képező ügyféladatokat, személyes adatokat addig kezelheti, ameddig a szerződés létrejöttének meghiúsulásával kapcsolatban igény érvényesíthető.

         Az igényérvényesítés szempontjából - törvény eltérő rendelkezése hiányában - a Ptk.-ban meghatározott általános elévülési idő az irányadó.

4.33. A hitelintézetek jogosultak akár közvetlenül, akár érdek-képviseleti vagy egyéb szervezet közreműködésével - az általuk kezelt, üzleti titoknak minősülő, személyes adatokat nem tartalmazó adatok felhasználásával - olyan összesített adatokat tartalmazó adatbázis létrehozására és működtetésére, amelynek célja az egyes pénzügyi vagy kiegészítő pénzügyi szolgáltatások tekintetében - az igények, illetve a vállalt kockázatok pontosabb felmérésének biztosításával - a fogyasztók hatékonyabb kiszolgálásának javítása, az ilyen szolgáltatások fejlődésének előmozdítása, versenyképesség javítása, feltéve, ha az adatbázis létrehozása és működtetése

a) e célok eléréséhez szükséges mértéket nem haladja meg,

b) nem teszi lehetővé a hitelintézetek szolgáltatásai közötti verseny megakadályozását vagy korlátozását, vagy hogy ilyen hatást fejtsen ki és

c) nem eredményezhet egyes hitelintézet-specifikus adatok más hitelintézetek általi felhasználását.

4.34. Az adatbázisból származó adatok felhasználása során a hitelintézetek a saját döntéseiknek megfelelően, szabadon és önállóan - más piaci szereplőtől függetlenül - hozzák meg üzleti döntéseiket.

 

Külföldre irányuló adattovábbítás

 

4.35. Személyes adatot e törvény hatálya alá tartozó adatkezelő vagy adatfeldolgozó harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adhat át, ha

a) ahhoz az érintett kifejezetten hozzájárult, vagy

b) az adatkezelésnek a GDPR-ban illetve az Info törvény 5. §-ban, illetve a 6. §-ban előírt feltételei teljesülnek, és - a 6. § (2) bekezdésében foglalt esetet kivéve - a harmadik országban az átadott adatok kezelése, valamint feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.

4.36.A személyes adatok megfelelő szintű védelme akkor biztosított, ha

a) az Európai Unió kötelező jogi aktusa azt megállapítja,

b) a harmadik ország és Magyarország között az érintetteknek az Info. törvény 14. §-ban foglalt jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban, vagy

c) az adatkezelés, illetve az adatfeldolgozás kötelező szervezeti szabályozásnak megfelelően történik.

4.37. Személyes adatok a nemzetközi jogsegélyről, az adóügyi információcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzetközi szerződésben meghatározott célból, feltételekkel és adatkörben - a (4.36. pontban meghatározott feltételek hiányában is - továbbíthatók harmadik országba.

4.38.Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

 

Személyes adatok nyilvánosságra hozatala

4.39.Törvény közérdekből - az adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

4.40.Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében.

4.41.Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.

4.42.Az érintett a hozzájárulását az adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

4.43 Ha az érintett fizikai cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben sor kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére.

 

 

5. fejezet

Adatbiztonsági rendszabályok

 

  5.1. Az adatbiztonsági rendszabályok és intézkedések célja az adatok, illetve adathordozók védelme a sérülés, rongálódás, megsemmisülés, valamint az illetéktelen hozzáférés ellen.

         A szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.

 

Számítógépen tárolt adatok

 

  5.2. A számítógépen illetve hálózaton tárolt személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani.

 

1. Tükrözés: A hálózati kiszolgáló gép (a továbbiakban: server) személyes adatokat tartalmazó adathordozóját folyamatosan tükröztetni kell egy tőle fizikailag különböző adathordozón.

2. Biztonsági mentés: A személyes adatokat tartalmazó adatbázisok aktív adataiból rendszeresen - a ügyfél nyilvántartás esetén, a bér- és munkaügyi nyilvántartás, a személyzeti nyilvántartás anyagából havonta - kell külön adathordozóra biztonsági mentést készíteni. A biztonsági mentésttartalmazó adathordozót tűzbiztos fémkazettában kell őrizni.

3. Archiválás: A személyes adatokat tartalmazó adatbázisok passzív hányadát - a további kezelést már nem igénylő, változatlanul maradó adatokat - el kell választani az aktív résztől, majd a passzívált adatokat külön optikai adathordozón - írható CD-n - kell rögzíteni. Az e szabályzat különös részében említett adatkezelések archiválását évente egyszer kell elvégezni. Az archivált adatokat tartalmazó adathordozót tűzbiztos fémkazettában kell őrizni.

4. Tűzvédelem: A servert jól zárható, tűzvédelmi és vagyonvédelmi riasztó berendezésekkel ellátott, légkondicionált helyiségben kell elhelyezni.

5. Áramellátás: A server áramellátását olyan szünetmentes áramforrással kell biztosítani, amely áramszünet esetén a rendszer biztonságos leállításához szükséges ideig zavartalan üzemelést biztosít.

6. Vírusvédelem: A serveren tárrezidens üzemmódú, folyamatosan működő vírusvédő programot (pl: NETSHIELD, NORTON ANTÍVIRUS) kell futtatni. A személyes adatokat kezelő felhasználók asztali számítógépein (a továbbiakban: munkaállomás) hetente kell gondoskodni a vírusmentesítő programok, vírusminta állományának a frissítéséről.

7. Hozzáférésvédelem: A hálózati erőforrásokhoz csak érvényes felhasználói névvel és jelszóval lehet hozzáférni. A jelszavak cseréjéről rendszeresen gondoskodni kell. A rendszergazda jelszavát legalább kéthetente, az ügyintéző felhasználókét, pedig legalább negyven naponként cserélni kell.

 

Manuális kezelésű adatok

 

5.3.A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani.

1. Tűz- és vagyonvédelem: Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi riasztó berendezéssel ellátott helyiségben kell elhelyezni.

2. Hozzáférés-védelem: A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. A személyzeti valamint a bér- és munkaügyi iratokat lemezszekrényben, a ügyfélnyilvántartásokkal kapcsolatos iratokat pedig különálló, zárható helyiségben, zárható iratszekrényekben kell őrizni.

3. Archiválás: Az e szabályzat különös részében említett adatkezelések iratainak archiválását évente egyszer el kell végezni. Az archivált iratokat a PK Követeléskezelő Zrt. iratkezelési és selejtezési szabályzatának, valamint az irattári tervének megfelelően kell szétválogatni, és irattári kezelésbe venni.

 

6. fejezet

 Ellenőrzés

 

Általános ellenőrzés

 

6.1.Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását, az adatkezelést és adatfeldolgozást végző alkalmazottak vezetői folyamatosan ellenőrzik.

       A vezető törvénysértés észlelése esetén haladéktalanul intézkedik annak megszüntetéséről. Különösen súlyos visszaélés esetén az illetékes a PK Követeléskezelő Zrt.-nél fegyelmi eljárás megindítását kezdeményezi a felelősség megállapítására.

 

A PK Követeléskezelő Zrt.

 Adatvédelmi Felelőse

 

 6.2.A PK Követeléskezelő Zrt. vezérigazgatója az irat- és adatkezeléssel kapcsolatos jogszabályok és szabályzatok érvényesítése érdekében a pénzügyi szervezetnél - jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező – belső adatvédelmi felelőst nevez ki, vagy bíz meg a PK Követeléskezelő Zrt. munkatársai közül (PK Követeléskezelő Zrt. Adatvédelmi Felelőse).

 

6.3.A PK Követeléskezelő Zrt. belső adatvédelmi felelőse;

a) közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában,

b) tanácsaival, állásfoglalásaival segíti az adatkezelést és feldolgozást végző szervezeti egységek munkáját,

c) ellenőrzi az Info. törvény, és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását a PK Követeléskezelő Zrt.ben zajló adatkezelés során,

 d) kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;

 e) az Info. törvény végrehajtása érdekében, elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;

 f) vezeti a belső adatvédelmi nyilvántartást;

 g) gondoskodik az adatvédelmi ismeretek oktatásáról;

6.4. Az egyes adatkezelések ellenőrzését szükség szerint, de legalább évente egyszer elvégzi. Az ellenőrzés tapasztalatairól a PK Követeléskezelő Zrt. adatvédelmi felelős írásban tájékoztatja a PK Követeléskezelő Zrt. vezérigazgatóját.

6.5. A PK Követeléskezelő Zrt. adatvédelmi felelőse a PK Követeléskezelő Zrt.-nél jogosult beletekinteni az adatkezelésekbe valamint a hozzájuk kapcsolódó jegyzőkönyvekbe és törzskönyvekbe. A társaság munkatársaitól szóban vagy írásban is felvilágosítást kérhet. A vizsgálata során megismert személyes adatokkal kapcsolatban titoktartási kötelezettség terheli.

6.6.Törvénysértés észlelése esetén, a PK Követeléskezelő Zrt. adatvédelmi felelőse ennek megszüntetésére szólítja fel az adatkezelőt. Szükség esetén segítséget nyújt a törvényes állapot helyreállításához. Az adatkezelő és a PK Követeléskezelő Zrt. adatvédelmi felelőse közötti törvényességi vitát a PK Követeléskezelő Zrt. vezérigazgatója dönti el. Különösen súlyos törvénysértés esetén a vezérigazgatófegyelmi eljárás megindítását kezdeményezi az adatkezelővel szemben.

6.7.Tevékenységéért a PK Követeléskezelő Zrt. adatvédelmi felelősét (havi, évi) rendszeres díjazás illeti meg.

 

MÁSODIK RÉSZ

 

Egyes adatkezelések

 

 

7. fejezet

Ügyfélnyilvántartás

 

 7.1.Az ügyfélnyilvántartás a jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek alapján a hatályos jogszabályi előírások, illetve a PK Követeléskezelő Zrt. szabályzatai képezik.

7.2..Az ügyfélnyilvántartás ügyletenkénti bontásban, a PK Követeléskezelő Zrt. valamennyi ügyfelének adatait tartalmazza.

7.4.Az ügyfelekről a nyilvántartásba felvehető adatok a következők:

Személyazonosság megállapítására vonatkozó személyes adatok: Név (vezetéknév/keresztnév), születési név, születési hely és idő, anyja neve, állampolgárság, személyi igazolvány szám, egyéb, a személyazonosság igazolására a polgárok és személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI.törvény szerint alkalmas igazolvány száma.

Kapcsolattartásra szolgáló személyes adatok: lakcím/levelezési cím (ország, irányítószám, város, utca, házszám), telefonszám, e-mail cím.

A követelésre vonatozó személyes adatok: a követelés jogcíme, a követelést keletkeztető szerződés azonosítója, a követelés összege (a teljes követelés összege devizában, a teljes követelés összege forintban, tőkekövetelés összege forintban, ügyleti kamat összege forintban, költségek forintban, teljes fedezet nélküli tartozás, teljes késedelmi kamat tartozás, késedelmes napok száma, a tartozás jelenlegi pénzneme, utolsó fizetési nap, utolsó fizetett összeg, utolsó 6 hónapban befolyt összeg forintban, utolsó 12 hónapban befolyt összeg forintban, utolsó 18 hónapban befolyt összeg forintban, módosításra/restrukturálásra vonatkozó megjelölés, az utolsó módosítás dátuma, felmondás státusza, felmondás dátuma.

A fedezetre vonatozó személyes adatok: a fedezet piaci értéke devizában, a fedezet piaci értéke forintban, értékbecslés típusa, a fedezet értékbecslésének utolsó dátuma, a fedezet folyósításkori piaci értéke, eredeti értékbecslés dátuma, a fedezetként szolgáló ingatlanra vonatkozó adatok (irányítószám, város, utca, házszám, helyrajzi szám, az ingatlan jellege, a teleknagysága, hasznos alapterülete, szobáinak száma, annak megjelölése, hogy a végrehajtási eljárás a fedezettel kapcsolatban folyamatban van-e), egyéb fedezet típusa.

Végrehajtással összefüggő személyes adatok: végrehajtási ügyszám, a végrehajtó neve, a végrehajtás kezdő dátuma, a végrehajtás befejezésének dátuma, arra vonatkozó adat, hogy a végrehajtás zálogjogosulti bekapcsolódással indult-e, a fedezet lakott végrehajtási becsértéke, a fedezet beköltözhető végrehajtás becsértéke, a végrehajtási becsérték közlésének dátuma.

7.5.Az ügyfél adatainak kezelője az adott ügy konkrét előadója - illetve ahol az ügyfél által kért pénzügyi szolgáltatási tevékenységet előkészítik, értékelik, minősítik. 

       A nyilvántartás kezelése számítógépen és manuálisan történik. A PK Követeléskezelő Zrt. számítógépen kezelt adatbázisát az illetékes alkalmazottak érhetik el a megfelelő lekérdező rendszer segítségével. A rendszergazda a hozzáférési jogok kiadásával gondoskodik arról, hogy az illetékes ügyintéző csak a hatáskörébe tartozó adatokat kezelhesse, illetve ismerhesse meg.

       A PK Követeléskezelő Zrt.-n belül az informatikai rendszergazda feladataival megbízott személy az adatvédelmi felelőssel alakítja ki a lekérdezési és hozzáférési eljárás menetét.

       Az ügyfélnyilvántartással kapcsolatos további szabályokat az adatkezelés törzskönyve állapítja meg.

 

8. fejezet

Személyzeti nyilvántartás

 

8.1.A személyzeti nyilvántartás az munkaviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját 2012. évi I. törvény a Munka Törvénykönyvéről (a továbbiakban: Mt.) a PK Követeléskezelő Zrt. Szervezeti és Működési Szabályzata és a Munkaügyi Szabályzat képezik.

8.2.A személyzeti nyilvántartás adatai a dolgozók munkaviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására és statisztikai adatszolgáltatásra használhatók fel.

8.3.A személyzeti nyilvántartás a PK Követeléskezelő Zrt. valamennyi fő- és mellékállású munkavállalójának, valamint megbízásos jogviszonnyal rendelkező munkatársának adatait tartalmazza. Az érintettekről a nyilvántartásba felvehető adatok a következők:

a) név, születési hely és idő, állampolgárság;

b) állandó és ideiglenes lakcím, telefonszám;

c) munkaviszonyra vonatkozó adatok, így különösen

iskolai végzettség, szakképesítés, alkalmazási feltételek, képesítési feltételek alóli mentesítés,

továbbképzés, szakirányú továbbképzés, továbbképzésben szerzett szakképesítés,

idegen nyelv tudása,

kinevezési okmány, munkakör, munkaköri leírás,

vezetői megbízások,

gyakornoki idő, vizsga, próbaidő,

fegyelmi eljárás, büntetés, felmentés,

büntetett előélet,

fizetési fokozat,

tudományos kutatás (publikáció), művészeti alkotói tevékenység, tudományos kapcsolatok,

munkában töltött idő, munkaviszonyba beszámítható idő, besorolással kapcsolatos adatok,

dolgozó által kapott kitüntetések, díjak és más elismerések, címek,

munkakör, munkakörbe nem tartozó feladatra történő megbízás, munkavégzésre irányuló további jogviszony, fegyelmi büntetés, kártérítésre kötelezés,

munkavégzés ideje, túlmunka ideje, alapilletmény, pótlékok (jogcím szerint), illetménykiegészítés, megbízási díj, továbbá az azokat terhelő tartozás és annak jogosultja, (bírósági ítélet számával)

szabadság, kiadott szabadság,

dolgozó részére történő kifizetések és azok jogcímei,

a dolgozó részére adott juttatások és azok jogcímei,

a dolgozó munkáltatóval szemben fennálló tartozásai, azok jogcímei,

a többi adat az érintett hozzájárulásával.

8.4.A személyzeti nyilvántartás adatait az érintett szolgáltatja. A munkaviszony keletkezésekor történik meg az elsődleges adatfelvétel.

 8.5.A személyzeti nyilvántartás kezelője a személyzeti feladatokkal megbízott munkatárs.

       A nyilvántartás kezelése vegyes rendszerben, számítógépen és manuális módszerrel történik. Az adatok biztonságáról az adatkezelő gondoskodik. A számítógépes adatok biztonságának megteremtésében az informatikai rendszergazda nyújt segítséget a személyzeti feladatokkal megbízott munkatársnak.

8.6.A PK Követeléskezelő Zrt. szervezetén belül a személyzeti nyilvántartásból csak a PK Követeléskezelő Zrt. vezérigazgatója, illetve azon vezetők részére teljesíthető adatszolgáltatás, ahol a munkavállaló tényleges tevékenységet végez.

8.7.A személyzeti nyilvántartással kapcsolatos további szabályokat az adatkezelés törzskönyve állapítja meg.

 

9. fejezet

Bér- és munkaügyi nyilvántartás

 

9.1.A bér- és munkaügyi nyilvántartás a munkaviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját a 2012. évi I. törvény a munka törvénykönyve (a továbbiakban: Mt.), a PK Követeléskezelő Zrt. szabályzatai képezik.

9.2.A bér- és munkaügyi nyilvántartás adatai a dolgozó munkaviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel.

9.3.A bér- és munkaügyi nyilvántartás a PK Követeléskezelő Zrt. valamennyi munkavállalói jogviszonyban foglalkoztatott dolgozójának adatait tartalmazza. Az érintettekről a nyilvántartásba felvehető adatok a következők:

a) név, születési hely és idő, állampolgárság;

b) állandó és ideiglenes lakcím, telefonszám;

c) munkaviszonyra vonatkozó adatok, így különösen

- iskolai végzettség, szakképesítés, alkalmazási feltételek, képesítési feltételek alóli mentesítés,

- továbbképzés, szakirányú továbbképzés, továbbképzésben szerzett szakképesítés,

- tudományos fokozatok, címek,

- idegen nyelv tudása,

- kinevezési okmány, munkakör, munkaköri leírás,

- vezetői megbízások,

- gyakornoki idő, vizsga, próbaidő,

- fegyelmi eljárás, büntetés, felmentés,

- fizetési fokozat,

-tudományos kutatás (publikáció), művészeti alkotói tevékenység, tudományos kapcsolatok

- munkában töltött idő, besorolással kapcsolatos adatok,

- dolgozó által kapott kitüntetések, díjak és más elismerések, címek,

- munkakör, munkakörbe nem tartozó feladatra történő megbízás, munkavégzésre irányuló további jogviszony, fegyelmi büntetés, kártérítésre kötelezés,

- munkavégzés ideje, túlmunka ideje, alapilletmény, pótlékok (jogcím szerint), illetménykiegészítés, megbízási díj, továbbá az azokat terhelő tartozás és annak jogosultja,

- szabadság, kiadott szabadság,

- dolgozó részére történő kifizetések és azok jogcímei,

- a dolgozó részére adott juttatások és azok jogcímei,

- a dolgozó munkáltatóval szemben fennálló tartozásai, azok jogcímei,

- a többi adat az érintett hozzájárulásával.

9.4.A bér- és munkaügyi nyilvántartás adatait az érintett szolgáltatja. A munkaviszony keletkezésekor történik meg az elsődleges adatfelvétel.

9.5.A bér- és munkaügyi nyilvántartás kezelője a bérszámfejtést végző társaság.

       A nyilvántartás kezelése vegyes rendszerben, számítógépen és manuális módszerrel történik. Az adatok biztonságáról az adatkezelő gondoskodik. A számítógépes adatok biztonságának megteremtéséről a bérszámfejtést végző társaság gondoskodik.

       A PK Követeléskezelő Zrt. szervezetén belül a bér- és munkaügyi nyilvántartásból csak az ügyvezető, illetve azon vezetők részére teljesíthető adatszolgáltatás, ahol a munkavállaló tényleges tevékenységet végez.

9.6. A személyzeti nyilvántartással kapcsolatos további szabályokat az adatkezelés törzskönyve állapítja meg.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.sz. melléklet

 

Adatkezelés törzskönyve

 

Adatkezelés megnevezése:

1. Szervezeti egység

 

2. Az adatkezelés célja

 

3. Az adatkezelés jogszabályi alapja

 

4. Az adatkezelés felelős vezetője

 

5. Hozzáférésre jogosult személyek neve és beosztása

 

6. Érintettek köre és száma

7. A nyilvántartott adatok köre

Azonosító adatok

Leíró adatok

 

8. Adatok forrása

Azonosító adatok

Leíró adatok

 

9. Az adatfeldolgozás módszere

Kézi feldolgozás

Gépi feldolgozás

Vegyes rendszerű feldolgozás

10. Az adatfeldolgozás helye (Csak akkor kell kitölteni, ha különbözik az adatkezelésért felelős működési helyétől.)

 

11. Adatkezelési műveletek

Adatgyűjtés és felvétel

Adattárolás

Rendszerezés

Válogatás

Továbbítás

Nyilvánosságra hozatal

Törlés

Egyéb művelet: ___________________________________________ _________________________________________________________

 

12. Rendszeres adatszolgáltatás

(Mely szerv részére?

Mely adatokra nézve?

Milyen rendszerességgel?)

Szerv megnevezése

Szolgáltatott adatok

Rendszeresség

 

13. Adatbiztonsági rendszabályok és intézkedések

1.

2.

3.

 

14. Archiválás módja és gyakorisága

 

15. Adatok törlésének (selejtezésének) ideje

Az adatok nem törölhetők

Törlés ideje

 

16. Adatkezelés ellenőrzése

Ellenőrzés időpontja:

Ellenőrizte:

 

Ellenőrzés időpontja:

Ellenőrizte:

 

Ellenőrzés időpontja:

Ellenőrizte:

 

Ellenőrzés időpontja:

Ellenőrizte:

 

             

 

Kelt:…………………………………

 

 

 

____________________________

______________________________

     adatkezelés felelős vezetője

             adatvédelmi felelős

 

 

 

Ez a törzskönyv három példányban készült. Példányait az aláíró személyek és az irattár őrzi.