Adatvédelmi és Adatkezelési tájékoztató (ARCHÍV)
ADATVÉDELMI ÉS ADATKEZELÉSI
TÁJÉKOZTATÓ
2018.
Hatályos: 2018. május 25. napjától
I. Általános
1 A Tájékoztató célja, jogszabályi hivatkozás, hatálya
A jelen Tájékoztató célja, hogy rögzítse a
Bátor Pénzügyi Zártkörűen Működő Részvénytársaság
által alkalmazott adatvédelmi és kezelési elveket, és a társaság adatvédelmi és kezelési politikáját, amelyet a társaság,
mint adatkezelő magára nézve kötelező erővel ismer el.
A jelen tájékoztatás a Társaság ügyfélkörére vonatkozó személyes adatok kezelésének az elveit tartalmazza.
Jelen Adatvédelmi és Adatbiztonsági Tájékoztató jogszabályi alapját a következő törvények jelentik:
1) Magyarország Alaptörvénye;
2) 2011. évi CXII. törvény — az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.);
3) 2012. évi I. törvény — a munka törvénykönyvéről (új Mt.);
4) 2013. évi V. törvény — a Polgári Törvénykönyvről (új Ptk.);
5) 2013. évi CC)(VII. törvény — a hitelintézetekről és a pénzügyi vállalkozásokról (új Hpt.).
6) Európai Parlament és a Tanács 2016/679 Rendeletében („Általános Adatvédelmi Rendelet” vagy „GDPR”)
7) Jelen Adatvédelmi és Adatbiztonsági Tájékoztató az Adatkezelő alábbi belső szabályzataihoz kapcsolódik:
8) A BÁTOR PÉNZÜGYI ZRT. Üzletszabályzata;
9) A BÁTOR PÉNZÜGYI ZRT. Követeléskezelési Szabályzata;
10) Panaszkezelési Szabályzat;
11) Pénzmosási Szabályzat;
12) BÁTOR PÉNZÜGYI ZRT. Információbiztonsági Szabályzata.
Az Adatkezelő NAIH azonosítója: NAIH-81375/2014.
2 Fogalom meghatározások
Adatkezelés:
az alkalmazott eljárástól függetlenül a Személyes adatokon végzett bármely művelet vagy a műveletek összessége, így különösen
a Személyes adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása, megváltoztatása, felhasználása,
lekérdezése, betekintése, közlése, továbbítása, terjesztése vagy egyéb módon hozzáférhetővé tétele, nyilvánosságra hozatala,
összehangolása vagy összekapcsolása, korlátozása, törlése és megsemmisítése.
Adatkezelő:
az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezőszervezet, aki vagy amely önállóan vagy másokkal
együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket
meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajttatja; aki az Adatkezelés céljait és eszközeit meghatározza.
A jelen tájékoztatóban az Adatkezelő a Bátor Pénzügyi Zártkörűen Működő Részvénytársaság (továbbiakban: Adatkezelő)
Adatfeldolgozó:
az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely szerződés alapján
– beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.
Adatfeldolgozás:
az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott
módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik.
Érintett:
bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy
Személyes adat:
az érintettel kapcsolatba hozható adat — különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai,
mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret —, valamint az adatból levonható, az érintettre
vonatkozó következtetés
Hozzájárulás
: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen
beleegyezését adja a rá vonatkozó személyes adat- teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Tiltakozás:
az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja és az adatkezelés megszüntetését, illetve a
kezelt adatok törlését kéri.
Adattörlés:
az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
Adattovábbítás
: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Harmadik személy:
olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az
érintettel, az adatkezelővel vagy az adatfeldolgozóval.
Harmadik ország:
minden olyan állam, amely nem EGT-állam.
EGT-állam
: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam,
amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem
részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes
állam állampolgárjával azonos jogállást élvez– kezeléséhez.
Üzleti
titok
: a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára
nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek
által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi,
gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen
rendelkező jogosultat felróhatóság nem terheli.
Hozzájárulás
: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen
beleegyezését adja a rá vonatkozó személyes adat-teljes körű vagy egyes műveletekre kiterjedő kezeléséhez.
3 Az adatkezelő adatai
Név
: Bátor Pénzügyi Zártkörűen Működő Részvénytársaság
Székhely
: 3525 Miskolc, Széchenyi István utca 29. 4/6.
Cégjegyzékszám
: 05-1-000603
Cégbíróság
Adószám
: 12643606-1-05
Belső
adatvédelmi
felelős
neve
:
Elérhetőségei
:
4 Adatfeldolgozóink
Magyar Posta ZRT. 1138 Budapest, Dunavirág 2-6. cégjegyzékszám: 01-10-042463
Szenzor Kft. 1134 Budapest, Dévai utca 14. cégjegyzékszám: 01-09-061393
II. Adatvédelem
5 Adatkezelőre és adatkezelésre vonatkozó szabályok, alapelvek
5.01 Az adatvédelmi szabályok betartásáért az Adatkezelő a felelős. Az Adatkezelő szervezet dolgozója az adatvédelmi és adatbiztonsági
szabályok betartásáért személyes felelősséggel tartozik.
5.02 Az Adatkezelő személyes adatokat csak az Infotv. 5. és 6. §-okban meghatározott felhatalmazás alapján kezel, nevezetesen
1) az érintett hozzájárulásával, vagy
2) törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben helyi önkormányzat rendelete közérdeken alapuló
célból elrendeli.
Személyes adat akkor is kezelhető, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna,
és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő
vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok
védelméhez fűződő jog korlátozásával arányban áll.
Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a
saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető
közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az
érintett személyes adatai kezelhetők.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő
rendelkezésének hiányában
1) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
2) az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok
védelméhez fűződő jog korlátozásával arányban áll
további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
5.03 Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek
tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – e törvény alapján – az
érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás
célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen
módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
5.04 Az érintett kérelmére indult eljárásban, az annak lefolytatásához szükséges adatainak kezeléséhez való hozzájárulását
vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.
5.05 Az érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja
meg, melyről az Adatkezelő feladata gondoskodni.
5.06 Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező.
Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos
minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult
személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az Infotv. 6. § (5)
bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az
érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre
való utalás nyilvánosságra hozatalával is.
5.07 Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az
alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az érintettek köre, az adatgyűjtés célja, az
adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az érintettek adatkezeléssel
kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint, ha az adatkezelés adatvédelmi nyilvántartásba
vételének van helye, az adatkezelés nyilvántartási száma.
5.08 Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az
adatkezelésnek minden szakaszában meg kell felelnie e kritériumoknak, továbbá az adatok felvételének és kezelésének tisztességesnek
és törvényesnek kell lennie.
5.09 Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére
alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.
5.10 Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről
és naprakészségéről.
6 Társaságon belüli feladatok és felelősségek
Belső adatvédelemi felelős
Az adatkezelő erre jogosult vezetője az Adatvédelmi és Adatbiztonsági Szabályzat érvényesítése érdekében kinevez adatvédelmi
felelőst.
Az adatvédelmi felelős elkészíti az Adatkezelő és Adatbiztonsági Szabályzatot, összehangolja más szabályozásokkal, a benne
foglaltakat betartatja és időszakosan ellenőrzi.
Az adatvédelmi felelős belső nyilvántartást vezet a következős szempontok alapján:
1) adatkezelés megnevezése
2) adatkezelés célja
3) az adatkezelés jogalapja
4) a kezelt adatok köre
5) az adatkezelés időtartama
Az adatkezelést végző személy
A BÁTOR PÉNZÜGYI ZRT. szervezetén belül adatkezelést végző személy a tevékenységi körén belül felelős az adatok feldolgozásáért,
megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért.
Az adatkezelést végző személy tevékenysége során:
1) kezeli és megőrzi a feladata ellátása során birtokába került adatokat;
2) ügyel a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására;
3) gondoskodik arról, hogy az általa kezelt adatokhoz illetéktelen személy ne férhessen hozzá;
4) betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat;
5) haladéktalanul jelzi vezetője felé, amennyiben az adatvédelmi ügyben a felettes vagy a belső adatvédelmi felelős segítségére
szorul;
6) részt vesz az adatkezeléssel, adatvédelemmel összefüggő oktatásokon.
7 Bejelentés az Adatvédelmi Nyilvántartásba
A belső adatvédelmi felelős a www.naih.hu oldalon, elektronikusan elérhető kitöltő programalkalmazásával készíti el a Nemzeti
Adatvédelmi és Információszabadság Hatóság nyilvántartásába a bejelentéshez szükséges kérelmet, és a nyilvántartásba
vett adatkezelések esetleges módosításait.
7.02 A bejelentést a belső adatvédelmi felelős elektronikusan, a kitöltő program segítségével küldi meg a Hatóság részére.
8 Az adatok tárolása
8.01 A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek — ideértve azon munkavállalókat is, akik nem jogosultak
ezen adatok megismerésére, kezelésére — ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás
rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával.
8.02 Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése — az esetleg eltérő
törlési határidőre is tekintettel — az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető
legyen. A törlésnek visszaállíthatatlannak kell lennie.
8.03 A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével
kell a személyes adatoktól megfosztani. Elektronikus adathordozók (merevlemezek, optikai adathordozók, mágneses adathordozók,
nyomtatók, multifunkciós gépek háttértárai, flash (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, PDA-k,
Tablet-ek, laptopok, stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni
a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről.
Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni,
illetve selejtezni.
9 Az adatok felhasználása
9.01 A BÁTOR PÉNZÜGYI ZRT. által kezelt adatok kizárólag az Infotv., a Hpt. és más jogszabályok rendelkezéseinek megfelelően,
illetve az aktuális Adatkezelési Tájékoztatóban meghatározott célokra használhatók fel.
9.02 Számítástechnikai, távközlési eszközök és programok helyességének ellenőrzésére, felhasználók betanítására, illetve
oktatási célra valós személyi adatokat felhasználni nem lehet. Informatikai (funkcionális, integrációs) teszt környezetekben
gondoskodni kell arról, hogy az éles rendszerben kezelt személyes adatok és a tesztkörnyezetben használt és anonimizált
adatok közötti kapcsolat technikai úton ne legyen visszaállítható.
9.03 A BÁTOR PÉNZÜGYI ZRT. által kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha azt törvény rendeli el.
10 Az adatok feldolgozása
10.01 A személyes adatokon technikai műveletet az Adatkezelő alvállalkozója adatfeldolgozóként az érintett hozzájárulása
nélkül is végrehajthat, amennyiben tevékenysége során önálló érdemi döntést nem hoz.
10.02 A BÁTOR PÉNZÜGYI ZRT. harmadik személy kezelésében lévő személyes adatokon —amennyiben e tevékenysége során érdemi
döntési jogkörrel nem rendelkezik — adatfeldolgozóként az érintett hozzájárulása nélkül is végezhet technikai műveleteket.
10.03 Az Adatkezelő köteles az érintetteket tájékoztatni — lehetőleg már az adatfelvételkor — az igénybe vett adatfeldolgozók
személyéről.
10.04 Az adatfeldolgozásra vonatkozó megbízást írásba kell foglalni.
10.05 Az adatfeldolgozó részére csak olyan személyes adatok adhatók át, amelyek szerepelnek
1) az adatfeldolgozói szerződésben,
2) vagy a konkrét adatkezelésre vonatkozó tájékoztatásban.
10.06 Az adatfeldolgozói feladat teljesítését követően, illetve a szerződés megszűnésekor az adatfeldolgozó a birtokában
lévő személyes adatokat vissza kell, hogy szolgáltassa az Adatkezelőnek. Az átadott adatok adatfeldolgozó számítástechnikai
rendszerében található másolatait pedig visszavonhatatlan módon töröltetni kell, melynek megtörténtéről az adatfeldolgozónak
nyilatkoznia kell.
11 Adattovábbítás, hatósági adatszolgáltatás
11.01 Személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak a jelen Tájékoztató 5. fejezetében meghatározott
valamely jogalap alapján lehet.
11.02 EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna
sor.
11.03 EGT-államon kívüli országban lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni
csak akkor lehet, ha:
1) ahhoz az érintett kifejezetten hozzájárult; vagy
2) az adatkezelés jogalapja a jelen Tájékoztató 5. fejezetében meghatározott módon biztosított, és a harmadik országban az
adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme.
A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha
1) az Európai Unió kötelező jogi aktusa azt megállapítja, vagy
2) a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó
nemzetközi szerződés van hatályban.
11.04 Banktitok harmadik személy részére történő átadására az új Hpt. 161-164. §-ában foglaltak lehetőséget adnak.
11.05 Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből
nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén.
12 A személyes adatok törlése, helyesbítése
12.01 Az adatokat törölni – manuális nyilvántartás esetén megsemmisíteni – kell, ha:
1) az adatkezelésre a tájékoztatóban, illetve jogszabályban előírt határidő eltelt;
2) az adatkezelés jogszerűtlensége megállapítást nyert;
3) az érintett hozzájárulását visszavonta, kivéve, ha törvény az adatok további kezelését lehetővé teszi;
4) az adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható — feltéve, hogy törvény a törlést nem zárja ki;
5) az adatkezelés célja megszűnt;
6) az adatvédelmi hatóság vagy bíróság jogerős határozattal elrendelte.
12.02 Az érintett bejelentése vagy az Adatkezelő által észlelt hibás adat esetén — a rendelkezésre álló dokumentumok vagy
közhiteles nyilvántartás alapján, illetve az érintettel történt egyeztetést követően — az Adatkezelő a hibás adatot helyesbíti.
12.03 Ha a hibás adat nem helyesbíthető, akkor törölni kell. Amennyiben a törlés vagy a helyesbítés az adatok tárolási módja
miatt nem lehetséges, akkor az adatot megfelelő helyesbítő vagy figyelemfelhívó feljegyzés hozzáfűzésével véglegesen
zárolni kell.
12.04 Ha az adat hibás volta annak továbbítása után derül ki, akkor ennek tényéről, illetve – amennyiben a hibás adatot az
Adatkezelő kijavította – a helyes adatról mindazokat tájékoztatni kell, akiknek az adatot továbbították. A tájékoztatási
kötelezettség az adatok zárolása és törlése esetén is fennáll.
12.05 A tájékoztatás mellőzhető, ha ez az adat jellegére, az adatkezelés céljára, az időmúlásra, illetve az adatkezeléssel
összefüggő más körülményeire tekintettel az érintett, illetve a korábbi adattovábbítás címzettjének jogos érdekét nem
sérti.
12.06 Az érintett e fejezetben tárgyalt jogainak gyakorlása esetén az Adatkezelő 30 napon belül köteles az ügyet elintézni
13 Az érintett tájékoztatáshoz való joga
13.01 Az érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, valamint
azokba betekintést nyerhet. E jogát oly módon kell biztosítani, hogy az érintett más személy adatait ne ismerhesse meg.
13.02 Az érintett kérelmére az Adatkezelő — a belső adatvédelmi felelős véleményének kikérését követően — tájékoztatást ad
az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra
jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat.
13.03 Amennyiben az érintett a rá vonatkozó, vele kapcsolatos, az ő személyes adatait tartalmazó bármilyen formátumú adathordozón
tárolt adatokról kér másolatot, úgy ezt a tájékoztatáshoz való joga gyakorlásaként kell értékelni, és az adatairól a
másolatot számára ki kell adni.
13.04 A tájékoztatást (a másolat kiadását) a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon
belül, közérthető formában kell teljesíteni. Amennyiben az érintett úgy rendelkezik, a tájékoztatást írásban kell megadni.
13.05 A tájékoztatás megadása, a másolat készítése, és ezek továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan
az érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek
szerződésben is rendelkezhetnek.
13.06 A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg:
1) az érintett nem a saját adataira vonatkozóan kér tájékoztatást;
2) a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel érintett személy;
3) amennyiben törvény a tájékoztatást kizárja;
4) ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat
egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az érintett tájékoztatási jogának
korlátozását.
A felvilágosítás megtagadása esetén tájékoztatni kell az érintettet a bírósághoz és az adatvédelmi hatósághoz fordulás jogáról.
Ezen felül a folyó évet követő január 31-éig tájékoztatni kell a Nemzeti Adatvédelmi és Információszabadság Hatóságot
az elutasított kérelmekről.
14 Tiltakozás a személyes adatok kezelése ellen
14.01 Az érintett személy tiltakozhat a személyes adatai kezelése ellen,
1) ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez
vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés
esetén;
2) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás
céljára történik; valamint
3) törvényben meghatározott egyéb esetben.
14.02 Tiltakozását szóban, írásban és elektronikus úton is kifejezheti.
14.03 A tiltakozási kérelmet haladéktalanul, de legfeljebb 15 napon belül ki kell vizsgálni. Az Adatkezelő döntéséről a kérelmezőt
írásban tájékoztatja.
14.04 Ha az Adatkezelő egyetért a tiltakozási kérelemmel, az adatkezelést megszünteti, az adatokat zárolja, és a tiltakozásról,
illetve intézkedéséről értesíti mindazokat, akik részére korábban az adatokat továbbította, és egyben intézkedésre kötelesek
a tiltakozási jog érvényesítése érdekében.
15 Adatkezelési folyamatok megváltozása, új adatkezelés bevezetés
15.01 Adatkezelő az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően köteles a kijelölt
belső adatvédelmi felelőshöz fordulni a változtatás, illetve az új adatkezelés jogszerűségének, megfelelőségének, célszerűségének
és hatékonyságának vizsgálata tárgyában. A belső adatvédelmi felelős véleményezési jogkörrel vesz részt a folyamatban.
15.02 Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően szükséges azok jelen Szabályzatnak
való megfelelőségét vizsgálni és azok csak abban az esetben vezethetők át a gyakorlatba, ha nem ütköznek jelen Szabályzat
előírásaiba.
15.03 Az adatkezelési folyamatok megváltoztatása esetén vizsgálni kell, hogy az eredeti adatkezelés keretein belüli-e a változás,
vagy egy más, új adatkezelés jön létre általa.
15.04 Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az alábbiakat kell megvizsgálni:
1) az adatkezelés célját,
2) az adatkezelés jogalapját,
3) az érintettek körét,
4) az érintettekre vonatkozó adatok leírását,
5) az adatok forrását,
6) az adatok kezelésének időtartamát,
7) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat
is,
8) az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és
az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
9) az alkalmazott adatfeldolgozási technológia jellegét.
10) a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait.
15.05 Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően meg kell határozni az azzal
érintett munkavállalók körét és el kell végezni a szükséges dokumentummódosításokat.
15.06 Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az igénybe venni kívánt adatfeldolgozókkal
adatfeldolgozói szerződést kell kötnie az Adatkezelőnek.
15.07 Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően meg kell vizsgálni, hogy a megváltozott
vagy az új adatkezelés az adatvédelmi nyilvántartásba történő bejelentési kötelezettség alá esik-e. Bejelentési kötelezettség
esetén a belső adatvédelmi felelős kitölti a bejelentéshez szükséges elektronikusan elérhető formanyomtatványt és azt
a kitöltő program segítségével benyújtja az Adatvédelmi Hatósághoz. Az új vagy megváltozott adatkezelés a nyilvántartásba
vételt követően, de legfeljebb a benyújtást követő nyolcadik napon kezdhető meg.
III. Adatbiztonság
16 A BÁTOR PÉNZÜGYI ZRT. által kezelt adatok biztonsága
16.01 A jelen tá nem szabályozott adatbiztonsági kérdések tekintetében a jelen Szabályzat 4.2. pontjában található szabályzat
az irányadó.
16.02 Az Adatvédelmi és Adatbiztonsági Szabályzat alapvető rendeltetése a személyes adatok és az üzleti titkok megismerhetőségének
korlátozására vonatkozó szabályok kialakítása, illetve ezen adatok illetéktelen személyek általi megismerhetőségének
megakadályozása.
16.03 A fenti cél elérése érdekében az adatkezelések során – az adatkezelés jellegétől függően – az információ-rendszerek
következő védelmi módszereit kell alkalmazni:
1) Ügyviteli védelem: az adatkezelő rendszerek felelőseinek és az adatkezeléssel kapcsolatos tevékenységnek szervezési és
adminisztratív módon történő nyomon követése, a felelősség körül határolása. Kiterjed az informatikai és más adatkezelő
rendszerekre és azok szolgáltatásaira, valamint az adathordozók kezelésére, beleértve a hozzáférési jogosultság és a
betekintés dokumentálását is.
2) Fizikai védelem: olyan eszközök alkalmazása, amelyekkel azok a helyiségek védhetők, ahol számítástechnikai erőforrásokat
használnak, vagy az adatmegőrzés szempontjából fontosak. Az információs rendszer minősítésétől függő védelemben kell
részesíteni az adathordozókat is.
16.04 Az Adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek
magánszférájának védelmét.
16.05 Mind az Adatkezelő, mind az általa igénybe vett adatfeldolgozó köteles gondoskodni az adatok biztonságáról, és megtenni
azokat a technikai és szervezési intézkedéseket, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Az Adatkezelőnek és adatfeldolgozójának a fenti szabályok érvényesülését kell szem előtt tartaniuk az eljárási szabályok
kialakítása során is.
16.06 Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás,
nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott
technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
16.07 A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében biztosítani kell, hogy e külön
nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók
és az érintetthez rendelhetők.
17 Manuális kezelésű adatok
A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:
a) Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben
kell elhelyezni.
b) A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá.
c) A manuális kezelésű iratok archiválását rendszeres időközönként el kell végezni, és a meghatározott adatkezelési határidő
elteltével haladéktalanul át kell adni megsemmisítésre.
18 Munkavállalói adatbiztonsági kötelezettségek
18.01 Aki a személyes adat és az üzleti titkot képező adat megismerésére jogosult:
a) köteles a személyes adatok és üzleti titok védelmére vonatkozó rendelkezéseket, valamint a jelen Szabályzatban meghatározott
előírásokat megismerni, valamint ezen előírásokat alkalmazni;
b) a tudomására jutott személyes adatot és üzleti titkot az érvényességi időn belül illetéktelen személynek át nem adhatja,
illetve nem hozhatja illetéktelen tudomására vagy nyilvánosságra (titoktartási kötelezettség);
c) köteles a hozzáférési jog megszűnésekor – ideértve a munkaviszony megszűnésének eseteit is – az üzleti titokká minősített
adatot és személyes adatot tartalmazó minden nála lévő adathordozót a Bátor Pénzügyi Zrt-nek, mint az adattal rendelkező
jogosultnak, illetve Adatkezelőnek haladéktalanul átadni.
18.02 Személyhez fűződő jogokat sért [Ptk. 2:46. §], aki üzleti titok birtokába jut, és azt jogosulatlanul nyilvánosságra
hozza vagy azzal egyéb módon visszaél.
18.03 Üzleti titok tisztességtelen módon való megszerzésének minősül az is, ha az üzleti titkot a jogosult hozzájárulása
nélkül, a vele – a titok megszerzése idején vagy azt megelőzően – bizalmi viszonyban (így különösen a munkaviszony és
a munkavégzésre irányuló egyéb jogviszony) vagy üzleti kapcsolatban álló személy közreműködésével szerezték meg [1996.
évi LVII. tv. a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról].
18.04 A BÁTOR PÉNZÜGYI ZRT. valamennyi munkavállalója munkavégzése során köteles saját szakterületén jelen Szabályzat rendelkezéseinek,
előírásainak érvényt szerezni.
19 Titoktartási kötelezettség
19.01 A Bátor Pénzügyi ZRT-vel munkavégzésre irányuló jogviszonyban lévő személyek kötelesek jelen Adatvédelmi és Adatbiztonsági
Szabályzat, továbbá a hatályos jogszabályok szerint a rájuk bízott, illetve tudomásukra jutott személyes adatokat és
üzleti titkokat időbeli korlátozás nélkül megőrizni. A munkavállalók kizárólag a munkaköri leírásban meghatározott feladatkörükön
belül ismerhetik meg az ilyen adatokat. E titoktartás nem terjed ki a közérdekű adatok nyilvánosságára és a közérdekből
nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettségre.
19.02 Az adatbiztonság személyi feltételeinek kialakítása tekintetében a szervezeti rendszer minden tagját, aki feladatai
ellátása során személyes adatot vagy üzleti titkot kezel, megfelelő felkészítésben, oktatásban kell részesíteni.
19.03 Minden személyes adatot, üzleti titkot tartalmazó rendszerhez való hozzáférésre feljogosított munkavállaló köteles
titoktartási kötelezettség vállalást tenni. A kötelezettség vállalásban nyilatkozni kell arról, hogy a munkavállaló jelen
Adatvédelmi és Adatbiztonsági Szabályzat rendelkezéseit megismerte, azokat magára nézve kötelezőként elismeri, a szükséges
titokvédelmi ismereteket elsajátította, valamint a személyes adatok védelméhez fűződő jog és az üzleti titok megsértésének
mind büntetőjogi, mind polgári jogi következményeivel tisztában van.
20 A jogellenes adatkezelés következményei
A Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok kezelésével kapcsolatos jogsérelem esetén felszólíthatja
az adatkezelőt a jogsérelem orvoslására a szükséges intézkedések megjelölésével. Amennyiben a jogsérelem orvoslására
a felszólítás alapján nem került sor, a Hatóság jelentést készíthet és adatvédelmi hatósági eljárást indíthat. A Hatóság
jelentése bíróság vagy más hatóság előtt nem támadható meg.
Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság elrendelheti a személyes adatok helyesbítését, zárolását,
törlését, megsemmisítését, megtilthatja az adatok jogellenes kezelését, feldolgozását, külföldre történő továbbítását
vagy átadását, elrendelheti az érintett tájékoztatását, valamint maximum 20 millió Euróig terjedő bírságot szabhat ki,
akár ismételten is. A Hatóság a határozatát az adatkezelő azonosító adataival együtt nyilvánosságra hozhatja. Ha a Hatóság
eljárása során fegyelmi vétség, szabálysértés vagy bűncselekmény elkövetésének alapos gyanúját észleli, fegyelmi, szabálysértési
vagy büntető eljárást köteles kezdeményezni. A bíróság eljárása a Ptk. 2:51. § (1) bekezdése alapján az érintett fél
a fentieken felül a következő igényeket is támaszthatja:
a) a jogsértés megtörténtének bírósági megállapítását;
b) a jogsértés abbahagyását és a jogsértő eltiltását a további jogsértéstől;
c) azt, hogy a jogsértő adjon megfelelő elégtételt, és ennek biztosítson saját költségén megfelelő nyilvánosságot;
d) a sérelmes helyzet megszüntetését, a jogsértést megelőző állapot helyreállítását és a jogsértéssel előállított dolog megsemmisítését
vagy jogsértő mivoltától való megfosztását;
e) azt, hogy a jogsértő vagy jogutódja a jogsértéssel elért vagyoni előnyt engedje át javára a jogalap nélküli gazdagodás
szabályai szerint. A sérelemdíj személyiségi jog megsértésével okozott nem vagyoni sérelem miatt követelhető a kártérítési
felelősség szabályai szerint. A sérelemdíj megállapításához csak a jogsértés tényét kell bizonyítani, egyéb hátrányt
nem. a Ptk. 2:52. § (1) Akit személyiségi jogában megsértenek, sérelemdíjat követelhet az őt ért nem vagyoni sérelemért.
(2) A sérelemdíj fizetésére kötelezés feltételeire – különösen a sérelemdíjra köteles személy meghatározására és a kimentés
módjára – a kártérítési felelősség szabályait kell alkalmazni, azzal, hogy a sérelemdíjra való jogosultsághoz a jogsértés
tényén kívül további hátrány bekövetkeztének bizonyítása nem szükséges. (3) A sérelemdíj mértékét a bíróság az eset körülményeire
– különösen a jogsértés súlyára, ismétlődő jellegére, a felróhatóság mértékére, a jogsértésnek a sértettre és környezetére
gyakorolt hatására – tekintettel, egy összegben határozza meg. A személyiségi jogok megsértése esetén a jogsértőtől kártérítés
követelhető. A Ptk. 2:53. § Aki személyiségi jogainak megsértéséből eredően kárt szenved, a jogellenesen okozott károkért
való felelősség szabályai szerint követelheti a jogsértőtől kárának megtérítését.
A büntetőeljárás az egyéni felelősségre vonást célozza, tehát a szabályokat megsértő munkatárs, illetve a vezető kerül közvetlenül
felelősségre vonásra. A Btk. 219. § (1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések
megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva a) jogosulatlanul vagy a céltól eltérően személyes
adatot kezel, vagy b) az adatok biztonságát szolgáló intézkedést elmulasztja, vétség miatt egy évig terjedő szabadságvesztéssel
büntetendő. (2) Az (1) bekezdés szerint büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi
rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy
mások érdekeit jelentősen sérti. (3) A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést
különleges személyes adatra követik el. (4) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha személyes
adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.
A pénzügyi közvetítőrendszer felügyeletét ellátó Magyar Nemzeti Bank a jogszabályban és a jelen Szabályzatban foglaltak megsértése
esetén kétmilliárd forintig terjedő bírságot szabhat ki.
A Munka Törvénykönyve rendelkezései alapján a munkáltató a Szabályzat és az adatkezelésre vonatkozó jogszabályok be nem tartását
akár rendkívüli felmondással is szankcionálhatja, illetve a vétkesség függvényében a bekövetkezett teljes kár megfizetésére
is igényt tarthat.