Energetikai Központ Zrt. - ADATVÉDELMI SZABÁLYZAT A villamosenergia-szolgáltatás teljesítéséhez szükséges felhasználói adatok kezeléséről

Átírás

1 Energetikai Központ Zrt. - ADATVÉDELMI SZABÁLYZAT A villamosenergia-szolgáltatás teljesítéséhez szükséges felhasználói adatok kezeléséről 1. PREAMBULUM Az Energetikai Központ Zrt. által nyújtott villamos energia szolgáltatás teljesítéséhez szükséges adatok nyilvántartása és feldolgozása megköveteli az adatvédelemmel, a személyes adatok védelmével kapcsolatos feladatok egységes rendszerbe foglalását. A szabályozás biztosítja az adatvédelmet, amelyek alapján az adatvédelem a lehetőségekhez képest a legmagasabb szinten valósítható meg. Az adatvédelem területén megfogalmazott intézkedések az adatok bizalmasságát, hitelességét és sértetlenségét biztosítják. Jelen Adatvédelmi Szabályzat az Adatvédelmi törvényre figyelemmel és az Energetikai Központ Zrt. biztonságpolitikai elveire épülve készült. A szabályozás célja, hogy az Energetikai Központ Zrt. által kezelt személyes adatok biztonságának kialakítása érdekében meghatározza, és egységes keretbe foglalja azokat az eljárási követelményeket, melyeket az Energetikai Központ Zrt. valamennyi foglalkoztatottjának a rá vonatkozó mértékben - ismernie és a biztonsági követelmények érvényesítése érdekében alkalmaznia kell. 2. A SZABÁLYZAT HATÁLYA, ÉRVÉNYESÍTÉSE A Szabályzat területi hatálya: kiterjed az Energetikai Központ Zrt. teljes működési területére, valamennyi alkalmazott informatikai eszközre és szoftverre. A Szabályzat személyi hatálya: kiterjed az Energetikai Központ Zrt-vel munkaviszonyban vagy munkavégzésre irányuló jogviszonyban álló valamennyi munkavállalójára, szervezeti osztályára, valamint az Energetikai Központ Zrt-vel kapcsolatban álló felhasználókra. A Szabályzat időbeli hatálya: a kiadás napjától visszavonásig érvényes. Az Adatvédelmi Szabályzat érvényesítése és a megismerési kötelezettség: Az Adatvédelmi Szabályzat kidolgozása, elkészítése és szükség szerinti módosítása az adatvédelmi felelős feladata. Jelen Szabályzatban előírtak betartatásáért hatás- és jogosultsági körére vonatkozóan minden érintett alkalmazott felelős. A Szabályzatban előírtak betartásának ellenőrzése az adatvédelmi felelős feladata. A Szabályzat előírásait az Energetikai Központ Zrt-nél dolgozó minden személy a szakmai feladatköréhez szükséges mértékben köteles megismerni, a vonatkozó előírásokat betartani és betartatni. A Szabályzat egyes előírásait, a munkavégzéséhez szükséges mértékben, minden, a vállalattal munkaviszonyban, illetve egyéb szerződéses jogviszonyban álló foglalkoztatottal ismertetni kell. A Szabályzat előírásait megszegőkkel, illetve a jelentési kötelezettséget elmulasztókkal szemben, a hatályos törvényeknek, rendeleteknek és belső szabályzóknak megfelelő, jogszerű felelősségre vonást kell alkalmazni. 1

2 3. ÉRTELMEZŐ RENDELKEZÉSEK Adatvédelmi törvény: Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény. VET: A villamos energiáról szóló évi LXXXVI. törvény Személyes adat: a Felhasználóval kapcsolatba hozható adat - különösen a Felhasználó neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret-, valamint az adatból levonható, a Felhasználóra vonatkozó következtetés Adatkezelés: az Energetikai Központ Zrt. a VET 62. és 151. alapján az engedélyköteles tevékenységének végzése, a vonatkozó szerződés megkötése, tartalmának meghatározása, módosítása, a teljesítésének figyelemmel kísérése, a szerződésben meghatározott díjak számlázása, továbbá a szerződésből eredő egyéb követelések érvényesítése, valamint a villamosenergia-ellátási szabályzatokban foglalt együttműködési és adatszolgáltatási kötelezettségek teljesítése céljából kezelheti a Felhasználó, valamint a külön jogszabályban meghatározott fizető azonosításához szükséges és elégséges, e törvény vagy a végrehajtására kiadott külön jogszabály szerint a szerződés tartalmát képező személyes adatot. Az adatkezelés körébe tartozik az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása is. Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé étele. Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált esz-közt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. A jelen Szabályzat hatálya alá tartozó személyes adatok tekintetében az adatkezelő az Energetikai Központ Zrt. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi. Gépi feldolgozás: bármely, az adatkezelés keretében végzett technikai műveletet jelent, ha azokat kizárólag automatizált eszközökkel hajtják végre, így különösen az adatok tárolása, az adatokkal végzett logikai vagy aritmetikai műveletek, az adatok megváltoztatása, törlése, visszakeresése és terjesztése. Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. 2

3 4. ADATVÉDELEM CÉLJAI Az adatvédelem körében az Energetikai Központ Zrt, mint adatkezelő feladata meghatározni a VET felhatalmazása alapján kezelt természetes személyekre vonatkozó (felhasználói) személyes adatok adatkezelésének módját, valamint biztosítani az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, s megakadályozni a felhasználói adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát, vagy felhasználását. A Felhasználó személyes adatai kezelésének alapvető céljai az alábbiak: - a Felhasználó részére a villamosenergia-értékesítés elérhetővé tétele, - a Felhasználó által átvett, illetve igénybevett termékek, szolgáltatások ellenértékének kiszámlázása, - a kiszámlázott, de be nem fizetett ellenérték beszedése, behajtása, - a kiszámlázott és befizetett díjak, valamint a díjszámítás helyességének ellenőrzése, és további intézkedések megtétele. - a Felhasználó külön hozzájárulása esetén a Felhasználó marketing célból történő megkeresése, részére papír alapon, vagy elektronikus úton hírlevelek megküldése, illetőleg a Felhasználó telefonon történő megkeresése az aktuális ajánlatokról történő tájékoztatása céljából. 5. AZ ADATKEZELÉS ALAPELVEI Személyes adat akkor kezelhető, ha - ahhoz az érintett hozzájárul, vagy - azt törvény vagy - törvény felhatalmazása alapján, abban meghatározott körben - helyi önkormányzat rendelete elrendeli. Törvény közérdekből - adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Az adatkezeléssel és a Felhasználók személyes adatainak a védelmével kapcsolatos előírások kizárólag a természetes személyekre vonatkoznak tekintettel arra, hogy a személyes adatok is kizárólag természetes személyek vonatkozásában értelmezhetőek (az Adatvédelmi törvény 2. -a alapján), ezért jelen Szabályzat kizárólag természetes személyek a személyes adatainak kezelése vonatkozásában bír kötelező erővel. Az Energetikai Központ Zrt. a VET 62. és 151. alapján, a Magyar Energia Hivatal 590/2011. számon jóváhagyott villamosenergia-kereskedelmi engedély és a 273/2012. számon jóváhagyott villamosenergiakereskedelmi üzletszabályzat alapján végzi a lakossági és nem lakossági ügyfelek kiszolgálását. A villamosenergia-kereskedelmi és szolgáltatási tevékenység végzése során számítógépes adatnyilvántartást működtet ügyfelei adatainak tárolására és ezen adatok alapján végez nyilvántartási, adatkezelési, feldolgozási és számlázási tevékenységet. Amikor a Felhasználó villamosenergia-szolgáltatás igénybevételére igénykérelmet nyújt be az Energetikai Központ Zrt. felé, majd később, amikor villamosenergia-vásárlási szerződés köt, ennek során személyes adatait az Energetikai Központ Zrt. részére átadja. Az Energetikai Központ Zrt. adatkezelése kizárólag a Felhasználók önkéntesen átadott adatain és a fenti törvényi hozzájárulás alapján történik. 3

4 6. A FELHASZNÁLÓK SZEMÉLYES ADATAINAK KEZELÉSE Az Energetikai Központ Zrt. a Felhasználók részére történő számlázás és a kapcsolódó díjak beszedése, valamint a hálózathasználati, illetve a hálózati csatlakozási szerződések figyelemmel kísérése céljából a szerződésekben meghatározott adatokon túl, a következő adatokat kezeli: - a Felhasználó személyes adatai (név, anyja neve, születési hely, idő, személyi azonosító okmány száma), illetőleg egyéb szerződéses adatai (telefonszám, cím, bankszámlaszám), - vételezés és/vagy a betáplálás időpontja, tartama, - vételezés és/vagy a betáplálás mennyisége, - a szerződésből eredő díjfizetéssel és a díjtartozással összefüggő adatok, - a Felhasználó által más engedélyestől történt vagy történő villamosenergia-vételezés és - elszámolás adatai, - a villamosenergia-vásárlási szerződés, hálózathasználati, illetve a hálózati csatlakozási szerződés felmondásának eseményei, - minden egyéb olyan adat, amelyet a villamosenergia-vásárlási szerződés, hálózathasználati, illetve a hálózati csatlakozási szerződés tartalmaz, illetve amely a szerződéses jogviszony időtartama alatt a szerződésben foglaltak teljesítése érdekében szükséges. 7. ADATFELDOLGOZÁS ÉS ADATTOVÁBBÍTÁS A Felhasználó személyes adatai közül az adatkezelés céljához szükséges adatok átadhatók (adattovábbítás): - azoknak, akik az Energetikai Központ Zrt. megbízása alapján, a leolvasást, a számlázást, a követelések kezelését, az ellenőrzést, a kivitelezést illetve az ügyfél-tájékoztatást végzik, illetve egyéb, az Energetikai Központ Zrt. és a rendszerhasználó közötti szerződés teljesítéséhez szükséges részfeladat ellátására vállalták. - a számlázási és elszámolási jogviták rendezésére az Energetikai Központ Zrt. megbízása alapján jogi képviselő valamint jogszabály alapján jogosult szervek részére. - a Magyar Energia Hivatalnak azon adatok, amelyek a szolgáltatásra, vételezésre vonatkoznak, és amely adatok ismeretére a Magyar Energia Hivatalnak törvényben foglalt kötelezettségének teljesítéséhez, illetve jogának gyakorlásához van szüksége. A jelen pont alapján átadott adatokkal kapcsolatban az adatokat átvevőkre az Energetikai Központ Zrt-vel azonos titoktartási kötelezettség vonatkozik. 8. ADATOK KEZELÉSÉNEK HATÁRIDEJE, ADATTÁROLÁS Személyes adatok tárolása a vonatkozó jogszabályok, és a megkötött szerződések, megállapodások alapján felvett és rögzített személyes adatokat a célhoz-kötöttség fennállásáig lehet csak tárolni. Az Energetikai Központ Zrt. köteles biztosítani, hogy a villamosenergia-kereskedelemmel és kapcsolódó tevékenységeivel kapcsolatos adatok a rögzítésüktől számított 5 naptári évig ellenőrizhetőek legyenek. A Felhasználóhoz kapcsolódó valamennyi olyan dokumentumot és/vagy ezen dokumentumok számítástechnikai rendszerben rögzített adattartalmát, melyek gazdasági esemény megtörténtét dokumentálják, s így számviteli bizonylatnak minősülnek, az Energetikai Központ Zrt. a hatályos adó és számviteli szabályokban meghatározott megőrzési időig tárolja. Ilyen dokumentumnak minősülnek különösen: szerződések, azok módosításai, az azokon alapuló számlák, befizetési bizonylatok, ellenőrzések, beavatkozások bizonylatai, dokumentumai. 4

5 A telefonon érkezett ügyfélmegkeresések rögzítésre és 5 évig visszakereshetően megőrzésre kerülnek. A Felhasználó kifejezetten hozzájárul ahhoz, hogy az Energetikai Központ Zrt. a Felhasználó adatait rögzítse, azt számítástechnikai eszközökkel automatizáltan feldolgozza és elemezze. Az alábbi un. technikai adatokat kell - a tárolt személyes adatok célhoz kötöttségének megszűnését és törlését követően is - számítógépes nyilvántartásba vett adathordozón 5 évig tárolni: - adatfelvétel, szerződéskötés dátuma, - adatfelvétel, szerződés csoportazonosítója (iktatószáma), - személyes adatok rögzítésének dátuma. - személyes adatok tárolásának módja, - személyes adatok továbbításának dátuma, - személyes adatok törlésének dátuma A marketing célból felvett és tárolt Felhasználói adatokat a Felhasználó kérésére azonnal, ennek hiányában a Felhasználó és az Energetikai Központ Zrt. közti jogviszony megszűnésekor kell törölni. A marketing célból felvett adatok törlését a Felhasználó az Energetikai Központ Zrt. ügyfélszolgálatán, vagy a kézhez vett hírlevélen meghatározott telefonszámon, vagy címen kérheti. 9. ADATBIZTONSÁGRA VONATKOZÓ RENDELKEZÉSEK A Kereskedő a villamosenergia-értékesítéssel kapcsolatban a tudomására jutott információkat és adatokat a hatályos jogszabályok előírásainak megfelelően bizalmasan kezeli. Az adatokat a 7. pontban foglaltak kivételével - harmadik személyeknek nem továbbítja, és nem teszi hozzáférhetővé mindaddig, amíg a Felhasználó a szerződésben foglalt kötelezettségeit maradéktalanul teljesíti. A Felhasználó a villamosenergiavásárlási szerződés aláírásával feltétel nélkül hozzájárul ahhoz, hogy amennyiben kötelezettségeinek nem tesz eleget, az Energetikai Központ Zrt. a szükséges felhasználói adatokat a szintén titoktartásra kötelezett harmadik személy részére felhasználói azonosítás és/vagy követelés érvényesítés céljából kiadja. Az Energetikai Központ Zrt. mindent megtesz az általa kezelt felhasználói személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás, törlés, sérülés, megsemmisülés ellen, illetve egyén adatait is törlés, illetőleg sérülés, megsemmisülés elleni védelméért. 10. AZ ÉRINTETTEK JOGAI ÉS ÉRVÉNYESÍTÉSÜK A Felhasználó kérelmezheti az adatkezelőnél - tájékoztatását személyes adatai kezeléséről, - személyes adatainak helyesbítését, valamint - személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását. A Felhasználó kérelmére az Energetikai Központ Zrt., mint adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az Energetikai Központ Zrt. köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. 5

6 A tájékoztatás megtagadása esetén az Energetikai Központ Zrt. írásban közli a Felhasználóval, hogy a felvilágosítás megtagadására mely jogszabályi rendelkezés alapján került sor. A felvilágosítás megtagadása esetén az Energetikai Központ Zrt. tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) fordulás lehetőségéről. Az elutasított kérelmekről az adatkezelő a Hatóságot évente a tárgyévet követő év január 31-éig értesíti. Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az Energetikai Központ Zrt. rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti. A személyes adatot törölni kell, ha - kezelése jogellenes; - az érintett ezt kéri; - az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; - azt a bíróság vagy a Hatóság elrendelte. Törlés helyett az Energetikai Központ Zrt zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. Az Energetikai Központ Zrt. megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Ha az Energetikai Központ Zrt. az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az Energetikai Központ Zrt. tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről. 11. TILTAKOZÁS SZEMÉLYES ADAT KEZELÉSE ELLEN Az érintett tiltakozhat személyes adatának kezelése ellen, ha - a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; - a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint - törvényben meghatározott egyéb esetben. Az Energetikai Központ Zrt. a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha az Energetikai Központ Zrt. az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással 6

7 érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Ha az érintett az Energetikai Központ Zrt. a döntésével nem ért egyet, illetve ha az Energetikai Központ Zrt. a határidőt elmulasztja, az érintett - a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül - bírósághoz fordulhat. 12. AZ ENERGETIKAI KÖZPONT ZRT. ADATVÉDELMI FELELŐSE Az Energetikai Központ Zrt adatvédelmi felelőse: - közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában, - ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását, - kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót, - elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot, - vezeti a belső adatvédelmi nyilvántartást, - gondoskodik az adatvédelmi ismeretek oktatásáról. Ellenőrzési és intézkedési feladatok: Adatvédelmi szabályok megsértésének esetei: - A szabályozás megsértéséből származó jogosulatlan és/vagy célhoz kötöttség nélküli adatkezelés, adattovábbítás vagy adatátadás, - Hanyag vagy gondatlan magatartással ok-okozati összefüggésbe hozható illetéktelen hozzáférés személyes adatokhoz, - Az adat- és informatikabiztonsági szabályzatban foglaltak be nem tartása miatt bekövetkezett adatvesztés, adatsérülés, - Jogosulatlan vagy a céltól eltérő adatkezelés, Szankciók (a magatartás által bekövetkezett sérelem, érdeksérelem súlyától függően): - Igazgatói figyelmeztetés, - Belső Fegyelmi eljárás, - Büntető feljelentés. Az Adatvédelmi Szabályzat aktuális változata hozzáférhető és letölthető a honlapon, vagy az Energetikai Központ Zrt. ügyfélszolgálatán. Az Energetikai Központ Zrt. által kezelt adatokkal kapcsolatban felvilágosítás az alábbi elérhetőségeken kérhető: - elektronikus levélben, mely az info@energetikaikozpont.hu címre küldendő; - hagyományos levélben, mely az Energetikai Központ Zrt. címére küldendő: 1396 Budapest, Pf telefonon a / ös ügyfélszolgálati számon. 7

8 13. ZÁRÓ RENDELKEZÉSEK Az Adatvédelmi Szabályzat mindenkor hatályos szövegét az Energetikai Központ Zrt. köteles a honlapján közzétenni, illetőleg az ügyfélszolgálati irodában bárki számára hozzáférhetővé tenni. A jelen Adatvédelmi Szabályzatot jóváhagyta Budapesten, május 25. napján: Fehér András adatvédelmi felelős Valéria Fára Lábadyová vezérigazgató 8