ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT

Átírás

1 ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT Jóváhagyta: Jobbágy János igazgatóság elnöke Hatályos: október 1. 1/2015. (X.01.) számú Igazgatósági Határozat 1

2 Preambulum A Dunacorp Faktorház Zrt. (továbbiakban: Társaság) évben teljes körűen felülvizsgálta adatkezelési és adatbiztonsággal kapcsolatos eljárásait, melynek eredményeként új alapokra helyezve, átstrukturálta rendszerét annak érdekében, hogy valamennyi ügyfelének a követeléskezelési eljárással összefüggő személyes adatait a jogszabályi előírásokon túlmenően is biztonságosan kezelje. A Szabályzat célja Jelen belső Szabályzat célja, hogy a Társaságnál kezelt adatok tekintetében garanciát nyújtson az adatvédelemre, az adatbiztonságra vonatkozó követelmények ágazati törvényben megfogalmazott előírásainak megfelelésre. 1. Adatvédelmi szabályozások 1.1. Jogszabályi háttér az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (Infotv.); a hitelintézetekről és a pénzügyi vállalkozásokról szóló évi CCXXXVII. törvény (Hpt.); a Magyar Nemzeti Bankról szóló évi CXXXIX. törvény (MNBtv.) a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló évi CXXXVI. törvény; a Polgári Törvénykönyvről szóló évi V. törvény (Ptk.); a Munka Törvénykönyvéről szóló évi I. törvény; a társadalombiztosítás ellátásairól szóló évi LXXX. törvény; a személy- és vagyonvédelem és a magánnyomozói tevékenység szabályairól szóló évi CXXXIII. törvény; 114/2007. (XII.29.) GKM rendelet a digitális archiválás szabályairól; 20/2012. (X. 15.) MNB rendelet a jegybanki információs rendszerhez szolgáltatandó információk és az információt szolgáltatók köréről, a szolgáltatás módjáról és idejéről; 6/2013. (III.11.) számú PSZÁF Ajánlás a belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról Belső szabályzatok Igazgatósági utasítás a követeléskezelési tevékenységnek a nyilvántartási rendszerből történő lekérdezés útján történő ellenőrzésére. Az informatikai biztonságot és üzletmenet folytonosságot biztosító szabályzatrendszer Iratkezelési Szabályzat Informatikai Biztonsági Szabályzat Kiszervezési Politika Üzletmenet Folytonossági terv/szabályzat Tűzvédelmi Szabályzat KHR Szabályzat 2

3 2. Adatvédelmért felelős személyek 2.1. Igazgatóság elnöke Dunacorp Faktorház Zrt. Az adatvédelem első számú felelőse a Társaságnál. Feladatai e körben: gondoskodik a személyes adatok kezelésére vonatkozó jogelvek érvényesüléséről; gondoskodik az adatok biztonságáról, az ehhez szükséges szervezési és technikai intézkedések meghozataláról, belső eljárási szabályok kialakításáról; gondoskodik az adatkezelési műveletekre vonatkozó utasítások jogszerűségének biztosításáról; kijelöli az adatvédelmi felelőst és rendszeresen ellenőrzi a munkáját; biztosítja e szabályzatban meghatározott feledatok ellátásához szükséges erőforrásokat; meghatározza az adatvédelemmel összefüggő tevékenységeket és felelős személyeket; fogadja és kivizsgáltatja az adatkezelést kifogásoló bejelentésekete, meghozza a szükséges döntéseket az intézkedésekről Adatvédelmi felelős A jogszabályi előrások szerint a Társaság a pénzügyi intézményként végzett adatkezelései tekintetében köteles adatvédelmi felelőst kinevezni és bejelenteni. A kinevezett adatvédelmi felelős az e szabályzat hatálya alá tartozó ügyekben jár el (lsd. 1. sz. melléklet). Feladatai: közreműködik, valamint előkészíti az adatkezeléssel kapcsolatos döntések meghozatalát, biztosítja az érintettek jogainak érvényesülését; ellenőrzi az adatkezelésre vonatkozó jogszabályok és belső szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a betartását; az ellenőrzését írásba foglalja és átadja az igazgatóság elnökének; kivizsgálja a hozzá érkezett bejelentéseket és szükség esetén intézkedést kezdeményez az igazgatóság elnökénél; jogosulatlan adatkezelés észlelése esetén annak haladéktalan megszüntetésére szólítja fel az adatkezelőt vagy az adatfeldolgozót; előkészíti a belső szabályozást, figyelemmel kíséri a jogszabályi változásokat és intézkedik azok haladéktalan átvezetése érdekében; szakmai segítséget nyújt az igazgatóság elnökének; az igazgatóság elnökének utasítására bármikor ellenőrizni köteles a szabályzatban foglaltak gyakorlatban való érvényesülését; adatvédelmi oktatást szervez a Társaságnál, amiről nyilvántartást vezet; rendszeresen beszámol az igazgatóság elnökének az adatvédelemmel és adatbiztonsággal összefüggő témákban, ügyekben; nyilvántartja az adatkezeléssel kapcsolatban igazgatóság elnökének címzett feljegyzéseit; vezeti a Belső Adatvédelmi Nyilvántartást; részt vesz a belső adatvédelmi felelősök éves konferenciáján; köteles tárgyévet követő január 31-ig az elutasított adatkérésekről a felügyeleti hatóságot értesíteni; a tárgyévet követő hónap 31. napjáig éves feljegyzésben foglalja össze az igazgatóság elnökének az év adatvédelemmel összefüggő eseményeit és javaslatot tesz az esetleges jobbító intézkedések, átszervezések megtételére. 3

4 2.3. Adatkezelő meghatározza a személyes adatok kezelésének célját; végrehajtja az adatkezelésre vonatkozó döntéseket Szervezeti egységek vezetői szervezeti egységükben biztosítják az adatvédelemmel kapcsolatos jogszabályi és belső szabályzat szerinti előírások érvényesülését; fogadják és kivizsgálják a hozzájuk delegált bejelentéseket és intézkedési javaslattal továbbítják az igazgatóság elnökéhez; vitás esetekben az adatvédelmi felelőshöz fordulnak IT vezető szakmai útmutatást ad az igazgatóság elnökének az elektronikus adatok biztonságához szükséges technikai, szervezési intézkedések meghozatalához, valamint a belső eljárások kialakításához; gondoskodik az adatbiztonság IT hátterének üzemeltetéséről; javaslatot tesz az igazgatóság elnökének az adatbiztonsággal kapcsolatos új erőforrások beszerzésére, közreműködik az adatvédelmi felelős oktatási anyagának IT részről történő összeállításában Munkavállalók minden munkavállaló, megbízott vagy egyéb külső fél, aki adatot dolgoz fel, felelős azok minősítése szerinti titoktartásért (üzleti-, banktitok, stb.) a munkaviszony kezdetekor titoktartási nyilatkozatot kötelesek aláírni; felelősek az általuk végzett adatfeldolgozásért; adatkezeléssel kapcsolatos érdemi döntést nem jogosultak hozni; a személyes adatokat a Társaság rendelkezései szerint kötelesek tárolni és megőrizni; továbbítják a hozzájuk beérkezett bejelentéseket az adatvédelmi felelősnek; kötelesek jelezni az adatvédelmi felelősnek (lehetőleg azonnal) írásban az adatvédelmi eseményeket, valamint azt, ha e szabályzat sérelmét észlelik. 3. Definíciók érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy; személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés; különleges adat: a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; 4

5 bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli; hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja; adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából; adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; 5

6 adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik; adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi; adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatait honlapon közzéteszi; adatállomány: az egy nyilvántartásban kezelt adatok összessége; adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés; harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; harmadik ország: minden olyan állam, amely nem EGT-állam. 4. A kezelt adatokra vonatkozó szabályok 4.1. Adatkezelési elvek A Társaság, mint adatkezelő a jóhiszeműség és tisztesség követelményeinek megfelelően az érintetettekkel együttműködve köteles eljárni. A Társaság jogait és kötelezettségeit rendeltetésüknek megfelelően gyakorolja és teljesíti. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A Társaság az adatkezelés során biztosítja az adatok pontosságát, teljességét és naprakészségét, valamint azt, hogy az érintett csak az adatkezelés céljához szükséges ideig legyen azonosítható. 6

7 4.2. Az adatnyilvántartás Az adatnyilvántartás dokumentálja az adatkezeléssel kapcsolatos legfontosabb tényeket és körülményeket, így: az adatkezelés megnevezése az adatkezelés célja jogszabályi alapja adatkezelésben érintett szervezeti egység nyilvántartott adatok köre adatok forrása esetleges adattovábbítás adatbiztonsági intézkedés adatok megőrzésének, illetve törlésének ideje. A Nyilvántartás negyedévente frissített nyomtatott pédánya az adatvédelmi felelősnél hozzáférhető. A papír alapú példányok megőrzésére az Iratkezelési Szabályzat előírásai irányadóak Ügyféladatok A Társaság ügyfelei az engedményezésekkel érintett természetes személyek, egyéni vállalkozók, jogi személyiségű gazdasági társaságok vagy jogi személyiséggel nem rendelkező egyéb szervezetek. Az adatkezelésre a Hpt. biztosít jogalapot. Az adatok forrása az engedményező által szolgáltatott adatok, valamint a nyilvános adatbázisok (pl: cégnyilvántartás). A Társaság rendelkezésére bocsájtott minden érintettekkel összefüggő adatot a munkavállalók kötelesek időbeli korlátozás nélkül az adatvédelmi szabályok szerint megőrizni. Tilos az adatokkal bármilyen olyan műveletet végezni, mely a Társaság szabályzatai alapján nem indokolt. Az érintettekről nyilvántartott adatok körét a Belső Adatvédelmi Nyilvántartás tartalmazza A munkavállalók adatainak kezelése Személyügyi nyilvántartás Valamennyi jogviszonyban lévő munkatárs adatát tartalmazza. Az adatok a munkajogi jogviszonnyal kapcsolatos tények megállapítására, a munkaköri követelmények igazolására és a törvény szerinti statisztikai adatszolgáltatásra kerülnek felhasználásra. Adatkezelés jogalapja: Munka Törvénykönyve. A nyilvántartásban szereplő adatok körét a Belső Adatvédelmi Nyilvántartás tartalmazza. A személyügyi nyilvántartás kezelője: bérszámfejtés illetékes munkatársa Bér- és munkaügyi nyilvántartás A Társaság valamennyi munkatársának munkavállalói, valamint szerződéses jogviszonyára vonatkozó tények dokumentálását biztosító adatkezelés. Adatkezelés jogalapja: Munka Törvénykönyve, Tbtv., Szja. tv., Ptk. 7

8 Adatkör: a munkavállaló munkaviszonyával kapcsolatos tények megállapítására; bérszámfejtésre; létszámtervezésre; tiszteletdíjak, megbízási díjak számfejtésére; TB ügyintézésre; statisztikai adatszolgáltatásra használhatók fel Partnerek személyes adatainak kezelése A Társasággal vállalkozói vagy megbízási szerződéses jogviszonyban lévő gazdálkodó szervezetek adatainak kezelésére az ügyfelek személyes adatainak kezelésével kapcsolatos szabályok az irányadók. Adatkezelés jogalapja: Ptk Az adatok megőrzési ideje A fenti adatok és az e szabályzatban érintett adatok megőrzési idejéről a Társaság Iratkezelési Szabályzatának előírásai irányadóak, amennyiben külön jogszabályi előírás adott időtartamra nem vonatkozik. 5. Adatvédelem és adatbiztonság A Társaság, mint adatkezelő köteles gondoskodni az adatok biztonságáról. Ennek körében megtesz minden szükséges technikai és szervezési intézkedést mind az informatikai eszközök útján tárolt, mind a hagyományos papíralapú adathordozókon tárolt adatállományok védelme tekintetében. Érvényre juttatja a vonatkozó jogszabályokban előírt adatbiztonsági szabályok érvényesülését. Kialakítja azokat a belső eljárási szabályokat, amelyek a vonatkozó jogszabályok adat-és titokvédelmi szabályainak érvényesítéséhez nélkülözhetetlenek. A Társaság, mint adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltoztatásából adódó hozzáférhetetlenné válás ellen. Az adatbiztonság feltételeinek érvényesülése érdekében a Társaság gondoskodik a munkatársak ezirányú oktatásáról. Az elektronikus adatok biztonságának szabályait külön szabályzat részletezi. A nem elektronikus formában tárolt adatok biztonságára az Iratkezelési Szabályzat rendelkezései alkalmazandóak. 8

9 6. Különleges eljárások 6.1. Tájékoztatás, Betekintés Az érintett kérelmére a Társaság tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. A Társaság - a belső adatvédelmi felelős útján - az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az érintett a róla a Társaságnál fellelhető adatokba és iratokba betekintést kérhet, azokból kivonatot készíthet vagy kérhet, megismerheti a személyét érintő nyilvántartások tartalmát. Kérésére a Társaság a papíralapú iratokról másolatot készít, az elektronikusan tárolt adatokat pedig közérthető formában, kinyomtatva adja át az érintettnek. A tájékoztatás ingyenes, amennyiben az érintett a tárgyévben azonos területre vonatkozó kérelemmel még nem fordult az adatkezelőhöz. Egyéb esetben a költségtérítés mértékéről a Társaság tájékoztatja az érintettet. A tájékoztatás tartalmazza: az érintettről kezelt adatok körét, forrását, az adatkezelés célját és jogalapját, időtartamát, esetleges adattovábbítás esetén annak jogalapját és címzettjét. A betekintésről feljegyzés készül az adatvédelmi felelős jelenlétében. A feljegyzés másolati példányát a tájékoztatást kérő kapja meg. Az adatvédelmi felelős köteles 10 évig megőrizni a feljegyzést és mellékleteit. Az alábbi esetekben kell megtagadni a tájékoztatást: az állam külső, vagy belső biztonsága; állami, vagy önkormányzati gazdasági vagy pénzügyi érdek; az EU jelentős gazdasági vagy pénzügyi érdeke; munkajogi, vagy munkavédelmi kötelezettségszegések megelőzése és feltárása; az érintett vagy mások jogainak védelme. A tájékoztatás megválaszolásáról vagy megtagadásáról az igazgatóság elnöke dönt, az adatvédelmi felelős előzetes meghallgatását követően. Az igazgatóság elnöke elutasító döntéséről a tájékoztatást kérőt 30 napon belül írásban, közérthetően értesíti. 9

10 Az elutasítás tartalmazza, hogy a törvény mely rendelkezésén alapul, valamint a jogorvoslati fórumokat (bírósági jogorvoslat), továbbá a Nemzeti Adatvédelmi és Információszabadság Hatóságához (továbbiakban: NAIH) fordulás lehetőségét Adatok helyesbítése, törlése, zárolása és megjelölése A valóságnak nem megfelelő adatokat az adatvédelmi felelősnek helyesbítenie kell. Az alábbi esetekben kell biztosítani az adatok törlését vagy deperszonalizálását (természetes személyhez köthetőségének megszüntetése): a kezelés jogellenessége megállapítást nyer; az érintett kéri; az adat hiányos, vagy téves és törvény nem zárja ki a törlését; az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben, vagy szabályzatban meghatározott határideje eltelt; bíróság, vagy a NAIH jogerős határozattal elrendelte. A Társaság abban az esetben zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a meglévő információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. A Társaság akkor jelöli meg az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága egyértelműen nem megállapítható. Mind a helyesbítésről, mind a zárolásról, valamint a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. A Társaság az értesítést mellőzi, ha ez az adatkezelés céljára tekintettel nem sérti az érintett érdekeit. Amennyiben az érintett kérelme elutasításra kerül, arról 30 napon belül írásban, az elutasítás ténybeli és jogi indokait megjelölve kell értesíteni. Az elutasításban a bírósági jogorvoslatról és a NAIH-hoz fordulás lehetőséről is kell nyilatkoznia a Társaságnak Tiltakozás személyes adat kezelése ellen Az érintett az alábbi esetekben tiltakozhat adatának kezelése ellen: az adatkezelés/adatovábbítás kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, vagy az adatkezelő, adatátvevő, vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetét; közvetlen üzletszerzés, közvélemény-kutatás, vagy tudományos kutatás céljából történt; törvényben megfogalmazott más esetek. Az adatvédelmi felelős az érintett tiltakozását a kérelem benyújtásától számított legrövidebb időn belül, de maximum 15 napon belül megvizsgálja, annak megalapozottságáról írásbeli feljegyzést készít, amit az igazgatóság elnökének ad át. Ha az adatvédelmi felelős az érintett tiltakozásának megalapozottságáról értesíti az Igazgatóság elnökét, úgy az adatkezelést, amennyiben az igazgatóság elnöke is egyetért, meg kell szüntetni, az adatokat zárolni kell és erről az érintettet írásban értesíti. Ha az érintett a döntéssel nem ért egyet, vagy 15 napon belül nem kap írásos választ a Társaságtól, úgy joga van a bíróságtól jogorvoslatot kérni. 10

11 6.4. Kártérítés A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő vagy a károsult szándékos, vagy súlyosan gondatlan magatartása okozta Személyes adatok nyilvánosságra hozatala A személyes adatok nyilvánosságra hozatala kivéve, ha az érintett erre felhatalmazást ad, vagy törvény rendeli el TILOS. Statisztikai adatközlés megengedett, ha abból nem ismerhető fel az, akire az adat vonatkozik. Az érintett hozzájárulásától függetlenül teljesíteni kell a büntetőügyekben eljáró hatóságoktól és a nemzetbiztonsági szolgálatoktól érkező, törvényi felhatalmazáson alapuló megkereséseket. E szervek megkereséseit az igazgatóság elnöke válaszolja meg. Az adatszolgáltatásról az adatvédelmi felelős feljegyzést készít. 7. Külső fél adatkezelése A Társaság egyedi és rendszeres jelleggel külső felet, adatfeldolgozót vehet igénybe az adatkezelési műveletekhez kapcsolódó technikai tevékenységek végrehajtására. Külső fél kizárólag megbízási szerződés alapján vehető igénybe. A megbízási szerződés megkötéséért az igazgatóság elnöke felelős. 8. Oktatás A Társaság minden munkatársának meg kell ismernie az adatvédelmi szabályzatot és annak alkalmazása érdekében oktatáson vesz részt. A belépést követően egy héten belül meg kell tartani az oktatást. Az oktatást a rendszergazda és az adatvédelmi felelős tartja és az oktatás megtörténtét jegyzőkönyv aláírásával ismeri el a munkavállaló. 9. Közvetítők Jelen Adatkezelési Szabályzatban rögzítettek betartatása Társaság részéről a hitelintézetekről és a pénzügyi vállalkozásokról szóló évi CCXXXVII. tv. (Hpt.) 6. (1) bek.-ének 90. pontjának (a) alpontja, 10. (1) bek.-ének aa) alpontja szerinti kiemelt közvetítőjével és annak Hpt ának (3) bekezdése és 21. -ának (2) bekezdése szerinti közvetítői alvállalkozói vonatkozásában is kötelező, melynek elmaradásából származó jogkövetkezményekért helytállásra köteles. 10. Záró rendelkezések Jelen szabályzatban nem szabályozott kérdésekben a vonatkozó jogszabályok és a társaság informatikai, iratkezelési és egyéb vonatkozó tárgyú szabályzatai, belső utasításai rendelkezései az irányadóak. Jelen szabályzat aláírása napján lép hatályba és visszavonásig érvényes. Budapest, október 1. Jobbágy János igazgatóság elnöke 11

12 1. MELLÉKLET: Az adatvédelmi felelős megnevezése A Dunacorp Faktorház Zrt.-nél kinevezett adatvédelmi felelős: Neve: Mészáros Enikő Munkaköre: fogyasztóvédelmi és adatvédelmi felelős 12

13 2. MELLÉKLET: adatbetekintési kérelem ADATBETEKINTÉSI KÉRELEM Iktatószám:... A TÁJÉKOZTATÁST KÉRŐ SZEMÉLY ADATAI: Név:... Cégnév:... Születési hely:... Születési idő:... Székhely: Anyja neve:... Szerződés szám, egyéb azonosító:... A TÁJÉKOZTATÁSI KÉRELEM INDOKA: A MEGISMERNI KÍVÁNT ADATOK KÖRE: Kelt: a tájékoztatást kérő (cégszerű) aláírása Tájékoztatást kérő által csatolt mellékletek:...db Tájékoztatást kérő azonosítása betekintési kérelme jogosságának megállapítására 13

14 ENGEDÉLYEZÉS Alulírott, Jobbágy János, mint a Dunacorp Faktroház Zrt. Igazgatóságának elnöke, az... iktatószámon nyilvántartott kérelmet a Dunacorp Faktorház Zrt. adat-nyilvántartási rendszerében tárolt személyes adatai megismerésére o engedélyezem o engedélyezem, az alábbi korlátozásokkal: o elutasítom, indoklásom a következő: Kelt:... Igazgatóság elnöke által csatolt mellékletek:...db... igazgatóság elnöke P.H. JÓVÁHAGYÁS BETEKINTÉSRŐL Betekintés helye, ideje:... A betekintéssel érintett adatok köre: Jelenlévők a tájékoztatást kérő részéről: Jelenlévők a Dunacorp Faktorház Zrt. részéről: A Dunacorp Faktorház Zrt. tájékoztatást adott az általa nyilvántartott személyes adataim köréről, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatokat megismerő más szervezetek köréről és az adottovábbítás céljáról, jogalapjáról. Kelt:... csatolt mellékletek:...db... a tájékoztatást kérő (cégszerű) aláírása 14