Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. ADATVÉDELMI SZABÁLYZAT Zalaegerszeg 2012.
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. 1. Általáns rendelkezések 1.1. A szabályzat célja Az Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. (a tvábbiakban: Társaság) az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló törvényben fglalt kötelezettségének teljesítésére jelen ban határzza meg az adatvédelem és adatbiztnság követelményeit. A Társaság adatvédelmi szabályzatának célja, hgy biztsítsa a Társaság, mint pénzügyi vállalkzás ügyfelei minden lyan adatának védelmét, amely banktitknak vagy személyes adatnak minősül. 1.2 A szabályzat hatálya A szabályzat hatálya kiterjed minden, a Társaság által végzett természetes személyek és más személyek banktitknak és / vagy személyes adatnak minősülő adatainak kezelésre, feldlgzásra, illetve a vezetett nyilvántartásk működésének rendjére. A szabályzat hatálya nem terjed ki a természetes személyek és más személyek nyilváns vagy közhiteles nyilvántartásban szereplő nyilváns adatainak kezelésére, feldlgzására, illetve a vezetett nyilvántartásk működésének rendjére. 1.3. Értelmező rendelkezések A hitelintézetekről és pénzügyi vállalkzáskról szóló 1996. évi XCVI törvény (a tvábbiakban: Hpt.) 50. (1) és (2) bekezdései szerint: Banktitk minden lyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, infrmáció, megldás vagy adat, amely az ügyfél személyére, adataira, vagyni helyzetére, üzleti tevékenységére, gazdálkdására, tulajdnsi, üzleti kapcslataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, frgalmára, tvábbá a pénzügyi intézménnyel kötött szerződéseire vnatkzik. E törvény banktitkra vnatkzó rendelkezései szempntjából a pénzügyi intézmény ügyfelének kell tekinteni mindenkit, aki (amely) a pénzügyi intézménytől pénzügyi szlgáltatást vesz igénybe. A banktitk, amennyiben az természetes személlyel áll összefüggésben, egyúttal személyes adat is, ezért kezelésére az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló törvény rendelkezéseit is alkalmazni kell. A törvény szerint: Személyes adat: a meghatárztt természetes személlyel (a tvábbiakban: érintett) kapcslatba hzható adat, különösen az érintett neve, aznsító jele, valamint egy vagy több fizikai, fizilógiai, mentális, gazdasági, kulturális vagy szciális 2
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. aznsságára jellemző ismeret, valamint az adatból levnható, az érintettre vnatkzó következtetés. Az adatvédelmi szabályzat által használt egyes fgalmak jelentését a törvény 3. szakaszával megegyezően a Függelék tartalmazza. 1.4. Az adatvédelem alapfgalmai és elvei A Társaság működése srán az adatkezelést célhz-kötötten és aránysan kell alkalmazni. Személyes adat csak meghatárztt törvényes célból, jg gyakrlása és kötelezettség teljesítése érdekében kezelhető, a cél eléréséhez szükséges mértékben és ideig. Ha az adatkezelés célja megszűnt, vagy az adatk kezelése egyébként jgellenes, az adatkat törölni kell. A törlés az adatk felismerhetetlenné tétele ly módn, hgy helyreállításuk már nem lehetséges. Az adatkezelés törlésével, megszüntetésével kapcslats tényeket jegyzőkönyvben kell rögzíteni. Az adatk törlésének részletes szabályait a papír és egyéb, irattárzható adathrdózón tárlt adatk esetében az Iratkezelési szabályzat, az infrmatikai rendszerekben tárlt adatk törlésének részletes szabályait az Infrmatikai Biztnsági szabályzat állapítja meg. 1.5. Adattkkal kapcslats titktartás Aki személyes adat és/vagy banktitk birtkába jut, köteles azt időbeli krlátzás nélkül megtartani. A titktartási kötelezettség alapján a személyes adat vagy banktitk körébe tartzó tény, infrmáció, megldás vagy adat, nem adható ki harmadik személynek, és feladatkörön kívül nem használható fel. Aki személyes adat és/vagy banktitk birtkába jut, nem használhatja fel arra, hgy annak révén saját maga vagy más személy részére közvetlen vagy közvetett módn előnyt szerezzen, tvábbá, hgy a Társaságnak vagy ügyfeleinek hátrányt kzzn. A Társaság jgutód nélküli megszűnése esetén a társaság által kezelt személyes adatt és/vagy banktitkt tartalmazó irat a keletkezésétől számíttt hatvan év múlva a levéltári kutatásk céljára felhasználható. 1.6. Az adatbiztnság követelménye Az adatkezelési műveleteket úgy kell megtervezni és végrehajtani, hgy az adatkezelésre vnatkzó más szabályk alkalmazása srán biztsítsa az érintettek magánszférájának védelmét. 3
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. Az adatkezelés srán gndskdni kell az adatk biztnságáról, meg kell tenni azkat a technikai és szervezési intézkedéseket, és kialakítani azkat az eljárási szabálykat, amelyek az adat- és titkvédelmi szabályk érvényre juttatásáhz szükségesek. Az adatkat megfelelő intézkedésekkel védeni kell különösen a jgsulatlan hzzáférés, megváltztatás, tvábbítás, nyilvánsságra hzatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, tvábbá az alkalmaztt technika megváltzásából fakadó hzzáférhetetlenné válás ellen. A személyes adatk autmatizált feldlgzása srán biztsítani kell: a jgsulatlan adatbevitel megakadályzását; az autmatikus adatfeldlgzó rendszerek jgsulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályzását; annak ellenőrizhetőségét és megállapíthatóságát, hgy a személyes adatkat adatátviteli berendezés alkalmazásával mely szerveknek tvábbíttták vagy tvábbíthatják; a különböző nyilvántartáskban tárlt adatk közvetlenül nem kapcslhatók össze és érintetthez nem rendelhetők, annak ellenőrizhetőségét és megállapíthatóságát, hgy mely személyes adatkat, mikr és ki vitte be az autmatikus adatfeldlgzó rendszerekbe; a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és azt, hgy az autmatizált feldlgzás srán fellépő hibákról jelentés készüljön. Az adatk biztnságát szlgáló intézkedések meghatárzásakr és alkalmazásakr tekintettel kell lenni a technika mindenkri fejlettségére. Több lehetséges adatkezelési megldás közül azt kell választani, amely a személyes adatk magasabb szintű védelmét biztsítja, kivéve, ha az aránytalan nehézséget jelentene a Társaságnak. 2. A személyes adatk védelme 2.1. Az adatkezelések általáns szabályai Személyes adatt a Társaság akkr kezel, ha ahhz az érintett személy hzzájárult, vagy az adatkezelés a számára kötelező. Az érintett személy a hzzájárulását a Társasággal írásban kötött szerződés keretében adja meg a szerződésben fglaltak teljesítése céljából. A társaság szerződéseinek tartalmaznia kell minden lyan infrmációt, amelyet a személyes adatk kezelése szempntjából az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló törvény alapján az érintett személynek ismernie kell, így különösen a kezelendő adatk meghatárzását, az adatkezelés időtartamát, a felhasználás célját, az adatk tvábbítását, adatfeldlgzó igénybevételét. A 4
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. szerződések mintáit a társaság Üzletszabályzata és a Munkaügyi szabályzata tartalmazzák. A szerződéseknek félreérthetetlen módn tartalmaznia kell, hgy az érintett aláírásával hzzájárul adatainak a szerződésben meghatárzttak szerinti kezeléséhez. A Társaság számára kötelező az adatkezelés, ha a nemzetbiztnság, a bűnmegelőzés vagy a bűnüldözés érdekében azt törvény elrendeli. Kötelező az adatkezelés a pénzmsás elleni törvény előírásai szerint. A törvényi kötelezettségeket és a követendő eljárást a Társaság Pénzmsás elleni szabályzata tartalmazza. Az érintett személlyel az adat felvétele előtt közölni kell az adatkezelés célját, valamint azt, hgy az adatszlgáltatás önkéntes vagy kötelező. Kötelező adatszlgáltatás esetén meg kell jelölni az adatkezelést elrendelő jgszabályt, illetve a Társaság vnatkzó szabályzatát is. A Társaság szervezeti egységeinél adatkezelést végző alkalmazttak kötelesek az általuk megismert személyes adatkat szlgálati titkként megőrizni. Ilyen munkakörben csak lyan személy fglalkztatható, aki titktartási nyilatkzatt tett. A titktartási nyilatkzat a munkaszerződés, illetve a megbízási szerződések része, a munkavállalók, illetve a Társaság megbízttai annak aláírásával tesznek nyilatkzatt. 2.2. A személyes adatk minősége A társaság által kezelt személyes adatknak meg kell felelniük az alábbi követelményeknek: - felvételük és kezelésük tisztességes és törvényes; - pntsak, teljesek, és ha szükséges időszerűek; - tárlásuk módja alkalmas arra, hgy az érintettet csak a tárlás céljáhz szükséges ideig lehessen aznsítani. A Társaság adatkezelése srán krlátzás nélkül használható, általáns és egységes személyaznsító jelet nem alkalmaz. 2.3. Az adatvédelmi nyilvántartás A Társaság által létesített minden adatkezelésről nyilvántartást kell vezetni. A törzskönyv első példányát, az adatkezelést, illetve adatfeldlgzást végző szervezeti egység vezetője, másdik példányát az adatvédelmi felelőse őrzi. Az adatvédelmi nyilvántartásban kell dkumentálni az adatkezeléssel kapcslats legfntsabb tényeket és körülményeket. Ezek különösen: 5
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. az adatkezelés megnevezése, célja, rendeltetése, jgszabályi alapja (törvény, szabályzat) kezelője (szervezeti egység, annak vezetője, illetve az adatfeldlgzást végző felelős személy neve, besztása, irdája és telefnszáma), az érintettek köre és száma, a nyilvántarttt adatk köre, az adatk frrása (maga az érintett, vagy más adatkezelés), az adatfeldlgzás módszere (kézi, számítógépi, vegyes) az adatkn végzett gyakri adatkezelési műveletek (tárlás, módsítás, aktualizálás, válgatás, rendszerezés, stb.) az adattvábbítás (Mely szerv részére? Milyen rendszerességgel?) adatbiztnsági intézkedések, az adatk megőrzésének, illetve törlésének ideje. Az adatvédelmi nyilvántartás adatainak helytállóságát a társaság adatvédelmi felelőse és az illetékes adatkezelő évente felülvizsgálja, az időközben történt váltzáskat átvezeti. Az adatkezelés megszűnése után a nyilvántartást irattárzni kell. Az adatvédelmi nyilvántartás mintáját az 1. számú melléklet tartalmazza. 2.4. Az érintett jgai Az érintett az illetékes ügykezelőtől tájékztatást kérhet a róla szóló adatkezelésről és abba bele is tekinthet. A betekintést úgy kell biztsítani, hgy ez alatt az érintett más személy adatait ne ismerhesse meg. Az érintett kérelmére az adatkezelő tájékztatást ad az általa kezelt adatkról, az adatkezelés céljáról, jgalapjáról, időtartamáról, tvábbá arról, hgy kik és milyen célból kapták meg az adatkat. Adatváltzás vagy téves adatrögzítés észlelése esetén az érintett kérheti kezelt adatainak helyesbítését, illetve kijavítását. A téves adatt az adatkezelő két munkanapn belül helyesbíteni köteles. Nem kötelező adatszlgáltatásn alapuló adatkezelés esetén az érintett indklás nélkül kérheti kezelt adatainak törlését. A törlést két munkanapn belül el kell végezni. Adatkezeléssel kapcslats jgainak megsértése esetén az érintett a Társaság Igazgatóságának Elnökéhez frdulhat. 2.5. Adatközlések Adattvábbítás, ha az adatt meghatárztt harmadik személy tudmására hzzák. Az adattvábbítás megvalósulhat az adatkezelésbe történő betekintéssel vagy kivnat készítésével is. 6
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. Nyilvánsságra hzatal, ha az adatt bárki számára hzzáférhetővé teszik. Személyhez fűződő jgkat sért, aki üzleti titk birtkába jut és azt jgsulatlanul nyilvánsságra hzza, vagy azzal egyéb módn visszaél. 2.6. Adattvábbítás, az adatkezelések összekapcslása A személyes adatk akkr tvábbíthatók, valamint a különböző adatkezelések akkr kapcslhatók össze, ha az érintett ahhz hzzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az előző bekezdést kell alkalmazni az ugyanazn adatkezelő, valamint az állami és az önkrmányzati szervek által kezelt adatk összekapcslására is. Személyes adat harmadik személlyel adattvábbítás vagy nyilvánsságra hzatal frmájában közölhető. 2.7. Adattvábbítás külföldre Személyes adat (beleértve a különleges adatt is) az rszágból - az adathrdzótól vagy az adatátvitel módjától függetlenül - harmadik rszágban lévő adatkezelő vagy adatfeldlgzó részére akkr tvábbítható, ha ahhz az érintett kifejezetten hzzájárult. Személyes adatk nemzetközi jgsegélyegyezmény végrehajtása érdekében, az egyezményben meghatárztt célból és tartalmmal tvábbíthatók harmadik rszágba. Az Európai Unió tagállamaiba irányuló adattvábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattvábbításra kerülne sr. 2.8. Belső adattvábbítás, adatkezelések összekapcslása A Társaság szervezeti rendszerén belül az ügyfelek és az alkalmazttak személyes adatai - a feladat elvégzéséhez szükséges mértékben és ideig - csak lyan szervezeti egységhez tvábbíthatók, amely a pénzügyi szlgáltatási tevékenységgel és a munkavisznnyal kapcslats adminisztratív és szervezési feladatkat lát el. A Társaságn belüli adattvábbítással kapcslats knkrét kérdéseket minden adatkezelés esetében külön kell megállapítani és az adatkezelés törzskönyvében rögzíteni. A Társaságnál flyó különböző célra irányuló adatkezelések csak törvényes cél érdekében, indklt esetben, ideiglenesen kapcslhatók össze. Az adatkezelések összekapcslásával kapcslats alábbi tényeket jegyzőkönyvbe kell venni: az összekapcslt adatkezelések megnevezése, az összekapcslás célja, rendeltetése, az összekapcslás időpntja és tartama, 7
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. jgszabályi alapja (törvény, Társaság szabályzata) az összekapcslást végző személy neve, besztása, szervezeti egysége, irdája és telefnszáma, az összekapcslással érintettek köre és száma, az összekapcslt adatk köre, az összekapcslás módszere (manuális, számítógépes, vegyes) adatbiztnsági intézkedések. A jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, másdik példányát a Társaság adatvédelmi felelőséhez, harmadik példányát pedig a Társaság Igazgatósága Elnökéhez kell tvábbítani. A jegyzőkönyvet tíz évig kell megőrizni. 3. A banktitk védelme Banktitk harmadik személynek a törvényben megszabtt esetek kivételével nem adható ki. 3.1. Banktitk kiadása megkeresés alapján A Társaság szervezetén kívüli szervtől vagy magánszemélytől érkező, banktitk adatközlésre irányuló megkeresés csak akkr teljesíthető, ha a) azt a Társaság ügyfele, vagy annak törvényes képviselője a rá vnatkzó kiszlgáltatható banktitk kört pntsan megjelölve közkiratba vagy teljes biznyító erejű magánkiratba fglaltan kéri, vagy erre felhatalmazást ad (Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra, és a megkereséssel élő szervek meghatárztt körére.), b) a Hpt. a banktitk megtartásának kötelezettsége alól felmentést ad, c) a Társaság érdeke ezt az ügyféllel szemben fennálló követelése eladásáhz vagy lejárt követelése érvényesítéséhez szükségessé teszi. 3.2. Felmentés a banktitk alól A Hpt. alapján a banktitk megtartásának kötelezettsége nem áll fenn a) a feladatkörében eljáró Országs Betétbiztsítási Alappal, MNB-vel, Állami Számvevőszékkel, Gazdasági Versenyhivatallal, a Felügyelettel, az önkéntes intézményvédelmi és betétbiztsítási alapkkal, a közpnti költségvetési pénzeszközök felhasználásának szabályszerűségét és célszerűségét ellenőrző Krmányzati Ellenőrzési Hivatallal, b) a hagyatéki ügyben eljáró közjegyzővel, valamint a feladatkörében eljáró gyámhatósággal, 8
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. c) a csődeljárás, felszámlási eljárás, önkrmányzati adósságrendezési eljárás, illetve végelszámlás ügyében eljáró vagynfelügyelővel, felszámlóval, pénzügyi gndnkkal, illetve végelszámlóval, d) a flyamatban lévő büntetőeljárás keretében eljáró, valamint a feljelentés kiegészítését végző nymzó hatósággal, ügyészséggel, e) a büntető-, valamint plgári ügyben, tvábbá a csőd-, illetve felszámlási eljárás, valamint önkrmányzati adósságrendezési eljárás keretében a bírósággal, f) a külön törvényben meghatárztt feltételek megléte esetén a titksszlgálati eszközök alkalmazására, titks infrmáció gyűjtésére felhatalmaztt szervvel, g) a főigazgató eseti engedélye alapján a törvényben meghatárztt feladatkörében eljáró nemzetbiztnsági szlgálattal, h) a helyi önkrmányzatk címzett és céltámgatási rendszeréről szóló 1992. évi LXXXIX. törvény 17. (5) bekezdésében meghatárztt esetben a belügyminiszterrel és a pénzügyminiszterrel, i) az adó-, vám- és társadalmbiztsítási kötelezettség teljesítésének ellenőrzése, valamint az ilyen tartzást megállapító végrehajtható kirat végrehajtása, tvábbá a jgalap nélkül felvett ellátás összegének megtérülése érdekében eljáró adóhatósággal, vámhatósággal, illetve társadalmbiztsítási szervvel, j) bírósági végrehajtási eljárásban és a bírósági végrehajtó által leflytattt közigazgatási végrehajtási eljárásban - ideértve az 1994. évi LIII. törvény 79/C. (2) bekezdés alapján a közös számla nem adós tulajdnsának nevére és címére vnatkzó megkeresést is - eljáró végrehajtóval, k) nemzetközi szerződés alapján, külföldi hatóság írásbeli megkeresésének teljesítése érdekében írásban kér adatt - amennyiben a megkeresés tartalmazza a külföldi hatóság által aláírt titktartási záradékt - az adóhatósággal szemben, e szerveknek a Társaság Ügyvezetőjéhez intézett írásbeli megkeresése esetén. Az írásbeli megkeresésben meg kell jelölni azt az ügyfelet, akiről, vagy amelyről a fentiekben megjelölt szerv vagy hatóság a banktitk kiadását kéri, valamint a kért adatk fajtáját és az adatkérés célját, kivéve, ha a feladatkörében eljáró Felügyelet vagy az MNB helyszíni ellenőrzést flytat. A Felügyelet, valamint az MNB jgszabályban, illetőleg jegybanki rendelkezésben a Társaság számára előírt adatszlgáltatás srán is jgsult banktitkhz jutni. 9
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. A banktitk megtartásának kötelezettsége nem áll fenn abban az esetben sem, ha a magyar bűnüldöző szerv nemzetközi szerződés alapján, külföldi bűnüldöző szerv írásbeli megkeresésének teljesítése érdekében írásban kér adatt a Társaságtól, amennyiben a megkeresés tartalmazza a külföldi bűnüldöző szerv által aláírt titktartási záradékt. A Társaság a nymzó hatóság, a nemzetbiztnsági szlgálat és az ügyészség írásbeli megkeresésére haladéktalanul kiszlgáltatja a kért adatt az általa lebnylíttt ügyletről, ha adat merül fel arra, hgy az ügylet kábítószer-kereskedelemmel, terrrizmussal, illegális fegyverkereskedelemmel, pénzmsással, szervezett bűnözéssel van összefüggésben. A Társaság e kötelezettségének a Pénzmsási szabályzatában fglaltak szerint tesz eleget. Az adatkérők a bűnüldöző szervek kivételével az ügyfelet az adatkérésről kötelesek tájékztatni. E szervek megkereséseiről az illetékes adatkezelő közvetlenül köteles tájékztatni a Társaság Ügyvezetőjét, aki az adatszlgáltatást teljesíti. A Társaság ezekben az esetekben az adatk kiszlgáltatását - titktartási kötelezettségére hivatkzva - nem tagadja meg. 3.3. Adatátadás a banktitk védelme mellett A Társaság pénzügyi tevékenysége srán az alábbi adatátadáskat végzi, amelyek nem jelentik a banktitk sérelmét, amelynek srán meg kell őrizni az átvevőnek is a banktitkk: a) az lyan összesített adatk szlgáltatása, amelyből az egyes ügyfelek személye vagy üzleti adata nem állapítható meg, b) a Társaság által a közpnti hitelinfrmációs rendszernek, illetve e rendszerből a hiteladat-szlgáltatónak a meghatárztt és a rendszer szabályainak megfelelő adatszlgáltatás, c) a Társaság könyvvizsgálójának, a megbíztt vagynellenőrnek, jgi vagy egyéb szakértőnek, valamint hitelgarancia esetében az azt nyújtó szervezetnek a hitelszerződés teljesítéséhez szükséges mértékben történő adatátadás, d) a Társaság által kiszervezett infrmatikai rendszergazda tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző részére. 10
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. 4. Az adattvábbításk nyilvántartása 4.1. Belföldi adattvábbítás A megkeresés alapján teljesített adatszlgáltatással kapcslats tényeket, körülményeket jegyzőkönyv felvételével dkumentálni kell. A jegyzőkönyv az alábbi adatkat tartalmazza: a megkeresést kezdeményező szerv, vagy személy megnevezése, pstacíme, telefnszáma, az adatkérés célja, rendeltetése, az adatkérés jgszabályi alapja, illetve az érintett hzzájáruló nyilatkzata, az adatkérés időpntja, az adatszlgáltatás alapjául szlgáló adatkezelés megnevezése, az adatszlgáltatást teljesítő szervezeti egység megnevezése, az érintettek köre, a kért adatk köre, az adattvábbítás módja. A megkeresésről szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, másdik példányát a Társaság adatvédelmi felelőse őrzi. A jegyzőkönyvet tíz évig kell megőrizni. 4.2. Külföldre irányuló adattvábbítás Olyan adatkezelés esetén, amelynél számlni kell külföldre irányuló adattvábbítással, az érintettek figyelmét erre a körülményre már az adatk felvétele előtt fel kell hívni. Személyes adat az rszágból - az adathrdzótól vagy az adatátvitel módjától függetlenül - harmadik rszágban lévő adatkezelő vagy adatfeldlgzó részére csak akkr tvábbítható, ha ahhz az érintett írásban hzzájárul, ha azt törvény lehetővé teszi, vagy ha arról nemzetközi szerződés rendelkezik, feltéve, hgy a harmadik rszág jga - az Európai Unió által meghatárztt - megfelelő védelmet biztsít az átadtt adatk kezelése srán. Az Európai Unió tagállamaiba irányuló adattvábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattvábbításra kerülne sr. A külföldre irányuló adatszlgáltatással kapcslats tényeket, körülményeket jegyzőkönyv felvételével dkumentálni kell. A jegyzőkönyv az alábbi adatkat tartalmazza: az adattvábbítás címzettje (megnevezés, pstacím, telefnszám), az adattvábbítás célja, rendeltetése, az adattvábbítás jgszabályi alapja, illetve az érintett nyilatkzata, az adattvábbítás időpntja, az adatszlgáltatást teljesítő szervezeti egység megnevezése, 11
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. az érintettek köre, a tvábbíttt adatk köre, az adattvábbítás módja. A külföldre irányuló adattvábbításról szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, másdik példányát a Társág adatvédelmi felelőse őrzi. A jegyzőkönyvet tíz évig kell megőrizni. 4.3. Személyes adatk nyilvánsságra hzatala Törvény közérdekből - az adatk körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánsságra hzatalát. Minden egyéb esetben a nyilvánsságra hzatalhz az érintett hzzájárulása, különleges adat esetében írásbeli hzzájárulása szükséges. Kétség esetén azt kell vélelmezni, hgy az érintett a hzzájárulását nem adta meg. Az érintett hzzájárulását megadttnak kell tekinteni az érintett közszereplése srán általa közölt vagy a nyilvánsságra hzatal céljából általa átadtt adatk tekintetében. Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hzzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni. Az érintett a hzzájárulását az adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben fglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden lyan infrmációt, amelyet a személyes adatk kezelése szempntjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatk meghatárzását, az adatkezelés időtartamát, a felhasználás célját, az adatk tvábbítását, adatfeldlgzó igénybevételét. A szerződésnek félreérthetetlen módn tartalmaznia kell, hgy az érintett aláírásával hzzájárul adatainak a szerződésben meghatárzttak szerinti kezeléséhez. Ha az érintett fizikai cselekvőképtelensége flytán nem képes hzzájárulását adni adatai kezeléséhez, akkr a saját vagy más személy létfntsságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításáhz vagy megelőzéséhez szükséges mértékben sr kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére. 5. Adatbiztnsági rendszabályk Az adatbiztnsági rendszabályk és intézkedések célja az adatk illetve adathrdzók védelme a sérülés, rngálódás, megsemmisülés, valamint az illetéktelen hzzáférés ellen. A szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárlt és feldlgztt személyes adatk biztnsága érdekében. 12
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. 5.1. Számítógépen tárlt adatk A számítógépen, illetve hálózatn tárlt személyes adatk biztnsága érdekében az alábbi intézkedéseket kell a kckázatkkal aránysan, szabályzattal előírt és dkumentált módn - fganatsítani. Biztnsági mentés: A személyes adatkat tartalmazó adatbázisk aktív adataiból rendszeresen - az ügyfél nyilvántartás, a bér- és munkaügyi nyilvántartás, a személyzeti nyilvántartás anyagából legalább havnta - kell külön adathrdzóra biztnsági mentést készíteni. A biztnsági mentést tartalmazó adathrdzót páncélszekrényben kell őrizni. Archiválás: A személyes adatkat tartalmazó adatbázisk passzív hányadát - a tvábbi kezelést már nem igénylő, váltzatlanul maradó adatkat - el kell választani az aktív résztől, majd az archivált adatkat külön adathrdzón kell rögzíteni. A számítógépen, illetve hálózatn tárlt adatkhz történő hzzáférés szabályzását jgsultsági szintek, jelszavak, stb. - az Infrmatikai biztnsági szabályzat tartalmazza. 5.2. Manuális kezelésű adatk A manuális kezelésű személyes adatk biztnsága érdekében legalább az alábbi intézkedéseket kell fganatsítani. Az irattári kezelésbe vett iratkat jól zárható, száraz, tűzvédelmi és vagynvédelmi riasztó berendezéssel elláttt helyiségben kell elhelyezni. A flyamats aktív kezelésben lévő iratkhz csak az illetékes ügyintézők férhetnek hzzá. A személyzeti, valamint a bér- és munkaügyi iratkat lemezszekrényben, a ügyfélnyilvántartáskkal kapcslats iratkat pedig különálló, zárható helyiségben, zárható iratszekrényekben kell őrizni. Az e szabályzat különös részében említett adatkezelések iratainak archiválását évente egyszer el kell végezni. Az archivált iratkat a Társaság Iratkezelési szabályzatának, valamint irattári tervének megfelelően kell szétválgatni, és irattári kezelésbe venni. 5.3. Ellenőrzés 5.3.1. Általáns ellenőrzés Az adatvédelemmel kapcslats előírásknak - így különösen jelen szabályzat rendelkezéseinek - betartását az adatkezelést és adatfeldlgzást végzők munkáját a Társaság Ügyvezetője flyamatsan ellenőrzi. 13
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. Az Ügyvezető törvénysértés észlelése esetén haladéktalanul intézkedik annak megszüntetéséről, különösen súlys visszaélés esetén kezdeményezi a felelősség megállapítását. 5.3.2 Az adatvédelmi felelős A Társaság belső adatvédelmi felelősnek közvetlenül az Ügyvezető felügyelete alá tartzó, jgi, közigazgatási, infrmatikai vagy ezeknek megfelelő, felsőfkú végzettséggel rendelkező, büntetlen előéletű személyt nevezz ki. A belső adatvédelmi felelős feladatai a következők: közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghzatalában, valamint az érintettek jgainak biztsításában; ellenőrzi e törvény és az adatkezelésre vnatkzó más jgszabályk, valamint a belső adatvédelmi és adatbiztnsági szabályzatk rendelkezéseinek és az adatbiztnsági követelményeknek a megtartását; kivizsgálja a hzzá érkezett bejelentéseket, jgsulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt, vagy az adatfeldlgzót; elkészíti és karbantartja a belső adatvédelmi és adatbiztnsági szabályzatt; vezeti a belső adatvédelmi nyilvántartást; gndskdik az adatvédelmi ismeretek ktatásáról. Az egyes adatkezelések ellenőrzését szükség szerint, de legalább évente egyszer végzi el. Az ellenőrzés tapasztalatairól beszámlója keretében - írásban tájékztatja a Társaság Igazgatóságának Elnökét. 6. Egyes adatkezelések 6.1. Ügyfélnyilvántartás Az ügyfélnyilvántartás a jgvisznyra vnatkzó tények dkumentálására szlgáló adatkezelés, melynek jgszabályi alapját a Hpt., a Társaság Szervezeti és működési szabályzata, valamint egyéb szabályzatai képezik. Az ügyfél nyilvántartás adatai kizárólag a knkrét ügylettel kapcslatban, annak minősítésével, flyósításával, illetve a knkrét ügylet flyamats figyelemmel kisérésével, esetleges késedelmek megállapításával kapcslats intézkedések megtételével, valamint nem fizetés esetén a behajtásával kapcslats szervezési és adminisztratív feladatk ellátására használhatók fel. Az ügyfélnyilvántartás - ügyletenkénti bntásban - a Társaság valamennyi ügyfelének adatait tartalmazza. A Társaság által az ügyfelekről a nyilvántartásba felvehető adatk köre a Hpt. 3. számú melléklete szerint a következők: 14
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. Természetes személy személyaznsító és lakcím adatai: név, leánykri név, anyja neve, születési hely, idő, államplgárság, lakcím, pstacím, személyi igazlvány (útlevél) száma, egyéb, a személyaznsság igazlására a plgárk személyi adatainak és lakcímének nyilvántartásáról szóló törvény szerint alkalmas igazlvány száma. A pénzügyi intézményt, céget, elfgadót aznsító adatk: név, rövidített név, székhely, telephely és fióktelep címe, adószám, a képviseletre jgsultak neve és besztása. Az ügyfél adatainak kezelője, az adtt ügy knkrét előadója, illetve azn szervezeti egységek, ahl az ügyfél által kért pénzügyi szlgáltatási tevékenységet előkészítik, értékeli, minősítik, tvábbá a pénzügyi szlgáltatás nyújtásáról döntő személyek. A nyilvántartás kezelése számítógépen és manuálisan történik. A Társaság összesített ügyfél adatbázisát az illetékes ügyintézők a Társaság által működtetett számítógépes hálózatn érhetik el. Az Infrmatikai Rendszergazda a hzzáférési jgk kisztásával gndskdik arról, hgy a munkatársak csak az illetékességi körükbe tartzó ügyfelek adatait kezelhessék, illetve ismerhessék meg. A Társaság szervezetén belül az Infrmatikai Rendszergazda az adatvédelmi felelőssel együtt alakítja ki az ügyfélnyilvántartásból a lekérdezési és hzzáférési eljárás menetét. 6.2. Személyzeti nyilvántartás A személyzeti nyilvántartás a munkavisznyra vnatkzó tények dkumentálására szlgáló adatkezelés, melynek jgszabályi alapját a Munka Törvénykönyve és a Társaság Szervezeti és működési szabályzata képezik. A személyzeti nyilvántartás adatai a dlgzók munkavisznyával kapcslats tények megállapítására, a besrlási követelmények igazlására, és statisztikai adatszlgáltatásra használhatók fel. A személyzeti nyilvántartás a Társaság valamennyi fő- és mellékállású munkavállalójának, valamint megbízáss jgvisznnyal rendelkező munkatársának adatait tartalmazza. Az érintettekről a nyilvántartásba felvehető adatk a következők: a) név, születési hely és idő, államplgárság; b) állandó és ideiglenes lakcím, telefnszám; c) munkavisznyra vnatkzó adatk, így különösen: isklai végzettség, szakképesítés, alkalmazási feltételek, képesítési feltételek alóli mentesítés, 15
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. tvábbképzés, szakirányú tvábbképzés, tvábbképzésben szerzett szakképesítés, tudmánys fkzatk, címek, idegen nyelv tudása, munkakör, munkaköri leírás, vezetői megbízásk, gyakrnki idő, vizsga, próbaidő, fegyelmi eljárás, büntetés, felmentés, büntetett előélet, fizetési fkzat, tudmánys kutatás (publikáció), művészeti alktói tevékenység, tudmánys kapcslatk, munkában töltött idő, munkavisznyba beszámítható idő, besrlással kapcslats adatk, dlgzó által kaptt kitüntetések, díjak és más elismerések, címek, munkakör, munkakörbe nem tartzó feladatra történő megbízás, munkavégzésre irányuló tvábbi jgviszny, fegyelmi büntetés, kártérítésre kötelezés, A személyzeti nyilvántartás adatait az érintett szlgáltatja. A munkaviszny keletkezésekr történik meg az elsődleges adatfelvétel. A személyzeti nyilvántartás kezelője a személyzeti feladatkkal megbíztt munkatárs. A nyilvántartás kezelése vegyes rendszerben, számítógépen és manuális módszerrel történik. Az adatk biztnságáról az adatkezelő gndskdik. A számítógépes adatk biztnságának megteremtésében az Infrmatikai Rendszergazda nyújt segítséget a személyzeti feladatkkal megbíztt munkatársnak. A Társaság szervezetén belül a személyzeti nyilvántartásból csak az Igazgatóság Elnöke, az Ügyvezető, és a személyzeti ügyekben illetékes munkatárs részére teljesíthető adatszlgáltatás. 6.3. Bér- és munkaügyi nyilvántartás A bér- és munkaügyi nyilvántartás a munkavisznyra vnatkzó tények dkumentálására szlgáló adatkezelés, melynek jgszabályi alapját a Munka törvénykönyve és a Szervezeti és működési szabályzat képezik. A bér- és munkaügyi nyilvántartás adatai a dlgzó munkavisznyával kapcslats tények megállapítására, a besrlási követelmények igazlására, bérszámfejtésre, társadalmbiztsítási ügyintézésre és statisztikai adatszlgáltatásra használhatók fel. A bér- és munkaügyi nyilvántartás a Társaság valamennyi munkavállalói és megbízási jgvisznyban fglalkztattt dlgzójának adatait tartalmazza. Az érintettekről a nyilvántartásba felvehető adatk a következők: 16
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. a) név, születési hely és idő, államplgárság; b) állandó és ideiglenes lakcím, telefnszám; c) munkavisznyra vnatkzó adatk, így különösen isklai végzettség, szakképesítés, alkalmazási feltételek, képesítési feltételek alóli mentesítés, munkaszerződés, munkaköri leírás, gyakrnki idő, vizsga, próbaidő, munkában töltött idő, munkakör, munkakörbe nem tartzó feladatra történő megbízás, munkavégzésre irányuló tvábbi jgviszny, kártérítésre kötelezés, munkavégzés ideje, túlmunka ideje, alapilletmény, pótlékk (jgcím szerint), illetménykiegészítés, megbízási díj, tvábbá az azkat terhelő tartzás és annak jgsultja, szabadság, kiadtt szabadság, dlgzó részére történő kifizetések és azk jgcímei, a dlgzó részére adtt juttatásk és azk jgcímei, a dlgzó munkáltatóval szemben fennálló tartzásai, azk jgcímei, a többi adat az érintett hzzájárulásával. A bér- és munkaügyi nyilvántartás adatait az érintett szlgáltatja. Az elsődleges adatfelvétel munkaviszny keletkezésekr történik meg. A bér- és munkaügyi nyilvántartás kezelője az a személy, aki a bérszámfejtést végzi. A nyilvántartás kezelése vegyes rendszerben, számítógépen és manuális módszerrel történik. Az adatk biztnságáról az adatkezelő gndskdik. A számítógépes adatk biztnságának megteremtésében az Infrmatikai Rendszergazda nyújt segítséget annak, aki a bérszámfejtést végzi. A Társaság szervezetén belül a bér- és munkaügyi nyilvántartásból csak az Ügyvezető és az Igazgatóság Elnöke részére teljesíthető adatszlgáltatás. 7. Vegyes és záró rendelkezések 7.1. Alkalmaztt jgszabályk Az az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló 2011. évi CXII. törvény 24. (d) pntjában fglalt kötelező adatvédelmi szabályzásra illetve a hitelintézetekről és a pénzügyi vállalkzáskról szóló 1996. évi CXII. törvény 13. (1) bekezdése szerinti, kötelező belső szabályzásra vnatkzó előírás alapján készült. A szabályzat tartalmában az alábbi, a szabályzat összeállítása srán figyelembe vett egyéb jgszabálykban fglalt adatvédelmi - követelményeknek felel meg: 1992. évi XXII. törvény a Munka törvénykönyvéről, 17
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. 1992. évi LXVI. törvény a plgárk személyi adatainak és lakcímének nyilvántartásáról, 1995. évi LXVI. tv. a köziratkról, a közlevéltárakról és a magánlevéltári anyag védelméről, 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szlgáló név- és lakcímadatk kezeléséről, 1995. évi CXXV. törvény a nemzetbiztnsági szlgálatkról (40-42. a nemzetbiztnsági szlgálatk adatkérései), 1996. évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkzáskról, 1997. évi XLVII. törvény az egészségügyi és a hzzájuk kapcslódó személyes adatk kezeléséről és védelméről, 1998. évi XIX. törvény a büntetőeljárásról (71. A megkeresések ), 2003. évi XCII. törvény az adózás rendjéről, 2009. évi CLV. törvény a minősített adat védelméről 2011. évi CXII. törvény, az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló törvény, 7.2. Hatálybalépés Az t a Társaság Igazgatósága 2012.. napján, a /2012. (..) számú Határzatával hagyta jóvá. Jelen szabályzat 2012. napján lép hatályba. Zalaegerszeg, 2012. július 20. Nagy András István igazgatóság elnöke Hllé Zslt ügyvezető * * * Függelék: Értelmező rendelkezések Melléklet: Adatvédelmi nyilvántartás 18
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. Értelmező rendelkezések Függelék 1. érintett: bármely meghatárztt, személyes adat alapján aznsíttt vagy - közvetlenül vagy közvetve - aznsítható természetes személy; 2. személyes adat: az érintettel kapcslatba hzható adat - különösen az érintett neve, aznsító jele, valamint egy vagy több fizikai, fizilógiai, mentális, gazdasági, kulturális vagy szciális aznsságára jellemző ismeret -, valamint az adatból levnható, az érintettre vnatkzó következtetés; 3. különleges adat: a) a faji eredetre, a nemzetiséghez tartzásra, a plitikai véleményre vagy pártállásra, a valláss vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vnatkzó személyes adat, b) az egészségi állaptra, a kórs szenvedélyre vnatkzó személyes adat, valamint a bűnügyi személyes adat; 4. bűnügyi személyes adat: a büntetőeljárás srán vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás leflytatására, illetve a bűncselekmények felderítésére jgsult szerveknél, tvábbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcslatba hzható, valamint a büntetett előéletre vnatkzó személyes adat; 5. közérdekű adat: az állami vagy helyi önkrmányzati feladatt, valamint jgszabályban meghatárztt egyéb közfeladatt ellátó szerv vagy személy kezelésében lévő és tevékenységére vnatkzó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fgalma alá nem eső, bármilyen módn vagy frmában rögzített infrmáció vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtklt adatfajtákra és a működést szabályzó jgszabálykra, valamint a gazdálkdásra, a megkötött szerződésekre vnatkzó adat; 6. közérdekből nyilváns adat: a közérdekű adat fgalma alá nem tartzó minden lyan adat, amelynek nyilvánsságra hzatalát, megismerhetőségét vagy hzzáférhetővé tételét törvény közérdekből elrendeli; 7. hzzájárulás: az érintett akaratának önkéntes és határztt kinyilvánítása, amely megfelelő tájékztatásn alapul, és amellyel félreérthetetlen beleegyezését adja a rá vnatkzó személyes adatk - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; 8. tiltakzás: az érintett nyilatkzata, amellyel személyes adatainak kezelését kifgáslja, és az adatkezelés megszüntetését, illetve a kezelt adatk törlését kéri; 19
Első Egerszegi Hitel Pénzügyi Szlgáltató Zrt. 9. adatkezelő: az a természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy máskkal együtt az adatk kezelésének célját meghatárzza, az adatkezelésre (beleértve a felhasznált eszközt) vnatkzó döntéseket meghzza és végrehajtja, vagy az általa megbíztt adatfeldlgzóval végrehajtatja; 10. adatkezelés: az alkalmaztt eljárástól függetlenül az adatkn végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárlása, megváltztatása, felhasználása, lekérdezése, tvábbítása, nyilvánsságra hzatala, összehanglása vagy összekapcslása, zárlása, törlése és megsemmisítése, valamint az adatk tvábbi felhasználásának megakadályzása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy aznsítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnymat, DNS-minta, íriszkép) rögzítése; 11. adattvábbítás: az adat meghatárztt harmadik személy számára történő hzzáférhetővé tétele; 12. nyilvánsságra hzatal: az adat bárki számára történő hzzáférhetővé tétele; 13. adattörlés: az adatk felismerhetetlenné tétele ly módn, hgy a helyreállításuk többé nem lehetséges; 14. adatmegjelölés: az adat aznsító jelzéssel ellátása annak megkülönböztetése céljából; 15. adatzárlás: az adat aznsító jelzéssel ellátása tvábbi kezelésének végleges vagy meghatárztt időre történő krlátzása céljából; 16. adatmegsemmisítés: az adatkat tartalmazó adathrdzó teljes fizikai megsemmisítése; 17. adatfeldlgzás: az adatkezelési műveletekhez kapcslódó technikai feladatk elvégzése, függetlenül a műveletek végrehajtásáhz alkalmaztt módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hgy a technikai feladatt az adatkn végzik; 18. adatfeldlgzó: az a természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jgszabály rendelkezése alapján történő szerződéskötést is - adatk feldlgzását végzi; 19. adatfelelős: az a közfeladatt ellátó szerv, amely az elektrnikus útn kötelezően közzéteendő közérdekű adatt előállíttta, illetve amelynek a működése srán ez az adat keletkezett; 20. adatközlő: az a közfeladatt ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatt - az adatfelelős által hzzá eljuttattt adatait hnlapn közzéteszi; 20