SimplePay Personal Data Transfer Declaration
.
"I acknowledge the following personal data stored in the user account of
(Pál János E.V. - Headquarters: 8360 Keszthely, Rákóczi u. 3)
in the user database of (https://musicmall.hu/)
will be handed over to OTP Mobil Ltd. and is trusted as data processor.
The data transferred by the data controller are the following:
(name, email address, phone number, invoice address, shipping address, shipping name, phone number of shipping, order amount)
The nature and purpose of the data processing activity performed by the data processor in the SimplePay Privacy Policy can be found at the following link: https://simplepay.hu/adatkezelesi-tajekoztatok/
.
.
____________________________________________________________________________________________________________________________________________________
.
1. sz. melléklet a SimplePay Szolgáltatás Felhasználói ÁSZF-hez
ADATKEZELÉSI TÁJÉKOZTATÓ
Hatály: 2019. 11. 04.
A SimplePay Szolgáltatás fejlesztője és üzemeltetője, az OTP Mobil Kft. (Cg. 01-09-174466; székhely: 1143 Budapest, Hungária krt. 17-19.; a továbbiakban: Simple) az alábbiakban tájékoztatja a Vevőket a SimplePay Szolgáltatás igénybe vétele során történő adatkezelésekkel kapcsolatban az Európai Parlament és Tanács Általános Adatvédelmi Rendeletéről szóló 2016/679 számú rendeletével (a továbbiakban: GDPR) összhangban.
A jelen Szabályzatban használt fogalmak, nagybetűvel írt szavak jelentése megegyezik az ÁSZF-ben használt ugyanilyen kifejezések jelentésével.
1. Milyen személyes adatait, meddig kezeljük, mire használjuk őket, és milyen felhatalmazás alapján?
Az adatkezelésünk jogalapjai az alábbiak:
a) a GDPR 6. cikk (1) bekezdés a) pontja szerint a felhasználó megfelelő tájékoztatáson alapuló önkéntes hozzájárulása az adatkezeléshez (a továbbiakban: Hozzájárulás);
b) a GDPR 6. cikk (1) bekezdés b) pontja szerint az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a Felhasználó mint érintett az egyik fél (a továbbiakban: Szerződés teljesítése)
c) a GDPR 6. cikk (1) bekezdés c) pontja szerint az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (mint például számviteli, könyvviteli kötelezettség teljesítése – a továbbiakban: Jogi kötelezettség teljesítése)
d) a GDPR 6. cikk (1) bekezdés f) pontja szerint az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (a továbbiakban: Jogos érdek)
e) az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Elkertv.) 13/A. §-a által biztosított adatkezelési engedély, amely szerint a Felhasználó hozzájárulása nélkül kezelhetők a Felhasználók természetes személyazonosító adatai (név, születési név, anyja születési neve, születési hely és idő) és lakcíme az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából, továbbá a Felhasználó hozzájárulás nélkül kezelhetők a Felhasználó természetes személyazonosító adatai, lakcíme, valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatok az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésből származó díjak számlázása céljából (a továbbiakban: Elkertv.)
Az adatkezelés jogalapját az alábbiakban adatkategóriánként és adatkezelési célonként külön-külön meghatározzuk a fenti felsorolásra való utalással.
1.1. Bankkártya adatokkal kapcsolatos adatkezelés
A SimplePay Szolgáltatás bankkártyás fizetési funkciója igénybe vétele során a Vevő Kártya adatait, így a Kártyán szereplő nevet, kártyaszámot, lejárati dátumot, kártyakibocsátó bank nevét és CVC/CVV biztonsági kódot ad meg az erre szolgáló online felületen. Ezen Kártya adatokat a SimplePay nem kezeli, ezen adatok kezelője az OTP Bank Nyrt., és a Borgun hf., amely a SimplePay szolgáltatás mögött a bankkártya elfogadói hátteret nyújtja. A Kártya adatok Vevő által történő megadásakor közvetlenül az OTP Bank Nyrt., illetve a Borgun hf. rendszerében kerülnek rögzítésre. A Simple ezen pénzügyi intézményekkel kötött szerződés alapján, ezen pénzügyi intézmények nevében és megbízásából eljárva adatfeldolgozóként jár el és kezeli ezen bankkártya adatokat.
A Kártya adatokhoz a Kereskedő nem fér hozzá.
Amennyiben a Vevő a Kártyaadatait későbbi fizetés céljára a fizetési folyamat során elmentette vagy elmenti, ezen Kártyaadatok azon Kereskedők esetében, amelyek eredetileg az OTP Bank Nyrt.-vel kötöttek VPOS elfogadásra vonatkozóan szerződést, és később az OTP Bank Nyrt, a Kereskedő és a Simple közös megállapodása alapján átvételre kerültek a Simple által a SimplePay rendszerbe, szintén az OTP Bank Nyrt. banki rendszerében kerülnek közvetlenül tárolásra az adott Kereskedőhöz tartozó VPOS-hoz (Virtual Point of Sale) kapcsoltan. Ezen mentett Kártyaadatok tekintetében adatkezelőnek az azokat tároló bank minősül.
A fenti banki rendszerben tárolt mentett Kártyaadatokhoz a Simple ezen mentett Kártyával történő fizetés során a Kártyaadat beolvasás folyamatában férhet hozzá a Kártyaadatokat tároló bankkal kötött szerződés alapján, a bank megbízásából és nevében, adatfeldolgozóként. Ezen mentett és a bank rendszerében az adott Kereskedőhöz tartozó VPOS-ban tárolt Kártyaadatokat a Simple az OTP Bank Nyrt. által az adott Kereskedőhöz eredetileg létrehozott VPOS-ból olvassa ki a SimplePay szolgáltatásban történő Vevői fizetési tranzakció során.
1.2. A Simple által a Kereskedő és a Borgun hf. megbízásából adatfeldolgozóként kezelt adatok
A Simple a Vevő által a Kereskedő webáruházának fizetési felületén megadott és a Kereskedőtől megkapott tranzakciós adatokat a Kereskedő megbízásából, a Kereskedővel kötött adatfeldolgozási szerződése alapján adatfeldolgozóként kezeli. A Simple al-adatfeldolgozója e körben az OTP Bank Nyrt., amely a tranzakció authorizációját végzi és ellátja a csalások detektálására és monitorozására vonatkozó feladatokat is a Simple és a Kereskedő megbízásából.
Abban az esetben, ha a Simple a Borgun hf-et veszi igénybe kártyaelfogadásra, a Simple a Vevői tranzakciós adatokat a Kereskedő megbízásából továbbítja a Simple-lel kártyaelfogadói szerződést kötött elfogadó és authorizációt végző pénzügyi intézménynek, azaz a Borgun hf.-nek, amely pedig önálló adatkezelőként kezeli ezen Vevői tranzakciós adatokat a saját adatkezelési tájékoztatója és szabályzata alapján. A Simple ezen adattovábbítás során a Borgun hf. adatfeldolgozójaként is jár el, a Borgun hf. nevében és megbízásából eljárva, a Borgun hf.-fel kötött adatfeldolgozói szerződése alapján.
.
A Simple az alábbi adatokat kezeli adatfeldolgozóként:
A fenti adatok tekintetében a Kereskedő minősül adatkezelőnek, és a Kereskedő adatvédelmi tájékoztatójában szerepel, hogy a Kereskedő ezen Vevői adatokat milyen célra, milyen jogalapon, milyen időtartamban használja. A Simple a fenti adatokat adatfeldolgozóként a Kereskedő utasításai alapján, a Kereskedő által meghatározott célokra, a Kereskedő által meghatározott jogalapon és ideig kezeli, ezeket a Simple saját célra nem használja fel.
Amennyiben a Felhasználó a Kereskedő fizetési felületén a Simple Applikációban regisztrált bankkártyájával való fizetést választja, a Simple önálló adatkezelőként kezeli és tárolja a Felhasználó Simple Applikációban regisztrált e-mail címét és jelszavát is. A Simple Applikációban regisztrált bankkártyák bankkártya adatainak kezelésére és tárolására a Simple Applikációra vonatkozó Adatkezelési Tájékoztató vonatkozik.
.
1.3. A Simple által a Vevőről az ügyfélszolgálat és panaszkezelés céljára kezelt adatok
Jogos érdeken alapuló adatkezelés esetén az érintett bármikor tiltakozhat az adatkezeléssel szemben, ebben az esetben adatait a Szolgáltató nem kezeli tovább.
A jogos érdeken alapuló adatkezelésről szóló érdekmérlegelési tesztet az érintettek kérésre teljes terjedelmében megtekinthetik. A kérést a lenti ügyfélszolgálati e-mail címen kell előterjeszteni.
Az ügyfélszolgálati tevékenységet a Simple és az OTP Bank Nyrt. (1051 Budapest, Nádor u. 16.) közötti közös adatkezelési szerződés alapján a Simple és az OTP Bank Nyrt. közös adatkezelőként végzi. A GDPR 26. cikk (2) bekezdésének megfelelően ezúton adunk tájékoztatást a közös adatkezelési szerződés lényeges rendelkezéseiről: - A Simple és az OTP Bank Nyrt. mindegyike maga vezeti a felelősségébe tartozó adatkezelési tevékenységekről az adatvédelmi nyilvántartást, adatvédelmi incidensekről vezetett nyilvántartást, az érintett személyek és felügyeleti hatóságok részéről az adatkezelésekkel kapcsolatban érkezett kérések nyilvántartását, az általuk az adatkezelésekkel kapcsolatban igénybe vett adatfeldolgozók nyilvántartását, valamint az adatkezelésekkel összefüggő adattovábbítások nyilvántartását.
- A hozzájáruló nyilatkozatoknak az adatkezelők által közösen megállapított időtartamban, visszakereshető módon történő megőrzéséről az OTP Bank Nyrt. gondoskodik.
- Az érintettek tájékoztatását akkor, amikor az ügyfélszolgálat telefonos vagy e-mail-en keresztül történő megkeresése történik, beleértve – amennyiben alkalmazható – az érintett hozzájáruló nyilatkozatának megszövegezését is, az OTP Bank Nyrt. végzi. OTP Bank Nyrt. gondoskodik továbbá az adatkezelési hozzájáruló nyilatkozatok beszerzéséről és tárolásáról, őrzéséről, nyilvántartásáról is.
- A Simple saját honlapján elhelyezett jelen adatkezelési tájékoztatójában az ügyfélszolgálati adatok kezelésével kapcsolatos tájékoztatást külön is megteszi. - A Simple és az OTP Bank Nyrt. mindegyike a közös adatkezelések tekintetében külön-külön megfogalmazott adatkezelési tájékoztatójukat saját maguk külön-külön teszik közzé és juttatják el az érintetteknek. - A Simple és az OTP Bank Nyrt. a közös adatkezeléssel érintett adatkezelések esetében közösen határozzák meg az adatkezelés célját és fő eszközeit a GDPR 26. cikk (1) bekezdésének megfelelően.
- Az érintett mindegyik közös adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja jogait. - A Simple és az OTP Bank Nyrt. a hozzájuk beérkezett megkereséseket maguk, önállóan válaszolják meg a közösen elfogadott eljárásrendnek megfelelően. - Az érintett adatainak helyesbítésére, törlésére, az adatkezelés korlátozására, az érintett adatai kezelése elleni tiltakozására és az adathordozhatóságra vonatkozó kérelmének teljesítése a Simple és az OTP Bank Nyrt. részéről önállóan történik. - A hatósági megkereséseket a Simple és az OTP Bank Nyrt. saját maga válaszolja meg azon hatósági megkeresések esetén, amik tevékenységéhez kapcsolódnak. - Az adatvédelmi incidenst az a közös adatkezelő jelenti be a hatóságnak, amelynek tevékenységét az incidens érinti.
- Az érintetteket az adatvédelmi incidensről az az adatkezelő tájékoztatja, amelynek a tevékenységét az adatvédelmi incidens érintette. Ha az adatvédelmi incidens mindkét adatkezelőt érintette, az incidensről az érintetteket az adatkezelők önállóan, külön-külön tájékoztatják.
- Az OTP Bank Nyrt. adatvédelmi tisztviselője: Gázmár Zoárd, e-mail: adatvedelem@otpbank.hu, cím: 1051 Budapest, Nádor u. 16. A GDPR 6. cikk (1) bekezdés f) pontja szerinti Jogos érdek megjelölése: a panasztétel, panasz kivizsgálása, elintézése és kezelése körében történő adatkezelés, beleértve a telefonhívások rögzítését is, a Vevő, a Szolgáltató és a Kereskedő közös érdeke, mivel ezen adatok kezelése a Honlap használatával, a SimplePay Szolgáltatás igénybe vételével, a vásárlási tranzakcióval összefüggő fogyasztóvédelmi, polgári jogi jogai és érdekei érvényesítéséhez szükséges. Ezen személyes adatok kezelése felett a Vevő hangfelvételéhez kapcsolódó személyhez fűződő joga nem élvez elsőbbséget, mivel a személyhez fűződő joga nem sérül, hiszen a telefonhívás legelején, még a Vevő megszólalása előtt tájékoztatást kap a Vevő a hangfelvételes rögzítéséről, és módjában áll eldönteni, hogy ennek ellenére folytatja-e a telefonbeszélgetést vagy megszakítja azt. A telefonos ügyfélszolgálaton kívül az e-mailes ügyfélszolgálat ugyanolyan szolgáltatást és megoldást nyújt, vagyis van választási lehetőség a Vevő panaszainak kivizsgálására.
A *-gal jelölt adatok megadása kötelező, anélkül az ügyfélszolgálat nem tudja rögzíteni a panaszt.
.
1.4. A Simple által a Vevőről rendszerüzenet küldése céljából kezelt adatok
A Simple a Vevőnek e-mailben, push üzenetben, in-app üzenetben és egyéb hasonló elektronikus módon értesítést küld a SimplePay Szolgáltatás leállásáról, hibájáról, javításáról, szüneteléséről és egyéb, a SimplePay szolgáltatás működésével kapcsolatos körülményről, a SimplePay szolgáltatáson keresztül történő fizetéssel kapcsolatos információkról (Rendszerüzenet). A Simple a Rendszerüzenetet küldheti külön elektronikus értesítésben vagy Simple Rendszerben regisztrált Vevő esetén a Simple Rendszeren belül is. E célból a Simple a Vevő alábbi adatait kezeli:
Jogos érdeken alapuló adatkezelés esetén az érintett bármikor tiltakozhat az adatkezeléssel szemben, ebben az esetben adatait a Szolgáltató nem kezeli tovább.
A jogos érdeken alapuló adatkezelésről szóló érdekmérlegelési tesztet az érintettek kérésre teljes terjedelmében megtekinthetik. A kérést a lenti ügyfélszolgálati e-mail címen kell előterjeszteni.
A jogos érdek megjelölése: a Szolgáltató jogos üzleti és jogi érdeke, hogy az általa nyújtott szolgáltatás elérhetőségéről, leállásáról, hibájáról, karbantartásáról, szüneteléséről és egyéb, a SimplePay szolgáltatás működésével kapcsolatos körülményről, a SimplePay szolgáltatáson keresztül történő fizetéssel kapcsolatos információkról tájékoztassa a Vevőt. Az adatkezelési cél másként nem valósítható meg.
1.5. A Simple által hírlevél küldés céljára kezelt adatok
Elektronikus reklám, hirdetés, hírlevél, marketing anyag küldésre a Vevő a SimplePay Honlapon a SimplePay ÁSZF elfogadásától elkülönülten szabadon feliratkozhat, azaz kifejezetten engedélyezheti ilyen jellegű tartalom SimplePay szolgáltatás használata során megadott e-mail címére történő megküldését és e-mail címe ezen célból történő kezelését. Hozzájáruláson alapuló adatkezelés esetében az érintett bármikor visszavonhatja hozzájárulását oly módon, hogy a Vevő a Simple hírlevélről bármikor szabadon leiratkozhat a hírlevélben található leiratkozás gomb megnyomásával. A Simple az ilyen leiratkozásról szóló értesítés kézhezvételét követően haladéktalanul gondoskodik az e-mail cím Simple hírlevél címlistából történő törléséről és arról, hogy ezen időponttól a Vevő ne kapjon Simple hírlevelet és a Simple-től más elektronikus hirdetést, reklámot vagy direkt marketing anyagot.
A *-gal jelölt adatok megadása kötelező, anélkül hírlevélre feliratkozni nem lehetséges.
1.6. A Részletfizetési szolgáltatás során kezelt adatok
A Részletfizetési szolgáltatásban a Simple a Részletfizetéssel kapcsolatosan a Vevő alábbi táblázatban szereplő személyes adatait az OTP Bank Nyrt. adatfeldolgozójaként, az OTP Bank Nyrt.-vel kötött kiszervezési és adatfeldolgozói szerződés alapján kezeli.
Adatkezelő: OTP Bank Nyrt. (1051 Budapest, Nádor u. 16.).
2. Az érintett személyek adatvédelmi jogai (részletesen lásd: 8. pont) érvényesítésével kapcsolatos adatkezelés
Az Adatkezelő adatkezelést végez akkor is, amikor az érintettek adatvédelmi jogaikat gyakorolják az Adatkezelő adatkezelésével kapcsolatban. Az Adatkezelő az alábbi adatkezelést végzi ebben az esetben:
3. Adatkezelés az érintett személyek adatkezeléshez történő hozzájárulásainak, valamint a hozzájáruló nyilatkozat esetleges visszavonásának archiválása érdekében
Az Adatkezelő jogszabályi előírás alapján köteles a hozzájárulásokat nyilvántartani, ezzel kapcsolatosan az alábbi adatkezelést végzi:
4. Adatkezelés az adatvédelmi incidensek nyilvántartása (ideértve az incidensek kezelésével kapcsolatban tett lépések dokumentálását) céljából
A Szolgáltató jogszabályi előírás alapján nyilvántartja az adatvédelmi incidenssel kapcsolatos információkat, amely során az alábbi adatkezelést végzi:
5. Ki kezeli a személyes adatait, és ki fér hozzá azokhoz?
Az adatkezelő
A fenti 1 -4. pontban (kivéve: 1.3. pontban) meghatározott adatai adatkezelője a Simple, azaz az OTP Mobil Szolgáltató Kft., melynek elérhetőségei és cégadatai az alábbiak:
OTP Mobil Szolgáltató Kft.
Cégjegyzékszám: 01-09-174466
Adószám: 24386106-2-42
Székhely: 1138 Budapest, Váci út 135-139. B. ép. 5. em.
Postacím: 1143 Budapest, Hungária krt. 17-19.
E-mail cím: ugyfelszolgalat@simple.hu
Telefonszám: 06 1 3666 611 06 70 3666 611 06 30 3666 611 06 20 3666 611
A Simple részéről adataihoz a Simple munkavállalói férnek hozzá abban a körben, amely munkájuk elvégzéséhez feltétlenül szükséges. A személyes adataihoz való hozzáférési jogosultságokat szigorú belső szabályzatban rögzítjük.
Adatfeldolgozók
Adatai kezeléséhez, tárolásához különböző vállalkozásokat veszünk igénybe, akikkel adatfeldolgozói szerződést kötöttünk. Az alábbi adatfeldolgozók végzik adatai feldolgozását:
A The Rocket Science Group LLC d/b/a MailChimp szerepel az Európai Bizottság GDPR 45. cikk szerinti megfelelőségi határozata és a 2016/1260 bizottsági végrehajtási határozatában, valamint az ezek alapján felállított USA - EU Privacy Shield List-en, azaz az ide történő adattovábbítás nem minősül Európai Unión kívüli, harmadik országba történő adattovábbításnak és ahhoz nem szükséges az érintettek külön engedélye, valamint az oda történő adattovábbítás a GDPR 45. cikke alapján megengedett. Ezen vállalkozások vállalták a GDPR-nak való megfelelést.
Adattovábbítás önálló címzettjei
A Simple a Vevő tranzakciós adatait a Borgun hf. adatfeldolgozójaként eljárva, a Borgun hf. nevében és megbízásából a Borgun hf.-nek (Ármúli 30, 108 Reykjavik, Izland, cg. 440686-1259) továbbítja az alábbi célból:
- banki online bankkártyás fizetési szolgáltatás biztosítása, bankkártya elfogadás
- bankkártya authorizáció
- fraud monitoring és megelőzés.
6. Ki a Simple adatvédelmi tisztviselője és mik az elérhetőségei?
Sári Zsombor
Elérhetőségei:
a) Simple székhelyén (1138 Budapest, Váci út 135-139. B. ép. 5. em.)
b) e-mail címe: dpo@otpmobil.com
c) postacíme: 1143 Budapest, Hungária krt. 17-19.
7. Kinek továbbítjuk a személyes adatait?
Személyes adatait a fenti adatfeldolgozókon és a Kereskedőn kívül másoknak nem továbbítjuk.
8. Milyen jogai vannak a személyes adatai kezelésével kapcsolatban és hogyan biztosítjuk azok gyakorlását?
Az érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozó rendelkezései (így különösen a GDPR 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82. cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve az Adatkezelő ennek megfelelően nyújt tájékoztatást az érintettek részére az adatkezeléssel kapcsolatos jogaikról és jogorvoslati lehetőségeikről.
Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen az érintett joggyakorlással (lásd: GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
8.1 Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy visszajelzést kapjon az Adatkezelőtől arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett arra vonatkozó joga, hogy kérelmezheti a Munkáltatótól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; és
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal (GDPR 22. cikk (1) és (4)) ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
(3) Az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
8.2 A helyesbítéshez való jog
Az érintett jogosult arra, hogy az Adatkezelő az érintett kérésére indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Az érintett jogosult továbbá arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
8.3 A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő gyűjtötte vagy más módon kezelte;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és adott esetben nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatok jogellenesen kerültek kezelésre;
e) a személyes adatokat az Adatkezelőnek az alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; vagy
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a fentebb írtak értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges, többek között:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;
c) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
8.4 Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelés korlátozásának feloldásáról az Adatkezelő előzetesen tájékoztatja az érintett, akinek kérésére a fentiek alapján korlátozták az adatkezelést.
8.5 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
8.6 Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, ha:
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők (így az Adatkezelő és egyéb adatkezelő) közötti közvetlen továbbítását.
(3) A fentebb írt jog gyakorlása nem sértheti a törléshez való jog („elfeledtetéshez való jog”) vonatkozásában írt rendelkezéseket, továbbá e jog nem érintheti hátrányosan mások jogait és szabadságait.
8.7 A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen. Ebben az esetben a személyes adatokat az Adatkezelő nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
8.8 A felügyeleti hatóságnál történő panasztételhez való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint az érintettre vonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit. Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (weboldal: http://naih.hu/; cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c; postacím: 1530 Budapest, Pf.: 5.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu).
8.9 A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
8.10 Az Adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait.
(2) Az Adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az Adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is. Az ilyen per Magyarországon a törvényszék hatáskörébe tartozik. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A bíróság illetékességéről és elérhetőségeiről az alábbi honlapon tájékozódhat: www.birosag.hu.
9. Hogyan biztosítjuk adatai biztonságát?
Mindenre kiterjedő részletes információbiztonsági szabályzattal rendelkezünk az általunk kezelt adatok, információk biztonságának biztosítása érdekében, amely valamennyi munkavállalónkra kötelező, és amelyet valamennyi munkavállalónk ismer és alkalmaz. A munkavállalóinkat az adat- és információbiztonság követelményeire vonatkozóan rendszeresen oktatjuk, képezzük.
9.1. Adatbiztonság az IT infrastruktúrában
A személyes adatokat saját központi szerverünkön tároljuk, amelyhez szigorú jogosultságkezelési szabályok alapján csak nagyon korlátozott személyi, alkalmazotti kör férhet hozzá. Informatikai rendszereinket időről időre, visszatérően és rendszeresen teszteljük és ellenőrizzük az adat- és IT biztonság megteremtése és fenntartása érdekében. Az adatbiztonsági előírásoknak a PCI DSS tanúsítványnak való megfeleléssel teszünk eleget, amely a legszigorúbb banki rendszerekre vonatkozó szabályok alkalmazását jelenti az általunk kezelt adatok tekintetében. Az irodai munkaállomások jelszóval védettek, idegen adathordozó használata korlátozott és csak biztonságos körülmények között, ellenőrzést követően megengedett. A Társaság valamennyi rendszerére, rendszerelemére kiterjedő, rendszeres és folyamatos kártékony szoftverek elleni védelem biztosított. A programok, alkalmazások és eszközök tervezése, fejlesztése, tesztelése és üzemeltetése során a biztonsági funkciókat kiemelten és elkülönítetten kezeljük.
Az információs rendszer hozzáférési kulcsait (pl. jelszó) titkosítva tároljuk és továbbítjuk, a rendszer biztonságát érintő adatok (pl. jelszavak, jogosultságok, naplók) védelméről a hozzáférési jogosultságok kiosztásánál gondoskodunk.
9.2. Adatbiztonság a kommunikációban
Az elektronikus úton továbbított üzenetek, állományok tekintetében a Kulcs Kezelés szabályzatban foglaltaknak megfelelően járunk el. A biztonságos adatcsere követelményének teljesítéséhez biztosítjuk az adatok integritását mind a (kommunikáció) vezérlő, mind a felhasználói adatokra. Az adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat alkalmazunk. Az alkalmazások tekintetében a jelszavak, a jogosultságok és a biztonsággal kapcsolatos más paraméterek, adatok csak titkosítva továbbíthatók. A hálózaton alkalmazzuk a végpont-végpont szintű jogosultság ellenőrzés, az elszámoltathatóság és auditálhatóság biztosítása védelmi funkciókat.
Az általunk alkalmazott védelem detektálja az illetéktelen módosítás, a beékelődés, valamint az ismétlő adás előfordulását. Az adatvesztést és -sérülést hibadetektáló és javító eljárásokkal akadályozzuk meg, és gondoskodunk a le nem tagadhatóság biztosításáról.
Az adattovábbításra használt hálózat esetében a biztonsági szintnek megfelelő módon biztosítjuk az illegális rácsatlakozás és a lehallgatás megakadályozását.
9.3. Adatbiztonság a szoftverfejlesztés, programozás során
A Simple Applikáció fejlesztése során már a tervezési folyamatba beépítjük az adatvédelem és adatbiztonság követelményeit, amelyet a fejlesztés során folyamatosan biztosítunk.
A szoftverfejlesztés során elválasztjuk egymástól a fejlesztői/teszt környezetet és az éles környezetet, teszt és éles adatokat, a tesztelés során a személyes adatokat lehetőség szerint deperszonalizáljuk.
A programozás során betartjuk a biztonságos kódolás alapvető követelményeit, platform- és programnyelv függő technikákat alkalmazunk a jellemző sérülékenységek kiküszöbölésére, követjük a legújabb iparági ajánlásokat a kódok átvizsgálására (például OWASP Top 10 Guide, SANS CWE Top 25, CERT Secure Coding).
Folyamatos követést alkalmazunk az újonnan felfedezett sebezhetőségek azonosítására, fejlesztőinket rendszeresen oktatjuk az adatbiztonsági követelményekkel kapcsolatban, valamint programozási technikákat standardizálását alkalmazzuk a tipikus hibák elkerülésére.
Az elkészült kódok ellenőrzését a biztonságos kódolás alapelvei szerint elvégezzük és változáskövetéssel biztosítjuk a megfelelő dokumentálást.
9.4. Adatbiztonság az iratkezelés során
Az iratkezelés során is betartjuk az adatbiztonság követelményeit, amelyet iratkezelési szabályzatban rögzítettünk. Az iratkezelést írásban meghatározott jogosultsági szintek szerint, az egyes iratok bizalmas jellegéhez mérten alkalmazott biztonsági előírások szerint végezzük. Részletes és szigorú szabályokkal rendelkezünk az iratok megsemmisítésére, tárolására, kiadmányozására vonatkozóan.
9.5. Fizikai adatbiztonság
A fizikai adatbiztonság megteremtése érdekében biztosítjuk nyílászáróink megfelelő záródását és védelmét, szigorú látogatási és belépési előírásokat alkalmazunk a látogatókra vonatkozóan. Az irodahelyiség őrzés-védelme 7/24-ben biztosított.
A papír alapú, személyes adatokat tartalmazó dokumentumok zárt, tűz- és vagyonvédelmet biztosító szekrényben kerülnek elhelyezésre, amelyhez csak meghatározott személyzeti kör fér hozzá megfelelő jogosultságkezeléssel.
Az adathordozó eszközök elhelyezésére szolgáló helyiségeket úgy alakítottuk ki, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen. Az adatátvitelre, valamint mentésre, archiválásra használt adathordozók tárolása pedig csak megbízhatóan zárt helyen történhet.
A mentési adathordozókat megbízhatóan zárt helyiségben, minimum 30 perces tűzállóságú tárolószekrényben tároljuk.
10. Mit teszünk, ha adatvédelmi incidens következik be nálunk?
A jogszabályoknak megfelelően bejelentjük a felügyeleti hatóságnak az adatvédelmi incidenst a tudomásszerzéstől számított 72 órán belül, és nyilvántartást is vezetünk az adatvédelmi incidensekről. A jogszabály által meghatározott esetekben pedig az érintett felhasználókat is tájékoztatjuk róla.
11. Mikor és hogyan módosítjuk a jelen adatkezelési tájékoztatót?
Amennyiben a kezelt adatok köre, az adatkezelés többi körülménye változik, a jelen adatkezelési tájékoztatót a GDPR előírásainak megfelelően módosítjuk és közzétesszük a www.simplepay.hu weboldalon. Kérjük, hogy minden esetben gondosan olvassa el az adatkezelési tájékoztató módosításait, mert fontos információkat tartalmaznak személyes adatai kezeléséről.