Adatvédelmi irányelvek
ADATKEZELÉSI TÁJÉKOZTATÓ
AZ OTPMOBIL.HU WEBOLDAL HASZNÁLATÁHOZ
Hatály: 2021. 11. 16.
Az http://www.otpmobil.hu honlap (a továbbiakban: Honlap) fejlesztője és üzemeltetője, az OTP Mobil Kft. (Cg. 01-09-174466; székhely: 1138 Budapest, Váci út 135-139. B. ép. 5. em.; a továbbiakban: Szolgáltató vagy Adatkezelő) az alábbiakban tájékoztatja a Felhasználókat a Honlapon történő adatkezelésekkel kapcsolatban az Európai Parlament és Tanács Általános Adatvédelmi Rendeletéről szóló 2016/679 számú rendeletével (a továbbiakban: GDPR) összhangban.
A jelen Adatkezelési Tájékoztatóban nagy kezdőbetűvel szereplő szavak és fogalmak a Honlap használatára vonatkozó Általános Felhasználási Feltételekben (a továbbiakban: Honlap ÁFF) meghatározott fogalmakkal azonosak.
A jelen Adatkezelési Tájékoztatóban nem szabályozott kérdésekben a Honlap ÁFF rendelkezései alkalmazandók.
- Milyen személyes adataidat, meddig kezeljük a Honlapon, mire használjuk őket, és milyen felhatalmazás alapján?
Az adatkezelésünk jogalapjai az alábbiak:
- a GDPR 6. cikk (1) bekezdés a) pontja szerint a felhasználó megfelelő tájékoztatáson alapuló önkéntes hozzájárulása az adatkezeléshez (a továbbiakban: Hozzájárulás);
- a GDPR 6. cikk (1) bekezdés b) pontja szerint az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a Felhasználó mint érintett az egyik fél (a továbbiakban: Szerződés teljesítése)
- a GDPR 6. cikk (1) bekezdés c) pontja szerint az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (mint például számviteli, könyvviteli kötelezettség teljesítése – a továbbiakban: Jogi kötelezettség teljesítése)
- a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek (a továbbiakban: Jogos érdek)
- az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Elkertv.) 13/A. §-a által biztosított adatkezelési engedély, amely szerint a Felhasználó hozzájárulása nélkül kezelhetők a Felhasználók természetes személyazonosító adatai (név, születési név, anyja születési neve, születési hely és idő) és lakcíme az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából, továbbá a Felhasználó hozzájárulás nélkül kezelhetők a Felhasználó természetes személyazonosító adatai, lakcíme, valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatok az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésből származó díjak számlázása céljából (a továbbiakban: ).
Az adatkezelés jogalapját és célját az alábbiakban adatkategóriánként külön-külön meghatározzuk a fenti felsorolásra való utalással.
- Cookiek útján gyűjtött adatokkal kapcsolatos adatkezelés
A Honlapon cookiekat és egyéb különböző programokat alkalmazunk annak érdekében, hogy a Honlap Felhasználók igényeit, Honlappal kapcsolatos viselkedését megismerjük és azok alapján a Honlapot továbbfejlesszük, a Honlap látogatásokról anonim statisztikákat készítsünk, a Felhasználóknak célzott reklámüzenetet küldjünk.
A Honlapon alkalmazott sütiket három fő csoportba soroljuk:
- A Honlap működéséhez feltétlenül szükséges cookiek: ezek nélkül a Honlap egyáltalán nem vagy nem rendeltetésszerűen működik, ezen sütik szükségesek a Honlapok futtatásához. Az ilyen sütik csak olyan műveletekre vonatkoznak, mint például a nyelv, a pénznem, az adatvédelmi preferenciák. Amennyiben ezeket a sütiket a Felhasználó blokkolja a böngészőjében, a Honlap nem működik megfelelően.
A Szolgáltató a Honlap működéséhez feltétlenül szükséges sütiket a GDPR 6. cikk (1) bekezdés f) pontja szerinti Jogos érdek alapján kezeli.
A Szolgáltató jogos érdeke: az Adatkezelő jogos üzleti érdeke, hogy a Honlap rendeltetésszerűen működjön, és a Felhasználók számára a Honlap megjelenítésre kerülhessen. Ehhez szükséges a lent jelzett cookie-k alkalmazása és az általuk gyűjtött személyes adatok kezelése.
Jogos érdeken alapuló adatkezelés esetén az érintett bármikor tiltakozhat az adatkezeléssel szemben, ebben az esetben adatait a Szolgáltató nem kezeli tovább.
A jogos érdeken alapuló adatkezelésről szóló érdekmérlegelési tesztet az érintettek kérésre teljes terjedelmében megtekinthetik. A kérést a lenti ügyfélszolgálati e-mail címen kell előterjeszteni.
- Analitikai és statisztikai célú sütik: ezek a sütik lehetővé teszik a Szolgáltatónak, hogy mérje a látogatói forgalmat és adatokat kezeljen adatbázisokban. Segítenek abban is, hogy a Szolgáltató megértse, mely termékek és tevékenységek népszerűbbek, mint mások. Ezeket a sütiket a Felhasználó blokkolhatja böngészőjében, vagy ezt is használhatja: https:\\tools.google.com/dlpage/gaoptout. Ezen sütik által gyűjtött adatokat a Szolgáltató a Honlap optimalizálására, a Honlap és a szolgáltatásai továbbfejlesztésére használja.
A Szolgáltató ezeket a sütiket a GDPR 6. cikk (1) bekezdés a) pontja szerinti Hozzájárulás alapján kezeli.
Hozzájáruláson alapuló adatkezelés esetében az érintett bármikor visszavonhatja hozzájárulását a böngésző beállításaiban, ebben az esetben a Szolgáltató az adott cookie-t nem alkalmazza és azzal adatgyűjtést, adatkezelést a továbbiakban nem végez.
- Marketing és remarketing célú sütik: ezek a sütik általában marketing, reklám és hirdetési tevékenységek miatt kerülnek beállításra abból a célból, hogy a Felhasználók érdeklődési körét monitorozzák, majd ennek megfelelően tudnak releváns hirdetéseket megjeleníteni a Honlapon. Ezen sütik által gyűjtött adatok kerülnek felhasználásra a Felhasználók profilozásához. Amennyiben a Felhasználó nem engedélyezi ezeket a sütiket, a jövőben nem kap célzott hirdetéseket. Ezeknek a sütiknek az alkalmazásával gyűjtött adatok kezelésének a célja közvetlen üzletszerzési célú szegmentálás targetált reklámok közzétételére. Ezen túlmenően annak érdekében, hogy a Felhasználók csak olyan hirdetéseket kapjanak, amelyek érdeklődési körüknek megfelelnek, és amelyek számukra relevánsak, az automatikusan gyűjtött adatokat a Felhasználók, reklám címzettek szegmentálására, csoportokba sorolására használjuk.
Az automatikusan gyűjtött adatok alapján nem történik automatizált döntéshozatal. A fenti adatkezelés az érintettekre joghatással nincsen.
A Szolgáltató ezeket a sütiket a GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás alapján kezeli.
Hozzájáruláson alapuló adatkezelés esetében az érintett bármikor visszavonhatja hozzájárulását a böngésző beállításaiban, ebben az esetben a Szolgáltató az adott cookie-t nem alkalmazza és azzal adatgyűjtést, adatkezelést a továbbiakban nem végez.
A sütikre (cookiekra) vonatkozó általános rendelkezések
Általánosságban a cookie egy olyan apró fájl, amelyet betűk és számok alkotnak, és amelyet a Felhasználó eszközére küldünk szerverünkről. A cookie lehetővé teszi annak felismerését, hogy a Felhasználó mikor jelentkezett be utoljára a Honlapra, a fő célja a cookie-nak az, hogy lehetővé tegye a Felhasználó számára egyéniesített ajánlatok, reklámok Felhasználónak való elérhetővé tételét, amelyek személyre szabják a Felhasználói élményt a Honlap használata során és a Felhasználó személyes szükségleteit fejezik ki.
Megbízható partnerek segítik a Szolgáltatót hirdetések Honlapon és azon kívül történő megjelenítésében, és analitika szolgáltatók, mint a Google Analytics, Facebook Pixel is cookie-kat helyezhetnek el a Felhasználó eszközén.
A Szolgáltató az alábbi harmadik féltől származó cookiekat az alábbi célra használja:
Cookie típusa | Cookie célja |
Google Analytics | Látogatottsági statisztikák generálása, honlap továbbfejlesztése |
Facebook Pixel és Custom Audience | statisztikák generálása a Facebook.com oldalról érkező látogatókra vonatkozóan
Facebook, Inc. által nyújtott remarketing szolgáltatások használata, targetált, szegmentált reklám megjelenítésére a Facebook.com-on |
A Honlapokon a Google Analytics és a Facebook Custom Audience szolgáltatásait és cookie-jait alkalmazzuk, ezek az alábbiak:
A Google Analytics a Google LLC. („Google”) internetes elemző szolgáltatása, amely segít többet megtudni arról, hogy a Honlap látogatói milyen szokások szerint használják a Honlapot. A Google Analytics olyan információkat összegez a Honlap használatáról, mint például az IP-cím, amelyet a rendszer elküldhet a Google-nek, és a kiszolgáló szerverein tárolja. Ezeket az információkat jelentések készítéséhez és a weboldalunk működésének javításához használjuk fel. A cookie-k anonim információkat gyűjtenek továbbá a következőkről is: a weboldal látogatóinak száma, illetve azzal kapcsolatos adatok, hogy milyen oldalról érkeznek a látogatók a Honlapokra és azok mely oldalait tekintik meg.
A Google Analytics cookiekról további információt itt olvashat: http://www.google.com/policies/privacy/.
Ha szeretné kikapcsolni a Google Analytics nyomkövetését a Honlapok látogatása során, akkor kattintson az alábbi linkre: http://tools.google.com/dlpage/gaoptout
A Facebook Custom Audience a Facebook, Inc. (Facebook) internetes elemző és hirdetési szolgáltatása, amellyel az Adatkezelő arról szerez információkat, hogy a Honlap látogatói hogyan használják a Honlapot. A Facebook Custom Audience vagy Facebook Pixel cookiek-ról további információkat itt olvashat: https://www.facebook.com/policies/cookies/.
A Facebook Pixel szolgáltatáshoz a felhasználói eszközökön cookie elhelyezése szükséges. A Honlapon is Facebook Pixel-t használunk, mind hirdetésre, mind pedig Honlap analitikára vonatkozóan. A Facebook pixelek cookiekat helyeznek el a Honlapot böngésző eszközön, amelyek célja megfelelő hirdetési közönség összeállítása, eszközök közötti konverziók mérése, hirdetések célzása, optimalizálása a megfelelő közönségre, személyre szabott reklámok, hirdetések megjelenítése, valamint riportok készítése, kimutatások készítése a Honlapról és az applikáció látogatottsági adatairól.
A Facebook ezen adatkezelési tevékenységét a Felhasználó a Facebook és a Google fiókjában szabályozhatja és állíthatja be, valamint a Facebook cookiek által történő adatgyűjtést a Honlapon a Felhasználó maga engedélyezheti. A Facebookon a Felhasználó a fiókjába belépve a Facebook Ads Settings-ben tekintheti meg ezen cookiekat, és ott állíthatja be, illetve módosíthatja preferenciáit is a cookiek-kal kapcsolatban.
A Honlapon a cookiek-hoz fajtájuk szerinti csoportosításban adhatja meg a Felhasználó a hozzájárulását.
A Felhasználó beállíthatja böngészőjét, hogy elfogadjon minden sütit, elutasítsa mindet, vagy értesítse a felhasználót, ha süti érkezik a felhasználó gépére. Mindegyik böngésző különböző, így a “Segítség” menü segíthet a sütik beállításainak módosításában. A sütik természetével, valamint kikapcsolásukkal kapcsolatos további információ található például az alábbi oldalon:
http://www.youronlinechoices.com/hu/.
Annak érdekében, hogy az Adatkezelő tudomást szerezzen arról, hogy a felhasználó letiltotta egyes cookiek használatát, az Adatkezelő letiltási cookiet helyez el a felhasználó eszközén, így az Adatkezelő tudni fogja, hogy nem helyezhet el cookiekat akkor, amikor a Felhasználó következő alkalommal meglátogatja a Honlapot.
A leggyakrabban használt böngészők esetében a sütik kezelésére vonatkozó menüpontok:
- Mozilla Firefox: https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences
- Google Chrome:
https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=en
- Internet Explorer: https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies
- Microsoft Edge: https://support.microsoft.com/en-us/help/4468242/microsoft-edge-browsing-data-and-privacy-microsoft-privacy
A Google Analytics kiegészítő lehetőségeket kínál a Google Analytics szolgáltatásokról való leiratkozáshoz: http://tools.google.com/dlpage/gaoptout?hl=en-GB.
Az alkalmazott sütik típusonként:
- A Honlap működéséhez feltétlenül szükséges cookiek:
COOKIE NÉV | COOKIE CÉLJA, GYŰJTÖTT ADATOK KÖRE | ADATKEZELÉS IDŐTARTAMA | SAJÁT VAGY HARMADIK FÉL SÜTIJE |
grs_gdpr | a GDPR kezelő plugin által létrehozott cookie, mely tárolj az adott böngészőben elfogadott engedélyeket. | 1 év | saját |
- Statisztikai és analitikai célú cookiek:
COOKIE NÉV | COOKIE CÉLJA, GYŰJTÖTT ADATOK KÖRE | ADATKEZELÉS IDŐTARTAMA | SAJÁT VAGY HARMADIK FÉL SÜTIJE |
_ga | Egyedi azonosító, mely a felhasználó által generált webes forgalmi statisztikához kapcsolódik | 2 év | Harmadik fél (Google) |
_gid | Egyedi azonosító, mely a felhasználó által generált webes forgalmi statisztikához kapcsolódik | 1 nap | Harmadik fél (Google) |
collect | A Google Analytics számára küldött látogatói eszköz és viselkedés adatokhoz használt elem. Követi a felhasználót több eszközön és marketing csatornán keresztül. | Session | Harmadik fél (Google) |
- Marketing és remarketing célú cookiek:
COOKIE NÉV | COOKIE CÉLJA, GYŰJTÖTT ADATOK KÖRE | ADATKEZELÉS IDŐTARTAMA | SAJÁT VAGY HARMADIK FÉL SÜTIJE |
_fbp | Facebook által használt cookie, melynek célja a felhasználó és a böngésző azonosítása, a felhasználó által generált webes forgalmi statisztikához kapcsolódik, melyet a facebook profilhoz rendel. | 3 hónap | Harmadik fél (Facebook) |
fr | Facebook által használt cookie, melynek célja a felhasználó és a böngésző azonosítása, a felhasználó által generált webes forgalmi statisztikához kapcsolódik, melyet a facebook profilhoz rendel. | 3 hónap | Harmadik fél (Facebook) |
tr | Facebook által használt cookie, melynek célja a felhasználó és a böngésző azonosítása, a felhasználó által generált webes forgalmi statisztikához kapcsolódik, melyet a facebook profilhoz rendel. | Session | Harmadik fél (Facebook) |
- Az érintett személyek adatvédelmi jogai (részletesen lásd: 9. pont) érvényesítésével kapcsolatos adatkezelés
Az Adatkezelő adatkezelést végez akkor is, amikor az érintettek adatvédelmi jogaikat gyakorolják az Adatkezelő adatkezelésével kapcsolatban. Az Adatkezelő az alábbi adatkezelést végzi ebben az esetben:
Az adatkezelés megnevezése és célja | Az adatkezelés jogalapja | A kezelt adatok köre | Az adatkezelés időtartama |
Az érintett személyek adatvédelmi jogai (részletesen lásd: 11. pont) érvényesítésével kapcsolatos adatkezelés | GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges).
A jogi kötelezettség: a GDPR 15-22. cikkeiben foglalt érintetti jogok gyakorlásának lehetővé tétele, illetve a megkereséssel kapcsolatban tett egyéb lépések dokumentálása. |
A Szolgáltatóhoz érkező adatvédelmi megkeresésekkel összefüggő személyes adatok: a Szolgáltatóhoz forduló természetes személyek / jogi személyek vagy egyéb szervezetek esetén a kapcsolattartó személyek kapcsolattartáshoz szükséges adatai (így különösen: név, cím, e-mail cím, telefonszám), a megkeresés tartalma, valamint a megkereséssel kapcsolatban tett lépések és a megkereséssel kapcsolatban készült dokumentumok. Például: ha az érintett e-mailben kéri az összes adata törlését a GDPR alapján, és ezt teljesíti is a Szolgáltató, akkor magát a törlést kérő e-mailt ettől függetlenül megőrzi. | Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
- Adatkezelés az érintett személyek adatkezeléshez történő hozzájárulásainak, valamint a hozzájáruló nyilatkozat esetleges visszavonásának archiválása érdekében
Az Adatkezelő jogszabályi előírás alapján köteles a hozzájárulásokat nyilvántartani, ezzel kapcsolatosan az alábbi adatkezelést végzi:
Az adatkezelés megnevezése és célja | Az adatkezelés jogalapja | A kezelt adatok köre | Az adatkezelés időtartama |
Az érintett személyek adatkezeléshez történő hozzájárulásainak, valamint a hozzájáruló nyilatkozat esetleges visszavonásának archiválása | GDPR 6. cikk (1) c) pontja (az adatkezelés a Szolgáltatóra mint adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges).
A jogi kötelezettség: a GDPR 7. cikk (1) szerint, ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. |
Ha a Szolgáltató valamely adatkezelése az érintett hozzájárulásán alapult, a Szolgáltató az adott hozzájárulást archiválja. Ennek célja, hogy a hozzájárulás jogszerűsége bármikor igazolható legyen. Ha az érintett a hozzájárulását visszavonja, a Szolgáltató a visszavonó nyilatkozatot (és az azzal kapcsolatos kommunikációt) is megőrzi. Ennek célja, hogy a Szolgáltató mindig tisztában legyen azzal, hogy egy érintett visszavonta hozzájárulását egy meghatározott adatkezeléshez. | Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
- Adatkezelés az adatvédelmi incidensek nyilvántartása (ideértve az incidensek kezelésével kapcsolatban tett lépések dokumentálását) céljából
A Szolgáltató jogszabályi előírás alapján nyilvántartja az adatvédelmi incidenssel kapcsolatos információkat, amely során az alábbi adatkezelést végzi:
Az adatkezelés megnevezése és célja | Az adatkezelés jogalapja | A kezelt adatok köre | Az adatkezelés időtartama |
Adatvédelmi incidensek nyilvántartása (ideértve az incidensek kezelésével kapcsolatban tett lépések dokumentálását) | GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges).
A jogi kötelezettség: a GDPR 33. cikk (5) alapján az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az adatvédelmi hatóság ellenőrizze a GDPR követelményeinek való megfelelést. |
Az érintett személyeknek az adatvédelmi incidenshez kapcsolódó személyes adatai. | Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
- Ki kezeli a személyes adataidat, és ki fér hozzá azokhoz?
- 6.1. Az adatkezelő
Az 1-7. pontban meghatározott adataid adatkezelője a Szolgáltató, azaz az OTP Mobil Szolgáltató Kft., melynek elérhetőségei és cégadatai az alábbiak:
OTP Mobil Szolgáltató Kft.
Cégjegyzékszám: 01-09-174466
Adószám: 24386106-2-41
Székhely: 1138 Budapest, Váci út 135-139. B. ép. 5. em.
Postacím: 1138 Budapest, Váci út 135-139. B. ép. 5. em.
E-mail cím: ugyfelszolgalat@simple.hu
Telefonszám: 06 1 3666 611
06 70 3666 611
06 30 3666 611
06 20 3666 611
A Szolgáltató részéről adataidhoz a Szolgáltató munkavállalói férnek hozzá abban a körben, amely munkájuk elvégzéséhez feltétlenül szükséges. A személyes adataidhoz való hozzáférési jogosultságokat szigorú belső szabályzatban rögzítjük.
- 6.2. Adatfeldolgozók
Adataid kezeléséhez, tárolásához különböző vállalkozásokat veszünk igénybe, akikkel adatfeldolgozói szerződést kötöttünk. Az alábbi adatfeldolgozók végzik adataid feldolgozását:
Adatfeldolgozó neve és címe | Adatfeldolgozás célja | A külföldi adattovábbításra vonatkozó információk | |
Microsoft Corporation
(USA – One Microsoft Way |
a) Microsoft 365 felhőszolgáltatás nyújtója | Adattovábbítás történik az USA-ba.
Adattovábbítás alapja: Standard Contractual Clauses (SCC) az EU 95/46/EC Adatvédelmi Irányelve alapján, amelyet az EU 29 cikk szerinti Munkacsoportja jóváhagyott a 2010/87/EU Modell Szerződés alapján, amellyel az adatfeldolgozó biztosítja, hogy a személyes adatokat az EU adatvédelmi előírásainak megfelelően továbbítja és kezeli. Az SCC a Microsoft Online Services Terms-ben érhetők el. |
|
OTP Bank Nyrt.
(székhely: 1051 Budapest, Nádor u. 16.; Cégjegyzékszám: 01-10-041585; Adószám: 10537914-4-44) |
a) IT infrastruktúra biztosítása
b) ügyfélszolgálat üzemeltetése |
Nincs külföldi adattovábbítás. | |
|
a) tárhelyszolgáltatás | Nincs külföldi adattovábbítás. | |
Facebook, Inc.
(USA – 1601 Willow Road Menlo Park, California 94025) |
a) Profilalkotás, hirdetés, analitikai és mérési szolgáltatás, viselkedésalapú reklám megjelenítése | Adattovábbítás történik az USA-ba.
Adattovábbítás alapja: A Facebook Adattovábbítási Kiegészítésébe foglalt Standard Contractual Clauses (SCC) az EU 95/46/EC Adatvédelmi Irányelve alapján, amelyet az EU 29 cikk szerinti Munkacsoportja jóváhagyott a 2010/87/EU Modell Szerződés alapján, amellyel az adatfeldolgozó biztosítja, hogy a személyes adatokat az EU adatvédelmi előírásainak megfelelően továbbítja és kezeli. A Facebook Adattovábbítási kiegészítése itt érhető el: Facebook.com. |
|
GOOGLE LLC
(USA – Google Data Protection Office, 1600 Amphitheatre Pkwy |
a) Profilalkotás, hirdetés, analitikai és mérési szolgáltatás, viselkedésalapú reklám megjelenítése | Adattovábbítás történik az USA-ba.
Adattovábbítás alapja: A Google Ads Data Processing Terms részét képező Standard Contractual Clauses (SCC) Standard Contractual Clauses (SCC) az EU 95/46/EC Adatvédelmi Irányelve alapján, amelyet az EU 29 cikk szerinti Munkacsoportja jóváhagyott a 2010/87/EU Modell Szerződés alapján, amellyel az adatfeldolgozó biztosítja, hogy a személyes adatokat az EU adatvédelmi előírásainak megfelelően továbbítja és kezeli. A Google SCC elérhető itt: Google Ads Data Processing Terms: Model Contract Clauses |
- Ki a Szolgáltató adatvédelmi tisztviselője és mik az elérhetőségei?
Sári Zsombor
Elérhetőségei:
- Szolgáltató székhelyén (1138 Budapest, Váci út 135-139. B. ép. 5. em.)
- e-mail címe: dpo@otpmobil.com
- postacíme: 1138 Budapest, Váci út 135-139. B. ép. 5. em.
- Kinek továbbítjuk a személyes adataidat?
A személyes adataidat nem továbbítjuk a GDPR rendeletben nem részes, a GDPR értelmében vett harmadik országba, azokat csupán a 6.2. pontban megnevezett adatfeldolgozóknak, az ott részletezettek szerint továbbítjuk.
- Milyen jogaid vannak a személyes adataid kezelésével kapcsolatban és hogyan biztosítjuk azok gyakorlását?
Az érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozó rendelkezései (így különösen a GDPR 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82. cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve az Adatkezelő ennek megfelelően nyújt tájékoztatást az érintettek részére az adatkezeléssel kapcsolatos jogaikról és jogorvoslati lehetőségeikről.
Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen az érintett joggyakorlással (lásd: GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
9.1 Az érintett hozzáférési joga
- Az érintett jogosult arra, hogy visszajelzést kapjon az Adatkezelőtől arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- az adatkezelés céljai;
- az érintett személyes adatok kategóriái;
- azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
- adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- az érintett arra vonatkozó joga, hogy kérelmezheti a Munkáltatótól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; és
- ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
- automatizált döntéshozatal (GDPR 22. cikk (1) és (4)) ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
- Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
- Az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
9.2 A helyesbítéshez való jog
Az érintett jogosult arra, hogy az Adatkezelő az érintett kérésére indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Az érintett jogosult továbbá arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
9.3 A törléshez való jog („az elfeledtetéshez való jog”)
- Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő gyűjtötte vagy más módon kezelte;
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett tiltakozik az adatkezelése ellen, és adott esetben nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
- a személyes adatok jogellenesen kerültek kezelésre;
- a személyes adatokat az Adatkezelőnek az alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; vagy
- a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
- Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a fentebb írtak értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megtesszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
- Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges, többek között:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;
- a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
9.4 Az adatkezelés korlátozásához való jog
- Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben.
- Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
- Az adatkezelés korlátozásának feloldásáról az Adatkezelő előzetesen tájékoztatja az érintett, akinek kérésére a fentiek alapján korlátozták az adatkezelést.
9.5 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
9.6 Az adathordozhatósághoz való jog
- Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, ha:
- az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
- az adatkezelés automatizált módon történik.
- Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők (így az Adatkezelő és egyéb adatkezelő) közötti közvetlen továbbítását.
- A fentebb írt jog gyakorlása nem sértheti a törléshez való jog („elfeledtetéshez való jog”) vonatkozásában írt rendelkezéseket, továbbá e jog nem érintheti hátrányosan mások jogait és szabadságait.
9.7 A tiltakozáshoz való jog
- Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen. Ebben az esetben a személyes adatokat az Adatkezelő nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
- Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
9.8 A felügyeleti hatóságnál történő panasztételhez való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint az érintettre vonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit. Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (weboldal: http://naih.hu/; cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c; postacím: 1530 Budapest, Pf.: 5.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu).
9.9 A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
- Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
- Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
- A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
9.10 Az Adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
- Az érintett a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait.
- Az Adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az Adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is. Az ilyen per Magyarországon a törvényszék hatáskörébe tartozik. A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A bíróság illetékességéről és elérhetőségeiről az alábbi honlapon tájékozódhat: birosag.hu.
- Hogyan biztosítjuk adataid biztonságát?
Mindenre kiterjedő részletes információbiztonsági szabályzattal rendelkezünk az általunk kezelt adatok, információk biztonságának biztosítása érdekében, amely valamennyi munkavállalónkra kötelező, és amelyet valamennyi munkavállalónk ismer és alkalmaz.
A munkavállalóinkat az adat- és információbiztonság követelményeire vonatkozóan rendszeresen oktatjuk, képezzük.
10.1 Adatbiztonság az IT infrastruktúrában
A személyes adatokat saját központi szerverünkön tároljuk, amelyhez szigorú jogosultságkezelési szabályok alapján csak nagyon korlátozott személyi, alkalmazotti kör férhet hozzá. Informatikai rendszereinket időről időre, visszatérően és rendszeresen teszteljük és ellenőrizzük az adat- és IT biztonság megteremtése és fenntartása érdekében.
Az adatbiztonsági előírásoknak a PCI DSS tanúsítványnak való megfeleléssel teszünk eleget, amely a legszigorúbb banki rendszerekre vonatkozó szabályok alkalmazását jelenti az általunk kezelt adatok tekintetében.
Az irodai munkaállomások jelszóval védettek, idegen adathordozó használata korlátozott és csak biztonságos körülmények között, ellenőrzést követően megengedett.
A Társaság valamennyi rendszerére, rendszerelemére kiterjedő, rendszeres és folyamatos kártékony szoftverek elleni védelem biztosított.
A programok, alkalmazások és eszközök tervezése, fejlesztése, tesztelése és üzemeltetése során a biztonsági funkciókat kiemelten és elkülönítetten kezeljük.
Az információs rendszer hozzáférési kulcsait (pl. jelszó) titkosítva tároljuk és továbbítjuk, a rendszer biztonságát érintő adatok (pl. jelszavak, jogosultságok, naplók) védelméről a hozzáférési jogosultságok kiosztásánál gondoskodunk.
10.2 Adatbiztonság a kommunikációban
Az elektronikus úton továbbított üzenetek, állományok tekintetében a Kulcs Kezelés szabályzatban foglaltaknak megfelelően járunk el. A biztonságos adatcsere követelményének teljesítéséhez biztosítjuk az adatok integritását mind a (kommunikáció) vezérlő, mind a felhasználói adatokra. Az adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat alkalmazunk. Az alkalmazások tekintetében a jelszavak, a jogosultságok és a biztonsággal kapcsolatos más paraméterek, adatok csak titkosítva továbbíthatók. A hálózaton alkalmazzuk a végpont-végpont szintű jogosultság ellenőrzés, az elszámoltathatóság és auditálhatóság biztosítása védelmi funkciókat.
Az általunk alkalmazott védelem detektálja az illetéktelen módosítás, a beékelődés, valamint az ismétlő adás előfordulását. Az adatvesztést és -sérülést hibadetektáló és javító eljárásokkal akadályozzuk meg, és gondoskodunk a le nem tagadhatóság biztosításáról.
Az adattovábbításra használt hálózat esetében a biztonsági szintnek megfelelő módon biztosítjuk az illegális rácsatlakozás és a lehallgatás megakadályozását.
10.3. Adatbiztonság a szoftverfejlesztés, programozás során
A Honlap és szolgáltatás fejlesztése során már a tervezési folyamatba beépítjük az adatvédelem és adatbiztonság követelményeit, amelyet a fejlesztés során folyamatosan biztosítunk.
A szoftverfejlesztés során elválasztjuk egymástól a fejlesztői/teszt környezetet és az éles környezetet, teszt és éles adatokat, a tesztelés során a személyes adatokat lehetőség szerint deperszonalizáljuk.
A programozás során betartjuk a biztonságos kódolás alapvető követelményeit, platform- és programnyelv függő technikákat alkalmazunk a jellemző sérülékenységek kiküszöbölésére, követjük a legújabb iparági ajánlásokat a kódok átvizsgálására (például OWASP Top 10 Guide, SANS CWE Top 25, CERT Secure Coding).
Folyamatos követést alkalmazunk az újonnan felfedezett sebezhetőségek azonosítására, fejlesztőinket rendszeresen oktatjuk az adatbiztonsági követelményekkel kapcsolatban, valamint programozási technikákat standardizálását alkalmazzuk a tipikus hibák elkerülésére.
Az elkészült kódok ellenőrzését a biztonságos kódolás alapelvei szerint elvégezzük és változáskövetéssel biztosítjuk a megfelelő dokumentálást.
10.4. Adatbiztonság az iratkezelés során
Az iratkezelés során is betartjuk az adatbiztonság követelményeit, amelyet iratkezelési szabályzatban rögzítettünk. Az iratkezelést írásban meghatározott jogosultsági szintek szerint, az egyes iratok bizalmas jellegéhez mérten alkalmazott biztonsági előírások szerint végezzük. Részletes és szigorú szabályokkal rendelkezünk az iratok megsemmisítésére, tárolására, kiadmányozására vonatkozóan.
10.5. Fizikai adatbiztonság
A fizikai adatbiztonság megteremtése érdekében biztosítjuk nyílászáróink megfelelő záródását és védelmét, szigorú látogatási és belépési előírásokat alkalmazunk a látogatókra vonatkozóan. Az irodahelyiség őrzés-védelme 7/24-ben biztosított.
A papír alapú, személyes adatokat tartalmazó dokumentumok zárt, tűz- és vagyonvédelmet biztosító szekrényben kerülnek elhelyezésre, amelyhez csak meghatározott személyzeti kör fér hozzá megfelelő jogosultságkezeléssel.
Az adathordozó eszközök elhelyezésére szolgáló helyiségeket úgy alakítottuk ki, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen. Az adatátvitelre, valamint mentésre, archiválásra használt adathordozók tárolása pedig csak megbízhatóan zárt helyen történhet.
A mentési adathordozókat megbízhatóan zárt helyiségben, minimum 30 perces tűzállóságú tárolószekrényben tároljuk.
- Mit teszünk, ha adatvédelmi incidens következik be nálunk?
A jogszabályoknak megfelelően bejelentjük a felügyeleti hatóságnak az adatvédelmi incidenst a tudomásszerzéstől számított 72 órán belül, és nyilvántartást is vezetünk az adatvédelmi incidensekről. A jogszabály által meghatározott esetekben pedig az érintett felhasználókat is tájékoztatjuk róla.
- Mikor és hogyan módosítjuk a jelen adatkezelési tájékoztatót?
Amennyiben a kezelt adatok köre, az adatkezelés többi körülménye változik, a jelen adatkezelési tájékoztatót a GDPR előírásainak megfelelően módosítjuk és közzétesszük a Honlapon. Kérjük, hogy minden esetben gondosan olvasd el az adatkezelési tájékoztató módosításait, mert fontos információkat tartalmaznak személyes adataid kezeléséről.