Adatvédelmi szabályzat - Cyber Risk Biztosítások

A Független Biztosítási Alkuszok Magyarországi Szövetsége (a továbbiakban: „Szövetség”) számára kiemelt fontosságú cél a tag alkuszok természetes személy ügyfelei által rendelkezésre bocsátott személyes adatok védelme, az ügyfelek információs önrendelkezési jogának biztosítása.

Ennek megfelelően a Szövetség a természetes személy ügyfelek magánszférájának tiszteletben tartása, a mindenkor hatályos adatvédelmi jogszabályokban foglaltaknak való megfelelés és az adatok megfelelő szintű kezelése, védelme érdekében ajánlja tagjai számára a jelen Adatvédelmi és Adatbiztonsági Mintaszabályzatot (a továbbiakban “Szabályzat”).

A Szabályzat kialakítása során a Szövetség az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, valamint a biztosítókról és a biztosítási tevékenységről szóló 2003. évi LX. törvény előírásait vette figyelembe.

A Szabályzat az azt beiktató tag alkuszok (a továbbiakban: Alkusz) minden vezetőjének, alkalmazottjának és megbízottjának szól, akik az Alkusz nevében vagy érdekében adatkezelést végeznek, vagy munkakörük, feladatkörük azzal összefüggésbe hozható. Az Alkusz vezetője felelősséggel tartozik a Szabályzatban leírtak betartatásáért.

–––––––––––––––––––––––––

A szabályzat célja, tárgyi és személyi hatálya

1.1. A Szabályzat célja, hogy az Alkusz által végzett adatkezelésre vonatkozó alapvető szabályok meghatározásával, bevezetésével biztosítsa az Alkusznál vezetett nyilvántartások működésének törvényességét, valamint az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, továbbá akadályozza meg az adatokhoz való illetéktelen hozzáférést, az adatok jogtalan megváltoztatását valamint jogosulatlan nyilvánosságra hozatalát.

1.2. A Szabályzat tárgyi hatálya kiterjed minden olyan, az Alkusz által végzett vagy végeztetett adatkezelésre és adatfeldolgozásra, amely a vele kapcsolatba kerülő, természetes személy ügyfél (a továbbiakban: Adatalany) személyes adataira vonatkozik, függetlenül attól, hogy azt manuális módon, avagy teljesen vagy részben automatizált eszközzel végzi(k).

1.3. A Szabályzat személyi hatálya kiterjed az Alkuszra, továbbá az Alkusz valamennyi szervezeti egységére, alkalmazottjára és megbízottjára, aki(k) az Alkusz nevében vagy érdekében adatkezelést végeznek, vagy munkakörük, feladatkörük azzal összefüggésbe hozható. A Szabályzat személyi hatálya kiterjed továbbá az adatfeldolgozóra is (ld. 6. pont), aki vagy amely az Alkusszal kötött szerződése alapján adatok feldolgozását végzi.

1.4. Az Alkusz vezetője felelősséggel tartozik a Szabályzatban előírt adat- és információvédelmi szabályok betartásáért és betartatásáért.

Kapcsolat egyéb szabályzatokkal

2.1. A jelen Szabályzatot – amennyiben az Alkusz az alábbi, vagy azzal egyenértékű szabályzattal rendelkezik – a következő szabályzatokkal együtt javasolt alkalmazni és értelmezni:

– Dokumentum és Iratkezelési Szabályzat,

– Informatikai Biztonsági Szabályzat.

2.2. Amennyiben a jelen Szabályzatban foglalt valamely rendelkezés ellentétes az Alkusz által alkalmazott más belső szabályzatban foglaltakkal, a jelen Szabályzat rendelkezése irányadó.

Az adatkezelés elvei

Az Alkusz köteles az alábbi alapelveket betartani, illetőleg az adatkezelésben érintett minden alkalmazottal és megbízottal munkájukkal összefüggésben folyamatosan betartatni:

3.1. Az Adatgyűjtés Tisztességének Elve

Az Adatalany magánszféráját tiszteletben kell tartani. Ennek megfelelően az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

3.2. Az Adatkezelés Célhoz Kötöttségének Elve

Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.

3.3. Az Adatkezelés Korlátozásának Elve

A személyes adat csak a cél megvalósulásához szükséges mértékben és a biztosítási, illetve az alkuszi megbízási jogviszony fennállásának ideje alatt, valamint azon időtartam alatt kezelheti, ameddig a biztosítási, illetve az alkuszi megbízási jogviszonnyal kapcsolatban igény érvényesíthető. Biztosítani kell, hogy az Adatalanyt csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

3.4. Az Adatminőség Elve

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét.

3.5. A Nyilvánosság Elve

Az adatkezelés tényének, helyének és céljának, valamint az Alkusz által alkalmazott adatkezelési politikának nyilvánosnak kell lennie.

3.6. A Személyes Részvétel Elve

Az Adatalany megismerheti a rá vonatkozó adatokat, továbbá bármikor kérheti azok helyesbítését, kiegészítését, törlését vagy zárolását.

Az adatkezelés jogalapja

4.1. Az Alkusz személyes adatot akkor jogosult kezelni, ha ahhoz az Adatalany hozzájárult, vagy azt törvény elrendeli.

4.2. Az Alkusz különleges adatot akkor jogosult kezelni, ha ahhoz az Adatalany írásban hozzájárult.

4.3. Személyes adat kivételesen az Adatalany hozzájárulása nélkül is kezelhető, feltéve, hogy a hozzájárulás beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése:

(a) az Alkuszra vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy

(b) az Alkusz vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

Az adatbiztonság követelménye

5.1. Az Alkusz köteles a személyes adatok gyűjtését, felvételét, rögzítését, rendszerezését, tárolását, megváltoztatását, felhasználását, lekérdezését, továbbítását, nyilvánosságra hozatalát, összehangolását vagy összekapcsolását, továbbá az adatok zárolását, törlését és megsemmisítését (együttesen: adatkezelési műveleteket) úgy megtervezni és végrehajtani, hogy az biztosítsa az Adatalanyok magánszférájának védelmét.

5.2. Az Alkusz, valamint tevékenységi körében az Alkusz által megbízott adatfeldolgozó (ld. 6. pont) köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvényben előírt valamint e Szabályzatban foglalt adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

5.3. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

5.4. A személyes adatok automatizált feldolgozása során az Alkusz és az adatfeldolgozó további intézkedésekkel köteles biztosítani:

(a) a jogosulatlan adatbevitel megakadályozását;

(b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;

(c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;

(d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;

(e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

(f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

5.5. Az Alkusznak és az általa megbízott adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.

Az adatkezelés kiszervezése (az adatfeldolgozói szerződés)

6.1. Az Alkusz jogosult az általa végzett adatkezelési műveletek (ld. 5.1. pont) egy részét kiszervezni. Az adatfeldolgozással csak olyan szervezet bízható meg, amely nem érdekelt a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben.

6.2. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelésre vonatkozó törvény és a jelen Szabályzat keretei között az Alkusz határozza meg. Az általa adott utasítások jogszerűségéért az Alkusz felel. Az Alkusz felel az adatfeldolgozó által az Adatalanynak okozott kárért is.

6.3. Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozói szerződésnek legalább az alábbiakat kell tartalmaznia:

(i) az Alkusz és az adatfeldolgozó cégnevét és székhelyét;

(ii) az adatfeldolgozói feladat pontos meghatározását, a feldolgozásra átadott nyilvántartás ás adatok körének meghatározását;

(iii) az adatfeldolgozási tevékenység végzése során az adatfeldolgozó tudomására jutott személyes adatok megőrzésére vonatkozó kötelezettséget, felelősséget és az adatok titokban tartása érdekében teendő intézkedéseket;

(iv) a szerződés teljesítésére és a megszűnése esetén alkalmazandó eljárásra vonatkozó rendelkezéseket;

(v) az adatfeldolgozó hozzájárulását az adatfeldolgozói tevékenységnek az Alkusz, valamint az Alkusz Belső Adatvédelmi Felelőse által történő ellenőrzéshez;

(vi) az adatfeldolgozó felelősségét a tevékenység megfelelő színvonalon történő végzéséért és a harmadik személy irányába fennálló helytállási kötelezettségre vonatkozó rendelkezéseket;

(vii) az Alkusz részéről történő azonnali hatályú felmondás lehetőségét az adatfeldolgozó által történő jogszabálysértő tevékenység, illetve ismételt vagy súlyos szerződésszegés esetén.

6.4. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Alkusz rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Alkusz rendelkezései szerint köteles tárolni és megőrizni.

6.5. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót (alvállalkozót) nem vehet igénybe.

Adattovábbítás

7.1. Adattovábbítás belföldre

7.1.1. Az Alkusz személyes adatot Magyarország területén belül és meghatározott harmadik személy részére akkor továbbíthat, ha ahhoz az Adatalany hozzájárult, vagy azt törvény megengedi.

7.1.2. Az Alkusz az alábbi esetekben és szervezetek felé az Adatalany biztosítási titoknak is minősülő személyes adatait az Adatalany hozzájárulása nélkül is továbbíthatja:

(a) a feladatkörében eljáró Magyar Nemzeti Banknak,

(b) a folyamatban lévő büntetőeljárás keretében eljáró nyomozó hatóságnak és ügyészségnek,

(c) büntetőügyben, polgári ügyben, valamint a csődeljárás, illetve a felszámolási eljárás ügyében eljáró bíróságnak, továbbá a végrehajtási ügyben eljáró önálló bírósági végrehajtónak,

(d) a feladatkörében eljáró nemzetbiztonsági szolgálatnak,

(e) a versenyfelügyeleti feladatkörében eljáró Gazdasági Versenyhivatalnak,

(f) a külön törvényben meghatározott feltételek megléte esetén a titkosszolgálati eszközök alkalmazására, titkos információgyűjtésre felhatalmazott szervnek,

(g) a viszontbiztosítónak, valamint közös kockázatvállalás (együttbiztosítás) esetén a kockázatvállaló biztosítóknak,

(h) a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végző adatfeldolgozónak,

(i) a feladatkörében eljáró alapvető jogok biztosának,

(j) a feladatkörében eljáró Nemzeti Adatvédelmi és Információszabadság Hatóságnak.

7.1.3. Az EGT valamely tagállamába irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

7.2. Adattovábbítás külföldre

Személyes adat EGT-tagállamnak nem minősülő harmadik országban adatkezelést folytató meghatározott adatkezelő részére akkor továbbítható, vagy harmadik országban adatfeldolgozást végző meghatározott adatfeldolgozó részére akkor adható át, ha ahhoz az Adatalany kifejezetten (írásban) hozzájárult.

7.3. Az Adattovábbítási Nyilvántartás

7.3.1. Az Alkusz az adattovábbítás jogszerűségének ellenőrzése, valamint az Adatalany tájékoztatása céljából köteles – mind a belföldre, mind a külföldre irányuló adattovábbítás esetén – adattovábbítási nyilvántartást vezetni. Az adattovábbítási nyilvántartás a következőket tartalmazza:

(i) az Alkusz által kezelt személyes adatok továbbításának időpontját,

(ii) az adattovábbítás jogalapját és címzettjét, valamint

(iii) a továbbított személyes adatok körének meghatározását.

7.3.2. Az Adattovábbítási Nyilvántartásban szereplő személyes adatokat az adattovábbítástól számított 5 év elteltével, a 4.2. pont szerinti különleges adatnak minősülő adatok továbbítása esetén 20 év elteltével törölni kell.

Az Adatalanyt megillető jogok biztosítása

8.1. A tájékoztatáshoz való jog

8.1.1. Az Adatalannyal az első kapcsolatfelvétel során közölni kell, hogy az adatkezelés önkéntes hozzájárulásán alapul, és részére egyértelmű és részletes tájékoztatást kell adni az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Adatalany adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is (ld. 8. és 9. pontokat).

8.1.2. Az Adatalany kérelmére az Alkusz tájékoztatást ad az Adatalany általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az Adatalany személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

8.1.3. Az Alkusz köteles a 8.1.2 pont szerinti kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az Adatalany erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Alkuszhoz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg (a költségtérítés mértéke az alkuszi megbízási szerződésben is rögzíthető). A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

8.1.4. Az Adatalany tájékoztatása, valamint személyes adatainak helyesbítése (8.2. pont), törlése (8.3. pont) vagy zárolása (8.4. pont) csak akkor tagadható meg, ha azt törvény – az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából, beleértve minden esetben az ellenőrzést és a felügyeletet is, továbbá az Adatalany vagy mások jogainak védelme érdekében – előírja.

8.1.5. A tájékoztatás megtagadása esetén az Alkusz írásban közli az Adatalannyal, hogy a felvilágosítás megtagadására az adatvédelmi törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az Alkusz tájékoztatja az Adatalanyt a bírósági jogorvoslat (9.1. pont), továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről (10.2.1. pont).

Az elutasított kérelmekről az Alkusz a Nemzeti Adatvédelmi és Információszabadság Hatóságot évente a tárgyévet követő év január 31-éig köteles írásban értesíteni.

8.2. A személyes adat helyesbítése

Ha a személyes adat a valóságnak nem felel meg, az Alkusz köteles a személyes adatot helyesbíteni amennyiben a valóságnak megfelelő személyes adat rendelkezésére áll.

8.3. A személyes adat törlése

8.3.1. Az Alkusz köteles törölni minden olyan, ügyfeleivel, volt ügyfeleivel vagy létre nem jött szerződéssel kapcsolatos személyes adatot:

(i) amelynek kezelése esetében az adatkezelési cél megszűnt, vagy

(ii) az adatok tárolásának törvényben meghatározott határideje lejárt (ide nem értve azon személyes adatot, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni), vagy

(iii) amelynek kezeléséhez az Adatalany hozzájárulása nem áll rendelkezésre, illetve

(iv) amelynek kezeléséhez nincs törvényi jogalap.

8.3.2. A telefonon történő panaszkezelés esetén az Alkusz és az Adatalany közötti telefonos kommunikációt rögzítő hangfelvételt a hangfelvétel elkészítését követő egy év leteltével törölni kell.

8.3.3. A személyes adatot törölni kell továbbá, ha

(i) azt az Adatalany kéri;

(ii) a kezelt adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;

(iii) a személyes adat törlését a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.

8.4. A személyes adat zárolása

Törlés helyett az Alkusz zárolja a személyes adatot, ha az Adatalany ezt kéri, vagy ha az Alkusz rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az Adatalany jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.

8.5. A személyes adat megjelölése

Az Alkusz megjelöli az általa kezelt személyes adatot, ha az Adatalany vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

8.6. A helyesbítésre, törlésre, zárolásra és megjelölésre vonatkozó közös rendelkezések

8.6.1. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az Alkusz az Adatalanyt, továbbá mindazokat értesíteni köteles, akiknek korábban az adatot adatkezelés céljára továbbította. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az Adatalany jogos érdekét nem sérti.

8.6.2. Ha az Alkusz az Adatalany helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti (8.1.4. pont), a kérelem kézhezvételét követő 30 napon belül írásban köteles közölni a kérelem elutasításának ténybeli és jogi indokait, valamint tájékoztatni az Adatalanyt a bírósági jogorvoslat (9.1. pont), továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről (10.2.1. pont).

8.7. A tiltakozási jog

8.7.1. Az Adatalany tiltakozhat személyes adatának kezelése ellen,

(a) ha a személyes adatok kezelése vagy továbbítása kizárólag az Alkuszra vonatkozó jogi kötelezettség teljesítéséhez vagy az Alkusz, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges (ide nem értve a jogszabályon alapuló, kötelező adatkezelést);

(b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint

8.7.2. Az Alkusz a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül köteles megvizsgálni, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.

8.7.3. Ha az Alkusz az Adatalany tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

8.7.4. Ha az Adatalany az Alkusznak a 8.7.2. pont alapján meghozott döntésével nem ért egyet, illetve ha az Alkusz a 8.7.2. pont szerinti határidőt elmulasztja, az Adatalany – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – a 9.1. pontban meghatározott módon bírósághoz fordulhat.

8.8. Az elhunyt személyt megillető jogok gyakorlása:Az elhunyt személlyel kapcsolatba hozható adatok tekintetében az Adatalany jogait az elhunyt örököse, illetve a biztosítási szerződésben nevesített jogosult is gyakorolhatja.

Az Adatalany jogérvényesítési lehetőségei

9.1. Bírósági jogérvényesítés

Az Adatalany a jogainak megsértése esetén bírósághoz fordulhat, mely esetben azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Alkusz köteles bizonyítani. Ha a bíróság a kérelemnek helyt ad, az Alkuszt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, illetőleg az Adatalany tiltakozási jogának figyelembevételére kötelezi.

9.2. Kártérítés

Az Alkusz az Adatalany adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az Adatalannyal szemben az Alkusz felel az adatfeldolgozó által okozott kárért is. Az Alkusz mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az adatkezelés hatósági ellenőrzése

10.1. A személyes adatok védelméhez való jog érvényesülésének ellenőrzését és elősegítését a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) végzi. Ezen feladatkörében a Hatóság bejelentés alapján vizsgálatot folytat vagy hivatalból adatvédelmi hatósági eljárást folytathat.

10.2. A Hatósági vizsgálat

10.2.1. A Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll. A Hatóság a vizsgálat során:

(i) a vizsgált Alkusz kezelésében lévő, a vizsgált üggyel összefüggésbe hozható összes iratba betekinthet, illetve azokról másolatot kérhet,

(ii) a vizsgált üggyel összefüggésbe hozható adatkezelést megismerheti, az adatkezelés helyszínéül szolgáló helyiségbe beléphet,

(iii) a vizsgált Alkusztól, illetve az adatkezelő bármely munkatársától írásbeli és szóbeli felvilágosítást kérhet,

(iv) a vizsgált üggyel összefüggésbe hozható bármely szervezettől vagy személytől írásbeli felvilágosítást kérhet, és

(v) a Magyar Nemzeti Bank vezetőjét vizsgálat lefolytatására kérheti fel.

10.2.2. A Hatóság kérésének a vizsgált Alkusz a Hatóság által megállapított határidőn belül köteles eleget tenni.

10.2.3. Ha a Hatóság a személyes adatok kezelésével kapcsolatos jogsérelem vagy annak közvetlen veszélye fennállását megalapozottnak tartja, az Alkuszt a jogsérelem orvoslására, illetve annak közvetlen veszélye megszüntetésére szólítja fel. Az Alkusz – egyetértése esetén – köteles haladéktalanul megtenni a Hatóság felszólításában megjelölt szükséges intézkedéseket, és a megtett intézkedéseiről, illetve – egyet nem értése esetén – álláspontjáról a felszólítás kézhezvételétől számított 30 napon belül írásban tájékoztatni a Hatóságot.

10.2.4. Ha a fenti 10.2.3. pont szerinti felszólítás nem vezetett eredményre a Hatóság – az Alkusz egyidejű tájékoztatása mellett – ajánlást tehet a Magyar Nemzeti Banknak. A Hatóság a Magyar Nemzeti Bankot a fenti 10.2.3. pont szerinti felszólítás hiányában is közvetlenül ajánlást tehet, ha a jogsérelem orvoslása, illetve a jogsérelem közvetlen veszélyének megszüntetése álláspontja szerint ilyen módon hatékonyabban megtörténhet.

10.2.5. Ha a fenti 10.2.3. pont szerinti felszólítás vagy 10.4. pont szerinti ajánlás ellenére a jogsérelem orvoslására, illetve a jogsérelem közvetlen veszélyének megszüntetésére nem került sor, a Hatóság dönt a szükséges további intézkedések megtételéről.

10.3. Adatvédelmi hatósági eljárás

10.3.1. A Hatóság adatvédelmi hatósági eljárást indíthat, ha a bejelentésen alapuló vizsgálat alapján vagy egyébként valószínűsíthető a személyes adatok jogellenes kezelése, és a jogellenes adatkezelés a személyek széles körét érinti, különleges adatokat érint, vagy nagy érdeksérelmet vagy kárveszélyt idézhet elő.

10.3.2. Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság

(i) elrendelheti a valóságnak nem megfelelő személyes adat helyesbítését,

(ii) elrendelheti a jogellenesen kezelt személyes adatok zárolását, törlését vagy megsemmisítését,

(iii) megtilthatja a személyes adatok jogellenes kezelését vagy feldolgozását,

(iv) megtilthatja a személyes adatok külföldre történő továbbítását vagy átadását,

(v) elrendelheti az érintett tájékoztatását, ha azt az adatkezelő jogellenesen tagadta meg,

(vi) százezertől tízmillió forintig terjedő bírságot szabhat ki, valamint

(vii) elrendelheti határozatának nyilvánosságra hozatalát.

10.4. A Hatóság nyilvános jelentése

Ha az ügyben a Hatóság által hatósági eljárás megindítására nem került sor a Hatóság dönthet nyilvános jelentés készítéséről. A Hatóság jelentése bíróság vagy más hatóság előtt nem támadható meg.

10.5. A Hatóság szignalizációs kötelezettsége

10.5.1. Ha a Hatóság az eljárása során bűncselekmény elkövetésének alapos gyanúját észleli, büntetőeljárást kezdeményez az annak megindítására jogosult szervnél.

10.5.2. Ha a Hatóság az eljárása során szabálysértés vagy fegyelmi vétség elkövetésének alapos gyanúját észleli, szabálysértési, illetve fegyelmi eljárást kezdeményez a szabálysértési, illetve a fegyelmi eljárás lefolytatására jogosult szervnél.

Adatvédelmi Nyilvántartás

11.1. A Hatóság az érintettek tájékozódásának elősegítése érdekében az Alkusszal ügyfélkapcsolatban álló Adatalanyok személyes adatokra vonatkozó adatkezeléseiről adatvédelmi nyilvántartást vezet, amely tartalmazza:

(a) az adatkezelés célját,

(b) az adatkezelés jogalapját,

(d) az Adatalanyokra vonatkozó adatok leírását,

(e) az adatok forrását,

(f) az adatok kezelésének időtartamát,

(g) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,

(h) az Alkusz, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az Alkusznak az adatkezeléssel összefüggő tevékenységét,

(i) az alkalmazott adatfeldolgozási technológia jellegét,

(j) a Belső Adatvédelmi Felelős nevét és elérhetőségi adatait.

11.2. Az Alkusz a személyes adatok kezelésének nyilvántartásba vételét – ideértve az olyan adatkezelést is, amely az Alkusz korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, illetve amely az Alkusz korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé – köteles még az adatkezelés megkezdése előtt kérelmezni a Hatóságnál. Az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg.

11.3. Az adatvédelmi nyilvántartásba vételért külön jogszabályban meghatározott igazgatási szolgáltatási díjat kell fizetni.[1]

11.4. Az Alkusz köteles a Hatóság által meghatározott adatkezelés nyilvántartási számot az adatok minden továbbításánál, nyilvánosságra hozásánál és az Adatalanyoknak való kiadásakor feltüntetni. A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét.

11.5. A 11.1. pont (b)–(j) pontja szerinti adatok megváltozása esetén az Alkusz köteles a változás bekövetkezésétől számított 8 napon belül változásbejegyzési kérelmet benyújtani a Hatóságnak.

11.6. Az adatvédelmi nyilvántartás nyilvános, abba bárki betekinthet, az abban foglaltakról feljegyzést készíthet.

Az adatkezelés folyamatba épített ellenőrzése (Belső Adatvédelmi Felelős)

12.1. Az Alkusz az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseink betartása valamint az általa végzett adatkezelési tevékenység ellenőrzésének biztosítása érdekében köteles szervezetén belül, közvetlenül a vezető felügyelete alá tartozó – jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező – Belső Adatvédelmi Felelőst kinevezni vagy megbízni.

12.2. A Belső Adatvédelmi Felelős az Alkusz által végzett adatkezelés nyomon követésével és az általa kezelt nyilvántartások áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról, és ennek során:

(a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az Adatalanyok jogainak biztosításában;

(b) ellenőrzi az adatvédelmi törvény és az adatkezelésre vonatkozó más jogszabályok, valamint az Alkusz belső adatvédelmi és adatbiztonsági szabályzata rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;

(c) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az Alkuszt vagy az adatfeldolgozót;

(d) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;

(e) vezeti a belső adatvédelmi nyilvántartást;

(f) gondoskodik az adatvédelmi ismeretek oktatásáról;

(g) részt vesz a Nemzeti Adatvédelmi és Információszabadság Hatóság által szervezet belső adatvédelmi felelősök konferenciáján.

12.3. Különösen új személyes adatokat tartalmazó nyilvántartás illetőleg adatállomány feldolgozását, vagy már létrehozott személyes adatokat tartalmazó adatállomány felhasználására tervezett új adatfeldolgozási technológia alkalmazását megelőzően indokolt a Belső Adatvédelmi Felelőstől előzetes ellenőrzést kérni.

12.4. Az ellenőrzés tapasztalatairól a Belső Adatvédelmi Felelős az Alkusz vezetőjét írásban tájékoztatja, szükség esetén pedig a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívja fel az Alkuszt.

12.5. A Belső Adatvédelmi Felelős a tevékenységére vonatkozó adat- és titokvédelmi szabályok szigorú betartásával több adatkezelő részére is kifejtheti tevékenységét.

Záró rendelkezések

13.1. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. §-ának (3) bekezdése értelmében a pénzügyi szervezeteknek – így a független biztosításközvetítőknek is – a törvényben foglaltak végrehajtása érdekében adatvédelmi és adatbiztonsági szabályzatot kell készíteniük. Amennyiben saját szabályzatot nem készít el, az Alkusz ezen kötelezettségének a jelen Szabályzat elfogadásával is eleget tehet. Ebben az esetben a Szabályzat, valamint annak jövőbeni módosítása az Alkusz belső szabályzataként az 1. számú mellékletben foglaltaknak megfelelően hozott beiktatási határozat meghozatalának napján, de legkorábban a 13.1. pontban rögzített napon lép hatályba. Ezzel egyidejűleg – amennyiben az Alkusz korábban már rendelkezett adatvédelmi, illetőleg a személyes adatok kezelésére, védelmére vonatkozó belső szabályzattal – a korábbi szabályzatok hatályukat vesztik.

13.2. Ha a jelen Szabályzatban hivatkozott, illetve idézett jogszabályi rendelkezések tekintetében utóbb változás áll be, a jelen Szabályzat szövegét a hatályos jogszabályi előírásoknak megfelelően kell értelmezni és alkalmazni.

–––––––––––––––––––––––––

számú melléklet – Beiktatási határozat

01/2012. számú Határozat

A Független Biztosítási Alkuszok Magyarországi Szövetsége Adatvédelmi és Adatbiztonsági Mintaszabályzata belső szabályzatként történő elfogadásáról

Alulírott, mint az PÁSZKA és Partnerei Biztosítási Alkusz Kft. (székhelye: H 1124 Budapest, Fürj u. 26/B.; cégjegyzékszám: 01 09 689262; a továbbiakban: Társaság) teljes jogkörben felhatalmazott képviselője, ezennel az alábbi határozatot hozom:

A Társaság az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. §-ának (3) bekezdésére figyelemmel a Független Biztosítási Alkuszok Magyarországi Szövetsége által kiadott Adatvédelmi és Adatbiztonsági Mintaszabályzatot a mai nappal és azonos szöveggel a Társaság belső szabályzataként elfogadja.

Kelt: Budapest, 2012. Július 01.

Pászka Zsuzsanna (ügyvezető Igazgató) s.k.