Adatkezelési tájékoztató
Adatkezelési tájékoztató 1.Bevezetés Jelen szabályzat célja, hogy a biztosítási alkusznál kezelt személyes adatok tekintetében biztosítsa az adatvédelemre, az adatbiztonságra vonatkozó jogszabályi és működési követelmények betartását. Ennek érdekében megfogalmazza azokat a szabályokat és eljárásokat, melyeket a DORADO XXI. Biztosítási Alkusz Kft. (székhely: 2225 Üllő, Hársfa u. 1., cégjegyzékszám: 13-09-084165/25) minden alkalmazottjának és a társasággal kapcsolatba kerülő minden vállalkozójának, megbízottjának be kell tartania az adatkezelés során. Az Adatkezelő magára nézve kötelezőnek ismeri el a jelen szabályzat tartalmát, valamint kötelezettséget vállal arra, hogy jelen szabályzat minden tartalmi elemét a mindenkori hatályos jogszabályok előírásainak megfelelően alakította ki, azok elvárásainak megfelel. A tájékoztató folyamatosan elérhető az Adatkezelő ügyfélszolgálati irodáiban, valamint az Adatkezelő által üzemeltett honlapon az alábbi linken keresztül: www.doradoxxi.huA szabályozás 2018. december 11. napján lép hatályba, azonban a már meglévő adatok kezelésére is vonatkozik. Az adatkezelő profilalkotást nem végez. Jelen adatkezelési tájékoztató összhangban áll az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen: 1995. évi CXIX. törvény - a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről 2001. évi CVIII. törvény - az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 2003. évi C. törvény- az elektronikus hírközlésről (Eht.) 2005. évi XXV. törvény - a távértékesítés keretében kötött pénzügyi ágazati szolgáltatási szerződésekről 2008. évi XLVII. törvény - a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról 2008. évi XLVIII. törvény- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (Grt.) 2011. évi CXII. törvény- az információs önrendelkezési jogról és az információszabadságról (Infotv.); 2014. évi LXXXVIII. törvény - a biztosítási tevékenységről AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE(2016. április 27., GDPR)
2.Értelmező rendelkezések Jelen szabályzat alkalmazásában: érintett: bármely információ alapján azonosított vagy azonosítható természetes személy; személyes adat: az érintettre vonatkozó bármely információ; különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatokogenetikai adat:egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből eredobiometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat; o3c. egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja; adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése,
rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges; adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából; adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útjánadatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése; adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik; adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel; adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi; adatállomány: az egy nyilvántartásban kezelt adatok összessége; harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi
profilalkotás: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul; címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;3.Az adatkezelés elvei Személyes adat kizárólagegyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának az adatok gyűjtésének és kezelésének tisztességesnek és törvényesnek kell lennie.Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatkezelés során arra alkalmas technikai vagy szervezési – így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító – intézkedések alkalmazásával biztosítani kell a személyes adatok megfelelő biztonságát. Személyes adat akkor kezelhető, ha: a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (szerződésen alapuló adatkezelés); c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelye személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Különleges adata személyes adatok kezelését illetően meghatározottak szerint kezelhető, vagy akkor kezelhető, ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához feltétlenül szükséges és azzal arányos, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli. Személyes és különleges adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése Különleges adatok kezelése esetén az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel biztosítja, hogy az adatkezelési műveletek végzése során a különleges adatokhoz kizárólag az rendelkezzen hozzáféréssel, akinek az adatkezelési művelettel összefüggő feladatának ellátáshoz feltétlenül szükséges. A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és –ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. 4.A személyes adatok köre, az adatkezelés célja, jogcíme és időtartama a.Az Adatkezelő főtevékenysége körében Az adatkezelés célja: a biztosítási szerződések megkötése, módosítása vagy megszüntetése, illetve intervenciós feladatok ellátása céljából kerül sor a személyes adatok kezelésére.
Az adatkezelés jogalapja: szerződésen alapuló adatkezelés vagy az érintett önkéntes hozzájárulása, valamint az ügyfél egészségügyi állapotával az Eüak. törvényben meghatározott egészségügyi adatok esetében az adatkezelés jogalapja az Eüak. 4. § (3) bekezdésén alapul, mely szerint az Eüak. törvényben meghatározott egészségügyi adatokat a törvényben meghatározott céloktól eltérő célokra az érintett, illetve törvényes vagy meghatalmazott képviselője – megfelelő tájékoztatáson alapuló - írásbeli hozzájárulásával lehet kezelni.Kezelt adatok köre: A biztosítási alkusz kezeli a szerződő partner azonosításához szükséges adatokat, így különösen: születési név; születési hely, idő; anyja neve; állandó lakcím; levelezési cím; az érintett állampolgársága; telefonszám; mobiltelefonszám; céges telefonszám; e-mail cím személyi igazolvány száma és kiállító hatósága; személyi igazolvány kiállítás dátuma; személyi igazolvány lejáratának dátuma; vezetői engedély száma, megszerzés dátuma; vezetői engedély kiállításának dátuma; vezetői engedély lejáratának dátuma; bankszámlaszám; bankszámlaszámot vezető pénzintézet neve; életbiztosítási szerződés esetén a biztosított halálának időpontja. egészségi állapotra vonatkozó információk Adatkezelés időtartama: a szerződés megszűnésének időpontjától számított 5 év elteltével törli a személyes adatokat. A törlés azon szerződéses adatokra vonatkozik, amelyek már megszűntek, lejárt az elévülési idő és szerződésből eredő követelés már nem származtatható. Az adatok megismerésére jogosult személyek köre: a kezelt adatokhoz a DORADO XXI. Kft. minden alkalmazottja és a társasággal kapcsolatba kerülő minden vállalkozó, valamint a
biztosítási alkusz által megbízási jogviszonyban levő személyek hozzáférhetnek a főtevékenység ellátáshoz szükséges mértékben.Adatfeldolgozó igénybevételéről szóló tájékoztatás: az Adatkezelő az adatok tárolására, valamint az adatbiztonság megfelelő szintű garantálása érdekében adatfeldolgozót vesz igénybe. Az adatkezelők felsorolása az 1. számú Mellékletben történik meg. b.Igényfelmérő lapok körében történő adatkezelés Adatkezelés célja: az ügyfél igényeinek felmérése az életbiztosítási szerződés megkötése céljából. Az Adatkezelő az igényfelmérő kapcsán megszerzett adatokat, információkat kizárólag az ajánlat elkészítéséhez használja fel. Adatkezelés jogalapja: az érintett önkéntes hozzájárulása.Kezelt adatok köre: a megkötendő életbiztosítás szempontjából lényeges adatok, így különösen: név;születési hely, idő;anyja születési és utóneve;levelezési cím;telefonszám;e-mail cím;életbiztosítás megkötésének célja;a megkötendő életbiztosítás fajtája;életbiztosítás várható időtartama;díjfizetés módja;díjfizetés gyakorisága;biztosítottak neve;biztosítottak születési ideje;dohányzási szokások;sportolási szokások;munkavégzés;egészségügyi állapotra vonatkozó adatok;külföldi munkavégzésre vonatkozó tájékoztatás.Adatkezelés időtartama: ha az életbiztosítási igényfelmérő alapján sor kerül a biztosítási szerződés megkötésére, abban az esetben az Adatkezelő a személyes adatokat a hozzájárulás visszavonásáig, de legkésőbb a szerződés megszűnésétől számított 5 évig őrzi. Amennyiben
nem jön létre biztosítási szerződés, úgy az Adatkezelő a személyes adatokat haladéktalanul törli nyilvántartásából. Az adatok megismerésére jogosult személyek köre: a kezelt adatokhoz a DORADO XXI. Kft. minden alkalmazottja és a társasággal kapcsolatba kerülő minden vállalkozó, valamint a biztosítási alkusz által megbízási jogviszonyban levő személyek hozzáférhetnek. c.Egyéb adatkezelés Az Adatkezelő a honlapon sütit (cookies) nem kezel. Tájékoztatjuk az érintetteket, hogy a Szolgáltató a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg a jogszabály felhatalmazása alapján más szervek megkeresésére a kezelt adatokról tájékoztatást adhat, amely jogszabályon vagy jogerős hatósági kötelezésen alapulhat. A tájékoztatóban meg nem jelölt, egyéb célú adatkezelésről az adatok felvétele során nyújtunk tájékoztatást. 5.Adatvédelmi incidens Az adatkezelő az adatkezelési tevékenységét úgy végzi, hogy a személyes adatok integritása és bizalmas jellegének a sérülése semmilyen esetben ne történjen meg. Az adatkezelő törekszik arra, illetve tevékenységét úgy végzi, hogy az adatvédelmi incidens bekövetkezését megelőzze. Továbbá adatvédelmi incidens kezelési folyamatot működtet, melyet belső szabályzatban rögzít. 6.Adatvédelmi tisztviselő Az adatkezelő a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének és az érintettek jogai érvényesülésének elősegítése érdekében adatvédelmi tisztviselőt alkalmaz. Az adatvédelmi tisztviselő egy olyan független személy, aki az alkusz adatkezelési és adatfeldolgozási tevékenységét figyelemmel kíséri, a jogi megfelelés érdekében a vállalat és a munkavállalói részére tanácsot ad, és az adatvédelmi hatósággal a kapcsolatot tartja. Az adatvédelmi tisztviselő neve: Dr. Simó Veronika Az adatvédelmi tisztviselő elérhetősége: adattiszt@gmail.com
7.Adatbiztonsági intézkedésekről szóló tájékoztatás Az Adatkezelő a rendelkezésére álló technikai eszközökkel biztosítja az adatkezelés biztonságát a személyes adatok tárolása és megőrzése során a vonatkozó jogszabályi előírásoknak megfelelően oly módon, hogy ezáltal biztosítja az érintettek magánszférájának sérthetetlenségét. IT Biztonsági eszközök terén az alkusz irodáiban kettős authentikációt alkalmaz, illetve az IT rendszerek informatikus felügyelete alatt működnek. Ezen túlmenően folyamatosan frissülő vírusvédelmet alkalmaz a külső támadások kivédésére. Az adatok biztonságát, jelszavas védelem is szavatolja. Az Adatkezelő köteles minden intézkedést megtenni annak érdekében, hogy a személyes adatokhoz való jogosulatlan hozzáférést és adatokkal való bármilyen jellegű jogosulatlan adatkezelést kizárja. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az Adatkezelő megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok - kivéve ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. Az adatkezelő továbbá az adatbiztonsági intézkedésekkel biztosítja: az adatkezeléshez használt eszközök (a továbbiakban: adatkezelő rendszer) jogosulatlan személyek általi hozzáférésének megtagadását az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását, az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását, az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását, azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére, azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe, a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását,