ADATKEZELÉSI TÁJÉKOZTATÓ
Hatályos a 2026. április 29-től történő személyes adatkezelésre.
A 3.2. fejezet III. pontja kiegészült a fiókhálózatban papír alapon megadott forint átutalási megbízásokon szereplő adatok mesterséges intelligencia igénybevételével történő feldolgozására vonatkozó további tájékoztatással.
1.1. Ki az adatkezelő?
A Erste Bank Hungary Zrt. (székhely: 1138 Budapest, Népfürdő u. 24-26.; weboldal: www.erstebank.hu, elérhetőség: erste@erstebank.hu; telefonszám: +36 (1) 298-0222, fax: +36 (1) 272-5160; a továbbiakban „Bank”, vagy „Erste” vagy „Adatkezelő”) az Ön személyes adatainak kezelését vagy mint adatkezelő, vagy mint harmadik személy adatkezelő által adatfeldolgozási tevékenység ellátásával (egyben pénzügyi-, kiegészítő pénzügyi, vagy befektetési szolgáltatási közvetítési tevékenység végzésével) megbízott, mint közvetítő (a továbbiakban: „Közvetítő”), vagy mint harmadik személy gazdasági társasággal közös adatkezelő végzi.
A Bank az alábbi leányvállalatokban minősített befolyással (100 % tulajdonrésszel) rendelkezik, mely vállalatok a Bankkal együtt az Erste Bankcsoport tagjait alkotják (a továbbiakban együttesen „Leányvállalatok”):
- Erste Befektetési Zrt. (székhelye: 1138 Budapest, Népfürdő u. 24-26., 8. emelet)
- Erste Lakás-takarékpénztár Zrt. (székhelye: 1138 Budapest, Népfürdő u. 24-26.)
- Erste Jelzálogbank Zrt. (székhelye: 1138 Budapest, Népfürdő u. 24-26.)
- Erste Ingatlan Kft. (székhelye: 1138 Budapest, Népfürdő u. 24-26.)
A Bank anyavállalata (a Bankban minősített befolyással rendelkező jogi személy): Erste Group Bank AG (székhelye: Am Belvedere 1, 1100 Wien, Ausztria).
1.2. Miért fontos az adatvédelem?
Az adatvédelem alapvető jog. A szabadsághoz vagy a biztonsághoz való joghoz hasonlóan az adatainak védelméhez való joga is megilleti Önt.
Személyes adataink sokféle információt tartalmaznak rólunk: utalhatnak hobbijainkra, preferenciáinkra és törekvéseinkre is. Az ilyen dolgok természetesen védelemre érdemesek. Mégis csak akkor tudja az Erste javítani az ügyfeleinek nyújtott egyéni szolgáltatását, ha tisztában van az ügyfelei preferenciáival. Az Erste számára fontos, hogy ügyfeleivel együttműködve megtalálja a módját annak, hogy adataikat az ügyfelei érdekében és felügyelete alatt kezelhesse. Az személyes adatok kezelése során az Erste kiemelten törekszik a legmagasabb szintű védelmet biztosítani, a vonatkozó adatvédelmi és információbiztonsági követelményeknek megfelelően.
A tájékoztatónkban megtalálja és megismerheti többek között az Erste, mint adatkezelő által végzett adatkezelési tevékenységeket, az Ön adatvédelemmel összefüggő jogait, valamint az adatvédelmi jogainak érvényesítéséhez szükséges lépéseket.
1.3. Milyen jogszabályok vonatkoznak az adatvédelmi jogaimra? Mi az a GDPR és mit szabályoz?
Amennyiben, a Bank olyan személyes adatát kezeli, amely alapján Ön a Bank által azonosított, vagy azonosítható személy (függetlenül a személyes adat kezelés céljától, jogalapjától és időtartamáról), Ön az irányadó adatvédelmi jogszabályi rendelkezések alapján Érintettnek minősül, és megilletik az irányadó adatvédelmi jogszabályokban, különösen az „Európai Parlamentnek és a Tanácsnak a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679/EU rendelete (általános adatvédelmi rendelet; „GDPR”)” és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Info tv.”) foglalt, személyes adat kezelésével és védelmével kapcsolatos jogok (együtt: személyes adat kezeléséhez kapcsolódó jog).
1.4. Adatvédelmi alapfogalmak
Mi a személyes adat?
Személyes adatnak minősül minden olyan információ, amely egy azonosított, vagy azonosítható természetes személyre, úgynevezett "Érintettre" vonatkozik. Pl.: egy személy neve vagy egy azonosító szám, egy IBAN- vagy számlaszám. (További részletekért lásd a GDPR 4. cikkének (1) bekezdését.)
Mit jelent az, hogy adatkezelés?
Minden olyan műveletet jelent - automatizált eljárások alkalmazásával vagy anélkül -, amelyet személyes adatokon végeznek. Ide tartozik például az adatok gyűjtése, rögzítése, rendszerezése, strukturálása, tárolása, átalakítása vagy megváltoztatása, visszakeresése, lekérdezése, felhasználása, nyilvánosságra hozatala (továbbítás, terjesztés vagy más módon történő hozzáférhetővé tétel útján), összehangolása vagy összekapcsolása, korlátozása, törlése vagy megsemmisítése. (További részletekért lásd a GDPR 4. cikkének (2) bekezdését.)
További alapfogalmak
Az Érintett az azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1. pontja alapján).
Az Érintett hozzájárulása az Érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Harmadik ország: az Európai Unió tagállamain, Izlandon, Lichtenstein-en és Norvégián kívül minden egyéb ország.
Korábbi Munkavállaló az a természetes személy, aki munkaszerződés alapján a Banknál munkát végzett, de jelenleg már nem áll a Bank alkalmazásában.
Munkavállaló az a természetes személy, aki munkaszerződés alapján a Banknál munkát végez (a Munka törvénykönyvéről szóló 2012. évi I. törvény, továbbiakban: Mt. 34. § (1) bekezdése alapján).
Munkáltató az a jogképes személy, aki munkaszerződés alapján munkavállalót foglalkoztat (az Mt. 33. § alapján).
1.5. Miről szól az Adatkezelési Tájékoztató?
A jelen Adatkezelési Tájékoztató egyrészt valamennyi Érintett személyes adatának kezelésére vonatkozó tájékoztatást, másrészt ezen felül egyes Érintettek személyes adatai kezelésének speciális szabályait is tartalmazza. Az adatkezelés egyes szabályai a Bank Üzletszabályzatban is megjelenítésre kerülnek, továbbá a Bank gondoskodik arról, és mindent megtesz annak érdekében, hogy a személyes adatkezelés megkezdését megelőzően a jelen Adatkezelési Tájékoztató rá vonatkozó részét az Érintett megismerje. A Bank jelen Adatkezelési Tájékoztatót honlapján, a https://www.erstebank.hu/hu/adatkezelesi weboldalon, valamint bankfiókjaiban is elérhetővé teszi. A Bank a jelen Adatkezelési Tájékoztatóból az egyes Érintetti típusokra vonatkozóan kivonatot készíthet, és lehetővé teheti, hogy a személyes adat kezelésével Érintett a személyes adatai kezeléséhez történő előzetes tájékoztatás megtörténtéről és tudomásul vételéről e dokumentum, vagy annak kivonata aláírásával nyilatkozzon.
A jelen Adatkezelési Tájékoztató a Bank által a fejlécben megjelölt dátumtól történő személyes adatkezelés(ek)re vonatkozóan hatályos. A jelen Adatkezelési Tájékoztató hatályba lépését megelőző Bank általi, személyes adat kezelésére a személyes adat Bank által történő kezelésének időpontjában hatályos adatkezelési tájékoztató az irányadó.
A Bank a jelen Adatkezelési Tájékoztató módosítására bármikor, egyoldalúan jogosult. A módosítás a Bank korábbi Adatkezelési Tájékoztatójának hatálya alatt történt személyes adat kezelésekre a módosítás új részei tekintetében irányadó (egyebekben e személyes adatok kezelésére a személyes adat kezelésének megkezdésekor irányadó szabályok vonatkoznak), míg az Adatkezelési Tájékoztató módosulását követően indult személyes adat kezelések tekintetében teljes egészében irányadó a módosított Adatkezelési Tájékoztató (mely ezen Érintettek esetében a személyes adat kezelés megkezdésekor hatályos Adatkezelési Tájékoztatónak minősül). A Bank az Adatkezelési Tájékoztató valamennyi módosítását elérhetővé teszi a https://www.erstebank.hu/hu/adatkezelesi weboldalon. Amennyiben a módosítás jogszabályváltozás, vagy hatósági határozat okán szükséges, vagy amennyiben a módosítás a személyes adat kezeléssel kapcsolatos kérdést nem érint (pl. adatvédelmi tisztviselő változása, vagy egyéb technikai jellegű változás esetén), a módosítás a módosítást megelőző személyes adat kezelésekre is kiterjed.
2.1. Az Adatvédelmi Tisztviselő elérhetőségei:
Személyes adatai kezelésével kapcsolatban ön jogosult a Bank Adatvédelmi Tisztviselőjéhez fordulni írásban. A Bank adatvédelmi tisztviselőjének neve és elérhetősége: dr. Misky Zsolt; e-mail: adatvedelem@erstebank.hu; levelezési cím: 1138 Budapest, Népfürdő utca 24-26.
2.2. Az adatvédelemmel kapcsolatos ügyekben illetékes felügyeleti hatóság:
Az Ön személyes adatainak az Erste általi, vagy az Erste által igénybe vett adatfeldolgozók általi kezelésével kapcsolatos panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (elérhetőségei: (www.naih.hu), székhely cím: 1055 Budapest, Falk Miksa utca 9-11.., postacím: 1363 Budapest, Pf. 9., +36 (1) 391-1400, fax: +36 (1) 391-1410, e-mail cím: ugyfelszolgalat@naih.hu ), vagy az illetékes bírósághoz fordulhat.
2.3. Kinek az adatait kezeli az Erste?
A tevékenységünkkel összefüggésben kezelt személyes adatok Érintettjei jellemzően az alábbiak:
- Ügyfél: valamennyi természetes személy, aki a Banktól, mint pénzügyi intézménytől pénzügyi szolgáltatást/kiegészítő pénzügyi szolgáltatást (a „Szolgáltatás”) vesz igénybe (A hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény, továbbiakban: Hpt. 160. § (2) bek.);
- Igénylő: valamennyi természetes személy, aki Szolgáltatás igénybevétele céljából lép kapcsolatba a Bankkal, de a Szolgáltatást nem veszi igénybe (Hpt. 160. § (2) bek.);
- Adóstárs, kezes, egyéb biztosítékot nyújtó természetes személy: a pénzügyi szolgáltatási-, kiegészítő pénzügyi szolgáltatási szerződés (a „Szerződés”) teljesítésébe az adós Ügyfél mellett bevont személy, aki a Szerződés alapján és a Szerződésben foglaltak szerint az adós Ügyfél mellett/helyett helytállni tartozik, amennyiben fizetési kötelezettségének teljesítését az adós Ügyfél elmulasztja;
- Meghatalmazott: természetes személy, aki más természetes, vagy jogi személy képviseletében eljár a (Polgári törvénykönyvről szóló 2013. évi V. törvény továbbiakban: Ptk. 6:11. § alapján;
- Befizető: Az ügyfél Banknál vezetett számlájára készpénzt befizető természetes személy;
- Kedvezményezett: az a jogalany, aki a fizetési művelet tárgyát képező pénz jogosultja (A pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény, továbbiakban: Pft. 2. § 12.);
- Kapcsolattartó: aki a Szerződésben a Bankkal szerződő fél részéről a szerződő féllel való kapcsolattartás érdekében megjelölt személy;
- Munkavállaló
- Korábbi munkavállaló
- Egyéb Érintett (így különösen hírlevél feliratkozó, szerződéses partner kapcsolattartója, potenciális vállalkozó/vállalati ügyfél természetes személynek minősülő kapcsolattartója): e körbe tartozik valamennyi Érintett, aki nem tartozik a jelen Adatkezelési Tájékoztató 2.3. pont 1.-9. alpontjában meghatározott érintetti körbe
Az Érintett által megadott személyes adatot (ideértve az elérhetőségi adatot is) a Bank az Érintetthez tartozó személyes adatként kezeli (melynek ellenőrzésére a Bank nem köteles), kivéve, amennyiben az Érintett úgy nyilatkozik a Bank irányában, hogy az adott személyes adat nem hozzá tartozó adat, mely esetben az Érintett köteles biztosítani, hogy az adott, nem hozzá tartozó személyes adat jogosultjának személyes adatát a Bank jogszerűen kezeli. Az Érintett ilyen esetekben nyilatkozik, hogy amennyiben olyan személyes adatokat bocsát az Erste Bank Hungary Zrt. részére, amely nem rá vonatkozik, úgy az Érintettet már tájékoztatta arról, hogy a rá vonatkozó személyes adatot a Bank tudomására hozza, és az Érintett már rendelkezik információkkal arról, – az Erste Bank https://www.erstebank.hu/hu/adatkezelesi oldalon elérhető adatkezelési tájékoztatója alapján - hogy az Erste Bank a nem Érintettől megszerzett adatokat milyen módon kezeli. Amennyiben harmadik személy az Érintettre vonatkozóan a Bank által kezelt valamely elérhetőség tekintetében azt jelzi a Bank irányában, hogy azon az elérhetőségen az Érintett nem elérhető, a Bank jogosult az Érintettet erről a Bank által kezelt másik elérhetőségen tájékoztatni, és kérni, hogy az adott elérhetőségi adatát az Érintett módosítsa, egyben a Bank a harmadik személy által kifogásolt személyes adat kezelését korlátozhatja/törölheti/anonimizálhatja, abban az esetben is, amennyiben az Érintett számára az adott elérhetőségre szolgáltatást teljesít, annak érdekében, hogy a Bank harmadik személyhez tartozó személyes adatot jogosulatlanul ne kezeljen.
2.4. Milyen célokból és jogalapokon lehetséges az adataim kezelése?
- A szerződés vagy a szerződéskötést megelőző, az Ön kérésére hozott intézkedések teljesítése érdekében végzett adatkezelés
Az, hogy milyen szolgáltatásokat nyújt az Erste ügyfeleinek, az adott szerződéstől függ, pl. kölcsönszerződés, számlaszerződés, lízingszerződés, biztosításközvetítés vagy George-szerződés. Az Erste ügyfelei adatainak kezelésére például azért kerülhet sor, hogy az ügyfelek be tudjanak jelentkezni a George-ba, online tudják kezelni a számlájukat, és tranzakciókat tudjanak végrehajtani. Az ilyen adatkezelés terjedelmét a szerződéses dokumentumok és a mindenkori Üzletszabályzat illetve Általános Szerződési Feltételek tartalmazzák.
- Jogi kötelezettség teljesítése érdekében történő adatkezelés
Személyes adatkezelés abban az esetben és körben is történhet, amennyiben a személyes adat kezelése jogszabályi kötelezettség teljesítéséhez szükséges. Ilyen kötelező adatkezelés például a következő esetekben fordulhat elő: A pénzmosás és terrorizmus finanszírozása megelőzésével és megakadályozásával kapcsolatos szabályok szerinti ügyfél-átvilágítási kötelezettség, Számviteli szabályok szerinti megőrzési kötelezettség, csalás-megelőzéshez/csaláskezeléshez szükséges adatkezelés.
- Jogos érdek alapján történő adatkezelés
Bizonyos feltételek megléte esetén, az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez az adatkezelést jogos érdek jogalapon végezi az Erste.
- Az Ön hozzájárulásán alapuló adatkezelés
Ha sem szerződés, sem jogi kötelezettség, sem jogos érdek nem áll fenn, az adatok kezelésére akkor is jogszerű lehet, ha az Érintett ehhez hozzájárulását adta. Az ilyen adatkezelés terjedelme és tartalma mindig esetenként, az adott hozzájárulástól függ. Az Érintett bármikor visszavonhatja hozzájárulását a jövőre nézve. A hozzájárulás visszavonása azonban nem érinti a hozzájárulás visszavonása előtti adatkezelés jogszerűségét. Ez azt jelenti, hogy a hozzájárulás visszavonása a múltra nézve nem hatályos.
- Statisztikai célú adatkezelés
Az Ön személyes adatait anonimizált (azaz az Érintetthez nem kapcsolható) formában a Bank statisztikai célokból felhasználja.
2.5. A tőlem gyűjtött adatokon kívül más adatokat is kezelnek rólam?
A Bank az általa kezelt, az Érintettől származó, valamint az Érintetti tevékenység alapján a Bank részére ismertté váló, továbbá az Érintettről a Bank által levont következtetések útján nyert személyes adatok kezelésének módjáról az Érintettet a jelen Adatkezelési Tájékoztatóban tájékoztatja. Amennyiben a Bank által kezelt személyes adatait nem Ön bocsátotta a Bank rendelkezésére, a Bank Önt személyes adatainak kezeléséről a GDPR 14. cikke alapján, és annak megfelelően külön tájékoztatja, a GDPR 14. cikk (5) bekezdésben foglalt eset(ek) fennállásának kivételével. Amennyiben a személyes adat Öntől, mint Érintettől származik, azon nyomtatványok, melyek kitöltésével az Ön személyes adatai a Bank kezelésébe kerültek, tartalmazzák az Önről a Bank által kezelt személyes adatok típusait.
2.6. Köteles vagyok-e megadni a személyes adataimat? Mi történik, ha nem akarom megtenni?
Az Érintett és a Bank közötti üzleti kapcsolat létrehozása érdekében a szerződés teljesítéséhez szükséges, valamint a jogszabályi rendelkezések alapján üzleti kapcsolat létrehozásához, jogszabály által előírt személyes adatait kezelni köteles a Bank. Erre tekintettel amennyiben a szerződés teljesítéséhez szükséges vagy jogszabály által megkívánt személyes adatok megadását nem teljesíti az Érintett a Bank felé, úgy a Bank bizonyos szolgáltatások nyújtását megtagadhatja. Minden más esetben csak az Érintett hozzájárulásával kezeljük adatait, amelyet kizárólag önkéntes alapon adhat meg.
2.7. Mennyi ideig kezeli az Erste a személyes adataimat?
A Bank, amennyiben személyes adatokat törölni köteles, e törlési kötelezettségének tényleges, végleges és helyreállíthatatlan törléssel/anonimizálással tesz eleget, és intézkedik a törlési kötelezettség alapján megsemmisítendő dokumentumok maradéktalan megsemmisítése iránt is. Amennyiben a helyreállíthatatlan és végleges törlés/anonimizálás a Bank rendszeres törlési eljárása keretében történik meg, a törlés megtörténtéről a Bank az Érintett részére külön tájékoztatást nem küld, az Érintettet hozzáférési jogának gyakorlása keretében tájékoztatja arról, hogy az Érintett vonatkozásában személyes adatot nyilvántart-e, vagy nem. Amennyiben az Érintett egyedi törlési kérelmet nyújt be, a Bank az Érintettet külön tájékoztatja a helyreállíthatatlan és végleges törlés/anonimizálás megtörténtéről (amennyiben a törlés teljesíthető, ellenkező esetben a törlés teljesítése elutasításának/részleges teljesítésének indokairól). Amennyiben az Érintett által törölni kért személyes adat az Érintett azon elérhetősége, amelyet a Bank kizárólagosan kezel az Érintett vonatkozásában, a Bank a törlés/anonimizálás jövőbeni megtörténtéről tájékoztatja az Érintettet ezen elérhetőségén, és a törlést ezen értesítést követően teljesíti a Bank.
3. Tájékoztatás az Erste adatkezeléseiről
Amennyiben a Bank az Érintett valamely személyes adat kezelésére jogosult, a személyes adat kezelésére való joga alapján a Bank kezeli az Érintett adott személyes adatát tartalmazó valamennyi kapcsolódó papír alapú, vagy elektronikus dokumentációt is a dokumentáción szereplő személyes adat teljes kezelési időtartama alatt.
A Bank tájékoztatja az Érintettet, hogy a Bank általi személyes adat kezelési időtartam meghosszabbodik (az alábbi személyes adat kezelési idővel; vagy az abból hátralevő idővel), amennyiben a Bank számára nyitva álló, személyes adat kezelési időtartam leteltekor az Érintettel szemben peres eljárás, büntetőeljárás, vagy követeléskezelési eljárás, vagy más olyan eljárás van folyamatban, amely eljárás során a személyes adat kezelése a Bank részéről jogi igényének érvényesítéséhez/a Bank jogi kötelezettségének teljesítéséhez szükséges/a Bank e célú jogos érdeke fennáll.
A Bank peres nyilvántartásának peres felekre és az ítélt dologra vonatkozó elektronikus adatai (az elektronikusan tárolt dokumentumok kivételével) a Bank jogos érdeke (res iudicata bizonyíthatósága) okán nem kerülnek törlésre/anonimizálásra. A Bank jogos érdekére tekintettel a devizaalapú szerződéses ügyfelek adatait a számvitelről szóló 2000. évi C. törvényben meghatározott megőrzési időn túl, jogos érdek jogalapon, további 5 évig kezeli annak érdekében, hogy a felmerülő jogviták megfelelő kezelése, a jogi igények érvényesítése, valamint a kapcsolódó elszámolások elvégzése biztosított legyen.
A tulajdonjogi igényt megtestesítő okiratok nem kerülnek megsemmisítésre, tekintettel arra, hogy a tulajdonjogi igények nem évülnek el.
Amennyiben a Társaságnak személyes adatokat az Érintett Adathordozhatósághoz való joga alapján az Érintetten kívüli személy részére kell kiadnia, a Társaság a jelen Adatkezelési Tájékoztató keretében tájékoztatja és felhívja e címzett harmadik személyt arra, hogy a Társaság által az Érintett vonatkozásában átadott személyes adatokat nem használhatja saját céljára, és ezen személyes adatokat kizárólag a vonatkozó adatvédelmi jogszabályok rendelkezései szerint, célhoz kötötten kezelheti. A Társaság az Érintett kérésére harmadik személy részére megfelelően továbbított személyes adatok harmadik személy általi felhasználásáért felelősséget nem vállal.
3.2. Az egyes Érintettek személyes adatai kezelésének speciális szabályai:
- tehát az Adatkezelési Tájékoztató 2.3.1. illetve 2.3.3 pontjaiban meghatározott természetes személynek minősül -, személyes adatait a Bank az alábbiak szerint kezeli:
A Bank a jelen pont szerinti Érintettek személyes adatait a személyes adat védelemre vonatkozó szabályok mellett a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény, „Hpt” 160. § (1) bekezdése alapján banktitoknak minősülő adatként kezeli, a Hpt. banktitok védelmére vonatkozó szabályai szerint.
I. A szerződés vagy a szerződéskötést megelőző, az Ön kérésére hozott intézkedések teljesítése érdekében végzett adatkezelések:
- Automatizált döntéshozatal
A Bank tájékoztatja az Érintettet, hogy online személyi kölcsön és online hitelkártya igénylés esetén a Bank személyes adatainak felhasználásával kizárólag automatizált adatkezelésen alapuló döntéshozatalt („automatizált döntéshozatal) végez, amely az Érintett és a Bank közötti szerződés megkötése vagy teljesítése érdekében szükséges. Személyes adat különleges kategóriájába tartozó személyes adatot a Bank automatizált döntéshozatalba nem von be. Ezen automatizált döntéshozatal során ellenőrzésre kerül (mely az automatizált döntéshozatal alkalmazott logikája) az Ön életkora, jövedelmi helyzete, rendszeres jövedelem jóváírása, munkáltatója, Központi Hitelinformációs Rendszerben tárolt adatai, hitelkitettsége, egyéb hitelein tanúsított visszafizetési magatartása. Amennyiben az Érintett megfelel a minimális kritériumoknak, a Bank eldönti mennyire kockázatos az Érintettel való szerződéskötés, milyen hitelminősítésű az Érintett, amely döntés eredménye befolyásolja a felvehető hitelösszeget, vagy az igényének jóváhagyását, vagy igényének elutasítását eredményezheti.
A számlacsomag igénylése során „zöld ágon” automatizált adatkezelésen alapuló döntés születik, amely az Érintett és a Bank közötti szerződés megkötése vagy teljesítése érdekében szükséges. „Zöld ágon” banki oldalon nincs emberi beavatkozást igénylő manuális folyamatlépés. Az igénylés minden lépése automatizált, az automatizált döntés az Igénylő által a termékigénylő felületen rögzített és a banki rendszerekben tárolt adatainak feldolgozásán alapul. Az online számlaigénylési folyamathoz azért van szükség automatizált döntéshozatalra, mert ez biztosítja a gyorsaságból adódó előnyöket. Személyes adat különleges kategóriájába tartozó személyes adatot a Bank automatizált döntéshozatalba nem von be.
Önnek joga van kérni, hogy a Bank szakértői megvizsgálják az automatizált döntéshozatal alapján hozott döntést, továbbá elmondani az ezzel kapcsolatos álláspontját és kifogást tenni, melyet a jelen Adatkezelési Tájékoztató 4. fejezet 2. pontjában meghatározott bármely elérhetőségen tehet meg. Ez esetben a Bank kérelmét megvizsgálja, és tájékoztatja Önt ezt követően.
Amennyiben Ön nem szeretné, hogy az online igénylés során születő döntés hatálya kiterjedjen Önre, ez esetben személyesen bármely bankfiókunkban módja van a személyi kölcsön-, hitelkártya-, számlacsomag igénylés benyújtására, illetőleg jogosult álláspontját, ellenvetéseit a Bankkal közölni.
- A Bank tájékoztatja az Érintettet, hogy mint a jelen Adatkezelési Tájékoztató 5. fejezetében meghatározott megbízók érdekében, nevében és részéről eljáró pénzügy-, kiegészítő pénzügyi/befektetési-, kiegészítő befektetési/biztosítás/ pénztári közvetítési tevékenységet végző Közvetítő jogosult a közvetítési tevékenység alapjául szolgáló szerződés teljesítéséhez szükséges személyes adatokat kezelni.
- Amennyiben a Bankkal olyan Szerződést kötött, amelynek használatához telefonszám (pl. SMS szolgáltatás) és/vagy e-mail cím használata szükséges, abban az esetben e személyes adatait a Bank a fenti táblázat 4. pontja szerinti jogalapon és időtartam alatt, a Szerződés teljesítése céljából kezeli, kivéve amennyiben szerződésmódosítás keretében az adott elérhetőségi adatát megváltoztatja (mely esetben a korábbi személyes adatok a Bank véglegesen és helyreállíthatatlanul törli/anonimizálja).
II. Jogi kötelezettség teljesítése érdekében történő adatkezelések:
A George App használata közben kezelt eszközinformációk csalás megelőzés/csalás kezelés céljából: operációs rendszer típusa és verziószáma, eszköz biztonsági állapota (pl.: az operációs rendszer rootolással vagy jailbreakeléssel módosított*), eszközre telepített alkalmazások nevének listája (leginkább, de nem kizárólagosan a távoli elérést lehetővé tevő szoftverek), valamint az elektronikus csatornák (George) használata közben az ügyfél által használt IP cím:
Az adatkezelés a Pft. és az SCAr.-ben foglalt jogszabályi elvárások alapján történik, melynek célja a csalások megelőzése, kivizsgálása. A banki és ügyfél személyéhez köthető adatokat 8 évig, míg a tranzakcióhoz, eszközhasználathoz ill. a Bank által előállított (scoring) adatokat 1 évig tároljuk.
A Bank a pénzforgalmi csalások észleléséhez műveletmegfigyelő mechanizmusokat alkalmaz, melyek képesek a fizetési műveleteket és távoli csatornán keresztül végzett bizonyos nem fizetési tranzakciókat (pl. Netbank belépés) valós időben, azok végrehajtása közben ellenőrizni. A felgyorsult digitális szolgáltatások miatt a csalárd felhasználások hatékony észlelése és megakadályozása automatizált ellenőrzés és döntések segítségével (automatizált döntéshozatal) valósítható meg, amelynek következménye lehet a fizetési művelet visszautasítása. Az automatikus döntéshozatal ellen az Érintett jogosult arra, hogy a döntés ellen kifogást emeljen. Továbbá, az ügyfelek által jóvá nem hagyott és a megtévesztés révén jóváhagyott fizetési műveletek kiszűréséhez ügyfélprofilok kialakítására van szükség. Ezek olyan ügyélhez köthető információk gyűjtését jelentik, mint pl. a felhasználás jellemző földrajzi elhelyezkedése (IP cím, geolokációs adat), a korábbi fizetések jellemző ismérvei, a felhasználó eszközeinek szoftver adatai stb.
A műveletmegfigyelés során rendelkezésre álló komplex adatok (ügyfél profilok, csalási minták) kockázati értékeléséhez Bankunk felügyelt gépi tanulási modelleket is alkalmaz.
Központi Visszaélésszűrő rendszer (GIRO Zrt.) részére történő adatátadás:
A Bank 2025. július 1-től a visszaélésszűrő rendszert is működtető pénzügyi vállalkozás (GIRO Zrt.) részére a fizetési műveletekkel kapcsolatos visszaélések felderítésének és megelőzésének támogatása céljából átadja a fizetési rendszerben feldolgozandó, elszámolandó, teljesítendő, forint fizetési megbízásoknak, valamint a Bankhoz benyújtott deviza- és határon átnyúló átutalási megbízásoknak, továbbá a Bank saját ügyfelei közötti forint és deviza átutalási megbízásoknak a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. tv-ben meghatározott adatait.
III. Jogos érdek alapján történő adatkezelések:
- A Bank tájékoztatja a székhelyére, telephelyére, illetve bankfiókjaiba belépő, ATM automatáit használó Érintetteket, hogy az emberi élet, testi épség, személyi szabadság védelme, az üzleti, bank- és értékpapírtitok védelme, valamint személy-, és vagyonvédelmi célból folyamatos képfelvétel rögzítés történik székhelyén, telephelyén, bankfiókjainál és ATM automatáinál a Bank személy- és vagyonvédelmi, bankbiztonsági jogos érdeke alapján. A Bank e képfelvételt az irányadó jogszabályi rendelkezések alapján, vonatkozó fizikai biztonsági szabályzata alapján kezeli.
- Profilalkotás:
A Bank közvetlen üzletszerzési (direct marketing) célú profilalkotást végez a GDPR Preambulum részének (47) pontja szerinti, közvetlen üzletszerzési célú jogos érdeke alapján (marketing célú megkeresés címzettjeinek célcsoport összeállítása érdekében).
- A hitelintézetek és a biztosítók által a lakásbiztosítások nyilvántartására és a hitelbiztosítéki fedezetnyújtás alkalmazott informatikai rendszer (úgynevezett lakásbiztosítás-nyilvántartó DLT rendszer, amely a lakásbiztosítások nyilvántartásának és a hitelbiztosítéki fedezetnyújtás üzleti folyamatának osztott főkönyvi1 technológiával történő informatikai támogatását valósítja meg) használatával kapcsolatos adatkezelésekről szóló külön tájékoztató itt érhető el.
1 Elosztott adatbázis technológia, amelyben az adatmódosítások tranzakcióit, az adatokat és az üzleti logikát biztosító programkódokat az üzemeltető csomópontok között redundánsan tartja nyilván. A technológia blokklánc komponense biztosítja az adatok integritásvédelmét.
IV. Az Érintett hozzájárulásán alapuló adatkezelések:
57. Központi Hitelinformációs Rendszerrel („KHR”) összefüggő adatkezelések közül az alábbiak:
A fenti táblázatban található KHR törvény szerinti hozzájárulások visszavonására vonatkozó speciális szabályok:
- A KHR törvény 5. § (3) bekezdése szerinti hozzájárulást a vonatkozó jogszabály alapján kizárólag írásban lehet visszavonni.
- A KHR törvény 9. § (2) bekezdése szerinti hozzájárulást a vonatkozó jogszabály alapján kizárólag írásban lehet a visszavonni; a szerződéses jogviszony megszűnéséig a Bank útján, azt követően a KHR-t kezelő pénzügyi vállalkozásnál közvetlenül.
Amennyiben (valamely) személyes adatának kezelése a Bank részéről a fenti táblázat szerint hozzájárulásán alapul, személyes adatait e hozzájárulása alatt, hozzájárulásának visszavonásáig/vagy amennyiben az adatkezelési cél ezt megelőzően már megvalósult, az adatkezelési cél megvalósulásáig, ennek hiányában pedig mindaddig kezeli a Bank, ameddig személyes adatainak kezelésre a Bank bármely jogcímen jogosult (kivéve, amennyiben a jelen Adatkezelési Tájékoztató valamely hozzájárulás alapján kezelt személyes adat Bank általi kezelésére ezen időtartamnál rövidebb időt jelöl meg). A hozzájárulás visszavonása a hozzájárulás visszavonását követő időszakra vonatkozik, az ezen időszakot megelőző személyes adat kezelés jogszerűségét a hozzájárulás visszavonása nem érinti. Hozzájárulását bármikor indokolás nélkül visszavonhatja a Bank felé intézett bármilyen jognyilatkozattal, elsősorban telefonon, írásban, elektronikus úton/formában vagy személyesen bankfiókunkban (lásd 4.2. pont).
- A Bank által biztosított online felületen használható applikációk használata során megadott személyes adatait a Bank a GDPR 6. Cikk (1) a) pontja szerinti hozzájárulása esetén, főszabály szerint hozzájárulásának visszavonásáig kezeli. Hozzájárulását bármikor indokolás nélkül visszavonhatja a Bank felé intézett bármilyen jognyilatkozattal, elsősorban telefonon, írásban, elektronikus úton/formában, vagy személyesen bankfiókunkban. Az ilyen applikációkba feltöltött fénykép (képmás) kizárólag a képmáson szereplő Érintett(ek) hozzájárulásának birtokában tölthető fel az applikációba. A hozzájárulás beszerzése és meglétének bizonyítása az applikációt használni jogosult felhasználó felelőssége, a képmás feltöltésével kapcsolatosan felmerülő valamennyi kár esetén a felelősség és az applikációból való képmás törlésének kötelezettsége őt terheli. Amennyiben a képmás felhasználásának jogszerűségével kapcsolatban kétely merül fel, az Adatkezelő jogosult, de nem köteles a képmás törlése iránt intézkedéseket tenni.
- A Bank weboldalán az online időpontfoglalás során megadott személyes adatokat (név, telefonszám, e-mail cím) a GDPR 6. Cikk (1) a) pontja szerinti, az Érintett hozzájárulása jogalapon kezeli, főszabály szerint az adatkezelési cél megvalósulásáig vagy az Érintett hozzájárulásának visszavonásáig. Az utóbbi esetben a fentiekben részletezett - online felületen használható applikációk kapcsán leírt - hozzájárulás visszavonási módok az irányadók.
- A Bank az Érintett előzetes, kifejezett hozzájárulásával hangrögzítést végezhet, melyet a Bank a hozzájárulás visszavonásáig, legtovább azonban az Érintettel kapcsolatban kezelt egyéb személyes adat megőrzési idejéig kezeli (amennyiben a Jelen Adatkezelési Tájékoztató másként nem rendelkezik). Hozzájárulását bármikor indokolás nélkül visszavonhatja a Bank felé intézett bármilyen jognyilatkozattal, elsősorban telefonon, írásban, elektronikus úton/formában vagy személyesen bankfiókunkban.
Hogyan tudok a marketing célú közvetlen megkereséssel, az egyéb külső digitális felületeken (Google, Meta, Adform) való megkereshetőséggel, illetve a böngészési adataimmal kapcsolatos hozzájárulások tekintetében eljárni?
George Web felületén a nyilatkozatok menüpontban tudom a korábban megadott beállításaimat módosítani, visszavonni, illetve a 4.2. pontban megadott elérhetőségek bármelyikén.
A 49. pontban szereplő „digitális szolgáltatók felületein történő megkereshetőségre vonatkozó hozzájárulás” fentiek szerinti visszavonása esetén a Google, Meta a Bank és leányvállalatainak marketing célú üzeneteinek megjelenítése érdekében nem használják tovább a továbbított e-mail címeket. Az Adform az erre a célra létrehozott azonosító adatot nem kezeli tovább.- Reklám (direct marketing) megkeresés közvetlen megkeresés módszerével
A Bank tájékoztatja az Érintetteket, hogy (gazdasági) reklámot (fogalma: gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. Törvény . 3. § d)) természetes személynek, mint reklám címzettjének közvetlen megkeresése módszerével (így különösen elektronikus levelezés, vagy azzal egyenértékű más egyéni kommunikációs eszköz útján, a postai címzett reklámküldemény és a nem automatizált hívórendszeren keresztüli telefonos megkeresés kivételével) kizárólag akkor közöl maga, vagy megbízottja útján az Érintettel, amennyiben ahhoz az Érintett, mint reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult. A Bank a hozzájáruló nyilatkozatot tevő természetes személyek személyes adatairól nyilvántartást vezet. Az ebben a nyilvántartásban rögzített – a reklám címzettjére vonatkozó – személyes adat kizárólag a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető (legfeljebb azonban a 3. fejezet 37. pontjában meghatározott időpontig), és harmadik fél számára kizárólag az Érintett személy előzetes, jogszabály szerinti hozzájárulásával adható át. A hozzájárulás visszavonása a hozzájárulás visszavonását követő időszakra vonatkozik, az ezen időszakot megelőző személyes adat kezelés jogszerűségét a hozzájárulás visszavonása nem érinti.
Az üzenetek személyre szabásakor az adatkezeléshez jogos érdeken alapuló profilalkotás kapcsolódik (lsd 3. fejezet 28. pontja), ezzel kapcsolatos tiltakozás hiányában.
- tehát az Adatkezelési Tájékoztató 2.3.2. pontjában meghatározott természetes személynek minősül -, személyes adatait a Bank az alábbiak szerint kezeli:
A Bank az igénylő személyes adatait a személyes adat védelemre vonatkozó szabályok mellett a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény, „Hpt” 160. § (2) bekezdése alapján banktitoknak minősülő adatként kezeli, a Hpt. banktitok védelmére vonatkozó szabályai szerint.
I. Amennyiben, az Ön vonatkozásában a Bank olyan hitelbírálatot folytatott le, amelyben Pmt. szerint azonosítását megkezdte, azonban hitelkérelmét a Bank elutasította, a hitelbírálat lefolytatásához szükséges valamennyi személyes adatát és az azokat tartalmazó dokumentumot a Szerződés meghiúsulásától számított 5 (öt) évig kezeli a Bank Hpt. 166/A. § (2) bekezdésén alapuló jogos érdeke alapján, melyet követően személyes adatait véglegesen és helyreállíthatatlanul törli/anonimizálja.
Amennyiben személyes adatának kezelése a Bank részéről kizárólag hozzájárulásán alapul (és más jogcím személyes adatainak kezelésére a Bank részéről nem áll fenn), személyes adatait az adatkezelési cél megvalósulásig, hozzájárulásának visszavonásáig, legfeljebb azonban 6 (hat) hónapig kezeli, ezen időtartamot követően személyes adatát a Bank véglegesen és helyreállíthatatlanul törli/anonimizálja.
II. Amennyiben Ön Szerződés megkötésére vonatkozó igényét, érdeklődését, szándékát a Bank részére kifejezte, azonban a Szerződés megkötése érdekében a Pmt. szerinti azonosítás megkezdésére nem került sor a Bank, vagy Közvetítője részéről, a Bank személyes adatait (hozzájárulásával) a személyes adat Bank részére történő megadását követő 6 hónapig, vagy amennyiben ezen időtartamon belül hozzájárulását visszavonta, e hozzájárulás visszavonásáig kezeli, ezen időtartamot követően személyes adatát a Bank véglegesen és helyreállíthatatlanul törli/anonimizálja.
III. A Bank jogosult az igénylő esetében is a IV. pontban részletezett (Érintett hozzájárulásán alapuló) marketing célú adatkezelést folytatni:
Hogyan tudok igénylőként a marketing célú közvetlen megkereséssel, az egyéb külső digitális felületeken (Google, Meta, Adform) való megkereshetőséggel, illetve a böngészési adataimmal kapcsolatos hozzájárulások tekintetében eljárni?
Microsite-on keresztül leadott igénylés esetében az igénylést követő visszaigazoló e-mail-ben megadott webes felületen lehet a korábban megadott beállításokat módosítani, visszavonni, illetve a 4.2. pontban megadott elérhetőségek bármelyikén.
Az A-D pontban szereplő „digitális szolgáltatók felületein történő megkereshetőségre vonatkozó hozzájárulás” fentiek szerinti visszavonása esetén a Google, Meta a Bank és leányvállalatainak marketing célú üzeneteinek megjelenítése érdekében nem használják tovább a továbbított e-mail címeket. Az Adform az erre a célra létrehozott azonosító adatot nem kezel tovább.
- tehát az Adatkezelési Tájékoztató 2.3.4., 2.3.6. és 2.3.7. pontjaiban meghatározott természetes személynek minősül - személyes adatait Bank az alábbiak szerint kezeli:
A Bank a jelen pont szerinti Érintettek személyes adatait a személyes adat védelemre vonatkozó szabályok mellett a Hpt. 160. § (1) bekezdése alapján banktitoknak minősülő adatként kezeli, a Hpt. banktitok védelmére vonatkozó szabályai szerint.
- tehát az Adatkezelési Tájékoztató 2.3.5. pontjában meghatározott természetes személynek minősül -, személyes adatait a Bank az alábbiak szerint kezeli:
A Bank a jelen pont szerinti Érintettek személyes adatait a személyes adat védelemre vonatkozó szabályok mellett a Hpt. 160. § (1) bekezdése alapján banktitoknak minősülő adatként kezeli, a Hpt. banktitok védelmére vonatkozó szabályai szerint.
- tehát az Adatkezelési Tájékoztató 2.3.10. pontjában meghatározott természetes személynek minősül -, személyes adatait (és az ezen személyes adatokat tartalmazó esetleges dokumentumo(ka)t) a Bank az alábbiak szerint kezeli:
I. Amennyiben személyes adatának kezelése a Bank részéről kizárólag hozzájárulásán alapul (és más jogcím személyes adatainak kezelésére a Bank részéről nem áll fenn), személyes adatait az adatkezelési cél megvalósulásig, hozzájárulásának visszavonásáig, legfeljebb azonban 6 (hat) hónapig kezeli, ezen időtartamot követően személyes adatát a Bank véglegesen és helyreállíthatatlanul törli/anonimizálja.
II. Egyéb Érintettként a Bank személyes adatainak kezelésére hozzájárulásán felül, vagy hozzájárulásának hiányában a jelen Adatkezelési Tájékoztató 2. fejezetének 4. pontja szerinti valamely jogalapon, jogszerű adatkezelési célból jogosult, e jogalap és adatkezelési cél fennállásáig, ezen időtartamot követően személyes adatát a Bank véglegesen és helyreállíthatatlanul törli/anonimizálja.
III. Potenciális vállalkozó/vállalati ügyfelek reklámcélú megkeresése közvetlen megkeresés (direct marketing) módszerével:
A Bank közvetlen üzletszerzés céljából potenciális vállalkozó/vállalati ügyfeleket kereshet meg az Opten Informatikai Kft., illetve a Dun & Bradstreet Hungary Kft. adatbázisban feltüntetett e-mail cím, telefonszám útján, valamint a vállalkozások weboldalain elérhető kapcsolattartási címeken. Ezen adatok banki nyilvántartásba vételét követően ennek tényéről és a tiltakozás lehetőségéről az adatbázisban, vagy a weboldalon elérhető kapcsolattartási mód valamelyikén tájékoztatást küld a vállalkozás részére. A Bank nyilvántartást vezet arról a vállalkozásról, aki tiltakozását fejezte ki, így részükre a továbbiakban reklámcélú közvetlen megkeresést (direct marketing) nem küld. Az adatkezelés jogalapja a GDPR 6. cikk (1) f) pontja alapján az Adatkezelő jogos érdeke. Az adatkezelés időtartama a sikeres érintetti tiltakozásig, ennek hiányában a Bank jogos érdekének fennállásáig, maximum egy évig.
(ideértve különösen az üzleti ügyfelek kézbesítési megbízottjait, tényleges tulajdonosait, kiemelt közszereplőit, az üzleti ügyfelek banki termékeihez biztosítékot nyújtó természetes személyeket is) személyes adatait (és az ezen személyes adatokat tartalmazó esetleges dokumentumo(ka)t, ideértve különösen az érintettek természetes személyazonosító adatait, kontaktadatait, a pénzmosás és a terrorizmus finanszírozása megelőzéséhez és megakadályozásához szükséges ügyfélazonosítási adatokat, egyéb kapcsolódó személyes adatokat) a Bank az alábbiak szerint fogja kezelni (adatkezelést megelőző tájékoztatás)/kezeli:
A jelen pont szerinti Érintettek személyes adatainak forrása a Commerzbank Zrt. A Bank a Commerzbank Zrt. üzleti ügyfeleire vonatkozó információkat a Hpt. 164. § e) pontja, illetve a Bszt. 117. § (9) bekezdése, 120. § f) pontja és 140. § (1) bekezdése alapján szerzi/szerezte meg. Az MNB által elismert érdek a Banknak az az érdeke, hogy az átadó bank (Commerzbank Zrt.) az ügyfelekre vonatkozó információkat átadja az átvevő banknak (a Banknak) annak érdekében, hogy az átvevő bank (a Bank) a szerződés szerinti szolgáltatásokat nyújtsa az ügyfelek számára. A Bank a jelen pont szerinti Érintettek személyes adatait a személyes adat védelemre vonatkozó szabályok mellett a Hpt. 160. § (1) bekezdése alapján banktitoknak minősülő adatként, illetve a Bszt. 117. §-a és 118. §-a szerinti üzleti titokként és/vagy értékpapírtitokként kezeli, az ezen jogszabályok titoktartásra vonatkozó kötelezettségei szerint.
Az adatkezelésre sikeres érintetti tiltakozásig, ennek hiányában a Bank jogos érdekének fennállásáig, azaz legkésőbb a Commerzbank Zrt. üzleti ügyfeleivel való szerződéskötésig, vagy a portfóliótranszfer lezárásáig kerül sor. Ezt követően a személyes adatokat a jelen Adatkezelési Tájékoztatóban meghatározott további célok és jogalapok mentén kezeli további a Bank.
I. Látogató: A Látogató olyan természetes személy, aki a Bank weboldalát meglátogatja, de nem ad meg semmilyen személyes adatot, és nem lép kapcsolatba a Bankkal további szolgáltatások igénybevétele céljából.
A Bank által üzemeltetett weboldal használatával a weboldal automatikusan elmenthet információkat az Ön eszközéről (melyből Önre vonatkozó személyes adat nem állapítható meg), illetve azon ún. számítógépes „sütiket” (cookie) helyezhet el a Bank annak céljából, hogy
- a Bank információt gyűjtsön az eszközéről,
- ezen információk segítsék Önt a Bank weboldalainak használatában,
- ezen információk felhasználásra kerüljenek a Bank weboldalainak és más weboldalakon található reklámtartalmak optimalizációjához.
A süti használattal kapcsolatos részletszabályokat a Bank az alábbi webhelyen teszi elérhetővé: https://www.erstebank.hu/hu/cookie-policy
II. Kapcsolattartói, meghatalmazotti, egyéb közreműködői személyes adatok kezelése a Bank által kötött, nem pénzügyi-, kiegészítő pénzügyi szolgáltatásra vonatkozó szerződések esetében
A Bank és szolgáltató között a Polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: „Ptk.”) szerint létrejött szerződésben meghatározott kapcsolattartó, meghatalmazott, egyéb közreműködő személyek személyes adatainak kezelése a Bank és a vele szerződést kötő fél közötti szerződés teljesítése jogalapon történő kapcsolattartás céljából azon fél érdekében történő személyes adat kezelésnek minősül és e célból történik, amely fél részéről az adott természetes személy eljár. A Bank a kapcsolattartó, meghatalmazott, egyéb közreműködő természetes személy, mint Egyéb Érintett személyes adatait a Bank és a vele szerződésben álló szolgáltató között fennálló szerződés teljes megőrzési idejéig kezeli, mely megőrzési idő a Bank és a szolgáltató közötti szerződéses kapcsolat megszűnésétől számított 5 év, amennyiben a Felek között nincs jogvita (és amennyiben az elévülési idő nem szakad meg, vagy az nem nyugszik), kivéve, amennyiben ezen Egyéb Érintett személyes adatainak kezelése ellen tiltakozik a Banknál. A kapcsolattartó, meghatalmazott, egyéb közreműködő természetes személy személyes adatainak kapcsolattartási célú kezelése elleni sikeres tiltakozás esetén a Bank ezen Érintett személyes adat kezelést megszünteti.
III. A Bank Korábbi munkavállalója személyes adatainak kezelése
A Bank Korábbi munkavállalójának személyes adatait a Bank a jelen pontban foglaltak szerinti célból, jogalapon és időtartamig kezeli a jelen Adatkezelési Tájékoztató Általános részében meghatározott módon.
- A társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény (Tny.) 99/A. § szerint a Bank, mint foglalkoztató a munkavállaló, mint biztosított, illetve volt biztosított biztosítási jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a biztosítottra, volt biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni. E személyes adatok Bank általi kezelésének a célja a Bank jogi kötelezettségének teljesítése.
- A Bank a jelen pont szerinti Érintett munkaviszonyával összefüggésben kezelt egyéb személyes adatait és az adott személyes adatokat tartalmazó dokumentációkat A munka törvénykönyvéről szóló 2012. évi I. törvény („Mt.”) 286. § (1) alapján a munkaszerződés megszűnését követő 3 évig kezeli, az Érintett hozzájárulása, mint jogalap alapján kezelt személyes adatai kivételével. A jelen pont alá tartozó Érintett hozzájárulása alapján kezelt személyes adatokat a Bank e hozzájárulás visszavonásáig, legkésőbb azonban Mt. 286. § (1) alapján a munkaszerződés megszűnését követő 3 évig kezeli.
IV. Állásajánlatra jelentkezők személyes adatainak kezelése
A Bank a Karrier portálján (http://karrier.erstebank.hu) regisztráló Érintett regisztrációban szereplő személyes adatait (ideértve a regisztráló Érintett által felcsatolt dokumentumokat és az azon szereplő személyes adatokat is) az alábbi adatkezelési célokból és időtartamig kezeli:
- az Érintett konkrét álláspályázatra beküldött jelentkezését a kiválasztási folyamat során figyelembe vegye, a jelentkezéstől számítva a kiválasztás lezárultáig, de maximum 1 (egy) évig,
- a Bank a megüresedő munkakörök betöltése során figyelembe vegye e személyes adatokat, és az esetlegesen aktuálissá váló új álláslehetőséggel a regisztrált Érintettet a regisztráció során megadott elérhetőségi adatain megkereshesse az Érintett legutolsó konkrét álláspályázatra jelentkezésétől számított 1 (egy) évig.
Érintett adatait berögzítheti, illetve dokumentumként (fényképes) önéletrajzát csatolhatja a http://karrier.erstebank.hu oldalon felkínált módon és formátumban. Amennyiben a regisztráló Érintett különleges személyes adatnak minősülő személyes adatot közöl a regisztrációkor, vagy különleges személyes adatnak minősülő személyes adatot tartalmazó dokumentumot csatol fel, az Adatkezelő tájékoztatja az Érintettet, hogy e személyes adatok kezelésére az Érintett kifejezett hozzájárulásának hiányában az Adatkezelő nem jogosult, és az Adatkezelő köteles ezen típusú személyes adatokat a beérkezést követően haladéktalanul megsemmisíteni/törölni (amennyiben a regisztráló Érintett e különleges személyes adatnak minősülő személyes adat Adatkezelő kezeléséhez nem járul hozzá kifejezetten). Az Adatkezelő felhívja az Érintettet, hogy különleges személyes adatnak minősülő személyes adatot (hozzájárulásának hiányában) legyen szíves ne hozzon az Adatkezelő tudomására, mert az Adatkezelő az Érintett e személyes adatait az Érintett kifejezett hozzájárulása nélkül nem kezeli. Az Érintett által megadott adatokhoz kizárólag a Bank Emberi Erőforrás Menedzsment terület, valamint a kiválasztási folyamatban érintett vezetők férnek hozzá.
Érintett jogosult a felület használatát biztosító jelszavát, vagy rögzített személyes adatait bármikor megváltoztatni, és hozzáférését bármikor megszüntetni. Az Adatkezelő felhívja a regisztráló Érintett figyelmét arra, hogy a regisztráló Érintett által létrehozott regisztráció és az abban szereplő személyes adatok törlését az Érintett tudja elvégezni a Regisztrációkor létrehozott személyes fiókjában, valamint ezt kezdeményezheti a karrier@erstebank.hu e-mailcímre küldött elektronikus levélben.
Az Érintett tudomásul veszi, hogy Karrier portálon megadott személyes adatait a Bank, mint Adatkezelő a meghirdetett állásokra jelentkezés, célzott munkaviszony létrehozatala céljából a vele szerződött harmadik feleknek átadhatja videó interjú platform szolgáltatás igénybevétele (Indivizo Zrt.), illetve a The Predictive Index® felmérések kitöltése céljából.
A Bank megbízott adatfeldolgozója a Nexum Magyarország Kft. (székhely: 6722 Szeged, Gyertyámos u 13.; cégjegyzékszám: 06-09-004861).
A Bank részletesebb tájékoztatást a pályázati felületén az állásajánlatra jelentkező Érintettek részére meghatározhat és elhelyezhet.
V. Facebook, Viber, banki widget felület használata
A Bank Facebook, Viber felhasználói felületen és a Bank honlapján is lehetővé teszi az Érintettek számára, hogy a Bank szolgáltatásival kapcsolatosan tájékoztatást kérjenek. E felületek panasz beadására, adatvédelemmel kapcsolatos kérések megküldésére nem alkalmazhatók, azon kizárólag általános, banktitoknak, vagy más védett titokkörbe nem tartozó adat kiadására, ezzel kapcsolatos kérdés feltételére nyílik lehetősége az Érintettnek. E felület használata során megadott személyes adatokat a Bank az Érintett hozzájárulása esetén kezeli, az Érintett hozzájárulásának visszavonásáig, ennek hiányában a személyes adat Bank rendszereibe történő kerülését követő 6 hónapig, ezen időtartamot követően pedig személyes adatát a Bank véglegesen és helyreállíthatatlanul törli/anonimizálja (amennyiben a személyes adat további kezelésére más jogalapja Banknak nem áll fenn).
I. A 16 éven aluli személyek a GDPR értelmében gyermeknek tekintendők.
A Bank hozzájárulás esetén a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelését kizárólag abban az esetben végzi, ha a gyermek a 16. életévét betöltötte. A Bank 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelését kizárólag akkor és olyan mértékben végzi, amennyiben a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
II. Büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatokat a Bank a magyar jog által lehetővé tett körben kezel (amennyiben az adott bűncselekmény tekintetében a Bank feljelentőnek, sértettnek minősül, a büntetőeljárásban polgári jogi igényt érvényest). Amennyiben a büntetőeljárásban polgári jogi igényt a Bank nem jelentett be, abban az esetben a büntetőeljárás során meghozott határozat jogerőre emelkedéséig, ellenkező esetben (polgári jogi igény bejelentése esetén) pedig az ítélet jogerőre emelkedését követő 5 évig (azaz a végrehajtási jog elévüléséig) kezeli ezen információkat a Bank, kivéve amennyiben ezen elévülési idő megszakad, vagy nyugszik (ez esetben a Vht. 57. §, Mt. 286. §-ban meghatározottak szerint).
III. A Bank a vele szerződéses kapcsolatban álló szolgáltatóktól személyes adatokat tartalmazó, az irányadó jogszabályoknak megfelelően, adatbázist vásárolhat, mely adatbázisban, amennyiben az Érintett szerepel, a Bank az Érintettet az adatbázisban szereplő elérhetőségeken megkeresheti az adott megkeresésre irányadó jogszabályi rendelkezések megtartásával.
IV. A Bank az irányadó jogszabályi rendelkezések megtartásával gazdasági társaságok kapcsolattartásra kijelölt e-mail címén és telefonszámán a gazdasági társaságokat direct marketing (reklám) céllal megkeresheti.
4.1. Milyen adatvédelemmel összefüggő jogaim vannak?
A Bank tájékoztatja, hogy Önnek, mint Érintettnek személyes adatai Bank általi kezelésével/védelmével összefüggésben az alábbi jogai vannak:
Amennyiben személyes adatait a Bank kezeli, személyes adatainak Bank általi kezeléséhez kapcsolódóan Ön
1. kérelmezheti az Önre vonatkozó személyes adatokhoz való hozzáférést, tájékoztatást kérve a Banktól a Banknál kezelt személyes adatairól. A tájékoztatás, illetve a kezelt adatok másolatának megadása ingyenes (Személyes adatokhoz való hozzáférés joga);
2. kérelmezheti az Önre vonatkozó személyes adatok indokolatlan késedelem nélküli helyesbítését/kiegészítését, amennyiben az Önre vonatkozó személyes adatot a Bank pontatlanul/hiányosan kezeli (Helyesbítéshez való jog). Amennyiben a személyes adat helyesbítéshez/kiegészítéshez való jog gyakorlása a Bankkal kötött szerződésében szereplő személyes adat módosulását eredményezné, azt a Bank által a szerződésmódosításra az Üzletszabályzatában meghatározottak szerint teheti meg az Érintett, ennek hiányában a hatályos jogszabályok vagy a Bankkal kötött szerződésének szerződésmódosításra irányadó rendelkezései szerint;
3. kérelmezheti az Önre vonatkozó személyes adatok törlését teljes egészében, vagy egyes, a Bank által kezelt személyes adatokra vonatkozóan (Törléshez való jog). E joga alapján Ön jogosult arra, hogy a Bank helyreállíthatatlanul és véglegesen törölje /anonimizálja azon személyes adatait (és megsemmisítse/anonimizálja a törléssel Érintett személyes adatait tartalmazó dokumentumokat), amelyek tekintetében
3.1 már azon adatkezelési cél megszűnt, amelyre a Bank, mint Adatkezelő a személyes adatait gyűjtötte, vagy kezelte és más jogalap nincs személyes adatainak Bank általi kezelésére, és a személyes adat még nem került törlésre/anonimizálásra, vagy
3.2 amennyiben a személyes adatainak kezelése a Banknak adott hozzájárulásán alapul, és e hozzájárulását a Bank irányában a jelen Adatkezelési Tájékoztatójában foglaltak szerint visszavonta (és a Bank számára a személyes adat kezelésére nem áll fenn más, jogszabályon alapuló jogalap);
3.3 jogszerűen tiltakozott személyes adatai kezelése ellen, és elsőbbséget élvező ok a Bank általi további személyes adatkezeléshez nincs;
3.4 az Ön álláspontja szerint személyes adatai jogellenes kezelése történik.
A Bank a GDPR 11. cikke alapján tájékoztatja, hogy amennyiben a Bank oldalán olyan adatkezelési cél már nem áll fenn, amely okán az Adatkezelő az Érintett személyes adatát kezelni köteles/jogosult, az Érintettről (ügyfélszámmal rendelkező Érintett esetén) a Bank személyes adat törlést/anonimizálást és dokumentum megsemmisítést/anonimizálást követően kizárólag ügyfélszám adatot őriz meg annak érdekében, hogy egy esetleges vitás helyzetben az Érintett által megadott ügyfélszám esetén a törlés/anonimizálás megtörténte a Bank részéről igazolható legyen. A törlés igazolhatóságához az Érintett részéről ügyfélszámának megadása szükséges, ennek hiányában a Bank az Érintettet, vagy az Érintett vonatkozásában jogszerűen információt kérőt kizárólag arról tudja tájékoztatni, hogy az Érintett vonatkozásában a Bank személyes adatot jelenleg nem kezel.
A Bank a törlés helyett zárolja az Érintett személyes adatait, ha az Érintett azt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekét. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
4. kérelmezheti az Önre vonatkozó személyes adatok kezelésének korlátozását a korlátozni kívánt személyes adatkörök megjelölésével (Adatkezelés korlátozásához való jog). E joga alapján jogosult arra, hogy a Bank korlátozza személyes adatainak kezelését, amennyiben Ön vitatja azok pontosságát, vagy amennyiben az Ön véleménye szerint az adatkezelés jogellenes, ugyanakkor Ön ellenzi a személyes adatok törlését, vagy amennyiben a Banknak, mint Adatkezelőnek nincs szüksége a személyes adatokra adatkezelés céljából, de Ön igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez, vagy védelméhez.
5. kérheti, hogy a Bank ismertesse, milyen címzetteket tájékoztatott az adatok helyesbítéséről, törléséről vagy az adatkezelés korlátozásáról;
6. amennyiben az Ön személyes adatai Bank általi kezelésének jogalapja az Ön hozzájárulása, akkor az adatkezeléshez adott hozzájárulását bármikor visszavonhatja („Hozzájárulás visszavonásához való jog”). A Bank az Ön által adott hozzájárulás visszavonását követően is kezelheti a személyes adatait jogi kötelezettségének teljesítése vagy jogos érdekei érvényesítése céljából, ha az érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll;
7. jogosult arra, hogy az Ön által az Önre vonatkozóan a Bank rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja. Továbbá jogosult arra, hogy Ön kérje/az Ön által adott jogszerű meghatalmazással harmadik személy kérje a Banktól ezen adatok továbbítását másik adatkezelő részére (amennyiben a Bank általi adatkezelés az Ön hozzájárulásán, vagy a Bankkal kötött szerződésen alapul, amelyben Ön az egyik szerződő fél és amennyiben az adott adatkezelés automatizált módon történik; „Adathordozhatósághoz való jog”). Tájékoztatjuk, hogy a Bank az Ön által/harmadik személy által az Ön jogszerű meghatalmazása alapján Önre irányulóan a Bank számára történő személyes adat átadásra vonatkozó kérelmét (azaz az ún. Bankhoz behozni tervezetett személyes adat befogadására vonatkozó kérelmét) jelenleg nem tudja teljesíteni, tekintettel arra, hogy a Bank nem rendelkezik olyan adatkezelési folyamattal és adatkezelési céllal, amely alapján e kérelmének eleget tudna tenni, és személyes adatait célhoz kötötten tudná kezelni, így a Bank a személyes adatait tartalmazó, rendelkezésére bocsátott adathordozó átvételére és az azon található személyes adatok kezelésére jelenleg nem jogosult.
8. Amennyiben a Bank egyedi ügyében automatizált döntéshozatalt alkalmaz, Ön jogosult arra, hogy e hozott döntés ellen kifogást emeljen („Kifogáshoz való jog”)
9. Ön jogosult arra, hogy tiltakozzon a Bank által jogos érdek jogalapon kezelt személyes adatainak kezelése ellen, vagy saját helyzetével kapcsolatos okból személyes adatainak kezelése ellen a GDPR-ban meghatározott esetekben („Tiltakozáshoz való jog”);
10. Személyes adatai Bank általi kezelésének jogszerűsége kapcsán a Nemzeti Adatvédelmi és Információszabadság Hatóság (rövidítve: NAIH; székhelye: 1055 Budapest, Falk Miksa utca 9-11.., postacím: 1363 Budapest, Pf. 9..: honlap: www.naih.hu, telefon: +36 (1) 391-1400, fax: +36 (1) 391-1410, központi e-mail cím: ugyfelszolgalat@naih.hu) eljárását kezdeményezheti, illetőleg a bírósághoz fordulhat („Jogorvoslathoz való jog”);
4.2. Hogyan tudok a fentiekre vonatkozóan kérelmet benyújtani?
Érintettként személyes adatkezeléssel kapcsolatos jogainak érvényesítésével kapcsolatos kérdéseit/kéréseit az alábbi elérhetőségeken közölheti a Bankkal:
1. Írásban, a Bank székhelyének címére (Erste Bank Hungary Zrt.; 1138 Budapest, Népfürdő utca 24-26.) megküldött levélben (a személyes adatkezeléssel kapcsolatos kérelem sablonja a jelen Adatkezelési Tájékoztató 1. sz. melléklete);
2. A Bank bármely bankfiókjában leadott írásbeli kérelem útján;
3. A Bank telefonos ügyfélszolgálatán szóban, rögzített vonalon (TeleBank telefonszáma: +36 (1) 298-0222; kiemelt ügyfeleinknek: +36 (1) 298-0196);
4. E-mail-en az erste@erstebank.hu címen;
5. George felületről továbbított elektronikus üzeneten keresztül.
4.3. Milyen információkat kell ehhez megadnom?
Tekintettel a Bank Érintetti személyes adatok/banktitok/értékpapír-titok/biztosítási titok/üzleti titok védelmére vonatkozó kötelezettségére, a Bank a személyes adat kezelésre vonatkozó Érintetti kérelem teljesítése esetén az Érintett minőségére (ügyfél, igénylő, stb.) tekintettel, az Érintett megfelelő, jelen Adatkezelési Tájékoztató szerinti azonosítását elvégzi, és az Érintett kérelmének/kérésének a Bank kizárólag az Érintett (Érintetti minőségének megfelelő szintű) azonosítását követően jogosult eleget tenni.
A NAIH által a személyes adatkezelésekkel kapcsolatos kérelmek/beadványok Érintett általi megküldésére rendszeresített kérelmet a Bank befogadja, amennyiben az azon kitöltendőként megjelölt személyes adatok maradéktalanul feltüntetésre kerültek. Amennyiben e kérelem papír alapon került megküldésre, az Érintett általi aláírása szükséges e kérelemnek. Amennyiben e kérelmen az Érintett nem adott meg valamennyi, azonosításhoz szükséges személyes adatot, az Érintettet a Bank személyes adatai kiegészítésére hívja fel a kérelem/beadvány megválaszolhatósága érdekében.
Az írásbeli kérelmek benyújtására a Bank személyes adatkezeléssel kapcsolatos kérelem sablont bocsát az Érintett rendelkezésére a jelen Adatkezelési Tájékoztató 1. sz. melléklete keretében, melynek kitöltésével az Érintett írásbeli kérelmét be tudja nyújtani a Bank részére. A Bank azonban ezen formátumon kívül tett írásbeli kérelmeket is fogad az Érintettől, a jelen Adatkezelési Tájékoztató szerint.
A Bank jelen Adatkezelési Tájékoztató 2. fejezet 4.1.-.4.7. pontok alá tartozó Érintettek személyes adatainak kezelésére vonatkozó (a NAIH által rendszeresített formanyomtatványon felüli) kérelmének legalább az Érintett családi nevét és utónevét, születési helyét és idejét, édesanyja születéskori nevét és lakcímét tartalmaznia kell.
A Bank munkavállalója, vagy volt munkavállalója személyes adat kezelésre vonatkozó (a NAIH által rendszeresített formanyomtatványon felül) kérelmének legalább az Érintett családi nevét és utónevét, születési nevét, születési helyét és idejét, édesanyja születéskori nevét kell tartalmaznia.
A Bank jelen Adatkezelési Tájékoztató 2. fejezet 4.10. pont alá tartozó Érintett (Egyéb Érintett) személyes adat kezelésére vonatkozó kérelmét írásban (a NAIH által rendszeresített formanyomtatványon felül) a Bank részére megadott és a Bank által kezelt személyes adatok típusának felsorolásával (a kezelt adat, pl. név, e-mail cím, telefonszám), valamint a személyes adat kezelés Bank általi okának/céljának feltüntetésével kérheti.
Amennyiben az Érintett személyes adatkezeléssel kapcsolatos kérelmét nem a fentiek szerint tette meg, és a Bank az adott Érintett megfelelő, adatbiztonsághoz és/vagy banktitok védelemhez szükséges (jelen Adatkezelési Tájékoztató szerinti) azonosítását nem tudta elvégezni, az Érintettől a Bank további személyes adatok megadását kérheti, amelynek elmulasztása, vagy nem teljesítése esetén a kérelem megválaszolását a Bank nem tudja teljesíteni. A Bank által kért, szükséges személyes adatok megadására/hiányzó tevékenység elvégzésére történő felhívástól a személyes adat megadásáig eltelt idő a kérelem megválaszolásának határidejébe nem számít bele.
4.4. Mennyi ideig tart a kérelmem feldolgozása?
A Bank a személyes adatkezeléssel kapcsolatos kérések teljesítését/arra történő válaszadást indokolatlan késedelem nélkül, legkésőbb azonban a kérelem benyújtásától számított egy hónapon belül teljesíti. Figyelembe véve a kérelem összetettségét és a kérelmek számát, ez az egy hónapos határidő további két hónappal meghosszabbítható a Bank által a Bankhoz történő benyújtásától/beérkezésétől számított egy hónapon belüli indokolt, Érintettnek küldött tájékoztatással.
4.5. Milyen módon válaszolja meg az Erste az érintetti jog gyakorlására vonatkozó kérelmeket?
A Bank jelen Adatkezelési Tájékoztató 2. fejezet 4.1.-2.4.7. ponton alá tartozó Érintettek - Ügyfél, Igénylő, Adóstárs, kezes, egyéb biztosítékot nyújtó természetes személy, Meghatalmazott, Befizető, Kedvezményezett és Kapcsolattartó – esetén az alábbiak szerint teljesíti:
Az Érintett személyes adat kezeléssel kapcsolatos kérelmét a Bank postai levél útján történő válaszadás megküldésével teljesíti. Amennyiben a válaszlevél mellékleteként másolatok csatolása szükséges, e kötelezettségét a Bank jelszóval védett, elektronikus adathordozó Érintett részére, postai úton (az alap tájékoztató levél mellékleteként) történő megküldésével teljesíti. Az elektronikus adathordozó használatához szükséges jelszót és a jelszó használatának lépéseire vonatkozó információk megküldését a Bank az alap tájékoztató levélhez képest külön levélben (ún. jelszó levélben) teljesíti postai úton az alap tájékoztató levél megküldését követő legalább egy munkanappal történő megküldésével. A Bank az Érintett részére (a Bank banktitokvédelmi és információbiztonsági kötelezettsége okán) titkosított e-mailben kizárólag abban az esetben küld személyes adatnak minősülő információt, amennyiben az Érintett az e-mailben történő megküldést kifejezetten kérte, és ez esetben is kizárólag az Érintett Banknál nyilvántartott e-mail címére, jelszóval védett küldeményként teljesíti a Bank az e-mailben történő megküldést, amennyiben azt az esetleges csatolmányok mérete technikailag lehetővé teszi. Ez esetben a Bank az Érintett részére a titkosított tartalom megtekintéséhez szükséges jelszó megküldést az e-mailen kívüli másik, a Bank által kezelt kapcsolattartási adatra (telefonszám, levelezési cím) történő megküldéssel vagy más azonosításra alkalmas módon teljesíti. A jelszó használatára vonatkozó tájékoztatást a jelszót tartalmazó tájékoztatás tartalmazza.
A Bank az Érintett részére a kérelmét George felületen keresztül válaszolja meg, ha azt az Érintett ezen a csatornán küldte be, vagy utólagosan igazolható módon a válaszadást ily módon kérte. Amennyiben a válaszlevélhez mellékelten küldendő dokumentumok mérete a George felületen keresztül történő válaszadást nem teszi lehetővé, abban az esetben a választ postai levélhez csatolt, titkosított CD mellékelésével küldi meg, a fentiekben leírt módon.
A Bank jelen Adatkezelési Tájékoztató 2. fejezet 4.8.-4.10. ponton alá tartozó Érintettek - A Bank munkavállalója, vagy volt munkavállalója, továbbá az Egyéb Érintett - személyes adat kezeléssel kapcsolatos oly kérelmét, amely az Érintett személyes adatainak átadásával jár, a Bank postai levél útján történő válaszadás megküldésével teljesíti, amennyiben az Érintett levelezési címét a Bank kezeli. Amennyiben a válaszlevél mellékleteként másolatok csatolása szükséges, e kötelezettségét a Bank jelszóval védett, elektronikus adathordozó Érintett részére, postai úton (az alap tájékoztató levél mellékleteként) történő megküldésével teljesíti. Az elektronikus adathordozó használatához szükséges jelszót és a jelszó használatának lépéseire vonatkozó információk megküldését a Bank az alap tájékoztató levélhez képest külön levélben (ún. jelszó levélben) teljesíti postai úton az alap tájékoztató levél megküldését követő legalább egy munkanappal történő megküldésével. A Bank munkavállalója, vagy volt munkavállalója, továbbá az Egyéb Érintett részére titkosítással ellátott e-mailben kizárólag abban az esetben küld személyes adatnak minősülő információt, amennyiben az Érintett az e-mailben történő megküldést kifejezetten kéri, vagy amennyiben az Érintett kérelme e-mailben érkezett, és az Érintett a személyes adatot tartalmazó válaszlevél megnyitásához szükséges jelszó megküldése érdekében a Bank részére az e-mailen kívüli másik csatornát is megad a Bank részére (pl. telefonszám, levelezési cím), vagy amennyiben a Bank az e-mail címen kívüli kapcsolattartási személyes adatot is kezel már az Érintett vonatkozásában és azt az esetleges csatolmányok mérete technikailag lehetővé teszi. A Bank a jelszót ez esetben az e-mailen kívüli kapcsolattartási csatornán küldi meg az Érintettnek. A jelszó használatára vonatkozó tájékoztatást a jelszót tartalmazó tájékoztatás tartalmazza.
Amennyiben az Érintett a postai levelet nem vette át (azaz amennyiben a tértivevény nem kereste/nem vette át jelzéssel érkezik vissza a Bankhoz), a Bank további egy alkalommal megkísérli megküldeni a levelet az Érintett részére, teljesítve ezáltal az Érintett adatvédelmi jogának gyakorlásával kapcsolatos kötelezettségét, ezt követően a Bank a már két alkalommal át nem vett küldemény kézbesítését kizárólag az Érintett ez irányú ismételt kérelmére indítja el ismét
Amennyiben az Adathordozhatósághoz való jog gyakorlása során a Bank banktitoknak minősülő személyes adatot harmadik személy részére köteles átadni, a banktitok védelemre vonatkozó jogszabályi rendelkezések alapján a kérelmet a Bank teljes bizonyító erejű okirati vagy közokirati formában leadott kérelem/beadvány benyújtása/leadása esetén teljesíti a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény („Hpt.”) 161. § (1) alapján.
4.6. Járhat költséggel számomra az adatvédelmi jogaim érvényesítése?
Nem, az ilyen kéréseket az Erste alapvetően költségmentesen teljesíti.
Amennyiben az Érintett a személyes adatainak kezelésével/védelmével kapcsolatos, a jelen Adatkezelési Tájékoztató 4. fejezet 1.1. pontja szerinti jogának keretében olyan a Bank által kezelt dokumentum másolat kiadását kéri a Banktól, amelynek kiadására az Érintett személyes adatainak kezelésével/védelmével kapcsolatos joga nem terjed ki, a Bank erről tájékoztatja az Érintettet, jelezve számára, hogy e kérelmét a Bank az adott szolgáltatásra vonatkozóan közzétett szolgáltatási díjon tudja megtenni, és az Érintett e kérelmét a Bank azt követően teljesíti, hogy az Érintett ennek tudatában is kívánja az adott másolat kiadását.
4.7. Milyen lehetőségeim vannak panasz benyújtására?
A Bank az Érintett személyes adat kezelésével kapcsolatos kérelmét nem tekinti panasznak, azonban amennyiben az Érintett személyes adat kezelésével kapcsolatos kérelmében az irányadó jogszabályi rendelkezéseknek és a Bank panaszkezelési szabályzatának megfelelő panaszt tesz, a személyes adat kezelésével kapcsolatos Érintetti kérés és a panasz egy értesítés keretében (a megfelelő tájékoztatások alkalmazása mellett) megválaszolható. Amennyiben a személyes adat kezeléssel kapcsolatos tájékoztatás Bank általi megadását/egyéb személyes adat védelemmel kapcsolatos kérdés Bank általi megválaszolását követően az Érintett a Bank panaszkezelési szabályzata szerinti, nem személyes adat kezeléssel kapcsolatos panaszt tesz az adott Érintett, a Bank ezen kérelmet a panaszként kezeli és válaszolja meg.
A Bank a GDPR 13. Cikkének (1) e) bekezdése alapján tájékoztatja, hogy személyes adatait az alábbi címzetti kategóriák részére, az alábbi jogalapon továbbítja:
5.1. A Bank a pénzügyi-, kiegészítő pénzügyi szolgáltatási tevékenysége keretében az Érintett személyes adatait az általa megbízott, kiszervezett tevékenységet végző, és az Erste Bank mindenkori Üzletszabályzatának 1. sz. mellékletében meghatározott (a „Pénzügyi Üzletszabályzat 1. sz. melléklete”) adatfeldolgozók részére továbbíthatja Hpt. 164. § j) pontja, egyben a kiszervezett tevékenységet végzővel kötött adatfeldolgozási szerződés alapján. Az Üzletszabályzat 1. sz. mellékletének mindenkor hatályos változata az https://gate.erstebank.hu/uzletszabalyzat webhelyen érhető el. Ezen adattovábbítás célja a Pénzügyi Üzletszabályzat 1. sz. mellékletében az adott adatfeldolgozó által ellátandó tevékenység, mint kiszervezett tevékenység végzése, időtartama pedig az adatkezelési cél megvalósulásának időtartama.
5.2. A Bank a Hpt. 161. c) pontja alapján az e pontban meghatározott követeléskezelési célból személyes adatai a Bankkal szerződéses kapcsolatban álló, követeléskezeléssel foglalkozó gazdasági társaság(ok) részére kerülhet(nek) átadásra a Bank által az adatkezelési cél megvalósulásáig szükséges időtartamra.
5.3. A Hpt. 164. q) pontja alapján a közvetítő által közvetített pénzügyi szolgáltatásra vonatkozó szerződés teljesítéséhez személyes adatai a Bankkal szerződéses kapcsolatban álló közvetítő részére kerültek átadásra a Bank által az adatkezelési cél megvalósulásáig szükséges időtartamra. A Bankkal szerződéses kapcsolatban álló közvetítők listája a Magyar Nemzeti Bank http://www.mnb.hu/felugyelet/engedelyezes-es-intezmenyfelugyeles/piaci-szereplok-keresese/kozvetitok-keresese weboldalán érhető el. A közvetítők a Bankkal kötött szerződésük értelmében jogosultak a Bank részére közvetítési tevékenységük során jogszerűen megszerzett és szerzett személyes adatot a Bank részére átadni.
5.4. A Bank a Hpt. 164. § d) pontja alapján, valamint adatfeldolgozási szerződés alapján a Bank által felhatalmazott könyvvizsgálónak és megbízott vagyonellenőrnek, a Bankkal szerződésben álló jogi szakértőnek (egyéni ügyvéd és ügyvédi iroda) vagy egyéb szakértőnek teljesíthet Érintetti személyes adat átadást, könyvvizsgálati/jogi, vagy egyéb szakértői tevékenység ellátása céljából e cél megvalósulásának időtartamáig.
Amennyiben az adatkezelés címzett általi, adatfeldolgozóként történő kezelésének jogalapja az Érintett hozzájárulása, az Érintett hozzájárulásának visszavonásáról a Bank az adatfeldolgozót tájékoztatja, és az adatfeldolgozó e tájékoztatás időpontjától az adott Érintett hozzájáruláson alapuló személyes adatát a továbbiakban nem jogosult kezelni. Amennyiben az adatfeldolgozó által kezelt Érintetti személyes adatok törlése/anonimizálása, helyesbítés, zárolása, vagy az egyéb személyes adatkezelési kérés esetén más kötelezettség teljesítése szükséges az adatfeldolgozó részéről, a Bank az adatfeldolgozót értesíti erről.
5.5. A Bank az Érintettel szemben fennálló követelését engedményezheti, melynek esetén az engedményezési szerződés alapján az engedményes részére az Érintett fennálló követelésével kapcsolatos valamennyi adatot és dokumentumot átadja (amennyiben az engedményező és az engedményes az engedményezési szerződésben másként nem állapodtak meg). Az engedményezéssel összefüggő számviteli bizonylatokat, és az azt alátámasztó dokumentációkat a Bank a számvitelről szóló 2000. évi C. törvény 169. § (2) alapján az engedményezésről kiállított számviteli bizonylat kiállításának évéről szóló éves beszámoló elfogadásának évét követő 8 évig kezeli.
5.6. A Bank a hatáskörrel és illetékességgel rendelkező hatóságok részére továbbíthatja az Érintett személyes adatait, amennyiben az irányadó jogszabályok a Bankot e személyes adat kezelésére kötelezik, vagy amennyiben a hatáskörrel és illetékességgel rendelkező hatóság megfelelő tartalmú megkeresést küldött a Bank részére.
A Bank hozzáférési jogának gyakorlása keretében (kérésére) tájékoztatja Önt a fentieken felüli címzetti kategóriákról történő tájékoztatáson felül (cégnév és székhely adatok megadásával) azon címzettekről, amelyek részére személyes adatai továbbításra kerülnek/kerültek.
5.7. A nyílt bankolással (API csatorna) kapcsolatos adattovábbítás
A Fizetéskezdeményezési Szolgáltató (továbbiakban: PISP), Számlainformációs Szolgáltató (továbbiakban: AISP), Kártyaalapú készpénzhelyettesítő fizetési eszközt kibocsátó pénzforgalmi szolgáltató (CBPII) (továbbiakban együttesen: harmadik feles pénzforgalmi szolgáltató – TPP) pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény 31§, 31/A§, 38/A -ben foglalt kötelezettségeinek teljesítése érdekében a Bank átadja a TPP szolgáltatása teljesítéshez szükséges személyes adatokat, amennyiben erre az Érintett előzetesen a TPP részére felhatalmazást adott.
A Bank a lakossági ügyfél esetén, az Érintett külön rendelkezése nélkül, automatikusan alapértelmezettként biztosítja a Közvetett Elektronikus Csatorna (API) hozzáférést, amennyiben Számlatulajdonos rendelkezik internetbanki szolgáltatással és a Fizetési számlája online módon hozzáférhető. A Közvetett Elektronikus Csatorna (API), valamint a TPP a vonatkozó Általános Szerződési Feltételekben foglaltak szerint tiltható.
A Bank vállalati ügyfelek esetén kizárólag a cégjegyzésre jogosult Érintett (természetes személy) számára biztosítja annak külön rendelkezése nélkül, automatikusan a Közvetett Elektronikus Csatorna (API) hozzáférést, amennyiben Számlatulajdonos rendelkezik internetbanki szolgáltatással és a Fizetési számlája online módon hozzáférhető. A Közvetett Elektronikus Csatorna (API), valamint a TPP a vonatkozó Általános Szerződési Feltételekben foglaltak szerint tiltható.
A Bank az Érintett alábbi táblázatba foglalt személyes adatait adja át a harmadik feles pénzforgalmi szolgáltatónak (TPP):
5.8. Erste Wizz hitelkártya igénylés során történő adatátadás
Tájékoztatjuk, hogy az Erste Wizz hitelkártya igénylése esetén az igényléskor megadott személyes adatai a szerződés teljesítése, mint jogalap alapján a WIZZ Air Hungary Zrt. (Székhely: 1103 Budapest, Kőér utca 2/A B. ép. II-V) részére kerül átadásra a Bank által, az adatkezelési cél megvalósulásáig szükséges időtartamra.
5.9. Erste Diákhitel Száma Díjcsomaggal összefüggő adattovábbítás
A Keretszerződés Erste Diákhitel Száma Díjcsomag (továbbiakban: Erste Diákhitel Számla) választására csak a Számlatulajdonos jogosult, aki a Diákhitel Központ Zrt. által meghatározott feltételek szerinti diákhitellel rendelkezik vagy a diákhitelre való jogosultságát a Diákhitel Központ Zrt. leigazolta és nyilatkozott az Erste Diákhitel Számla igénybevételéről. A Bank az Erste Diákhitel Számla megnyitásakor és megszűnésekor a Diákhitel Központ Zrt. részére lentiekben részletezett adatokat továbbítja, annak érdekében, hogy Diákhitel Központ Zrt. azokat nyilvántartásba vegye a jogosultsági feltételek ellenőrzése céljából.
Az adattovábbítás a szerződés teljesítése érdekében (GDPR 6. cikk (1) b)), az alábbi adatok tekintetében történik:
(1) Erste Diákhitel Számla bankszámlaszáma,
(2) Erste Diákhitel Számla megnyitásának dátuma
(3) Erste Diákhitel Számla megszűnésének dátuma.
Az adattovábbítással érintett adatok Diákhitel Központ Zrt. általi megőrzési idejére a Diákhitel Központ Zrt. mindenkor hatályos Adatkezelési Tájékoztatója irányadó.
5.10. Erste Bevásárló Hitelkártyán történő pontgyűjtéssel összefüggő adattovábbítás
Az Erste Bevásárló Hitelkártyán történő pontgyűjtés feltétele, hogy a Kártyabirtokos rendelkezzen érvényes Tesco Clubcard-dal. A Kártyabirtokos az Erste Bevásárló Hitelkártya igénylésekor az igénylőlapon megadja a Tesco Clubkcard kártyája számát. A Bank a Tesco-Global Áruházak Zrt. részére a lentiekben részletezett adatott továbbítja a Tesco-Global Áruházak Zrt. részére, annak érdekében, hogy az összegyűjtött pontok a Kártyabirtokos Clubcard egyenlegén jóváírásra kerüljenek.
Az adattovábbítás a szerződés teljesítése érdekében jogalappal (GDPR 6. cikk (1) b)) az alábbi adatok tekintetében történik: (1) Clubcard kártya száma, (2) adott elszámolási időszakban gyűjtött pontok összege. Az adattovábbítással érintett adatok Tesco-Global Áruházak Zrt. általi megőrzési idejére a Tesco-Global Áruházak Zrt. mindenkor hatályos Adatkezelési Tájékoztatója irányadó.
5.11. Az Adatkezelő tájékoztatja az Érintettet, hogy a George nevű digitális szolgáltatás (George Digitális Platform – George Web, George App) használatával kapcsolatos személyes adatokat a szolgáltatásaink nyújtásának céljából, az Önnel fennálló szerződés teljesítése érdekében (GDPR 6. cikk (1) b) pontja) kezeljük. Az Üzletszabályzat 1. sz. mellékletében feltüntetettek szerint az Erste Digital GmbH-val fennálló szerződéses kapcsolat alapján igénybe vett publikus felhőszolgáltató, az Amazon Web Services, mint adatfeldolgozó kezeli a szolgáltatás nyújtása érdekében a következő személyes adatokat: név, lakcím, számlainformációk, bankkártya adatok, pénzügyi tranzakciók. Az Amazon Web Services adatkezelésének helyszínei az Ír Köztársaság, Németország és Ausztria. A személyes adatok az Amazon Web Services által üzemeltetett felhőben kerülnek tárolásra, az adatfeldolgozó által végzett adatkezelés megfelelőségének biztosítékát jelenti a Hpt-ben foglalt kiszervezésre vonatkozó követelményeknek történő megfelelés.
5.12. Harmadik országba / nemzetközi szervezet részére történő adattovábbítás
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás esetén az Adatkezelő a GDPR-ban, további európai uniós és nemzeti jogszabályokban foglaltak szerint biztosítja az adattovábbítás megfelelő védelmi szintjét.
5.12.1. Egyéb külső digitális felületek felé történő adattovábbítás (Érintettek: Ügyfél, Igénylő, Érdeklődő)
A Bank által futtatott marketing célú kampányok személyre szabott megjelenítéséhez az érintettek hozzájárulása esetén a Bank továbbítja azok e-mail címeit a Google* (Google Ireland Limited) és a Meta** (Meta Platforms Ireland Limited), valamint az erre a célra létrehozott azonosítókat az Adform*** (Adform A/S) számára.
A Google Ireland Limited, a Meta Platforms Ireland Limited, valamint az Adform A/S számára továbbított adatok EU-n belüli adattovábbításnak minősülnek, azonban a Data Privacy Framework keretén belül a Google és a Meta bizonyos esetekben továbbíthatja az e-mail címemet az Egyesült Államokban lévő adatközpontjaiba.