GDPR tájékoztató

Mit jelent a GDPR?

A GDPR a General Data Protection Regulation rövidítése, mely az Európai Parlament és a Tanács (EU) adatvédelmi rendelete, amely 2018.05.25-től alkalmazandó közvetlenül hazánkban is.

A GDPR rendelet:

  • a személyes adatok kezelésére és védelmére határoz meg rendelkezéseket,
  • legfőbb rendelkezése, hogy természetes személy személyes adata kizárólag megfelelő jogalappal és megfelelő adatkezelési cél esetében kezelhető.

A GDPR valamennyi adatkezelőre kötelező érvényű, kötelezően alkalmazandó, így az Erste Bankra, és annak valamennyi leányvállalatára is.

Mit jelent a személyes adat?

Személyes adatnak minősül a személyes adat jogosultjával kapcsolatba hozható valamennyi adat, információ, és az ezekből levonható következtetés (pl. név, cím, születési hely, születési idő adatai, egyéb természetes személyazonosító adat, e-mail cím, termékhasználattal kapcsolatos szokások, az érintett által használt hálózati végpont IP címe, amelyről bejelentkezés történik Bankhoz).

Mi a személyes adat különleges kategóriája?

Az e kategóriába tartozó személyes adat az érintettre vonatkozó szenzitív információ. Ezek különösen:

egészségi állapotra (pl. betegség); kóros szenvedélyre; faji eredetre, nemzetiséghez tartozásra;  vallási, világnézeti beállítottságra vagy szervezeti tagságra vonatkozó adat.

Ezen személyes adatok kezelése tilos, kivéve, ha az érintett kifejezett hozzájárulását adta ilyen adatainak felhasználásához, vagy az adat a foglalkoztatást segíti elő, vagy az érintett jogi igényének érvényesítéséhez szükséges a felhasználása. Az ilyen személyes adat kizárólag az adatkezelési cél eléréséig kezelhető.

Ki minősül érintettnek, akinek személyes adatait a GDPR védi?

Amennyiben a Bank, vagy annak leányvállalata akár saját adatforrásából, akár más adatforrásból egy természetes személyt a személyes adatai alapján már azonosított, vagy az ő azonosítására képes, úgy a természetes személy személyes adatainak védelmére a GDPR kiterjed.

Ki lehet a személyes adat tekintetében érintett a Bank/Leányvállalata vonatkozásában?

Különösen az ügyfél, az igénylő, a kezes, a befizető, a tényleges tulajdonos, a kapcsolattartó, a befizető, a kedvezményezett, a munkavállaló. Elhunyt személy személyes adataira a GDR nem terjed ki, arra a kegyeleti jog és az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény szabályai irányadóak.

Adatkezelő-e a Bank és leányvállalata?

Igen, mivel működése során többek között a személyes adatgyűjtést, rögzítést, rendszerezést, tagolást, tárolást végez.

Mi az adatfeldolgozás?

Adatfeldolgozásról beszélünk, ha a Bank/vagy a leányvállalatán kívüli harmadik személy az adatkezelő nevében személyes adat kezelést végez.

Adatfeldolgozó igénybe vétele kizárólag a GDPR előírásainak megfelelő adatfeldolgozási szerződés megkötése esetén lehetséges.

Mi a profilalkotás és automatizált döntéshozatal?

A „profilalkotás” a természetes személyekre vonatkozó személyes jellemzők automatizált módon történő kiértékelése, különösen az érintett gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzése és előrejelzése, ha az az érintettre nézve joghatással jár.

Az érintett jogosult azt kérni, hogy rá ne terjedjen ki olyan, kizárólag automatizált adatkezelésen alapuló – akár intézkedést is magában foglaló – döntés hatálya, amely a rá vonatkozó személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár. Ilyen lehet például egy online hitelkérelem automatikus elutasítása vagy emberi beavatkozás nélkül folytatott online munkaerő-toborzás.

Mik lehetnek az adatkezelés jogalapjai, melyek az adat kezelését lehetővé teszik?

  1. ÉRINTETT HOZZÁJÁRULÁSA
    Az érintett előzetesen/kifejezetten/önkéntesen, igazolhatóan megtett hozzájárulása, személyes adatainak meghatározott adatkezelési célból történő kezeléséhez. A hozzájárulást az érintett bármikor visszavonhatja.
  2. SZERZŐDÉS ELŐKÉSZÍTÉSÉHEZ, MEGKÖTÉSÉHEZ SZÜKSÉGES ADATKEZELÉS
    Kizárólag szerződés előkészítéséhez, megkötéséhez szükséges személyes adatok kezelésére ad módot, a szerződés megkötését megelőzően.
  3. SZERZŐDÉS TELJESÍTÉSÉHEZ SZÜKSÉGES ADATKEZELÉS
    Kizárólag a szerződés teljesítéséhez szükséges személyes adatok kezelésére ad jogalapot, abban az esetben, ha az érintett szerződő fél.
  4. JOGOS ÉRDEK (ÉRDEKMÉRLEGELÉS)
    Bizonyos feltételekkel nincs szükség hozzájárulásra vagy törvényi felhatalmazásra, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
  5. JOGSZABÁLYI KÖTELEZÉS
    Személyes adat abban az esetben és körben kezelhető, amennyiben a személyes adat kezelésére jogszabályi kötelezettség teljesítéséhez szükséges.
  6. HARMADIK SZEMÉLY LÉTFONTOSSÁGÚ ÉRDEKE
    Az érintett személyes adata abban az esetben is kezelhető, amennyiben az adatkezelés egy másik természetes személy létfontosságú érdeke védelme miatt szükséges.

Mi az adatkezelési cél?

  • Az adatkezelési cél az a cél, amelyre a személyes adat az adatkezelő által felhasználható.
  • A személyes adat megfelelő jogalap esetén sem kezelhető adatkezelési cél nélkül.
  • A személyes adat kezelésének céljáról az érintettet előzetesen tájékoztatni szükséges. A Bank és Leányvállalatai Adatkezelési Tájékoztató keretében tájékoztatást nyújtanak az érintetteknek személyes adataik kezelésével összefüggésben.

A Bank mindenkori Adatkezelési Tájékoztatója a https://www.erstebank.hu/hu/adatkezelesi oldalon megtalálható.

Érintetti jogok és azok Bank általi kezelése

ADATTÖRLÉSI JOG

Az érintett jogosult arra, hogy a kezelt személyes adatait törölje, vagy a Bank helyreállíthatatlanul és véglegesen megsemmisítse ill. törölje, amennyiben

  • az az adatkezelési cél már megszűnt, amely érdekében a személyes adatait a Bank gyűjtötte, vagy kezelte és más jogalap nincs személyes adatai kezelésére;
  • amennyiben az adatkezelés jogalapja megszűnt, és más jogalap nincs a személyes adatainak kezelésére;
  • amennyiben a személyes adat kezelése hozzájáruláson alapul, és az érintett e hozzájárulását visszavonta;

az érintett jogszerűen tiltakozott személyes adatai kezelése ellen, és elsőbbséget élvező ok a további adatkezeléshez nincs.

AZ ÉRINTETT ADATHORDOZHATÓSÁGHOZ VALÓ JOGA

Az érintett jogosult arra, hogy a róla tárolt azon személyes adatait megkapja, amelyek rá vonatkoznak, vagy tevékenysége során keletkeznek a Banknál, és mely adatokat a szerződéssel, vagy hozzájárulásával összefüggésben kezel a Bank struktúrált formában (pl. táblázatos formátumban). Ezen adatokat az adatkezelő másik adatkezelőnek is továbbíthatja, vagy azok másik adatkezelő részére való továbbítását a Banktól kérheti.

Nem tartozik e jog körébe és nem szükséges átadni az adatkezelő által létrehozott adatot, pl. hitelképesség.

AZ ÉRINTETT HOZZÁFÉRÉSI JOGA

Az érintett jogosult arra, hogy amennyiben a személyes adatának kezelését végezzük erről kérelme alapján értesítést kapjon.

AZ ÉRINTETT SZEMÉLYES ADATÁNAK HELYESBÍTÉSÉHEZ VALÓ JOGA

E jog alapján az érintett kérheti, hogy indokolatlan késedelem nélkül helyesbítsük/egészítsük ki, a pontatlanul vagy hiányosan kezelt személyes adatát.

AZ ÉRINTETT TÁJÉKOZTATÁSHOZ VALÓ JOGA

A Bank köteles az érintettet előzetesen tájékoztatni a személyes adatai kezelésének módjáról, erre a Bankban az adatkezelési tájékoztató szolgál, amely a honlapon elérhető

AZ ADATKEZELÉS KORLÁTOZÁSÁHOZ VALÓ ÉRINTETTI JOG

Ha az érintett az adatai korlátozását kéri, mindaddig, ameddig nem dönt a Bank a kérelem megalapozottságáról, az adatpontosítás vagy a jogellenes adatkezelés fennállása tekintetében, a korlátozási kérelemben foglaltaknak eleget kell tenni.

Törlés helyett az érintett korlátozást is kérhet, amennyiben az érintett jogi igényérvényesítése érdekében az adat megőrzésére szükség van.

TILTAKOZÁSHOZ VALÓ JOG

E joga alapján az érintett jogosult arra, hogy tiltakozzon személyes adatainak kezelése ellen. Tiltakozás esetén a Bank megvizsgálja az adatkezelés jogszerűségét és a vizsgálat eredményéről tájékoztatja az Ügyfelet.

KIFOGÁSHOZ VALÓ JOG

Az érintett jogosult arra, hogy az egyedi ügyében, automatizált döntéshozatallal hozott döntés ellen kifogást emeljen. E kifogás esetében a korábban automatizált döntéshozatallal meghozott döntést szükséges humán erőforrás bevonásával is felülvizsgálni.