Adatvédelem a HDI Versicherung AG-nál
Tisztelt Érintett!
Az Ön munkáltatója és/vagy a kártérítésre kötelezett személy, valamint a HDI Versicherung AG Magyarországi Fióktelepe (a továbbiakban: HDI) közötti felelősségbiztosítási szerződésből származó követelések megítéléséhez szükséges mértékben az Ön biztosítási titoknak minősülő adatait is kezeljük, tároljuk, továbbá feldolgozzuk és továbbítjuk. Az adatkezelés és adatfeldolgozás célhoz kötötten történik, az információs önrendelkezési jogról és az információ szabadságáról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) és a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (a továbbiakban: Bit.) valamint a 2016/679/EU számú Általános Adatvédelmi Rendelet (General Data Protection Regulation, GDPR).alapján. Az Infotv., valamint a GDPR rendelkezései alapján a HDI adatkezelőnek illetve adatfeldolgozónak minősül. Az Infotv., valamint a GDPR előírása alapján, jelen tájékoztató formájában teszünk eleget azon kötelezettségünknek, hogy érintetteket az adatkezeléssel kapcsolatban felmerülő minden tényről egyértelműen és részletesen tájékoztassuk.
A HDI elkötelezett az Érintettek személyes adatainak védelmében, kiemelten fontosnak tartja Érintettek információs önrendelkezési jogának tiszteletben tartását. A HDI kijelenti, hogy tiszteletben tartja az Érintettek személyhez fűződő jogait. A rögzített személyes adatokat bizalmasan, az adatvédelmi jogszabályokkal és nemzetközi ajánlásokkal, a 2016/679/EU Általános Adatvédelmi Rendelettel (General Data Protection Regulation, GDPR) összhangban, a jelen adatkezelési szabályzatnak megfelelően kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.
A HDI adatkezelési tevékenységével kapcsolatosan felmerülő információk, a Szabályzat mindenkor érvényes verziója folyamatosan elérhető www.hdi.hu címen.
A HDI fenntartja a jogot a jelen Szabályzat bármikor történő megváltoztatására. Természetesen az esetleges változásokról kellő időben és megfelelő módon értesíti az Érintetteket.
1 Milyen adatokat kezelünk?
Az Ön személyes adatai azon adatok, amelyek Önnel, mint érintettel kapcsolatba hozhatók, valamint az adatból levonható, érintettre vonatkozó következtetések. A GDPR szerint személyes adat az azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Ilyen adatok különösen: név, leánykori név, születési hely, születési idő, nem, anyja neve, lakcím, telefonszám, e-mail cím, TAJ-szám, foglalkozás, adóazonosító jel, bankszámlaszám. (Az egészségi állapotra vonatkozó adatokat csak az Bit. 135. § szakasza alapján, ill. minden adatot a GDPR. 9. cikk (2) bek. b) pontja alapján kezeljük és használjuk fel)
Az adatok forrása: Érintett által megadott adatok.
Biztosítási eseménykor további személyes adatok és egyéb információk lehetnek szükségesek a tényállás megállapításához, valamint a felelősségbiztosítási szerződésekből eredő biztosítási károk rendezése, a kártérítési jogalap vizsgálata, illetve kártérítési összeg utalása, vagy a Bit-ben meghatározott egyéb célból. A HDI kizárólag olyan személyes adatokat kezel, amelyek az adatkezelés céljának eléréséhez elengedhetetlenek és a cél elérésére alkalmasak.
Az adatkezelés időtartama minden önkéntes alapon történő adatkezelési tevékenység esetében meghatározásra került az adott adatkezelés leírásában, azonban, ha az valamilyen hiba, hiányosság miatt az ott megjelölt időtartam nem alkalmazható, úgy a következő szabályokat kell alkalmazni:
- a cél megvalósulásáig és a személyes adatainak törléséig, vagy
- adatainak kezelésére vonatkozó engedélye visszavonásáig és így személyes adatainak törléséig,
- bíróság vagy hatóság törlésre vonatkozó döntésének végrehajtásáig, vagy ilyen rendelkezések hiányában – és jogszabály eltérő rendelkezése hiányában –
- azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli. A hatályos Ptk. 6:22 § alapján az általános elévülési idő - a kárügy lezárását követő - 5 év.
A biztosítási titok körébe tartozó adatok kezelése során a HDI személyes adatokat – ideértve az egészségi állapottal közvetlenül összefüggő adatokat is – a biztosítási jogviszony fennállásának idején, valamint azon időtartam alatt kezeli, ameddig a biztosítási jogviszonnyal kapcsolatban igény érvényesíthető (a felelősségbiztosítási szerződéssel kapcsolatos kárügy lezárását követő 5 év).
2 Milyen célból kerülnek az adatok bekérésre és kezelésre?
Az adatkezelés célja a felelősségbiztosítási szerződésből eredő biztosítási károk rendezése, a kártérítési jogalap vizsgálata, illetve kártérítési összeg utalása, vagy a Bit-ben meghatározott egyéb cél. Az adatfeldolgozás, adattovábbítás titkosított, biztonságos informatikai rendszer segítségével történik.
3 Adatbiztonság garantálása
A személyes adatokat a HDI Versicherung AG , 24 órás őrzéssel védett, saját, dedikált szerverén tárolja.
A HDI minden szükséges biztonsági lépést, szervezési és technikai intézkedést megtesz a személyes adatok legmagasabb szintű biztonsága, illetve azok jogosulatlan megváltoztatásának, megsemmisítésének és felhasználásának megakadályozása érdekében.
A HDI minden szükséges intézkedést megtesz az adatintegritás biztosítása érdekében, azaz az általa kezelt és/vagy feldolgozott személyes adatok pontossága, teljessége, valamint naprakész állapota érdekében.
A HDI az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A HDI ezért fenntartja a jogot, hogy amennyiben ügyfelei vagy partnerei részéről a rendszerében biztonsági rést érzékel, akkor azokról az ügyfeleit és partnereit tájékoztassa, és ezzel egyidejűleg a biztonsági rés megszüntetéséig a Szolgáltató rendszeréhez, szolgáltatásaihoz való hozzáférését, vagy annak egyes funkcióit korlátozza.
A HDI a hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos tükrözéssel kerüli el az adatvesztést.
A személyes adatokat tartalmazó adatbázisok aktív adataiból a rendszergazda napi/heti/havi mentést végez, adatmentő szalagra és háttértárakra. Az adatmentő szalagok és háttértárak a HDI székhelyén, a tűzbiztos és kóddal védett szerverszobában kerülnek tárolásra, amelyhez csak az IT munkatársainak van belépési és hozzáférési jogosultsága.
A személyes adatokat kezelő hálózaton a rendszergazda folyamatosan gondoskodik a vírusvédelemről. A HDI hálózatán kezelt adatokat, adatállományok hozzáférését windows alapú felhasználói névvel és jelszóval biztosítja.
Az adatbiztonsággal kapcsolatos részletszabályokat az Információbiztonsági Szabályzat tartalmazza.
4 Az adatok megismerésére jogosultak köre
A személyes adatokat és a biztosítási titoknak minősülő információkat a HDI a vonatkozó adatkezelési célhoz kapcsolódó hozzáférési jogosultságokkal rendelkező munkavállalói, illetve a HDI részére szolgáltatási szerződések alapján kiszervezett tevékenységet végző személyek, szervezetek ismerhetik meg, a velük kötött szerződések teljesítése céljából, a szükséges mértékben (GDPR 6. cikk (1) bekezdés f) pont ill. b) pont szerint), a HDI által meghatározott terjedelemben.
Az informatikai rendszerekben rögzített adatok tárolása az alábbi helyeken található adatközpontokban történik:
HDI Versicherung AG
1120 Wien, Edelsinnstrasse 7-11.
A képviselő és elérhetősége: Westreicher, Reinald
Backup szerver fizikai helye:
1030 Wien, Arsenal-Objekt 21
5 Kinek továbbítjuk az adatokat?
Amennyiben a fenti célok eléréséhez szükséges, vagy törvény által előírt, továbbítjuk a kezelt adatokat (név, leánykori név, születési hely, születési idő, nem, anyja neve, lakcím, telefonszám, e-mail cím, TAJ-szám, foglalkozás, adóazonosító jel, bankszámlaszám) az egyes esetekben az előírt mértékben az azzal foglalkozó/előírt címzetthez.
Címzettek lehetnek:
HDI Versicherung AG (1120 Wien, Edelsinnstrasse 7-11.), (a továbbított adatok köre: a kártérítési összeg, ill. kár körülményeinek megállapításához szükséges adatok, az adattovábbítás célja: jogalap ás kártérítési összeg megállapítás, az adattovábbítás jogalapja: biztosítási szerződés, adatokhoz hozzáférés időtartama: kárrendezési folyamat ideje + elévülési idő)
UniCredit Bank Austria AG (1010 Wien, Schottengasse 6-8.), (a továbbított adatok köre: Érintett banki adatai, az adattovábbítás célja: kártérítési összeg átutalása, az adattovábbítás jogalapja: biztosítási szerződés, adatokhoz hozzáférés időtartama: kárrendezési folyamat ideje + elévülési idő))
Ezen kívül címzett lehet egyéb illetékes hatóság, ügyészség, bíróság, valamint megbízott vagy meghatalmazott (szakmai titoktartásra kötelezett) jogi képviselő.
Egészségügyi adatok csak szükség esetén, és csak a konkrét esetben, a Bit. rendelkezéseinek alapján, valamint az Ön vagy képviselője által kiadott írásos felmentéssel együtt, és csak a következő címzettek felé kerülnek továbbításra: viszontbiztosító vagy együttbiztosító, amely a káreseménnyel kapcsolatos igények lebonyolításánál együttműködik, az igénybevett kárszakértő vagy törvényes képviselője a bíróságnak, vagy az ügyészségnek, vagy a közigazgatási szervnek, vagy a vitarendezés egyéb szerveinek, az ő szerveiket beleértve, és az ő általuk kirendelt szakértőkkel együtt.
6 Az adatok kiszivárgása, adatvédelmi incidens
A HDI mindenkor a megfelelő eljárásokat alkalmazza a személyes adatok kiszivárgásának kiszűrésére, jelentésére és kivizsgálására.
Az Adatkezelő - az adatvédelmi tisztviselő útján - az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az Érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Az adatvédelmi incidens esetén a felügyeleti hatóságot 72 órán belül, az érintetteket haladéktalanul tájékoztatni kell. Nem kell azonban minden esetet bejelenteni az adatvédelmi hatóságnál – csak azokat, melyek során a magánszemélyeket valószínűsíthetően valamilyen kár érheti, például személyazonossággal való visszaélés vagy titoktartási követelmények megszegése esetén.
A HDI irányelveket és eljárásokat dolgoz ki, hogy kezelni tudja az adatok kiszivárgását. Ezen előírásokat és irányelveket az Információbiztonsági Szabályzat tartalmazza.
7 Az adatvédelmi tisztviselő
Az Info Tv. 24.§ (1) bekezdése alapján a HDI kötelezett - jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező -adatvédelmi tisztviselő alkalmazására.
Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint az alábbiakban felsorolt feladatok ellátására való alkalmasság alapján a HDI Versicherung AG Vezetőség jelöli ki.
Az adatvédelmi tisztviselő az Adatkezelő alkalmazottja.
Az Adatkezelő biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
Az Adatkezelő támogatja az adatvédelmi tisztviselőt az alábbiakban felsorolt feladatok ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
Az Adatkezelő biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő legfelső vezetésének, azaz a Vorstand-nak tartozik felelősséggel. Az Érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
Az adatvédelmi tisztviselő neve és elérhetőségei: Nagy Tamás [ +36-30-970-5052,tamas.nagy@hdi.hu ]
Az adatvédelmi tisztviselő nevét és elérhetőségét az Adatkezelő a felügyeleti hatósággal is közli.
8 Hozzájáruló nyilatkozat és annak visszavonása
A HDI tevékenységével összefüggő adatkezelések általában önkéntes hozzájáruláson, illetve szerződés teljesítése jogcímén alapulnak. Bizonyos esetekben a megadott adatok egy körének kezelését, tárolását, továbbítását jogszabályok teszik kötelezővé. Az Ön szermélyes adatainak (beleértve különleges adatainak) kezeléséhez, tárolásához, felhasználásához és továbbításához történő előzetes, kifejezett, tájékozott és önkéntes hozzájárulása a jelen adatvédelmi tájékoztató mellékletében található. Ez a nyilatkozat külön aláírandó.
Ezen nyilatkozat aláírásával Ön hozzájárul a jelen adatkezelési tájékoztatóban foglaltak szerinti személyes adatkezeléshez, adatainak továbbításához. Ezek után Önnek mindenkor lehetősége van arra, hogy ezt a hozzájárulását írásban (a jelen adatvédelmi tájékoztató végén szereplő kapcsolati címek bármelyikén keresztül) visszavonja. Amennyiben Ön nem járul hozzá a személyes adatainak kezeléséhez, vagy csak részben járul ahhoz hozzá, illetve az adatkezeléshez történő hozzájárulását visszavonja, akkor az Ön adatainak kezelése a továbbiakban kizárólag a törvényi előírások szerint és mértékben történik.
A GDPR 8. cikk (1) bek. alapján a 16. életévét be nem töltött gyermek esetén a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges. Az Adatkezelő – figyelembe véve az elérhető technológiát – ésszerű lépéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
9 Az adatkezelésekkel kapcsolatos jogok és érvényesítésük
Önnek joga van a HDI-től adatai kezeléséről tájékoztatást kérni, a már megadott hozzájárulást bármikor indokolás nélkül visszavonni, adataihoz hozzáférni, adatai helyesbítését, törlését vagy kezelésének korlátozását kérni. Megilleti a direkt marketing elleni tiltakozás, az automatikus döntéshozás és profilalkotás megakadályozása, valamint az adathordozhatóság, illetve a bírósági jogérvényesítés joga, valamint panasszal élhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.
A HDI indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a HDI a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri.
Ha a HDI nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. A HDI a kért információkat és tájékoztatást díjmentesen biztosítja.
Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a HDI, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre észszerű díjat számolhat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
A HDI minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a HDI tájékoztatja e címzettekről.
Adatkezeléssel kapcsolatos kérdéseivel, panaszával kérjük, vegye fel velünk a kapcsolatot az alábbi módon: Hívjon bennünket a +36 1 248 2823 telefonszámon, vagy írjon nekünk az alábbi címre:
HDI, mint adatkezelő adatai
Név: HDI Versicherung AG Magyarországi Fióktelepe
Székhely: 1134 Budapest, Váci út 45.
Cégjegyzékszám: 01-17-000450
Honlap: www.hdi.hu
Elektronikus levelezési cím: office@hdi.hu
Adatvédelmi tisztviselő: Nagy Tamás
Jogorvoslati lehetőség
Az érintett a jogainak megsértése esetén az adatkezelő ellen (az érintett választása szerint az alperes székhelye vagy az érintett lakóhelye szerint illetékes) bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A törvényszékek felsorolását és elérhetőségét az alábbi linken keresztül tekintheti meg: https://birosag.hu/torvenyszekek. A személyes adatok védelmével összefüggésével kapcsolatosan indított per illetékmentes.
Jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím: 1125 Budapest Szilágyi Erzsébet fasor 22/c.
Honlap: www.naih.hu
Elektronikus levelezési cím: ugyfelszolgalat@naih.hu
Telefon: 06 1 39 11 400
Fax: 06 1 39 11 410