E-KÁRBEJELENTŐ ALKALMAZÁSHOZ KAPCSOLÓDÓ ADATKEZELÉSI TÁJÉKOZTATÓ

Budapest, 2023.12.05.

1) BEVEZETŐ

A Magyar Biztosítók Szövetsége (MABISZ) kötelező gépjármű-felelősségbiztosítást művelő tagbiztosítói a 2017. decemberi közgyűlésen döntést hoztak arról, hogy Magyarországon is induljon meg egy saját elektronikus kárbejelentő alkalmazás (E-kárbejelentő) fejlesztése.

A Magyar Biztosítók Szövetsége (székhely: 1062 Budapest, Andrássy út 93., adószám: 19638672-2-42, Nyilvántartási szám: Fővárosi Törvényszék 01-020003158, a továbbiakban: MABISZ) a Magyarországon székhellyel vagy fiókteleppel rendelkező biztosítónál, biztosító egyesületnél kötött kötelező gépjármű felelősségbiztosítási szerződés alapján rendezhető káreseménnyel kapcsolatos kárbejelentések megkönnyítése és a digitalizáció lehetőségeit kihasználó korszerűsítése érdekében kifejlesztette és üzemelteti az E-kárbejelentő telefonos és webes alkalmazást (a továbbiakban: E-kárbejelentő vagy Alkalmazás) amely egy on-line környezetben működő informatikai rendszer.

Adatkezelők:

Magyar Biztosítók Szövetsége (MABISZ)

1062 Budapest, Andrássy út 93.

Levelezési címe: 1381 Budapest 62., Pf. 1297

Szakmai felügyeleti szerv: Magyar Nemzeti Bank (székhelye: 1054 Budapest, Szabadság tér 8–9.) Honlap: www.mabisz.hu

Adatvédelmi tisztviselő elérhetőségei: Magyar Biztosítók Szövetsége, Ügyfélszolgálat és Információs Központ – adatvedelem@mabisz.hu

1. sz. mellékletben felsorolt Biztosítók

Közös adatkezelés:

A kötelező gépjármű-felelősségbiztosításról szóló törvény szerinti biztosítási esemény bejelentése érdekében az E-kárbejelentő alkalmazás felhasználásával benyújtott kárbejelentésben megadott személyes adatok vonatkozásában a MABISZ, valamint az E-kárbejelentő alkalmazást használó, az 1. sz. mellékletben felsorolt Biztosítók közös adatkezelőknek minősülnek.

A közös adatkezelők döntést hoztak arról, hogy Magyarországon induljon meg egy saját elektronikus kárbejelentő alkalmazás (E-kárbejelentő) fejlesztése és meghatározták a működés fő paramétereit.

A közös adatkezelés terjedelme:

Nem minősül közös adatkezelésnek az E-kárbejelentő alkalmazás működtetése, üzemeltetése során, valamint a Biztosítóknak a kárbejelentés fogadását követő, a Biztosítókra vonatkozó szerződési feltételeknek és jogszabályi előírásoknak megfelelően végzett kárrendezési eljárás során önállóan végzett adatkezelése, valamint a 2009. évi LXII. törvény szerint a MABISZ által lefolytatni rendelt kárrendezési eljárásokhoz kapcsolódó adatkezelések. A MABISZ általános adatkezelési tájékoztatója ezen a linken érhető el.

A közös adatkezelői megállapodás lényegi elemei:

Az adatkezeléssel kapcsolatos feladatokat elsősorban a MABISZ, mint az E- kárbejelentő működtetéséért felelős személy látja el. Ennek megfelelően

• üzemelteti az e-kárbejelentő alkalmazást

• továbbítja a Felhasználók által az E-kárbejelentő alkalmazás használata során megadott adatokat;

• rögzíti az adatokat az erre a célra szolgáló elektronikus nyilvántartási rendszerben;

• karbantartja, szükség esetén módosítja az adatokat;

• elvégzi a szükséges törléseket

• az érintetti jogok gyakorlása kapcsán intézi az érintettek megkereséseit, kéréseit.

Érintettek közös adatkezeléssel kapcsolatos kérdéseinek, kéréseinek fogadására és intézésére a MABISZ Adatvédelmi tisztviselőjét, kapcsolattartóként jelölték ki, azonban az érintettek mindegyik Közös adatkezelő vonatkozásában és mindegyik Közös adatkezelővel szemben gyakorolhatják az Adatvédelmi Rendelet szerinti jogaikat.

A kapcsolattartó a MABISZ. Közös adatkezeléssel kapcsolatos elérhetőségeit a Tájékoztató 2. pontja tartalmazza.

Biztosítók az E-kárbejelentő alkalmazás működése során biztosítási titkot vagy személyes adatot nem osztanak meg egymással, valamint nem adnak át a MABISZ részére.

Közös adatkezelési szabályzataiknak megfelelően gondoskodnak az adatbiztonságról és kezelik az adatvédelmi incidenseket.

A közös adatkezelők képviselőinek, adatvédelmi tisztviselőinek nevét és elérhetőségeit az 1. sz melléklet sorolja fel.

Hogyan használjuk ezt az adatkezelési tájékoztatót?

Ebben az adatkezelési tájékoztatóban elmagyarázzuk Önnek, hogy szolgáltatásunk igénybevétele során hogyan kezeljük és védjük az Ön személyes adatait, valamint hogy hogyan léphet kapcsolatba velünk, ha kérdése van személyes adataival kapcsolatban.

2) VONATKOZÓ JOGSZABÁLYOK

A MABISZ Adatvédelmi Tájékoztatója különösen az alábbi Európai Uniós és magyar jogszabályokra épül:

Európai Uniós jogszabály:

• az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet vagy GDPR, a továbbiakban GDPR, Rendelet)

Magyar jogszabályok:

• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.)

• 2014. évi LXXXVIII törvény a biztosítási tevékenységről („Bit”)

• 2009. évi LXII. törvény a kötelező gépjármű-felelősség biztosításról („Gfbt”)

3) FOGALOMMEGHATÁROZÁSOK

a) „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

b) „adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

c) „biztosító”: biztosítónak minősül minden, Magyarországon tevékenységi engedéllyel működő, kötelező gépjármű-felelősségbiztosítást és casco biztosítást művelő biztosító és biztosító egyesület;

d) „biztosítási titok”: minden olyan - minősített adatot nem tartalmazó -, a biztosító, a viszontbiztosító, a biztosításközvetítő rendelkezésére álló adat, amely a biztosító, a viszontbiztosító, a biztosításközvetítő ügyfeleinek - ideértve a károsultat is - személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval, illetve a viszontbiztosítóval kötött szerződéseire vonatkozik;

e) „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e;

f) „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

g) „különleges adat”: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, valamint az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat

h) „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; a személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható;

i) „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

j) „adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;

k) „közös adatkezelő”: az az adatkezelő, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;

l) "QR kód" (Quick Response Code): a biztosítók által meghatározott, személyes adatok alapján képzett, illetve azokat tartalmazó digitalizált adattartalommal rendelkező kétdimenziós vonalkód, mely a biztosítók által különböző ügyféldokumentumokon (pl kötvény, zöldkártya, díjigazolás) elhelyezve az E-kárbejelentő alkalmazás használatának megkönnyítését szolgálja;

m) „felhasználó”: Felhasználónak minősül minden olyan természetes személy, aki a MABISZ által üzemeltetett E-kárbejelentő alkalmazás használatával teszi meg kárbejelentését annak érdekében, hogy a MABISZ szolgáltatását igénybe tudja venni.

Amennyiben a felhasználó a Ptk. vonatkozó előírásaival összhangban képviselőként jár el, felhasználó alatt a biztosított szervezet is értendő.

n) „fogyasztó”: a szakmája, önálló foglalkozása vagy üzleti tevékenysége körén kívül eljáró természetes személy.

4) ALAPELVEK

A MABISZ a személyes adatok kezelése során a következő alapelveket veszi figyelembe, így a személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

Az adatkezelők felelősek a fentieknek való megfelelésért.

4.1 Az E-kárbejelentő alkalmazással kapcsolatos adatkezelés

4.1.1 Az adatkezelés célja, a kezelt személyes adatok köre, az adatkezelés jogalapja, célja és időtartama

Az E-kárbejelentő alkalmazásban az egyes érintettek alábbiakban felsorolt személyes adatait az itt megjelölt célból, jogalappal és határidőig kezeljük.

Adatkezelés célja	Érintett	Kezelt személyes adat	Adatkezelés jogalapja		Adatkezelés időtartama
Az adatkezelés általános célja a mai kor igényeinek figyelembevételével az elektronikus kárbejelentés lehetővé tétele, és az ennek érdekében kifejlesztett alkalmazás működtetése. Az E-kárbejelentő rendszer által megvalósuló adatkezelés célja a károsultak fokozott védelme, a gépjárművel okozott károk következtében a biztosítottakkal szemben támasztott megalapozott kártérítési igények megfelelő mértékű kielégítésének elősegítése és a fogyasztói érdekek védelme.	Bejelentést tevő felhasználó (járművezető)	· vezetéknév · keresztnév · lakcím · születési dátum · vezetői engedély száma · vezetői engedély kategóriája · vezetői engedély érvényessége · az E-kárbejelentő alkalmazást futtató készülék típusa és operációs rendszerének verziószáma · az E-kárbejelentő oldalt megjelenítő böngésző típusa és verziója	A Kárbejelentő és a MABISZ között az E-kárbejelentő alkalmazás használatával a kárbejelentés biztosító felé történő benyújtására létrejött Ptk. 6:280 §- a szerinti megbízási szerződés teljesítése	GDPR 6. cikk (1) b)	Az adatokat a MABISZ az E-kárbejelentő használatára létrejött szerződés időtartama alatt, majd annak megszűnését követően az általános elévülési időig (5 év) őrzi meg. A megőrzési idő leteltét követően a MABISZ az adatokat törli vagy deperszonalizálja.
	Üzembentartó	· születési dátum · születési hely	A Gfbt. 51.§ (9) bekezdés l) pontja szerinti felhatalmazás alapján a KKNYR kötelező gépjármű-felelősségbiztosítási szerződésre, a gépjárműre, valamint az üzemben tartóra vonatkozó, a Gfbt. 51. § (4) bekezdésben meghatározott adatai az E-kárbejelentő rendszerben felhasználhatóak. Ennek alapján az Alkalmazás balesetet követő használata során a jármű rendszáma, a baleset időpontja, a jármű fajtája, és természetes személy esetén az üzembentartó születési dátumának, jogi személy esetében az adószámnak a beírása után az Alkalmazásba feltöltésre kerülnek a Gfbt. 51. § (4) bekezdésében meghatározott adatok.
	Baleset tanúi	· név · lakcím · telefonszám · e-mail cím	A biztosító jogos érdeke, hogy tanúk igazolják a baleset körülményeit, alátámasztva a bejelentés hitelességét.	GDPR 6. cikk (1) f
	Egyéb érdekelt személyek (pl. jármű tulajdonosa, üzembentartója)	· e-mail cím	A biztosító jogos érdeke, hogy a jármű tulajdonosát, üzemben tartóját értesítse a jármű közlekedési balesetéről.	GDPR 6. cikk (1) f
A MABISZ az E-kárbejelentő alkalmazás további fejlesztése érdekében az alkalmazáson keresztül kárt bejelentő felhasználók körében az alkalmazásban megadott e-mail címek segítségével elégedettség-felmérést végez.	Járművezető felhasználó	· e-mail cím	A MABISZ, mint az Alkalmazás üzemeltetőjének jogos érdeke, hogy az Alkalmazás további fejlesztése érdekében az alkalmazáson keresztül kárt bejelentő felhasználók elégedettségét felmérje.	GDPR 6. cikk (1) f

Azon adatok kezelésének jogalapja, amelyek az E-kárbejelentő használatára vonatkozó szerződés megkötését megelőzően az érintett kérésére tett lépések megtételéhez vagy a teljesítéséhez kapcsolódóan kezel a biztosító, a szerződés teljesítése.

Egyéb esetben az adatkezelést a MABISZ, a biztosító vagy harmadik személy (biztosított) jogos érdeke indokolja.

Amennyiben a bejelentések továbbításához nem adja meg a felhasználó a szerződés szerint szükséges adatokat, a bejelentést a MABISZ nem tudja eredményesen teljesíteni.

A szerződésen alapuló adatkezelési jogcím megszűnése után a megbízási szerződéssel kapcsolatos esetleges későbbi igényérvényesítés lehetőségének biztosítása, mint jogos érdek indokolja az adatkezelést.

A Gfbt. 51.§ (9) bekezdés l) pontja szerinti felhatalmazás alapján a KKNYR kötelező gépjármű-felelősségbiztosítási szerződésre, a gépjárműre, valamint az üzemben tartóra vonatkozó, a Gfbt. 51. § (4) bekezdésben meghatározott adatai az E-kárbejelentő rendszerben felhasználhatóak. Ennek alapján az Alkalmazás balesetet követő használata során a jármű rendszáma, a baleset időpontja, a jármű fajtája, és természetes személy esetén az üzembentartó születési dátumának, jogi személy esetében az adószámnak a beírása után az Alkalmazásba feltöltésre kerülnek a Gfbt. 51. § (4) bekezdésében meghatározott adatok.

4.2 Az adatok címzettjei, a címzettek kategóriái

Az E-kárbejelentő alkalmazás felhasználásával megtett kárbejelentésben megadott személyes adatok továbbítására kizárólag a felhasználó és a MABISZ között létrejött megbízási szerződés szerint az ott meghatározott terjedelemben kerülhet sor a kárbejelentőben a felhasználó által megadott EGT-n belüli biztosító részére. Külföldre (más tagállamba vagy harmadik országba) a MABISZ adatokat csak abban az esetben továbbít, ha felhasználó erre megbízást ad.

4.3 Adatfeldolgozók igénybevétele

A MABISZ adatfeldolgozójaként eljáró jogi személy: suIT Solutions Kft. (1118 Budapest, Budaörsi út 64.)

Az Adatkezelők munkavállalói a feladataik ellátásához szükséges mértékben az alábbi tevékenységekkel összefüggésben jogosultak az érintett személyes adatainak megismerésére:

a) kárrendezés,

b) panaszok, kérdések, kérelmek kezelése,

c) IT üzemeltetési, jogi feladatok ellátása,

d) az alkalmazás további fejlesztése érdekében az E-kárbejelentőn keresztül kárt jelentett felhasználók elégedettségének mérése.

4.4 Adatkezelés az E-kárbejelentő honlapján

Az Alkalmazás honlapja (www.mabisz.hu, www.ekarbejelento.hu, www.ekar.hu) más honlapokhoz hasonlóan ún. "cookie"-kat használ azért, hogy elemezhessük, hogy valaki járt-e már a honlapunkon, milyen oldalakat látogatott meg nálunk, illetve segít azonosítani azokat a funkciókat/szolgáltatásokat, amelyek a leginkább érdekelhetik ügyfeleinket. Az általunk használt cookie-k nem tudják a látogatókat személy szerint beazonosítani, és azok letilthatók a böngésző beállításain keresztül. A MABISZ a cookie-k alkalmazása esetén az adatkezelés céljára is kiterjedő tájékoztatást ad a honlapját meglátogatók részére.

5) AUTOMATIKUS DÖNTÉSHOZATAL, PROFILOZÁS

Automatizált döntéshozatali eljárást és profilalkotást a jelen adatkezeléssel kapcsolatban Adatkezelők nem alkalmaznak.

6) ADATBIZTONSÁG

A közös adatkezelők a Rendeletnek megfelelő technikai és szervezeti intézkedésekkel rendelkeznek. Ezeknek megfelelően a közös adatkezelők megfelelő fizikai és logikai védelmet biztosítanak az általuk kezelt adatok vonatkozásában. A személyes adatokhoz való hozzáférés megfelelő technikai megoldásokkal korlátozott, illetve ellenőrizhető. A közös adatkezelők által történő adatkezelés biztonságát a közös adatkezelőknél hatályban lévő belső szabályzatok rendezik. Az előírások értelmében a közös adatkezelők az általuk kezelt adatokat biztonsági osztályokba sorolják, mely alapján, a közös adatkezelők által önállóan alkalmazott besorolási rendszer alapján az adatokat csoportosítják, és az adatbiztonsági osztályokhoz rendelten meghatározzák, hogy milyen egyedi védelmi intézkedésre van szükség az érintettek érdekeinek és jogainak a védelme érdekében. A közös adatkezelők adatkezelési szabályzataiknak megfelelően gondoskodnak az adatbiztonságról és kezelik az adatvédelmi incidenseket.

7) SZEMÉLYES ADATOKRÓL VALÓ RENDELKEZÉS

7.1 Hozzáférési jog

Az eljáró adatkezelők minden szükséges technológiai és szervezési intézkedést megtesznek az ügyfelek adatainak elvesztésének megelőzésére, az adatkezelési célnak nem megfelelő adatkezelés elkerülésére.

Az érintett jogosult arra, hogy kérésére visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Az érintett kérésére a MABISZ rendelkezésére bocsátja az általa kezelt személyes adatai másolatát és egyidejűleg tájékoztatja az általános adatvédelmi rendelet 15. cikkében meghatározott információkról (különösen: adatkezelés célja, kezelt adatok kategóriái, azon címzettek kategóriái, akivel az adatok közlésre kerülnek, az adatkezelés időtartama). Ön jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

7.2 Helyesbítéshez való jog

A MABISZ az érintett kérésére késedelem nélkül helyesbíti az általa kezelt és az érintettre vonatkozó, pontatlan vagy hiányos személyes adatokat.

7.3 A törléshez és az elfeledtetéshez való jog

A MABISZ az érintett kifejezett kérésére, illetve külön kérés nélkül is késedelem nélkül törli az érintett általa kezelt adatait, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja (amennyiben lenne hozzájárulás alapú adatkezelés);

c) az érintett tiltakozik az adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy közvetlen üzletszerzési adatkezelés ellen tiltakozik;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.

7.4 Adatkezelés korlátozásához való jog

A MABISZ az érintett kérésére korlátozza az adatkezelést. Ha az adatkezelés az érintett kérésére korlátozás alá esik, az ilyen személyes adatokat a biztosító a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekből kezeli.

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) Vitatja a személyes adata pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Szolgáltató ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, ehelyett kéri azok felhasználásának korlátozását;

c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

d) az érintett tiltakozott az adatkezelés ellen, amely esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

7.5 Adathordozhatósághoz való jog

A MABISZ a szerződésen vagy hozzájáruláson alapuló automatizált módon történő adatkezelés esetén az érintett kérésére az érintettre vonatkozó, és korábban az érintett által a MABISZ rendelkezésére bocsátott személyes adatait géppel olvasható formátumban kiadja az érintett részére, továbbá az érintett kérésére, amennyiben az technikailag megvalósítható, ezeket az adatokat egy másik adatkezelőnek közvetlenül továbbítja.

7.6 Tiltakozáshoz való jog

Amennyiben a MABISZ jogos érdek alapján kezeli az érintett személyes adatát, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, csak jogszabályban meghatározott kivételes esetben. Ha a MABISZ az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

8) ADATVÉDELMI INCIDENS

A MABISZ rendszeresen ellenőrizteti és vizsgáltatja rendszereit és adatkezelési eljárásait mind adatbiztonsági, mind minőségbiztosítási szempontból, és nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Amennyiben adatvédelmi incidens történik (a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés), az adatkezelő az incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a MABISZ indokolatlan késedelem nélkül tájékoztatja az ügyfeleket az adatvédelmi incidensről. Az ügyfeleket nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

• a MABISZ megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

• a MABISZ az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

9) PANASZ, JOGORVOSLAT

Az érintett, ha megítélése szerint a személyes adatai kezelése sérti az általános adatvédelmi rendeletet, jogosult panaszt tenni az illetékes felügyeleti hatóságnál, vagy a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállam adatvédelmi felügyeleti hatóságánál. Az adatkezeléssel kapcsolatos kérdések, észrevételek, panaszok a tájékoztató elején megjelölt székhely szerinti címre és/vagy e-mail címre küldhetők, ideértve a közös adatkezelői listán megadott címeket is.

Amennyiben az érintett úgy gondolja, hogy adatainak kezelése nem jogszerű, úgy jogosult panaszt tenni a felügyeleti hatóságnál, amely Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

Székhely:	1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Postacím:	1530 Budapest, Pf.: 5.
Telefon:	+36 (1) 391-1400
Telefax:	+36 (1) 391-1410
Honlap:	http://naih.hu
E-mail:	ugyfelszolgalat@naih.hu

Ügyfeleinket megilleti a bírósági jogorvoslati jog is. A per elbírálása a törvényszék hatásköre. A pert az Adatkezelő székhelye szerinti törvényszéken (Fővárosi Törvényszék) kell megindítani, azonban az érintett a pert a belföldi lakóhelye, ennek hiányában a belföldi tartózkodási helye szerinti törvényszéken is megindíthatja.