2024. 09. 23. 11:29

Adatkezelési Tájékoztató / Privacy Policy

 

Nemzeti Mobilfizetési Zártkörűen Működő Részvénytársaság / National Mobile Payment Plc.

 

ADATKEZELÉSI TÁJÉKOZTATÓ / PRIVACY POLICY

  1. BEVEZETÉS

A Nemzeti Mobilfizetési Zártkörűen Működő Részvénytársaság (a továbbiakban: Adatkezelő) magára nézve kötelezőnek ismeri el jelen jogi közlemény tartalmát. Tevékenysége során fokozottan ügyel a személyes adatok védelmére, a kötelező magyar és európai jogi rendelkezések betartására, a biztonságos és tisztességes adatkezelésre. Adatkezelő megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja. Adatkezelő az alábbiakban ismerteti adatkezelési gyakorlatát:

  1. AZ ADATKEZELŐ MEGNEVEZÉSE

Adatkezelő: Nemzeti Mobilfizetési Zártkörűen Működő Részvénytársaság (NM Zrt.)

Székhely: 1027 Budapest, Kapás utca 6-12.

Adószám: 24151667-2-44

Cégjegyzékszám: Cg. 01 10 047569

Telefon: +36 (1) 800 8070

Honlap: https://nmzrt.hu/

E-mail: info@nmzrt.hu

 

Adatvédelmi tisztviselő: Hajasné Dr. Szentmiklósi Rita (e-mail: dpo@nmzrt.hu)

 

  1. AZ ADATKEZELÉS JOGALAPJA

 

  • A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679/EU európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (GDPR),
  • Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.),
  • A nemzeti mobil fizetési rendszerről szóló 2011. évi CC. törvény (),
  • A nemzeti mobil fizetési rendszerről szóló törvény végrehajtásáról szóló 356/2012. (XII. 13.) Korm. rendelet (rendelet),
  • Az egyes közszolgáltatások egységes elektronikus értékesítéséről szóló 2020. évi CXLV. törvény,
  • Az egyes közszolgáltatások egységes elektronikus értékesítéséről szóló törvény végrehajtásáról szóló 667/2020. (XII. 28.) Korm. rendelet,
  • Adatkezeléssel, adatvédelemmel, adatbiztonsággal kapcsolatos belső rendelkezések,
  • Az érintett hozzájárulása.

 

  1. ÉRTELMEZŐ RENDELKEZÉSEK
  • Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy.

 

  • Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

 

  • Személyes adat: az érintettre vonatkozó bármely információ.

 

  • Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.

 

  • Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az Adatfeldolgozóval végrehajtatja.

 

  • Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése.

 

  • Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

 

  • Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel.

 

  • Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.

 

  1. AZ ADATKEZELÉS ALAPELVEI

 

Adatkezelő az adatkezelési tevékenysége során az alábbi, GDPR 5. cikke (1)-(2) bekezdések szerinti alapelveknek megfelelően jár el:

 

- Jogszerűség, tisztességes eljárás és átláthatóság elve: Adatkezelő az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi. Ennek értelmében Adatkezelő kizárólag olyan adatot kezel, amely kezelésére jogosult, amelyre megfelelő jogalappal rendelkezik, továbbá Adatkezelő adatkezelése mindenben és mindenkor megfelel a vonatkozó hatályos jogszabályok előírásainak [GDPR 5.  cikk (1) bekezdés a) pont].

 

- Célhoz kötöttség elve: Adatkezelő a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon [GDPR 5. cikk (1) bekezdés b) pont].

 

- Adattakarékosság elve: Adatkezelő az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi. Ennek megfelelően Adatkezelő nem gyűjt és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges [GDPR 5. cikk (1) bekezdés c) pont].

 

- Pontosság elve: Adatkezelő adatkezelése pontos és naprakész.  Adatkezelő minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek [GDPR 5. cikk (1) bekezdés d) pont].

 

- Korlátozott tárolhatóság elve: Adatkezelő a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre [GDPR 5. cikk (1) bekezdés e) pont].

 

- Integritás és bizalmas jelleg elve: Adatkezelő megfelelő technikai és szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet [GDPR 5. cikk (1) bekezdés f) pont].

 

- Elszámoltathatóság elve: Adatkezelő felelős a fentiekben részletezett alapelveknek való megfelelésért, és igazolni tudja mindezt. Ennek értelmében Adatkezelő gondoskodik a vonatkozó, hatályos jogszabályokban foglaltak folyamatos érvényesüléséről, az adatkezelésének folyamatos felülvizsgálatáról és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről [GDPR 5. cikk (2) bekezdés].

 

Személyes adatokat az Adatkezelő kizárólag egyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.

 

Az Adatkezelő csak olyan személyes adatokat kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas. Az adatkezelés csak a cél megvalósulásához szükséges mértékű lehet és ideig tarthat.

 

Kötelező adatkezelés esetén az adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény határozza meg. A törvény közérdekből elrendelheti a személyes adat nyilvánosságra hozatalát.

 

  1. AZ ADATOKHOZ VALÓ HOZZÁFÉRÉS ÉS AZ ADATBIZTONSÁGI INTÉZKEDÉSEK

 

6.1. Az adatokhoz való hozzáférés és az adattovábbítás

 

A személyes adatokhoz kizárólag az Adatkezelő, illetve az Adatkezelő által megbízott adatfeldolgozók férhetnek hozzá. Az érintett hozzájárulásán alapuló adatkezelés esetén ez kibővülhet az érintett által meghatározott szervekkel, személyekkel.

 

Adatkezelő kizárólag jogszabályban meghatározott módon és célból adja át az általa kezelt személyes adatokat más szervek, személyek részére. Így például ha a rendőrség megkeresi az Adatkezelőt, és az eljáráshoz az adott személyes adatok továbbítását kéri.

 

Adatkezelő megbízásából vagy rendelkezése alapján az alábbi Adatfeldolgozók kezelnek személyes adatokat:

 

Adatfeldolgozó megnevezése

Adatfeldolgozó címe

Adatfeldolgozó által végzett tevékenység

NISZ Nemzeti Infokommunikációs Szolgáltató Zártkörűen Működő Részvénytársaság

székhely: 1081 Budapest, Csokonai u. 3.;
cégjegyzékszám: Cg. 01-10-041633

Adatkezelő által kezelt személyes adatok tárolása, az adatkezelő weboldalának működtetése.

Nemzeti Útdíjfizetési Szolgáltató Zártkörűen Működő Részvénytársaság

székhely: 1134 Budapest, Váci út 45. B épület

cégjegyzékszám: Cg: 01 10 043108

Call Center (telefonos ügyfélszolgálat) üzemeltetése

 

6.2. Adatbiztonsági intézkedések

 

Adatkezelő megfelelő informatikai, technikai és szervezési intézkedésekkel gondoskodik arról, hogy az általa kezelt személyes adatokat védje. Adatkezelő az adatkezelés során arra alkalmas műszaki – így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító – intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát.

 

Adatkezelő az általa kezelt adatokat legfeljebb az adott eljárásra vonatkozó törvény által meghatározott ideig, illetve az érintett hozzájárulása esetén a konkrét adatkezelésre vonatkozó adatkezelési tájékoztatóban rögzített ideig kezeli.

 

  1. AZ ÉRINTETTEK JOGAI

 

Az érintett jogosult arra, hogy az Adatkezelő és az annak megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatai vonatkozásában:

 

  1. az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon (előzetes tájékozódáshoz való jog),
  2. kérelmére személyes adatait és az azok kezelésével összefüggő információkat az Adatkezelő a rendelkezésére bocsássa (hozzáféréshez való jog),
  3. kérelmére személyes adatait az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben meghatározott esetekben az Adatkezelő helyesbítse, illetve kiegészítse (helyesbítéshez való jog),
  4. kérelmére, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben meghatározott esetekben személyes adatai kezelését az Adatkezelő korlátozza (az adatkezelés korlátozásához való jog),
  5. kérelmére, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben meghatározott további esetekben személyes adatait az Adatkezelő törölje (törléshez való jog).

 

Az érintetti jogok érvényesülését, az érintettek ezen jogok gyakorlása iránti kérelmeit az Adatkezelő jogszabályi előírásokban foglaltak szerint biztosítja, illetve teljesíti.

 

Az adatkezeléssel érintett személy az adatkezelést megelőzően az Adatkezelőknél tájékozódhat adatkezeléssel összefüggő tényekről. Az érintett kérelmére az Adatkezelő tájékoztatja arról, hogy személyes adatait maga az Adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e. A tájékoztatáskéréshez (hozzáféréshez) való jog alapján az adatkezeléssel érintett személy megismerheti, hogy személyes adatainak kezelése folyamatban van-e és jogosult arra, hogy a rá vonatkozóan kezelt adatok kapcsán tájékoztatást kapjon arról, miszerint

  • az Adatkezelő mely adatait kezeli,
  • adatait az Adatkezelő milyen célból kezeli,
  • adatai kezelésére az Adatkezelőt mi jogosítja fel,
  • az Adatkezelő mikortól és meddig kezeli az adatait,
  • a kezelt személyes adatoknak kik a címzettjei, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják,
  • melyek az adatkezeléssel kapcsolatos érintetti jogai,
  • milyen jogorvoslati lehetőséggel rendelkezik.

 

Az adatkezeléssel érintett személy kérheti, hogy az Adatkezelő helyesbítse, illetve egészítse ki személyes adatait. A helyesbítéshez való jog érvényesítése esetén az érintettnek az általa szolgáltatott további személyes adatok valóságát alá kell támasztania és igazolnia kell azt is, hogy valóban az arra jogosult személy kéri az adat módosítását vagy kiegészítését.

 

Az Adatkezelő a kérés hitelességének megerősítését követően, indokolatlan késedelem nélkül helyesbíti a pontatlan személyes adatokat, illetve – ha az adatkezelés céljával összeegyeztethető – kiegészíti a hiányos személyes adatokat.

 

Az adatkezeléssel érintett személy adatkezelés korlátozásához való joga akkor érvényesíthető, ha

  • az adatkezeléssel érintett vitatja a kezelt személyes adatok pontosságát, de ez kétségtelenül nem állapítható meg,
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, felhasználásuk korlátozását kéri,
  • az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az adatkezeléssel érintett személy igényli az adatok kezelését jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez,
  • az adatkezeléssel érintett személy jogszerűen tiltakozott az adatkezelés ellen, és kérdéses, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogi indokaival szemben.

 

Amennyiben az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

 

Az Adatkezelő az adatkezelési korlátozás megszüntetéséről előzetesen tájékoztatja az adatkezeléssel érintett személyt, ha a korlátozás kérésére történt.

 

A törléshez való jog érvényesítése esetén az Adatkezelő köteles arra, hogy az adatkezeléssel érintett személyre vonatkozó adatokat – az Európai Unió jogi aktusában, illetve törvényben meghatározott esetek kivételével – indokolatlan késedelem nélkül törölje, ha

  • az adatkezelés jogellenes,
  • a személyes adatokra már nincs szükség abból a célból, amiért kezelték,
  • ha az adatkezeléssel érintett hozzájárulásán alapult az adatok kezelése és azt visszavonta, vagy személyes adatainak törlését kérelmezi, és más jogalap az adatok további kezelését nem teszi jogszerűvé,
  • jogszerűen tiltakozott személyes adatai kezelése ellen, és nincs elsőbbséget élvező ok az Adatkezelő általi személyes adatkezeléshez,
  • az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) vagy a bíróság elrendelte,
  • az adatkezelés korlátozásának ideje – a vitatott adatok pontosságának ellenőrzésére előírtak kivételével – eltelt.

 

Az adatkezeléssel érintett személy által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet az Adatkezelő a legrövidebb idő alatt, de legfeljebb 25 napon belül elbírálja, és az adatkezeléssel érintett személyt írásban – amennyiben kérelmét elektronikus úton nyújtotta be úgy elektronikus úton – értesíti.

 

Az Adatkezelő az adatkezeléssel érintett személyt megillető jogosultságok érvényesülésével kapcsolatban meghatározott feladatait – a GDPR-ban, illetve törvényben meghatározott kivételektől eltekintve – ingyenesen látja el.

 

  1. JOGÉRVÉNYESÍTÉSI LEHETŐSÉGEK

 

Ha az érintett úgy ítéli meg, hogy Az Adatkezelő a személyes adatainak kezelése során megsértette a hatályos adatvédelmi követelményeket, akkor

 

  • a Nemzeti Adatvédelmi és Információszabadság Hatóság (1055 Budapest, Falk Miksa utca 9-11., postacím: 1363 Budapest, Pf.: 9.; e-mail: ugyfelszolgalat@naih.hu, honlap: naih.hu) vizsgálatát kezdeményezheti az Adatkezelő intézkedése jogszerűségének vizsgálata céljából, vagy
  • lehetősége van adatainak védelme érdekében bírósághoz fordulni. Ebben az esetben szabadon eldöntheti, hogy a lakóhelye (állandó lakcím) vagy a tartózkodási helye (ideiglenes lakcím) szerint törvényszéknél nyújtja-e be keresetét. A lakóhely vagy tartózkodási hely szerinti törvényszékek listája a http://birosag.hu/birosag-kereso oldalon található meg.

 

Adatkezelő fenntartja magának a jogot, hogy az adatkezelési tájékoztatóját a mindenkor hatályos jogszabályi előírásoknak megfelelően módosítsa, ez esetben a módosított adatkezelési tájékoztatót a honlapon közzéteszi.

 

Hatályos: 2023. december 06. napjától


 

PRIVACY POLICY

1. INTRODUCTION

The National Mobile Payment Plc. (hereinafter: Data Controller) acknowledges the content of this legal notice as binding upon itself. In its operations, the Data Controller places special emphasis on the protection of personal data, compliance with mandatory Hungarian and European legal regulations, and the secure and fair processing of data. The Data Controller takes all necessary security, technical, and organizational measures to ensure the safety of the data. Below, the Data Controller outlines its data processing practices:

2. DESIGNATION OF THE DATA CONTROLLER

Data controller: National Mobile Payment Plc.
Registered office: 6-12 Kapás Str., 1027 Budapest
Tax number: 24151667-2-44
Company registry number: Cg. 01 10 047569
Phone: +36 (1) 800 8070
Homepage: https://nmzrt.hu/
E-mail: info@nmzrt.hu

Data Protection Officer: Hajasné Dr. Szentmiklósi Rita (e-mail: dpo@nmzrt.hu)

3. THE LEGAL BASIS FOR DATA PROCESSING

  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation - GDPR)
  • Act CXII of 2011 on the right to informational self-determination and freedom of information (Info Act)
  • Act CC of 2011 on the national mobile payment system (Nmfrtv.)
  • Government Decree 356/2012 (XII. 13.) on the implementation of the Act on the national mobile payment system (Gov. decree)
  • Act CXLV of 2020 on the unified electronic sales of certain public services
  • Government Decree 667/2020 (XII. 28.) on the implementation of the Act on the unified electronic sales of certain public services
  • Internal provisions related to data processing, data protection, and data security
  • The consent of the data subject

4. DEFINITIONS

  • Data Subject: Any natural person who can be identified, directly or indirectly, based on any information.
  • Identifiable Natural Person: A natural person who can be identified, directly or indirectly, especially by an identifier such as a name, identification number, location data, online identifier, or one or more factors related to the physical, physiological, genetic, mental, economic, cultural, or social identity of that person.
  • Personal Data: Any information related to the data subject.
  • Consent: The voluntary, explicit, and informed expression of the data subject’s will, through a statement or other unambiguous conduct, indicating agreement to the processing of their personal data.
  • Data Controller: The natural or legal person, or organization without legal personality, who or which – within the framework defined by law or by a binding act of the European Union – alone or jointly with others determines the purpose of the data processing, makes and executes decisions regarding the processing of data (including the tools used), or ensures its execution by the Data Processor.
  • Data Processing: Any operation or set of operations performed on data, regardless of the applied procedure, including the collection, recording, organization, storage, alteration, use, retrieval, transmission, disclosure, alignment or combination, blocking, deletion, and destruction of data, as well as the prevention of further use of the data, taking photographs, recordings of sound or images, and the recording of physical characteristics that can identify the person.
  • Data Transfer: The provision of data to a specific third party to make it accessible.
  • Data Processor: The natural or legal person, or organization without legal personality, who or which – within the framework and conditions defined by law or by a binding act of the European Union – processes personal data on behalf of the Data Controller, based on the controller's instructions or directives.
  • Data Processing: The totality of data processing operations carried out by the Data Processor based on the Data Controller's instructions or directives.

5. PRINCIPLES OF DATA PROCESSING

The Data Controller shall act in accordance with the following principles, as outlined in Articles 5(1)-(2) of the GDPR, during its data processing activities:

  • Lawfulness, Fairness, and Transparency Principle: The Data Controller processes personal data lawfully and fairly, and in a transparent manner to the data subject. Accordingly, the Data Controller only processes data that it is authorized to process, for which it has a legal basis, and ensures that its data processing activities comply with the applicable laws and regulations at all times and in all circumstances [GDPR Article 5(1)(a)].
  • Purpose Limitation Principle: The Data Controller collects personal data only for specified, explicit, and legitimate purposes and does not process them in a manner incompatible with those purposes [GDPR Article 5(1)(b)].
  • Data Minimization Principle: The Data Controller ensures that the data processing is adequate, relevant, and limited to what is necessary for the purposes for which they are processed. Accordingly, the Data Controller does not collect or store more data than is strictly necessary for achieving the purpose of the data processing [GDPR Article 5(1)(c)].
  • Accuracy Principle: The Data Controller ensures that the data processing is accurate and up to date. The Data Controller takes all reasonable steps to ensure that personal data that are inaccurate are erased or rectified without delay [GDPR Article 5(1)(d)].
  • Storage Limitation Principle: The Data Controller stores personal data in a form that allows identification of data subjects only for as long as necessary for the purposes of processing, taking into account the retention periods prescribed by applicable laws [GDPR Article 5(1)(e)].
  • Integrity and Confidentiality Principle: The Data Controller ensures the appropriate security of personal data through the application of appropriate technical and organizational measures, including protection against unauthorized or unlawful processing, accidental loss, destruction, or damage to personal data [GDPR Article 5(1)(f)].
  • Accountability Principle: The Data Controller is responsible for complying with the principles outlined above and can demonstrate compliance. Accordingly, the Data Controller ensures the continuous application of the relevant provisions of applicable laws, the ongoing review of its data processing activities, and, if necessary, the modification or supplementation of data processing procedures [GDPR Article 5(2)].


The Data Controller processes personal data solely for a clearly defined, lawful purpose, for the exercise of rights and the fulfillment of obligations. The data processing must comply with this purpose at every stage.

The Data Controller only processes personal data that is essential for achieving the purpose of the processing and that is suitable for achieving that purpose. The data processing can only be to the extent necessary for the realization of the purpose and may last only as long as necessary.

In the case of mandatory data processing, the types of data, the purpose and conditions of the data processing, the accessibility of the data, and the duration of the data processing or the necessity of periodic review are determined by the law ordering the data processing. The law may mandate the disclosure of personal data for public interest reasons.

6. ACCESS TO DATA AND DATA SECURITY MEASURES

6.1. Access to Data and Data Transfer

Access to personal data is granted exclusively to the Data Controller and the Data Processors authorized by the Data Controller. In the case of data processing based on the consent of the data subject, this may be extended to the authorities or individuals designated by the data subject.

The Data Controller only transfers the personal data it processes to other authorities or individuals in the manner and for the purposes specified by law. For example, if the police contact the Data Controller and request the transfer of certain personal data for an investigation.

Personal data is processed by the following Data Processors on behalf of the Data Controller or based on their instructions:

Data Processor designation Data Processor Address Activities by Data Processor
NISZ National Infocommunications Plc. Registered office: 3 Csokonai Str.,
company registry number: Cg. 01-10-04163
The storage of personal data processed by the Data Controller, the operation of the Data Controller's website.
National Toll Payment Services Plc. Registered office: Building „B”45 Váci Str., 1134 Budapest,
company registry number Cg: 01 10 043108
Operation of the Call Center (telephone customer service)

 6.2. Data security measures

The Data Controller ensures the protection of the personal data it processes through appropriate informational, technical, and organizational measures. The Data Controller applies technical measures designed to protect personal data against unauthorized or unlawful processing, accidental loss, destruction, or damage, ensuring the appropriate security of the personal data.

The Data Controller processes the data it manages for no longer than the period defined by the applicable law for the specific procedure, or, in the case of consent from the data subject, for the duration specified in the data processing notice related to the specific processing.

7. THE RIGHTS OF DATA SUBJECTS

The data subject has the right to:
in relation to their personal data processed by the Data Controller and the Data Processor acting on its behalf or instructions:

a. The data subject has the right to be informed about the facts related to the data processing before the processing begins (right to prior information),
b. Upon request, the Data Controller shall provide the data subject with access to their personal data and related information (right of access),
c. Upon request, the Data Controller shall correct or supplement the personal data as specified in the 2011 CXII Act on informational self-determination and freedom of information (right to rectification),
d. Upon request, and in the cases specified in the 2011 CXII Act, the Data Controller shall restrict the processing of personal data (right to restriction of processing),
e. Upon request, and in the further cases specified in the 2011 CXII Act, the Data Controller shall erase personal data (right to erasure).

The Data Controller ensures and fulfills the exercise of the data subject’s rights and requests regarding the exercise of these rights in accordance with the legal provisions.

Before the data processing, the data subject can inquire about the facts related to the data processing at the Data Controllers. Upon request, the Data Controller shall inform the data subject whether their personal data is being processed by the Data Controller itself, or by a Data Processor acting on its behalf or instructions. Under the right to request information (right of access), the data subject may learn whether their personal data is being processed and is entitled to receive information about the data being processed concerning them.

  • Which data is processed by the Data Controller,
  • For what purpose the Data Controller processes the data,
  • What legal basis authorizes the Data Controller to process the data,
  • From when and until when the Data Controller processes the data,
  • Who the recipients of the processed personal data are, with whom or which the personal data has been or will be shared,
  • What the data subject's rights are related to data processing,
  • What legal remedies are available to the data subject.

The individual concerned may request the Data Controller to correct or supplement their personal data. In the event of exercising the right to rectification, the data subject must substantiate the accuracy of any additional personal data provided and prove that the request for modification or supplementation is made by the person entitled to do so.

The Data Controller, following the verification of the request's authenticity, will correct any inaccurate personal data without undue delay and, if compatible with the purpose of the data processing, will supplement any incomplete personal data.

The data subject's right to restrict processing of personal data can be exercised in the following situations:

  • The data subject disputes the accuracy of the personal data being processed, but its accuracy cannot be definitively determined.
  • The processing is unlawful, and the data subject opposes the deletion of the data and requests its processing to be restricted instead.
  • The Data Controller no longer needs the personal data for the purposes of processing, but the data subject requires the data for the establishment, exercise, or defense of legal claims.
  • The data subject has lawfully objected to the processing, and it is uncertain whether the Data Controller’s legitimate grounds override the data subject’s legal grounds.

If the processing of personal data is restricted, the data can only be processed, except for storage, with the consent of the data subject, or for the establishment, exercise, or defense of legal claims, or to protect the rights of another natural or legal person, or for important public interest purposes within the Union or a Member State.

The Data Controller will inform the data subject in advance about the lifting of the restriction if the restriction was imposed upon the request of the data subject.

In the case of the right to erasure, the Data Controller is obliged to delete the personal data relating to the data subject without undue delay, unless otherwise stipulated by legal acts of the European Union or national laws, if:

  • The processing of the data is unlawful,
  • The personal data is no longer necessary for the purpose for which it was collected,
  • The processing of the data was based on the data subject's consent, and the data subject withdraws their consent or requests the deletion of their personal data, and no other legal basis justifies the further processing of the data,
  • The data subject has lawfully objected to the processing of their personal data, and there are no overriding legitimate grounds for the processing by the Data Controller,
  • The deletion of the data has been ordered by a legal act, by the European Union, or by the National Authority for Data Protection and Freedom of Information (NAIH), or by a court,
  • The period for the restriction of data processing has elapsed, except for cases where the accuracy of the disputed data needs to be verified.

The Data Controller will assess any request submitted by the data subject to exercise their rights as promptly as possible, but no later than within 25 days. The data subject will be notified in writing, or if the request was submitted electronically, the response will be sent electronically.

In regard to the exercise of the data subject's rights, the Data Controller will perform its duties free of charge, unless exceptions are specified in the GDPR or other relevant laws.


8. LEGAL REMEDY OPTIONS

If the data subject considers that the data controller has violated applicable data protection requirements in the processing of their personal data, then:

  • The data subject may initiate an investigation by the National Authority for Data Protection and Freedom of Information (NAIH) (Address: 1055 Budapest, Falk Miksa utca 9-11., postal address: 1363 Budapest, Pf.: 9.; Email: ugyfelszolgalat@naih.hu, Website: www.naih.hu) to examine the legality of the data controller's actions, or
  • The data subject has the option to turn to the courts for the protection of their personal data. In this case, they can freely choose whether to file the lawsuit at the court of their place of residence (permanent address) or their place of stay (temporary address). A list of courts according to residence or place of stay is available at the following link: http://birosag.hu/birosag-kereso.

The Data Controller reserves the right to amend this privacy policy in accordance with the applicable legal requirements. In such cases, the modified privacy policy will be published on the website.

Effective: from December 6, 2023.