A SimplePay ZRT. FIZETÉSI MŰVELETEK ELFOGADÁSA PÉNZFORGALMI SZOLGÁLTATÁS KERETÉBEN VÉGZETT KÁRTYAELFOGADÁSSAL ÉS QVIK SZOLGÁLTATÁSSAL KAPCSOLATOS TEVÉKENYSÉGÉRE VONATKOZÓ ADATKEZELÉSI TÁJÉKOZTATÓJA
Jelen Adatkezelési Tájékoztató a SimplePay Zrt. fizetési műveletek elfogadása pénzforgalmi szolgáltatás keretében végzett kártyaelfogadói ÁSZF-jének és a fizetési műveletek elfogadása pénzforgalmi szolgáltatás keretében végzett egységes adatbeviteli megoldásokon alapuló fizetési (azonnali átutalás) megoldásra vonatkozó qvik ÁSZF-jének mellékletét képezi, és a kártyaelfogadói és a qvik Szolgáltatás során végzett adatkezelés feltételeit tartalmazza.
1. Az adatkezelő adatai és elérhetőségei
SimplePay Zártkörűen Működő Részvénytársaság
Rövidített név: SimplePay Zrt.
Cégjegyzékszám: 01-10-143303
Nyilvántartja: Fővárosi Törvényszék Cégbírósága
Székhelye: 1138 Budapest, Váci út 135-139. B. ép. 5. em.
Postacíme: 1138 Budapest, Váci út 135-139. B. ép. 5. em.
Adószáma: 32835155-2-44
Képviseli: Bese Péter vezérigazgató Tevékenységi engedély száma: H-EN-I-21/2023.
Tevékenységi engedély dátuma: 2023. február 22.
E-mail címe: dpo@simplepay.com
Honlap: http://www.simplepay.hu
A továbbiakban: SimplePay vagy adatkezelő
2. Az adatkezelő adatvédelmi tisztviselője
Sári Zsombor Elérhetőségei:
a) SimplePay székhelyén (1138 Budapest, Váci út 135-139. B. ép. 5. em.)
b) e-mail címe: dpo@simplepay.com
c) postacíme: 1138 Budapest, Váci út 135-139. B. ép. 5. em.
3. Az adatkezelés feltételei
Az SimplePay az alábbi természetes személyek alábbi adatait kezeli az alábbi célra, jogalapon és időtartamban:
|
Érintetti kör |
Kezelt adatok köre |
Adatkezelési cél |
Adatkezelés jogalapja |
Adatkezelés időtartama |
|
Kereskedők esetében: egyéni vállalkozó, egyéni cég, őstermelő, áfás magánszemély, egyéni ügyvéd, közjegyző, önálló praxisjoggal rendelkező orvos, társaság képviselője(i), társaság nyilatkozattevője(i), társaság tényleges tulajdonosa(i), társaság nevében aláírásra jogosult(ak), társaság nevében meghatalmazottja(i) és azok tanúi, társaság kapcsolattartó(i), kézbesítési megbízott |
Név, lakcím, e-mail cím, telefonszám, beosztás (minőség), aláírás, éves fizetési forgalom, Tevékenységi kör (MCC besorolás), Elfogadóhely e-mail címe, Kereskedői azonosító |
A Szerződés megkötésének előkészítése, a szerződés teljesítése |
Jogi személy kapcsolattartó, képviselő, tényleges tulajdonos, aláírásra jogosult, meghatalmazott, tanú esetén: GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek
Egyéni vállalkozó, őstermelő, egyéni ügyvéd, áfás magánszemély esetén: GDPR 6. cikk (1) bekezdés b) pontja: szerződés létrehozatala és teljesítése
GDPR 6. cikk (1) bek. c) pont: jogi kötelezettség teljesítése - az adózási kötelezettség teljesítéséhez szükséges adatok esetén az adózás rendjéről szóló 2017. évi CL. törvény („Art.”) 78. § (3), 202. § (1), számviteli kötelezettség teljesítéséhez szükséges iratok esetén a számvitelről szóló 2000. évi C. törvény („Sztv.”) 168- 169. §. |
Ha az adatok az adózási kötelezettség teljesítéséhez szükséges iratokban szerepelnek, annak a naptári évnek az utolsó napjától számított 5 évig kerülnek tárolásra és megőrzésre, amelyben az adóról bevallást, adatbejelentést, bejelentést kellett volna tenni, illetve bevallás, adatbejelentés, bejelentés hiányában az adót meg kellett volna fizetni.
Ha az adatok a szerződött kereskedővel kötött szerződésben szerepelnek, a számviteli kötelezettség teljesítéséhez a szerződés megszűnésétől számított 8 évig kerülnek megőrzésre és tárolásra az adatok.
Egyéb esetben a kereskedővel kötött szerződés megszűnését követő 5 évig őrzendők az adatok (általános polgári jogi elévülési idő). |
|
Név, lakcím, e-mail cím, telefonszám, beosztás (minőség) |
A Szerződésből eredő jogok, követelések érvényesítése, jogi igények előterjesztése |
GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek |
Szerződés megszűnésétől számított 5 éves általános elévülési idő. |
|
|
Név, e-mail cím, telefonszám, beosztás |
Kapcsolattartás |
GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek |
A szerződés megszűnéséig |
|
|
családi és utónév, születési család és utónév, születési hely és idő, anyja születési neve, személyazonosító okmány típusa és |
Személy- és ügyfélazonosítás, ügyfél- átvilágítás, ügyfél |
GDPR 6. cikk (1) bekezdés c) pontja: jogi kötelezettség teljesítése: a pénzmosás és terrorizmus |
A szerződés megszűnésétől számított 8 év (Pmt. 56. § (2) bekezdése) |
|
|
száma, lakcím vagy tartózkodási hely, lakcímkártya száma, állampolgárság, tulajdonosi érdekeltség jellege és mértéke, kiemelt közszereplői minőség, pénzeszköz és vagyon forrása, adószám, főtevékenység, nyilvántartási szám, aláírás, adatok rögzítésének időpontja, az a tény, hogy a hatóság, bíróság, ügyészség, felügyeleti hatóság vagy az adatkezelő jelzést nyújtott be a tényleges tulajdonosi nyilvántartásban szereplő adatoktól való eltérésre
Pénzeszköz és vagyon forrása körében kezelt adatok köre:
· legalább hárommillió forint értékben, a meghatározott vagyoneszköz- csoportoknál külön-külön megjelölve az ügyfél által becsült érték szerinti összértéknek megfelelő nagyságrendi kategóriákat): · Ingatlantulajdon (résztulajdon is) · Gépjármű · Egyéb nagy értékű ingóság · Immateriális és vagyoni értékű javak, így különösen szellemi termékek felhasználási joga, bérleti jog · Pénzintézeti számlakövetelés, értékpapír, más pénzeszköz, virtuális fizetőeszköz · Készpénz · Gazdasági társaságban fennálló tulajdoni részesedés becsült piaci értéke · Nyilatkozat a tartozásokról · Nyilatkozat a jövedelemről · A nyilatkozatot tevő, képviseletre jogosult személy neve és beosztása |
azonosításához bemutatott okmányokról másolat készítése |
finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. tv. (Pmt.) 7. – 10. §-a, 16. – 16/A. §-a, a 2021. évi XLIII. tv. (Afad tv.) 4. § (1) bekezdése, 8. § (3) bekezdése, 13. §-a, 21. § (3) bekezdése a tényleges tulajdonosi nyilvántartásból történő ellenőrzéshez és hozzáféréshez, valamint az eltérések bejelentéséhez, továbbá a 21/2017 (VIII. 3.) NGM rendelet 6/A. §-a és 3. melléklete |
A szerződés megszűnésétől számított 10 év (Pmt. 58. § (1) bekezdése) |
|
|
(jogi személy vagy jogi személyiséggel nem rendelkező szervezet esetén.) |
|
|
|
|
Tényleges tulajdonos kiemelt közszereplő, kiemelt közszereplő közeli hozzátartozója vagy kiemelt közszereplővel közeli kapcsolatban álló személy esetében: kiemelt közszereplőnek, kiemelt közszereplő közeli hozzátartozójának, vagy kiemelt közszereplővel közeli kapcsolatban álló személynek minősül-e? Amennyiben igen, akkor a Pmt. mely pontja alapján minősül kiemelt közszereplőnek. |
A tényleges tulajdonos kiemelt közszereplői, kiemelt közszereplő közeli hozzátartozója, vagy kiemelt közszereplővel közeli kapcsolatban álló személy minőségének feltárása, nyilatkozat felvétele |
GDPR 6. cikk (1) bekezdés c) pont szerinti jogi kötelezettség, amit a Pmt. 8. – 9/A. §-a ír elő. |
A Pmt. 56 §. (1)-(2) bekezdés és az 57. § (1) – (2) bekezdése alapján 8 év |
|
|
Név, e-mail cím |
A Kereskedőnek kijelölt kapcsolattartója útján a webáruházával kapcsolatosan edukációs, tájékoztatási anyagok küldése, amelyekhez elektronikus direkt marketing tartalmak, így ajánlatok, promóciók, reklámtartalmak is csatolásra kerülnek. |
GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás |
A hozzájárulás visszavonásáig |
|
|
Név, e-mail cím |
IT körlevél küldése |
GDPR 6. cikk (1) bek f) pontja: Jogos érdek, amely az alábbi: az SimplePay és a Kereskedő jogos üzleti érdeke, hogy a vPOS kártyaelfogadási rendszer és a Kereskedő IT rendszere a szerződésnek megfelelően összekötésre kerüljön, és azon az éles tranzakciók elindulhassanak, és ehhez a Kereskedő IT szakemberei naprakész műszaki információkat kapjanak. Ezen túlmenően a szerződés időtartama alatt a Kereskedő és az SimplePay közös jogos üzleti érdeke az is, hogy a Kereskedő valamennyi műszaki jellegű változásról értesüljön |
A kereskedői szerződés megszűnéséig |
|
|
|
|
és annak megfelelően tudja saját rendszereit módosítani. |
|
|
Név, e-mail cím |
Kereskedők által megjelölt kapcsolattartón keresztül a Kereskedők tájékoztatása a webáruházzal kapcsolatos jogi, adózási és szakmai információkról, Kereskedők oktatása, jogszerű és hatékony webáruház működtetés elősegítése |
GDPR 6. cikk (1) bek f) pontja: Jogos érdek, amely az alábbi: az SimplePay és a Kereskedő jogos üzleti érdeke, hogy a vPOS kártyaelfogadási szolgáltatásra szerződött kereskedők és webáruházai jogszerűen, szakmailag professzionálisan működjenek, és ezt az SimplePay elősegítse információk rendelkezésre bocsátásával jogi, marketing szakmai, adózási, számviteli, logisztikai és egyéb szakmai/műszaki kérdésekben, és így megvalósuljon a kereskedők edukációja, amellyel biztonságosabb, fogyasztóbarátabb webáruházi működés érhető el. |
A Kereskedői szerződés megszűnéséig |
|
|
Kártyabirtokos, Fizető fél, áruátvevő (internetes, telefonos és postai (MOTO) rendeléshez kapcsolódó kártyás vásárlás esetén) |
Kártyabirtokos neve (POS, SoftPOS esetén nem kerül kezelésre, vPOS és MOTO esetén kezelésre kerül) Kártya száma Kártya lejárati dátuma Service code Kártya CVV/CVC2 kódja Kártya mágnescsík és chipen tárolt adatai Kártya PIN és PIN blokk Kártyabirtokos e-mail címe (POS esetén nem kerül kezelésre) Qvik Szolgáltatásba tartozó azonnali átutalás esetén: Fizető fél (bankszámlatulajdonos) bankszámlaszáma és neve. |
Kártyás fizetés lebonyolítása, értesítés küldése a tranzakció sikerességéről |
GDPR 6. cikk (1) bekezdés f) pontja: az SimplePay és a Kereskedő jogos érdeke |
Ha az adatok az adózási kötelezettség teljesítéséhez szükséges iratokban szerepelnek, annak a naptári évnek az utolsó napjától számított 5 évig kerülnek tárolásra és megőrzésre, amelyben az adóról bevallást, adatbejelentést, bejelentést kellett volna tenni, illetve bevallás, adatbejelentés, bejelentés hiányában az adót meg kellett volna fizetni.
Ha az adatok a számviteli kötelezettség teljesítéséhez szükségesek, akkor 8 évig kerülnek megőrzésre és tárolásra. |
|
|
|
|
|
Egyéb esetben 5 évig őrzendők az adatok (általános polgári jogi elévülési idő).
Kártya CVV/CVC2 kódja, Kártya mágnescsík és chipen tárolt adatai, Kártya PIN és PIN blokk adattárolási ideje: a fizetési tranzakció befejezéséig. |
|
Internetes, vPOS kártyás fizetés során a tranzakció végrehajtásához közvetlenül nem szükséges bekért egyéb adatok: - kibocsátó bank, - kártyatípus, - kártyabirtokos neve, e-mail címe, IP címe, telefonszáma (MOTO és mobilegyenleg feltöltés esetén is kezelésre kerül), - termékre vonatkozó adatok, - termék szállítására, vételár számlázására vonatkozó adatok, - tranzakció időpontja, dátuma, azonosítója, értéke.
A vásárló online vásárlás során használt böngészőjéből gyűjtött adatok: - Accept http fejléc értéke, amely az a formátum, ami a http kérés törzsében megjelenik - használt böngésző és operációs rendszer neve és verziószáma, alapértelmezett nyelve - a böngésző forrás IP címe - a böngésző tud-e java kódot futtatni - a böngésző nyelve; - a böngésző színmélysége; |
Csalás megelőzés és csalás felderítés, beleértve az erős ügyfélhitelesítést is |
GDPR 6. cikk (1) bekezdés f) pontja: az SimplePay és a Kereskedő jogos érdeke |
5 évig őrzendők az adatok (általános polgári jogi elévülési idő). |
|
|
- a böngésző képernyőjének magassága; - a böngésző képernyőjének szélessége; - a böngésző időzónája.
A vásárló vásárlásának módja a Kereskedőnél: - Vendégként, regisztráció nélkül - Regisztrált vásárlóként - Harmadik feles azonosítóval regisztrált vásárlóként (Google, Facebook, egyéb fiókkal regisztrálva)
Qvik Szolgáltatásba tartozó azonnali átutalás esetén: - a Kereskedő által esetlegesen visszatérített összeg Fizető félnek történő visszatérítését igazoló dokumentum, amely tartalmazza a Fizető félnek visszatérített tranzakciós összeget, a visszatérítés dátumát, illetve a kedvezményezett nevét és számlaszámát - Bankszámla-kivonat, vagy elszámolási bizonylat, melyen egyértelműen látszik az adott vásárlási tranzakció összege - Amennyiben történt sikeres fizetés (akár más fizetési csatornán), az arról szóló igazolás (számla, nyugta) |
|
|
|
|
Ügyfélszolgálatot megkereső személy |
Név Telefonszám e-mail cím levelezési cím rögzített hangfelvétel |
Ügyfélszolgálat, panaszkezelés |
GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség teljesítése: a Fsztv. 70. §-a |
Rögzített hangfelvétel megőrzési ideje: 5 év (Fsztv. 70. § (2) bekezdése) |
|
|
a megkeresésben foglalt egyéb személyes adatok |
|
|
Rögzített panasz és arra adott válasz megőrzési ideje: 5 év (Fsztv. 70. § (3) bekezdése) |
|
Érintett személyek |
Az Adatkezelőhöz érkező adatvédelmi megkeresésekkel összefüggő személyes adatok: az Adatkezelőhöz forduló természetes személyek / jogi személyek vagy egyéb szervezetek esetén a kapcsolattartó személyek kapcsolattartáshoz szükséges adatai (így különösen: név, cím, e-mail cím, telefonszám), a megkeresés tartalma, valamint a megkereséssel kapcsolatban tett lépések és a megkereséssel kapcsolatban készült dokumentumok. Például: ha az érintett e-mailben kéri az összes adata törlését a GDPR alapján, és ezt teljesíti is az Adatkezelő, akkor magát a törlést kérő e- mailt ettől függetlenül megőrzi. |
Az érintett személyek adatvédelmi jogai (részletesen lásd: 8. pont) érvényesítésével kapcsolatos adatkezelés |
GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges).
A jogi kötelezettség: a GDPR 15-22. cikkeiben foglalt érintetti jogok gyakorlásának lehetővé tétele, illetve a megkereséssel kapcsolatban tett egyéb lépések dokumentálása. |
Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
|
Érintett személyek |
Ha az Adatkezelő valamely adatkezelése az érintett hozzájárulásán alapult, az Adatkezelő az adott hozzájárulást archiválja. Ennek célja, hogy a hozzájárulás jogszerűsége bármikor igazolható legyen. Ha az érintett a hozzájárulását visszavonja, az Adatkezelő a visszavonó nyilatkozatot (és az azzal kapcsolatos kommunikációt) is megőrzi. Ennek célja, hogy az Adatkezelő mindig tisztában legyen azzal, hogy egy érintett visszavonta hozzájárulását egy meghatározott adatkezeléshez. |
Az érintett személyek adatkezeléshez történő hozzájárulásainak, valamint a hozzájáruló nyilatkozat esetleges visszavonásának archiválása |
GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges).
A jogi kötelezettség: a GDPR 7. cikk (1) szerint, ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. |
Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
|
Érintett személyek |
Az érintett személyeknek az adatvédelmi incidenshez kapcsolódó személyes adatai. |
Adatvédelmi incidensek nyilvántartása (ideértve az incidensek kezelésével kapcsolatban tett lépések dokumentálását) |
GDPR 6. cikk (1) c) pontja (az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges).
A jogi kötelezettség: a GDPR 33. cikk (5) alapján az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az |
Adatmegőrzési idő: eltérő adatvédelmi hatósági iránymutatás hiányában határozatlan idő. |
|
|
|
|
adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az adatvédelmi hatóság ellenőrizze a GDPR követelményeinek való megfelelést. |
|
A lakcímkártyán szereplő személyi azonosító számot (személyi számot) az SimplePay nem kezeli és jogszabály alapján nem is kezelheti.
Mivel a szerződés megkötéséhez szükséges személyes adatok szolgáltatása nélkül az SimplePay a szerződéskötést előkészíteni, a szerződést megkötni, illetőleg teljesíteni nem tudja, az Érintett köteles e célok eléréséhez szükséges személyes adatokat az SimplePay részére megadni. Az adatszolgáltatás elmaradása esetén az SimplePay jogosult a szerződéskötést, illetőleg a szerződés teljesítését megtagadni.
Az ügyfélszolgálati, panaszkezelési tevékenységet az SimplePay és az OTP Bank Nyrt. (1051 Budapest, Nádor u. 16.) közötti közös adatkezelési szerződés alapján az SimplePay és az OTP Bank Nyrt. közös adatkezelőként végzi. A GDPR 26. cikk (2) bekezdésének megfelelően ezúton adunk tájékoztatást a közös adatkezelési szerződés lényeges rendelkezéseiről:
- Az SimplePay és az OTP Bank Nyrt. mindegyike maga vezeti a felelősségébe tartozó adatkezelési tevékenységekről az adatvédelmi nyilvántartást, adatvédelmi incidensekről vezetett nyilvántartást, az érintett személyek és felügyeleti hatóságok részéről az adatkezelésekkel kapcsolatban érkezett kérések nyilvántartását, az általuk az adatkezelésekkel kapcsolatban igénybe vett adatfeldolgozók nyilvántartását, valamint az adatkezelésekkel összefüggő adattovábbítások nyilvántartását.
- A hozzájáruló nyilatkozatoknak az adatkezelők által közösen megállapított időtartamban, visszakereshető módon történő megőrzéséről az OTP Bank Nyrt. gondoskodik.
- Az érintettek tájékoztatását akkor, amikor az ügyfélszolgálat telefonos vagy e-mail-en keresztül történő megkeresése történik, beleértve – amennyiben alkalmazható – az érintett hozzájáruló nyilatkozatának megszövegezését is, az OTP Bank Nyrt. végzi. OTP Bank Nyrt. gondoskodik továbbá az adatkezelési hozzájáruló nyilatkozatok beszerzéséről és tárolásáról, őrzéséről, nyilvántartásáról is.
- Az SimplePay saját honlapján elhelyezett jelen adatkezelési tájékoztatójában az ügyfélszolgálati adatok kezelésével kapcsolatos tájékoztatást külön is megteszi.
- Az SimplePay és az OTP Bank Nyrt. mindegyike a közös adatkezelések tekintetében külön- külön megfogalmazott adatkezelési tájékoztatójukat saját maguk külön-külön teszik közzé és juttatják el az érintetteknek.
- Az SimplePay és az OTP Bank Nyrt. a közös adatkezeléssel érintett adatkezelések esetében közösen határozzák meg az adatkezelés célját és fő eszközeit a GDPR 26. cikk (1) bekezdésének megfelelően.
- Az érintett mindegyik közös adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja jogait.
- Az SimplePay és az OTP Bank Nyrt. a hozzájuk beérkezett megkereséseket maguk, önállóan válaszolják meg a közösen elfogadott eljárásrendnek megfelelően.
- Az érintett adatainak helyesbítésére, törlésére, az adatkezelés korlátozására, az érintett adatai kezelése elleni tiltakozására és az adathordozhatóságra vonatkozó kérelmének teljesítése az SimplePay és az OTP Bank Nyrt. részéről önállóan történik.
- A hatósági megkereséseket az SimplePay és az OTP Bank Nyrt. saját maga válaszolja meg azon hatósági megkeresések esetén, amik tevékenységéhez kapcsolódnak.
- Az adatvédelmi incidenst az a közös adatkezelő jelenti be a hatóságnak, amelynek tevékenységét az incidens érinti.
- Az érintetteket az adatvédelmi incidensről az az adatkezelő tájékoztatja, amelynek a tevékenységét az adatvédelmi incidens érintette. Ha az adatvédelmi incidens mindkét adatkezelőt érintette, az incidensről az érintetteket az adatkezelők önállóan, külön-külön tájékoztatják.
- Az OTP Bank Nyrt. adatvédelmi tisztviselője: Gázmár Zoárd, e-mail: adatvedelem@otpbank.hu, cím: 1051 Budapest, Nádor u. 16.
A GDPR 6. cikk (1) bekezdés f) pontja szerinti Jogos érdek megjelölése: a panasztétel, panasz kivizsgálása, elintézése és kezelése körében történő adatkezelés, beleértve a telefonhívások rögzítését is, a vevő (Fizető Fél), az SimplePay és a Kereskedő közös érdeke, mivel ezen adatok kezelése a Honlap használatával, a kártyaelfogadási szolgáltatás igénybevételével, a vásárlási tranzakcióval összefüggő fogyasztóvédelmi, polgári jogi jogai és érdekei érvényesítéséhez szükséges. Ezen személyes adatok kezelése felett a vevő hangfelvételéhez kapcsolódó személyhez fűződő joga nem élvez elsőbbséget, mivel a személyhez fűződő joga nem sérül, hiszen a telefonhívás legelején, még a vevő megszólalása előtt tájékoztatást kap a vevő a hangfelvételes rögzítéséről, és módjában áll eldönteni, hogy ennek ellenére folytatja-e a telefonbeszélgetést vagy megszakítja azt. A telefonos ügyfélszolgálaton kívül az e-mailes ügyfélszolgálat ugyanolyan szolgáltatást és megoldást nyújt, vagyis van választási lehetőség a vevő panaszainak kivizsgálására.
A *-gal jelölt adatok megadása kötelező, anélkül az ügyfélszolgálat nem tudja rögzíteni a panaszt. A fenti jogos érdekeken alapuló adatkezelés ellen az érintett bármikor tiltakozhat.
A fenti jogos érdeken alapuló adatkezeléshez tartozó érdekmérlegelési teszteket az SimplePay kérésre megküldi az érintettnek.
A fenti hozzájáruláson alapuló adatkezelés esetén az érintett bármikor jogosult visszavonni hozzájárulását az SimplePay-nek küldött e-mailben: ugyfelszolgalat@simple.hu és az SimplePay-nek küldött postai levélben, valamint az IT körlevél alján biztosított leiratkozás gombra történő rányomással.
A fenti hozzájárulás megadása nem feltétele a Szerződés megkötésének, a hozzájárulás visszavonása pedig nincs jogi hatással a Szerződés hatályára.
4. Adattovábbítás, adatfeldolgozók
4.1. Adattovábbítás önálló címzettjei
Az SimplePay a fenti személyes adatokat az alábbi önálló adatkezelőknek továbbítja:
a) Nemzetközi kártyatársaságok:
- MasterCard Europe S.P.R.L. (Chaussée de Tervuren 198A B-1410, Waterloo, Belgium)
- Visa Europe Limited (1 Sheldon Square, London W2 6TT United Kingdom) – Az Európai Bizottság GDPR 45. cikk (3) bekezdése alapján 2021. június 28-án hozott megfelelőségi határozata alapján.
b) Könyvvizsgáló: Ernst & Young Könyvvizsgáló Korlátolt Felelősségű Társaság
(HU-1132 Budapest, Váci út 20.; cg.: 01-09-267553) önálló adatkezelő
c) Ügyvédi irodák
d) Az SimplePay az Egységes Adatbeviteli Megoldásokon alapuló fizetési (azonnali átutalásos) megoldás (qvik Szolgáltatás) esetén adattovábbítást végez a GIRO Zrt.-hez (1054 Budapest, Vadász utca 31.; cg.: 01-10-041159) és az Innopay Zrt.-hez (1117 Budapest, Bogdánfy Ödön
utca 6.; cg.: 01-10-141836), amelynek keretében a Kereskedők tranzakciós adatai kerülnek továbbításra.
e) Az SimplePay a qvik Szolgáltatással kapcsolatos reklamáció kezelés során a Kereskedő megbízásából eljárva a Fizető fél számlavezető bankjához továbbítja a reklamációval érintett Fizető fél nevét, e-mail címét és ha van, lakcímét, a vitatott tranzakció adatait és a reklamáció elbírálásának eredményét.
4.2. Adatfeldolgozók
Az SimplePay a fenti érintetti adatok kezelésébe az alábbi adatfeldolgozókat vonja be:
|
Adatfeldolgozó neve |
Adatfeldolgozó által végzett tevékenység |
|
OTP Bank Nyrt. Cg.: 01-10-041585 Székhely: 1051 Budapest, Nádor u.16. |
Fraud monitoring rendszer üzemeltetése Panaszkezelési szoftver és rendszer üzemeltetése Vállalatirányítási rendszer szolgáltatás biztosítása, üzemeltetése Könyvelés Authorizáció és authorizációs szoftver üzemeltetése Compliance feladatok támogatása szolgáltatás nyújtása |
|
Quadron Kibervédelmi Kft. Cg.: 01-09-189206 Székhely: 1051 Budapest, Sas utca 10-12. |
Kiberbiztonsági és kibervédelmi szolgáltatás és tanácsadás Információbiztonsági felelős |
|
nConnect Hungary Kft. Cg.: 13-09-140663 Székhely: 2161 Csomád, Kossuth Lajos utca 79. |
IT biztonsági tanácsadás, etikus hacker szolgáltatás |
|
Remedios Zrt. Cg.: 01-10-046850 Székhely: 063 Budapest, Bajnok utca 13. |
Szerver támogatás és karbantartás |
|
Innovitech Kft. Cg: 01-09-997587 Székhely: 1037 Budapest, Montevideo utca 7. |
Szoftverfejlesztési, ezzel kapcsolatos tanácsadási és az elkészített szoftverekkel kapcsolatos support szolgáltatás |
|
Consroll Kft. Cg.: 12-09-011449 Székhely: Felsőtold, Széchenyi utca 87. |
Belső ellenőrzés |
|
MORTOFF Informatikai Tanácsadó és Szolgáltató Kft. Cg.: 01-09-709291 Székhely: 1138 Budapest, Dunavirág u. 2. I. torony 3. em., |
Adattárházi rendszer fejlesztése és támogatása |
|
Bitnet Group Kft. Cg.: 01-09-190396 Székhely: 1114 Budapest, Bocskai út 11. |
Szoftverfejlesztés, tanácsadás, támogatás |
|
CircleBlue Pay, s.r.o. Cégjegyzékszám: 09247556, Székhely: Mostecká 273/21, Malá Strana, 118 00 Prága 1, Cseh Köztársaság |
SoftPOS Mobilapplikáció és szoftverek biztosítása a SoftPOS fizetés működéséhez, átkapcsolási és tranzakció továbbítási szolgáltatások nyújtása a SoftPOS Szolgáltatásban. |
|
SendGrid, Inc. Székhely: 1801 California Street, Suite 500 Denver, Colorado 80202, USA |
a) hírlevelek kiküldése, hírlevél adatbázisban e-mail címek tárolása |
|
|
b) Levelek, rendszerüzenetek kiküldése, levelezőrendszer adatbázisban e-mail címek tárolása |
5. Érintettek jogai
Az érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozó rendelkezései (így különösen a GDPR 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82. cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve az Adatkezelő ennek megfelelően nyújt tájékoztatást az érintettek részére az adatkezeléssel kapcsolatos jogaikról és jogorvoslati lehetőségeikről.
Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen az érintett joggyakorlással (lásd: GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
5.1 Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy visszajelzést kapjon az Adatkezelőtől arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett arra vonatkozó joga, hogy kérelmezheti a Munkáltatótól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; és
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal (GDPR 22. cikk (1) és (4)) ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
(3) Az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
5.2 A helyesbítéshez való jog
Az érintett jogosult arra, hogy az Adatkezelő az érintett kérésére indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Az érintett jogosult továbbá arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
5.3 A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő gyűjtötte vagy más módon kezelte;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és adott esetben nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatok jogellenesen kerültek kezelésre;
e) a személyes adatokat az Adatkezelőnek az alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; vagy
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a fentebb írtak értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megtesszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges, többek között:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;
c) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5.4 Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelés korlátozásának feloldásáról az Adatkezelő előzetesen tájékoztatja az érintett, akinek kérésére a fentiek alapján korlátozták az adatkezelést.
5.5 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
5.6 Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, ha:
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők (így az Adatkezelő és egyéb adatkezelő) közötti közvetlen továbbítását.
(3) A fentebb írt jog gyakorlása nem sértheti a törléshez való jog („elfeledtetéshez való jog”) vonatkozásában írt rendelkezéseket, továbbá e jog nem érintheti hátrányosan mások jogait és szabadságait.
5.7 A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen. Ebben az esetben a személyes adatokat az Adatkezelő nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség
5.8 A felügyeleti hatóságnál történő panasztételhez való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint az érintettre vonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit. Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (weboldal: http://naih.hu/; cím: 1055 Budapest, Falk Miksa u. 9-11.; postacím: 1363 Budapest, Pf.: 9.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu).
5.9 A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
5.10 Az Adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való
jog
(1) Az érintett a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait.
(2) Az Adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az Adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is. Az ilyen per Magyarországon a törvényszék hatáskörébe tartozik. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A bíróság illetékességéről és elérhetőségeiről az alábbi honlapon tájékozódhat: www.birosag.hu.
6. Mikor és hogyan módosítjuk a jelen adatkezelési tájékoztatót?
Amennyiben a kezelt adatok köre, az adatkezelés többi körülménye változik, a jelen adatkezelési tájékoztatót a GDPR előírásainak megfelelően módosítjuk és közzétesszük a www.simplepay.hu weboldalon. Kérjük, hogy minden esetben gondosan olvassa el az adatkezelési tájékoztató módosításait, mert fontos információkat tartalmaznak személyes adatai kezeléséről.