ADATKEZELÉSI SZABÁLYZAT

A GSMPRO Korlátolt Felelősségű Társaság (székhely: 1115 Budapest, Bartók Béla út 152/H 3. em.; cégjegyzékszám: 01-09-280557; képviseletre jogosult vezető tisztségviselő: Marosi Zoltán ügyvezető; a továbbiakban: Szolgáltató), a Nemzeti Útdíjfizetési Szolgáltató Zártkörűen működő Részvénytársaság (székhely: 1134 Budapest, Váci út 45/B.) útdíjbevallási közreműködője 2018. május 25. napjától a visszavonásig hatályos adatkezelési szabályzata (a továbbiakban: Adatkezelési szabályzat vagy Szabályzat):

I. Értelmező rendelkezések
1. NÚSZ: Nemzeti Útdíjfizetési Szolgáltató Zártkörűen Működő Részvénytársaság (székhely: 1134 Budapest, Váci út 45. B épület; cégjegyzékszám: 01-10-043108) mint az úthasználat ellenértékének megfizetésében közreműködő és azt ellenőrző, közfeladatot ellátó szerv, amely ezen feladatai ellátására alvállalkozókat, így többek között a Szolgáltatót bízza meg.
2. Honlap: a Szolgáltató által üzemeltetett https://www.gsm-pro.hu weboldal. 3. ÁSZF: a Szolgáltató által alkalmazott Általános Szerződési Feltételek, melyek a Honlapon ismerhetők meg.
4. Regisztráció: azon folyamat, melynek során az ÁSZF elfogadásával a Szolgáltató által megkért adatok megadásával az Ügyfél szerződést köt a Szolgáltatóval, így hozzáférést kap a Szolgáltató által nyújtott teljes szolgáltatáshoz.
5. Ügyfél: az a természetes személy, illetve – természetes személy képviselőjén keresztül – az a székhelye szerinti ország, illetve az Európai Unió jogszabályainak megfelelően működő jogi személyiség nélküli vagy jogi személyiséggel rendelkező szervezet, gazdasági társaság, vállalkozás vagy egyéni vállalkozó vagy ennek az adott országbeli megfelelője, aki/amely a Regisztrációt követően jogviszonyba lép a Szolgáltatóval.
6. Szerződés: azon jogviszony, mely az Ügyfél és a Szolgáltató között létrejön, a Szolgáltató által nyújtandó szolgáltatás tárgyában.
7. OBU: on-board unit, az a készülék, mely az Ügyfél használatában álló gépjárműben kerül elhelyezésre az útdíjfizetés, valamint a jármű pozíciójának meghatározása céljából.
8. OBI ID: az OBU készülékhez kapcsolódó egyedi azonosító számsor.
9. Adatkezelő: a Szolgáltató, azaz a GSMPRO Korlátolt Felelősségű Társaság (székhely: 1115 Budapest, Bartók Béla út 152/H 3. em.; cégjegyzékszám: 01-09-280557; képviseletre jogosult vezető tisztségviselő: Marosi Zoltán ügyvezető).
10. Adatfeldolgozó1: a GENERAL MECHATRONICS Korlátolt Felelősségű Társaság (székhely: 1118 Budapest, Nándorfejérvári út 33. fszt. 2.; cégjegyzékszám: 01-09-995410; adószám: 24202770-2-43; önálló képviseletre jogosult vezető tisztségviselője: Kovács Bence ügyvezető) mint a szolgáltatás általános informatikai hátterét biztosító megbízott. 11. Adatfeldolgozó2: a GLI Solutions Korlátolt Felelősségű Társaság (székhely: 1117 Budapest, Szerémi út 7. B. lház. I. em. B103.; cégjegyzékszám: 01-09-173337; adószám: 24356415-2-43; önálló képviseletre jogosult vezető tisztségviselője: Medvig Attila ügyvezető) mint a szolgáltatás térkép-informatikai hátterét biztosító megbízott.
12. Adatfeldolgozók: Adatfeldolgozó1 és Adatfeldolgozó2 együttesen.
13. Ptk.: a Polgári Törvénykönyvről szóló 2013. évi V. törvény.
14. Infotv.: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény.
15. GDPR: az európai parlament és a tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).
16. Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
17. Adatkezelés: személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
18. Érintett személy: az Ügyfél, akinek vagy amely természetes személy képviselőjének személyes adatait az Adatkezelő, illetve az Adatfeldolgozó kezeli.
19. Adatkezelési nyilatkozat: az Érintett személy hozzájárulása az Adatkezeléshez, melyet a Regisztráció során tesz meg.
20. Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

II. Irányadó jogszabályok és az Adatkezelés elvei
1. Az Adatkezelő és az Adatfeldolgozók különösen a Ptk., az Infotv., valamint a GDPR rendelkezései alapján jogosultak a szolgáltatás nyújtása során személyes adatok kezelésére.
2. A Személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az Érintett személy számára átlátható módon kell végezni,
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat az Adatkezelő nem jogosult ezen célokkal össze nem egyeztethető módon kezelni,
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk,
d) pontosnak és szükség esetén naprakésznek kell lenniük; az Adatkezelőnek minden észszerű intézkedést meg kell tennie annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék,
e) tárolásának olyan formában kell történnie, amely az Érintett személyek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé,
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

III. Az Adatfeldolgozó
1. Az Adatkezelő az Adatkezelésre az Adatfeldolgozókat veszi igénybe.
2. Az Adatfeldolgozók az Adatkezelő érdekében vállalnak Adatkezelést, önálló döntést az Adatkezeléssel összefüggésben nem hozhatnak, és kizárólag az Adatkezelő utasításai szerint járhatnak el.
3. Ahol a jelen Szabályzat az Adatkezelőre nézve tartalmaz előírást, ott ezen előírást az Adatfeldolgozóra nézve is kötelező erejűnek kell tekinteni.
4. Az Adatfeldolgozókat az Adatkezelő ellenőrzi.
5. Az Adatfeldolgozók további adatfeldolgozót nem jogosultak megbízni az Adatkezeléssel.

IV. A kezelt személyes adatok köre
1. Az Ügyfél, amennyiben magánszemélyként kívánja igénybe venni a szolgáltatást, az alábbi adatokat adja meg a Szolgáltató részére:
a) családi- és utónév,
b) e-mail cím,
c) telefonszám,
d) számlázási cím,
e) a szolgáltatással érintett gépjármű forgalmi rendszáma,
f) a szolgáltatással érintett gépjármű pozíciója és mozgása,
g) OBU ID.
2. A Regisztráció, valamint a szolgáltatás használata során az Ügyfél – amennyiben az Európai Unió valamely tagállamában nyilvántartásba vett, Magyarország jogszabályainak megfelelően működő jogi személyiség nélküli vagy jogi személyiséggel rendelkező szervezet, gazdasági társaság, vállalkozás képviselője vagy egyéni vállalkozó – az alábbi adatokat adja meg a Szolgáltató részére:
a) családi- és utónév,
b) e-mail cím,
c) telefonszám,
d) egyéni vállalkozó esetén székhelycím, amennyiben az az egyéni vállalkozó lakóhelye is egyúttal,
e) egyéni vállalkozó esetén forgalmi rendszám, amennyiben a szolgáltatással érintett gépjármű az egyéni vállalkozó magáncélú használatára (is) szolgál,
f) egyéni vállalkozó esetén forgalmi a szolgáltatással érintett gépjármű pozíciója és mozgása, amennyiben az az egyéni vállalkozó magáncélú használatára (is) szolgál,
g) egyéni vállalkozó esetén OBU ID, amennyiben a szolgáltatással érintett gépjármű az egyéni vállalkozó magáncélú használatára (is) szolgál.

V. Az Adatkezelés célja és jogalapja
1. Az Adatkezelés elsődleges céljai:
a) a Szolgáltató által nyújtott szolgáltatás Ügyfél általi igénybe vétele, a Szolgáltató és az Ügyfél között létrejött szerződés teljesítése,
b) a Szolgáltató és a NÚSZ között megkötött szerződés teljesítése,
c) a Szolgáltató más jogos érdekei érvényesítése.
2. Az Adatkezelés további céljai, hogy a Szolgáltató
a) kapcsolatot tarthasson szerződéses partnereivel,
b) anonimizálást követően statisztikákat, elemzéseket készítsen.
3. Az 1-2. pontokban meghatározottaktól eltérő célokra az Adatkezelő nem jogosult a személyes adatokat felhasználni.
4. A szolgáltatás keretében az Ügyfél az OBU használatával vallja be és fizeti meg az úthasználat ellenértékét, ennek az útdíj, valamint a szolgáltatással érintett gépjármű pontos megállapítása során a szolgáltatással érintett gépjármű térképes, valós idejű követéssel érintett.
5. Az Adatkezelés körében megadott Személyes adatokat az Érintett személy kifejezett hozzájárulása – az Adatkezelési nyilatkozat megtétele – alapján, továbbá a szolgáltatási szerződés teljesítése céljából jogosult kezelni. Az Adatkezelő köteles az Érintett személyt a hozzájárulás előtt az Adatkezelésről megfelelően tájékoztatni.

VI. Az Adatkezelés módja, időtartama
1. Az Érintett személy által megadott minden adat, ideértve a személyes adatokat is, az Adatfeldolgozó1 megbízásából az Amazon Web Services Ireland Limited (székhely: One Burlington Plaza, Burlington Road, Dublin 4) által Írországban üzemeltetett szerveren kerülnek rögzítésre és tárolásra a V. részben megjelölt célokból.
2. A Személyes adatokat elektronikus formában – kódolt adatbázisban - kezelik. Az Adatkezelő, illetve az Adatfeldolgozók kötelesek a technika mindenkori állásának és fejlettségének megfelelő, észszerűen és gazdaságosan fenntartható és üzemeltethető informatikai védelemmel megakadályozni az Adatvédelmi incidensek megtörténtét.
3. Az Érintett személy szavatol azért, hogy az általa személyes adatként megadott e-mail címhez kapcsolódó fiókhoz, illetve a megadott telefonszámon kizárólag ő elérhető, ahhoz ő férhet hozzá. Az Adatkezelő kizárja a felelősségét abban az esetben, amennyiben az ÁSZF keretében nyújtott szolgáltatás az e-mail fiók vagy a telefonszám harmadik személy általi hozzáférése miatt ezen harmadik személyt érinti.
4. Tekintettel a GDPR vonatkozó rendelkezéseire az Adatkezelő, illetve az Adatfeldolgozók nem kötelesek adatvédelmi tisztviselő kijelölésére.
5. Az Adatkezelő, illetve az Adatfeldolgozók köteles biztosítani, hogy a kezelt adatokhoz kizárólag azon személyek férhessenek hozzá, akik a szolgáltatás nyújtásában részt vesznek.
6. Az Adatkezelés véget ér, és az Érintett személy személyes adatai törlésre kerülnek, amennyiben az Érintett személy a tárgyévet követő 1 (egy) évig nem veszi igénybe a szolgáltatást.
7. Az Adatkezelés, amennyiben a Szolgáltatót erre jogszabály - ideértve különösen, de nem kizárólagosan a számvitelről szóló 2000. évi C. törvény rendelkezéseit – kötelezi, a 6. pontban megjelölt időtartamnál hosszabb ideig tarthat.

VII. Adattovábbítás
1. Az Érintett személy a szolgáltatás igénybe vételével hozzájárul ahhoz, hogy az Adatkezelő továbbítsa adatait az alábbi harmadik személyeknek:
a) az Adatfeldolgozók,
b) NÚSZ,
c) Amazon Web Services Ireland Limited,
d) Google Analytics,
2. Az 1. pontban megjelölt adattovábbítás célja, hogy a Szolgáltató megfelelő színvonalú szolgáltatást nyújthasson az Ügyfeleknek, valamint, hogy teljesíthesse a NÚSZ felé fennálló szerződéses kötelezettségeit.
3. Egyebekben személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – hacsak jogszabály ettől eltérően nem rendelkezik – kizárólag jogerős hatósági vagy bírósági megkeresés, illetve határozat alapján, vagy az Érintett személy előzetes, kifejezett hozzájárulása esetén lehetséges.
4. Az Adatkezelő köteles nyilvántartást vezetni az adattovábbításokról.

VIII. Cookie (süti) alkalmazása
1. Az Szolgáltató a Honlap látogatási statisztikáinak nyomonkövetése céljából Google Analyticset használ, mely az Ügyfél számítógépére cookie-t (sütit) telepít. A cookie-ban rögzített, a Honlap látogatottságára vonatkozó adatok (a látogatás időpontjával és az Ügyfél IP címével együtt) a Google USA szervereire kerülnek átvitelre és letárolásra. A Google arra használja ezeket az adatokat, hogy az Ügyfél Honlap-látogatási szokásait kiértékelje, jelentéseket állítson össze ezekről a Szolgáltató számára, valamint arra, hogy egyéb, a Honlappal és az internet használatával kapcsolatos szolgáltatásokat nyújtson. Azok az Ügyfelek, akik nem szeretnék, hogy a Google Analytics jelentést készítsen a látogatásukról, telepíthetik a Google Analytics letiltó böngészőbővítményt. Ez a kiegészítő arra utasítja a Google Analytics JavaScript-szkriptjeit (ga.js, analytics.js, and dc.js), hogy ne küldjenek látogatási információt a Google számára. Bővebb információ: https://www.google.com/analytics/
2. A cookie-k telepítése megakadályozható a böngésző megfelelő beállításaival. Ha az Ügyfél a cookie beállításait szeretné kezelni, vagy letiltani a funkcióról azt a saját informatikai eszközén megteheti a böngészőjében. A böngésző eszköztárától függően találhatóak meg a cookie-k/sütik/követési funkciók elhelyezkedései, általában azonban a Beállítások azon belül az Adatvédelem beállításai alatt állíthatja be, hogy milyen követési funkciókat engedélyez vagy tilt meg az informatikai eszközén.

IX. Az Érintett személy jogai az Adatkezeléssel összefüggésben
1. Az Érintett személy jogosult hozzáférni a kezelt személyes adataihoz.
2. Az Érintett személy jogosult az Adatkezelőtől, illetve az Adatfeldolgozótól az Adatkezelésre vonatkozóan bármikor tájékoztatást kérni.
3. Az Érintett személy kérheti a személyes adatainak helyesbítését vagy módosítását. Figyelembe véve az Adatkezelés célját, az Érintett személy kérheti a hiányos személyes adatok kiegészítését.
4. Az Érintett személy kérheti az Adatkezelő által kezelt Személyes adatainak törlését. A törlés megtagadható, illetőleg a személyes adatok további megőrzése jogszerűnek tekinthető, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, valamely jogi kötelezettségnek – különösen az ÁSZF-ből eredő kötelezettségnek - való megfelelés vagy statisztikai célból, vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
A törlési kérelem megtagadásáról az Adatkezelő minden esetben tájékoztatja az Érintett személyt, megjelölve a törlés megtagadásának indokát. Személyes adat törlésére irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.
5. Amennyiben az Érintett személy úgy gondolja, hogy az Adatkezelés jogellenes, az Érintett személy tiltakozhat az Adatkezelés ellen.
6. Az Érintett személy kérheti, hogy személyes adatainak kezelését az Adatkezelő korlátozza, ha az Érintett személy vitatja a kezelt személyes adatok pontosságát. Ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát. Az Adatkezelő megjelöli az általa kezelt személyes adatot, ha az Érintett személy vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. Az Érintett személy kérheti, hogy személyes adatainak kezelését az Adatkezelő korlátozza akkor is, ha az Adatkezelés jogellenes, de az Érintett személy ellenzi a kezelt személyes adatok törlését, és ehelyett kéri azok felhasználásának korlátozását. Az Érintett személy továbbá akkor is kérheti, hogy személyes adatainak kezelését az Adatkezelő korlátozza, ha az Adatkezelés célja megvalósult, de az Érintett személy igényli azok Adatkezelő általi kezelését jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
7. Az Érintett személy jogosult arra, hogy az Adatkezelő számára megadott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy harmadik személy adatkezelőnek továbbítsa.
8. Az Adatkezelő az Érintett személyek joggyakorlásával összefüggésben köteles nyilvántartást vezetni.
9. Az Érintett személy jelen részben megjelölt joggyakorlása akkor tekinthető elfogadhatónak és hitelesnek, ha az Adatkezeléssel összefüggő jogérvényesítésre vonatkozó nyilatkozat az Érintett személy által megadott címről vagy e-mail címről érkezik, továbbá, ha az Érintett személy más egyéb, megfelelő módon igazolja személyazonosságát.

X. Adatvédelmi incidens
1. Adatvédelmi incidens esetén az Adatkezelő köteles minden elvárhatót megtenni annak érdekében, hogy az Érintett személyeknek vagyoni és nem vagyoni kára ne merüljön fel vagy a kár a lehető legkisebb legyen.
2. Az Adatvédelmi incidensről való tudomásszerzést követően az Adatkezelőnek meg kell állapítani az Adatvédelmi incidens jellegét, majd meg kell bizonyosodnia arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, ide értve különösen az illetékes adatvédelmi hatóság értesítését is.
3. Amennyiben lehetséges, Adatvédelmi incidens esetén az Adatkezelő köteles az Adatvédelmi incidensről való tudomásszerzést követő 72 (hetvenkét) órán belül értesíteni az illetékes adatvédelmi hatóságot.
4. Annak érdekében, hogy az Érintett személy is megtehesse a szükséges óvintézkedéseket, az Adatkezelő köteles az Érintett személyt az Adatvédelmi incidensről való tudomásszerzést követően indokolatlan késedelem nélkül tájékoztatni, ha az Adatvédelmi incidens valószínűsíthetően magas kockázattal jár az Érintett személy jogaira és szabadságaira nézve. A tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az Adatvédelmi incidens, valamint az Érintett személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat.
5. Az Adatkezelő köteles nyilvántartást vezetni az Adatvédelmi incidensekről.

XI. Jogérvényesítés
1. Az Érintett személy az Adatkezeléssel összefüggésben a székhelyre megküldött levélben vagy elektronikus levélben a ugyfel@gsm-pro.hu e-mailcímen fordulhat az Adatkezelőhöz.
2. Az Érintett személy az Adatkezeléssel kapcsolatos panaszával a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) jogosult megkeresni.
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH):
posta cím: 1530 Budapest, Pf.: 5.
cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat@naih.hu
URL: http://naih.hu
3. Az Érintett személy Adatkezeléssel összefüggő jogainak megsértése esetén bírósághoz fordulhat. A per az Érintett személy lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható az Érintett személy választása szerint.

XII. Egyéb rendelkezések
1. A jelen Adatkezelési szabályzat a Honlapon kerül közzétételre, és a közzététel időpontjától kezdve hatályos.
2. Az Adatkezelő jogosult a jelen Adatkezelési szabályzatot egyoldalúan módosítani, melyet a Honlapon tesz közzé.
Kelt: Budapest, 2018. május 24.