ADATKEZELÉSI TÁJÉKOZTATÓ
a Fővárosi Csatornázási Művek Zrt. által üzemeltetett illemhelyek
készpénzmentes (bankkártyás) fizetési rendszerének üzemeltetése tárgyában
1. Az adatkezelő
A személyes adatok kezelésének céljait és eszközeit az alábbi adatkezelő határozza meg:
Az adatkezelő megnevezése: Fővárosi Csatornázási Művek Zrt. (a továbbiakban: Társaság vagy Adatkezelő)
Székhely: 1087 Budapest, Asztalos Sándor út 4.
Cégjegyzékszám: Cg. 01-10-042418
Cégjegyzéket vezető bíróság: Fővárosi Törvényszék Cégbírósága
Adószám: 10893850-2-44
Központi telefonszám: (1) 459-1600, (1) 455-4100
E-mail: center@fcsm.hu
Honlap: https://www.fcsm.hu
2. A tájékoztató célja és tárgya
A jelen adatkezelési tájékoztató (a továbbiakban: Tájékoztató) célja, hogy a Társaság által üzemeltetett nyilvános illemhelyek készpénzmentes (bankkártyás) fizetési rendszerének üzemeltetésével összefüggésben végzett személyesadat-kezelésről az érintetteket az Általános Adatvédelmi Rendelet (GDPR) követelményeinek megfelelően, tömör, átlátható, érthető és könnyen hozzáférhető módon tájékoztassa.
A Tájékoztató tárgya: az illemhelyek igénybevételéhez kapcsolódó, bankkártyával történő fizetés technikai lebonyolítása, ellenőrzése és nyomon követése során kezelt személyes adatokra vonatkozó szabályok és eljárások ismertetése, ideértve az adatkezelés célját, jogalapját és időtartamát, valamint az adatkezelésbe bevont adatfeldolgozók és a további címzettek körének bemutatását.
A Tájékoztató hatálya azokra a természetes személyekre (a továbbiakban: érintett) terjed ki, akik a Társaság illemhelyeit veszik igénybe, és a használat ellenértékét bankkártyás fizetéssel egyenlítik ki.
3. Az irányadó adatvédelmi jogszabályok
A Társaság az adatkezelés során az alábbi jogszabályok rendelkezéseit veszi figyelembe:
- az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet, a továbbiakban: GDPR);
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.);
- a számvitelről szóló 2000. évi C. törvény;
- az adózás rendjéről szóló 2017. évi CL. törvény.
A Társaság figyelembe veszi továbbá a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH), valamint az Európai Adatvédelmi Testület iránymutatásaiban és ajánlásaiban foglaltakat.
4. Fogalommeghatározások
A jelen Tájékoztatóban használt fogalmak a GDPR 4. cikkével egyezően értelmezendők. A legfontosabb fogalmak:
Személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ.
Adatkezelés: a személyes adatokon végzett bármely művelet vagy műveletek összessége, így különösen gyűjtés, rögzítés, tárolás, felhasználás, továbbítás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.
Adatfeldolgozó: az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel.
Címzett: az a természetes vagy jogi személy, amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.
Adatvédelmi incidens: a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
5. A kezelt adatok köre, az adatkezelés célja, jogalapja és időtartama
Az illemhelyek bankkártyás fizetéssel történő igénybevétele során a Társaság az alábbi személyes adatokat, az alábbiakban meghatározott feltételekkel kezeli:
| Az érintettek köre | Az illemhelyet igénybe vevő, a szolgáltatás ellenértékét bankkártyával megfizető természetes személyek. |
| A kezelt adatok köre |
a fizetéshez használt bankkártya első és utolsó 4 számjegye, a vásárlás (tranzakció) pontos ideje és összege, a kártya kibocsátója (pl. Visa / MasterCard), a tranzakció azonosítója. |
| Nem kezelt adat | A bankkártya biztonsági kódja (CVC/CVV), valamint a kártya teljes száma nem kerül kezelésre. |
| Az adatkezelés célja | Az illemhely igénybevétele során a készpénzmentes tranzakciók technikai lebonyolítása, ellenőrzése és nyomon követése, valamint a pénzügyi elszámolás biztosítása. |
| Az adatkezelés jogalapja | A szerződés teljesítése [GDPR 6. cikk (1) bekezdés b) pontja], amely a fizetési tranzakció indításával jön létre a Társaság és a szolgáltatást igénybe vevő természetes személy között. |
| Az adatkezelés időtartama | A számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 év, tekintettel arra, hogy a tranzakciós adatok a pénzügyi elszámolás bizonylati alapját képezik. |
| Az adatok forrása | Az adatok közvetlenül az érintettől, a bankkártyás fizetési tranzakció indításával kerülnek felvételre. |
| Az adatszolgáltatás jellege | A fenti adatok kezelése a bankkártyás fizetés technikai feltétele; ezek hiányában a készpénzmentes fizetés nem teljesíthető. Az érintett a szolgáltatás készpénzes igénybevételét – ahol az rendelkezésre áll – választhatja. |
A Társaság a fenti adatkezelés körében a GDPR 9. cikke szerinti különleges kategóriába tartozó személyes adatot nem kezel.
A Társaság az adatkezelés körében automatizált döntéshozatalt – ideértve a profilalkotást is – nem alkalmaz.
6. Az adatfeldolgozók és a további címzettek
A rendszer üzemeltetése és a pénzügyi elszámolások biztosítása érdekében a személyes adatok az alábbi szervezetek részére kerülnek továbbításra, illetve hozzáférhetővé tételre:
6.1. Adatfeldolgozó
HANDAV Kft. (székhely: 1023 Budapest, Frankel Leó út 45. IV. emelet; cégjegyzékszám: 01-09-681627; adószám: 11548742-2-41), amely a fizetési rendszer szoftverét és technikai hátterét biztosítja, és e körben az Adatkezelő nevében, annak utasításai szerint, adatfeldolgozóként jár el.
6.2. További adatfeldolgozó (harmadik országba történő adattovábbítás)
Nayax Ltd. (elérhetőségei: www.nayax.com), amely a fizetési szoftver és a backend (DCS) szerver hátterét biztosító üzemeltető. Az Európai Gazdasági Térségen (EGT) kívüli adattovábbítás tekintetében a GDPR szerinti megfelelőséget és a megfelelő szintű védelmet a felek között létrejött – a GDPR V. fejezetében előírt garanciákat tartalmazó – szerződéses rendelkezések biztosítják.
6.3. Önálló adatkezelő (klíring szervezet)
Elavon Inc., illetve a Novopayment Kft. (székhely: 1034 Budapest, Tímár utca 20. IV. em.; cégjegyzékszám: 01-09-302898; adószám: 26118853-2-41) pénzügyi szolgáltató, amely a bankkártyás fizetések elszámolását (klíringjét) végzi. E szervezet a tranzakciós adatokat a saját jogszabályi kötelezettségei alapján, önálló adatkezelőként kezeli, saját adatkezelési tájékoztatója szerint.
6.4. Közreműködők
A telekommunikációs adatátvitelt biztosító hálózati szolgáltatók, kizárólag a tranzakciós adatok technikai jellegű továbbítása céljából.
A Társaság a fentieken túl személyes adatot a vonatkozó jogszabályokkal összhangban kizárólag az arra törvényben feljogosított szervek (pl. bíróság, hatóság) részére, azok hivatalos megkeresése alapján továbbít.
7. Harmadik országba történő adattovábbítás
A jelen Tájékoztató 6.2. pontja szerinti adatfeldolgozó útján az adatkezelés körében az Európai Gazdasági Térségen kívülre történik adattovábbítás. A Társaság az ilyen adattovábbítás jogszerűségét és az érintettek személyes adatainak megfelelő szintű védelmét a GDPR V. fejezetében meghatározott garanciák – így különösen a felek által kötött, megfelelő garanciákat tartalmazó szerződéses rendelkezések – alkalmazásával biztosítja. Az alkalmazott garanciák másolata az Adatkezelőtől igényelhető.
8. Adatbiztonsági intézkedések
A Társaság – az adatfeldolgozóival együttműködve – a GDPR 32. cikkének megfelelően a tudomány és a technológia állása, a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre és kockázatai figyelembevételével megfelelő technikai és szervezési intézkedéseket alkalmaz a kezelt személyes adatok biztonsága érdekében, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisülés, valamint a véletlen megsemmisülés és sérülés elleni védelem céljából.
A fizetési tranzakciók során a kártyaadatok kezelése a pénzforgalmi szolgáltatókra irányadó biztonsági követelményeknek megfelelően történik; a teljes kártyaszám és a biztonsági kód (CVC/CVV) a Társaság részére nem válik megismerhetővé.
9. Az adatvédelmi tisztviselő
A Társaság a GDPR 37. cikke alapján adatvédelmi tisztviselőt jelölt ki, aki az adatvédelmi kérdésekben tanácsadói és ellenőrzési feladatot lát el, továbbá kapcsolattartóként jár el az érintettek és a NAIH felé.
Adatvédelmi tisztviselő: dr. Szanyi András
E-mail: gdprhun@gmail.com
10. Az érintettek jogai
Az érintett az adatkezeléssel összefüggésben – a GDPR-ban meghatározott feltételek szerint – az alábbi jogokkal élhet:
- Hozzáféréshez való jog: tájékoztatást kérhet a róla kezelt személyes adatokról, és hozzáférhet azokhoz.
- Helyesbítéshez való jog: kérheti a pontatlan adatok helyesbítését, illetve a hiányos adatok kiegészítését.
- Törléshez való jog: kérheti adatainak törlését; e jog a kötelező, jogszabályon alapuló adatkezelés (pl. a 8 éves számviteli megőrzés) körében korlátozott.
- Az adatkezelés korlátozásához való jog: kérheti az adatkezelés korlátozását a GDPR 18. cikkében meghatározott esetekben.
- Az adathordozhatósághoz való jog: kérheti a rá vonatkozó adatok tagolt, széles körben használt, géppel olvasható formátumban való megküldését, illetve más adatkezelőhöz történő továbbítását.
- Tiltakozáshoz való jog: a saját helyzetével kapcsolatos okból tiltakozhat a személyes adatai kezelése ellen az erre irányadó esetekben.
Az érintett a fenti jogai gyakorlására irányuló kérelmét a Társaság 1. pontban megjelölt elérhetőségein, vagy közvetlenül az adatvédelmi tisztviselőnél terjesztheti elő. A Társaság a kérelem nyomán indokolatlan késedelem nélkül, de legkésőbb a GDPR-ban meghatározott egy hónapon belül – amely indokolt esetben további két hónappal meghosszabbítható – tájékoztatja az érintettet a megtett intézkedésekről, vagy az intézkedés elmaradásának okairól.
11. Jogorvoslati lehetőségek
Az érintett az adatkezeléssel kapcsolatos panaszával elsősorban a Társaság adatvédelmi tisztviselőjéhez fordulhat (9. pont).
Adatvédelmi hatósági eljárás kezdeményezése:
Az érintett a felügyeleti hatóságnál panaszt nyújthat be:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Székhely: 1055 Budapest, Falk Miksa u. 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.
Telefon: 06 1 391 1400; Fax: 06 1 391 1410
E-mail: ugyfelszolgalat@naih.hu
Honlap: http://www.naih.hu
Bírósági jogorvoslat:
Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik, és az érintett választása szerint a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. A bíróságok elérhetőségéről a http://birosag.hu honlapon tájékozódhat.
A Társaság fenntartja a jogot a jelen Tájékoztató egyoldalú módosítására, amelyről az érintetteket a honlapján közzétett, mindenkor hatályos szöveg útján tájékoztatja.
Hatályos: 2026. június 24. napjától.
Kiadja: Fővárosi Csatornázási Művek Zrt.