Adatkezelési tájékoztató ÉSZLA

Adatkezelési tájékoztató az ÉSZLA mobilalkalmazás használatához, valamint az ÉSZLA mobilalkalmazás keretében biztosított ún. „kényelmi funkció” (kényelmi adatok gyűjtése) használatához

/ PLEASE SCROLL DOWN FOR THE ENGLISH VERSION /

A Magyar Nemzeti Bank (a továbbiakban: MNB) által az értékpapír egyenleg online lekérdezésére szolgáló mobilalkalmazás üzemeltétetésével kapcsolatban rögzített, illetve a mobilalkalmazás használatához opcionálisan kapcsolódó ún. kényelmi funkció biztosítása érdekében rögzített személyes adatokat az Európai Parlament és Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679. számú rendeletében (GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény rendelkezéseinek megfelelően kezeli.

Adatkezelő: Magyar Nemzeti Bank, Székhelye: 1013 Budapest, Krisztina Krt. 55. Az MNB adatvédelmi tisztviselője dr. Marton Tivadar János (telefon: 06 1 428 2600, e-mail: martont@mnb.hu).

I. A mobilalkalmazás használata során az érintettek és a kezelt adatok köre: Az MNB a mobilalkalmazás üzemeltetése során saját szerverein személyes adatot nem kezel, ugyanakkor az alkalmazás a felhasználó készülékén rögzít, egy a készülék beazonosítására alkalmas azonosító kódot (eszközazonosító), az utolsó belépés idejét, a belépés eszközének megnevezését, a felhasználó elfogadta-e az utolsó, hatályos Adatkezelési tájékoztatót, az Ön által kiválasztott alkalmazás nyelvének meghatározását, valamint, hogy a kényelmi funkcióhoz (lásd a következő bekezdést) kapcsolódó adatgyűjtés engedélyezett-e.

II. A mobilalkalmazás kényelmi funkciójának igénybevétele esetén az érintettek és a kezelt adatok köre az I. pontban leírtakhoz képest a következőkkel egészül ki (a kényelmi funkcióhoz kapcsolódó adatgyűjtés elfogadása esetén): A kényelmi funkció segítségével a mobilalkalmazás használatán keresztül az értékpapír számlaadatok lekérdezésének egyszerűsítése történik meg oly módon, hogy adott számlához történt három, különböző időszakhoz kötődő sikeres belépést követően a mobilalkalmazás már nem kér jelszót az értékpapírszámla adatainak megtekintéséhez. A kényelmi funkcióhoz kapcsolódó adatgyűjtés elfogadásával a felhasználó hozzájárul az értékpapír-számláival kapcsolatos bejelentkezési adatok (továbbiakban: bejelentkezési metaadatok) gyűjtéséhez, ami az adott értékpapírszámla vonatkozásában három különböző vonatkozási időszakra (hónap) történő sikeres bejelentkezést követően lehetővé teszi, hogy a továbbiakban a mobilalkalmazás már ne kérjen bejelentkezési jelszót az adott értékpapírszámla adatainak lekérdezéséhez (továbbiakban: számlaregisztráció). A kényelmi funkció az alkalmazás használata során bármikor ki- és bekapcsolható. A kényelmi funkció kikapcsolása esetén az adott értékpapírszámlával kapcsolatos műveletekhez a továbbiakban a bejelentkezési jelszó megadása ismételten szükségessé válik, illetve a kényelmi funkció újbóli bekapcsoláskor újraindul a bejelentkezési metaadatok gyűjtése és három sikeres bejelentkezés három különböző vonatkozási időszak (hónap) esetén történhet meg újra a számlaregisztráció.

Amennyiben a felhasználó hozzájárult, a mobilalkalmazás használata során gyűjtésre kerülnek azok az adatok, amelyek az értékpapírszámlák jelszó nélküli lekérdezését lehetővé tévő kényelmi funkció működéséhez szükségesek.

Az összegyűjtött adatokat a szerver oldal egy csomagba (belépési metaadatok) gyűjti, amelyet aláírva és titkosítva küld el a mobilalkalmazásnak. A mobilalkalmazás ezt a csomagot tárolja és bejelentkezéskor átadja a szervernek. A szerver ezt a csomagot csak a bejelentkezéshez tárolja és csak a bejelentkezés érvényességi idején belül.

A belépési metaadatok szerkezete és tartalma az alábbiak szerint alakul:

a. a mobileszköz regisztráció esetén (a mobilalkalmazás telepítésekor)

- eszközazonosító
- adatgyűjtés engedélyezte-e a felhasználó

b. az értékszámlára történő sikeres bejelentkezést követően (csak a kényelmi funkcióhoz kapcsolódóan engedélyezett adatgyűjtés esetén)

- eszközazonosító
- adatgyűjtés engedélyezett-e
- értékpapírszámla lista (több értékpapírszámla esetén, ha a befektetési szolgáltató nem összevont jelentést készít)
- bejelentkezési azonosító (24 karakter)
- jelszó-előtag (3 karakter)
- vonatkozási idők (vonatkozási hónapok): a számla regisztrációhoz kapcsolódó utolsó három vonatkozási időszak, mely vonatkozási hónapokra esetében lekérdezés történt az értékpapírszámla tekintetében.

c. értékpapírszámlára történő 3 sikeres bejelentkezést követően (csak engedélyezett kényelmi funkció esetén)

i. eszközazonosító
ii. adatgyűjtés engedélyezett-e
iii. értékpapírszámla lista (több értékpapírszámla esetén, ha a befektetési szolgáltató nem összevont jelentést készít)

- bejelentkezési azonosító (24 karakter)
- jelszó-előtag (3 karakter)
- vonatkozási idők (vonatkozási hónapok): a számla regisztrációhoz kapcsolódó utolsó három vonatkozási időszak, mely vonatkozási hónapokra esetében lekérdezés történt az értékpapírszámla tekintetében.
- utolsó belépés időpontja
- elérhető-e a kényelmi funkció

d. adatgyűjtés megszüntetése

A kényelmi funkció biztosításához kapcsolódó adatgyűjtés megszüntetése esetén az eszköz regisztrációkori állapotra történik meg a visszaállítás (a. pont).

A szerver a mobileszközön tárolt belépési metaadatokhoz csak a mobilalkalmazásról történő belépéskor, illetve a http://eszlaweb.mnb.hu/ felületre (webes felület) történő QR-kódos belépéskor fér hozzá a bejelentkezés érvényességi idejét (tétlenségi időkorlát elérése, mobilalkalmazásból történő kijelentkezés/QR-kódos belépés esetén a webes felületről való kijelentkezés) követő legfeljebb 15 percig, mely adatok ezen időpontot követően törlődnek a szerverről.

Az adatkezelés jogalapja: Az ÉSZLA alapadatok tekintetében az adatkezelés jogalapja az MNB jogszabályban rögzített feladatainak teljesítése, GDPR 6. cikk (1) bekezdésének e) pontja. A kényelmi funkció adatai tekintetében az Ön GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulása, melyet a funkció bekapcsolásával adhat meg.

Az adatkezelés célja, az adatkezelés ideje adattovábbítás a mobilalkalmazás használata esetén, amennyiben nem történik meg az adatgyűjtés engedélyezése: Az adatokat a korábbi beállítások megőrzése érdekében kezeli a mobilalkalmazás. Az adatok a mobileszközre telepített alkalmazás törléséig kerülnek tárolásra. Adattovábbítás nem történik. A szerverről a bejelentkezés érvényességi idejét (tétlenségi időkorlát elérése, mobilalkalmazásból történő kijelentkezés/QR-kódos belépés esetén a webes felületről való kijelentkezés) követő legfeljebb 15 percet követően törlődnek a II. a. pontban megjelölt adatok.

Az adatkezelés célja, az adatkezelés ideje adattovábbítás az adatgyűjtés engedélyezése esetén (a mobilalkalmazás kényelmi funkciójának igénybevétele): Az adatokat a kényelmi funkció biztosítása érdekében kezeli a mobilalkalmazás. Az adatok a kényelmi funkció biztosításához kapcsolódó adatgyűjtés megszüntetéséig, illetve a mobileszközre telepített alkalmazás törléséig kerülnek tárolásra. Adattovábbítás nem történik. A szerverről a bejelentkezés érvényességi idejét (tétlenségi időkorlát elérése, mobilalkalmazásból történő kijelentkezés/QR-kódos belépés esetén a webes felületről való kijelentkezés) követő legfeljebb 15 percet követően törlődnek a II. b. és c. pontokban megjelölt adatok.

Az adatkezeléshez fűződő jogokról, jogorvoslati lehetőségekről az MNB honlapján tájékozódhat a: https://www.mnb.hu/a-jegybank/informaciok-a-jegybankrol/gyakorlati-tudnivalok/adatvedelmi-tajekoztato linken.

Privacy Policy for the use of the ‘ESZLA’ mobile app and the so-called ‘convenience function’ (collection of convenience data) provided by the ‘ESZLA’ mobile app

The Magyar Nemzeti Bank (hereinafter: MNB) will process the personal data recorded in connection with the operation of the mobile application for the online balance enquiry for securities accounts and the personal data recorded in order to provide the so-called convenience function optionally related to the use of the mobile application in accordance with the provisions of Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (GDPR) and Act CXII of 2011 on the right to information self-determination and freedom of information.

Controller: Magyar Nemzeti Bank, Registered office: 1013 Budapest, Krisztina krt. 55., Hungary. Data Protection Officer of the MNB: Dr Tivadar János Marton (telephone: +36 1 428 2600, email: martont@mnb.hu)

I. Data subjects and data processed when using the mobile application: The MNB does not process any personal data on its own servers when operating the mobile application, but the application does record on the user’s device an identification code (device identifier) that identifies the device, the time of the last login, the device used to access the application, whether the user has accepted the latest Privacy Policy in force, the language of the application you have selected, and whether data collection related to the convenience function (see next paragraph) is authorised.

II. When the convenience function of the mobile application is used, the scope of the data subjects and the data processed are extended as compared to what has been described in point I (in case of acceptance of the data collection related to the convenience function): The convenience function simplifies the enquiry of securities account data through the use of the mobile application, so that after three successful logins to a given account in different periods, the mobile app no longer requires a password to view securities account data. By accepting the data collection related to the convenience function, the user consents to the collection of login data related to his/her securities accounts (hereinafter: login metadata), which, after successful login to the given securities account for three different reference periods (months), allows the mobile application to no longer ask for a login password to retrieve the data of the given securities account (hereinafter: account registration). The convenience function can be turned on and off at any time while using the app. If the convenience function is turned off, the login password will be required again for operations related to the securities account, and when the convenience function is turned on again, the login metadata collection will restart and the account registration will occur again after three successful logins in three different reference periods (months).

If the user has given his/her consent, the data necessary for the operation of the convenience function, which allows access to the user’s securities accounts without the password, will be collected when using the mobile application.

The collected data is collected by the server side into a packet (login metadata), which is signed and encrypted, and sent to the mobile application. The mobile application stores this packet and passes it to the server when you log in. The server stores this packet only for login and only within the validity period of the login.

The structure and content of the login metadata is as follows:

a. in the case of registering your mobile device (when installing the mobile app)

- device identifier
- whether data collection is authorised by the user

b. after a successful login to the securities account (only if data collection is enabled in relation to the convenience function)

- device identifier
- whether data collection is authorised
- securities accounts list (in the case of multiple securities accounts, if the investment service provider does not produce a consolidated report)
- login identifier (24 characters)
- password prefix (3 characters)
- reference periods (reference months): the last three reference periods related to the account registration, for which reference months the securities account was queried.

c. after 3 successful logins to a securities account (only if the convenience function is enabled)

i. device identifier
ii. whether data collection is authorised
iii. securities accounts list (in the case of multiple securities accounts, if the investment service provider does not produce a consolidated report)
- login identifier (24 characters)
- password prefix (3 characters)
- reference periods (reference months): the last three reference periods related to the account registration for which the securities account has been queried.
- last login date
- whether the convenience function is available

d. termination of data collection

If the data collection related to the provision of the convenience function is terminated, the device will be reset to the state it was in when it was registered (point a).

The server has access to the login metadata stored on the mobile device only when logging in from the mobile application or when logging in to http://eszlaweb.mnb.hu/ (web interface) with a QR code for up to 15 minutes after the login validity period (idle timeout reached, logging out of the mobile application/logging out of the web interface in the case of a QR code login), after which time the data is deleted from the server.

Legal grounds for processing: The legal basis for the processing of the basic data of the ESZLA is the fulfilment of the statutory tasks of the MNB, Article 6(1)(e) of the GDPR. Regarding the data for the convenience function, your consent pursuant to Article 6(1)(a) of the GDPR, which you can give by activating the convenience function.

The purpose of data processing, time of data processing and transfer of data when using the mobile application, if data collection is not authorised: The data is processed by the mobile application in order to preserve your previous settings. The data is stored until the application is deleted from the mobile device. There is no data transfer. The data indicated in point II. a. will be deleted from the server after a maximum of 15 minutes following the validity period of the login (idle timeout reached, logging out of the mobile application/logging out of the web interface in the case of a QR code login).

The purpose of data processing, time of data processing and transfer of data if data collection is authorised (use of the convenience function of the mobile application): The data is processed by the mobile application in order to provide the convenience function. The data is stored until the data collection related to the provision of the convenience function is terminated or the application installed on the mobile device is deleted. There is no data transfer. The data indicated in points II. b. and c. will be deleted from the server after a maximum of 15 minutes following the validity period of the login (idle timeout reached, logging out of the mobile application/logging out of the web interface in the case of a QR code login).