A Mystery Hotel Budapest Kft. adatkezelési tájékoztatója az érintett személyes adatainak kezeléséről
Jelen Adatvédelmi Tájékoztató (a továbbiakban: Tájékoztató) Szállodánk, a Mystery Hotel Budapest (a továbbiakban: Szálloda/Adatkezelő) adatkezelő tevékenységéhez fűződő tájékoztatóját tartalmazza érintettek részére, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (2016. április 27.) (a továbbiakban: GDPR Rendelet), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.) és az egyéb vonatkozó, személyes adatok védelmének biztosítását szolgáló jogszabályoknak való megfelelés céljából.
Szállodánk az Ön személyes adatainak biztonsága érdekében megteszi a szükséges és megfelelő intézkedéseket annak érdekében, hogy online felhasználóink – a a www.mysteryhotelbudapest.com, a www.mysteryhotelbudapest.hu, a www.spasecretgarden.com, www.thegreathallbudapest.com weboldalon történő tájékozódás és online foglalás esetén –, vendégeink és más érintettek részére a személyes adataik kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, továbbá elősegíti az Ön, mint érintett személy jogainak gyakorlását.
Jelen Tájékoztató a Szállodánk székhelyén elérhető Adatvédelmi Szabályzat (a továbbiakban: Szabályzat) 1. sz.mellékletét képezi. A Tájékoztató tartalmát kérjük, hogy figyelmesen olvassa végig, kérdéseivel forduljon hozzánk bizalommal.
I. fejezet
Az adatkezelő és az adatfeldolgozók megnevezése
Adatkezelő megnevezése
A jelen Tájékoztató kiadója, egyben az Adatkezelő/Szálloda:
a Mystery Hotel Budapest Korlátolt Felelősségű Társaság
székhely: 1064 Budapest, Podmaniczky utca 45.;
cégjegyzékszám: 01-09-295026;
adószám: 25896811-2-42;
képviseli: Scheffler Tamás Antal ügyvezető;
e-mail cím: nikoletta@mysteryhotelbudapest.com
Honlap: www.mysteryhotelbudapest.com, www.mysteryhotelbudapest.hu, www.spasecretgarden.com, www.thegreathallbudapest.com
Adatfeldolgozók megnevezése
Szállodánk minősül adatkezelőnek az érintettek személyes adatainak kezelése során. Szolgáltatásaink nyújtásához és tevékenységünk ellátásához emellett adatfeldolgozókat veszünk igénybe. Az adatfeldolgozókat az így megismert adatok tekintetében titoktartási kötelezettség terheli. Az adatfeldolgozók a személyes adatokat a köztük és a Szállodánk, mint adatkezelő között létrejött szerződésnek megfelelően, a feladataik teljesítése erejéig kezelik.
A GDPR Rendelet és az Infotv. alapján adatfeldolgozónak minősül az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely Szállodánk, mint adatkezelő nevében személyes adatokat kezel. (GDPR Rendelet 4. cikk 8.)
Az adatfeldolgozó igénybevételéhez Szállodánknak a jogszabály értelmében nem kell külön kérnie az érintett személy előzetes beleegyezését, de szükséges az Önök tájékoztatása. Ennek megfelelően Szállodánk tájékoztatja érintetteket azon adatfeldolgozók adatairól és elérhetőségeiről, amelyek Szállodánk, mint adatkezelő által részükre vendégeink biztonsága, a gyorsabb és kényelmes ügyintézés érdekében továbbított személyes adatokat szigorúan az arra meghatározott célból kezelhetik.
1. Foglalást és értékesítést segítő, közvetítő külső szerződő partnereink
Szállodánk a foglalások és értékesítések során az érintett vendég adatainak kezeléséhez olyan külső szerződő partnereket vesz igénybe, akik az ehhez fűződő informatikai és egyéb szolgáltatásokat saját rendszerükön, saját hálózatukon keresztül biztosítják, ennek keretében saját adatkezelési szabályzatuk hatálya alatt – kezelik a részükre továbbított személyes adatokat, ha pedig az az általuk végzett művelet elvégzése érdekében szükséges, tárolják az így továbbított személyes adatokat a szervereiken. Az adatkezelésről és az adatok tárolásának időtartamáról részletesebb tájékoztatást partnereink elérhetőségein kaphat. Ezen partnereink megnevezését az adatkezelési tevékenységek nyilvántartásában találja, amely nyilvántartás nyilvánosan megtekinthető Szállodánkban és kérésükre rendelkezésükre bocsátjuk.
Tájékoztatjuk vendégeinket, hogy az ezen partnereinknek továbbított adataik kizárólag akkor kerülnek Szállodánk adatkezelési szabályzatának hatálya alá, amennyiben adataik beérkeznek Szállodánk rendszerébe. Ezt megelőzően adataikat az értékesítést közvetítő partereink kezelik.
Adataik Szállodánk rendszerébe történő beérkezését követően, azok kezelése teljes körűen a jelen Tájékoztatóban foglaltaknak megfelelően történik.
2. Informatikai, biztonsági és pénzügyi adatfeldolgozó partnereink
Szállodánk az informatikai, biztonsági és pénzügyi szolgáltatásainak teljesítéséhez külső szolgáltatót vesz igénybe, aki kezeli érintett természetes személyek személyes adatait a jelen Tájékoztató V. fejezetében foglaltaknak megfelelően. Ezen adatfeldolgozók megnevezését az adatkezelési tevékenységek nyilvántartásában találja.
II. fejezet
Fogalommeghatározások
E Tájékoztató alkalmazásában – összhangban a GDPR Rendelet 4. cikkével:
1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
6. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
7. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
8. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
9. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
10. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
11. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
12. „egészségügyi adat”: 1. A GDPR Rendelet szövegével egyezően: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról. 2. Az Eüak. „egészségügyi adat” fogalma a Szabályzat hatálybalépésekor: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);
13. „személyazonosító adat”: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására.
III. fejezet
Alapelvek
Szállodánk az érintettek személyes adatainak kezelését – összhangban a GDPR Rendelet 5. cikkével – az alábbi elvek figyelembevételével végzi, munkavállalóink az érintettek személyes adatainak védelme érdekében az alábbi elvek figyelembevételével kötelesek eljárni:
1. Jogszerűség, tisztességes eljárás és átláthatóság elve: Szállodánk az személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi;
2. Célhoz kötöttség elve: A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat a Szállodánk nem kezeli ezekkel a célokkal össze nem egyeztethető módon; Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés;
3. Adattakarékosság elve: A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
4. Pontosság elve: A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; Szállodánk minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse;
5. Korlátozott tárolhatóság elve: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a személyes adatok kezelésére a GDPR Rendelet 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e GDPR Rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel;
6. Integritás és bizalmas jelleg elve: A személyes adatok kezelését a Szállodánk oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;
7. Elszámoltathatóság elve: Szállodánk mint adatkezelő felelős az 1.–6. pontoknak való megfelelésért, szükség esetén felkészült e megfelelés igazolására.
IV. fejezet
Érintett személyes adatainak jogszerű kezelése
1. [Adatkezelés az érintett hozzájárulása alapján]
(1) A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez Szállodánk az adatkezelés kezdetét megelőzően kéri. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon jelezzük, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel, valamint az nem tartalmazhat tisztességtelen feltételeket. Az érintett hozzájárulását tartalmazó nyilatkozat bármely olyan része, amely nem felel meg a jogszabályokban foglalt követelményeknek, kötelező erővel nem bír.
(3) Ahhoz, hogy az érintett hozzájárulása a Szállodánk tájékoztatásán alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
(4) Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség. Szállodánk nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek az adott szerződés teljesítéséhez.
(5) A hozzájárulás visszavonásának lehetőségét értehető, könnyen hozzáférhető formában, világos és egyszerű módon kell lehetővé tenni az érintett számára és az nem tartalmazhat tisztességtelen feltételeket.
(6) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, Szállodánk a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
(7) A hozzájárulásnak önkéntesnek, azaz mindenfajta külső befolyástól mentesnek kell lennie, jogalapként akkor szolgálhat, ha valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Az önkéntesség hiányában Szállodánk nem rendelkezik megfelelő jogalappal az adatkezeléshez.
(8) A hozzájárulás jogalapjának egyik speciális esete az Infotv. 6. § (3) bekezdésében megfogalmazott kivétel, amelynek alapján 16 éven aluli kiskorúakat érintő adatkezelések jogszerűségéhez szükséges a szülő beleegyezése.
2. [Szállodánk tájékoztatási kötelezettsége]
Szállodánk a jelen Tájékoztatót weboldalán és székhelyén könnyen elérhető módon hozzáférhetővé teszi érintettek számára. A Tájékoztató érintettet nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztatja az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait Szállodánk az Infotv. 6. § (5) bekezdése (érintett hozzájárulása) alapján kezeli, illetve arról, hogy kik jogosultak megismerni az adatokat. Szállodánk tájékoztatása ennek keretében kiterjed az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
3. [A törvény által előírt jogi kötelezettség teljesítése jogcímén alapuló adatkezelés]
A törvény által előírt jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független. Az érintettet az adatkezelés megkezdése előtt a Szállodánknak tájékoztatnia kell, hogy adatainak kezelése törvényi kötelezettségen alapul, ennek keretében Szállodánk az érintettet az adatkezelés megkezdése előtt – a jelen Tájékoztatóval – egyértelműen és részletesen tájékoztatja az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik jogosultak megismerni az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet a jelen bekezdésben foglalt információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
4. [Az adatkezelő jogos érdekén alapuló adatkezelés]
A személyes adat kezelhető abban az esetben is, ha az adatkezelés Szállodánk – kivételesen harmadik fél – jogos érdekének érvényesítéséhez szükséges, kivéve, ha ennél az érdeknél magasabb rendű az érintett személyes adatai védelméhez és a magánélete tiszteletben tartásához való joga. Ez az érintett hozzájárulásától függetlenül jogszerűvé teheti az érintett adatkezelését, feltéve, ha a jogos érdek csak a szükséges és arányos mértékben korlátozza az érintett személyes adatok védelméhez való jogát, magánszféráját. Az ilyen, érdekmérlegelésen alapuló adatkezelések esetében a fokozatosság elvének érvényesülésével és lehetőgés szerint a érintett jelenlétének biztosításával kell eljárni.
V. fejezet
Adatkezelés szállodánk weboldalán és a közösségi média felületeken
1. [Kapcsolatfelvétel Szállodánk honlapján keresztül]
(1) A weboldalon keresztül kapcsolatfelvételt kezdeményező természetes személy a kapcsolat létesítéséhez szükséges alábbi adatait adja meg:
1. neve (vezetéknév, keresztnév);
2. e-mail címe;
3. üzenetében foglalt, az érintett által önkéntesen, esetlegesen közölt egyéb személyes adatok.
(2) A személyes adatok kezelésének célja:
1. A Szálloda szolgáltatásaival kapcsolatos információk nyújtása, kapcsolatteremtés a természetes személy felhasználó és a Szálloda között.
2. Kapcsolatfelvétel a felhasználóval elektronikus, telefonos megkereséssel.
3. Tájékoztatás a Szálloda termékeiről, szolgáltatásairól, szerződési feltételeiről.
4. Az érintett külön hozzájárulása esetén tájékoztatás a Szálloda akcióiról.
(3) Az adatkezelés jogalapja az érintett hozzájárulása.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái a Szálloda munkavállalói, adatfeldolgozóként a Szálloda adatfeldolgozó partnere, IT szolgáltatójának tárhelyszolgáltatást és fejlesztést végző munkavállalói.
(6) A személyes adatok tárolásának időtartama a szolgáltatás fennállásáig, a törvényben előírt kötelező megőrzési időig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig) tart.
- [Cookie-k használata]
Mi az a cookie (süti)?
A cookie (süti) egy olyan kisméretű szövegfájl, amely a számítógép vagy a mobil eszköz merevlemezén tárolódik a cookieban beállított lejárati ideig és a későbbi látogatásokkor aktiválódik (visszajelez a webkiszolgálónak). A honlapok cookie-kat használnak azzal a céllal, hogy rögzítsék a látogatással kapcsolatos információkat (meglátogatott oldalak, az oldalakon töltött idő, böngészési adatok, kilépések, stb.), illetve a személyes beállításokat, ezek azonban a látogató személyével kapcsolatba nem hozható adatok. Ez az eszköz segít a felhasználóbarát honlap kialakításában, a látogatók online élményének fokozása érdekében.
Más platformokon – ahol a cookie-k nem érhetők el vagy nem használhatók – egyéb technológiák is alkalmazhatóak, melyek célja hasonlít a cookie-kéhoz: ilyen lehet például a hirdetésazonosító az androidos mobileszközökön.
A cookie-k két típusa: “munkamenet sütik” és “maradandó sütik”.
A “munkamenet sütik” (session cookie) a számítógép, notebook vagy mobileszköz csak ideiglenesen tárolja, mindaddig, amíg Ön el nem hagyja az adott honlapot; ezek a sütik segítenek a rendszernek, hogy információt jegyezzen meg, így Önnek nem kell ismételten megadnia vagy kitöltenie az adott információt. A munkamenet sütik érvényességi ideje kizárólag a felhasználó aktuális munkamenetére korlátozódik, céljuk az adatvesztés megakadályozása (például egy hosszabb űrlap kitöltése során). A munkamenet végeztével, illetve a böngésző bezárásával a sütik e fajtája automatikusan törlődik a látogató számítógépéről.
A “maradandó sütik” (persistent cookie) a honlap elhagyását követően is tárolódnak a számítógépen, notebookon vagy mobileszközön. Ezen cookie-k segítségével a honlap felismeri Önt, mint visszatérő látogatót. A maradandó sütik a kiszolgáló oldali azonosító – felhasználó összerendelés révén alkalmasak az Ön azonosítására, így minden olyan esetben, ahol a felhasználó hitelesítése elengedhetetlen – pl. webáruház, netbank, webmail – a helyes működés szükséges feltételei. A maradandó sütik önmagukban nem hordoznak személyes adatot és csak a kiszolgáló adatbázisában tárolt összerendeléssel együtt alkalmasak a felhasználó azonosítására. Az ilyen sütik kockázata az, hogy valójában nem a felhasználót, hanem a böngészőt azonosítja, vagyis, ha valaki nyilvános helyen, pl. netkávézóban, könyvtárban belép egy webáruházba, és távozáskor nem lép ki onnan, akkor később egy másik személy ugyanezt a számítógépet használva illetéktelenül is hozzáférhet az adott webáruházhoz az eredeti felhasználó nevében.
Hogyan engedélyezhetem, vagy tilthatom le a cookie-kat (sütiket)?
A legtöbb internetes böngésző automatikusan elfogadja a cookie-kat, a látogatóknak azonban lehetőségük van ezeket kitörölni, vagy visszautasítani. Mivel minden böngésző eltérő, Ön egyénileg, a böngésző eszköztára segítségével állíthatja be a cookie-kal kapcsolatos preferenciáit. Amennyiben semmilyen cookie-t nem kíván engedélyezni a honlapunkról, módosíthatja a webböngésző beállításait úgy, hogy értesítést kapjon a küldött cookie-król, vagy egyszerűen elutasíthat minden cookie-t. Ugyanakkor bármikor törölheti a számítógépén vagy mobileszközén eltárolt cookie-kat is. A beállításokkal kapcsolatos további tudnivalókat keresse a böngésző Súgójában. Kérjük, vegye figyelembe, hogy amennyiben úgy dönt, hogy letiltja a cookie-kat, le kell mondania a honlap bizonyos funkcióiról.
Milyen cookie-kat alkalmazunk?
A honlap működéséhez elengedhetetlen eszközök:
Az ilyen cookie-k a honlap megfelelő működéséhez elengedhetetlenek, így ebben az esetben az adatkezelés jogalapja Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése. Adattovábbítás nem történik.
- a) Kitöltési segédlet
Az adakezelés célja: Segíti az adatlapok kitöltését azzal, hogy előre felajánlja az Ön részére megfelelőnek tűnő kitöltést.
Az adatkezelési idő: a weblapon tartózkodás idejéig tart
- b) Segít a keresésben
Az adatkezelés célja: Segít a keresésben, hogy a leggyorsabban megtalálja, amit keres
Az adatkezelési idő: a weblapon tartózkodás idejéig tart
- c) Helyesírás ellenőrző
Az adatkezelés célja: Automatikusan javítja a vélelmezett elütési hibákat
Az adatkezelési idő: a weblapon tartózkodás idejéig tart
- d) Nyelvi beállítás azonosítása:
Az adatkezelés célja: A honlap a látogatása során a rendszer normál cookie segítségével beazonosítja Önt, mint egyedi felhasználót, hogy megjegyezze a nyelvi beállításait.
Az adatkezelési idő: Ezt a beállítást (cookie-t) 29 napig tároljuk.
- e) Közösségi hálózati cookie (Facebook, Instagram, Google+, Youtube)
Az adatkezelés célja: Ez a cookie lehetőséget nyújt arra, hogy a honlapon található tartalmak megosztásra kerüljenek.
Az adatkezelési idő: Ezt a cookie-t a megosztás idejéig tároljuk.
- f) Multimédia lejátszó (youtube)
Az adatkezelés célja: Ez a cookie lehetőséget nyújt arra, hogy a honlapon található videókat lejátssza.
Az adatkezelési idő: Ezt a cookie-t a lejátszás idejéig tároljuk.
Statisztikai adatokat gyűjtő cookie-k
Ezek a cookie-k kizárólag statisztikai adatokat gyűjtenek, nem kezelnek tehát személyes adatot. Működésük során figyelik, hogyan használja Ön a honlapot, mely témákat tekint meg, mire klikkel, hogyan görgeti a honlapot, mely oldalakat látogat meg. Az információkat azonban kizárólag anonim módon gyűjti. Így megtudhatjuk például, hogy havonta hány látogatója van az oldalnak. Ezek a statisztikai adatok segítik továbbá az oldalunk felhasználói igényekhez igazítását. Az ilyen adatok gyűjtésében segít a Google Tag Manager (és Google Analytics), valamint a Hotjar.
Marketing célú cookie-k
Az ilyen cookie-k adatkezelési célja a személyre szabott reklámok küldése.
Az adatkezelés jogalapja: Minden esetben az Ön hozzájárulása, amelyet a honlapon felugró ablakban ad meg. A hozzájárulását bármikor visszavonhatja, a visszavonás azonban nem érinti az azt megelőző jogszerű adatkezelést. Visszavonás esetén nem jelennek meg más felületen az Ön részére kialakított reklámok.
- a) Kategorizálás a látogatás helye szerint,
Az adatkezelési idő: 269 nap
- b) Személyreszabott Facebook ajánlatok
Az adatkezelés ideje: legfeljebb 180 nap
- c) A Hotel reklámjaira történő klikkelés figyelése
Az adatkezelési idő: 2 év
Amennyiben az 1. pontban foglalt bármely jogát a fentiekkel kapcsolatban kívánja gyakorolni, vagy egyéb okból kíván kapcsolatba lépni velünk a fenti adatkezelés kapcsán, kérjük, jelezze felénk az gdpr@mysteryhotelbudapest.com címre küldött e-mail útján.
3. [Adatkezelés a Szálloda Facebook, Instagram és LinkedIn oldalán]
(1) Szállodánk termékei, szolgáltatásai megismertetése, népszerűsítése céljából Facebook, Instagram és LinkedIn (a továbbiakban együtt: közösségi oldal) oldalt tartunk fenn saját részről vagy adatfeldolgozóinkon keresztül.
(2) A Szálloda részére a közösségi oldalon tett adatkezelési panasz nem minősül hivatalosan benyújtott panasznak.
(3) A Szálloda közösségi oldalán a látogatók által közzétett személyes adatokat nem kezeljük.
(4) A látogatókra a közösségi oldal Adatvédelmi- és Szolgáltatási Feltételei irányadók.
(5) A közösségi oldalunkon tett jogellenes, vagy sértő tartalom publikálása esetén a Szálloda előzetes értesítés nélkül kizárhatja az érintettet az oldal kedvelői közül és törölheti hozzászólását.
(6) Szállodánk nem felel a közösségi oldal felhasználói által a közösségi oldalunkon közzétett jogszabályt sértő adattartalmakért, hozzászólásokért. Szállodánk nem felel semmilyen személyes adatok védelmét érintő, a közösségi oldal működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének megváltoztatásából fakadó problémáért.
(7) A jelen szakaszban foglalt rendelkezések megfelelően irányadók a jövőben további közösségi oldalakon létrehozott felületeinkre is.
4. [Hírlevél szolgáltatáshoz kapcsolódó adatkezelés]
(1) Szállodánk weboldalán a hírlevél szolgáltatásra regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. A négyzetet Szállodánk előre nem jelöli be. A feliratkozás során jelen adatkezelési tájékoztatót egy linkkel elérhetővé tesszük. A hírlevélről az érintett az e-mail útján érkező hírlevél „Leiratkozás”/„Unsubscribe” gombjának használatával vagy e-mailben tett nyilatkozattal bármikor leiratkozhat, amely a hozzájárulás visszavonását jelenti. Ilyen esetben a leiratkozó minden adatát haladéktalanul töröljük.
(2) A kezelhető személyes adatok köre a természetes személy:
1. neve (vezetéknév, keresztnév);
2. e-mail címe.
(3) A személyes adatok kezelésének célja:
1. Hírlevél küldése a Szálloda termékei, szolgáltatásai tárgyában;
2. Reklámanyag küldése.
(4) Az adatkezelés jogalapja az érintett hozzájárulása.
(5) A személyes adatok címzettjei, illetve a címzettek kategóriái Szállodánk ügyfélszolgálattal, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként a IT szolgáltatónk munkavállalói a tárhelyszolgáltatás, reklámtevékenység és fejlesztés teljesítése céljából.
(6) A személyes adatok tárolásának időtartama a hírlevél-szolgáltatás fennállásáig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig) tart.
VI. Fejezet
A Szálloda vendégeinek adatkezelésére vonatkozó különös rendelkezések
1. [Szobafoglalás a Szálloda weboldalán keresztül]
(1) Szállodánk szerződés teljesítése jogcímén a szállodai szolgáltatás nyújtásához szükséges szerződés megkötése, teljesítése, megszűnése vagy szerződési kedvezmény nyújtása céljából kezeli a vele vendégként szerződött természetes személy
1. vezeték- és keresztnevét,
2. e-mail címét,
3. fizetési adatait (fizetés módja, kártyatulajdonos neve, bankkártya-adatok).
(2) Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei a Szálloda, annak munkavállalói és adatfeldolgozói. A személyes adatok tárolásának időtartama – a 3. pontban foglalt fizetési adatok kivételével – a mindenkori irányadó jogszabályban meghatározott idő, ennek hiányában, illetve ennek megfelelően a szerződés megszűnését követő 5 év, ezt követően azok törlésre kerülnek.
(3) Szállodánk szerződés teljesítése jogcímén a szállodai szolgáltatás nyújtásához szükséges szerződés megkötése, teljesítése, megszűnése vagy szerződési kedvezmény nyújtása céljából kezeli a vele vendégként szerződött természetes személy fizetési adatait (fizetés módja, kártyatulajdonos neve, bankkártya-adatok). Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
A kezelt adatok köre: fizetés módja, kártyatulajdonos neve (kártyán szereplő név), kártyaszám, lejárati idő.
Az adatkezelés jogalapja: a szerződés teljesítése jogcímén alapul. A tájékoztatás történhet a szerződésben is. Az adatok megadása a szerződéssel vállalt szolgáltatás nyújtásának feltétele.
Az adatok címzettje: A személyes adatok címzettjei a Szálloda, annak munkavállalói és adatfeldolgozói. Ha az érintett a szállodai szolgáltatás díját bankkártyás fizetés útján fizeti meg, a fizetési adatok címzettje a Szállodával szerződött, fizetési szolgáltatások lebonyolítását végző adatfeldolgozó. A Szálloda fizetési adatokra nem lát rá, kizárólag egy, az adatfeldolgozón keresztül a fizetéshez köthető, de a természetes személyre visszavezethetetlen TOKEN kódot kap. A fizetési szolgáltatást végző adatfeldolgozó rendelkezik a szükséges biztonságtechnikai és informatikai intézkedésekkel és rendszerekkel, amelyek biztosítják a fizetési adatok biztonságos kezelését. Ha a fizetési szolgáltatás rendszerének ideiglenes működésképtelensége vagy egyéb hiánya esetén szükséges, a fizetési adatokat Szálloda titkosítva kezeli.
Az adatok tárolásának időtartama: A bankkártya adatok titkosításra kerülnek, felfedésük csak a tranzakció érdekében, kizárólag az arra jogosult személy részére lehetséges. A szolgáltatás nyújtásának befejeztét követően az adatok többé nem fedhetők fel, a hozzáférés nem lehetséges. Az adatok 8 év után törlésre kerülnek.
(4) Az érintett természetes személlyel az adatkezelés megkezdése előtt a Szálloda weboldalára feltöltött adatvédelmi tájékoztatójában közli, hogy az adatkezelés a szerződés teljesítése jogcímén alapul. A tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról is tájékoztatni kell.
2. [Szobafoglalás a Szállodánk recepcióján]
Szállodánk szerződés teljesítése jogcímén a szállodai szolgáltatás nyújtásához szükséges szerződés megkötése, teljesítése, megszűnése vagy szerződési kedvezmény nyújtása céljából a Szálloda recepcióján biztosított adatkérő lap kitöltése útján kezeli a vele vendégként szerződött természetes személy
1. vezeték- és keresztnevét,
2. születési idejét,
3. útlevélszámát vagy személyi igazolvány számát,
4. állampolgárságát,
5. címét,
6. e-mail címét,
7. telefonszámát,
8. a vendéggel együtt a szállodai szolgáltatást igénybe vevő természetes személyek nevét, mint további vendégek
9. a szállodai szolgáltatás igénybevételének típusát (szabadidő, üzleti, rendezvény, egyéb),
10. a vendég aláírását.
Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei a Szálloda, annak munkavállalói és adatfeldolgozói. A személyes adatok tárolásának időtartama a mindenkori irányadó jogszabályban meghatározott idő, ennek hiányában, illetve ennek megfelelően a szerződés megszűnését követő 5 év, ezt követően azok törlésre kerülnek.
Ha a természetes személy vendég a Szálloda recepcióján fizeti meg a szállodai szolgáltatás díját bankkártyás fizetés útján, a Szálloda a fizetési adatokat az előző 4. pont (3) bekezdésében foglaltak szerint kezeli.
3. [Szobafoglalás telefonon és e-mail útján]
A jelen szakaszban foglaltakra a jelen fejezet 1. és 2. pontjában foglaltak megfelelően irányadók.
4. [Szobafoglalás harmadik személy ügynökség közreműködésével]
(1) Szállodánk szerződés teljesítése jogcímén a szállodai szolgáltatás nyújtásához szükséges szerződés megkötése, teljesítése, megszűnése vagy szerződési kedvezmény nyújtása céljából harmadik személy, ügynökség szolgáltatását veheti igénybe.
(2) Az (1) bekezdésben foglalt szolgáltatás során az érintett természetes személy személyes adatait a harmadik személy ügynökség, mint adatkezelő részére adja meg és a harmadik személy ügynökség továbbítja az érintett természetes személy foglaláshoz szükséges adatait Szálloda részére. Ha a szállodai szolgáltatást az érintett személy igénybe veszi, Szálloda a beérkező adatokat befogadja, kezeli és adatkezelőként tartja nyilván a a jelen fejezet 1. és 2. pontjában foglaltaknak megfelelően.
5. [Adatkezelés a Szállodánk rendezvényein]
(1) Szállodánk az érintett hozzájárulása jogcímén – ha az a jelen szakaszban foglalt jogszabályi feltételeknek, bírói gyakorlatnak és tájékoztatásnak megfelel – kezeli a Szálloda területén biztosított rendezvények során a rendezvényen résztvevő érintett természetes személy alábbi adatait:
1. név,
2. e-mail cím,
3. képmás-, hang- és mozgóképfelvétel.
(2) Az érintett természetes személy hozzájárulását az adatkezelés megkezdése előtt kell kérni. Az érintett személy kérésére minden esetben törölni kell a róla készült kép-, hang- és mozgóképfelvételt.
(3) A Szálloda a jelen szakaszban foglalt (1) bekezdés 1. pontja szerinti adatkezelést az alábbiak figyelembevételével végzi:
a) Az Infotv. rendelkezései alapján egy ember arca, képmása személyes adatnak, a képfelvétel készítése, valamint az adatokon elvégzett bármely művelet adatkezelésnek minősül, amelyhez az érintett személy hozzájárulása szükséges. A hozzájárulásnak önkéntesnek, határozottnak és megfelelő tájékoztatáson alapulónak kell lennie, amellyel az érintett félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat teljes körű vagy egyes műveletekre kiterjedő kezeléséhez.
b) Kiskorú személyek esetében a 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges. A 16. életév betöltése után a kiskorú önállóan nyilatkozhat személyes adatainak felhasználásáról, az erre vonatkozó jognyilatkozatához nem szükséges törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása. 16. életév betöltése előtt azonban minden esetben szükség van a törvényes képviselő előzetes vagy utólagos jóváhagyására, ellenkező esetben az adatkezeléshez adott hozzájárulás semmisnek tekintendő, és az adatkezelés jogalap hiányában jogellenesnek minősül.
c) A hozzájárulás megadható ráutaló magatartással. A hozzájárulásnak önkéntesnek, határozottnak és megfelelő tájékoztatáson alapulónak kell lennie, más esetben nem tekinthető elfogadhatónak. A tájékoztatást követően a rendezvény helyszínére történő belépés, az azon való részvételt a Szálloda ráutaló magatartásnak tekinti. Ilyen ráutaló magatartásnak minősül, ha az érintett személy tudja, hogy abban a helyiségben, ahová belép, felvétel készül vagy készülhet. Azonban a fénykép-, hang- vagy videofelvétel készítéséhez való hozzájárulás nem jelenti egyben a felhasználás engedélyezését is, mivel a felhasználásra vonatkozó rendelkezési jog önálló, független a felvételkészítés engedélyezésétől.
d) A kép-, hang- és mozgókép elkészítéséhez – akár ráutaló magatartással megvalósuló – hozzájárulás nem jelent egyben felhatalmazást a felvételek nyilvánosságra hozatalára is. Így a – tömegfelvételek kivételével – kép-, hang- és mozgóképfelvételek közzétételéhez be kell szerezni az érintett személyek önkéntes hozzájárulását. Ha egy esetleges nem szabályszerű adatkezelés – így pl. a hozzájárulás hiánya ellenére történő adatkezelés – miatt eljárás indulna az adatkezelővel szemben, az adatkezelőnek kell bizonyítania az adatkezelés jogszerűségét, hiszen a hatályos jogszabályi rendelkezésknek megfelelően kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Ezért adatkezelői szempontból a jelen d) pontban foglalt felhasználáshoz, tömegfelvételek kivételével alapvetően a hozzájáruló nyilatkozat írásba foglalása javasolt.
e) A Polgári Törvénykönyv rendelkezéseinek megfelelően nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén. Az elkészített felvételek tekintetében esetről-esetre szükséges azt vizsgálni, hogy a fénykép tömegfelvételnek minősül-e, ellenkező esetben azonban kizárólag az érintett személyek, illetve – a 16. életévét be nem töltött kiskorúak esetében – a szülők hozzájárulásával minősül jogszerűnek a képfelvételek közzététele.
f) Szálloda a rendezvényeken történő adatkezelésről a weboldalán közzétett és a recepción elhelyezett adatkezelési és adatvédelmi tájékoztatójában tájékoztatja az érintetteket. A Szálloda emellett szükség esetén a rendezvényre történő belépéskor külön tájékoztatón (regisztrációs lapon vagy a rendezvényre váltott belépőjegy hátoldalán) feltünteti a hozzájáruláshoz kötött adatkezelésről szóló tájékoztatást. A Szálloda tájékoztatja az érintettet az adatkezelő személyéről, az adatkezelés céljáról, a felvételek elérhetőségének helyéről, továbbá arról, hogy milyen módon kérheti azt az érintett személy, hogy a felvételt ne hozzák nyilvánosságra, illetve miként van lehetőség a felvétel törlésére, továbbá, hogy a részletes és minden releváns tényt tartalmazó adatkezelési tájékoztatót hol ismerhetik meg.
6. [Ételérzékenységet, ételallergiát érintő adatkezelés]
Szállodánk mind állandó vendégei, mind rendezvényeken, illetve egyéb eseményeken résztvevő vendégei egészségügyi biztonsága érdekében kezeli az érintett ételérzékenységre, ételallerigára vonatkozó személyes adatát, amely a Rendelet 6. cikk értelmében különleges egészségügyi adatnak minősül. A Szálloda által kezelt adat: az ételérzékenység, ételallergia fajtája. A Szálloda az adatot az eseményt követő napig, illetve addig kezeli, amíg a vendég a Szállodával szerződéses viszonyban áll (amíg a foglalása tart). Ezt követően az adatok törlésre kerülnek.
VII. Fejezet
Biztonsági, személy-és vagyonvédelmi kamerarendszer alkalmazása
1. [Személy-és vagyonvédelmi célú kamerás megfigyeléssel kapcsolatos adatkezelés]
(1) Szállodánk területén a vendégek fogadásra nyitva álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely képfelvétel rögzítését teszi lehetővé, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
(2) Az adatkezelés jogalapja Szállodánk jogos érdekeinek érvényesítése és az érintett hozzájárulása.
(3) Szállodánk köteles az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást (a jelen 1. pont vonatkozásában a továbbiakban együtt: tájékoztatás) elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó képfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is.
(4) A megfigyelt területre belépő személyekről felvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható különösen úgy, ha a megfigyelt területre belépő természetes személy az annak bejáratánál kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról szóló tájékoztató jelzés, ismertetés ellenére a területre bemegy.
(5) A rögzített felvételek felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg, ezt követően azok törlésre kerülnek. Felhasználásnak minősül, ha a rögzített képfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánnak felhasználni.
(6) Akinek jogát vagy jogos érdekét a képfelvétel adatának rögzítése érinti, a képfelvétel rögzítésétől számított 3 (három) munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot az adatkezelő ne semmisítse meg, illetve ne törölje.
(7) Nem lehet kamerás megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen a szállodai szobákban, az öltözőkben, zuhanyzókban, az illemhelyiségekben. A kamera-állása nem irányulhat kifejezetten az érintett megfigyelésének céljára. Az a tény, hogy a kamera látószöge összességében magában foglalja azt a munkaterületet is, amelyen a érintett tevékenységét ellátja, nem minősül a érintett kifejezett megfigyelésének, ha azon a érintett arányos és indokolt mértékben szerepel [pl. recepciót/konyhát és környezetét megfigyelő kamera, amely felvétel nem kifejezetten, kizárólag és egyértelműen a recepción/konyhán/előtérben tartózkodó figyelemmel kísérésére irányul, de a biztonsági szempontból megfigyelt területtel (pl. recepció környéke) együtt a felvételen, arányosan és indokolt mértékben a érintett és így esetlegesen annak tevékenysége is szerepel].
(8) Ha a Szállodánk területén jogszerűen senki sem tartózkodhat – így különösen üzemidőn kívül – akkor a munkahely teljes területe megfigyelhető.
(9) A kamerás megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzése céljából a megfigyelőrendszert kezelő személyzet, Szállodánk vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
VIII. Fejezet
Adatbiztonsági intézkedések
1. [Adatbiztonsági intézkedések]
(1) Szállodánk valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adatvédelem érvényesülése érdekében szükségesek.
(2) Szállodánk az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.
(3) Szállodánk a személyes adatokat bizalmas adatként minősíti és kezeli. Munkavállalóinkkal és adatfeldolgozó partnereinkkel a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget írunk elő.
(4) Szállodánk az informatikai rendszert tűzfallal védi, és vírusvédelemmel látja el.
(5) Szállodánk weboldalán át érkező adatok vonatkozásában az elektronikus adatfeldolgozást, nyilvántartást számítógépes informatikai rendszer útján végzi, amely megfelel az adatbiztonság követelményeinek. Az informatikai rendszer biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.
(6) Ha az érintett természetes személyek adatait Szállodánk adatkezelési tevékenysége körében erre alkalmas papír alapú dokumentumon kezeli, azokat Szállodánk székhelyén, zártan kell kezelni és őrizni, a Szabályzatban és jelen Tájékoztatóban foglalt előírásoknak megfelelően (jogalap, kezelt adatok köre, megőrzési idő).
(7) Szállodánk a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.
(8) A folyamatban levő munkavégzés, feldolgozás alatt levő személyes adatot tartalmazó dokumentumokhoz csak az illetékes személyek férhetnek hozzá, azokat biztonságosan elzárva kell tartani.
(9) Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.
(10) A jelen fejezetben foglalt adatbiztonsági intézkedések figyelembevétele és az előírások szigorú betartása munkaköri kötelezettsége Szállodánk minden munkavállalójának.
IX. Fejezet
Az adatvédelmi incidensek kezelése
1. [Az adatvédelmi incidens fogalma]
(1) Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. (GDPR Rendelet 4. cikk 12.)
(2) A leggyakoribb jelentett incidensek lehetnek többek között: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása; adatok nem biztonságos továbbítása, ügyfél-, vendég-, vevő-, partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.
2. [Adatvédelmi incidensek kezelése, orvoslása]
(1) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása Szállodánk vezetőjének feladata.
(2) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.
(3) Ha Szállodánk ellenőrzésre jogosult dolgozói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell Szállodánk vezetőjét.
(4) Szállodánk munkavállalói kötelesek jelenteni Szállodánk vezetőjének, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.
(5) Adatvédelmi incidens bejelenthető Szállodánk központi e-mail címén, telefonszámán, így a vendégek, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.
(6) Adatvédelmi incidens bejelentése esetén Szállodánk vezetője – az informatikai, pénzügyi és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről vagy téves felhívásról van szó. Meg kell vizsgálni és meg kell állapítani:
a) az incidens bekövetkezésének időpontját és helyét,
b) az incidens leírását, körülményeit, hatásait,
c) az incidens során kompromittálódott adatok körét, számosságát,
d) a kompromittálódott adatokkal érintett személyek körét,
e) az incidens elhárítása érdekében tett intézkedések leírását,
f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
(7) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.
3. [Adatvédelmi incidensek nyilvántartása]
(1) Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
(2) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
X. Fejezet
Az érintett személy jogai, jogorvoslat
Az alábbiakban Szállodánk tájékoztatja érintettet a személyes adatok védelme tekintetében az érintett természetes személyt megillető jogokról és jogorvoslati lehetőségeiről.
1. [Előzetes tájékozódáshoz való jog]
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. (GDPR Rendelet 13-14. cikk)
2. [Az érintett hozzáférési joga]
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a GDPR Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon. (GDPR Rendelet 15. cikk).
3. [A helyesbítéshez való jog]
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. (GDPR Rendelet 16. cikk).
4. [A törléshez való jog („az elfeledtetéshez való jog”)]
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeletben meghatározott indokok valamelyike fennáll. (GDPR Rendelet 17. cikk)
5. [Az adatkezelés korlátozásához való jog]
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha a rendeltben meghatározott feltételek teljesülnek. (GDPR Rendelet 18. cikk)
6. [A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség]
Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
(GDPR Rendelet 19. cikk)
7. [Az adathordozhatósághoz való jog]
A GDPR Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. (GDPR Rendelet 20. cikk)
8. [A tiltakozáshoz való jog]
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló okból. (GDPR Rendelet 21. cikk)
9. [Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást]
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. (GDPR Rendelet 22. cikk)
10. [Korlátozások]
Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel, a GDPR Rendeletben meghatározott esetekben korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében a személyes adatok kezelésére vonatkozó (GDPR Rendelet 5. cikk) jogok és kötelezettségek hatályát. (GDPR Rendelet 23. cikk)
11, [Az érintett tájékoztatása az adatvédelmi incidensről]
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. (GDPR Rendelet 34. cikk)
12. [A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)]
Az érintett jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR Rendeletet. (GDPR Rendelet 77. cikk)
13. [A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog]
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. (GDPR Rendelet 78. cikk)
14. [Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog]
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR Rendeletnek nem megfelelő kezelése következtében megsértették a GDPR Rendelet szerinti jogait. (GDPR Rendelet 79. cikk)
XI. Fejezet
Az érintett kérelmének előterjesztése, a Szálloda/Szálloda adatkezelő intézkedései
1. [Intézkedések az érintett kérelme alapján]
(1) Szállodánk, mint adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
(2) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) Szállodánk a GDPR Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költséget számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(6) Ha Szállodánknak, mint adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
2. A felügyeleti hatóság elérhetőségei:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Postacím: 1530 Budapest, Pf.: 5.
E-mail: ugyfelszolgalat@naih.hu
Telefonszám: +36 (1) 391-1400