1. A szabályzat célja
A szabályzat célja, hogy a jogszabályi előírásoknak megfelelően az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényre (a továbbiakban: Infotv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 [GDPR] Rendelet rendelkezéseire tekintettel, tájékoztassa az érintetteket a 2. pontban foglalt adatkezelő által kezelt személyes adataik köréről, az adatkezelés céljáról, módjáról, illetve az adatok kezelésével kapcsolatos minden egyéb tényről, így különösen, de nem kizárólagosan az adatkezeléssel kapcsolatos jogaikról és az általuk igénybe vehető jogorvoslati lehetőségekről.
2. Az adatkezelő neve, székhelye képviselője
Név: Spirit Hotel Kft.
Székhelye: 1061 Budapest, Andrássy út 2.
Törvényes képviselő: Dr. Bálintfy Gábor ügyvezető
Kapcsolattartó adatvédelmi ügyekben: Dr. Jeszenszki Gábor ügyvéd
3. Adatvédelmi tisztviselő neve és elérhetőségei, jogállása, feladatai
Dr. Morvay Boldizsár – dr.morvay@balintfy.hu
Az adatvédelmi tisztviselő jogállása
Az adatvédelmi tisztviselő feladatai
4. Adatkezelésre vonatkozó jogszabályok
5. A jelen szabályzat által használt fogalmak
6. Adatvédelmi hatásvizsgálat
A természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel. A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel-e a GDPR-nak. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a Nemzeti Adatvédelmi és Információszabadság Hatósággal (NAIH) konzultálni kell. Amennyiben a későbbiekben magas kockázatú adatkezelések kapcsán adatvédelmi hatásvizsgálat elvégzése válik szükségessé, úgy annak elvégzésére a francia adatvédelmi hatóság (Commission Nationale de l’Informatique et des Libertés, a továbbiakban: CNIL) által közzétett és a NAIH által is ajánlott nyílt forráskódú szoftver (eredeti elnevezéssel: „PIA software”, a továbbiakban: hatásvizsgálati szoftver) segítségével kerül sor.
Az adatvédelmi hatásvizsgálat kapcsán az adatkezelő külön szabályzatot készít.
7. Érdekmérlegelési teszt – jogos érdeken alapuló adatkezelés esetében
A jogos érdek (GDPR 6. § (1) f) pont) alapján történő adatkezelés esetében az érdekmérlegelési teszt elvégzésére a NAIH/2015/3731/2/V állásfoglalása alapján kerül sor. Ennek alapján az érdekmérlegelési teszt egy több lépcsős folyamat, melynek során azonosítani kell az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező adatalanyi érdeket, érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.
Az érdekmérlegelési teszt alkalmazott lépései:
1. lépés – annak vizsgálata, hogy szükséges-e adatkezelés vagy megoldható máshogy
2. lépés – a jogos érdek lehető legpontosabb meghatározása
3. lépés – az adatkezelés céljának meghatározása, milyen személyes adatok, meddig tartó kezelését igényli az adatkezelés
4. lépés – az érintettek szempontjainak meghatározása
5. lépés – a mérlegelés elvégzése
Az érdekmérlegelési tesztről az adatkezelő külön szabályzatot készít.
8. A személyes adatok kezelése és védelme
8.1. Adatkezelő feladat és hatásköre, felelőssége
Az elsődleges adatkezelést végző adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
8.2. Adatfeldolgozó feladat és hatásköre, felelőssége
Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit jelen szabályzat, valamint a vonatkozó jogszabályok keretei között az adatkezelő határozza meg. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót az adatkezelő rendelkezése szerint vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának is alapjául szolgálhat.
9. Alapelvek és alapvető rendelkezések
10. Érintettek jogai
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR. 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) ha a személyes adatokat az adatkezelő jogellenesen kezelte;
e) ha a személyes adatokat jogszabály alapján törölni kell;
f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor (gyermek hozzájárulására vonatkozó feltételek).
Az adatot az adatkezelő nem törli, amennyiben az adatkezelés a következő okok
valamelyike miatt szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró jog szerinti kötelezettség teljesítése céljából;
c) vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. Az adatkezelés korlátozása estén a korlátozással érintett személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. A korlátozás feloldásáról az adatkezelő előzetesen tájékoztatást nyújt az érintettnek.
11. Az adatkezelés részletes szabályai
11.1. Tájékoztatás az adatkezelésről
Az érintettek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles- e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.
A tájékoztatásnak az alábbiakról kell szólnia:
11.2 Az adatkezelés jogszerűsége
A személyes adatok kezelése akkor jogszerű, ha az adatkezelő az adatkezeléshez az adatkezeléshez az alábbi jogalapok valamelyikével rendelkezik:
s adatok köre, az adatkezelés célja, jogalapja időtartamát a jelen szabályzat 1. számú mellékletét képező adatkezelési tevékenységek nyilvántartása tartalmazza, mely nyilvántartást az adatkezelő a honlapján nyilvánosságra hoz.
Az adatkezelési nyilvántartás tartalmazza:
Az adatkezelési nyilvántartásban feltűntetett adatkezelések kapcsán külön adatkezelési tájékoztatók készültek, melyek a nyilvántartás 1-21. számú mellékletét képezik.
11.4. Adatkezelés időtartama
Az adatokat csak a lehető legrövidebb ideig lehet tárolni. Ennek az időtartamnak a meghatározásánál figyelembe kell venni, hogy az adatkezelő milyen okból végez adatkezelést, valamint az adatok meghatározott ideig történő megőrzésére irányuló jogi kötelmeket.
11.5. Belső adattovábbítás
Az adatkezelő szervezetén belül személyes adatok csak a célhoz kötöttség elvének megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az adatokhoz hozzáférési jog.
11.6. Adattovábbítás harmadik személyek részére
Személyes adatot továbbítani harmadik személy részére csak törvény alapján, vagy az érintett hozzájárulásával lehet, ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az adattovábbítást megelőzően az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e. Ugyanazon adatkezelők számára történő, azonos érintettre vonatkozó, és azonos célú adattovábbítás előtt az adattovábbítás jogszerűségének vizsgálatába az adatvédelmi tisztviselőt is be kell vonni. Az ezt követő adattovábbítások során külön vizsgálatot lefolytatni nem kell. Az adatvédelmi tisztviselő az adattovábbításról adattovábbítási nyilvántartást köteles vezetni, és a szabályoknak megfelelően tárolni. Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) kell megőrizni.
Az adattovábbítási nyilvántartás tartalmazza:
11.7 Adattovábbítás külföldre vagy harmadik országba
Az adattovábbítást megelőzően – az adatvédelmi tisztviselő bevonásával – az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.
11.8 Az adatkezelőnél különleges adatok kezelésére nem kerül sor, ideértve a biometrikus adatokat.
12. Adatvédelmi incidens
Adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
12.1 Adatvédelmi incidens bejelentése
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
12.2 Adatvédelmi incidens kivizsgálása, kezelése
Az adatvédelmi tisztviselő a bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.
Az adatszolgáltatásnak tartalmaznia kell
Az adatvédelmi tisztviselő javaslatot tesz a szükséges intézkedésre. Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok
kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedések végrehajtását követő 2 munkanapon belül köteles az adatvédelmi tisztviselőt tájékoztatni.
12.3 Adatvédelmi incidensek nyilvántartása
Az adatkezelő köteles az adatvédelmi incidensek nyilvántartására. A GDPR értelmében az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy képes legyen a sebezhetőségek és biztonsági incidensek felderítésére és értékelésére. Így, az adatvédelmi incidensek dokumentálásán felül az adatkezelő köteles megfelelő folyamatokat és intézkedéseket alkalmazni abból a célból, hogy a biztonsági incidenseket időben felderítse és kezelje.
13. A jelen szabályzat hatálya, módosítása
A jelen szabályzat 2019. március 1-jén napján lép hatályba. A szabályzatot az adatkezelő bármikor jogosult önállóan módosítani – amennyiben a módosítás a hatályos jogszabályokba nem ütközik. A szabályzat az adatkezelő székhelyén tekinthető meg.
Budapest, 2019. március 1.
Spirit Hotel Kft.
Dr. Bálintfy Gábor ügyvezető
Ez a weboldal sütik segítségével javítja az Ön élményét, miközben Ön a weblapon navigál. Ezek közül a sütik közül a szükséges kategóriába sorolt sütik az Ön böngészőjében tárolódnak, mivel nélkülözhetetlenek a weboldal alapvető funkcióinak működéséhez. Ezenkívül harmadik féltől származó sütiket is használunk, amelyek segítenek nekünk elemezni és megérteni, hogyan használja ezt a weboldalt. Ezeket a sütiket csak az Ön hozzájárulásával tárolja az Ön böngészőjében. Önnek lehetősége van ezeknek a sütiknek a letiltására is. Ezeknek a sütiknek a letiltása azonban hatással lehet a böngészési élményre. Elolvasom az Adatvédelmi Tájékoztatót
A szükséges sütik nélkülözhetetlenek a webhely megfelelő működéséhez. Ez a kategória csak azokat a sütiket tartalmazza, amelyek biztosítják a weboldal alapvető funkcióit és biztonsági jellemzőit. Ezek a sütik nem tárolnak semmilyen személyes információt.
Azokat a sütiket, amelyek nem feltétlenül szükségesek a weboldal működéséhez, és amelyeket kifejezetten a felhasználói személyes adatok gyűjtésére használnak elemzésen, hirdetéseken és más beágyazott tartalmakon keresztül, nem szükséges sütiknek hívják. A sütik weboldalán történő futtatása előtt kötelező beszerezni a felhasználó hozzájárulását.