A szabályzat célja, hogy a jogszabályi előírásoknak megfelelően az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényre (a továbbiakban: Infotv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 [GDPR] Rendelet rendelkezéseire tekintettel, tájékoztassa az érintetteket a 2. pontban foglalt adatkezelő által kezelt személyes adataik köréről, az adatkezelés céljáról, módjáról, illetve az adatok kezelésével kapcsolatos minden egyéb tényről, így különösen, de nem kizárólagosan az adatkezeléssel kapcsolatos jogaikról és az általuk igénybe vehető jogorvoslati lehetőségekről.
Az adatvédelmi tisztviselő jogállása
Az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Biztosítani kell, hogy az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges források rendelkezésre álljanak.
Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval sem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
Az érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Az adatvédelmi tisztviselő más feladatokat is elláthat, de a feladatokkal kapcsolatban összeférhetetlenség ne álljon fenn.
Az adatvédelmi tisztviselő feladatai:
- Magyarország Alaptörvénye, VI. cikk;
- Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: az „Infotv.”);
- A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU Rendelet (GDPR).
A természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel. A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel-e a GDPR-nak. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a Nemzeti Adatvédelmi és Információszabadság Hatósággal (NAIH) konzultálni kell. Amennyiben a későbbiekben magas kockázatú adatkezelések kapcsán adatvédelmi hatásvizsgálat elvégzése válik szükségessé, úgy annak elvégzésére a francia adatvédelmi hatóság (Commission Nationale de l'Informatique et des Libertés, a továbbiakban: CNIL) által közzétett és a NAIH által is ajánlott nyílt forráskódú szoftver (eredeti elnevezéssel: „PIA software”, a továbbiakban: hatásvizsgálati szoftver) segítségével kerül sor.
Az adatvédelmi hatásvizsgálat kapcsán az adatkezelő külön szabályzatot készít.
A jogos érdek (GDPR 6. § (1) f) pont) alapján történő adatkezelés esetében az érdekmérlegelési teszt elvégzésére a NAIH/2015/3731/2/V állásfoglalása alapján kerül sor. Ennek alapján az érdekmérlegelési teszt egy több lépcsős folyamat, melynek során azonosítani kell az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező adatalanyi érdeket, érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.
Az érdekmérlegelési teszt alkalmazott lépései:
Az érdekmérlegelési tesztről az adatkezelő külön szabályzatot készít.
8.1. Adatkezelő feladat és hatásköre, felelőssége
Az elsődleges adatkezelést végző adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
8.2. Adatfeldolgozó feladat és hatásköre, felelőssége
Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit jelen szabályzat, valamint a vonatkozó jogszabályok keretei között az adatkezelő határozza meg. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót az adatkezelő rendelkezése szerint vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának is alapjául szolgálhat.
- Jogszerűség, tisztességes eljárás és átláthatóság alapelve:
(Az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie, valamint az érintett számára átláthatónak. )
- Célhoz kötöttség alapelve:
(Az Infotv. szerint személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.)
- Adattakarékosság elve:
(Az adattakarékosság elve alapján az adatkezelő csak olyan személyes adatot kezelhet, amely az adatkezelés céljának megvalósuláshoz feltétlen szükséges)
- Pontosság elve:
(Az adatkezelő által kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.)
- Korlátozott tárolhatóság alapelve:
(A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.)
- Integritás és bizalmas jelleg elve:
(A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.)
- Elszámoltathatóság alapelve:
(Az adatkezelő felelős az adatkezelési elveknek és szabályoknak való megfelelésért, ezen túlmenően képesnek is kell lennie e megfelelés igazolására.)
- Adatbiztonság elve:
(Az adatkezelő az adatkezelési műveleteket úgy tervezi meg és hajtja végre, hogy az Infotv. és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét. Az adatkezelő gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatkezelő az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az adatkezelő megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok - kivéve ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A biztonság fenntartása és a GDPR-t sértő adatkezelés megelőzése érdekében az adatkezelő értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés – mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.
- Hozzáférés joga:
(Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon, valamint tájékoztatást kapjon a kezelésükkel kapcsolatos körülményekről. Az adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
- A helyesbítéshez való jog:
(Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, valamint, hogy kérje a hiányos személyes adatok kiegészítését.)
- A törléshez való jog:
(Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
Az adatot az adatkezelő nem törli, amennyiben az adatkezelés a következő okok valamelyike miatt szükséges:
- Az adatkezelés korlátozásához való jog:
(Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, amennyiben az alábbiak valamelyike teljesül:
- A tiltakozáshoz való jog:
(Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.)
- Az adathordozhatósághoz való jog:
(Az érintett jogosult arra, hogy a rá vonatkozó személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha: a) az adatkezelés a GDPR. 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és b) az adatkezelés automatizált módon történik.)
11.1. Tájékoztatás az adatkezelésről
Az érintettek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles- e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.
A tájékoztatásnak az alábbiakról kell szólnia:
11.2 Az adatkezelés jogszerűsége
A személyes adatok kezelése akkor jogszerű, ha az adatkezelő az adatkezeléshez az adatkezeléshez az alábbi jogalapok valamelyikével rendelkezik:
11.3 Az adatkezelő által kezelt személyes adatok köre, az adatkezelés célja, jogalapja időtartamát a jelen szabályzat 1. számú mellékletét képező adatkezelési tevékenységek nyilvántartása tartalmazza, mely nyilvántartást az adatkezelő a honlapján nyilvánosságra hoz.
Az adatkezelési nyilvántartás tartalmazza:
Az adatkezelési nyilvántartásban feltűntetett adatkezelések kapcsán külön adatkezelési tájékoztatók készültek, melyek a nyilvántartás 1-21. számú mellékletét képezik.
11.4. Adatkezelés időtartama
Az adatokat csak a lehető legrövidebb ideig lehet tárolni. Ennek az időtartamnak a meghatározásánál figyelembe kell venni, hogy az adatkezelő milyen okból végez adatkezelést, valamint az adatok meghatározott ideig történő megőrzésére irányuló jogi kötelmeket.
11.5. Belső adattovábbítás
Az adatkezelő szervezetén belül személyes adatok csak a célhoz kötöttség elvének megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az adatokhoz hozzáférési jog.
11.6. Adattovábbítás harmadik személyek részére
Személyes adatot továbbítani harmadik személy részére csak törvény alapján, vagy az érintett hozzájárulásával lehet, ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az adattovábbítást megelőzően az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e. Ugyanazon adatkezelők számára történő, azonos érintettre vonatkozó, és azonos célú adattovábbítás előtt az adattovábbítás jogszerűségének vizsgálatába az adatvédelmi tisztviselőt is be kell vonni. Az ezt követő adattovábbítások során külön vizsgálatot lefolytatni nem kell. Az adatvédelmi tisztviselő az adattovábbításról adattovábbítási nyilvántartást köteles vezetni, és a szabályoknak megfelelően tárolni. Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) kell megőrizni.
Az adattovábbítási nyilvántartás tartalmazza:
11.7 Adattovábbítás külföldre vagy harmadik országba
Az adattovábbítást megelőzően – az adatvédelmi tisztviselő bevonásával – az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.
11.8 Az adatkezelőnél különleges adatok kezelésére nem kerül sor, ideértve a biometrikus adatokat.
Adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
12.1 Adatvédelmi incidens bejelentése
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
12.2 Adatvédelmi incidens kivizsgálása, kezelése
Az adatvédelmi tisztviselő a bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.
Az adatszolgáltatásnak tartalmaznia kell:
Az adatvédelmi tisztviselő javaslatot tesz a szükséges intézkedésre. Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedések végrehajtását követő 2 munkanapon belül köteles az adatvédelmi tisztviselőt tájékoztatni.
12.3 Adatvédelmi incidensek nyilvántartása
Az adatkezelő köteles az adatvédelmi incidensek nyilvántartására. A GDPR értelmében az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy képes legyen a sebezhetőségek és biztonsági incidensek felderítésére és értékelésére. Így, az adatvédelmi incidensek dokumentálásán felül az adatkezelő köteles megfelelő folyamatokat és intézkedéseket alkalmazni abból a célból, hogy a biztonsági incidenseket időben felderítse és kezelje.
A jelen szabályzat 2018. november 30. napján lép hatályba. A szabályzatot az adatkezelő bármikor jogosult önállóan módosítani - amennyiben a módosítás a hatályos jogszabályokba nem ütközik. A szabályzat az adatkezelő székhelyén tekinthető meg.
Alsópáhok, 2018. november 30.
| Weboldal látogató adatainak kezelése | |
| Kezelt adatok köre | a weboldal felhasználó látogatásának kezdő és befejező időpontja, IP címe és egyéb rögzített böngészési adatok (cookie) |
| Adatkezelés célja | a honlap látogatóinak azonosítása, böngészési szokások megismerése, a felhasználói élmény növelése |
| Adatkezelés jogalapja | az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/ |
| Adatok forrása | az érintettől |
| Adattovábbítás | 1. Morgens Design Kft. Részére (8800 Nagykanizsa, Csányi László u 2) a honlap üzemeltetése céljából 2. Webshop Marketing Kft. részére (4028 Debrecen, Kassai út 129) a cookie beállítások kezelése céljából |
| Adatok törlésének határideje | az érintett hozzájárulásának visszavonásáig |
| Kapcsolódó dokumentum | Irat sorszáma: 001 Irat megnevezése: Adatkezelési tájékoztató - cookie |
| Direkt marketing (hírlevél küldése) | |
| Kezelt adatok köre | név és e-mail cím |
| Adatkezelés célja | marketing és remarketing cél, az adatkezelő szolgáltatásának népszerűsítése on-line hírlevél kiküldésével |
| Adatkezelés jogalapja | az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/ |
| Adatok forrása | az érintettől |
| Adattovábbítás | 1. Morgens Design Kft. részére (8800 Nagykanizsa, Csányi László u 2.) hírlevélküldési szolgáltatás teljesítése céljából 2. Mailgun Technologies, Inc. részére (535 Mission St., 14th Floor, San Francisco, California 94105.) |
| Adatok törlésének határideje | az érintett hozzájárulásának visszavonásáig |
| Kapcsolódó dokumentum | Irat sorszáma: 002 Irat megnevezése: Adatkezelési tájékoztató - hírlevélre feliratkozás |
| Ajánlatkérés | |
| Kezelt adatok köre | név, e-mail cím, telefonszám, lakcíme, szolgáltatást igénybe venni kívánó személyek száma, (gyermekek száma, életkora) |
| Adatkezelés célja | kapcsolatfelvétel, kapcsolattartás, személyre szabott ajánlatok kiküldése |
| Adatkezelés jogalapja | szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/ |
| Adatok forrása | az érintettől |
| Adattovábbítás | 1. Morgens Design Kft. részére (8800 Nagykanizsa, Csányi László u 2) az on-line ajánlatkérési rendszer működtetése céljából |
| Adatok törlésének határideje | - sikeres ajánlatkérés esetén a foglalásra vonatkozó szabályok szerint, - az ajánlat visszautasítása esetén a visszautasítás napjáig, - amennyiben az ajánlatra válasz nem érkezik, az ajánlati kötöttség lejártát követő napig |
| Kapcsolódó dokumentum | Irat sorszáma: 003 Irat megnevezése: Adatkezelési tájékoztató - ajánlatkérés |
| Közvetlen foglalás | |
| Kezelt adatok köre | név, e-mail cím, telefonszám, lakcíme, szolgáltatást igénybe venni kívánó személyek száma, (gyermekek száma, életkora) |
| Adatkezelés célja | szobafoglalás lebonyolítása |
| Adatkezelés jogalapja | szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/, jogszabályon (1990. évi C. tv. 30-31.§) alapuló adatkezelés a születési idő tekintetében /GDPR 6. cikk (1) bekezdés c) pont/ |
| Adatok forrása | az érintettől |
| Adattovábbítás | 1. Morgens Design Kft. részére (8800 Nagykanizsa, Csányi László u 2) az on-line foglalási rendszer működtetése céljából 2. OTP Bank Nyrt, OTP Mobil Kft. és a K&H Bank Zrt. Az online fizetési tranzakcióhoz kapcsolódó fizetési rendszer üzemeltetése |
| Adatok törlésének határideje |
- a foglalás során kapott személyes adatok kezelésére az érintettel fennálló szerződéses jogviszony fennállásának időtartamáig kerül sor |
| Kapcsolódó dokumentum | Irat sorszáma: 004 Irat megnevezése: Adatkezelési tájékoztató - foglalás |
| Foglalás közvetítőkön keresztül | |
| Kezelt adatok köre | név, e-mail cím, telefonszám, szolgáltatást igénybe venni kívánó személyek száma, (gyermekek száma, életkora) és bizonyos esetekben bankkártya adatok |
| Adatkezelés célja | szobafoglalás lebonyolítása |
| Adatkezelés jogalapja | szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/, jogszabályon (1990. évi C. tv. 30-31.§) alapuló adatkezelés a születési idő tekintetében /GDPR 6. cikk (1) bekezdés c) pont/ |
| Adatok forrása | önálló adatkezelőnek minősülő on-line közvetítő cégektől, utazási irodáktól |
| Adattovábbítás | az online foglalási oldalak és utazási irodák önálló adatkezelőnek minősülnek, ebben a folyamatban adatfeldolgozó igénybe vételér enem kerül sor |
| Adatok törlésének határideje |
- a foglalás során kapott személyes adatok kezelésére az érintettel fennálló szerződéses jogviszony fennállásának időtartamáig kerül sor |
| Kapcsolódó dokumentum | Irat sorszáma: 004 Irat megnevezése: Adatkezelési tájékoztató - foglalás |
| Ajándékutalvány rendelése | |
| Kezelt adatok köre |
vásárló neve, e-mail címe, telefonszáma, postázási címe, számlázási címe |
| Adatkezelés célja | ajándékutalvány szolgáltatás nyújtása |
| Adatkezelés jogalapja | szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/ |
| Adatok forrása | a vásárló adatai az érintettől, a megajándékozott adattai pedig a vásárlótól |
| Adattovábbítás | 1. Morgens Design Kft. Részére (8800 Nagykanizsa, Csányi László u 2) az on-line rendszer működtetése céljából 2. OTP Bank Nyrt, OTP Mobil Kft. és a K&H Bank Zrt. Az online fizetési tranzakcióhoz kapcsolódó fizetési rendszer üzemeltetése |
| Adatok törlésének határideje | A számlázáshoz nem szükséges adatok kezelésére 1 évig, vagy - ha ez hamarabb következik be - az utalvány beváltásig kerül sor. |
| Kapcsolódó dokumentum | Irat sorszáma: 005 Irat megnevezése: Adatkezelési tájékoztató - ajándékutalvány |
| Nyereményjáték lebonyolítása | |
| Kezelt adatok köre | név, e-mail cím |
| Adatkezelés célja | nyereményjáték lebonyolítása a szálloda szolgáltatásainak népszerűsítése céljából |
| Adatkezelés jogalapja | az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/ |
| Adatok forrása | az érintettől |
| Adattovábbítás | nem kerül sor |
| Adatok törlésének határideje | A részvevők adatai a sorsolást követő 5 napig, a nyertes adatai pedig a nyeremény kézbesítését követő 5 napig kerülnek tárolásra. |
| Kapcsolódó dokumentum | Irat sorszáma: 007 Irat megnevezése: Adatkezelési tájékoztató - nyereményjáték szabályzat és adatkezelési tájékoztató |
| Törzsvendég program | |
| Kezelt adatok köre | név, a korábbi szállodai tartózkodások száma |
| Adatkezelés célja | kedvezmények biztosítása, az értékesítés fokozása, törzsvendégkör kialakítása |
| Adatkezelés jogalapja | az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/ |
| Adatok forrása | az érintettől, saját nyilvántartásokból |
| Adattovábbítás | nem kerül sor |
| Adatok törlésének határideje | az érintett hozzájárulásának visszavonásáig |
| Kapcsolódó dokumentum | Irat sorszáma: 008 Irat megnevezése: Adatkezelési tájékoztató - bejelentkezés |
| Számlázás | |
| Kezelt adatok köre | név, lakcím, bankkártya adatok |
| Adatkezelés célja | ellenérték fejében igénybe vett szolgáltatás ellenértékének elszámolása, számlázási kötelezettség teljesítése |
| Adatkezelés jogalapja | A számvitelről szóló 2000. évi C. törvény 169.§-ban foglalt jogszabályi kötelezettség teljesítése /GDPR 6. cikk (1) bekezdés c) pont/ |
| Adatok forrása | az érintettől |
| Adattovábbítás | OTP Bank Nyrt, OTP Mobil Kft. és a K&H Bank Zrt. A fizetési tranzakcióhoz lebonyolítása céljából. |
| Adatok törlésének határideje | a számvitelről szóló 2000. évi C. törvény 169. § alapján 8 évig |
| Kapcsolódó dokumentum | Irat sorszáma: 008 Irat megnevezése: Adatkezelési tájékoztató - bejelentkezés |
| Turizmus törvény 9/H § szerinti adatkezelés NTAK | |
| Kezelt adatok köre |
1. a szálláshely-szolgáltatást igénybe vevő |
| Adatkezelés célja | az érintett és mások jogainak, biztonságának és tulajdonának védelme érdekében, továbbá harmadik országbeli állampolgárok és a szabad mozgás és tartózkodás jogával rendelkező személyek tartózkodására vonatkozó rendelkezések betartásának ellenőrzése céljából |
| Adatkezelés jogalapja | A turisztikai térségek fejlesztésének állami feladatairól szóló szóló 2016. évi CLVI törvény 9/H.§ szerint jogszabályi kötelezettség teljesítése /GDPR 6. cikk (1) bekezdés c) pont/ |
| Adatok forrása | az érintettől |
| Adattovábbítás | Magyar Turizmus Ügynökség részére |
| Adatok törlésének határideje | A tudomásra jutást követő első év utolsó napja |
| Kapcsolódó dokumentum | Irat sorszáma: 008 Irat megnevezése: Adatkezelési tájékoztató - bejelentkezés |
| Fotózás, videofelvétel | |
| Kezelt adatok köre | a vendég és gyermeke képmása |
| Adatkezelés célja | a szálloda népszerűsítése közösségi oldalakon keresztül |
| Adatkezelés jogalapja | az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/ |
| Adatok forrása | a megbízott fotóstól |
| Adattovábbítás | nem kerül sor |
| Adatok törlésének határideje | az érintett hozzájárulásának visszavonásáig |
| Kapcsolódó dokumentum | Irat sorszáma: 016 Irat megnevezése: Adatkezelési tájékoztató - fotó és video |
| Chatbot | |
| Kezelt adatok köre | az érintett Facebook Messenger részére megadott vezeték- és utóneve; neme, Messenger-azonosítója; e-mail címe, telefonszáma, a feltett kérdések és válaszok, a levelezés tartalma |
| Adatkezelés célja |
- marketing (közvetlen üzletszerzési) cél, szolgáltatás értékesítése |
| Adatkezelés jogalapja | az érintett hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont, melyet az érintett a konkrét funkció használatának megkezdésekor ad meg |
| Adatok forrása | az érintettől |
| Adattovábbítás | adattovábbításra a Facebook Inc és a chatbot üzemeltetője a Manychat Inc. részére harmadik országba kerül sor |
| Adatok törlésének határideje | a chatbot-ról való leiratkozásig, de legfeljebb 1 évig |
| Kapcsolódó dokumentumok | Irat megnevezése: Adatkezelési tájékoztató - Chatbot |
| Kolping Hotel**** Spa & Family Resort | Tel.: +36 83 344 143 | sales@kolping.hotel.hu |