ADATKEZELÉSI TÁJÉKOZTATÓ
Jelen Adatkezelési Tájékoztató (továbbiakban: Tájékoztató) a TÓ HOTEL Kft. által nyújtott szolgáltatások során kezelt személyes adatokkal kapcsolatban tájékoztatja az Érintettet (továbbiakban: Érintett) az Európai Parlament és Tanács (EU) 2016/679 rendelete (továbbiakban: GDPR) 13. cikke alapján.
- Az Adatkezelő
Adatkezelő megnevezése: TÓ HOTEL Kft. (továbbiakban: Társaság vagy Vállalkozás)
Adatkezelő cégjegyzékszáma: 01-09-865933
Adatkezelő székhelye: 1185 Budapest, Rimaszombat utca 11.
Adatkezelő e-elérhetősége: info@towellnesshotel.hu
Adatkezelő képviselője: Karacsné Zagyva Julianna, ügyvezető
- Az Érintett adatainak kezelése
2.1. Az Érintettek köre
A TÓ HOTEL Kft. a Társaság által nyújtott szolgáltatásokat igénybe vevő természetes személyek személyes adatait kezeli.
2.2. A kezelt személyes adatok kategóriái
Az Adatkezelő az Érintettek alábbi személyes adatait kezeli:
- név;
- születési hely és idő;
- állampolgárság;
- lakóhely;
- e-mail cím,
- személyazonosító igazolvány száma, útlevél száma.
2.3. Adatkezelés célja és jogalapja
Az adatkezelés célja a TÓ HOTEL Kft. által nyújtott szolgáltatások során a vendégek beazonosítása, kapcsolattartás és a vendégek személy- és vagyonvédelme.
Az adatkezelés történhet:
- szolgáltatás nyújtására irányuló szerződés megkötésének előkészítése és szolgáltatás nyújtására irányuló szerződés teljesítése érdekében;
- jogi kötelezettség teljesítése érdekében;
- az Adatkezelő vagy harmadik fél jogos érdeke alapján
Adatkezelés az Érintett hozzájárulásával
Ebben az esetben a személyes adatok kezelése az Érintett hozzájárulása (önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű akaratnyilvánítása) alapján történik. A hozzájárulás megadása önkéntes, és az Érintett jogosult arra, hogy a hozzájárulását bármikor, korlátozás nélkül az Adatkezelőnek címzett értesítéssel visszavonja.
A hozzájárulás visszavonása az Érintettre nézve nem jár következményekkel. A hozzájárulás visszavonása azonban nem érinti a visszavonás előtti – a hozzájárulás alapján végrehajtott – adatkezelés jogszerűségét.
- Az Érintett jogai
3.1. A hozzáféréshez való jog
Az Érintett jogosult arra, hogy a Vállalkozástól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, akkor jogosult arra, hogy a személyes adatokhoz és az alábbi információkhoz hozzáférést kapjon:
- az adatkezelés céljai az adott személyes adat vonatkozásában,
- az érintett személyes adat kategóriái,
- azon címzettek kategóriái, akinek az érintett személyes adatait közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, ill. nemzetközi szervezeteket (a harmadik országbeli címzettek, továbbá a nemzetközi szervezetek részére történő adattovábbítás esetén az Érintett jogosult tájékoztatást kérni arra vonatkozóan, hogy az adattovábbítás megfelelő garanciák mellett történik-e),
- az érintett személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
- az Érintettet megillető érintetti jogok (helyesbítés, törlés vagy korlátozás joga, az adathordozhatósághoz való jog, valamint a tiltakozás joga az ilyen személyes adatok kezelése ellen),
- a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga,
- ha az adatot a Vállalkozás nem az Érintettől szerezte, akkor a forrásra vonatkozó minden elérhető információ,
- az érintett személyes adatra vonatkozó automatizált döntéshozatal ténye, ideértve a profilalkotást is; ha történik ilyen természetű adatkezelés, akkor a tájékoztatásnak ki kell terjednie az alkalmazott logikára és arra, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.
Ha az Érintett elektronikus úton nyújtotta be a kérelmét, a kért információkat széles körben használt elektronikus formában kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri.
A Vállalkozás az Érintettől a kérelem teljesítését megelőzően, annak tartalmának pontosítását, a kérelmezett információk, illetve adatkezelési tevékenységek pontos megjelölését kérheti.
Amennyiben az Érintett jelen pont szerinti hozzáférési joga hátrányosan érinti mások jogait és szabadságait, így különösen mások üzleti titkait vagy szellemi tulajdonát, a Vállalkozás jogosult az Érintett kérelmének teljesítését szükséges és arányos mértékben megtagadni.
Abban az esetben, amennyiben az Érintett a fenti tájékoztatást több példányban kéri, a Vállalkozás jogosult a többlet példányok elkészítésének adminisztratív költségeivel arányos és ésszerű mértékű díjat felszámítani.
Amennyiben az Érintett által megjelölt személyes adatot a Vállalkozás nem kezeli, úgy erről is köteles az Érintettet írásban tájékoztatni.
3.2. A helyesbítéshez való jog
Az Érintett jogosult ahhoz, hogy a reá vonatkozó személyes adatok helyesbítését kérje. Amennyiben az Érintettre vonatkozó személyes adatok hiányosak, úgy az Érintett jogosult a személyes adatok kiegészítését kérni.
A helyesbítéshez/kiegészítéshez kapcsolódó jog gyakorlása során az Érintett köteles megjelölni, hogy mely adatok pontatlanok, illetve hiányosak, továbbá köteles a Vállalkozást a pontos, teljeskörű adatról is tájékoztatni. A Vállalkozás jogosult indokolt esetben az Érintettet felhívni arra, hogy a pontosított adatot megfelelő módon – elsősorban okirattal – bizonyítsa a Vállalkozás számára.
A Vállalkozás az adatok helyesbítését, kiegészítését indokolatlan késedelem nélkül teljesíti.
A Vállalkozás az Érintett helyesbítéshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről.
3.3. A törléshez való jog („az elfeledtetéshez való jog”)
Az Érintett jogosult indítványozni, hogy a Vállalkozás a reá vonatkozó személyes adato(ka)t indokolatlan késedelem nélkül törölje, amennyiben az alábbi indokok valamelyike fennáll:
- az Érintett által megjelölt személyes adatra nincsen szükség abból a célból, amelyből azokat a Vállalkozás gyűjtötte vagy más módon kezelte,
- a Vállalkozás a személyes adatot (ideértve a különleges adatot is) az Érintett hozzájárulása alapján kezelte, az Érintett a hozzájárulását írásban visszavonta és az adatkezelésnek nincs más jogalapja,
- az Érintett a Vállalkozás jogos érdekén alapuló adatkezelés tekintetében tiltakozik az adatkezelés ellen, és nincs a Vállalkozás számára olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak,
- Vállalkozás a személyes adatot jogellenesen kezelte,
- a Vállalkozás által kezelt adatot a Vállalkozásra alkalmazandó uniós vagy nemzeti jogban előírt jogszabályi kötelezettség teljesítéséhez törölni kell,
- az Érintett az adatkezelés ellen tiltakozik és nincs elsőbbséget élvező ok az adatkezelésre.
Az Érintett a törléshez kapcsolódó kérelmét írásban köteles előterjeszteni és köteles megjelölni, hogy mely személyes adatot milyen okból kíván töröltetni.
A törléshez kapcsolódó jog gyakorlása esetén a Vállalkozás a 4.3 pontban meghatározott eljárási szabályok figyelembe vételével köteles eljárni.
Amennyiben a Vállalkozás az Érintett törléshez kapcsolódó indítványának helyt ad, úgy a kezelt személyes adatot valamennyi nyilvántartásából törli, és erről az Érintettet megfelelő módon tájékoztatja.
Abban az esetben, amennyiben a Vállalkozás az érintett személyes adatainak törlésére köteles, a Vállalkozás minden olyan ésszerű lépést megtesz – ideértve a technikai intézkedések alkalmazását is – amely ahhoz szükséges, hogy a személyes adatok kötelező törléséről tájékoztassa azon adatkezelőket is, akik az Érintett személyes adatait azok nyilvánosságra hozatala következtében ismerték meg.
A Vállalkozás a tájékoztatójában arról köteles a többi adatkezelőt értesíteni, hogy az Érintett személyes adataira mutató linkek vagy e személyes adatok másolatának, illetve másolatpéldányának törlését az Érintett kérelmezte.
A Vállalkozás az Érintett törléshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről.
A Vállalkozás nem köteles a személyes adatok törlésére abban az esetben, ha az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlásához,
- a magyar vagy európai uniós jogszabály által a Vállalkozásra telepített személyes adatok kezelésére irányuló kötelezettség teljesítéséhez,
- közérdekből vagy a Vállalkozásra ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához,
- a népegészségügy területét érintő közérdek megvalósításához,
- közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, feltéve, hogy az Érintett elfeledtetéshez való jogának gyakorlása következtében valószínűsíthetően lehetetlenné vagy komolyan veszélyeztetetté válna az adatkezelés,
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
3.4. Az adatkezelés korlátozásához való jog
Az Érintett jogosult indítványozni, hogy a Vállalkozás a reá vonatkozó személyes adato(k) kezelését, felhasználását korlátozza, amennyiben az alábbi indokok valamelyike fennáll:
- az Érintett vitatja a személyes adatok pontosságát (ebben az esetben a korlátozás addig tart, amíg a Vállalkozás ellenőrzi az adat pontosságát),
- a Vállalkozás a személyes adatot jogellenesen kezelte, de az Érintett törlés helyett korlátozást kér,
- a Vállalkozás számára az adatkezelés célja megszűnt, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
- az Érintett a Vállalkozás jogos érdekén alapuló adatkezelés tekintetében tiltakozik az adatkezelés ellen, és nincs a Vállalkozás számára olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak; ebben az esetben a korlátozás addig áll fenn, amíg megállapításra nem kerül, hogy a Vállalkozás jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.
Korlátozás esetén a személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy uniós, illetve valamely európai uniós tagállam fontos közérdekből lehet kezelni.
A Vállalkozás az adatkezelés korlátozásának feloldásáról az Érintettet előzetesen tájékoztatja.
A Vállalkozás az Érintett korlátozásához való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről.
3.5. A tiltakozáshoz való jog
Tekintettel arra, hogy a Vállalkozás nem végez közérdekű adatkezelést és közhatalmi jogosítványai sincsenek, nem végez tudományos vagy történelmi kutatást, illetve az adatkezelésre statisztikai célból sem kerül sor, így esetében a jogos érdeken alapuló adatkezelések esetén merülhet fel a tiltakozáshoz való jog gyakorlása.
Amennyiben az Érintettek adatainak kezelésére jogos érdekre alapítottan kerül sor, fontos garanciális jellegű rendelkezés, hogy az Érintett számára az adatkezelés kapcsán biztosítani kell a megfelelő tájékoztatást és a tiltakozás jogának érvényesítését. A jelen jogra legkésőbb az Érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét.
Az Érintett ennek alapján jogosult tiltakozni személyes adatainak kezelése ellen és ilyen esetben a
Vállalkozás nem kezelheti tovább az Érintett személyes adatait, kivéve, ha bizonyítható, hogy
- az adatkezelést a Vállalkozás részéről olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben vagy
- az adatkezelés a Vállalkozás jogi igényeinek előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik.
3.5.1. A tiltakozáshoz való jog közvetlen üzletszerzés esetén
A – gyakorlatban leginkább direkt marketingként hivatkozott – közvetlen üzletszerzés érdekében történő adatkezelésről a GDPR is elismeri, hogy az ehhez kapcsolódó adatkezelések esetében a jogos érdek fennállását lehet vélelmezni.
Az Érintett a Vállalkozás által folytatott direkt marketing tevékenységek esetén tehát szintén jogosult tiltakozni személyes adatainak ezen célból történő kezelése ellen, az egyéb jogos érdeken alapuló adatkezeléssel ellentétben azonban a tiltakozás nyomán a Vállalkozásnak nem áll módjában mérlegelni, hogy az Érintett tiltakozása esetén mégis folytathatja-e az adatkezelést.
Amennyiben az Érintett a direkt marketing célból történő adatkezelés ellen tiltakozik, úgy a továbbiakban az Érintett adatait a Vállalkozás ezen célból tovább nem kezelheti.
3.5.2. Profilalkotás
Profilalkotás során az Érintettekre vonatkozó személyes jellemzőket valamilyen automatizált módszerrel értékelik ki. Az ilyen értékelések felhasználhatók például az Érintett munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzőinek elemzésére vagy előrejelzésére.
A tiltakozás joga kiterjed a jogos érdeken alapuló profilalkotásra, mint sajátos adatkezelési műveletre is. Amennyiben pedig direkt marketing célból kerül sor profilalkotásra, úgy az Érintett tiltakozása nyomán a személyes adatain alapuló profilalkotással is haladéktalanul fel kell hagyni.
3.6. Az adathordozhatósághoz való jog
Az Érintett jogosult arra, hogy a rá vonatkozó, a Vállalkozás által kezelt személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat másik adatkezelőnek továbbítsa anélkül, hogy ezt a Vállalkozás akadályozná.
Az adathordozhatósághoz való jog azon személyes adatok tekintetében gyakorolhatók, amelyeket az Érintett a Vállalkozás rendelkezésére bocsátott, és
- Az Érintett hozzájárulásán vagy szerződéses jogalapon alapul az adatkezelés, és
- az adatkezelés automatizált módon történik.
Amennyiben az egyébként technikailag megvalósítható, a Vállalkozás az Érintett kérésére a személyes adatokat közvetlenül egy másik, az Érintett kérelmében megjelölt adatkezelő részére továbbítja. A jelen pont szerinti adathordozhatósághoz való jog nem teremt kötelezettséget arra vonatkozóan, hogy az adatkezelők egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn.
Az adathordozhatóság körében a Vállalkozás köteles ingyenesen az Érintett számára az adathordozót rendelkezésre bocsátani. Abban az esetben, amennyiben a Vállalkozás adathordozhatósághoz való joga hátrányosan érinti mások jogait és szabadságait, így különösen mások üzleti titkait, vagy szellemi tulajdonát, a Vállalkozás jogosult az Érintett kérelmének teljesítését szükséges mértékben megtagadni.
Az adathordozhatóság körében tett intézkedés nem jelenti az adatok törlését, azokat a Vállalkozás
mindaddig nyilvántartja, ameddig az adatok kezelésére a Vállalkozás megfelelő céllal, illetve jogalappal rendelkezik.
3.7. Egyedi ügyekben alkalmazott automatizált döntéshozatalról való döntés joga, beleértve a profilalkotást
Az automatizált döntéshozatal fogalmát nem határozza meg a GDPR, lényegét tekintve azonban ide sorolható minden olyan folyamat, melynek nyomán a bevitt adatoknak kizárólag számítástechnikai eszközökkel, emberi beavatkozás nélkül végzett, előre meghatározott szempontok/algoritmus szerinti értékelése történik és ezen értékelés eredményeként olyan döntés születik, amely az érintettre jelentős következményekkel jár.
A GDPR példaként hozza fel online hitelkérelmek automatikus döntéshozatallal történő elutasítását vagy az emberi beavatkozás nélkül végzett online munkaerő-kiválasztást.
Ezzel szemben a profilalkotás fogalmát a GDPR pontosan meghatározza rögzíti, mint az előző pontból is látható, ennek lényege, hogy az Érintettekre vonatkozó személyes jellemzőket valamilyen automatizált módszerrel értékelik ki. Amennyiben az Érintett személyes adataival kapcsolatosan a Vállalkozásnál automatizált döntéshozatal történik, ideértve a profilalkotást is, akkor az adatvédelmi tájékoztatóban erre utalni kell. Ebben az esetben az adatkezelési tájékoztató tartalmazza az alkalmazott logikára vonatkozó információt, továbbá azt, hogy az ilyen adatkezelés az Érintettre nézve milyen jelentőséggel és milyen várható következményekkel bír.
Az Érintettet jogosult kérni, hogy ne terjedjen ki rá a kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Az Érintett nem jogosult kérni az automatizált adatkezelésen alapuló döntés hatálya alóli mentesítését, ha a döntés szerződés megkötése vagy teljesítése érdekében szükséges, vagy a döntés meghozatalát európai uniós vagy tagállami jog teszi lehetővé vagy ha a döntés az Érintett kifejezett hozzájárulásán alapul.
Amennyiben az automatizált adatkezelés szerződés megkötése vagy teljesítése érdekében szükséges vagy az Érintett hozzájárulásán alapul, akkor az Érintettet megilleti az a jog, hogy a Vállalkozás részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
A Vállalkozás adatkezelései során mindent megtesz a személyes adatok különleges kategóriáiba tartozó adatok automatizált döntéshozatalba történő bevonásának elkerülésére. Amennyiben azonban ez nem elkerülhető, akkor a személyes adatok különleges kategóriái vonatkozásában kizárólag akkor végezhető automatizált döntéshozatal, ha az adatkezelés az Érintett hozzájárulásán alapul vagy jelentős közérdek miatt szükséges európai uniós vagy tagállami jog alapján és az érintetti jogok védelme érdekében megfelelő intézkedések megtételére került sor.
3.8. Jogorvoslathoz való jog
3.8.1. Panasztételhez való jog
Ha az Érintett úgy ítéli meg, hogy a Vállalkozás általi személyes adatainak kezelése megsérti a mindenkor hatályos adatvédelmi jogszabályok, így különösen a GDPR, rendelkezéseit, jogában áll a Nemzeti Adatvédelmi és Információszabadság Hatóságnál panaszt benyújtani.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Honlap: http://naih.hu/
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Postacím: 1530 Budapest, Pf.: 5.
Telefon: +36-1-391-1400
Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu
Az Érintettnek joga van más, így különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti európai uniós tagállamban létrehozott, felügyeleti hatóságnál is panaszt tenni.
3.8.2. A bírósághoz fordulás joga (keresetindítási jog)
Az Érintett – panasztételi jogától függetlenül – bírósághoz fordulhat, ha a személyes adatainak kezelése során megsértették a GDPR szerinti jogait. A Vállalkozással mint belföldi tevékenységi hellyel rendelkező adatkezelővel szemben magyar bíróság előtt indítható per.
Az Érintett a pert a jelenlegi Infotv. 22. § (1) bekezdés szerint a lakóhelye szerinti törvényszék előtt is megindíthatja. Magyarországon a törvényszékek elérhetősége az alábbi linken található: http://birosag.hu/torvenyszekek.
Tekintettel arra, hogy a Vállalkozás nem minősül valamely tagállam közhatalmi jogosítványait gyakorolva eljáró közhatalmi szervének, az Érintett a pert a szokásos tartózkodási hely szerinti tagállam hatáskörrel és illetékességgel rendelkező bírósága előtt is megindíthatja, amennyiben az Érintett szokásos tartózkodási helye az Európai Unió más tagállamában van.
3.8.3. Egyéb igényérvényesítési lehetőség
Az Érintettnek jogában áll a panasznak a nevében történő benyújtásával, a felügyeleti hatóság határozatának bírósági felülvizsgálatával, a keresetindítással, valamint a kártérítési jogának a nevében történő érvényesítésével egy olyan nonprofit jellegű szervezetet vagy egyesületet megbízni, amelyet valamely európai uniós tagállam jogának megfelelően hoztak létre és amelynek alapszabályban rögzített céljai a közérdek szolgálata, valamint az érintettek jogainak és szabadságának a személyes adatok vonatkozásában biztosított védelme.
- Hatály és egyéb rendelkezések
Az Adatkezelési Tájékoztató 2018. május 25. napján lép hatályba. Az Adatkezelő fenntartja a jogot, hogy a Tájékoztatót bármikor módosítsa. Az Adatkezelő a módosításról az Érintettet honlapján való közzététel útján, a módosítás hatályba lépését megelőzően legalább 8 nappal értesíti.
Kelt: Budapest, 2018. május 25.