Adatkezelési és Adatvédelmi Szabályzat

ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT

Jelen Adatvédelmi Tájékoztató (a továbbiakban: Tájékoztató) a Duna P’Art Panzió (a továbbiakban együtt: Szálláshely/Adatkezelő) adatkezelő tevékenységéhez fűződő, a Szálláshely szerkezetbe foglalt tájékoztatóját tartalmazza érintettek részére, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (2016. április 27.) (a továbbiakban: GDPR Rendelet), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.) és az egyéb vonatkozó, személyes adatok védelmének biztosítását szolgáló jogszabályoknak való megfelelés céljából.
A személyes adatok biztonsága érdekében adatkezelőként megtesszük a szükséges és megfelelő intézkedéseket annak érdekében, hogy online felhasználóink az https://www.dunapartpanzio.hu/ weboldalon történő tájékozódás esetén –, vendégeink és más érintettek részére a személyes adataik kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsuk, továbbá elősegítsük az Ön, mint érintett személy jogainak gyakorlását.

Tájékoztatjuk, hogy a jelen Tájékoztatójától elkülönülten, a létrejövő szerződés keretében írásban tájékoztatjuk vendégeken kívüli szerződő partnereinket és ügyfeleinket az adatvédelmi jogszabályoknak megfelelő ügyfél-adatkezelésről, tekintettel arra, hogy az kizárólag a szerződő ügyfeleinket érintő tevékenységgel összefüggésben és kizárólag az ügyfeleinkre nézve ír elő irányadó jogosultságokat és kötelezettségeket. Így a jelen adatvédelmi tájékoztató a vendégeinket érintő helyszíni adatkezelésekre és a weboldal használatával kapcsolatos adatkezelésekre terjed ki, valamint tartalmazza közösségi média jelenlétünket érintő adatkezelésekről szóló tájékoztatásunkat is.
Jelen Tájékoztató szövegének és tartalmának harmadik személy által, hozzájárulás nélkül történő saját célú vagy mást illető felhasználása, másolása, a teljes szövegezés vagy bármely szövegrész átvétele kizárt, arra kizárólag a jelen tájékoztatót készítő ügyvéd jogosult. Szálláshelyünk saját hatáskörén belül jelen Tájékoztató szövegét adatkezelési gyakorlatának megfelelően megváltoztathatja.
Jelen Tájékoztató a Szálláshelyünk székhelyén elérhető Adatvédelmi Szabályzat.
A Tájékoztató tartalmát kérjük, hogy figyelmesen olvassa végig, kérdéseivel forduljon hozzánk bizalommal.
1. A szabályzat célja
A szabályzat célja, hogy a jogszabályi előírásoknak megfelelően az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényre (a továbbiakban: Infotv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 [GDPR] Rendelet rendelkezéseire tekintettel, tájékoztassa az érintetteket a 2. pontban foglalt adatkezelő által kezelt személyes adataik köréről, az adatkezelés céljáról, módjáról, illetve az adatok kezelésével kapcsolatos minden egyéb tényről, így különösen, de nem kizárólagosan az adatkezeléssel kapcsolatos jogaikról és az általuk igénybe vehető jogorvoslati lehetőségekről.
2. Az adatkezelő neve, székhelye képviselője
• Szállásadó/adatkezelő Neve: Duna P’Art Panzió
• Székhelye: 2621 Verőce, Árpád út 2/b, hrsz 573
• Törvényes képviselő: McNeill-Bethlen Berta ev.
• adószám: 71451107-1-33
• nyilvántartási száma: 56020025
• üzemeltetési szám: 2/2021
• NTAK szám: NWWCQC1G
• Kapcsolattartó adatvédelmi ügyekben: McNeill-Bethlen Berta, üzemeltetésért felelős igazgató
3. Adatkezelésre vonatkozó jogszabályok
– Magyarország Alaptörvénye, VI. cikk;
– Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: az „Infotv.”);
– A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU Rendelet (GDPR).
4. Adatvédelmi hatásvizsgálat
A természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel. A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel-e a GDPR-nak. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a Nemzeti Adatvédelmi és Információszabadság Hatósággal (NAIH) konzultálni kell. Amennyiben a későbbiekben magas kockázatú adatkezelések kapcsán adatvédelmi hatásvizsgálat elvégzése válik szükségessé, úgy annak elvégzésére a francia adatvédelmi hatóság (Commission Nationale de l’Informatique et des Libertés, a továbbiakban: CNIL) által közzétett és a NAIH által is ajánlott nyílt forráskódú szoftver (eredeti elnevezéssel: „PIA software”, a továbbiakban: hatásvizsgálati szoftver) segítségével kerül sor.

Az adatvédelmi hatásvizsgálat kapcsán az adatkezelő külön szabályzatot készít.
5. Érdekmérlegelési teszt – jogos érdeken alapuló adatkezelés esetében
A jogos érdek (GDPR 6. § (1) f) pont) alapján történő adatkezelés esetében az érdekmérlegelési teszt elvégzésére a NAIH/2015/3731/2/V állásfoglalása alapján kerül sor. Ennek alapján az érdekmérlegelési teszt egy több lépcsős folyamat, melynek során azonosítani kell az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező adatalanyi érdeket, érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.

Az érdekmérlegelési teszt alkalmazott lépései:
• 1. lépés – annak vizsgálata, hogy szükséges-e adatkezelés vagy megoldható máshogy
• 2. lépés – a jogos érdek lehető legpontosabb meghatározása
• 3. lépés – az adatkezelés céljának meghatározása, milyen személyes adatok, meddig tartó kezelését igényli az adatkezelés
• 4. lépés – az érintettek szempontjainak meghatározása
• 5. lépés – a mérlegelés elvégzése
Az érdekmérlegelési tesztről az adatkezelő külön szabályzatot készít.
6. A személyes adatok kezelése és védelme
6.1. Adatkezelő feladat és hatásköre, felelőssége
Az elsődleges adatkezelést végző adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

6.2. Adatfeldolgozó feladat és hatásköre, felelőssége
Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit jelen szabályzat, valamint a vonatkozó jogszabályok keretei között az adatkezelő határozza meg. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót az adatkezelő rendelkezése szerint vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának is alapjául szolgálhat
6.3. Adatfeldolgozó megnevezése
Szálláshelyünk minősül adatkezelőnek az érintettek személyes adatainak kezelése során. Szolgáltatásaink nyújtásához és tevékenységünk ellátásához emellett adatfeldolgozónak minősülő partnerek segítségét vesszük igénybe. Az adatfeldolgozókat az így megismert adatok tekintetében titoktartási kötelezettség terheli. Az adatfeldolgozók a személyes adatokat a köztük és a Szálláshelyünk mint adatkezelő között létrejött szerződésnek megfelelően, a feladataik teljesítése erejéig kezelik.
Az adatfeldolgozó igénybevételéhez Szálláshelyünknek a jogszabály értelmében nem kell külön kérnie az érintett személy előzetes beleegyezését, de szükséges az érintettek tájékoztatása. Ennek megfelelően Szálláshelyünk tájékoztatja az érintetteket azon adatfeldolgozók adatairól és elérhetőségeiről, amelyek Szálláshelyünk mint adatkezelő által részükre vendégeink biztonsága, a gyorsabb és kényelmes ügyintézés és szolgáltatásnyújtás érdekében továbbított személyes adatokat szigorúan az arra meghatározott célból kezelhetik.
7. Foglalást és értékesítést segítő, közvetítő külső szerződő partnereink
7.1. Szálláshelyünk a foglalások és értékesítések során az érintett vendég adatainak kezeléséhez olyan külső szerződő partnereket vesz igénybe, akik az ehhez fűződő informatikai és egyéb szolgáltatásokat saját rendszerükön, saját hálózatukon keresztül biztosítják, ennek keretében saját adatkezelési szabályzatuk hatálya alatt – kezelik a részükre továbbított személyes adatokat, ha pedig az az általuk végzett művelet elvégzése érdekében szükséges, tárolják az így továbbított személyes adatokat a szervereiken. Az adatkezelésről és az adatok tárolásának időtartamáról részletesebb tájékoztatást partnereink elérhetőségein kaphat. Ezen partnereink megnevezését az adatkezelési tevékenységek nyilvántartásában találja, amely nyilvántartás a jelen tájékoztatónk mellékletét képezi.
Tájékoztatjuk vendégeinket, hogy az ezen partnereinknek továbbított adataik kizárólag akkor kerülnek Szálláshelyünk adatkezelési szabályzatának hatálya alá, amennyiben adataik beérkeznek Szálláshelyünk rendszerébe. Ezt megelőzően adataikat az értékesítést közvetítő partereink kezelik.
Adataik Szálláshelyünk rendszerébe történő beérkezését követően, azok kezelése teljes körűen a jelen Tájékoztatóban foglaltaknak megfelelően történik.
7.2. Informatikai, biztonsági és pénzügyi adatfeldolgozó partnereink
Szálláshelyünk az informatikai, biztonsági és pénzügyi szolgáltatásainak teljesítéséhez külső szolgáltatót vesz igénybe, aki kezeli a érintett természetes személyek személyes adatait a jelen Tájékoztatóban. foglaltaknak megfelelően. Ezen adatfeldolgozók megnevezését a jelen tájékoztatónk mellékletét képező adatkezelési tevékenységek nyilvántartásában találja.
8. A jelen szabályzat által használt fogalmak
• adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel
• adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés
• adatkezelő (szolgáltató): a vállalkozás, valamint az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja
• adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi
• biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat
• címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak
• érintett: az a természetes személy, akinek a személyes adatait kezelik
• érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez
• GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
• harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak
• Info tv.: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
• munkavállaló: a szolgáltatóval munkaviszonyban álló vagy munkavégzésre irányuló egyéb jogviszonyban – különösképpen: szolgáltatási, megbízási szerződés-, álló személy, szerződéses vállalkozó(k) és megbízottjai
• profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják
• személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható
• személyes adatok különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok

9. Alapelvek és alapvető rendelkezések
– Jogszerűség, tisztességes eljárás és átláthatóság alapelve:
(Az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie, valamint az érintett számára átláthatónak. )

– Célhoz kötöttség alapelve:
(Az Infotv. szerint személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.)

– Adattakarékosság elve:
(Az adattakarékosság elve alapján az adatkezelő csak olyan személyes adatot kezelhet, amely az adatkezelés céljának megvalósuláshoz feltétlen szükséges)

– Pontosság elve:
(Az adatkezelő által kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.)

– Korlátozott tárolhatóság alapelve:
(A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.)

– Integritás és bizalmas jelleg elve:
(A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.)

– Elszámoltathatóság alapelve:
(Az adatkezelő felelős az adatkezelési elveknek és szabályoknak való megfelelésért, ezen túlmenően képesnek is kell lennie e megfelelés igazolására.)

– Adatbiztonság elve:
(Az adatkezelő az adatkezelési műveleteket úgy tervezi meg és hajtja végre, hogy az Infotv. és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét. Az adatkezelő gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatkezelő az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az adatkezelő megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A biztonság fenntartása és a GDPR-t sértő adatkezelés megelőzése érdekében az adatkezelő értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés – mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.
10. Érintettek jogai
– Hozzáférés joga:
(Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon, valamint tájékoztatást kapjon a kezelésükkel kapcsolatos körülményekről. Az adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

– A helyesbítéshez való jog:
(Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, valamint, hogy kérje a hiányos személyes adatok kiegészítését.)

– A törléshez való jog:
(Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
• a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
• b) az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
• c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR. 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
• d) ha a személyes adatokat az adatkezelő jogellenesen kezelte;
• e) ha a személyes adatokat jogszabály alapján törölni kell;
• f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor (gyermek hozzájárulására vonatkozó feltételek).
Az adatot az adatkezelő nem törli, amennyiben az adatkezelés a következő okok valamelyike miatt szükséges:
• a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
• b) a személyes adatok kezelését előíró jog szerinti kötelezettség teljesítése céljából;
• c) vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
– Az adatkezelés korlátozásához való jog:
(Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, amennyiben az alábbiak valamelyike teljesül:
• a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
• b) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
• d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. Az adatkezelés korlátozása estén a korlátozással érintett személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. A korlátozás feloldásáról az adatkezelő előzetesen tájékoztatást nyújt az érintettnek.
– A tiltakozáshoz való jog:
(Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.)

– Az adathordozhatósághoz való jog:
(Az érintett jogosult arra, hogy a rá vonatkozó személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha: a) az adatkezelés a GDPR. 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és b) az adatkezelés automatizált módon történik.)
11. Az adatkezelés részletes szabályai
11.1. Tájékoztatás az adatkezelésről
Az érintettek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles- e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.

A tájékoztatásnak az alábbiakról kell szólnia:
• az adatkezelő kilétéről és elérhetőségéről
• az adatvédelmi tisztviselő elérhetőségeiről
• a személyes adatok kezelésének céljáról, valamint az adatkezelés jogalapjáról
• a „jogos érdeken” alapuló adatkezelés esetén ezen jogos érdekekről
• a személyes adatok címzettjeiről
• az adatkezelés tervezett időtartamáról
• az érintett jogairól
• arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása
• az esetleges automatizált döntéshozatalról, ideértve a profilalkotást is.
• az érintettek jogorvoslati lehetőségeiről
11.2 Az adatkezelés jogszerűsége
A személyes adatok kezelése akkor jogszerű, ha az adatkezelő az adatkezeléshez az adatkezeléshez az alábbi jogalapok valamelyikével rendelkezik:
• az érintett hozzájárulását adta személyes adatainak kezeléséhez
• az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges
• az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges
• az adatkezelés közérdekű feladat végrehajtásához szükséges
• az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.
11.3 Az adatkezelő által kezelt személyes adatok köre, az adatkezelés célja, jogalapja időtartamát a jelen szabályzat 1. számú mellékletét képező adatkezelési tevékenységek nyilvántartása tartalmazza, mely nyilvántartást az adatkezelő a honlapján nyilvánosságra hoz.
Az adatkezelési nyilvántartás tartalmazza:
• az adatkezelés célját,
• adatok fajtáját,
• kezelésének jogalapját,
• érintettek körét,
• adatok forrását,
• adatra vonatkozó esetleges továbbításának fajtáját, címzettjét és jogalapját,
• az adott adatfajta törlésének határidejét,
• amennyiben az adattal kapcsolatosan adatfeldolgozás történik, az adatfeldolgozó adatait, adatfeldolgozás helyét, az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét.
Az adatkezelési nyilvántartásban feltűntetett adatkezelések kapcsán külön adatkezelési tájékoztatók készültek, melyek a nyilvántartás 1-21. számú mellékletét képezik.
11.4. Adatkezelés időtartama
Az adatokat csak a lehető legrövidebb ideig lehet tárolni. Ennek az időtartamnak a meghatározásánál figyelembe kell venni, hogy az adatkezelő milyen okból végez adatkezelést, valamint az adatok meghatározott ideig történő megőrzésére irányuló jogi kötelmeket.
11.5. Belső adattovábbítás
Az adatkezelő szervezetén belül személyes adatok csak a célhoz kötöttség elvének megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az adatokhoz hozzáférési jog.
11.6. Adattovábbítás harmadik személyek részére
Személyes adatot továbbítani harmadik személy részére csak törvény alapján, vagy az érintett hozzájárulásával lehet, ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az adattovábbítást megelőzően az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e. Ugyanazon adatkezelők számára történő, azonos érintettre vonatkozó, és azonos célú adattovábbítás előtt az adattovábbítás jogszerűségének vizsgálatába az adatvédelmi tisztviselőt is be kell vonni. Az ezt követő adattovábbítások során külön vizsgálatot lefolytatni nem kell. Az adatvédelmi tisztviselő az adattovábbításról adattovábbítási nyilvántartást köteles vezetni, és a szabályoknak megfelelően tárolni. Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) kell megőrizni.
Az adattovábbítási nyilvántartás tartalmazza:
• az adattovábbító által kezelt személyes adatok továbbításának időpontját,
• a továbbított adatok körét,
• az adattovábbítás jogalapját és címzettjét (név, cím, székhely),
• az adattovábbításért felelős nevét és telefonszámát.
11.7 Adattovábbítás külföldre vagy harmadik országba
Az adattovábbítást megelőzően – az adatvédelmi tisztviselő bevonásával – az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.
11.8 Az adatkezelőnél különleges adatok kezelésére nem kerül sor, ideértve a biometrikus adatokat.
12. Adatvédelmi incidens

Adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
12.1 Adatvédelmi incidens bejelentése
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
12.2 Adatvédelmi incidens kivizsgálása, kezelése
Az adatvédelmi tisztviselő a bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.
Az adatszolgáltatásnak tartalmaznia kell:
• az incidens bekövetkezésének időpontját és helyét
• az incidens leírását, körülményeit, hatásait
• az incidens során érintet adatok körét, számosságát
• az adatokkal érintett személyek körét
• az incidens elhárítása érdekében tett intézkedések leírását,
• a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
Az adatvédelmi tisztviselő javaslatot tesz a szükséges intézkedésre. Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedések végrehajtását követő 2 munkanapon belül köteles az adatvédelmi tisztviselőt tájékoztatni.
12.3 Adatvédelmi incidensek nyilvántartása
Az adatkezelő köteles az adatvédelmi incidensek nyilvántartására. A GDPR értelmében az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy képes legyen a sebezhetőségek és biztonsági incidensek felderítésére és értékelésére. Így, az adatvédelmi incidensek dokumentálásán felül az adatkezelő köteles megfelelő folyamatokat és intézkedéseket alkalmazni abból a célból, hogy a biztonsági incidenseket időben felderítse és kezelje.


13. Adatkezelés Szolgáltatásnyújtásunk során
13.1. Kapcsolatfelvétel Szálláshelyünkkal
(1) A weboldalon keresztül kapcsolatfelvételt kezdeményező természetes személy a kapcsolat létesítéséhez szükséges alábbi adatait adja meg:
1. neve (vezetéknév, keresztnév);
2. e-mail címe;
3. üzenetében foglalt, az érintett által önkéntesen, esetlegesen közölt egyéb személyes adatok.
(2) A személyes adatok kezelésének célja: szolgáltatásunkkal kapcsolatos információk nyújtása, kapcsolatteremtés az érintett természetes személy felhasználó és Szálláshelyünk között. Az érintett személyre szabott kiszolgálása, valamint az érintett kérésére, részére árajánlat küldése. Tájékoztatás a Szálláshely termékeiről, szolgáltatásairól, szerződési feltételeiről.
(3) Az adatkezelés jogalapja az érintett hozzájárulása. Az érintett az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. A kapcsolatfelvétel során a jelen Tájékoztató egy ott közzétett linken át elérhető a weboldalon. Telefonos kapcsolatfelvétel estén Szálláshelyünk ügyfélkezelést végző alkalmazottjával való kommunikáció során adhatja meg hozzájárulását személyes adatai kezeléséhez. Amennyiben az érintett vissza kívánja vonni hozzájárulását, ezt az info@dunapartpanzio.hu címre küldött elektronikus levélben teheti meg. Amennyiben az adatok további kezelésére jogi kötelezettségünk teljesítéséből vagy az (5) bekezdésben foglalt szerződéses adatkezelési tevékenységünkből adódóan nem áll fenn kötelezettségünk, az adatok törlését haladéktalanul elvégezzük és arról válasz e-mailben tájékoztatjuk az érintettet.
(4) Az (1) bekezdésben foglalt személyes adatok címzettje kizárólag Szálláshelyünk. Mikor az érintett személy felveszi velünk a kapcsolatot, a továbbított adatokra adatfeldolgozó vagy más harmadik személy nem lát rá, az adatok nem tárolódnak a tárhelyen, azok e-mailes kommunikáció során közvetlenül a kizárólag Szálláshelyünk által kezelt info@dunapartpanzio.hu című e-mail fiókba érkeznek. Telefonos vagy közvetlen személyes megkereséssel történő kommunikáció esetén, amennyiben adatfelvétel szükséges, azokat Szálláshelyünk viszi be saját, zárt rendszerébe.
(5) A személyes adatok tárolásának időtartama a kapcsolatfelvételt követő 3 évig, de legkésőbb az érintett hozzájárulása visszavonásáig (törlési kérelméig) tart. Amennyiben a kapcsolatfelvételből kifolyólag Szálláshelyünkkal szerződést köt az érintett, úgy adatainak további kezelésére szerződéses adatkezelési feltételeink irányadók.
13.2. A weboldalon alkalmazott sütikkel kapcsolatos tájékoztatás

Weboldalunk nem végez felhasználókezelést, azonban a felhasználó élményének javítása érdekében sütit (cookie) használ. A süti egy olyan kisméretű szövegfájl, amely a számítógép vagy a mobil eszköz merevlemezén tárolódik a sütiben beállított lejárati ideig és a későbbi látogatásokkor aktiválódik (visszajelez a webkiszolgálónak). A honlapok cookie-kat használnak azzal a céllal, hogy rögzítsék a látogatással kapcsolatos információkat (meglátogatott oldalak, az oldalakon töltött idő, böngészési adatok, kilépések stb.), illetve a személyes beállításokat, ezek azonban a látogató személyével kapcsolatba nem hozható adatok. Ez az eszköz segít a felhasználóbarát honlap kialakításában, a látogatók online élményének fokozása érdekében. A sütik nem alkalmasak az érintettek személyének azonosítására. A sütik célja, hogy az adott infokommunikációs, internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. A felhasználónak lehetősége van ezeket kitörölni, vagy visszautasítani. Mivel minden böngésző eltérő, Ön egyénileg, a böngésző eszköztára segítségével állíthatja be a sütikkel kapcsolatos preferenciáit. Amennyiben semmilyen sütit nem kíván engedélyezni, módosíthatja a webböngésző beállításait úgy, hogy értesítést kapjon a küldött sütikről, vagy egyszerűen elutasíthat minden sütit. Ugyanakkor bármikor törölheti a számítógépén vagy mobileszközén eltárolt sütiket is. A beállításokkal kapcsolatos további tudnivalókat keresse a böngésző súgójában.

13.3. Adatkezelés a közösségi média felületeken

(1) Tájékoztatjuk, hogy „Duna P’Art Panzió” néven Facebook és „Duna P’Art Panzió – @dunapartpanzio” néven Instagram (a továbbiakban együtt: közösségi oldal) oldalt működtetünk.
(2) Az általunk üzemeltetett közösségi oldal részére, annak oldalán tett adatkezelési panasz nem minősül hivatalosan benyújtott panasznak.
(3) A közösségi oldalon a látogatók által közzétett személyes adatokat nem kezeljük.
(4) A látogatókra a közösségi oldal Adatvédelmi- és Szolgáltatási Feltételei irányadók.
(5) A közösségi oldalakon tett jogellenes, vagy sértő tartalom publikálása esetén szolgáltatóként, mint a közösségi oldal üzemeltetője előzetes értesítés nélkül kizárhatjuk az érintettet az oldal kedvelői közül és törölhetjük hozzászólását.
(6) Nem felelünk a közösségi oldal felhasználói által a közösségi oldalunkon közzétett jogszabályt sértő adattartalmakért, hozzászólásokért. Nem felelünk semmilyen személyes adatok védelmét érintő, a közösségi oldal működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének megváltoztatásából fakadó problémáért.
(7) A jelen szakaszban foglalt rendelkezések megfelelően irányadók a jövőben további közösségi oldalakon létrehozott felületekre is.


14.A szálláshely vendégeknek adatkezelésére vonatkozó különös rendelkezések

14.1. Szobafoglalás a Szálláshelyünk e-mail címén és recepcióján]
(1) Szálláshelyünk szerződés teljesítése jogcímén a szálláshely szolgáltatás nyújtásához szükséges szerződés megkötése, teljesítése, megszűnése vagy szerződési kedvezmény nyújtása céljából e-mail útján megküldött, illetve a Szálláshely recepcióján biztosított adatkérő lap kitöltése útján kezeli a vele vendégként szerződött természetes személy
1. vezeték- és keresztnevét,
2. születési helyét és idejét,
3. útlevélszámát vagy személyi igazolvány számát,
4. állampolgárságát,
5. címét,
6. e-mail címét,
7. telefonszámát,
8. a vendéggel együtt a szálláshely szolgáltatást igénybe vevő természetes személyek nevét, mint további vendégek,
9. esetlegesen a szálláshely szolgáltatás igénybevételének típusát (szabadidő, üzleti, rendezvény, egyéb),
10. a vendég aláírását.

(2) Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei a Szálláshely, annak munkavállalói és adatfeldolgozói. A személyes adatok tárolásának időtartama a mindenkori irányadó jogszabályban meghatározott idő, ennek hiányában, illetve ennek megfelelően a szerződés megszűnését követő 5 év, ezt követően azok törlésre kerülnek.
(3) Szálláshelyünk szerződés teljesítése jogcímén a Szálláshelyi szolgáltatás nyújtásához szükséges szerződés megkötése, teljesítése, megszűnése vagy szerződési kedvezmény nyújtása céljából kezeli a vele vendégként szerződött természetes személy titkosított fizetési adatait (TOKEN kód). Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

A kezelt adatok köre: TOKEN kóddal titkosítva, így a Szálláshely az adatokra nem lát rá, arra kizárólag a bankkártyás fizetést üzemeltető adatfeldolgozó partner lát rá: fizetés módja, kártyatulajdonos neve (kártyán szereplő név), kártyaszám, lejárati idő.

Az adatkezelés jogalapja: a szerződés teljesítése jogcímén alapul. A tájékoztatás történhet a szerződésben is. Az adatok megadása a szerződéssel vállalt szolgáltatás nyújtásának feltétele.
Az adatok címzettje: A személyes adatok címzettjei a Szálláshely, annak munkavállalói és adatfeldolgozói. Ha az érintett a szálláshely szolgáltatás díját bankkártyás fizetés útján fizeti meg, a fizetési adatok címzettje a Szálláshellyel szerződött, fizetési szolgáltatások lebonyolítását végző adatfeldolgozó. A Szálláshely fizetési adatokra nem lát rá, kizárólag egy, az adatfeldolgozón keresztül a fizetéshez köthető, de a természetes személyre visszavezethetetlen TOKEN kódot kap. A fizetési szolgáltatást végző adatfeldolgozó rendelkezik a szükséges biztonságtechnikai és informatikai intézkedésekkel és rendszerekkel, amelyek biztosítják a fizetési adatok biztonságos kezelését. Ha a fizetési szolgáltatás rendszerének ideiglenes működésléptelensége vagy egyéb hiánya esetén szükséges, a fizetési adatokat Szálláshely titkosítva kezeli.
Az adatok tárolásának időtartama: A bankkártya adatok titkosításra kerülnek, felfedésük csak a tranzakció érdekében, kizárólag az arra jogosult személy részére lehetséges. A szolgáltatás nyújtásának befejeztét követően az adatok többé nem fedhetők fel, a hozzáférés nem lehetséges. Az adatok 8 év után törlésre kerülnek.
(4) Az érintett természetes személlyel az adatkezelés megkezdése előtt a Szálláshely weboldalára feltöltött jelen adatvédelmi tájékoztatójában közli, hogy az adatkezelés a szerződés teljesítése jogcímén alapul. A tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról is tájékoztatni kell.

15. Szobafoglalás telefonon és e-mail útján

A jelen szakaszban foglaltakra a jelen fejezet 1. pontjában foglaltak megfelelően irányadók.
15.1. [Szobafoglalás harmadik személy ügynökség közreműködésével]
(1) Szálláshelyünk szerződés teljesítése jogcímén a szálláshely szolgáltatás nyújtásához szükséges szerződés megkötése, teljesítése, megszűnése vagy szerződési kedvezmény nyújtása céljából harmadik személy, ügynökség szolgáltatását veheti igénybe.
(2) Az (1) bekezdésben foglalt szolgáltatás során az érintett természetes személy személyes adatait a harmadik személy ügynökség mint adatkezelő részére adja meg és a harmadik személy ügynökség továbbítja az érintett természetes személy foglaláshoz szükséges adatait Szálláshely részére. Ha a szálláshely szolgáltatást az érintett személy igénybe veszi, Szálláshely a beérkező adatokat befogadja, kezeli és adatkezelőként tartja nyilván a jelen fejezet 1. és 2. pontjában foglaltaknak megfelelően.

16. Adatkezelés a Szálláshelyünk rendezvényein

(1) Szálláshelyünk az érintett hozzájárulása jogcímén – ha az a jelen szakaszban foglalt jogszabályi feltételeknek, bírói gyakorlatnak és tájékoztatásnak megfelel – kezeli a Szálláshely területén biztosított rendezvények során a rendezvényen résztvevő érintett természetes személy alábbi adatait:
1. név,
2. e-mail cím,
3. képmás-, hang- és mozgóképfelvétel.

(2) Az érintett természetes személy hozzájárulását az adatkezelés megkezdése előtt kell kérni. Az érintett személy kérésére minden esetben törölni kell a róla készült kép-, hang- és mozgóképfelvételt.
(3) A Szálláshely a jelen szakaszban foglalt (1) bekezdés 1. pontja szerinti adatkezelést az alábbiak figyelembevételével végzi:
a) Az Infotv. rendelkezései alapján egy ember arca, képmása személyes adatnak, a képfelvétel készítése, valamint az adatokon elvégzett bármely művelet adatkezelésnek minősül, amelyhez az érintett személy hozzájárulása szükséges. A hozzájárulásnak önkéntesnek, határozottnak és megfelelő tájékoztatáson alapulónak kell lennie, amellyel az érintett félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat teljes körű vagy egyes műveletekre kiterjedő kezeléséhez.
b) Kiskorú személyek esetében a 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges. A 16. életév betöltése után a kiskorú önállóan nyilatkozhat személyes adatainak felhasználásáról, az erre vonatkozó jognyilatkozatához nem szükséges törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása. 16. életév betöltése előtt azonban minden esetben szükség van a törvényes képviselő előzetes vagy utólagos jóváhagyására, ellenkező esetben az adatkezeléshez adott hozzájárulás semmisnek tekintendő, és az adatkezelés jogalap hiányában jogellenesnek minősül.
c) A hozzájárulás megadható ráutaló magatartással. A hozzájárulásnak önkéntesnek, határozottnak és megfelelő tájékoztatáson alapulónak kell lennie, más esetben nem tekinthető elfogadhatónak. A tájékoztatást követően a rendezvény helyszínére történő belépés, az azon való részvételt a Szálláshely ráutaló magatartásnak tekinti. Ilyen ráutaló magatartásnak minősül, ha az érintett személy tudja, hogy abban a helyiségben, ahová belép, felvétel készül vagy készülhet. Azonban a fénykép-, hang- vagy videofelvétel készítéséhez való hozzájárulás nem jelenti egyben a felhasználás engedélyezését is, mivel a felhasználásra vonatkozó rendelkezési jog önálló, független a felvételkészítés engedélyezésétől.
d) A kép-, hang- és mozgókép elkészítéséhez – akár ráutaló magatartással megvalósuló – hozzájárulás nem jelent egyben felhatalmazást a felvételek nyilvánosságra hozatalára is. Így a – tömegfelvételek kivételével – kép-, hang- és mozgóképfelvételek közzétételéhez be kell szerezni az érintett személyek önkéntes hozzájárulását. Ha egy esetleges nem szabályszerű adatkezelés – így pl. a hozzájárulás hiánya ellenére történő adatkezelés – miatt eljárás indulna az adatkezelővel szemben, az adatkezelőnek kell bizonyítania az adatkezelés jogszerűségét, hiszen a hatályos jogszabályi rendelkezésknek megfelelően kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Ezért adatkezelői szempontból a jelen d) pontban foglalt felhasználáshoz, tömegfelvételek kivételével alapvetően a hozzájáruló nyilatkozat írásba foglalása javasolt.
e) A Polgári Törvénykönyv rendelkezéseinek megfelelően nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén. Az elkészített felvételek tekintetében esetről-esetre szükséges azt vizsgálni, hogy a fénykép tömegfelvételnek minősül-e, ellenkező esetben azonban kizárólag az érintett személyek, illetve – a 16. életévét be nem töltött kiskorúak esetében – a szülők hozzájárulásával minősül jogszerűnek a képfelvételek közzététele.
f) Szálláshely a rendezvényeken történő adatkezelésről a weboldalán közzétett és a recepción elhelyezett adatkezelési és adatvédelmi tájékoztatójában tájékoztatja az érintetteket. A Szálláshely emellett szükség esetén a rendezvényre történő belépéskor külön tájékoztatón (regisztrációs lapon vagy a rendezvényre váltott belépőjegy hátoldalán) feltünteti a hozzájáruláshoz kötött adatkezelésről szóló tájékoztatást. A Szálláshely tájékoztatja az érintettet az adatkezelő személyéről, az adatkezelés céljáról, a felvételek elérhetőségének helyéről, továbbá arról, hogy milyen módon kérheti azt az érintett személy, hogy a felvételt ne hozzák nyilvánosságra, illetve miként van lehetőség a felvétel törlésére, továbbá, hogy a részletes és minden releváns tényt tartalmazó adatkezelési tájékoztatót hol ismerhetik meg.

17. Szerződéshez kapcsolódó adatkezelések

17.1.Szerződő partnerink, ügyfeleink adatainak kezelése
(1) A szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása, üzleti kapcsolattartás céljából kezeljük a velünk szerződött természetes személy
a) vezeték-és keresztnevét,
b) címét/székhelyét/telephely címét,
c) adóazonosító jelét/adószámát,
d) nyilvántartási számát,
e) telefonszámát,
f) e-mail címét,
g) esetenként bankszámlaszámát.
Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
(2) A személyes adatok címzettje Adatkezelőként Szálláshelyünk és munkavállalóink, továbbá a számlázási szolgáltatások, valamint könyvelési tevékenységek elvégzése érdekében, az ezen tevékenységeket végző – adatkezelési tevékenységek nyilvántartásában nyilvántartott – adatfeldolgozó partnereinknek továbbíthatjuk az így kapott adatokat.
(3) A személyes adatok tárolásának időtartama – az adózási és számviteli kötelezettségek teljesítése miatt kezelt adatok kivételével – a mindenkor irányadó jogszabályban meghatározott idő, ennek hiányában, illetve ennek megfelelően a szerződés vagy az üzleti kapcsolat megszűnését követő 5 év, ezt követően azok törlésre kerülnek.
(4) Az érintett természetes személlyel az adatkezelés megkezdése előtt munkavállalónk közli, hogy az adatkezelés a szerződés teljesítése jogcímén, valamint jogi kötelezettség teljesítésén alapul, illetve irányadó esetben kéri az érintett hozzájárulását. A tájékoztatás történhet a szerződésben is vagy a Szálláshely elektronikus úton megkötött szerződései esetén az elektronikus szerződéshez tartozó adatkezelési tájékoztató ismertetésével. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról is tájékoztatni kell.

17.2. Jogi személy ügyfeleink, szerződő partnereink természetes személy képviselőinek elérhetőségi adatai
(1) Jogi személy partnerünkkel kötött szerződés teljesítése, üzleti kapcsolattartás céljából, az érintett természetes személy képviselő hozzájárulásával kezelhetjük adatait. A kezelhető személyes adatok köre a természetes személy
a) vezeték-és keresztneve,
b) címe,
c) telefonszáma,
d) e-mail címe.
(2) A személyes adatok címzettje Adatkezelő és munkavállalóink, továbbá a számlázási szolgáltatások, valamint könyvelési tevékenységek elvégzése érdekében, az ezen tevékenységeket végző – adatkezelési tevékenységek nyilvántartásában nyilvántartott – adatfeldolgozó partnereinknek továbbíthatjuk az így kapott adatokat.
(3) A személyes adatok tárolásának időtartama – az adózási és számviteli kötelezettségek teljesítése miatt kezelt adatok kivételével – a mindenkor irányadó jogszabályban meghatározott idő, ennek hiányában, illetve ennek megfelelően a szerződés vagy az üzleti kapcsolat megszűnését, illetve az érintett képviselői minőségének megszűnését követő 5 évig terjed, ezt követően azok törlésre kerülnek.
(4) Az érintett természetes személlyel az adatkezelés megkezdése előtt munkavállalónk közli, hogy az adatkezelés a szerződés teljesítése jogcímén, valamint jogi kötelezettség teljesítésén alapul, illetve irányadó esetben kéri az érintett hozzájárulását. A tájékoztatás történhet a szerződésben is vagy a Szálláshely elektronikus úton megkötött szerződései esetén az elektronikus szerződéshez tartozó adatkezelési tájékoztató ismertetésével. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról is tájékoztatni kell.

13.3. Jogi kötelezettségen alapuló adatkezelések
Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
(1) Jogi kötelezettségünk teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (számla kiállítás, könyvelés, adózás) céljából kezeljük a velünk üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok különösen az általános forgalmi adóról szóló 2017. évi CXXVII. törvény, a számvitelről szóló 2000. évi C. törvény, továbbá a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján mindenkor meghatározott adatok.
(2) A személyes adatok tárolásának időtartama a mindenkor hatályos jogszabályban meghatározott idő, ennek hiányában, illetve ennek megfelelően a jogalapot adó jogviszony megszűnését követő 8 év.
(3) A személyes adatok címzettjei adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó harmadik személy könyvelő és számlázó adatfeldolgozó partnereink. Szálláshelyünk mint adatkezelő nevében a jelen Szabályzat 9. mellékletét képező adatkezelési tevékenységek nyilvántartásában foglalt könyvelő iroda lát el adatfeldolgozói tevékenységet. A számlák kiállítása vonatkozásában az adatkezelési tevékenységek nyilvántartásában közzétett számlázó szolgáltató adatfeldolgozó partnerünk tevékenységét vesszük igénybe.

18. Biztonsági, személy-és vagyonvédelmi kamerarendszer alkalmazása
14.1. Személy-és vagyonvédelmi célú kamerás megfigyeléssel kapcsolatos adatkezelés
(1) Szálláshelyünk területén, így a vendégek fogadásra nyitva álló helyiségeinkben – ide nem értve a szálláshely szobákat, öltözőket, zuhanyzókat, mosdókat, illemhelyeket stb. – az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmazunk, amely képfelvétel rögzítését teszi lehetővé, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
(2) Az adatkezelés jogalapja jogos érdekeinek érvényesítése és az érintett hozzájárulása.
(3) Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást (a jelen pont vonatkozásában a továbbiakban együtt: tájékoztatás) helyezünk el. A tájékoztatást minden egyes kamera vonatkozásában megadjuk. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó képfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is.
(4) A megfigyelt területre belépő harmadik személyekről (pl. ügyfelek, vendégek) képfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható különösen úgy, ha a megfigyelt területre belépő természetes személy az annak bejáratánál kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról szóló tájékoztató jelzés, ismertetés ellenére a területre bemegy.
(5) A rögzített felvételek felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg, ezt követően azok törlésre kerülnek. Felhasználásnak minősül, ha a rögzített képfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánnak felhasználni.
(6) Akinek jogát vagy jogos érdekét a képfelvétel adatának rögzítése érinti, a képfelvétel rögzítésétől számított 3 (három) munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot az adatkezelő ne semmisítse meg, illetve ne törölje.
(7) Nem lehet kamerás megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen a szálláshely szobákban, az öltözőkben, zuhanyzókban, az illemhelyiségekben. A kamera-állása nem irányulhat kifejezetten a érintett megfigyelésének céljára. Az a tény, hogy a kamera látószöge összességében magában foglalja azt a területet is, amelyen a érintett tevékenységét ellátja, nem minősül a érintett kifejezett megfigyelésének, ha azon a érintett arányos és indokolt mértékben szerepel [pl. recepciót/konyhát és környezetét megfigyelő kamera, amely felvétel nem kifejezetten, kizárólag és egyértelműen a recepción/konyhán/előtérben tartózkodó figyelemmel kísérésére irányul, de a biztonsági szempontból megfigyelt területtel (pl. recepció környéke) együtt a felvételen, arányosan és indokolt mértékben a érintett és így esetlegesen annak tevékenysége is szerepel].
(8) Ha a Szálláshelyünk területén jogszerűen senki sem tartózkodhat – így különösen üzemidőn kívül – akkor annak teljes területe megfigyelhető.
(9) A kamerás megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzése céljából a megfigyelőrendszert kezelő személyzet, Szálláshelyünk vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.

19. Az érintett kérelmének előterjesztése, adatkezelő intézkedései
15.1. Intézkedések az érintett kérelme alapján
(1) Az érintett a jelen Tájékoztatóban foglalt esetekben kérelmét elsődlegesen a info@dunapartpanzio.hu e-mail címre küldött elektronikus levélben nyújthatja be. Indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatjuk az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. Ha valamely menthető okból nem szereztünk tudomást a kérelem beérkezéséről, úgy tudomásszerzést követően az érintett haladéktalan tájékoztatása mellett, soron kívül kötelesek vagyunk eljárni.
(2) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatjuk az érintettet.
(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadnunk, kivéve, ha az érintett azt másként kéri.
(4) Ha nem teszünk intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatjuk az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) A GDPR Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítjuk. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költséget számíthatunk fel vagy megtagadhatjuk a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása minket, mint adatkezelőt terhel.
(6) Ha adatkezelőként megalapozott kétségeink vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérhetjük.

15.2. A felügyeleti hatóság elérhetőségei:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím: 1125 Budapest Szilágyi Erzsébet fasor 22/c.
Weboldal: http://naih.hu
Postacím: 1530 Budapest, Pf.: 5.
E-mail: ugyfelszolgalat@naih.hu
Telefonszám: +36 (1) 391-1400