1. Bevezető
1.1. Az Ecotech Nonprofit Zrt. (a továbbiakban: adatkezelő) adatkezelési tevékenysége során kiemelten fontosnak tartja a személyes adatok védelmét. A személyes adatokat minden esetben a hatályos jogszabályoknak eleget téve kezeli, gondoskodik azok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, valamint kialakítja azokat az eljárási szabályokat, amelyek a vonatkozó jogszabályok betartásához szükségesek.
1.2. Az adatkezelés alapjául szolgáló hatályos jogszabályok:
- a) Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
- b) 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről
- c) 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
- d) 2008. XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
- e) Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (továbbiakban: GDPR)
- f) 2012. évi I. törvény a munka törvénykönyvéről,
- g) 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól,
- h) 2000. évi C. törvény a számvitelről.
2. Az adatkezelő, adatfeldolgozó megnevezése és elérhetőségei
Adatkezelő
Megnevezés: Ecotech Nonprofit Zrt.
Székhely: 2400 Dunaújváros, Táncsics M. utca 1/a.
Cégjegyzékszám: 07-10-001374
Adószám: 11725484-2-07
Képviseletre jogosult: Füredi Gábor, vezérigazgató
E-mail: info@ecotechzrt.hu
Web: www.hotelkerpely.hu
Adatvédelmi tisztviselő
Az adatvédelmi tisztségviselő neve: dr. Szemere Brigitta
E-mail: SZEMEREB@dufoffice365.onmicrosoft.com
Adatfeldolgozó
Megnevezés: Dunaújvárosi Egyetem
Székhely: 2400 Dunaújváros Táncsics M. u. 1/A
Postacím: 2401 Dunaújváros, Pf.: 152.
Képviseletre jogosult: Dr. András István, rektor
Kiss Ádám Sándor, kancellár
E-mail cím: rektorihivatal@uniduna.hu
Az adatfeldolgozás tartalma: tárhelyszolgáltatás.
3. Az adatkezelés alapfogalmai és elvei
3.1. Az adatkezelés alapfogalmai
- a) Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.
Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján egyértelműen meghatározható.
- b) Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is.
- c) Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. Ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
- d) Adatfeldolgozó: az a természetes vagy jogi személy, vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
- e) Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.
- f) Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.
- g) Tiltakozás: az érintett adatkezelőhöz eljuttatott nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
- h) Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik.
- i) Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
- j) Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik.
k) Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
- l) Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
3.2. Az adatkezelés alapelvei
- a) A személyes adatok kezelését az adatkezelő jogszerűen és átlátható módon végzi, biztosítva a természetes személyekre vonatkozó személyes adatok kezelésének tisztességességét.
- b) Személyes adatot az adatkezelő kizárólag meghatározott törvényes célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel. Az adatkezelő az adatkezelés folyamatát úgy alakítja ki, hogy az adatkezelés minden szakaszában megfeleljen az adatkezelés céljának, továbbá az adatok felvétele és kezelése tisztességes és törvényes legyen.
- c) Az adatkezelő csak olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adatot csak a cél megvalósulásához szükséges mértékben és ideig kezeli.
- d) Az adatkezelő mindent megtesz annak érdekében, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek, szem előtt tartva, hogy a pontatlan személyes adatok helyesbítésre kerüljenek.
- e) A személyes adatok kezelését az adatkezelő oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelme.
4. Az adatkezelő által folytatott egyes adatkezelések
4.1. Szállodai szolgáltatással összefüggő adatkezelés
A www.hotelkerpely.hu látogatóinak adatai, valamint a Hotel Kerpely vendégeinek adatai, kezelésük célja, ideje:
- a) Adatkezelő a weboldal látogatásakor sem a felhasználó IP címét, sem más személyes adatát nem rögzíti.
- b) A Hotel Kerpelybe (a továbbiakban: Hotel) a vendégek e-mailben, telefonon, faxon, személyesen illetve a weboldalon található online foglalási rendszer segítségével foglalhatnak szobát. Csoportos szobafoglalás kizárólag írásban történhet, melyről az adatkezelő visszaigazolást küld.
- c) Szobafoglalás esetén a tartózkodásra vonatkozó adatokon kívül a következő személyes adatok megadása szükséges: név, e-mail cím, telefonszám, nemzetiség, lakcím, számlázási cím, személyi igazolvány/útlevél szám.
- d) A személyes adatok kezelésének jogalapja az érintett önkéntes hozzájárulása [GDPR 6. cikk (1) bek. a) pont], továbbá a szerződés megkötését megelőző lépés megtételéhez szükséges [GDPR 6. cikk (1) bek. b) pont], valamint a szerződés teljesítése céljából szükséges, amelyben a vendég az egyik fél [GDPR 6. cikk (1) bek. b) pont]. Az adatszolgáltatás elmaradása esetén a szobafoglalási kérelmét a Hotel nem tudja teljesíteni.
- e) Az adatkezelés célja kapcsolatfelvétel és kapcsolattartás az adatkezelő által nyújtott szolgáltatások igénybe vevőjével (a továbbiakban: vendég), a szobafoglalással kapcsolatos ügyintézés, a szálláshely szolgáltatással kapcsolatos szerződés tartalmának meghatározása, számlázás, valamint a szerződéssel kapcsolatos követelések érvényesítése.
- f) Adatkezelő a személyes adatokat az adatkezelés céljának fennállása, így elsősorban az adott vendéggel fennálló szerződéses jogviszony fennállásának időtartama alatt kezeli, illetve amíg a vendég nem kéri az adatai törlését, illetve nem vonja vissza a hozzájárulását. A kötelező adatkezeléshez (így különösen a számvitelről szóló 2000. évi C. törvény 169. §-ában foglalt megőrzési kötelezettség esetén) szükséges adatok a megőrzési időn belül nem törölhetőek.A szobafoglalással kapcsolatos információs rendszer technológiai hátterét jelenleg a Dunaújvárosi Egyetem biztosítja, aki adatfeldolgozóként a szállodai szolgáltatással kapcsolatos adatokat elkülönítetten, a szerverén tárolja.
4.2. Bér- és munkaügyi adatok kezelése
- a) A bér- és munkaügyi nyilvántartás a munkaviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját a a munka törvénykönyvéről szóló 2012. évi I. törvény képezi.
- b) A bér- és munkaügyi nyilvántartás adatai a munkavállaló munkaviszonnyal kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalom-biztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel.
- c) A bér- és munkaügyi nyilvántartás az adatkezelő valamennyi munkaviszonyban foglalkoztatott munkavállalójának adatait tartalmazza. Az érintettekről a nyilvántartásban rögzített adatok köre:
– személyi adatok,
– nyugellátásra vonatkozó – adatok,
– munkaviszony adatok,
– legmagasabb iskolai – végzettségre vonatkozó adatok,
– szakképzettség adatai,
– nyelvvizsga adatok,
– munkaidőre és – munkakörre és személyi alapbérre vonatkozó adatok,
– saját háztartásban – eltartottak adatai,
– egészségügyi adatok,
– magánnyugdíj pénztárra vonatkozó adatok,
bankszámlaszám.
- d) A bér- és munkaügyi nyilvántartás adatait az érintett szolgáltatja. Az elsődleges adatfelvétel munkaviszony keletkezésekor történik meg az adatvédelmi tájékoztatás és a hozzájárulási nyilatkozatok bekérésével egyidejűleg.
4.3. Jogi személy ügyfelek, szállítók természetes személy képviselőinek elérhetőségi adatainak kezelése
A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe.
- a) A személyes adatok kezelésének célja az adatkezelő jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás; jogalapja az érintett kifejezett önkéntes hozzájárulása [GDPR 6. cikk (1) bekezdés a) pontja] továbbá a szerződés megkötését megelőző lépés megtételéhez szükséges [GDPR 6. cikk (1) bek. b) pont].
- b) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig.
4.4. Kamerás rendszerrel történő adatkezelés
- a) Az adatkezelés célja: az adatkezelő a Hotel területén tartózkodó személyek életének, a testi épségének, valamint a vagyon védelme érdekében, a jogsértések megelőzése, észlelése céljából üzemeltet elektronikus megfigyelőrendszert (kamerarendszer), betartva az Infotv.-ben megfogalmazott alapelveket, valamint a 2005. évi CXXXIII. tv. vonatkozó előírásait.
- b) Az adatkezelés jogalapja: az érintett kifejezett önkéntes hozzájárulása [GDPR 6. cikk (1) bekezdés a) pontja] és az Szvtv. 26. § (1) bekezdés e) pontja és 31. § (1)-(4) bekezdéseiben foglaltak alapján adatkezelő jogos érdekének érvényesítése [GDPR 6. cikk (1) bekezdés f) pontja].
- c) Az elektronikus megfigyelőrendszerrel kapcsolatos adatkezelésben érintettek köre: a Hotel területén tartózkodó természetes személyek, ideértve a Hotel munkatársait, valamint a Hotel vendégeit is.
- d) Az adatkezelő, a kamerával történő megfigyelés során az érintettek arcképmását kezeli. Az elektronikus megfigyelőrendszer a hét minden napján, 24 órában üzemel, az élőkép megfigyelés mellett képeket rögzít.
- e) Az adatkezelés időtartama: a rögzített felvételek a jogszabályi kivételektől eltekintve a rögzítést követő 3 munkanapon belül törlésre kerülnek.
- f) A kamerával megfigyelt területek:
Beltéri kamerák.
- g) Adattovábbításra kizárólag jogellenes magatartásra vagy kötelezettségszegésre tekintettel folyamatban lévő eljárás esetén, az azokat lefolytató hatóságok, bíróságok felé van lehetőség. Az átadott adatok körébe a kamerarendszer által készített, releváns információt tartalmazó felvételek tartozhatnak, valamint a felvételen szereplő személyek neve.
- h) A kamerarendszer által rögzített személyes adatokhoz – a jogszabályban meghatározott időtartam alatt – az adatkezelő arra felhatalmazott és kijelölt munkatársai a hozzáférés idejét jegyzőkönyvezett módon férhetnek hozzá.
5. A személyes adatok továbbítása és adatfeldolgozó igénybevétele
5.1. A munkavállaló személyes adatainak továbbítása a vonatkozó jogszabályi előírások alapján, elektronikusan dokumentált és visszakövethető módon történik.
5.2. A munkavállalók személyes adatait az adatkezelő – amennyiben szükséges – az Európai Unión kívüli országba vagy nemzetközi szervezet részére a GDPR vonatkozó rendelkezéseinek megfelelően továbbítja.
5.3. Munkáltató az 2.1. pontban megjelölt adatfeldolgozót veszi igénybe.
6. A személyes adatok védelmét biztosító garanciák
- A munkavállalók személyes adatai biztonságának megőrzését az adatkezelőnél a következő technikai és szervezési intézkedések garantálják:
- a) az elektronikusan tárolt személyes adatokhoz csak a munkáltató és az általa kijelölt, hozzáférési jogosultsággal rendelkező munkavállaló férhet hozzá;
- b) naplózás, külső és belső tűzfalak, vírusvédelmi szoftverek alkalmazása;
- c) rendszeres mentés,
- d) a munkaviszonnyal, munkavégzéssel összefüggő személyes adatokat tartalmazó papíralapú iratok megfelelő, zárt szekrényben történő tárolása.
7. Az adatkezeléssel kapcsolatos jogok, jogérvényesítési lehetőségek
Az érintettet az adatkezelés kapcsán az alábbi jogok illetik:
- a) Tájékoztatás kéréséhez, hozzáféréshez való jog: az adatkezeléssel érintett a 2. pontban megadott elérhetőségeken keresztül írásban tájékoztatást kérhet az adatkezelőtől az adatkezelés tényéről, az adatkezelő által kezelt személyes adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Adatkezelő az írásbeli kérelmet a beérkezéstől számított legrövidebb idő alatt, de legfeljebb 25 napon belül a személyes adatkezeléssel érintett kérelmező által megadott elérhetőségre ingyenesen teljesíti.
- b) Adathordozhatósághoz való jog: csak abban az esetben gyakorolható, ha az adatkezelést automatizált módon, gépi eszközökkel végzi az adatkezelő a hatálya pedig csak az érintett által közvetlenül az adatkezelő rendelkezésére bocsátott személyes adatokra terjed ki.
- c) Helyesbítéshez való jog: adatváltozás vagy téves adatrögzítés észlelése esetén az adatkezeléssel érintett az adatkezelőtől 2. pontban megadott elérhetőségeken keresztül kérheti, illetve köteles kérni személyes adatainak helyesbítését vagy kijavítását a változástól számított 15 napon belül, írásban. A valóságnak meg nem felelő személyes adatot az adatkezelő helyesbíteni köteles. Amennyiben a helyesbítéssel érintett információ joghatással járhat az érintettre nézve vagy egyéb módon jelentős érdeket érinthet, az adatkezelő jogosult az érintettől a helyesbítés megalapozottságának igazolását kérni (pl. kiegészítő nyilatkozat útján.)
- d) Törléshez, zároláshoz való jog: az adatkezeléssel érintett a 2. pontban megadott elérhetőségeken keresztül, írásban kérheti az adatkezelőtől a személyes adatai törlését. Kivételt képeznek ez alól azok a személyes adatok, melyek megőrzésére, kezelésére az adatkezelő jogszabályi kötelezettségének teljesítése miatt kerül sor.
Adatkezelő a helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbította. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
- e) Adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül: az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát; az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; az érintett tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
- f) Tiltakozáshoz való jog: az adatkezeléssel érintett a 2. pontban megadott elérhetőségeken keresztül, tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el, a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi. Adatkezelő – az adatkezelés egyidejű felfüggesztésével – a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
A személyes adatot az adatkezelő törli, ha kezelése jogellenes, vagy ha azt az érintett kéri, vagy ha az hiányos vagy téves – és ez az állapot jogszerűen nem korrigálható –, feltéve, hogy a törlést törvény nem zárja ki. Törli továbbá, ha az adatkezelés célja megszűnt, az adatok tárolásának törvényben meghatározott határideje lejárt, vagy azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.
Jogorvoslat: Amennyiben személyes adatainak kezelésével összefüggésben az adatkezeléssel érintett panasszal kíván élni, forduljon az adatkezelőhöz, vagy az adatkezelő adatvédelmi tisztviselőjéhez jelen tájékoztató 2. pontjában meghatározott elérhetőség valamelyikén.
Jogérvényesítés: Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz (lakóhelye vagy tartózkodási helye szerinti törvényszék) fordulhat, vagy kérheti a Nemzeti Adatvédelmi és Információszabadság Hatóság (Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C., E-mail: ugyfelszolgalat@naih.hu) vizsgálatát.
Dunaújváros, 2019. augusztus 1.