ADATVÉDELMI SZABÁLYZAT

Üzemeltető: TOKAJER 97 Hotel Kft.
Székhely: 8360 Keszthely, Apát utca 21.
Szolgáltatás címe: 8360 Keszthely, Apát utca 21., 8360 Keszthely, Apát utca 21. A. ép., 8360 Keszthely, Móra Ferenc utca 28.

1. Az adatvédelmi szabályzat célja és hatályai
A TOKAJER 97 Hotel Kft. továbbra is „Szálloda” főtevékenysége szállodai.
A Szálloda, az adatok kezelésével összefüggésben, ezúton tájékoztatja ügyfeleit, valamint a gyakorlatokat a látogatókról, az általa kezelt személyes adatokról, a személyes adatok kezelése körében követett elvről és kérdésről, valamint az érintettek jogairól gyakorlásának módjáról és lehetőségeiről.
A Szálloda elkötelezett és partnerei személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását. A Szálloda kijelenti, hogy tiszteletben tarja partnerei, ügyfelei, honlapja látogatóinak személyhez fűződő jogait. A rögzített személyes adatokat bizalmasan, az adatvédelmi jogszabályokkal és nemzetközi ajánlásokkal összhangban, a jelen adatkezelési szabályzat megfelelően kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, amely az adatok biztonságát biztosítja.
A Szálloda fenntartja a jogot jelen szabályzat bármikori megváltoztatására, úgy, hogy ezekről a változásokról partnereit, értesíti.
A Szállodával ügyfélkapcsolatba kerülő partner elfogadja az alábbiakat, és az értékesítésben meghatározott adatkezeléshez.
Jelen Szabályzat célja annak biztosítása, hogy a Szálloda megfeleljen az adatvédelemmel kapcsolatos hatályos jogszabályoknak.
Jelen Szabályzat 2019. július 18. napjától hatályos, visszavonásig érvényes.
Jelen Szabályzat hatálya kiterjed a Szállodára, azon személyekre, akik adatait a jelen Szabályzat hatálya alá tartozó adatkezelések tartalmazzák, továbbá azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.
Jelen Szabályzat hatálya kiterjed a Szálloda minden  szervezeti egységeikben valamennyi személyes adatokat tartalmazó adatkezelésre.
2. Jogszabályi háttér
A személyes adatok kezelésével kapcsolatos jogszabályi előírásokat Adatkezelő az adatkezelés minden fázisában köteles betartani. Adatkezelő által végzett adatkezelésre elsősorban az alábbi jogszabályokban rögzített rendelkezések az irányadók:
-   a Polgári Törvénykönyvről szóló 2013. évi V. törvény 2:43§ (e) 
-   az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tévé. („Adatvédelmi tv.”);
-   az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. tévé. („Eker. tv.”); 
-   a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. tévé. (Grt. tv.)
-   az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény;
-   a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. Törvény („Katv.”)
3. Fogalmak
Az alábbi fogalmak jelen Szabályzat alkalmazásában értendők.
Érintett: minden meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
Személyes adatok: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az abból származó levonható, az érintettre vonatkozó következtetés;
Hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely önállóan vagy másokkal együtt az adatok kezelésének célját határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;
Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, biztosítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának vizsgálata, fénykép-, hang vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemző rögzítése.
Adatfeldolgozó: az a természetes vagy jogi személy, illetve személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – tartalmazza a jogszabályi előírás alapján meghatározott szerződéskötést is – az adatok feldolgozását;
Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, minden művelet végrehajtásához alkalmazott és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégezték;
Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;
Adat adat: az adat meghatározott harmadik személy számára hozzáférhetővé tétele;
Nyilvánosságra hozatal: az adatok bárki számára hozzáférhetővé tétele;
Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
Adatmegjelölés: az adatazonosító jelzéssel ellátása annak megkülönböztetése céljából;
Adatzárolás: az adatazonosító jelzéssel ellátott ellátás további kezelésének végleges vagy meghatározott időre vonatkozó korlátozása miatt;
Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
4. A személyes adatok kezelése és védelme
4.1. Adatkezelő feladat és hatásköre, felelőssége
Az elsődleges adatkezelést végző adatkezelő az érintett adatoknak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a másnak kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felett az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, hogy a károsult szándékos vagy súlyosan gondatlan magatartásból származott.
4.2. Adatfeldolgozó feladat és hatásköre, felelőssége
Az adatfeldolgozónak a személyes adatokkal kapcsolatos jogait és kötelezettségeit jelen szabályzat, valamint a vonatkozó jogszabályok keretei, amelyek az adatkezelő feldolgozó megszabásával kapcsolatosak. Az adatfeldolgozó tevékenységi körén belül, az érintettleg az adatkezelő által meghatározott keretek között szerepel a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, biztosításáért és nyilvánosságra hozataláért. Az adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót az adatkezelő rendelkezése szerint vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának alapjául szolgálhat.
5. Érintettek jogai
- Hozzáférés joga:
(Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra, hogy személyes adatainak kezelési folyamatában van-e, és ha ilyen adatkezelési folyamatban van, jogosult arra, hogy a személyes adatokhoz kapjon, valamint tájékoztatást kapjon a kezeléssel kapcsolatos körülményekről. indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésről. okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintetteket.

- A helyesbítéshez való jog:
(Az érintett jogosult arra, kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, valamint, hogy kérje a hiányos személyes adatok kiegészítését.)

- A törléshez való jog: 
(Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
•   a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
•   b) az érintette a GDPR 6. cikkének (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulás, és az adatkezelésnek nincs más jogalapja;
•   c) az érintett GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR. 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
•   d) ha a személyes adatokat az adatkezelő jogellenesen kezelte;
•   e) ha a személyes adatokat alapján törölni kell;
•   f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett információs társadalommal összefüggő szolgáltatások kínálatával kapcsolatosan került sor (gyermektámogatási feltételek).
Az adatot az adatkezelő nem törli, ha az adatkezelés a következő okok valamelyike miatt szükséges:
•   a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
•   b) a személyes adatok kezelését előíró jog szerinti kötelezettség teljesítése érdekében;
•   c) jogi vagy igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
- Az adatkezelés korlátozásához való jog:
(Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, az érintettek teljesül:
•   a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az utolsó napra vonatkozik, amely lehetővé teszi, hogy az adatkezelő a személyes adatok pontosságát pontosítsa;
•   b) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
•   c) az adatkezelőnek már nincs szüksége a személyes adatokra vonatkozó adatkezelésre, az érintett igényli azokat a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
•   d) az érintett tiltakozott az adatkezelés ellen; Ez esetben a korlátozás arra az évre vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. Az adatkezelés korlátozása a korlátozással érintett személyes adatok a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely szervezet fontos közérdekéből lehet kezelni. A korlátozás feloldásáról az adatkezelő előzetesen tájékoztatást nyújt az érintetteknek.
- A tiltakozáshoz való jog: 
(Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelés ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, ki, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekekkel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. )

- Az adathordozhatósághoz való jog: 
(Az érintett jogosult arra, hogy a rá vonatkozó személyes adatait tagolt, széles körben használt, géppel olvasható ban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az akadályozná az adatkezelőt, hogy a személyes adatokat a rendelkezésére bocsátja bocsátotta, ha: a) az adatkezelés a GDPR. 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és b) az adatkezelés automatizált módon történik.)
6. Az adatkezelés részletes szabályai
6.1. Tájékoztatás az adatkezelésről
Az érintettek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-ea személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzett első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintett egyéb eltérő célról és minden szükséges tudnivalóról tájékoztatnia kell.  

A tájékoztatásnak az alábbiakról kell szólnia:
•   az adatkezelő kilétéről és elérhetőségéről
•   a személyes adatok kezelésének céljáról, valamint az adatkezelés jogalapjáról
•   a „jogos érdekekről” alapuló adatkezelés ezen jogos érdekekről
•   a személyes adatok címzettjeiről
•   az adatkezelés tervezett időpontjáról
•   az érintett jogairól
•   arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása
•   az esetleges automatizált döntéshozatalról, ideértve a profilalkotást is.
•   az érintettek jogorvoslati lehetőségeiről
6.2 Az adatkezelés jogszerűsége
A személyes adatok kezelése jogszerű, ha az adatkezelő az adatkezeléshez az adatkezeléshez az alábbi jogalapok valamelyikével rendelkezik:
•   az érintett hozzájárulását adta személyes adatainak kezeléséhez
•   az adatkezelés olyan szerződés teljesítéséhez szükséges, az érintett az egyik fél
•   az adatkezelés az adatkezelőre vonatkozó jogi kötelezettségek teljesítéséhez szükséges
•   az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges
•   az adatkezelés közérdekű feladat végrehajtásához szükséges
•   az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.
6.3. Adatkezelés úja
Az adatokat csak a lehető legrövidebb ideig lehet tárolni. Ennek az időpontnak a meghatározásánál figyelembe kell venni, hogy az adatkezelő milyen okból végez adatkezelést, valamint az adatok meghatározott ideig történő megőrzésére vonatkozó jogi kötelmeket.
6.4. Belső adatot
Az adatkezelő szervezetén belüli személyes adatok csak a célhoz kötött kötöttség elvének megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az adatokhoz való jog.
6.5. Adatok harmadik személyek részére
Személyes adatot továbbítani harmadik személy csak törvény alapján, vagy az érintett hozzájárulásával lehet, ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az adatkezelést megelőzően az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a későbbiekben az adatkezelés feltételei minden egyes személyes adatra valósultak-e. Ugyanazon adatkezelők számára, azonos érintettre vonatkozó, és azonos célú adatok előtt az adat jogszerűségének vizsgálatába az adatvédelmi tisztviselőt is be kell vonni. Az ezt követő adatok során külön vizsgálatot lefolytatni nem kell. Az adatvédelmi tisztviselő az adatról szóló adatról szóló nyilvántartást köteles vezetni, és a szabályok megfelelően tárolni. Az adatleadási nyilvántartást az adatvétel, illetve az adatküldés évét követő ötödik év végéig (különleges adatok esetén húsz évig) kell megőrizni.
Az adatok közzétételi nyilvántartása:
•   az adattovábbító által kezelt személyes adatok annak időpontját,
•   a továbbított adatok körét,
•   az adatot jogalapját és címzettjét (név, cím, székhely),
•   az adatokért felelős nevét és telefonszámát.
6.6 Adat külföldre vagy harmadik országba
Az adatkezelést megelőzően – az adatvédelmi tisztviselő bevonásával – az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy az egyesített adatkezelés feltételei minden személyes adatra valósulnak meg.
6.7 Az adatkezelőnél különleges adatok kezelésére nem kerül sor, ideértve a biometrikus adatokat.
7. Adatvédelmi incidensek
Adatvédelmi incidens a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan személyes közlését vagy azokhoz való jogosulatlan hozzáférést biztosít.
7.1. Adatvédelmi incidens bejelentése
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthető, nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell a késedelem igazolására szolgáló indokokat is.
7.2 Adatvédelmi incidens kivizsgálása, kezelése
Az adatvédelmi tisztviselő a bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.
Az adatszolgáltatásnak tartalmaznia kell:
•   az incidens bekövetkezésének időpontját és helyét
•   az incidens leírását, körülményeit, hatásait
•   az incidens során érintet adatok körét, számosságát
•   az adatokkal érintett személyek körét
•   az incidens elhárítása érdekében tett intézkedések leírását,
•   a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
Az adatvédelmi tisztviselő javaslatot tesz a szükséges intézkedésre. Az adatvédelmi incidens elhárítás megvalósított intézkedésekről az adatok kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedés végrehajtását egyesített munkanapon belül köteles az adatvédelmi tisztviselőt tájékoztatni.

7.3. Adatvédelmi incidensek nyilvántartása
Az adatkezelő köteles az adatvédelmi incidensek nyilvántartására. A GDPR értelmében az adatkezelő köteles technikai és szervezési végrehajtásani annak érdekében, hogy képes legyen a sebezhetőségek és biztonsági incidensek felderítésére és értékelésére. Így, az adatvédelmi incidensek dokumentálásán az adatkezelő köteles megfelelő folyamatokat és kezelést alkalmazni a célból, hogy a biztonsági incidenseket időben felderítse és kezelje.

Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Levelezési cím: 1530 Budapest, Postafiók: 5.
Telefon: +36 -1-391-1400
Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu