Adatvédelmi tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

2020. január 2.

A HOTEL CENTRAL BASILICA Kft. (továbbiakban: a Vállalkozás vagy Szervezet) az érintettek tájékoztatása céljából az alábbi Adatvédelmi tájékoztatót teszi közzé.

Az adatvédelmi tisztviselő neve és elérhetősége

A HOTEL CENTRAL BASILICA Kft. nem bíz meg adatvédelmi tisztviselőt.

Az adatkezelés alapelvei

A személyes adatok:

• kezelését a HOTEL CENTRAL BASILICA Kft. jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végezi („jogszerűség, tisztességes eljárás és átláthatóság”);
• gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat a Vállalkozás nem kezeli ezekkel a célokkal össze nem egyeztethető módon; („célhoz kötöttség”);
• az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
• kezelésének pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul helyesbítésre vagy törlésre kerüljenek („pontosság”);
• tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; („korlátozott tárolhatóság”);
• kezelése oly módon történjék, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítható legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmét is ideértve („integritás és bizalmas jelleg”).

Az adatkezelés biztonsága

A Szervezet működése során a személyes adatok védelme 

• fizikai,
• logikai, és
• adminisztratív

pilléreken nyugszik. A szolgáltatás során alkalmazott informatikai eszközök kiválasztása és üzemeltetése úgy történik, hogy a kezelt adatok

• az arra feljogosítottak számára hozzáférhetőek (rendelkezésre állás);
• hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
• változatlansága igazolható (adatintegritás);
• a jogosulatlan hozzáférés ellen védettek (adat bizalmassága) legyenek.

A Vállalkozás az adatkezelés során megőrzi

• a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
• a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
• a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, akkor valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

A Vállalkozás és partnereinek informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. A HOTEL CENTRAL BASILICA Kft. a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.

Tájékoztatjuk felhasználóinkat, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek. Az ilyen fenyegetésektől megvédendő a szolgáltató megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden informatikai incidenst rögzíthessen, és bizonyítékkal szolgálhasson ezek tekintetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.

A Vállalkozás által kezelt személyes adatok integritása és bizalmas jellege megőrzése, illetve a gazdálkodási és a szakmai információk védelme, továbbá a működési folyamatok szabályozottsága érdekében a HOTEL CENTRAL BASILICA Kft. figyelembe veszi az ISO 27001 (Információbiztonság irányítási rendszer) követelményeit.

A Vállalkozásnál megvalósuló adatkezelések

Az alábbi felsorolásban nem részletezett adatkezelések a Vállalkozás belső adatkezelési folyamatai, melyeket az Adatvédelmi szabályzat tárgyal bővebben, a szabályoknak megfelelő formában.

1. A munkaerő-felvételi eljárással megvalósuló adatkezelés

Az adatkezelés célja: a megüresedő álláshelyek betöltésére megfelelő leendő munkavállaló kiválasztása, a jelentkezők személyes adatainak kezelése.

A kezelt adatok köre: név, telefonszám, e-mail cím, a feltöltött Önéletrajzban a jelentkező által megadott személyes adatok.

Az adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja, „az érintett hozzájárulása”.

Az adattárolás határideje: az érintett törlési kérelméig, de legfeljebb az adatfelvételtől számított 3 hónapig.

Kivételt ez alól a Professional.hu oldalról beszerzett személyes adatok jelentenek, melyeket Munkáltató köteles a pozíció betöltését követően, de legkésőbb az önéletrajz vagy egyéb dokumentumok letöltését követő 90. napon törölni. 

2. Egyszeri ajánlatkéréssel kapcsolatos adatkezelés

Az adatkezelés célja: a kapcsolatfelvétel biztosítása, kapcsolattartás, ajánlatadás.

A kezelt adatok köre: név, e-mail cím, üzenet szövege (amely esetlegesen személyes adatokat tartalmazhat), telefonszám.

Az adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja, „az érintett hozzájárulása”, illetve GDPR 6. cikk (1) bek. c) pontja, az adatkezelőre vonatkozó jogi kötelezettség.

Az adattárolás határideje: az ajánlat megadásának időpontjáig.

3. Szobafoglalás

Az adatkezelés célja: a kiválasztott szálláshely biztosítása a megadott időintervallumban.

A kezelt adatok köre: név, e-mail cím, a várható tartózkodási hely és annak ideje, bankkártya adatok, számlázási cím.

Az adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja „az érintett hozzájárulása”.

Az adattárolás határideje: a szobafoglalás lemondásáig, vagy a Bejelentőlap kitöltéséig.

4. Vendégéjszakák nyilvántartása

Az adatkezelés célja: szálláshely szolgáltatás nyújtása, a szállóvendégek nyilvántartása, a szállóvendégek részére szolgáltatások nyújtása, kapcsolattartás, számlázás, idegenforgalmi adó bevallás. 

A kezelt adatok köre: név, lakcím, születési hely és idő, a vendég neme, személyi igazolvány szám, útlevélszám, eltöltött éjszakák száma, gépkocsi rendszáma.

Az adatkezelés jogalapja: a GDPR 6. cikk (1) bek. c) pontja „az adatkezelőre vonatkozó jogi kötelezettség teljesítése”, illetve a gépkocsi rendszáma estében a GDPR 6. cikk (1) bek. a) pontja „az érintett hozzájárulása”.

5. Panaszkezelés

Az adatkezelés célja: a kapcsolatfelvétel biztosítása, a bejelentés kivizsgálásáról szóló tájékoztatás megadása.

A kezelt adatok köre: név, e-mail cím, levelezési cím, üzenet szövege (amely esetlegesen személyes adatokat tartalmazhat), telefonszám.

Az adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja „az érintett hozzájárulása”, illetve a GDPR 6. cikk (1) bek. c) pontja „az adatkezelőre vonatkozó jogi kötelezettség teljesítése”.

Az adattárolás határideje: a bejelentésről felvett jegyzőkönyv és a válaszlevél másolatának törvény szerinti megőrzési ideje 5 év.

6. Weboldallal kapcsolatos adatkezelés

Az adatkezelés célja: a honlap rendeltetésszerű és színvonalas működésének biztosítása, a szolgáltatásaink minőségének ellenőrzése és javítása, a rosszindulatú, weboldalunkat támadó látogatók beazonosítás, a látogatottság mérésére, statisztikai célok.

A kezelt adatok köre: IP cím, a látogatás időpontja, a meglátogatott aloldalak adatai, az Ön által használt operációs rendszer és böngésző típusa.

Az adatkezelés jogalapja: a GDPR 6. cikk (1) bek. f) pontja, „az adatkezelő jogos érdeke”.

Az adattárolás határideje: a kezelt adatok (felhasználás hiányában) 90 nap elteltével automatikusan törlődnek.

7. Kamerás megfigyeléssel kapcsolatos adatkezelés 

Az adatkezelés célja: kamerákkal történő megfigyelés személy- és vagyonvédelmi célból, a jogsértések és balesetek megelőzése, észlelése, az elkövető tettenérése, valamint a jogsértések bizonyítása céljából kerül sor.

A kezelt adatok köre: különösen az érintett képmása, a kameraképpel megszerezhető egyéb adatok (tartózkodási hely, viselkedés).

Az adatkezelés jogalapja: a szervezet jogos érdeke GDPR 6. cikk (1) bekezdés f) alpontja szerint.

Az adattárolás határideje: az adatfelvételtől számított legfeljebb 72 óra.

Az adattárolás módja: elektronikusan.

8. Ajándékutalványokkal kapcsolatos adatkezelés

Az adatkezelés célja: az ajándékutalványokat igénylők egymástól való megkülönböztetése, azonosítása, az ajándékutalványok beváltáskor történő ellenőrzése.
Az adatkezelés jogalapja: a GDPR 6. cikk (1) bek. a) pontja „az érintett hozzájárulása”.
A kezelt adatok köre: a megrendelő vagy az utalvány címzettjének neve.

Az adatkezelés időtartama: az adatok az utalvány felhasználását követően, de legfeljebb az érvényesség idejének lejártakor törlésre kerülnek.

9. A munkaviszony létrehozása, fenntartása és megszűntetése keretében folytatott adatkezelés
10. Számviteli kötelezettség teljesítéséhez szükséges adatkezelés
11. Adó- és járulékkötelezettség teljesítéséhez szükséges adatkezelés
12. Munkára alkalmas állapot munkavédelmi vizsgálata
13. Munkahelyi eszközök ellenőrzésével összefüggő adatkezelés 
14. Munkaviszony létrehozása, fenntartása és megszüntetése keretében folytatott adatkezelés
15. A munkavállalók részvételével megtartott vállalati rendezvényekkel kapcsolatos adatkezelés
16. Kártyás beléptető rendszerrel kapcsolatos adatkezelés

Az elektronikus megfigyelőrendszerrel készített felvételek felhasználása, törlésének módja és határideje

A felvétel felhasználás hiányában a rögzítéstől számított 72 óra elteltével törlésre kerül. Felhasználásnak az minősül, ha a felvételt bírósági vagy más hatósági eljárásban bizonyítékként felhasználják.

Minden esetben biztosítja azonban a Vállalkozás az érintetti jogok közül azt, hogy akinek jogát vagy jogos érdekét a felvétel rögzítése érinti, a felvétel fent meghatározott törlési idején (72 órán) belül jogos érdekére hivatkozva kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. A kérelemről a lehető legrövidebb időn belül a szállodaigazgató dönt. Az így megjelölt felvételt ki kell menteni és elkülönítve tárolni, gondoskodni megfelelő őrzéséről.

Adatfeldolgozók

A HOTEL CENTRAL BASILICA Kft. adatfeldolgozót a könyvelési, a könyvvizsgálói, a rendszergazdai, a szoftverüzemeltetői és fejlesztői, kulcskártya rendszer működtetői, illetve üzemorvosi területen alkalmaz.

A Vállalkozás kizárólag olyan adatfeldolgozókat vesz igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. A Vállalkozás az adatfeldolgozói szerződésekben rögzíti, hogy az adatfeldolgozó

• a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli; 
• biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
• az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
• az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
• az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Az érintettek adatkezeléssel kapcsolatos jogai

Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – indokolatlan késedelem nélküli törlését az adatfelvételénél jelzett módon.

Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az adatkezelő a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 15 napon belül írásban, közérthető formában adja meg a tájékoztatást. E tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben a Vállalkozás költségtérítést állapít meg.

Az adatkezelő a személyes adatot törli, ha kezelése jogellenes, az érintett kéri, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.

A Vállalkozás a helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítést mellőzi, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

Az érintett tiltakozhat személyes adatának kezelése ellen, ha

• a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
• a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
• a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.

A Vállalkozás – az adatkezelés egyidejű felfüggesztésével – a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás indokolt, az adatkezelő az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben az érintett az adatkezelőnek a meghozott döntésével nem ért egyet, az ellen – annak közlésétől számított 30 napon belül – bírósághoz fordulhat.

A Vállalkozás az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította.

Jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:

• Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
• Postacím: 1530 Budapest, Pf.: 5.
• Telefon: +36 (1)391-1400
• URL: https://naih.hu
• E-mail: ugyfelszolgalat@naih.hu

Az adatkezelési szabályzat módosításának lehetősége 

Az adatkezelő fenntartja a jogot, hogy jelen adatkezelési szabályzatot a felhasználók előzetes értesítése mellett egyoldalúan módosítsa. Ön a szolgáltatásnak a módosítás hatálybalépését követő használatával elfogadja a módosított adatkezelési szabályzatot. 

A tevékenységünkkel, az információbiztonsággal és a személyes adatok kezelésével kapcsolatos legfontosabb jogszabályok, szabványok, ajánlások

• Magyarország Alaptörvénye
• 2011. évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról
• Az Európai Parlament és a Tanács 2016. április 27-ei (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról
• 2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról
• 2013. évi V. tv.  a Polgári Törvénykönyvről (Harmadik rész – Személyiségi jogok, XI.; XII. cím)
• 2012. évi I. tv.  a Munka Törvénykönyvéről
• 2017. évi CL. törvény az adózás rendjéről
• 2000. évi C. törvény a számvitelről
• 1997. évi CLV. törvény a fogyasztóvédelemről
• 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól 
• 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 
• MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények
• MSZ EN ISO 19011:2012 Útmutató irányítási rendszerek auditálásához
• MSZ EN 60950 Adatfeldolgozó berendezések és irodagépek biztonsági előírásai.
• A MeH ITB 12. ajánlása az informatikai rendszerek fizikai, logikai és adminisztratív védelmi követelményeiről és az ezek alapján foganatosítandó védelmi intézkedésekről
• ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok) az Európai Közösség ajánlása az informatikai rendszerek biztonságának funkcionális és minősítési követelményeire
• TCSEC = Trusted Computer System Evaluation Criteria (Biztonságos Számítógépes Rendszerek Értékelési Kritériumai), az Egyesült Államok Védelmi Minisztériuma által kiadott informatikai biztonsági ajánlás
• MeH ITB 8. ajánlásán alapuló kockázatkezelési módszertan
• TCSEC = Trusted Computer System Evaluation Criteria (Biztonságos Számítógépes Rendszerek Értékelési Kritériumai), az Egyesült Államok Védelmi Minisztériuma által kiadott informatikai biztonsági ajánlás
• ISO/OSI 7498-2 szabvány a nyílt rendszerek biztonsági architektúrájára vonatkozik. Magyar megfelelője: MSZ OSI 7498-1

Budapest, 2020. január 2.

Gábor Noémi
ügyvezető igazgató