Protection des donnés
KALOCSA KORONA TOURS DUNAPART Kft.- Adatkezelési szabályzat
I. FEJEZET
ÁLTALÁNOS SZABÁLYOK
1.) Bevezetés
A jelen Adatkezelési Szabályzat a Társaság működése során a személyes adatok tekintetében megvalósuló adatkezelés belső szabályait tartalmazza.
A jelen Szabályzat megállapítása és módosítása a Társaság legfőbb szervének kizárólagos hatáskörébe tartozik.
A Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a Társaság adatkezelő tevékenysége megfeleljen az Európai Parlament és Tanács (EU) 2016/679 - (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet) szóló rendelet, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
2.) A Szabályzat hatálya
Időbeli hatály: A jelen szabályzat a Rendelet kötelező alkalmazásának első napján, azaz 2018. május 25-én lép hatályba, a Szabályzat rendelkezéseit az ezt követően megvalósuló adatkezelésre kell alkalmazni.
Tárgyi hatály: A Szabályzat hatálya természetes személyre vonatkozó személyes adatok kezelésére terjed ki azzal, hogy jelen szabályzat alkalmazása tekintetében a természetes személyekkel egy tekintet alá esik az egyéni vállalkozó, az egyéni vállalkozás és az egyéni cég.
3.) A személyes adatok kezelésének alapelvei
Az adatkezelés minden fázisában az alábbi elveknek megfelelően, azok maximális érvényesülését biztosítva kell eljárni. Az adatkezelés lenti elveinek mindenkori érvényre juttatásáért a Társaságot, mint adatkezelőt terheli felelősség az elszámoltathatóság elve lapján.
jogszerűség, tisztességes eljárás és átláthatóság elve: az adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni;
célhoz kötöttség elve: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és a gyűjtött adatok nem kezelhetőek az előre meghatározott adatkezelési célokkal össze nem egyeztethető módon, vagy más célból;
adattakarékosság elve: a kezelt adatok körének az adatkezelés előre meghatározott céljai szempontjából megfelelőek és relevánsak kell lenniük és a célhoz mérten szükséges adatokra kell korlátozódniuk;
pontosság elve: a kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatkezelés előre meghatározott céljainak eléréséhez szükséges ideig teszi lehetővé;
integritás és bizalmas jelleg: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;
4.) Alapvetések
A Társaságnál a Rendelet 30. cikk (5) bekezdésével összhangban az adatkezelési tevékenységek nyilvántartására nem kerül sor.
A Társaságnál a Rendelet 37. cikk (1) bekezdése alapján adatvédelmi tisztviselő választására nem kerül sor, mivel az ott írt feltételek A Társaság, mint adatkezelő esetében nem állnak fenn.
A Társaság nem végez személyes adatokhoz kapcsolódóan a Rendelet 35. cikkében írtak szerinti adatkezelő tevékenységet. A Rendelet 35. (1), különösen a (3) bekezdése szerinti adatkezelési tevékenység esetleges tervezése során a Társaság adatvédelmi hatásvizsgálatot végez.
5.) Fogalommeghatározások
1. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
4. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
5. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
6. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
7. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
8. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
9. az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
10. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
II. FEJEZET
AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA
1.) Az adatkezelés jogalapja
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben annak az alábbiak szerinti valamelyik jogalapja az adatkezelés teljes időtartama alatt fennáll.
Az adatkezelés lehetséges jogalapjai a Társaság által végzett adatkezelés esetében az alábbiak:
a) az érintett hozzájárulását adta személyes adatainak konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
Az adatkezelés valamelyik jogalapjának megszűnése nem zárja ki, hogy az adat más jogalapon kezelhető.
III. FEJEZET
AZ ÉRINTETT HOZZÁJÁRULÁSÁN ALAPLÓ ADATKEZELÉS
Az érintett hozzájárulása abban az esetben lehet az adatkezelés alapja, ha a személyes adatok adott célhoz kötött kezelésére sem szerződés teljesítése, sem jog jogi kötelezettség teljesítése vagy jogos érdek érvényesítése nem ad alapot.
A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez az 1. számú melléklet szerinti formanyomtatványon adja meg.
Az adatok címzettje az a munkavállaló, aki az adatkezelés célja szerinti feladat elvégzésért felelős.
Az adatkezelés célját az adatok kérése előtt, vagy azzal egy időben az érintett számára közérthetően és világosan meg kell jelölni.
Az adatkezelés időtartama: az adatkezelés célja szerinti legrövideb ésszerű időtartam, mely időtartamról az érintettet az adatok kérésével egy időben tájékoztatni kell.
Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
Az adatkezelési hozzájárulás nem adható meg olyan írásbeli nyilatkozat keretében, mely más ügyekre is vonatkozik.
A Társaság nem köti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.
Az érintett hozzájárulást bármilyen, a Társasággal e-mail útján közölt nyilatkozatban, vagy a Társaság tevékenységi körében eljáró munkavállaló felé tett szóbeli közléssel vonatja vissza. A hozzájárulás szóbeli visszavonása esetén az érintett munkavállaló írásbeli jelzéssel él a Társaság mindenkori Ügyvezetője felé megadva minden, az adatkezelés mielőbbi megszüntetéséhez szükséges információt, így különösen az érintett nevét, a visszavonás időpontját és a visszavonással érintett adatok körét.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül is kezelheti.
IV. FEJEZET
JOGI KÖTELEZETTSÉG TELJESÍTÉSÉN ALAPLÓ ADATKEZELÉS
A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozta meg.
Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
IV. FEJEZET
SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása
Ø Természetes személy és egyéni vállalkozó szerződéses partnerek
A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése céljából kezeli a vele vevőként, szállítóként stb. szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, az egyéni vállalkozói igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, bankszámlaszámát, a társadalombiztosítási azonosító jelét.
A személyes adatok címzettje: A Társaságnak a szerződés teljesítésében közreműködőként kijelölt munkavállalója. Az adózási, számviteli és bérszámfejtési szerződéses és jogszabály által előírt kötelezettségek teljesítése érdekében, az ezek teljesítéséhez szükséges személyes adatok továbbításra kerülnek a Társasággal számviteli és bérszámfejtési feladatok ellátása céljából szerződéses kapcsolatban álló mindenkori szervezet, jelenleg a Számok 2001 Bt. (6000 Kecskemét, Fáklya u. 6. IV. em. 10.) mint adatfeldolgozó részére. A hivatkozott személyes adatok megismerésére jogosultak az adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalók és adatfeldolgozók.
A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.
A személyes adatok kezelésének célja: szerződés teljesítése.
A szerződő partner részéről eljáró természetes személlyel a szerződéskötés során közölni kell, hogy az adatkezelés célja a szerződés teljesítése. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell.
Ø Szervezetekkel kötött szerződések
A Társaság kezeli a vele vevőként vagy szállítóként szerződéses kapcsolatba kerülő szervezetek részéről kijelölt kapcsolattartónak és képviselőnek a szerződés teljesítése során, annak érdekében tudomására jutott személyes adatait.
A kezelhető személyes adatok köre: a természetes személy neve, telefonszáma, e-mail címe.
A személyes adatok kezelésének célja: a Társaság szerződéseinek teljesítése.
A személyes adatok kezelésének jogalapja: a szerződés teljesítése / az érintett természetes személy kapcsolattartó esetén az 1. számú melléklet szerinti hozzájárulás.
A személyes adatok címzettje: a Társaságnak a szerződés megkötésében és teljesítésében közreműködőként kijelölt munkavállalója.
A személyes adatok tárolásának időtartama: az üzleti, szerződéses kapcsolat fennállását követő 5 évig.
Az érintettet a Társaság szerződés megkötésében és teljesítésében kijelölt munkavállalójának igazolható módon tájékoztatni kell az adatkezelés jelen pontban írt körülményeiről az adatkezelési szabályzat 1. számú melléklete szerinti hozzájáruló nyilatkozat alkalmazásával és a 2. számú melléklet szerinti jelen adatkezelési tájékoztató rendelkezésre bocsájtásával.
Ø Ajánlatkérés
A Társaság által üzemeltetett www.koronarours.hu weboldalon az árajánlat menüpont alatt lehetőség van arra, hogy
név,
e-mail cím és
telefonszám megadása mellett az oldal látogatója árajánlatot kérjen.
Ebben az esetben a fenti adatok kezelésének jogcíme a szerződés teljesítése keretében értelmezendő azzal, hogy az adatkezelés konkrét célja a szerződés előkészítése.
Az ajánlatkéréseket kezelő munkatárs a beérkezett ajánlatkérésre adott válaszában vagy a jelen szabályzat 2. számú mellékletét képező adatkezelési tájékoztató megküldésével, vagy az elérési útvonalának link formájában történő megküldésével tájékoztatja az ajánlatkérő érintettet az adatkezelés szabályairól. Az illetékes munkatárs ugyanígy köteles eljárni akkor is, ha az ajánlatkérést e-mail formájában küldik el a sales@kalocsakoronatours.hu e-mail címre, vagy ha az ajánlatkérés más formában érkezik meg a társasághoz.
Amennyiben az ajánlatkérő érintettel nem jön létre szerződés, az adatkezelést haladéktalanul meg kell szüntetni. A szerződés létrejötte esetén az adatkezelés időtartamára a szerződéses adatokra vonatkozó rendelkezések az irányadóak.
Az adatok címzettje az ajánlat elkészítéséért és válaszadásért felelős munkatárs.
V. FEJEZET
A TÁRSASÁG FACEBOOK OLDALA
A Társaság tevékenysége, rendezvényi népszerűsítése, céljából Facebook oldalt tart fenn. A Társaság Facebook oldalán a látogatók által közzétett személyes adatokat a Társaság nem kezeli, ezekre a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók. A Társaság nem felel a látogatók által közzétett jogszabályt sértő adattartalmakért, hozzászólásokért.
VI. FEJEZET
ADATBIZONSÁGI INTÉZKEDÉSEK
A Társaság valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében megteszi azokat a technikai és szervezési intézkedéseket, amelyek a Rendelet és az Infotv. szabályainak érvényre juttatásához szükségesek.
A Társaság az általa kezelt személyes adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.
A Társaság, mint munkáltató valamennyi munkavállalóját kötelezi a személyes adatok védelme érdekében a jelen szabályzatban foglaltak betartására. A személyes adatokhoz való hozzáférés a Társaság munkavállalói által a jelen szabályzatban foglaltak szerint lehetséges.
A Társaság a személyes adatok tárolására is szolgáló informatikai rendszert tűzfallal védi és vírusvédelemmel látja el. A Társaság által üzemeltetett informatikai rendszer biztosítja, hogy a személyes adatokhoz csak célhoz kötötten, ellenőrzött körülmények között és csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.
A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat a Társaság biztonságosan elzárva tartja, azokhoz kizárólag azon munkavállaló férhet hozzá, akinek ezen adatok kezelése és adatfeldolgozóhoz való továbbítása munkaköri kötelezettsége.
A Társaság automatizált adatkezelést, adatfeldolgozást nem végez, így az érintetteket az adathordozhatósághoz való jog nem illeti meg.
A Társaság biztosítja az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.
Az informatikai rendszerek naplózzák a külső illetéktelen hozzáféréseket és hozzáférési kísérleteket, és ezeket a Társaság felmerülésük esetén elemzi az adatvédelmi incidensek késdelem nélküli észlelése és kezelése érdekében.
VII. FEJEZET
A TÁRSASÁG ADATFELDOLGOZÓ TEVÉKENYSÉGE
A Társaság más által kezelt adatok feldolgozását nem végzi.
A Társasággal, mint megbízóval szerződéses kapcsolatban álló adatfeldolgozók:
Könnyviteli szolgáltató
Cégnév: SZÁMOK 2001 Könyvelő és Szolgáltató Betéti Társaság
Székhely: 6000 Kecskemét, Fáklya u. 6. 4. em. 10.
Cégjegyzékszám: 03-06-110537
Adószám: 20963583-1-03
Képviselő: Fokti Sándor
e-mail cím: berenyinek@gmail.com
A Társaság és az adatfeldolgozók között létrejött szerződés tartalmazza a Rendelet 28. cikkében írtakat.
VIII. FEJEZET
ADATVÉDELMI INCIDENSEK KEZELÉSE
Adatvédelmi incidensek kezelése
Az adatvédelmi incidens fogalmát a jelen szabályzat I. fejezet 5.) 10. pontja határozza meg. A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. illetéktelenek számára hozzáférhető helyen hagyott, személyes adatokat tartalmazó iratok; pendrive-on átadott nem az átvevőt illető adatok); adatok nem biztonságos továbbítása, szerver elleni támadások, honlap feltörése.
Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása A Társaság mindenkori Ügyvezetőjének feladata.
Amennyiben a Társaság bármely munkavállalója adatvédelmi incidens bekövetkeztét, vagy annak veszélyét észleli, értesíteniük kell erről a Társaság Ügyvezetőjét. Az adatvédelmi incidens észlelése bejelenthető a Társaság központi e-mail címén (kalocsa@koronatours.hu).
Adatvédelmi incidens bejelentésére első sorban az érintett és a Társaság munkavállalói jogosultak, azonban bárkitől érkezik az adatvédelmi incidens bejelentése, azt kötelező megfelelően kivizsgálni.
Adatvédelmi incidens bejelentése esetén a Társaság Ügyvezetője haladéktalanul megvizsgálja a bejelentést. Ennek során meghatározza a tényállást és eldönti, hogy valódi incidensről, vagy téves riasztásról van-e szó.
Az érdemi döntésben meg kell állapítani:
az incidens bekövetkezésének időpontját és helyét,
az incidens leírását, körülményeit, hatásait,
az incidens során kompromittálódott adatok körét, számosságát,
a kompromittálódott adatokkal érintettek körét,
az incidens elhárítása érdekében tett intézkedések leírását,
a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.
Adatvédelmi incidensek nyilvántartása
Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat a fenti érdemi döntés meghozatalától számított 5 évig meg kell őrizni.
IX. FEJEZET
AZ ÉRINTETT SZEMÉLY JOGAI
Az érintett megfelelő tájékoztatáshoz való joga
A Társaság a 2. számú melléklet szerinti általános adatkezelési tájékoztatóját a honlapján (www.koronatours.hu) folyamatosan elérhetővé teszi és az érintettnek külön kérésre egyedileg is megküldi. E tájékoztató célja, hogy az érintetteket nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztassa az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, hogy az érintett személyes adatait a Társaság milyen jogalapon kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Előzetes tájékoztatáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően, vagy lehetőség szerint legkésőbb azzal egy időben, amennyiben ez nem lehetséges, a legrövidebb ésszerű időn belül tájékoztatást kapjon.
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy a Társaságtól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az adatkezeléshez kapcsolódó információkhoz hozzáférést kapjon.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok kiegészítését.
A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést ha
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, azonban ahelyett kéri azok felhasználásának korlátozását;
c) a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekből vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítésén alapuló kezelése ellen. Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Korlátozások
A Társaságra vagy vele szerződéses kapcsolatban álló adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja bizonyos, a Rendeletben meghatározott jogok és kötelezettségek hatályát az ott meghatározott okokból.
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, A Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell annak lehetséges következményeit és az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintett tájékoztatása mellőzhető, ha:
1.) a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat vagy;
2.) a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg vagy;
3.) a tájékoztatás aránytalan erőfeszítést tenne szükségessé; - ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
A hatósági jogorvoslathoz való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál, ha megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendelet szabályait.
Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
a felügyeleti hatóság adatai:
Nemzeti Adatvédelmi és Információszabadság Hatóság
http://naih.hu
Postacím: 1530 Budapest, Pf.: 5.
E-mail: ugyfelszolgalat@naih.hu
Telefonszám: +36 (1) 391-1400
A bírósági jogorvoslathoz való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a jogait.
X. FEJEZET
AZ ÉRINTETT RENDELKEZÉSÉRE BOCSÁTANDÓ INFORMÁCIÓK
Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, a Társaság a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja az alábbi információkat:
a) az adatkezelőnek és az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) a Társaságnál adatvédelmi tisztviselőt kijelölésére a Rendelet 37. cikk (1) bekezdésével összhangban nem kerül sor;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja a jelen tájékoztatóban írtak szerint jogos érdeken alapuló adatkezelés esetén a jogos érdek megjelölésével;
e) a gyűjtött személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére nem kívánja továbbítani a személyes adatokat;
g) a személyes adatok tárolásának időtartamáról, vagy az időtartam meghatározásának szempontjairól;
h) az érintettnek joga van kérelmezni az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, azonban az érintettet adathordozhatósághoz való jog nem illeti meg, mert a Társaság automatizált adatkezelést nem végez;
i) az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulást bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
k) az érintettnek joga van felügyeleti hatósághoz címzett panasz benyújtásához;
l) a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
m) a Társaság automatizált adatkezelést nem végez;
n) a Társaság a gyűjtésük céljától eltérő célból további adatkezelést nem kíván végezni;
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
a) az adatkezelőnek és az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) a Társaságnál adatvédelmi tisztviselőt kijelölésére a Rendelet 37. cikk (1) bekezdésével összhangban nem kerül sor;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja a jelen tájékoztatóban írtak szerint jogos érdeken alapuló adatkezelés esetén a jogos érdek megjelölésével;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére nem kívánja továbbítani a személyes adatokat;
g) a személyes adatok tárolásának időtartamáról, vagy az időtartam meghatározásának szempontjairól;
h) az érintettnek joga van ahhoz, hogy kérelmezze az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, azonban az érintettet adathordozhatósághoz való jog nem illeti meg, mert A Társaság automatizált adatkezelést nem végez;
i) az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulást bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
j) az érintettnek joga van felügyeleti hatósághoz címzett panasz benyújtásához;
k) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
l) arról, hogy a Társaság automatizált adatkezelést nem végez;
A Társaság a tájékoztatást az alábbiak szerint adja meg:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
Ha A Társaság a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a fent említett minden releváns kiegészítő információról.
Mellőzhető a fenti információk rendelkezésre bocsátása, ha és amilyen mértékben:
a) az érintett már rendelkezik az információkkal;
b) az információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, azonban ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik.
XI. FEJEZET
AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE,
AZ ADATKEZELŐ INTÉZKEDÉSEI
Intézkedések az érintett kérelme alapján
A Társaság, mint adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 10 napon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha a Társaságnak megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
MELLÉKLETEK
számú melléklet – Hozzájáruló nyilatkozat személyes adatok kezeléséhez
számú melléklet – Adatkezelési tájékoztató
számú melléklet - Tájékoztató személyes adatok munkaviszonnyal összefüggő kezeléséről
számú melléklet - Munkavállaói nyilatkozat az Adatkezelési szabályzat megismeréséről
KALOCSA KORONA TOURS DUNAPART Kft.