/ Adatvédelem

Sólyomfészek Panzió (HBH Bajor sörház étterem és panzió)

3700 Kazincbarcika, Bercsényi út 1/b

Adatkezelési és adatbiztonsági szabályzat és adatkezelési tájékoztató

Hatályos: 2019. szeptember 02.

Adatvédelemért felelős: Szűcs Tamás

(A jogszabályok értelmében adatvédelmi tisztviselő megbízása panziónknál nem indokolt, így az adatvédelemért nevezett panzióvezető felelős)

A Triász Kft.(3700 Kazincbarcika Bercsényi út 1/B cjsz: 05-09-002096 adószám: 11060905-2-05) üzemeltetésében működő szállodai szolgáltató .

A panzió kizárólag a jelen szabályzatban felsorolt tevékenységeivel összefüggésben kezel természetes személyektől származó adatokat, amelyet minden esetben csak a szükséges mértékben, az adatkezelés céljaként meghatározott érdek szerint, e Szabályzat előírásainak betartása mellett végez.

Bevezető:

Tisztelt Vendégeink, Munkavállalóink, egyéb üzleti és szerződéses Partnereink!

Jelen adatvédelmi és adatbiztonsági szabályzat elsősorban azért íródott, hogy a Sólyomfészek Panzió a szálláshely igénybevételekor tudomására jutott személyes adatokat, vendégekkel, munkavállalókkal és egyéb üzleti partnerekkel összefüggésbe hozható adatot, információt csak a megfelelő, jogszerű célra, a megfelelő ideig és módon, a vonatkozó jogszabályok betartásával a legteljesebb biztonságban kezeljen.

E rendelkezések betartásával adatai nem kerülnek illetéktelen kézbe, jogai és érdekei nem sérülnek, ha azonban mégis valami hiba csúszna a rendszerbe, annak orvoslására megfelelő eszközök állnak rendelkezésre.

A szabályzat azért jött létre, hogy annak rendelkezéseit cégünk betartsa, emellett szükségesnek tartjuk, hogy azt – egyébként jogszabályi elvárás szerint – a közérthető, lényegét, tartalmát és célját jól átadható formában az érintett körrel megértesse, azaz a partnerek számára, a nálunk lévő adatkezelés folyamatát világossá tegyük.

Ezért az első részben a helyenként bonyolult és összetett jogszabályi rendelkezések szövegeinek mellőzésével, de annak megfelelő tartalmat magába foglaló hétköznapi nyelven történő megfogalmazás mellett (leegyszerűsített változat) olvashatod az adatvédelemre és adatbiztonságra hozott szabályainkat.

Továbbá egzakt, szabatos megfogalmazás mellett, a szabályzat második részében az előírások professzionálisan elkészített szövegezése is megtalálható, függelékben a jogszabályokkal és a fogalom-meghatározásokkal, valamint a szabályzat szerint kötelezően vezetett nyilvántartások jegyzékével.

Adatkezelői nyilatkozat:

A Sólyomfészek Panzió Adatkezelője nyilatkozom arról, hogy a jelen szabályzatban foglalt adatkezelési tevékenységet e szabályzat, valamint az Európai Uniós és a magyar jog szabályai szerint végzem, amelyért felelősséggel tartozom.

…………………………………..

Az Európai Unió és a magyar törvények és egyéb jogszabályoknak megfelelően eszközölt,

szükséges módosítás jogát fenntartjuk! (A módosított Szabályzat megfelelően kihirdetésre kerül)

Jogorvoslatra történő kioktatás:

Kiemelten felhívnám minden adatkezeléssel érintett figyelmét arra, hogy adatkezeléssel összefüggő vélt vagy jogos érdekét a Nemzeti Adatvédelmi Hatóság (NAIH) előtt, illetve bíróság előtt is jogosult érvényesíteni.

I. A szabályzat hatálya

A szabályzat hatályának meghatározásakor az alábbiakat értjük: a szabályzat mettől-meddig, kikre nézve és milyen területen alkalmazható, vagy kell alkalmazni. Lényegében tehát a hatály a szabályzat alkalmazhatósági kereteit jelöli ki.

Beszélhetünk időbeli, személyi, területi és tárgyi hatályáról.

Időbeli hatály: 2019. szeptember 02. napjától alkalmazandó.

Személyi hatály: A Sólyomfészek Panzió egészére.

Területi hatály: Magyarország és az Európai Unió területe

Tárgyi hatály: természetes személy, azaz egyének minden adatára kiterjed, amelyekkel kapcsolatba kerülünk.

II. A szabályzat célja:

A panzió vendégei, ügyfelei, partnerei, munkavállalói adatainak védelme, jogos érdekei megőrzése.

III. Legfontosabb fogalmak

személyes adat: természetes személyre vonatkozó bármely információ, amelyből a személy beazonosítható.

  • különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, valamint a kóros szenvedélyre vonatkozó és a bűnügyi személyes adat.
  • bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.
  • adatkezelő: aki az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajthatja.
  • adatfeldolgozó: aki az adatok feldolgozását végzi.
  • adatkezelés: az adattal végzett bármely művelet, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása.
  • adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

IV. Az adatkezelés alapelvei

  1. Adatot csak jogszerűen és tisztességesen, az adatokkal összefüggésbe hozható érintettek számára világos, átlátható módon lehet kezelni (jogszerűség, tisztességes eljárás és átláthatóság).
  2. Személyes adatok gyűjtése csak jogszerű célból történhet (célhoz kötöttség).
  3. Az adatkezelésnek csak és kizárólag a legszükségesebb adatokra kell korlátozódnia (adattakarékosság).
  4. Az adatkezelésnek pontosnak és naprakésznek kell lennie (pontosság).
  5. A személyes adatok csak a szükséges ideig tárolhatók (korlátozott tárolhatóság).
  6. Az adatok kezelése során szem előtt kell tartani annak megfelelő biztonságát (integritás és bizalmas jelleg).
  7. Az alapelveknek való megfelelésért felelősség viselendő (elszámoltathatóság).

V. Az adatvagyon leltár

A tevékenységeink körében végzett adatkezelésre vonatkozóan, az előírt kötelezettségeknek megfelelő technikai és szervezési intézkedések megalkotása céljából adatvagyon leltárt készítünk.

Az adatvagyon leltár tartalmazza az általunk kezelt összes adatkört.

Adatvagyon leltár tartalmazza:

  • az érintett vendég, ügyfél, partner, munkavállaló stb. vonatkozásában a kezelt adatok körét (pl. név, lakcím, telefonszám, e-mail cím, munkabér)
  • a kezelt adatot, az adatkezelés célját (pl. jogszabályi kötelezettségen alapuló könyvelési tevékenység ellátása, munkahelyi adatkezelés)
  • esetlegesen kezelt különleges adatok körét (pl. kedvezmények igénybevételének érvényesítéséhez a gyermekek adatai stb.)
  • az adatkezelés jogalapját (pl. szerződés, jogszabály, jogos érdek)
  • az adatkezelés időtartamát (pl. számviteli törvény szerinti 8 év)
  • kik férhetnek hozzá a személyes adatokhoz a panzió szervezetén belül (pl. asszisztens, adminisztrációt végző munkatárs, jogász, informatikus stb.)

- ki számára kerülhet az adat továbbításra (pl. NAV, Kamara stb.)

– alkalmaz-e a panzió adatfeldolgozót, ha igen kit, milyen célra és milyen személyes adatokhoz férhet hozzá, mennyi ideig tárolhatja a személyes adatokat (pl. bérszámfejtő, szerver üzemeltető)

VI. Miért kezeljük az adatait? (Adatkezelés jogalapja)

  1. az érintett hozzájárulása a személyes adatainak kezeléséhez;
  2. az adatkezelés szerződéses kötelezettség teljesítéséhez szükséges, - legtöbb esetben az irodák és egyéb helységek bérletére vonatkozó szerződés - (szerződés áll fenn közöttünk, amelynek megfelelő teljesítéséhez muszáj tudnom például a címet);
  3. az adatok kezeléséhez jogi kötelezettség teljesítéséhez van szükségem (pl. a számviteli törvény szerint a szolgáltatásomért számlát kell kibocsátanom, ehhez viszont tudnom kell az adatait).

VII. A nálunk kezelt adataival kapcsolatos jogai

  1. Tájékoztatáshoz, hozzáféréshez való jog (jogában áll megtudni, milyen adatokat és hogyan tartunk nyilván Önről).
  2. Helyesbítés és törléshez való jog (ha a neve, címe, bármely más adata, amely nálam nyilván van tartva megváltozott, vagy azt elírással, illetve tévesen kezeljük, joga van kérni a kijavítását, pontosítását).
  3. Korlátozáshoz, tiltakozáshoz való jog
  4. Azon adatai nyilvántartása ellen, amelyekre az előzőleg ismertetettek szerint nincs jogalap, azokat kérheti törölni vagy tiltakozhat a nyilvántartás ellen
  5. Adathordozáshoz való jog

Mindezek alapján a Sólyomfészek Panzió adatvagyona az alábbiakból tevődik össze:

Foglalkoztatással összefüggő adatok

  • Munkavállalók - természetes személyazonosító adatai
  • név, születési név, anyja neve, születési hely, idő, lakcíme, tartózkodási helye, adóazonosító jel, társadalombiztosítási azonosító jel, személyazonosító okmány száma
    • munkavállalóval kapcsolatos különleges adatok:
    • gyermekek száma, neve, születési helye ideje, anyja neve, taj száma
    • családi állapot
    • munkavállalók végzettségére vonatkozó adatok:
    • végzettség megnevezése,
    • végzettség megszerzésének időpontja,
    • végzettséget igazoló okmány száma
    • munkaviszonnyal összefüggő adatok:
      • bérfizetés utalási számlaszáma,
      • besorolás szerinti személyi alapbér, egyéb rendszeres járandóság
      • letiltások
      • kedvezmények

    Nyilvántartott adat forrása: munkaszerződés megkötésekor a munkavállaló által közölt, dokumentumokkal igazolt közlés szerint nyilvántartásba vett információk alapján, ellenőrzött okmányok alapján, megküldött letiltási jegyzék alapján.

    Adatkezelés jogalapja: elsődlegesen munkáltató jogos érdeke, egyebek mellett pedig szerződésen alapuló adatkezelés.

    Érintett adatkezeléssel kapcsolatos jogai: pontosításhoz való jog, audit jog, tiltakozáshoz való jog.

    Adatkezelés időtartama: szerződés fennállásának időtartama, és a munkaviszony megszűnése után az Mt. szerinti munkaviszonnyal összefüggő joggal kapcsolatos igényérvényesítés 3 illetve 5 év. Számviteli törvény szabályai szerint 15 év.

    Adatok tárolása: a panzió épületében lévő irodai raktárban biztonságos tárolás mellett

    Adatokhoz hozzáférési jogosultsággal rendelkezők: ügyvezető és panzióvezetők

    A Sólyomfészek Panzió főtevékenységével összefüggésben – vendéglátás - kezel a legszélesebb körben adatok, amelyek adatvagyon leltár szerinti tartalma a következő:

    - a vendégeinknek, illetőleg az érdeklődőknek van lehetőségük az info@bajorsorhaz.hu e-mail címen és a www.bajorsorhaz.hu internetes weboldalon is foglalást, illetőleg érdeklődést leadni. E kapcsolatfelvételkor az érdeklődő a szállodai szolgáltatás kért adatain túl név, e-mail cím, telefonszám és egyéb, általa szükségesnek ítélt adatot ad meg.

    Adatkezelés jogalapja: Az információkérés önkéntes hozzájáruláson alapul.

    A panzió ügyfélkezelői munkatársa a jelzett igény kapcsán telefonos vagy e-mailes megkeresés útján kapcsolatba lép a vendéggel, és a kérésének megfelelő, a szállodai szolgáltatás paramétereinek személyre szabása érdekében, pontosítja, rögzíti az igényt és a kapott adatokkal ajánlatot ad a szállásra.

    Az ügyfél által történő minden adat vonatkozásában, annak megadása előzetes tájékoztatáson alapuló világos és érthető kifejezett hozzájárulás.

    Ha és amennyiben az ügyfélnek kifejezett szándéka a szállodai szolgáltatás igénybevétele, az ő jogos érdeke, hogy ezt optimális paraméterekkel, a legkedvezőbb igénybevétellel, úgynevezett személyre szabott szolgáltatás mellett szerezze meg.

    Érintett, az adatkezelés céljával összhangban, önkéntesen hozzájárul ahhoz, hogy ha az információkérés során megadja e-mail címét, telefonszámát vagy egyéb elérhetőségét, azon keresztül a panzió vele kapcsolatba lépjen, hogy a kérdést pontosítsa, vagy azt részére megválaszolja.

    Amennyiben a vendég telefonon keresztül vagy a panzióban jelzi szállásigényét kezelt adatai a következők:

    - vendég neve, címe, telefonszáma, nem természetes személy vendég feltüntetésekor a cég neve, címe, adószáma, képviseletre jogosult neve, telefonszáma.

    A recepciós munkatárs a jelzett igény kapcsán, rögzíti az igényt és a kapott adatokkal ajánlatot ad a szállásra.

    Az ügyfél által történő minden adat vonatkozásában, annak megadása előzetes tájékoztatáson alapuló világos és érthető kifejezett hozzájárulás.

    Amennyiben nem rögzít foglalást adatai véglegesen és helyreállíthatatlanul törlésre kerülnek.

    Amennyiben rögzített és megerősített foglalás történik a következők szerint kezeljük az adatokat:

    Adatkezelés jogalapja: foglalási dokumentumok alapján

    Adatkezelés célja: Szerződés teljesítése, jogos érdek

    Adat forrása: szerződés megkötésekor az érintett által történő adatközlés, illetve ellenőrzött dokumentumok, nyilvános cégkivonat

    Érintettek jogai: pontosításhoz való jog – amelynek körében a vendégnek nem csak joga van kérni az elírás, változás következtében beálló pontosított adatkezelést, de kötelezettsége is van ennek bejelentésére, audit jog – amelynek keretében a vendég, mint érintett vagy az általa kijelölt személy betekinthet az adatkezelés folyamatába, tiltakozáshoz való jog – amely alapján az érintett tiltakozhat az adatai kezelése ellen, amelyet az adatkezelő megvizsgál, azonban ha a szerződés teljesítéséhez szükség van az adatkezelésre, a tiltakozása nem kellően alapos.

    Adatkezelés időtartama: szerződés fennállása, illetve a felek közötti jogviszony megszűnését követő igényérvényesítésre nyitva álló 5 évig.

    Adatkezelő: megbízott munkavállaló

    Adatfeldolgozó: szerződés alapján nyilvántartott adatok, valamint a szerződés kapcsán kiállított számla, mint a szolgáltatás alapdokumentuma, a Sólyomfészek Panzió könyvelését ellátó Hudák Helgaaz adatkezelő célmeghatározása szerint, mint könyvelést végző megbízott adatfeldolgozó részére kerülnek továbbításra.

    Az e körben jelölt adatfeldolgozás kapcsán az adatkezelő és az adatfeldolgozó közötti írásbeli szerződés átvilágítása megtörtént, az a szükséges biztonsági és garanciális elemeket tartalmazza, e körben tehát az érintett jogos érdekei nem szenvednek sérülést.

    Adatbiztonság: A szerződések a panzió iroda raktárában elzárt módon vannak tárolva. Az adatfelhasználó szintén elzárt módozatban tárolja a papír alapú kapcsolódó dokumentumokat.

    A számítógépes adattárolás jelen szabályzat vonatkozó részeiben leszabályozott biztonsági előírások mellett történik.

    Foglalásokon kívüli egyéb szerződéses partnerek adatkezelése:

    A Sólyomfészek Panzió főként a panzióban foglalást bonyolító szállásportálokkal, továbbá az épület fenntartásával és karbantartásával összefüggésben különböző szolgáltatókkal áll szerződéses jogviszonyban. (Ilyen például a számítógépek és programok karbantartója, épület-karbantartás, víz, gáz, egyéb közművek)

    Továbbá szerződéses kapcsolat alapján különböző szálláshelyet népszerűsítő tevékenységet elősegítő partnerek kapcsán tartunk nyilván szerződéseket és szerződésben szereplő személyes adatokat.

    Szerződő neve, címe, adószáma, képviseletre jogosult neve, telefonszáma.

    Adatkezelés jogalapja: szerződés alapján

    Adatkezelés célja: Szerződés teljesítése

    Adat forrása: szerződés megkötésekor az érintett által történő adatközlés, illetve ellenőrzött dokumentumok, nyilvános cégkivonat

    Érintettek jogai: pontosításhoz való jog, audit jog, tiltakozáshoz való jog

    Adatkezelés időtartama: szerződés fennállása, illetve a felek közötti jogviszony megszűnését követő igényérvényesítésre nyitva álló 5 évig.

    Adatkezelő: megbízott munkavállaló

    Adatfeldolgozó: A szerződés alapján nyilvántartott adatok, valamint az annak kapcsán kiállított számla alapdokumentuma, a Sólyomfészek Panzió és az adatkezelő célmeghatározása szerint az Hudák Helga mint könyvelést végző megbízott adatfeldolgozó részére kerülnek továbbításra.

    Az e körben jelölt adatfeldolgozás kapcsán az adatkezelő és az adatfeldolgozó közötti írásbeli szerződés átvilágítása megtörtént, az a szükséges biztonsági és garanciális elemeket tartalmazza, e körben tehát az érintett jogos érdekei nem szenvednek sérülést.

    Adatbiztonság: A szerződések a panzió iroda raktárában elzárt módon vannak tárolva. Az adatfelhasználó szintén elzárt módozatban tárolja a papír alapú kapcsolódó dokumentumokat.

    A számítógépes adattárolás jelen szabályzat vonatkozó részeiben leszabályozott biztonsági előírások mellett történik.

    www.bajorsorhaz.hu weboldal kapcsán megjelenő adatkezelés

    A weboldal bármely internethasználó által regisztráció nélkül hozzáférhető tartalmakat biztosít.

    Az oldalon többek között a látogatók megismerik a szálláshelyet és annak szolgáltatásait, kérdés, kérés, foglalási igény esetén mind a ,,kapcsolat” mind pedig a ,,szobafoglalás” menüpontok alatt kapcsolatba léphetnek velünk, amely során ún. „kötelezően megadott adatok” és egyéb információközlési lehetőség áll rendelkezésre.

    Szobafoglalás során a hotrest által fejlesztett szoftver foglalási modulja jelenik meg, melyben a kötelező adatok a szoftverben kerülnek mentésre.

    A weboldal nem tárol adatokat.

    A weboldalon tett látogatások során egy vagy több cookie-t kizárólag a felhasználói élmény javítása érdekében használunk.

    Az Ügyfél mindenkor jogosult az adatkezelést letiltani.

    Az adatkezelés jogalapja, módja és célja

    Az adatkezelés jogalapja az Ügyfél önkéntes hozzájárulása,mely az adatok megadásával automatiusan megtörténik..

    A Panzió az Ügyfél által rendelkezésre bocsátott adatokat célhoz kötötten tárolja.

    Az kapcsolatfelvétel során megadott elektronikus levélcímek (e-mail címek) adatkezelő általi felhasználásának módja a következő: az e-mail címek kezelése az ügyfél azonosítását, a szolgáltatások igénybevétele során a kapcsolattartási célokat, illetőleg az ügyfél részére hírlevél megküldésére szolgál. Adatkezelő az általa nyújtott szolgáltatásokra vonatkozó tájékoztatást elektronikus formában, e-mailben juttatja el ügyfél részére. Az Adatkezelő az ügyfél kifejezett hozzájárulásával küld a kapcsolatfelvétel során megadott e-mail címre a panzió szolgáltatásaival kapcsolatos információkat tartalmazó hírleveleket. Adatkezelő kizárólag azon ügyfelei számára küld hírleveleket, akik ehhez kifejezett hozzájárulásukat adták.

    Ügyfél által megadott telefonszám adatkezelő általi felhasználási célja a következő: a folyamat során kapcsolattartási célokat szolgál.

    Az Ügyfél adatait kizárólag számítástechnikai eszközzel végrehajtott adatfeldolgozással kezeljük.

    A kapcsolatfelvétel vagy ajánlatkérés esetén kötelezően megadott adatok kezelése annak megadásával kezdődik és annak törléséig tart. Nem kötelező adatok esetén az adatkezelés az adat megadásának időpontjától a kérdéses adat törléséig tart. A kapcsolatfelvétel során rögzített adatok megváltoztatását, vagy törlését az Ügyfél kezdeményezheti.

    Fenti rendelkezések nem érintik a jogszabályban (pl. számviteli jogszabályokban) meghatározott megőrzési kötelezettségek teljesítését.

    Egyebek mellett az ügyfelet az audit, a megismerés és a tiltakozás joga is megilleti.

    Más adatleltárba felvételt igénylő adatkezelés a panziónál nem lelhető fel.

    VIII. Adatkezelési tevékenységek nyilvántartása

    Az adatkezelési tevékenységek nyilvántartását az elszámoltathatóság elvéből következően annak érdekében végezzük, hogy a jogszabálynak és e szabályzatnak megfelelő adatkezelést igazolhatóan (ha például ezt bizonyítani szükséges ez ne okozzon nehézséget) nyomon lehessen követni.

    Ennek érdekében az alábbi nyilvántartásokat vezetjük:

    1. adattovábbítás nyilvántartása,
    2. érintetti jogok érvényesítése iránti kérelmek, és az arra a panzió által adott válaszok nyilvántartása,
    3. hatósági megkeresések, és az arra a panzió által adott válaszok nyilvántartása,
    4. adatkezelés megszüntetése iránti kérelmek nyilvántartása,
    5. ügyfelek nyilvántartása,
    6. munkaviszonnyal összefüggő személyes adatok kezelésének nyilvántartása,
    7. adatvédelmi incidensek nyilvántartása.

    A nyilvántartásokat a panzió írásban vezeti, papír alapon vagy elektronikus formátumban.

    IX. Adatbiztonsági rendelkezések

    A tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtjuk végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljuk.

    A HOTELGRAM szállodai szoftver használata során, a programba bevitt adatok tárolása fokozott biztonsággal történik, számítástechnikai védelme biztosított.

    A vendégekről az IFA bevalláshoz készített adatlap az adattakarékosság elvének megfelelően csak az Önkormányzati rendeletben előírt adatokat tartalmazza, tárolása biztonságos, elzárt helyen történik.

    X. Adatvédelmi incidensek kezelése

    Ha az adatkezelés során bármiféle jogellenes vagy szabályellenes dolgot tapasztalunk, vagy bármi jogszerűtlenül történik.

    Az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomásunkra jutott, bejelentjük a felügyeletet végző hatóságnak. A bejelentésben:

    1. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
    2. közölni kell kapcsolattartó nevét és elérhetőségeit;
    3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
    4. ismertetni kell a panzió által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
    • Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül tájékoztatni kell az érintettet az adatvédelmi incidensről.
    • A tájékoztatásban az érintettel világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és:
    1. közölni kell a kapcsolattartó nevét és elérhetőségeit;
    2. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
    3. ismertetni kell a panzió által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

    XI. Ügyfél adatok kezelése

    A panzió tevékenységét írásbeli szerződés alapján végzi. Az adatok kezelésének jogalapja a szerződésen alapul, a szerződést aláíró fél és a rá vonatkozó személyes adatok vonatkozásában. A panzió az adatok kezelését annak jellege és rendelkezésre bocsátása szerint hozzájárulás alapján is végezheti. E körben a hozzájáruláson alapuló adatkezelés szabályai lesznek az irányadók

    Az előző pont szerinti szerződés teljesítése keretében a panzió számára hozzáférhetővé váló személyes adatok esetében a GDPR rendelkezéseinek megfelelően szükséges az alábbi érdekmérlegelési tesztet elvégezni:

    1. adatkezelés tárgya,
    2. a jogos érdek jogalap megállapítása,
    3. a kezelendő személyes adatok,
    4. adatkezelés célja,
    5. a panzió jogos érdekének megnevezése,
    6. az érintettek milyen jogai sérülhetnek,
    7. érdekmérlegelés,
    8. milyen intézkedéseket, garanciákat alkalmaz a panzió az így gyűjtött személyes adatok megfelelő védelme érdekében.

    Az adott személyes adat körének kezelésére vonatkozóan elvégzett érdekmérlegelési teszt(ek) jelen szabályzat mellékletét képezi(k).

    XII. Munkaviszonnyal összefüggő adatkezelések

    A panzió a munkavállalóknak szóló adatkezelési tájékoztatóba belefoglalja mind a munkaviszonnyal összefüggően kezelhető adatok tekintetében e szabályzat szerinti elvárásokat, mind pedig az esetlegesen kiírt, meghirdetett állásokra vonatkozóan közölt tájékoztatóban utal az önéletrajz és jelentkezés keretében megkapott adatok kezelésével összefüggő szokásairól.

    A munkavállaló vagy a pályázó az alábbi nyilvántartási körben tájékozódhat:

    1. a panzió képviselőjének kiléte és elérhetőségei;
    2. a személyes adatok tervezett kezelésének célja [például későbbi megkeresés újonnan megnyílt pozíció betöltésére], valamint az adatkezelés jogalapja (hozzájáruláson alapuló);
    3. a személyes adatok tárolásának időtartama;
    4. az érintett azon joga, hogy kérelmezheti a panziótól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását;
    5. az érintett azon joga, hogy bármely időpontban visszavonhatja a hozzájárulását, amely azonban nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
    6. a hatósághoz címzett panasz benyújtásának joga.

    A munkavállaló adatai a Mt. vonatkozó rendelkezései alapján kezelendő és az Mt.-ben meghatározott módon történik a tájékoztatás, a GDPR-ban foglalt adatkezelési alapelvek betartása mellett.

    A munkaviszonyban történő adatkezelés során jellemzően az alábbi jogalapok merülhetnek fel:

    1. szerződésen alapuló [a munkaszerződés],
    2. jogi kötelezettségen alapuló [pl. adózás, tartásdíj levonás],
    3. jogos érdeken alapuló [pl. munkahelyi ellenőrzéssel kapcsolatos adatok].

    Szükség szerint a GDPR rendelkezéseinek megfelelően ez esetben az alábbi érdekmérlegelési tesztet kell elvégezni:

    1. a panzió jogos érdekének megnevezése,
    2. kik az érintettek és milyen jogai sérülnek,
    3. érdekmérlegelés,
    4. milyen intézkedéseket, garanciákat alkalmaz a panzió az így gyűjtött személyes adatok megfelelő védelme érdekében.

    Az adott személyes adat körének kezelésére vonatkozóan elvégzett érdekmérlegelési teszt(ek)et a munkavállalók számára hozzáférhetővé kell tenni [pl. belső hálózat útján, munkaszerződés mellékleteként].

    XIII. Az adatfeldolgozó igénybevételére vonatkozó rendelkezések

    • Bizonyos esetekben az adatkezelést a panzió nevében más végzi [pl. szerver szolgáltatás, jogi szolgáltatások]. A panzió kizárólag olyan adatfeldolgozókat vehet igénybe, akik, vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelésért, és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. Ezen garanciákat az adatkezelésre jogalapot teremtő szerződésben szerepeltetni kell, ezek betartását pedig ellenőrizni szükséges.
    • Az adatfeldolgozó a panzió előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.
    • Az adatfeldolgozó által végzett adatkezelés vonatkozásában a panzió és az adatfeldolgozó szerződést kötnek. Ezen szerződés az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a panzió kötelezettségeit és jogait határozza meg.
    • Segíti a panziót az adatvédelmi incidens szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat.

    XIV. Adatkezeléssel összefüggő informatikai biztonsági követelmények

    A panzió természetes személyek adatkezelésével kapcsolatosan, az adatok kezelése, feldolgozása, továbbítása, nyilvántartásakor fokozott figyelmet kell, hogy fordítson az ezen tevékenységek végzésével összefüggésben használt informatikai, számítástechnikai és egyéb kommunikációs csatornák igénybevétele során az adatbiztonságra.

    Alapvető védelmi intézkedések:

    • A mindenkori technikai fejlettségnek megfelelő műszaki, szervezeti, programozási, jogi intézkedések azok az eszközök, amelyek a védelem tárgyának különböző veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását elősegítik, illetve biztosítják.
    • Ezáltal különösen fontos az adatkezelés során használt asztali és hordozható számítógépek megfelelő vírusvédelmének folyamatos biztosítása.
    • Legalább közepes erősségű jelszó használata az adatok hozzáféréséhez szükséges programok megnyitásakor.
    • E-mail levelezés során ellenőrző-visszaigazoló funkció céljából a levelezőrendszerben azon beállítás aktiválása, hogy az üzenet elolvasásáról a feladó értesítést kapjon. Ezáltal azon túl, hogy a levelünk megérkezését nyomon követhetjük, biztosak lehetünk benne, hogy az a helyes emailcímre érkezett meg.
    • A munkahelyi vezető tájékoztatni köteles az érintett kollégákat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen adathordozót ne használjanak), ennek oka, hogy gyakran a munkavállalók figyelmetlensége folytán következik be adatlopás a cégtől.
    • A számítástechnikai rendszert a támadásoktól tűzfal, vírusirtó stb. segítségével kötelező megvédeni.
    • A központi gépek háttértárairól folyamatosan biztonsági mentést kell készíteni.

    -A programokról naprakész nyilvántartást kell vezetni.

    - A programok nyilvántartásáért és működőképes állapotban való tartásáért a vezetők a felelősek.

    A Sólyomfészek Panzió Adatkezelési és adatvédelmi szabályzata

    Törvényi fogalmakkal kiegészítve

    I. A szabályzat hatálya

    1.Jelen szabályzat hatálya kiterjed a Sólyomfészek Panzió teljes egészére, valamennyi szervezeti egységére és az összes itt dolgozó foglalkoztatottjára.

    II. A szabályzat célja

    2.A Szabályzat célja, hogy biztosítsa a személyes adatok Alaptörvény szerinti védelmének érvényesülését, az információs önrendelkezés megvalósulását, továbbá, hogy a panzió által kezelt személyes adatok tekintetében meghatározza az adatkezelés során irányadó adatvédelmi és adatbiztonsági szabályokat.

    III. Irányadó jogszabályok

    3.A panziónak az adatkezelése során az alábbi jogszabályokban foglalt előírásoknak megfelelően kell eljárnia, a jelen belső szabályzatban foglaltak szerint:

    • Az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR)
    • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.)
    • a polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.) -a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.)

    IV. Értelmező rendelkezések

    4.A GDPR-ban meghatározott fogalmak, amelyek közül jelen belső szabályzat jellegével összhangban az alábbi fogalmak emelendők ki:

    1. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
    1. különleges adat:a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, valamint a kóros szenvedélyre vonatkozó és a bűnügyi személyes adat.
    1. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.
    1. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
    1. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
    1. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
    1. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
    1. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
    1. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
    1. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
    1. képviselő: az az Európai Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában.
    1. vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő vállalkozásokat és egyesületeket is.

    További fogalmak:

    1. adatvagyon leltár: az adatkezelő által kezelt személyes adatok körének és jellegének felmérését szolgáló dokumentum.
    1. technikai és szervezési intézkedések: az adatkezelő által az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelően meghatározott eljárásrend annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

    V. Az adatkezelés alapelvei

    1. A panzió az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi (jogszerűség, tisztességes eljárás és átláthatóság).
    1. A panzió a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség).
    1. A panzió az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság). Ennek megfelelően a panzió nem gyűjt, és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges.
    1. A panzió adatkezelése pontos és naprakész. A panzió minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság).
    1. A panzió a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre (korlátozott tárolhatóság).
    1. A panzió megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg).
    1. A panzió felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá a panzió igazolja ezen megfelelést (elszámoltathatóság). Ennek értelmében a panzió gondoskodik a jelen belső szabályzatban foglaltak folyamatos érvényesüléséről, az adatkezelésének folyamatos felülvizsgálatáról és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről. A panzió a jogszabályi kötelezettségeknek való megfelelés igazolására dokumentációt készít.

    VI. Adatkezelési jogalapok

    1. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább a 13-18. pontban meghatározott jogalapok egyike teljesül:
    1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (a továbbiakban: hozzájáruláson alapuló adatkezelés).
    1. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik f