Adatkezelési szabályzat


ADATKEZELÉSI SZABÁLYZAT

Név: P-BLASI Kft. – Hotel Centrál Pécs (a továbbiakban: „Vállalkozás”)
Székhely: 7683 Dinnyeberki, Fő u. 48.
Adószám: 11011451-2-02
E-mail cím: hotel@hotelcentralpecs.hu
Telefonszám: +36 (20) 490 6255
Honlap: www.hotelcentralpecs.hu
Képviseli: Halasi Gergely

Értelmező rendelkezések

Adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, amely az adatkezelő nevében személyes adatokat kezel
adatkezelés a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált
módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés,
rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés,
felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé
tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés
adatkezelő a Vállalkozás, valamint az a természetes vagy jogi személy, közhatalmi szerv, ügynökség
vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit
önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az
uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére
vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja
adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes
adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását,
jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi
biometrikus adat egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden
olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy
megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a
daktiloszkópiai adat
címzett az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik
fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a
tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek
címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy
feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak
egészségügyi adat egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes
adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra
vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi
állapotáról
Érintett az a természetes személy, akinek a személyes adatait kezelik
Érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és
egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést
félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő
személyes adatok kezeléséhez
EU tagállam az Európai Unió tagállamai, így Ausztria, Belgium, Bulgária, Ciprus, Csehország, Dánia,
Egyesült Királyság, Észtország, Finnország, Franciaország, Görögország, Hollandia,
Horvátország, Írország, Lengyelország, Lettország, Litvánia, Luxemburg,
Magyarország, Málta, Németország, Olaszország, Portugália, Románia, Spanyolország,
Svédország, Szlovákia és Szlovénia
felügyeleti hatóság egy európai uniós tagállam által a GDPR 51. cikknek megfelelően létrehozott független
közhatalmi szerv
GDPR az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes
személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen
adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről
(általános adatvédelmi rendelet)
genetikai adat egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden
olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára
vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes
személyből vett biológiai minta elemzéséből ered
harmadik fél az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy
azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása
alatt a személyes adatok kezelésére felhatalmazást kaptak
különleges adatok a személyes adatok különleges kategóriáiba tartozó személyes adatok
nemzetközi szervezet a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy
olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy
amely ilyen megállapodás alapján jött létre
profilalkotás személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a
személyes adatokat valamely természetes személyhez fűződő bizonyos személyes
jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez,
egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz,
viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére
vagy előrejelzésére használják
személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely
információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett
módon, különösen valamely azonosító, például név, szám, helymeghatározó adat,
online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi,
gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező
alapján azonosítható
személyes adatok
különleges kategóriái
a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti
meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a
természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az
egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális
irányultságára vonatkozó személyes adatok

1. A szabályzat célja

Az Adatkezelési Szabályzat célja olyan intézkedések bevezetése és következetes alkalmazása, amelyek az Érintettek
személyes adatainak pontos és biztonságos, valamint a hatályos uniós és tagállami adatvédelmi szabályoknak megfelelő, a
Vállalkozás szintjén egységesen megvalósított kezelését biztosítják.
Az Adatkezelési Szabályzat ugyanakkor tömör, átlátható és könnyen hozzáférhető tájékoztatást nyújt az Érintettek
számára a Vállalkozás által kezelt személyes adataikhoz való hozzáférésről, valamint rendelkezik és tájékoztatást nyújt a
Vállalkozás által az Érintettek jogainak biztosítására vonatkozó szabályokról.

2. Adatkezelési alapelvek

Személyes adatok kezelésének megkezdése előtt minden esetben gondosan mérlegelni kell, hogy erre ténylegesen szükség
van-e. Személyes adatok kezelését kizárólag akkor lehet megkezdeni, ha kétséget kizáróan indokolható, hogy az
adatkezelés célját más módon nem lehet megvalósítani.
A Vállalkozás köteles az Érintettek személyes adatait jogszerűen, tisztességesen, átlátható módon kezelni. Senkit nem
érhet hátrány abból eredően, hogy a Vállalkozásnál, illetve a jelen Szabályzatban meghatározott egyéb hatóságnál eljárást,
jogorvoslatot kezdeményezett vagy bejelentést tett, illetve, hogy a hozzájáruláson alapuló adatkezelés esetén a
hozzájárulását megtagadta vagy visszavonta.
Az Érintettek személyes adatainak gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. A Vállalkozás
köteles eleve elkerülni, illetve utóbb megszüntetni minden olyan adatkezelést, amely az adott személyes adatra vonatkozó
céllal össze nem egyeztethető módon történik. A Vállalkozás csak a szükséges mértékben jogosult személyes adatot
kezelni, és köteles minden olyan személyes adatot törölni, amelynek tekintetében az adatkezelés célja megszűnt, illetve az
adatkezelés jogalapja nem igazolható.
A Vállalkozás köteles olyan kontrollmechanizmusokat bevezetni, amelyek alkalmasak arra, hogy már előzetesen is, illetve
utóbb szűrő jelleggel biztosítható legyen, hogy
(i) a személyes adatok már az adatfelvétel időpontjában, majd az adatkezelés teljes időtartama alatt az adatkezelés
céljainak megfelelnek, továbbá
(ii) az adatkezelés mértéke mind az adatok körét, mind az adatkezelés időtartamát illetően a szükségesre
korlátozódik.
A Vállalkozás által kezelt személyes adatoknak pontosnak és naprakésznek kell lenniük. A Vállalkozás köteles minden
ésszerű intézkedést megtenni annak érdekében, hogy pontos személyes adatok kerüljenek kezelésre,
(i) az adatkezelés céljai szempontjából felesleges, időközben feleslegessé váló személyes adatokat haladéktalanul
töröljék;
(ii) a pontatlan személyes adatokat helyesbítsék vagy töröljék.
A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok
kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
A személyes adatok kezelését olyan módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések
alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, ideértve mindazon lépéseket, melyek a
személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával
szembeni védelmét szolgálja.

3. Az adatkezelés jogszerűsége

Az adatkezelés alapjának helytálló meghatározása és a kiválasztott jogalaphoz tartozó további feltételek teljesítése a
jogszerű adatkezelés előfeltétele. A jogszerűség követelménye tehát szűkebben véve a megfelelő adatkezelési jogalap
meglétét feltételezi, tágabban értelmezve pedig azt jelenti, hogy a személyes adatok kezelésére csak az adott adatkezelési
jogalapra vonatkozó jogszabályokkal összhangban kerülhet sor.
A Vállalkozás az általa végzett tevékenységre tekintettel az Érintettek személyes adatai tekintetében az alábbi főbb
jogalapok közül választhat az adatkezelés jellegének és körülményeinek megfelelően. Az első alpontban említett főbb
jogalapok a személyes adatok különleges kategóriái kivételével minden személyes adatra vonatkoznak, míg a második
alpont a személyes adatok különleges kategóriáira vonatkozó jogalapokkal kapcsolatos speciális rendelkezéseket rögzíti.
3.1 Személyes adatok, a különleges adatok kivételével
A Vállalkozás az Érintett személyes adatait – ide nem értve a különleges adatokat – különösen az alábbi jogalapon
kezelheti:
(i) Hozzájárulás: Érintett – amennyiben a hozzájárulás önkéntessége bizonyítható – hozzájárulást adhat
személyes adatainak kezeléséhez. Amennyiben a Vállalkozás a közvetlenül 16. életévét be nem töltött
gyermekeknek kínált információs társadalommal összefüggő szolgáltatások kapcsán a 16. életévét be nem
töltött gyermek személyes adatait kezeli, főszabály szerint csak akkor és olyan mértékben jogszerű az
adatkezelés, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, ill. engedélyezte. Az
Érintett a hozzájárulását önkéntes alapon nyújtja, és jogosult azt bármikor visszavonni. A visszavonás az azt
megelőzően végrehajtott adatkezelés jogszerűségét nem érinti.
(ii) Szerződés előkészítése, ill. szerződés teljesítése: Ez a jogalap alkalmazható a szerződéshez (pl. szolgáltatás
nyújtására irányuló szerződés, munkaszerződés, tanulmányi szerződés) teljesítéséhez szükséges adatkezelések
esetén, amelyben az Érintett az egyik fél, vagy ha az adatkezelés a szerződés megkötését megelőzően az
Érintett kérésére történő lépések megtételéhez szükséges.
(iii) Jogi kötelezettség teljesítése: Uniós vagy nemzeti jog által megkívánt adatkezelés.
(iv) Jogos érdek: Ide tartoznak a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges
adatkezelések. A Vállalkozás vagy harmadik fél jogos érdekét az adott adatkezelési célra vonatkozó
adatkezelési tájékoztató rögzíti. Jogos érdeken alapuló adatkezelés csak abban az esetben történhet, ha a
Vállalkozás érdekmérlegelési tesztet készít, amelyben rögzíti és megvizsgálja, hogy a Vállalkozás jogos érdeke
arányosan korlátozza-e az Érintett személyes adatok védelméhez való jogát, magánszféráját, illetve azt, hogy
miként biztosítható az egyensúly a Vállalkozás és az Érintett érdekei között. Az érdekmérlegelési teszt nem
része az adatkezelési tájékoztatónak.
(v) [Egyéb, az adott adatkezelési cél szempontjából egyedi adatkezelési jogalapok lehetnek még: az Érintett vagy
egy másik természetes személy létfontosságú érdeke vagy közérdekű adatkezelés, illetve a Vállalkozásra
ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat ellátásával összefüggő adatkezelés.]1
Amennyiben a Vállalkozás az Érintettől gyűjti az adatokat és az Érintett a fenti jogalapokon kezelt adatokat nem adja
meg, akkor az adatszolgáltatás lehetséges következménye lehet a valamilyen szerződés előkészítésének, illetve
teljesítésének a megtagadása, illetve lehetetlenülése (pl. a munkaviszony létesítésének a meghiúsulása). Ha az Érintett a
szolgáltatandó adatoknak csak egy részét nem adja meg, akkor a nem teljeskörűen szolgáltatott adatok alapján kell
megítélni, hogy az adatszolgáltatás elmaradása okozhatja-e pl. a szerződés létrejöttének vagy fenntartásának
lehetetlenülését. Szerződésen alapuló adatkezelés esetén a lehetetlenülés jogkövetkezményeit a Vállalkozás csak akkor
alkalmazhatja, ha igazolja, hogy a szolgáltatott adat nélkül az érintett szerződés teljesítésére nem képes.
3.2 Különleges adatok
A természetes személyeket megillető alapvető jogok és szabadságok miatt a különleges adatok természetüknél fogva
érzékeny és kockázatot jelentő adatok, melyek megkülönböztetett védelmet igényelnek. A Vállalkozás az Érintett
különleges adatait – ideértve elsősorban az egészségügyi adatokat – különösen az alábbi célból, illetve jogalapon kezelheti:
(i) GDPR 9. cikk (2) bek. a) pontja: Az Érintett – amennyiben a hozzájárulás önkéntessége bizonyítható –
hozzájárulást adhat személyes adatainak kezeléséhez. Az Érintett a hozzájárulását önkéntes alapon nyújtja, és
jogosult azt bármikor visszavonni. A visszavonás az azt megelőzően végrehajtott adatkezelés jogszerűségét
nem érinti.
(ii) GDPR 9. cikk (2) bek. b) pontja: Pl. uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés
felhatalmazása esetén a Vállalkozás adatkezelést folytathat a foglalkoztatást, valamint a szociális biztonságot és
szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása
érdekében.
(iii) GDPR 9. cikk (2) bek. f) pontja: Ez a jogalap alkalmazható, ha a különleges adat kezelésére jogi igények
előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges célból kerül sor.2

1 A felsorolás nem teljeskörű, további információk a GDPR 6. cikkében találhatók.
2 A felsorolás nem teljeskörű, további információk a GDPR 9. cikkében találhatók.

4. A Vállalkozás tájékoztatási kötelezettsége és intézkedései

A Vállalkozás köteles tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően az Érintett
rendelkezésére bocsátani bizonyos információkat és tájékoztatni az Érintettet az őt megillető jogokról.
3 Továbbá az
Érintett kérelmére bizonyos eljárási szabályok betartásával a Vállalkozás intézkedéseket tehet.
4.1 Adatkezelési tájékoztató
A Vállalkozás attól függően, hogy a személyes adatokat az Érintettől gyűjti-e vagy sem, köteles az Érintett rendelkezésére
bocsájtani bizonyos az adatkezelésre vonatkozó információkat. Jelen adatkezelési tájékoztatások közös és egyedi
szabályait az alábbi alfejezetek foglalják össze. Az Adatkezelési tájékoztató jelen szabályzat 1. mellékletében található.
4.1.1 Közös szabályok
A tájékoztatási kötelezettségek alapján a Vállalkozás az alábbiakról köteles értesíteni az Érintettet:
(i) A Vállalkozásnak és – ha van ilyen – a Vállalkozás képviselőjének a kiléte és elérhetőségei,
(ii) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja,
(iii) a GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, a Vállalkozás vagy harmadik fél jogos
érdekei,
(iv) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen,
(v) adott esetben annak ténye, hogy a Vállalkozás harmadik országba vagy nemzetközi szervezet részére kívánja
továbbítani a személyes adatokat, továbbá az Európai Bizottság megfelelőségi határozatának léte vagy annak
hiánya, vagy a GDPR 46. cikkben, a GDPR 47. cikkben vagy a GDPR 49. cikk (1) bekezdésének második
albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok
másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás,
(vi) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának
szempontjairól,
(vii) az Érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való
hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok
kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról,
(viii) a GDPR 6. cikk (1) bekezdésének a) pontján vagy a GDPR 9. cikk (2) bekezdésének a) pontján alapuló
adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a
visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,
(ix) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról,
(x) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást
is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk,
hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
4.1.2 Rendelkezésre bocsátandó információk, ha az adatokat az Érintettől gyűjtik
Abban az esetben, ha a Vállalkozás a személyes adatokat az Érintettől gyűjti, a fentieken túl köteles az Érintettet
tájékoztatni arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy
szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy
milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.
A tájékoztatást a személyes adatok megszerzésének időpontjában szükséges megadni. Amennyiben azonban az Érintett
már rendelkezik a fenti információkkal, nem szükséges azokról őt tájékoztatni.
4.1.3 Rendelkezésre bocsátandó információk, ha az adatokat nem az Érintettől gyűjtik
Abban az esetben, ha a Vállalkozás a személyes adatokat nem az Érintettől gyűjti, a fentieken túl köteles az Érintettet
tájékoztatni az Érintett személyes kategóriáiról, valamint a személyes adatok forrásáról és adott esetben arról, hogy az
adatok nyilvánosan hozzáférhető forrásokból származnak-e.
A Vállalkozás a következő időpontokban köteles a tájékoztatást megadni:

Az adatvédelmi incidensre vonatkozó szabályokat a jelen szabályzat 6. pontja tartalmazza.
(i) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől
számított ésszerű határidőn, de legkésőbb egy hónapon belül,
(ii) ha a személyes adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első
kapcsolatfelvétel alkalmával vagy
(iii) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való
közlésekor.
Nem szükséges a fenti adatok megadása, amennyiben
(i) az Érintett már rendelkezik az információkkal,
(ii) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy
erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból
vagy statisztikai célból, a GDPR 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével
végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség
valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen
esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé
tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében,
(iii) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog,
amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik vagy
(iv) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján,
ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

4.2 Humán erőforrás területre vonatkozó adatkezelési tájékoztató
A Munkáltató által kezelt munkavállalói személyes adatokra vonatkozó adatkezelési tájékoztatót jelen szabályzat 2.
melléklete tartalmazza. A Munkáltató célja, hogy a személyes adatok pontos és biztonságos, valamint a vonatkozó
nemzeti (különösen az Mt. és az Info tv.) és európai uniós szabályoknak (különösen a GDPR) megfelelő kezelését
biztosítsa. A tájékoztató hatálya valamennyi, a munkaviszony körében, vagy azzal összefüggésben kezelt személyes adatra
kiterjed, függetlenül az adat gyűjtésének, felhasználásának, rögzítésének, tárolásának, megsemmisítésének módjától, illetve
függetlenül attól, hogy azok papír alapon vagy elektronikusan kerülnek tárolásra.
4.2.1 Általános szabályok
A Munkáltató az egyes adatkezelési céljaihoz tartozó tájékoztató adatokat jelen szabályzat 2.sz. mellékletében bocsátja a
Munkavállaló rendelkezésére, így különösen:
(i) az adatkezeléssel érintett személyes adatok kategóriáit,
(ii) az adatkezelés célját, jogalapját,
(iii) a Munkáltató vagy harmadik fél jogos érdekeit,
(iv) a címzettek (adatkezelők, közös adatkezelők, adatfeldolgozók, kiszervezett tevékenységet végzők, egyéb
harmadik felek) kategóriáit, továbbá
(v) az adatok tárolási idejére vonatkozó információkat.
Jelen szabályzat 2.sz. melléklete azt a célt szolgálja, hogy a Munkavállaló a rá vonatkozó adatkezelési célokkal kapcsolatos
tájékoztatást könnyen átlátható, világos és lényegre törő formában is megkaphassa.
A Munkáltató által végzett egyes adatkezelési célok az alábbiak:
– Toborzás során történő adatkezelés
– A munkaszerződés létesítéséhez kapcsolódó adatkezelés
– A Munkavállaló alkalmasságával kapcsolatos adatkezelés
– A Munkavállaló ellenőrzésével, megfigyelésével kapcsolatos adatkezelés, ezen belül:
o Munkaidő-nyilvántartással kapcsolatos adatkezelés
o Kamerás megfigyelés
o Munkára képes állapot ellenőrzése (alkohol, egyéb tudatmódosító szerek)
A Munkáltató a Munkavállaló személyes adatait – ide nem értve a különleges adatokat – különösen az alábbi jogalapon
kezelheti:
(vi) Hozzájárulás: A Munkavállaló – amennyiben a hozzájárulás önkéntessége bizonyítható – hozzájárulást adhat
személyes adatainak kezeléséhez. A Munkavállaló a hozzájárulását önkéntes alapon nyújtja, és jogosult azt
bármikor visszavonni. A visszavonás az azt megelőzően végrehajtott adatkezelés jogszerűségét nem érinti.
9
(vii) Szerződés előkészítése, ill. szerződés teljesítése: Ez a jogalap alkalmazható a munkaszerződéshez vagy a
munkajogviszonyhoz kapcsolódó egyéb szerződés (pl. tanulmányi szerződés) teljesítéséhez szükséges
adatkezelések esetén, amelyben a Munkavállaló az egyik fél, vagy ha az adatkezelés a szerződés megkötését
megelőzően a Munkavállaló kérésére történő lépések megtételéhez szükséges.
(viii) Jogi kötelezettség teljesítése: Uniós vagy nemzeti jog által megkívánt adatkezelés.
(ix) Jogos érdek: Ide tartoznak a Munkáltató vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges
adatkezelések. Jogos érdeken alapuló adatkezelés csak abban az esetben történhet, ha a Munkáltató
érdekmérlegelési tesztet készít, amelyben rögzíti és megvizsgálja, hogy a Munkáltató jogos érdeke arányosan
korlátozza-e a Munkavállaló személyes adatok védelméhez való jogát, magánszféráját, illetve azt, hogy miként
biztosítható az egyensúly a Munkáltató és a Munkavállaló érdekei között.
Amennyiben Munkáltató a Munkavállalótól gyűjti az adatokat és a Munkavállaló a fenti jogalapokon kezelt adatokat nem
adja meg, akkor az adatszolgáltatás lehetséges következménye lehet a munkaviszony létrejöttének vagy fenntartásának
lehetetlenülése, illetőleg az adott munkáltatói intézkedés alkalmazásának lehetetlenülése. Ha a Munkavállaló a
szolgáltatandó adatoknak csak egy részét nem adja meg, akkor a nem teljes körűen szolgáltatott adatok alapján kell
megítélni, hogy az adatszolgáltatás elmaradása okozhatja-e a munkaviszony létrejöttének vagy fenntartásának
lehetetlenülését. Szerződésen alapuló adatkezelés esetén a lehetetlenülés jogkövetkezményeit a Munkáltató csak akkor
alkalmazhatja, ha igazolja, hogy a szolgáltatott adat nélkül az érintett szerződés teljesítésére nem képes.
A Munkáltató a Munkavállaló különleges adatait – ideértve elsősorban az egészségügyi adatokat – különösen az alábbi
célból, illetve jogalapon kezelheti:
(iv) GDPR 9. cikk (2) bek. a) pontja: A Munkavállaló – amennyiben a hozzájárulás önkéntessége bizonyítható –
hozzájárulást adhat személyes adatainak kezeléséhez. A Munkavállaló a hozzájárulását önkéntes alapon
nyújtja, és jogosult azt bármikor visszavonni. A visszavonás az azt megelőzően végrehajtott adatkezelés
jogszerűségét nem érinti.
(v) GDPR 9. cikk (2) bek. b) pontja: Pl. uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés
felhatalmazása esetén a Munkáltató adatkezelést folytathat a foglalkoztatást, valamint a szociális biztonságot
és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása
érdekében.
(vi) GDPR 9. cikk (2) bek. f) pontja: Ez a jogalap alkalmazható, ha a különleges adat kezelésére jogi igények
előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges célból kerül sor.
4.3 Érintetti jogok
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a
kötelező adatkezelések kivételével – törlését, visszavonását, élhet adathordozási-, és tiltakozási jogával az adat felvételénél
jelzett módon, illetve az adatkezelő fenti elérhetőségein.
Az érintett kérelmére az információkat elektronikus formában szolgáltatjuk késedelem nélkül, de legkésőbb 30 napon
belül, a vonatkozó szabályzatunknak megfelelően. Az érintetteknek a lenti jogok teljesítésére irányuló kéréseit
díjmentesen teljesítjük.
4.3.1. Tájékoztatáshoz való jog:
Cégünk megfelelő intézkedéseket hoz annak érdekében, hogy az érintettek részére a személyes adatok kezelésére
vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes
tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva,
ugyanakkor precíz módon nyújtsa.
A tájékozódáshoz való jog írásban, az 1. pontban megadott kapcsolati elérhetőségeken keresztül gyakorolható. Az érintett
részére kérésére – személyazonosságának igazolását követően – szóban is adható tájékoztatás. Tájékoztatjuk ügyfeleinket,
hogy amennyiben cégünk munkatársainak kétsége támad az érintett személyazonossága felől, az érintett
személyazonosságának megerősítéséhez szükséges információk nyújtását kérhetjük.
4.3.2. Az érintett hozzáféréshez való joga:
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése
folyamatban van-e. Amennyiben folyamatban van személyes adat kezelése, az érintett jogosult arra, hogy a személyes
adatokhoz és a következő, a felsorolásban szereplő információkhoz hozzáférést kapjon.
10
 Az adatkezelés céljai;
 az érintett személyes adatok kategóriái;
 azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy
közölni fogják, ideértve különösen a harmadik országbeli (Európai Unión kívüli) címzetteket, illetve a
nemzetközi szervezeteket;
 a személyes adatok tárolásának tervezett időtartama;
 a helyesbítés, törlés vagy adatkezelés korlátozásának és a tiltakozás joga;
 a felügyeleti hatósághoz címzett panasz benyújtásának joga;
 az adatforrásokra vonatkozó információ; az automatizált döntéshozatal ténye, ideértve a profilalkotást is,
valamint az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen
jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
A fentieken túlmenően személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása
esetén az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozó megfelelő garanciákról.
4.3.3. Helyesbítés joga:
E jog értelmében bárki kérheti a cégünk által kezelt, rá vonatkozó, pontatlan személyes adatok helyesbítését és a hiányos
adatok kiegészítését.
4.3.4. Törléshez való jog:
Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére indokolatlan késedelem nélkül
töröljük a rá vonatkozó személyes adatokat:
a) személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon
kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más
jogalapja;
c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatok jogellenes kezelése állapítható meg;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség
teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával
kapcsolatosan került sor.
Az adatok törlése nem kezdeményezhető, ha az adatkezelés a következő célokból szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti
kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlása keretében végzett feladat végrehajtása céljából;
c) a népegészségügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy
statisztikai célból, közérdek alapján;
d) vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
4.3.5. Az adatkezelés korlátozásához való jog:
Az érintett kérésére korlátozzuk az adatkezelést a GDPR 18. cikkében fennálló feltételek esetén, tehát ha:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra
vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és e helyett kéri azok felhasználásának
korlátozását
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli
azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
11
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg
megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos
indokaival szemben.
Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi
igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme
érdekében, vagy az Európai Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Az érintettet az adatkezelés
korlátozásának feloldásáról előzetesen tájékoztatni kell.
4.3.6. Adathordozáshoz való jog:
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt,
széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek
továbbítsa. Cégünk word vagy excel formátumban tudja teljesíteni az érintett ilyen kérését.
4.3.7. Tiltakozás joga:
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor
tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a
közvetlen üzletszerzéshez kapcsolódik. A személyes adatok közvetlen üzletszerzés érdekében történő kezelése elleni
tiltakozás esetén az adatok e célból nem kezelhetők.
4.3.8. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást:
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is
– alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Nem
alkalmazható a fenti jogosultság, ha az adatkezelés
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az
érintett jogainak és szabadságainak, valamint jogos érdekeinek
c) védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
d) az érintett kifejezett hozzájárulásán alapul.
4.3.9. Visszavonás joga:
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a
hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
4.3.10. Eljárási szabályok:
Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül
tájékoztatja az érintettet a GDPR 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén,
figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A
határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy
hónapon belül tájékoztatja az érintettet.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha az
érintett azt másként kéri.
Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem
beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról,
hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezeléskorlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul
nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
4.3.11. Kártérítés és sérelemdíj:
Minden olyan személy, aki az adatvédelmi rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt
szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak
abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályban
meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait
figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Ha több adatkezelő vagy több adatfeldolgozó vagy mind az
12
adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által
okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért.
Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt
semmilyen módon nem terheli felelősség.
4.3.12. Bírósághoz fordulás joga és adatvédelmi hatósági eljárás:
Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.
Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:
Nemzeti Adatvédelmi és Információszabadság Hatóság
A hatóság címe: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Levelezési címe: 1530 Budapest, Pf.: 5.
Telefon: +36 (1) 391 1400
E-mail ugyfelszolgalat@naih.hu
Web: www.naih.hu
Az Érintettnek joga van más, így különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye
szerinti európai uniós tagállamban létrehozott, felügyeleti hatóságnál is panaszt tenni.
Kiskorúakat sértő, gyűlöletkeltő, kirekesztő tartalmakkal, helyreigazítással, elhunyt személy jogaival, jó hírnév
megsértésével kapcsolatos jogainak megsértése esetén:
Nemzeti Média- és Hírközlési Hatóság
1015 Budapest, Ostrom u. 23-25.
Levélcím: 1525. Pf. 75
Tel: +36 (1) 457 7100
Fax: +36 (1) 356 5520
E-mail: info@nmhh.hu

5 Adattovábbítás

A Vállalkozás meghatározott célból – így különösen valamely harmadik személlyel fennálló szerződés teljesítése
érdekében, illetve a jogszabályban meghatározott kötelezettség, munkaviszonyból származó munkáltatói kötelezettség
teljesítése érdekében – az Érintettek személyes adatait továbbíthatja.
Adattovábbítás esetén – jogszabályon alapuló adattovábbítás kivételével – a Vállalkozás kizárólag olyan címzettek részére
továbbítja az Érintett személyes adatait, amelyek az Európai Unió területén székhellyel rendelkeznek, vagy amelyek
megfelelő garanciákat nyújtanak arra, hogy az általuk történő adatkezelés a GDPR követelményeinek megfelel.
Amennyiben a Vállalkozás személyes adatot harmadik országba – tehát az Európai Unión kívüli országba – vagy
nemzetközi szervezet részére továbbít (vagy harmadik országban működő adatkezelő vagy nemzetközi szervezet számára
elérhetővé tesz), úgy a Vállalkozás köteles arról gondoskodni, hogy a harmadik országban működő címzett, illetve a
nemzetközi szervezet az Érintett személyes adataival kapcsolatosan a Vállalkozás által biztosított védelemmel azonos
mértékű védelmet biztosítson a GDPR V. fejezetében foglaltaknak megfelelően.
Ha olyan harmadik országba vagy nemzetközi szervezet számára történik az adattovábbítás, amely a személyes adatok
megfelelő szintű védelmét a GDPR V. fejezete szerint biztosítani nem tudja (pl. egyes ázsiai vagy afrikai országok), akkor
az adattovábbítás csak akkor történhet az Érintett hozzájárulása nélkül, ha az adattovábbítás megfelel a GDPR 49.
cikkében foglaltaknak; ennek hiányában a személyes adatok továbbításhoz szükséges az Érintett kifejezett hozzájárulása.

6 Adatvédelmi incidens

6.1 Adatbiztonság
Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles
továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a
GDPR szerinti garanciák érvényre juttatásához szükségesek.
13
Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás,
nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott
technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
Az adatkezelő és az adatfeldolgozó által kezelt nyilvántartásokban, az elektronikusan kezelt adatállományok védelme
érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve, ha ehhez az
érintett előzetesen hozzájárult – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
A személyes adatok kezelése során biztosítani szükséges:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével
történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés
alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az
automatikus adatfeldolgozó rendszerekbe;
e) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének
biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és
az adatok rendelkezésre állását kellő időben vissza lehet állítani.
A személyes adatok biztonságos kezelése és őrzése érdekében a munkavállalók a munkaidő végén – vagy amennyiben
elhagyják munkaállomásukat a munkaidő alatt – kötelesek gondoskodni arról, hogy személyes adatot tartalmazó okirat,
egyéb dokumentum, adathordozó az asztalukon vagy egyébként a munkaállomásukon őrizet nélkül ne maradjon. A
személyes adatokat tartalmazó adathordozókat – a jelen szabályzat eltérő rendelkezése hiányában – a munkaállomásokon,
elzárt helyen szükséges őrizni.
A munkaszerződéseket és a munkavállalók személyi anyagát tartalmazó adathordozókat, dokumentumokat a vendégház
irodájában, zárt szekrényben szükséges tárolni.
A Szervezet munkatársai felelősek a rendelkezésükre bocsátott információkért, információkezelő és védelmi rendszerek
és infokommunikációs eszközök rendeltetésszerű kezeléséért, használatáért. Felelősségre vonhatóak az információ
biztonságot sértő cselekedeteikért és anyagi javak (Informatikai eszközök, perifériák) nem rendeltetésszerű használatából
eredő meghibásodásaikért.
Minden rendellenességet (üzemképtelenség, megváltozott Informatikai állapot haladéktalanul jelenteni kell a
rendszergazdának, amennyiben adatvédelmi incidens bekövetkezése valószínűsíthető, az adatvédelmi tisztviselőnek is.
Infokommunikációs eszköz (hardver, szoftver) módosítása kizárólag az ügyvezető engedélyével lehetséges.
Az adatkezelő valamennyi munkavállalója köteles bizalmasan és biztonságosan kezelni minden, az adatkezelő
szervezetében, infokommunikációs rendszerében felhasznált adatot, illetve amelyekhez a munkája során a partnerek
adatiból hozzáfér, függetlenül attól, hogy azok elektronikusan vagy papíron találhatóak.
A munkavállaló a munkaviszonya megszűnésekor köteles visszaszolgáltatni minden nála lévő, az adatkezelő tulajdonát
képező iratot adathordozót és eszközt.
Az Adatkezelő egy kamerát alkalmaz (lásd. Adatkezelési tájékoztató). Adatkezelő kijelölt munkatársai és a kamerarendszer
működtetéséhez szükséges technikai feladatok biztosítását ellátó Adatfeldolgozó kijelölt munkatársai látják valamennyi
kamera képét. Az adatkezelés eredményeképpen az Adatkezelő székhelyére belépő személyeknek a képfelvételeken
látszódó arcképmása és egyéb, a megfigyelőrendszer által rögzített személyes adatait kezeli az Adatkezelő.
A kamerák felvételeit kizárólag az ügyvezető és az adatfeldolgozó szolgáltató kijelölt munkatársa jogosult visszanézni.
Más munkavállaló, harmadik személy – hatóság és az érintett kivételével – a felvételeket nem ismerheti meg. A
kamerafelvételeket 3 munkanap elteltével törölni kell. A törlés automatikusan, előre programozott módon történik meg.
A felvételek törlésének elhalasztására kizárólag írásban dokumentált módon, az ügyvezető döntése alapján kerülhet sor
adatvédelmi incidens vagy bűncselekmény, szabálysértés gyanúja esetén. Ezekben az esetekben a felvételek a kezelésére a
hatósági, bírósági eljárás jogerős lezárásáig van mód.
14
6.2 Számítógépek és hálózatok használata
Az adatkezelő tulajdonában álló számítógépeket csak az arra felhatalmazott alkalmazottak használhatják, aki egyben
felelősek azok rendeltetésszerű használatért. Az adatkezelő információihoz, infokommunikációs rendszeréhez hozzáférni
csak hozzáférési jogosultsággal lehet. A hozzáférési jogosultságok engedélyezéséről, beállításáról, visszavonásáról,
törléséről és ellenőrzéséről az ügyvezető dönt.
A berendezések hibátlan és üzemszerű működésének biztosítása érdekében a számítógépek karbantartását rendszeresen el
kell végezni. A gépek karbantartását – a garanciális eszközök kivételével – kizárólag a rendszergazda végezheti. A
rendszergazdai feladatokat az adatkezelő informatikai szolgáltatásokat nyújtó adatfeldolgozó partnere látja el (Nagy Ádám
e.v. – MediaSolution, 8420 Zirc, Fáy A. u. 2/A 3/3..) aki gondoskodik a vírusvédelemről és az üzembiztonságról, valamint
javaslatokat tesz a szükséges fejlesztésekre.
Az adatkezelőnél üzembe helyezett számítógépeken csak előzetesen ellenőrzött és jogtiszta programok futhatnak. Az
ellenőrzésnek az esetleges működést akadályozó hibák felderítésén túl ki kell térnie az adatvédelem kérdéskörére is. A
feltárt hiányosságokról a program szállítóját írásban kell tájékoztatni. Hibás programot üzembe helyezni tilos. Szoftver
telepítésére/frissítésére csak rendszergazda jogosult; a tesztelést a felhasználó és a rendszergazda közösen végzi. Az
adatbiztonsági (vírusellenőrzés, adatmentés) célú szoftverek beállításainak módosítása, működésük felfüggesztése még
átmenetileg is tilos.
A számítógépek fizikai meghibásodása vagy rendellenes működése esetén az eszköz használatát fel kell függeszteni, és
haladéktalanul értesíteni kell a rendszergazdát.
Bármilyen külső adathordozó eszköz (pendrive, külső winchester stb.) csatlakoztatása esetén a vírusvédelmi szoftver
segítségével először ellenőrizni kell annak vírusmentességét. Amennyiben a használó fertőzött fájlt észlel, az eszköz
használata tilos, és haladéktalanul értesíteni kell a rendszergazdát.
A bizalmas dokumentumokat csak ügyvezetői engedéllyel és csak akkor lehet a munkavégzés helyéről eltávolítani, ha
azokra okvetlenül külső helyszínen van szükség. Az adatkezelő informatikai eszközeiről programot, illetve
adatállományokat másolni az otthoni munkavégzési célú másoláson és a biztonsági mentéseken kívül tilos.
Az adatkezelő számítógépein internetkorlátozás nincs beállítva, ezért a felhasználók fokozott felelősséget viselnek az
internethasználat során a jogszabályi előírások és az adatbiztonsági előírások betartásáért.
Tilos bizonytalan eredetű e-mailek megnyitása, illetve az internetről bármilyen szoftver telepítése. Probléma észlelése vagy
rendellenes működés esetén az eszköz használatát fel kell függeszteni, és haladéktalanul értesíteni kell a rendszergazdát
Az adatkezelő levelezését saját levelezőszerver biztosítja. A levelekhez levelezőprogrammal lehet hozzáférni, de szükség
esetén webes felületről is bárhonnan használható a levelezés. Az e-mailek letöltése, illetve elküldése esetén azok másolata
a mail-szerveren marad, ami – annak mentéséig – egyben biztonsági másolatként is szolgál.
A munkavállalók kötelesek a munkaidő végzetével számítógépüket és a kapcsolódó eszközöket kikapcsolni, a külső
adathordozókat elzárni. Amennyiben munkaállomásukat a munkaidő alatt elhagyják, a munkavállalók kötelesek zárolni
számítógépüket.
Az infokommunikációs rendszerbe csak az ügyvezető által előzetesen egyeztetett eszközök, szoftverek telepíthetőek. A
rendszergazda jogosult minden olyan eszközt eltávolítani, amely nem felel meg a biztonsági elvárásoknak vagy nincs
engedélyezve annak hálózatra csatlakoztatása.
A munkaállomás elhagyása esetére kötelező a jelszóhoz kötött feloldású képernyővédő eszközök használata.
A munkavállalók a munkavégzéshez szükséges adatokat a szerver kijelölt könyvtárába kötelesek menteni.
6.3 Eljárás adatvédelmi incidens esetén
1. Adatvédelmi incidens bekövetkezése esetén az incidenst vagy annak nyomait megfelelően rögzíteni kell, és
haladéktalanul tájékoztatni szükséges a bekövetkezett incidensről az ügyvezetőt és egyidejűleg az adatkezelő
valamennyi alkalmazottja köteles megtenni a kárenyhítéshez, illetve a nyomok rögzítéséhez szükséges valamennyi
intézkedést, így különösen adatok mentését, helyreállítását kérni az érintett szolgáltatóktól, álnevesítést vagy
15
titkosítást kezdeményezni, az adatkezelő által üzemeltetett kamerák felvételeit megvizsgálni. A jelen pont szerinti
kötelezettségek az adatfeldolgozót is terhelik az általa kezelt személyes adatokkal kapcsolatos incidens esetén.
2. Az 1. pont szerinti tájékoztatásnak különösen ki kell terjednie az adatvédelmi incidens jellegére, az érintett
személyes adatok körére, az érintettek számára, a károsodás, az esetleges illetéktelen hozzáférés súlyosságára, a
további lehetséges következményekre és a szükséges további intézkedésekre. A tájékoztatással nem lehet arra
figyelemmel késleltetni, hogy további információk szerzése szükséges.
3. Ügyvezető haladéktalanul köteles részletesen megvizsgálni az adatvédelmi incidenst. Ennek során mindazon
személyek, akikre a jelen szabályzat személyi hatálya kiterjed, köteles az ügyvezető rendelkezésére állni a vizsgálat
során és részletes információkat szolgáltatni.
4. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve,
vagy az adatvédelmi hatóság így rendelkezik, az ügyvezető köteles haladéktalanul tájékoztatni az érintetteket az
adatvédelmi incidens bekövetkezéséről. A tájékoztatásnak legalább a következőkre ki kell terjednie:
a. az adatvédelmi incidens bekövetkezésének időpontja, körülményei;
b. az incidens jellege (pl. fertőzés, hackertámadás, adathordozó elvesztése, stb. következtében adatok
megsemmisülése, elvesztése, illetéktelen személyek számára hozzáférhetővé válása);
c. annak becslése, hogy incidens milyen következményekkel jár az érintettek jogaira, szabadságaira, milyen
súlyos a bekövetkezett sérelem;
d. a kár vagy sérelem orvoslására vagy elhárítására tett vagy tenni tervezett intézkedések leírása;
A tájékoztatást tömör, átlátható, érthető formában, világosan és közérthetően megfogalmazva kell megtenni.
5. Nem kell az érintetteket tájékoztatni az adatvédelmi incidensről a következő esetekben:
a. az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az
intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat
az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való
hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b. az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják,
hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem
áll fenn;
c. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket az adatkezelő
honlapján kiadott közlemény útján kell tájékoztatni.
6. Az incidensről a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) is értesíteni szükséges. A
tájékoztatást, elektronikus úton szükséges megküldeni a NAIH email címére az incidens bekövetkezésétől
számított 72 órán belül. A tájékoztatást az ügyvezető teszi meg.
7. Nem szükséges az incidens bejelentése a NAIH-hoz, amennyiben az incidens valószínűsíthetően nem jár
kockázattal az érintettek jogaira és szabadságaira nézve.
6.4. Az érintett kérései teljesítésének szabályai
Amennyiben az érintett gyakorolni kívánja a GDPR III. fejezetében meghatározott jogokat, az adatkezelő késedelem
nélkül, de legkésőbb 30 napon belül köteles – széles körben alkalmazott formátum (pl. word, excel) használatával – eleget
tenni a jogszerű kérésnek.
Amennyiben az adatkezelő az érintett kérését nem teljesíti, az elutasítás indokát meg kell jelölni, valamint fel kell hívni az
érintett figyelmét a bírósági út igénybe vételének lehetőségére.
Az adatkezelő nyilvántartást vezet az érintett kéréseiről, azok teljesítéséről, amely legalább a következőket tartalmazza:
a. Az érintett neve, kapcsolati adatai;
b. A kérelem tárgya;
c. A kérelem beérkezésének ideje és teljesítésének ideje;
d. A kérelem teljesítésének formátuma;
e. Elutasítás esetén az elutasítás indoka;
f. Az adatkezelő megjegyzései, különösen.
A kérelmet díjmentesen kell teljesíteni. Költségtérítést akkor lehet megállapítani, ha a kérelem teljesítése aránytalan
megterhelést jelentene az adatkezelő számára.
16
A nyilvánvalóan visszaélésszerű kérelem teljesítése megtagadható.

7. Adatkezelési nyilvántartások

7.1. Adatkezelési tevékenységek nyilvántartása
A Vállalkozás a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásban, ideértve az elektronikus
dokumentumot is, nyilvántartást köteles vezetni a GDPR 30. cikkének megfelelően. A nyilvántartást jelen szabályzat 3.
melléklete tartalmazza. A nyilvántartásnak tartalmaznia kell az alábbiakat:
a. a Vállakozás neve és elérhetősége,
b. az adatkezelés megnevezése
c. az adatkezelés célja
d. az adatkezelés jogalapja
e. az érintettek kategóriái
f. a kezelt személyes adatok köre
g. az érintett tájékoztatása megtörténik-e?
h. történik-e adattovábbítás harmadik országba?
i. adatfeldolgozó közreműködik-e?
j. az adatkezelés időtartama
k. ki fér hozzá az adatokhoz?
A Vállalkozás köteles a nyilvántartást megkeresés alapján a felügyeleti hatóság részére hozzáférhetővé tenni.
7.2. Adatvédelmi incidensek nyilvántartása
A Vállalkozás nyilvántartja az adatvédelmi incidenseket az alábbi információkkal:
a. az adatvédelmi incidenshez kapcsolódó tények,
b. annak hatásai és
c. az orvoslására tett intézkedések.
A nyilvántartásba a felügyeleti hatóság betekinthet és ellenőrizheti, hogy a GDPR 33. cikk rendelkezéseinek betartását.

8 Adatvédelmi hatásvizsgálat

Amennyiben az Adatkezelő személyes adatok kezelésével járó tevékenység megkezdését tervezi, e tevékenységet
előzetesen adatvédelmi hatásvizsgálat alá kell vonni, függetlenül attól, hogy teljesülnek-e a GDPR 35. cikke szerinti
feltételek.
A hatásvizsgálat során ellenőrizni kell, hogy a Nemzeti Adatvédelmi és Információszabadság Hivatal az érintett
adatkezelés tárgyában kiadott-e állásfoglalást. Már publikált állásfoglalás esetén az abban foglaltakat az adatkezelés
tervezésénél és a hatásvizsgálatnál figyelembe kell venni.
Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek,
egyetlen hatásvizsgálat keretei között is értékelhetőek.
A hatásvizsgálat kiterjed legalább:
 A tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott
esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
 Az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
 Az érintett jogait és szabadságait érintő kockázatok vizsgálatára, arra, hogy ezeket hogyan érinti a tervezett
adatkezelés
 A kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét szolgáló, az
érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat és biztonsági intézkedéseket.
A vállalkozás által készített, kamerák üzemeltetésével foglalkozó hatásvizsgálat a szabályzat 4. mellékletében található.
17

9 Oktatás

A Vállalkozás köteles gondoskodni a Vállalkozásnál az adatkezelési műveletekben részt vevő személyek adatvédelmi
tudatosság-növeléséről és képzéséről. A Vállalkozás jelen szabályzat életbe lépését megelőzően szóbeli előadás keretében,
valamint elektronikus körlevélben is tájékoztatta munkavállalóit. A munkavállalók részére a Vállalkozás évente egy
alkalommal oktatást nyújt. Amennyiben a vonatkozó szabályzásban lényeges változás következik be, mely szükségessé
teszi a munkavállalók ismereteinek frissítését, bővítését, Vállalkozás további évközi képzéseket tart.

10 Hatály és felülvizsgálati rend

Az Adatkezelési Szabályzat 2019. május 25. napján lép hatályba és visszavonásig érvényes. Az Adatkezelési Szabályzat
hatályba lépésével minden olyan korábban hatályos belső szabályzat, illetve munkáltatói utasítás hatályát veszti, amelynek
figyelembevételével a Vállalkozás az Adatkezelési Szabályzat hatálya alá személyes adatokat kezelték.
Az Adatkezelési Szabályzat hatályba lépésének fordulónapjával bezárólag minden évben legalább egyszer felülvizsgálatra
kerül, azzal, hogy a felülvizsgálat valamennyi melléklet tartalmára is maradéktalanul kiterjed. Amennyiben szükséges, az
ügyvezető, mint felülvizsgálatért felelős személy a jogszabályi és a belső szervezeti változásoknak megfelelően intézkedik
az Adatkezelési Szabályzat megfelelő módosítása iránt, gondoskodik a módosított Adatkezelési Szabályzat hatályba
léptetéséről és kihirdetéséről, valamint arról, hogy az Adatkezelési Szabályzat személyi hatálya alá tartozó személyek a
módosítások tartalmáról tudomást szerezzenek.
Az Adatkezelési Szabályzat rá irányadó szabályainak megismerése és betartása a Vállalkozás minden képviselője,
tisztségviselője és megbízottja számára kötelező, feladataikat kötelesek az Adatkezelési Szabályzat előírásainak
maradéktalan betartásával ellátni.
Jogszabályváltozás esetén, továbbá a jelen szabályzat egyéb okból történő módosítása esetén a Tájékoztatót a jogszabályi
változás alapulvételével, illetve egyéb okból módosítani kell és az Érintettekkel meg kell ismertetni a módosítás szövegét a
helyben szokásos és a jelen szabályzat közlésével azonos módon.
Az Adatkezelési Szabályzat az alábbi mellékleteket tartalmazza:
1. sz. melléklet Adatkezelési Tájékoztató
2. sz. melléklet Adatkezelési Tájékoztató Munkavállalók részére
3. sz. melléklet Adatkezelési tevékenységek nyilvántartása
4. sz. melléklet Kamerarendszerrel kapcsolatos adatvédelmi hatásvizsgálat

1. számú melléklet: Adatkezelési Tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

1. Általános rendelkezések

A P-BLASI Kft. (7683 Dinnyeberki, Fő u. 48.), a Hotel Centrál Pécs üzemeltetőjeként minden esetben
biztosítja az általa kezelt személyes adatok tekintetében az adatkezelés jogszerűségét és célszerűségét. E tájékoztató célja,
hogy a szállást foglaló, személyes adataikat megadó vendégeink már a foglalás, illetve személyes adataik megadása előtt
megfelelő információkat kaphassanak arról, hogy cégünk adataikat milyen feltételek és garanciák mellett, mennyi ideig
kezeli. Az e tájékoztatóban foglaltakhoz cégünk minden személyes adatkezeléssel járó esetben tartja magát, az itt leírtakat
magunkra nézve kötelezőnek tartjuk.

Fenntartjuk ugyanakkor a jelen egyoldalú jognyilatkozatban leírtak megváltoztatásának jogát, ez esetben az érintetteket
előzetesen tájékoztatni fogjuk. Kérjük, amennyiben kérdése van az e tájékoztatóban foglaltakkal kapcsolatban, a
hotel@hotelcentralpecs.hu e-mail címre, vagy postai úton a Hotel Centrál 7622, Pécs, Bajcsy-Zs. u. 7.
levelezési címre írjon levelet nekünk. Cégünk tevékenységének adatkezelései önkéntes hozzájáruláson alapulnak, illetve
némely esetben az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez
szükséges.
Adatkezeléseink megfelelnek a vonatkozó jogszabályoknak, különösen a következőknek:
 Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a
személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a
95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: „GDPR”)
 Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Info. tv.”).

Az adatkezelő elérhetőségei:
Név: P-BLASI KFT. (a továbbiakban: „Vállalkozás”)
Székhely: 7683 Dinnyeberki, Fő u. 48. 
Adószám: 11011451-2-02
E-mail cím: hotel@hotelcentralpecs.hu
Telefonszám: +36 (20) 490 6255
Honlap: www.hotelcentralpecs.hu
Képviseli: Halasi Gergely

Az egyes adatkezeléseinkkel kapcsolatban a következő tájékoztatásokat adjuk.

2. Az érintettek köre

Érintett minden, bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve –
azonosítható természetes személy, akinek adatait az Adatkezelő kezeli. Az érintettek tehát elsődlegesen a vendégek, az
Adatkezelő természetes személy Partnerei, nem természetes személy Partnereinek képviselői, kapcsolattartói, esetleg
egyéb munkavállalói.

3. A kezelt személyes adatok köre, az adatkezelés célja, jogalapja és időtartama

3.1. Ajánlatkéréssel összefüggő adatkezelés
Cégünk lehetőséget biztosít arra, hogy elektronikus úton ajánlatot kérjenek vendégeink. Az ajánlatot e-mail, vagy
kapcsolatfelvételi űrlap útján, a szabad kapacitásokra is figyelemmel adja meg cégünk.
A személyes adatok kezelője a Vállalkozás.
19
Az adatkezelés jogalapja: a szállást foglaló személy előzetes hozzájárulása, GDPR 6. cikk (1) bekezdés a)
pont, illetve az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések
megtételéhez szükséges – GDPR 6. cikk (1) bekezdés b) pont
A kezelt személyes adatok köre: vezetéknév és keresztnév; telefonszám; e-mail cím; szállóvendégek száma,
egyéb megjegyzés, érkezés és távozás időpontja.
Az adatkezelés időtartama: a foglalás szerinti tartózkodási dátum utolsó napját követő két év.
Adatfeldolgozó igénybevétele: cégünk a kapcsolatfelvételi űrlap működtetéséhez informatikai szolgáltató
segítségét veszi igénybe a következők szerint.
Adatfeldolgozó neve székhelye, adatfeldolgozói feladat leírása:

Chrome-Soft Kft., 9700 Szombathely, Semmelweis Ignác utca 2., a száll

A jelen adatkezelési tájékoztató elfogadásával az érintett kifejezett hozzájárulását adja ahhoz, hogy az
Adatfeldolgozó – a szolgáltatás kényelmesebbé, testreszabottá tétele érdekében – további adatfeldolgozókat
vegyen igénybe a következők szerint:
További adatfeldolgozó
neve
Székhelye Adatfeldolgozói feladat leírása
ARENGU SOFTWARE, SL. Rúa Areal nº18 – 3º, 36201 Vigo,
Spain
A kapcsolatfelvételi űrlap mögötti informatikai
szolgáltatások működtetése.
Az adatszolgáltatás elmaradásának lehetséges következményei: Az adatok szolgáltatása önkéntes. Fontos
körülmény, hogy a *-gal jelölt mezők kitöltése kötelező, ezek elmaradása esetén a vendégház nem tud ajánlatot
adni. A további mezők üresen hagyása ilyen következménnyel nem jár.
Az érintett jogai: az érintett személy (az, akinek a személyes adatait cégünk kezeli)
a) kérelmezheti a rá vonatkozó személyes adatokhoz való hozzáférést,
b) kérelmezheti azok helyesbítését,
c) kérelmezheti azok törlését,
d) visszavonhatja az adatkezeléshez adott hozzájárulását: ebben az esetben a visszavonás előtti adatkezelés
jogszerűségét a visszavonás nem érinti.
e) kérelmezheti a GDPR 18. cikkében foglalt feltételek fennállása esetén a személyes adatok kezelésének
korlátozását (tehát azt, hogy cégünk az adatokat ne törölje, vagy ne semmisítse meg bíróság vagy
hatóság megkereséséig, de legfeljebb harminc napig, s ezen túlmenően más céllal az adatot ne kezelje),
f) tiltakozhat a személyes adatok kezelése ellen,
g) gyakorolhatja az adathordozhatósághoz való jogát. Ez utóbbi jog értelmében az érintett jogosult arra,
hogy a rá vonatkozó személyes adatokat word vagy excel formátumban megkapja, továbbá jogosult
arra, hogy ezeket az adatokat kérésére egy másik adatkezelőnek továbbítsa cégünk.
Az adatkezeléssel kapcsolatos egyéb információk: cégünk minden szükséges technikai és szervezési
intézkedést megtesz egy esetleges adatvédelmi incidens (pl. személyes adatokat tartalmazó fájlok sérülése,
eltűnése, illetéktelenek számára hozzáférhetővé válása) elkerülésére. Egy mégis bekövetkező incidens esetén a
szükséges intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezetünk, amely
tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az
adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az
adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
3.2. Cookie kezelés
Az Adatkezelő a testre szabott kiszolgálás érdekében a felhasználó számítógépén kis adatcsomagot, ún. sütit
(cookie) helyez el és a későbbi látogatás során olvas vissza. Ha a böngésző visszaküld egy korábban elmentett
20
sütit, a sütit kezelő szolgáltatónak lehetősége van összekapcsolni a felhasználó aktuális látogatását a
korábbiakkal, de kizárólag a saját tartalma tekintetében.
Az adatkezelés célja: a felhasználók azonosítása, nyomon követése, egymástól való megkülönböztetése, a
felhasználók aktuális munkamenetének azonosítása, az annak során megadott adatok tárolása, az adatvesztés
megakadályozása, webanalitikai mérések, személyre szabott kiszolgálás.
Az adatkezelés jogalapja: az érintett hozzájárulása.
A kezelt adatok köre: azonosítószám, dátum, időpont, valamint az előzőleg meglátogatott oldal.
Az adatkezelés időtartama: maximum 90 nap
Adatfeldolgozó neve Székhelye Adatfeldolgozói feladat leírása
Nagy Ádám e.v.
(MediaSolution) 8420 Zirc, Fáy András u. 2/A 3/3
A felhasználók és aktuális munkamenetük
azonosítása, az annak során megadott adatok
tárolása, az adatvesztés megakadályozása,
webanalitikai mérések, személyre szabott
kiszolgálás.
Az adatkezeléssel kapcsolatos további információk: A sütit a felhasználó képes törölni saját számítógépéről,
illetve letilthatja böngészőjében a sütik alkalmazását. A sütik kezelésére általában a böngészők
Eszközök/Beállítások menüjében az Adatvédelem/Előzmények/Egyéni beállítások menü alatt, cookie, süti vagy
nyomkövetés megnevezéssel van lehetőség.
Az adatszolgáltatás elmaradásának lehetséges következményei: a szolgáltatás igénybevételének
lehetetlenülése a fenti, 2-5. pontokban körülírt szolgáltatások tekintetében.
3.3. Egyszeri információkérés/folyamatos rendszeres kapcsolattartás során kezelt adatok
Adatkezelő biztosítja, hogy az érintett vele különböző módokon és fórumokon folyamatosan, vagy rendszeresen
kapcsolatot tartson. Ilyen például az elektronikus alapú kapcsolattartás; az érintettel folyatott e-mailváltás, a
postai úton vagy telefonon történő kapcsolattartás, stb.
Az adatkezelés célja: az érintett számára megfelelő információ nyújtása és kapcsolattartás.
Az adatkezelés jogalapja: az érintett hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont. Abban az esetben,
ha az Adatkezelő és az érintett megállapodást kötnek egymással például az Adatkezelő valamely szolgáltatásának,
például a szálláshely-szolgáltatás igénybevételéről, az adatkezelés jogalapja alapulhat a szerződéskötésen is.
Kapcsolatfelvétel és kapcsolattartás, így a vonatkozó adatok kezelése alapulhat az érintett, harmadik
személy, vagy az Adatkezelő jogos érdekén, valamint más, jogszabályban meghatározott más jogalapon is, lehet
például jogszabály alapján kötelező.
A kezelt személyes adatok köre: vezetéknév és keresztnév; telefonszám; e-mail cím; kérdés tartalma.
Az adatkezelés időtartama: cél megvalósulásáig, vagy ha az érintett vagy harmadik személy, vagy az
Adatkezelő érdeke, vagy kötelezettség teljesítése megkívánja, akkor a cél megvalósulását követően, az
érdek megszűnéséig, vagy kötelezettség teljesítésének fennállásáig. Ha az adatkezelés módja vagy más alapján
jogszabály kötelezően meghatározza az adatkezelés időtartamát, úgy az Adatkezelő a vonatkozó jogszabályban
meghatározott ideig kezeli az adatokat.
3.4. Bejelentkezés és a bejelentő lap/vendég- és idegenforgalmi nyilvántartás
Érintett az érkezésekor, a lefoglalt és visszaigazolt szobájának elfoglalása előtt bejelentőlapot tölt ki, amelyben
hozzájárul ahhoz, hogy az Adatkezelő az alább megadott adatokat a vonatkozó jogszabályokban (így különösen
az idegenrendészettel, valamint az idegenforgalmi adóval kapcsolatos jogszabályokban) meghatározott
kötelezettségei teljesítése, illetve a teljesítés bizonyítása, továbbá az érintett beazonosítása céljából mindaddig
kezelje, amíg az illetékes hatóság az adott jogszabályokban meghatározott kötelezettségek teljesítését
ellenőrizheti.

Az adatkezelés célja: a jogszabályoknak (különösen az idegenrendészeti és idegenforgalmi adóval kapcsolatos
jogszabályoknak) történő maradéktalan megfelelés biztosítása, a szálláshely szolgáltatási szerződés létrejötte,
21
továbbá teljesülésének, teljesítésének bizonyítása, valamint az esetleges igényérvényesítés és kapcsolattartás az
érintettel.
A helyi adókról szóló 1990. évi C. törvény felhatalmazása alapján, a helyi önkormányzat idegenforgalmi adó
megállapítására vonatkozó rendelete alapján, kötelező az adatkezelés a név, születési hely és idő, lakcím,
állampolgárság vonatkozásában, így azok az Adatkezelő által nyújtott szolgáltatások igénybe vételének
jogszabályi feltételei.
Adatkezelő felhívja az érintettek figyelmét, hogy tekintettel a 2011. évi CXII. törvény 6.§ 5. bekezdésében
foglaltakra, az érintett által önként megadott adatokat az adóval (különösen az idegenforgalmi adóval)
kapcsolatos jogszabályokból fakadó kötelezettségeinek teljesítése céljából, valamint jogos érdekeinek
érvényesítése céljából, az érintett további külön hozzájárulása nélkül, valamint az érintett hozzájárulásának
visszavonását követően is kezelheti.
A papíralapú bejelentkező lapok és egyéb papíralapú, adatokat tartalmazó iratok őrzésére, tárolására,
megsemmisítésére vonatkozóan az Adatkezelő a jelen szabályzatnak és az Iratkezelési Szabályzatnak
megfelelően jár el.
Az adatkezelés jogalapja: A bejelentkezés, a bejelentő lap kitöltése önkéntes hozzájáruláson alapul, de a
szolgáltatások igénybe vételének feltétele, és a helyi adókról szóló 1990. évi C. törvény által meghatározott
adatok vonatkozásában– ha azokat az érintett önkéntesen megadta -, az adatkezelés kötelező.
A kezelt személyes adatok köre: vezeték- és keresztnév; születési hely, idő; lakcím; telefonszám; e-mail cím;
személyi igazolvány szám; gépkocsi rendszáma; állampolgárság; fizetés módja; érkezés és elutazás dátuma.
Idegenforgalmi adó mentesség megállapításával kapcsolatos ügyben az önkormányzati adóhatóság részére az
alábbi adatok kerülhetnek továbbításra: vezeték- és keresztnév; születési hely, idő; érkezés és elutazás dátuma. A
bejelentő lapon az e-mail cím megadása nem kötelező. A bejelentő lapon az e-mail cím megadásával az érintett
önkéntesen feliratkozik Adatkezelő által működtetett hírlevél szolgáltatásra. Az erre vonatkozó tájékoztatás a
bejelentőlapon került feltüntetésre. A hírlevélre vonatkozóan egyebekben a jelen szabályzatban foglaltak az
irányadóak.
Az adatkezelés időtartama: jogszabály alapján kötelező adatok esetén a felvételtől számított 5 évig, hírlevél
esetén az érintett kérésére törlésig, egyéb adatok vonatkozásában azon jogviszonyból eredő jogok
és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes
adatokat kezeli, olyan adatok vonatkozásában, amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli
elszámolást támasztja alá, az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése alapján legalább
8 évig.
Az adatszolgáltatás elmaradásának lehetséges következményei: nem jön létre szerződés a vendégház
szobára vonatkozóan, vagy nem állapítható meg idegenforgalmi adó-mentesség
3.5. Kamerarendszer
A vendégház területén térfigyelő kamera üzemel az érintettek személyi és vagyoni biztonsága érdekében és
egyéb célokból. Ezek működtetésére az érintettek figyelmét tájékoztató tábla hívja fel a bejáratnál.
Az adatkezelés célja: az adatkezelő tulajdonában álló vagyon védelme, jogsértő cselekmények megelőzése,
bizonyítása.
Az adatkezelés jogalapja: az adatkezelő jogos érdeke. Az adatkezelőnek jogos érdeke fűződik a tulajdonában
álló vagyon megóvásához, a székhelyén történő jogsértések megelőzéséhez, illetve bizonyításához.
A kezelt adatok köre: A vendégház területére belépő személyeknek a képfelvételeken látszódó arcképmása és
egyéb, a megfigyelőrendszer által rögzített személyes adatai. Az adatszolgáltatás automatikus, az ingatlanra
történő belépéssel megtörténik.
Az adatkezelés időtartama: felhasználás hiányában 3 munkanap.
Az adatkezeléssel kapcsolatos további információk: A felvétel tárolásának helye: a

felvételeket fokozott adatbiztonsági intézkedések mellett tároljuk, így biztosított, hogy illetéktelen személyek ne
tekinthessék meg és másolhassák ki a felvételeket. A kamerák aktuális képének megtekintésére, adathordozóra
rögzítésére kizárólag az Adatkezelő erre kijelölt munkavállalója jogosult.
A vendégteret megfigyelő kamerák helye és azok látószöge:
22
Kameras
záma A kamerák helye Terület, amelyre a kamera látószöge irányul
1. vendégház bejárat mellett bejárat, parkoló, terasz
3.6. Vendégkönyv
Érintett a vendégház recepcióján papír alapon elérhető vendégkönyvbe véleményt, megjegyzést írhat adatainak
megadásával párhuzamosan.
Az adatkezelés célja: az, hogy az érintett az Adatkezelő szolgáltatásaival kapcsolatos véleményét
kinyilváníthassa az Adatkezelő szolgáltatásai minőségének javítása érdekében, továbbá
Adatkezelő részéről kapcsolattartás az érintettel esetleges vendégpanasz miatt.
Az adatkezelés jogalapja: az érintett hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont.
A kezelt adatok köre: érintett által megadott adatok, tipikusan: vezeték- és keresztnév, lakcím, e-mail cím,
megjegyzés/vélemény.
Az adatkezelés időtartama: érintett kérésére az azonosíthatóság megszüntethető anonimizálással.
Az adatkezeléssel kapcsolatos további információk: Érintett tudomásul veszi, hogy a vendégkönyvet más
érintettek, és harmadik személyek is elérhetik, ezért a vendégkönyv használatával kifejezetten hozzájárul ahhoz,
hogy a vendégkönyvben meghatározott adatait más érintettek, valamint harmadik személyek is
megismerhessék. Tekintettel arra, hogy Adatkezelő a vendégkönyvben megadott adatokat nem vizsgálja, de a
vendégkönyvet elérhetővé teszi, ezért a vendégkönyv használatáért Adatkezelő felelősséget nem vállal. Ennek
megfelelően érintett a vendégkönyvet körültekintően kell, hogy használja.
3.7. Időpont egyeztetés
Adatkezelő lehetővé teszi az érintettek számára, hogy a következőkben részletezett adataik megadásával az
Adatkezelőtől időpontot kérjenek, amely során személyesen egyeztethetnek az Adatkezelővel
annak szolgáltatásairól, egyéb kérdésekről.
Az adatkezelés célja: az érintett számára időpont biztosítása és kapcsolattartás.
Az adatkezelés jogalapja az érintett hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont.
A kezelt adatok köre: vezeték- és keresztnév, telefonszám, e-mail cím, időpont
Az adatkezelés időtartama: cél megvalósulásáig.
3.8. Megállapodás megkötésével kapcsolatos adatkezelés
Adatkezelő az egyes szolgáltatásainak nyújtását megállapodás előzetes megkötéséhez, mint feltételhez köti.
Az adatkezelés célja: az érintett azonosítása, az érintett számára megfelelő szolgáltatás nyújtása a megállapodás
rendelkezéseinek megfelelően, kapcsolattartás.
Az adatkezelés jogalapja az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik
fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges –
GDPR 6. cikk (1) bekezdés b) pont.
A kezelt adatok köre: vezeték- és keresztnév, telefonszám, e-mail cím, cím, megállapodás megkötéséhez
szükséges további, szerződés tartalmi elemei körébe tartozó adatok, szolgáltatás tárgya, tartalma, díjazás, jogok
és kötelezettségek
Az adatkezelés időtartama: azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének
elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli, olyan
adatok vonatkozásában, amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá,
az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 évig.
3.9. Banki adatokkal kapcsolatos adatkezelés
Adatkezelő lehetővé teszi, hogy érintett a termékek/szolgáltatások ellenértékét bankon keresztül
történő átutalással egyenlítse ki, illetve bankkártya adatainak megadásával bankkártya garanciát nyújtson az általa
igénybe venni kívánt szolgáltatások biztosítékaként.
23
Az adatkezelés célja: az érintett részéről történő pénzügyi teljesítés elősegítése, ellenőrzése.
Az adatkezelés jogalapja a bankon keresztül történő átutalás, és így a kapcsolódó adatok Adatkezelő részére
történő közlése az érintett hozzájárulásán alapul – GDPR 6. cikk (1) bekezdés a) pont.
A kezelt adatok köre: számlabirtokos neve, számlabirtokos bankszámla száma, átutalás közleménye, átutalás
összege, bankkártya adatok (bankkártya száma, kártyán szereplő név, lejárat ideje)
Az adatkezelés időtartama: azonosítási és kapcsolattartási adatok vonatkozásában azon jogviszonyból
eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a
személyes adatokat kezeli, olyan adatok vonatkozásában, amelyek bizonylatokra kerülnek, és a bizonylat a
könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése
alapján legalább 8 év. Bankkártya adatok esetén a szerződésszerű teljesítés megtörténtéig, az igénybevett
szolgáltatások ellenértékének kiegyenlítéséig.
Az adatkezeléssel kapcsolatos további információk: A bank- és üzleti titok megőrzése érdekében
Adatkezelő minden tőle telhetőt megtesz annak érdekében, hogy fenti adatok kizárólag azoknak a Munkatársnak
jusson tudomására, akinek az a feladatai elvégzése érdekében elengedhetetlenül szükséges, és ehhez
megfelelő jogosultsággal rendelkezik. Bankkártya garanciaként kizárólag olyan online felületeken keresztül
fogadunk és kezelünk bankkártya adatokat, melyek megfelelő biztonsági protokollal rendelkeznek.
Az adatkezeléssel érintett tevékenység és folyamat a következő:
a) Érintett a banki átutalást az általa választott és számára elérhető csatornán teszi meg, vagy
bankkártya adatainak megadásával bankkártya garanciát nyújt az általa igénybe venni kívánt
szolgáltatások biztosítékaként.
b) Érintett a banki átutalás megtörténtével, illetve bankkártya adatainak megadásával az
Adatkezelő számára megismerhetővé teszi a fenti adatait.
c) Adatkezelő a banki átutalások esetén különösen a név, összeg, közlemény adatait ellenőrzi.
Bankkártya garancia esetén a megadott adatokat kizárólag akkor kezeli, ha a mindenkori ÁSZFben foglalt lemondási feltételek megsértése esetén a kártyát terhelni jogosult, vagy a
szerződésszerű teljesítés, illetve az igénybevett szolgáltatások kiegyenlítése az érintett előzetes
hozzájárulásával a megadott kártyaadatok alapján történik.
d) A banki átutalás, illetve a bankkártyás fizetés adatait Adatkezelő, könyvelői és számviteli
feladatok ellátásával megbízott adatfeldolgozója felé átadhatja.
Adatfeldolgozó igénybevétele: cégünk könyvelési és egyéb számviteli feladatok ellátásához külső szolgáltató
segítségét veszi igénybe a következők szerint.
Adatfeldolgozó neve Székhelye Adatfeldolgozói feladat leírása
Gold-M Tax Kft
cím:
 7633 Pécs, Építők útja 15/A 1.emelet 4.ajtó
3.10. Egyéb adatkezelések
E tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor adunk tájékoztatást. Tájékoztatjuk
ügyfeleinket, hogy egyes hatóságok, közfeladatot ellátó szervek, bíróságok személyes adatok közlése céljából
megkereshetik cégünket. Cégünk e szervek részére – amennyiben az érintett szerv a pontos célt és az adatok
körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának
megvalósításához elengedhetetlenül szükséges, és amennyiben a megkeresés teljesítését jogszabály írja elő.
4. A személyes adatok tárolásának módja, az adatkezelés biztonsága
Cégünk számítástechnikai rendszerei és más adatmegőrzési helyei a székhelyen és az adatfeldolgozó által bérelt
szervereken találhatók meg. Cégünk a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai
eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
c) változatlansága igazolható (adatintegritás);
d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
24
Különös gondossággal figyelünk az adatok biztonságára, megtesszük továbbá azokat a technikai és szervezési
intézkedéseket és kialakítjuk azokat az eljárási szabályokat, amelyek a GDPR szerinti garanciák érvényre juttatásához
szükségesek. Az adatokat megfelelő intézkedésekkel védjük különösen a jogosulatlan hozzáférés, megváltoztatás,
továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az
alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
Cégünk és partnereink informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, a
számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az üzemeltető a
biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal is gondoskodik. Az adatok napi biztonsági mentése
megoldott. Az adatvédelmi incidensek elkerülése érdekében cégünk minden lehetséges intézkedést megtesz, egy ilyen
incidens bekövetkezése esetén – incidenskezelési szabályzatunk szerint – haladéktalanul fellépünk a kockázatok
minimalizálása, a károk elhárítása érdekében.
5. Az érintettek jogai, jogorvoslati lehetőségek
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a
kötelező adatkezelések kivételével – törlését, visszavonását, élhet adathordozási-, és tiltakozási jogával az adat felvételénél
jelzett módon, illetve az adatkezelő fenti elérhetőségein.
Az érintett kérelmére az információkat elektronikus formában szolgáltatjuk késedelem nélkül, de legkésőbb 30 napon
belül, a vonatkozó szabályzatunknak megfelelően. Az érintetteknek a lenti jogok teljesítésére irányuló kéréseit
díjmentesen teljesítjük.
5.1. Tájékoztatáshoz való jog:
Cégünk megfelelő intézkedéseket hoz annak érdekében, hogy az érintettek részére a személyes adatok kezelésére
vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden
egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően
megfogalmazva, ugyanakkor precíz módon nyújtsa.
A tájékozódáshoz való jog írásban, az 1. pontban megadott kapcsolati elérhetőségeken keresztül gyakorolható.
Az érintett részére kérésére – személyazonosságának igazolását követően – szóban is adható tájékoztatás.
Tájékoztatjuk ügyfeleinket, hogy amennyiben cégünk munkatársainak kétsége támad az érintett
személyazonossága felől, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását
kérhetjük.
5.2. Az érintett hozzáféréshez való joga:
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak
kezelése folyamatban van-e. Amennyiben folyamatban van személyes adat kezelése, az érintett jogosult arra,
hogy a személyes adatokhoz és a következő, a felsorolásban szereplő információkhoz hozzáférést kapjon.
 Az adatkezelés céljai;
 az érintett személyes adatok kategóriái;
 azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy
közölni fogják, ideértve különösen a harmadik országbeli (Európai Unión kívüli) címzetteket, illetve a
nemzetközi szervezeteket;
 a személyes adatok tárolásának tervezett időtartama;
 a helyesbítés, törlés vagy adatkezelés korlátozásának és a tiltakozás joga;
 a felügyeleti hatósághoz címzett panasz benyújtásának joga;
 az adatforrásokra vonatkozó információ; az automatizált döntéshozatal ténye, ideértve a profilalkotást
is, valamint az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés
milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
25
A fentieken túlmenően személyes adatok harmadik országba vagy nemzetközi szervezet részére történő
továbbítása esetén az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozó megfelelő
garanciákról.
5.3. Helyesbítés joga:
E jog értelmében bárki kérheti a cégünk által kezelt, rá vonatkozó, pontatlan személyes adatok helyesbítését és a
hiányos adatok kiegészítését.
5.4. Törléshez való jog:
Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére indokolatlan
késedelem nélkül töröljük a rá vonatkozó személyes adatokat:
g) személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon
kezelték;
h) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más
jogalapja;
i) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
j) a személyes adatok jogellenes kezelése állapítható meg;
k) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség
teljesítéséhez törölni kell;
l) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával
kapcsolatosan került sor.
Az adatok törlése nem kezdeményezhető, ha az adatkezelés a következő célokból szükséges:
e) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
f) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti
kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlása keretében végzett feladat végrehajtása céljából;
g) a népegészségügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy
statisztikai célból, közérdek alapján;
h) vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5.5. Az adatkezelés korlátozásához való jog:
Az érintett kérésére korlátozzuk az adatkezelést a GDPR 18. cikkében fennálló feltételek esetén, tehát ha:
e) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra
vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését;
f) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és e helyett kéri azok felhasználásának
korlátozását
g) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli
azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
h) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg
megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos
indokaival szemben.
Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával,
vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy
jogainak védelme érdekében, vagy az Európai Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni kell.
5.6. Adathordozáshoz való jog:
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat
tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik
adatkezelőnek továbbítsa. Cégünk word vagy excel formátumban tudja teljesíteni az érintett ilyen kérését.
26
5.7. Tiltakozás joga:
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy
bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is,
amennyiben az a közvetlen üzletszerzéshez kapcsolódik. A személyes adatok közvetlen üzletszerzés érdekében
történő kezelése elleni tiltakozás esetén az adatok e célból nem kezelhetők.
5.8. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást:
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a
profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős
mértékben érintené. Nem alkalmazható a fenti jogosultság, ha az adatkezelés
e) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
f) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az
érintett jogainak és szabadságainak, valamint jogos érdekeinek
g) védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
h) az érintett kifejezett hozzájárulásán alapul.
5.9. Visszavonás joga:
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a
hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
5.10. Eljárási szabályok:
Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy
hónapon belül tájékoztatja az érintettet a GDPR 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két
hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak
megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra,
kivéve, ha az érintett azt másként kéri.
Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a
kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának
okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati
jogával.
Az adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy
adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek
bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e
címzettekről.
5.11. Kártérítés és sérelemdíj:
Minden olyan személy, aki az adatvédelmi rendelet megsértésének eredményeként vagyoni vagy nem vagyoni
kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az
adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta
be a jogszabályban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az
adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Ha több adatkezelő vagy
több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és
felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó
egyetemleges felelősséggel tartozik a teljes kárért.
Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző
eseményért őt semmilyen módon nem terheli felelősség.
5.12. Bírósághoz fordulás joga és adatvédelmi hatósági eljárás:
Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron
kívül jár el.
27
Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:
Nemzeti Adatvédelmi és Információszabadság Hatóság
A hatóság címe: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Levelezési címe: 1530 Budapest, Pf.: 5.
Telefon: +36 (1) 391 1400
E-mail ugyfelszolgalat@naih.hu
Web: www.naih.hu
Az Érintettnek joga van más, így különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett
jogsértés helye szerinti európai uniós tagállamban létrehozott, felügyeleti hatóságnál is panaszt tenni.
Kiskorúakat sértő, gyűlöletkeltő, kirekesztő tartalmakkal, helyreigazítással, elhunyt személy jogaival, jó hírnév
megsértésével kapcsolatos jogainak megsértése esetén:
Nemzeti Média- és Hírközlési Hatóság
1015 Budapest, Ostrom u. 23-25.
Levélcím: 1525. Pf. 75
Tel: +36 (1) 457 7100
Fax: +36 (1) 356 5520
E-mail: info@nmhh.hu
6. Egyéb információk
Adatkezelő kijelenti, hogy
 a Tájékoztatónak az időközben módosulandó jogszabályi háttérrel, a Szabályzattal és egyéb belső
szabályzattal való összehangolása miatti megváltoztatására a jogot fenntartja.

28
3. számú melléklet: Adatkezelési tevékenységek nyilvántartása
Adatkezelési tevékenységek nyilvántartása az Európai Unió és a Tanács 2016/679. sz. rendelete (Általános adatvédelmi rendelet – “GDPR”) 30. Cikke alapján
Az adatkezelő adatai:
Cégnév: P-BLASI KFT.
Székhely: 7683 DINNYEBERKI, FŐ UTCA 48.
E-mail: hotel@hotelcentralpecs.hu
Telefon: +36 (20) 490 6255
Honlap: www.hotelcentralpecs.hu