Adatvédelem

HOTEL SILVER

ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZATA

1. A szabályzat célja

A szabályzat célja, hogy a jogszabályi előírásoknak megfelelően az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényre (a továbbiakban: Infotv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 [GDPR] Rendelet rendelkezéseire tekintettel, tájékoztassa az érintetteket a 2. pontban foglalt adatkezelő által kezelt személyes adataik köréről, az adatkezelés céljáról, módjáról, illetve az adatok kezelésével kapcsolatos minden egyéb tényről, így különösen, de nem kizárólagosan az adatkezeléssel kapcsolatos jogaikról és az általuk igénybe vehető jogorvoslati lehetőségekről

2. Az adatkezelő neve, székhelye képviselője

Név: Geotherm Üdülő Kft.
Székhelye: 4200 Hajdúszoboszló, Mátyás király sétány 25.
Törvényes képviselő: Tóth Lajos
Kapcsolattartó adatvédelmi ügyekben: Markovics Andrea adatvédelmi tisztviselő

3. Adatvédelmi tisztviselő neve és elérhetőségei, jogállása, feladatai

Markovics Andrea; email: info@markovicsdpo.com

Az adatvédelmi tisztviselő jogállása Az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Biztosítani kell, hogy az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges források rendelkezésre álljanak. Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval sem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel. Az érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak. Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

 Az adatvédelmi tisztviselő más feladatokat is elláthat, de a feladatokkal kapcsolatban összeférhetetlenség ne álljon fenn.

Az adatvédelmi tisztviselő feladatai:

Tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére;
ellenőrzi az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést;
kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
együttműködik a felügyeleti hatósággal.

4. Adatkezelésre vonatkozó jogszabályok

- Magyarország Alaptörvénye, VI. cikk;

- Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: az „Infotv.”);

- A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU Rendelet (GDPR).

5. A jelen szabályzat által használt fogalmak

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés
adatkezelő (szolgáltató): a vállalkozás, valamint az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi
biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat
címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak
érintett: az a természetes személy, akinek a személyes adatait kezelik
érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez
GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak
Info tv.: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
munkavállaló: a szolgáltatóval munkaviszonyban álló vagy munkavégzésre irányuló egyéb jogviszonyban - különösképpen: szolgáltatási, megbízási szerződés-, álló személy, szerződéses vállalkozó(k) és megbízottjai
profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják
személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható
személyes adatok különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok

6. Adatvédelmi hatásvizsgálat

A természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel. A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel-e a GDPR-nak. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a Nemzeti Adatvédelmi és Információszabadság Hatósággal (NAIH) konzultálni kell.

7. Érdekmérlegelési teszt – jogos érdeken alapuló adatkezelés esetében

A jogos érdek (GDPR 6. § (1) f) pont) alapján történő adatkezelés esetében az érdekmérlegelési teszt elvégzésére a NAIH/2015/3731/2/V állásfoglalása alapján kerül sor. Ennek alapján az érdekmérlegelési teszt egy több lépcsős folyamat, melynek során azonosítani kell az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező adatalanyi érdeket, érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.  Az érdekmérlegelési teszt alkalmazott lépései:

1. lépés – annak vizsgálata, hogy szükséges-e adatkezelés vagy megoldható máshogy
2. lépés – a jogos érdek lehető legpontosabb meghatározása
3. lépés – az adatkezelés céljának meghatározása, milyen személyes adatok, meddig tartó kezelését igényli az adatkezelés
4. lépés – az érintettek szempontjainak meghatározása
5. lépés - a mérlegelés elvégzése

8. A személyes adatok kezelése és védelme

8.1. Adatkezelő feladat és hatásköre, felelőssége

Az elsődleges adatkezelést végző adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével a másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

8.2. Adatfeldolgozó feladat és hatásköre, felelőssége

Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit jelen szabályzat, valamint a vonatkozó jogszabályok keretei között az adatkezelő határozza meg. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozóval kötött szerződésben rögzíteni kell, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót az adatkezelő rendelkezése szerint vehet igénybe, valamint, hogy az adatkezelésre vonatkozó szabályok megsértése a szerződés azonnali hatályú felmondásának is alapjául szolgálhat.

9. Alapelvek és alapvető rendelkezések

- Jogszerűség, tisztességes eljárás és átláthatóság alapelve: 

(Az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie, valamint az érintett számára átláthatónak. )  

- Célhoz kötöttség alapelve:  

(Az Infotv. szerint személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.)  

- Adattakarékosság elve: 

(Az adattakarékosság elve alapján az adatkezelő csak olyan személyes adatot kezelhet, amely az adatkezelés céljának megvalósuláshoz feltétlen szükséges)  

- Pontosság elve: (Az adatkezelő által kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.)

  - Korlátozott tárolhatóság alapelve:

 (A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.)

  - Integritás és bizalmas jelleg elve:  

(A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.)

  - Elszámoltathatóság alapelve:  

(Az adatkezelő felelős az adatkezelési elveknek és szabályoknak való megfelelésért, ezen túlmenően képesnek is kell lennie e megfelelés igazolására.)

  - Adatbiztonság elve:

 (Az adatkezelő az adatkezelési műveleteket úgy tervezi meg és hajtja végre, hogy az Infotv. és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét. Az adatkezelő gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatkezelő az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az adatkezelő megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok - kivéve ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A biztonság fenntartása és a GDPR-t sértő adatkezelés megelőzése érdekében az adatkezelő értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés – mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

10. Érintettek jogai

- Hozzáférés joga:

 (Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon, valamint tájékoztatást kapjon a kezelésükkel kapcsolatos körülményekről. Az adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.  

- A helyesbítéshez való jog: 

(Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, valamint, hogy kérje a hiányos személyes adatok kiegészítését.)  

- A törléshez való jog:  (Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR. 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) ha a személyes adatokat az adatkezelő jogellenesen kezelte;
e) ha a személyes adatokat jogszabály alapján törölni kell;
f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor (gyermek hozzájárulására vonatkozó feltételek).

Az adatot az adatkezelő nem törli, amennyiben az adatkezelés a következő okok valamelyike miatt szükséges:

a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró jog szerinti kötelezettség teljesítése céljából;
c) vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

- Az adatkezelés korlátozásához való jog: 

(Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, amennyiben az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. Az adatkezelés korlátozása estén a korlátozással érintett személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. A korlátozás feloldásáról az adatkezelő előzetesen tájékoztatást nyújt az érintettnek.

- A tiltakozáshoz való jog:  

(Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.)  

- Az adathordozhatósághoz való jog:

 (Az érintett jogosult arra, hogy a rá vonatkozó személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha: a) az adatkezelés a GDPR. 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és b) az adatkezelés automatizált módon történik.)

11. Az adatkezelés részletes szabályai

11.1. Tájékoztatás az adatkezelésről

Az érintettek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles- e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve, ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, ésszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.

A tájékoztatásnak az alábbiakról kell szólnia:

az adatkezelő kilétéről és elérhetőségéről
az adatvédelmi tisztviselő elérhetőségeiről
a személyes adatok kezelésének céljáról, valamint az adatkezelés jogalapjáról
a „jogos érdeken” alapuló adatkezelés esetén ezen jogos érdekekről
a személyes adatok címzettjeiről
az adatkezelés tervezett időtartamáról
az érintett jogairól
arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása
az esetleges automatizált döntéshozatalról, ideértve a profilalkotást is.
az érintettek jogorvoslati lehetőségeiről

11.2 Az adatkezelés jogszerűsége

A személyes adatok kezelése akkor jogszerű, ha az adatkezelő az adatkezeléshez az adatkezeléshez az alábbi jogalapok valamelyikével rendelkezik:

az érintett hozzájárulását adta személyes adatainak kezeléséhez
az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél
az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges
az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges
az adatkezelés közérdekű feladat végrehajtásához szükséges
az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.

11.3 Az adatkezelési nyilvántartás tartalmazza:

az adatkezelés célját,
adatok fajtáját,
kezelésének jogalapját,
érintettek körét,
adatok forrását,
adatra vonatkozó esetleges továbbításának fajtáját, címzettjét és jogalapját,
az adott adatfajta törlésének határidejét,
amennyiben az adattal kapcsolatosan adatfeldolgozás történik, az adatfeldolgozó adatait, adatfeldolgozás helyét, az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét.

11.4. Adatkezelés időtartama

Az adatokat csak a lehető legrövidebb ideig lehet tárolni. Ennek az időtartamnak a meghatározásánál figyelembe kell venni, hogy az adatkezelő milyen okból végez adatkezelést, valamint az adatok meghatározott ideig történő megőrzésére irányuló jogi kötelmeket.

11.5. Belső adattovábbítás

Az adatkezelő szervezetén belül személyes adatok csak a célhoz kötöttség elvének megfelelően továbbíthatók, és csak megfelelő cél esetén biztosítható az adatokhoz hozzáférési jog.

11.6. Adattovábbítás harmadik személyek részére

Személyes adatot továbbítani harmadik személy részére csak törvény alapján, vagy az érintett hozzájárulásával lehet, ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az adattovábbítást megelőzően az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e. Ugyanazon adatkezelők számára történő, azonos érintettre vonatkozó, és azonos célú adattovábbítás előtt az adattovábbítás jogszerűségének vizsgálatába az adatvédelmi tisztviselőt is be kell vonni. Az ezt követő adattovábbítások során külön vizsgálatot lefolytatni nem kell. Az adatvédelmi tisztviselő az adattovábbításról adattovábbítási nyilvántartást köteles vezetni, és a szabályoknak megfelelően tárolni. Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) kell megőrizni.

Az adattovábbítási nyilvántartás tartalmazza:

az adattovábbító által kezelt személyes adatok továbbításának időpontját,
a továbbított adatok körét,
az adattovábbítás jogalapját és címzettjét (név, cím, székhely),
az adattovábbításért felelős nevét és telefonszámát.

11.7 Adattovábbítás külföldre vagy harmadik országba

Az adattovábbítást megelőzően – az adatvédelmi tisztviselő bevonásával – az adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.

11.8 Az adatkezelőnél különleges adatok kezelésére nem kerül sor, ideértve a biometrikus adatokat.

12. Adatvédelmi incidens

Adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

12.1 Adatvédelmi incidens bejelentése

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

12.2 Adatvédelmi incidens kivizsgálása, kezelése

Az adatvédelmi tisztviselő a bejelentést megvizsgálja, a bejelentőtől adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.
Az adatszolgáltatásnak tartalmaznia kell:

az incidens bekövetkezésének időpontját és helyét
az incidens leírását, körülményeit, hatásait
az incidens során érintet adatok körét, számosságát
az adatokkal érintett személyek körét
az incidens elhárítása érdekében tett intézkedések leírását,
a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

Az adatvédelmi tisztviselő javaslatot tesz a szükséges intézkedésre. Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedések végrehajtását követő 2 munkanapon belül köteles az adatvédelmi tisztviselőt tájékoztatni.

12.3 Adatvédelmi incidensek nyilvántartása

Az adatkezelő köteles az adatvédelmi incidensek nyilvántartására. A GDPR értelmében az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy képes legyen a sebezhetőségek és biztonsági incidensek felderítésére és értékelésére. Így, az adatvédelmi incidensek dokumentálásán felül az adatkezelő köteles megfelelő folyamatokat és intézkedéseket alkalmazni abból a célból, hogy a biztonsági incidenseket időben felderítse és kezelje.

13. A jelen szabályzat hatálya, módosítása

A jelen (módosított) szabályzat 2024. január 1. napján lép hatályba. A szabályzatot az adatkezelő bármikor jogosult önállóan módosítani - amennyiben a módosítás a hatályos jogszabályokba nem ütközik. A szabályzat az adatkezelő székhelyén tekinthető meg.
Hajdúszoboszló, 2024.01.01.

Weboldal látogató adatainak kezelése
Kezelt adatok köre	a weboldal felhasználó látogatásának kezdő és befejező időpontja, IP címe és egyéb rögzített böngészési adatok (cookie)
Adatkezelés célja	a honlap látogatóinak azonosítása, böngészési szokások megismerése, a felhasználói élmény növelése
Adatkezelés jogalapja	az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/
Adatok forrása	az érintettől
Adatok törlésének határideje	az érintett hozzájárulásának visszavonásáig

Direkt marketing (hírlevél küldése)
Kezelt adatok köre	név és e-mail cím
Adatkezelés célja	marketing és remarketing cél, az adatkezelő szolgáltatásának népszerűsítése on-line hírlevél kiküldésével
Adatkezelés jogalapja	az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/
Adatok forrása	az érintettől
Adatok törlésének határideje	az érintett hozzájárulásának visszavonásáig

Ajánlatkérés
Kezelt adatok köre	név, e-mail cím, telefonszám, lakcíme, szolgáltatást igénybe venni kívánó személyek száma, (gyermekek száma, életkora)
Adatkezelés célja	kapcsolatfelvétel, kapcsolattartás, személyre szabott ajánlatok kiküldése
Adatkezelés jogalapja	szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/
Adatok forrása	az érintettől
Adatok törlésének határideje	- sikeres ajánlatkérés esetén a foglalásra vonatkozó szabályok szerint, - az ajánlat visszautasítása esetén a visszautasítás napjáig, - amennyiben az ajánlatra válasz nem érkezik, az ajánlati kötöttség lejártát követő napig

Közvetlen foglalás
Kezelt adatok köre	név, e-mail cím, telefonszám, lakcíme, szolgáltatást igénybe venni kívánó személyek száma, (gyermekek száma, életkora)
Adatkezelés célja	szobafoglalás lebonyolítása
Adatkezelés jogalapja	szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/, jogszabályon (1990. évi C. tv. 30-31.§) alapuló adatkezelés a születési idő tekintetében /GDPR 6. cikk (1) bekezdés c) pont/
Adatok forrása	az érintettől
Adatok törlésének határideje	- a foglalás során kapott személyes adatok kezelésére az érintettel fennálló szerződéses jogviszony fennállásának időtartamáig kerül sor Kivéve: - név lakcím: a számvitelről szóló 2000. évi C. törvény 169. § alapján 8 évig - a vendégek neve életkora: az adózás rendjéről szóló 2017 I7évi CL. törvény 78.§ (3) és 202.§ (1) alapján a tárgyévet követő 5. év utolsó napjáig

Foglalás közvetítőkön keresztül
Kezelt adatok köre	név, e-mail cím, telefonszám, szolgáltatást igénybe venni kívánó személyek száma, (gyermekek száma, életkora) és bizonyos esetekben bankkártya adatok
Adatkezelés célja	szobafoglalás lebonyolítása
Adatkezelés jogalapja	szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/, jogszabályon (1990. évi C. tv. 30-31.§) alapuló adatkezelés a születési idő tekintetében /GDPR 6. cikk (1) bekezdés c) pont/
Adatok forrása	önálló adatkezelőnek minősülő on-line közvetítő cégektől, utazási irodáktól
Adattovábbítás	az online foglalási oldalak és utazási irodák önálló adatkezelőnek minősülnek, ebben a folyamatban adatfeldolgozó igénybe vételére nem kerül sor
Adatok törlésének határideje	- a foglalás során kapott személyes adatok kezelésére az érintettel fennálló szerződéses jogviszony fennállásának időtartamáig kerül sor Kivéve: - név lakcím: a számvitelről szóló 1990 évi C. törvény 169. § alapján 8 évig - a vendégek neve életkora: az adózás rendjéről szóló 2017 I7évi CL. törvény 78.§ (3) és 202.§ (1) alapján a a tárgyévet követő 5. év utolsó napjáig

Ajándékutalvány rendelése
Kezelt adatok köre	vásárló neve, e-mail címe, telefonszáma, postázási címe, számlázási címemegajándékozott(ak) neve, gyermekeinek száma, azok életkora
Adatkezelés célja	ajándékutalvány szolgáltatás nyújtása
Adatkezelés jogalapja	szerződés teljesítése /GDPR 6. cikk (1) bekezdés b) pont/
Adatok forrása	a vásárló adatai az érintettől, a megajándékozott adatai pedig a vásárlótól
Adatok törlésének határideje	A számlázáshoz nem szükséges adatok kezelésére 1 évig, vagy - ha ez hamarabb következik be - az utalvány beváltásig kerül sor.

Nyereményjáték lebonyolítása
Kezelt adatok köre	név, e-mail cím
Adatkezelés célja	nyereményjáték lebonyolítása a szálloda szolgáltatásainak népszerűsítése céljából
Adatkezelés jogalapja	az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/
Adatok forrása	az érintettől
Adattovábbítás	nem kerül sor
Adatok törlésének határideje	A részvevők adatai a sorsolást követő 5 napig, a nyertes adatai pedig a nyeremény kézbesítését követő 5 napig kerülnek tárolásra.

Törzsvendégprogram
Kezelt adatok köre	név, a korábbi szállodai tartózkodások száma
Adatkezelés célja	kedvezmények biztosítása, az értékesítés fokozása, törzsvendégkör kialakítása
Adatkezelés jogalapja	az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/
Adatok forrása	az érintettől, saját nyilvántartásokból
Adattovábbítás	nem kerül sor
Adatok törlésének határideje	az érintett hozzájárulásának visszavonásáig

Számlázás
Kezelt adatok köre	név, lakcím, bankkártya adatok
Adatkezelés célja	ellenérték fejében igénybe vett szolgáltatás ellenértékének elszámolása, számlázási kötelezettség teljesítése
Adatkezelés jogalapja	A számvitelről szóló 2000. évi C. törvény 169.§-ban foglalt jogszabályi kötelezettség teljesítése /GDPR 6. cikk (1) bekezdés c) pont/
Adatok forrása	az érintettől
Adatok törlésének határideje	a számvitelről szóló 2000. évi C. törvény 169. § alapján 8 évig

Turizmus törvény 9/H § szerinti adatkezelés NTAK
Kezelt adatok köre	1. a szálláshely-szolgáltatást igénybe vevő - családi és utóneve, - születési családi és utóneve, - születési helyét és ideje, nemét, állampolgársága - anyja születési családi és utóneve, - személyazonosításra alkalmas okmányának, illetve úti okmányának azonosító adatai, harmadik országbeli állampolgár esetében a vízum vagy tartózkodási engedély száma, a beutazás időpontja és helye, 2. a szálláshely-szolgáltatás címe, a szálláshely igénybevételének kezdő és várható befejezési időpontja,
Adatkezelés célja	az érintett és mások jogainak, biztonságának és tulajdonának védelme érdekében, továbbá harmadik országbeli állampolgárok és a szabad mozgás és tartózkodás jogával rendelkező személyek tartózkodására vonatkozó rendelkezések betartásának ellenőrzése céljából
Adatkezelés jogalapja	A turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI törvény 9/H.§ szerint jogszabályi kötelezettség teljesítése /GDPR 6. cikk (1) bekezdés c) pont/
Adatok forrása	az érintettől
Adattovábbítás	Magyar Turizmus Ügynökség részére
Adatok törlésének határideje	A tudomásra jutást követő első év utolsó napja

Fotózás, videofelvétel
Kezelt adatok köre	a vendég és gyermeke képmása
Adatkezelés célja	a szálloda népszerűsítése közösségi oldalakon keresztül
Adatkezelés jogalapja	az érintett hozzájárulása /GDPR 6. cikk (1) bekezdés a) pont/
Adatok forrása	a megbízott fotóstól
Adattovábbítás	nem kerül sor
Adatok törlésének határideje	az érintett hozzájárulásának visszavonásáig

Az adatkezelési tevékenység megnevezése	Online foglalás
Az adatkezelő neve	GEOTHERM ÜDÜLŐ KFT
Az adatkezelő elérhetősége	4200 HAJDÚSZOBOSZLÓ, MÁTYÁS KIRÁLY SÉTÁNY 25.
Az adatkezelés célja	a szobafoglalási folyamat egyszerűsítése, az online foglalás zökkenőmentessé és kényelmesebbé tétele
Az adatkezelés jogalapja	Foglaló személyes adatai az alábbiak szerint: - név - e-mail cím - telefonszám - lakcím (ország, irányítószám, város, utca, házszám) - IP-cím (online azonosító)
A személyes adatok kezelésének előirányzott időtartama	a hozzájárulás visszavonásáig.
Az érintett által megadott személyes adatok szükségessége	az érintett által indított online szobafoglalási folyamat, illetve online fizetés esetén a tranzakció megvalósulása
Az adatkezelési tevékenységhez adatfeldolgozók igénybevétele szükséges	igen

AZ ADATFELDOLGOZÓ MEGNEVEZÉSE
Az adatfeldolgozó neve	MORGENS Design Kft.
Az adatfeldolgozó címe	8800 Nagykanizsa, Magyar utca 79.
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Tárhely.Eu Szolgáltató Kft. (1144 Budapest, Ormánság utca 4. X. emelet 241.) szerverén az online foglalás modul működtetése, a beérkező online foglalások zárt rendszerben történő tárolása, foglalások visszaigazolásának lehetővé tétele
Az adatfeldolgozó neve	Rocket Science Group
Az adatfeldolgozó címe	675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Mandrill szoftverén keresztül elektronikus levélküldés funkció biztosítása az online foglalás rögzítéséről, visszaigazolás elkészítéséről, vendégértékelés funkció használatáról
Az adatfeldolgozó neve	OTP Bank Nyrt.
Az adatfeldolgozó címe	1051 Budapest, Nádor utca 16.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és az OTP Bank Nyrt. (fizetési szolgáltató) elektronikus rendszere között, a tranzakció státuszának visszaigazolása
Az adatfeldolgozó neve	OTP Mobil Kft.
Az adatfeldolgozó címe	1093 Budapest, Közraktár u. 30-32.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és a SimplePay by OTP Mobil (fizetési szolgáltató) elektronikus rendszere között, a tranzakció státuszának visszaigazolása
Az adatfeldolgozó címe	1027 Budapest, Medve u. 4-14.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és a CIB Bank Zrt. (fizetési szolgáltató) elektronikus rendszere között, a tranzakció státuszának visszaigazolása
Az adatfeldolgozó neve	BIG FISH Internet-technológiai Kft.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és a Payment Gateway online fizetési rendszert üzemeltető fizetési szolgáltató elektronikus rendszere között, a tranzakció státuszának visszaigazolása.
Adatok címzettjei	A vállalkozás; a vállalkozás munkavállalói; a szerződés teljesítése – ideértve az szerződésből eredő igényérvényesítést is – érdekében megbízottak;
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás	nincs/van
Automatizált döntéshozatal / profilalkotás	nincs/van
Az érintetti jogok	Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, tiltakozhat az ilyen személyes adatok kezelése ellen, valamint joga van az adathordozhatósághoz. Hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.
Adatszolgáltatás elmaradásának lehetséges következményei	az érintett nem tudja igénybe venni a vállalkozás által nyújtott szolgáltatást
Felügyeleti hatósághoz panasz	Adatkezelési Tájékoztató és Adatkezelési Szabályzatban foglaltak szerint nyújtható be. Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel, problémával fordulhat az Adatkezelőhöz a fent megadott elérhetőségeken. Az érintett jogainak megsértése esetén bírósághoz fordulhat. Az érintett az adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1055 Budapest, Falk Miksa utca 9-11; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) is fordulhat.

Az adatkezelési tevékenység megnevezése	Online ajánlatkérés
Az adatkezelő neve	GEOTHERM ÜDÜLŐ KFT
Az adatkezelő elérhetősége	4200 HAJDÚSZOBOSZLÓ, MÁTYÁS KIRÁLY SÉTÁNY 25.
Az adatkezelés célja	az ajánlatkérési folyamat egyszerűsítése kötelezettségek nélkül, az adatkezelő által készített személyre szabott ajánlat megtekinthetősége
Az adatkezelés jogalapja	az online ajánlatkérést kezdeményező személy kifejezett és önkéntes, előzetes hozzájárulása
A kezelt személyes adatok megnevezése	Ajánlatkérő személyes adatai az alábbiak szerint: - név - e-mail cím - telefonszám - lakcím (ország, irányítószám, város, utca, házszám) - IP-cím (online azonosító)
A személyes adatok kezelésének előirányzott időtartama	a hozzájárulás visszavonásáig
Az érintett által megadott személyes adatok szükségessége	az érintett által indított online ajánlatkérési folyamat megvalósulása, az ajánlat megfelelősége esetén a későbbi online foglalási folyamat zökkenőmentessé, hatékonyabbá és gyorsabbá tétele
Az adatkezelési tevékenységhez adatfeldolgozók igénybevétele szükséges	igen

AZ ADATFELDOLGOZÓ MEGNEVEZÉSE
Az adatfeldolgozó neve	MORGENS Design Kft.
Az adatfeldolgozó címe	8800 Nagykanizsa, Magyar utca 79.
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Tárhely.Eu Szolgáltató Kft. (1144 Budapest, Ormánság utca 4. X. emelet 241.) szerverén az online ajánlatkérés modul működtetése, a beérkező online ajánlatkérések zárt rendszerben történő tárolása, ajánlatkérések megválaszolásának lehetővé tétele
Az adatfeldolgozó neve	Rocket Science Group
Az adatfeldolgozó címe	675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Mandrill szoftverén keresztül elektronikus levélküldés funkció biztosítása az online ajánlatkérés rögzítéséről, az ajánlat elkészítéséről, annak érvényességéről
Adatok címzettjei	A vállalkozás; a vállalkozás munkavállalói; a szerződés teljesítése – ideértve az szerződésből eredő igényérvényesítést is – érdekében megbízottak;
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás	nincs/van
Automatizált döntéshozatal / profilalkotás	nincs/van
Az érintetti jogok	Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, tiltakozhat az ilyen személyes adatok kezelése ellen, valamint joga van az adathordozhatósághoz. Hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.
Adatszolgáltatás elmaradásának lehetséges következményei	az érintett nem tudja igénybe venni a vállalkozás által nyújtott szolgáltatást
Felügyeleti hatósághoz panasz	Adatkezelési Tájékoztató és Adatkezelési Szabályzatban foglaltak szerint nyújtható be. Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel, problémával fordulhat az Adatkezelőhöz a fent megadott elérhetőségeken. Az érintett jogainak megsértése esetén bírósághoz fordulhat. Az érintett az adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1055 Budapest, Falk Miksa utca 9-11; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) is fordulhat.

Az adatkezelési tevékenység megnevezése	ROOMSOME LOYALTY
Az adatkezelő neve	GEOTHERM ÜDÜLŐ KFT
Az adatkezelő elérhetősége	4200 HAJDÚSZOBOSZLÓ, MÁTYÁS KIRÁLY SÉTÁNY 25.
Az adatkezelés célja	egyedi kedvezmények, egyedi ajánlatok és promóciók biztosítása a szálloda törzsvendégei számára, honorálva ezáltal a lojalitást
Az adatkezelés jogalapja	a regisztrációt kezdeményező személy kifejezett és önkéntes, előzetes hozzájárulása
A kezelt személyes adatok megnevezése	a regisztrált vendég személyes adatai az alábbiak szerint: - név - e-mail cím - telefonszám - lakcím (ország, irányítószám, város, utca, házszám) - születésnap - hozzátartozók nevei, rokoni kapcsolatai - meghívott személyek neve - meghívott személyek e-mail címe - törzsvendég státusza, szintje, kedvezmények, ajánlatkérés és foglalás során gyűjtött vagy beváltott pontok - törzsvendég ajánlatkérései, foglalásai - IP-cím (online azonosító)
A személyes adatok kezelésének előirányzott időtartama	a törzsvendégprogramba történő regisztrációtól számítva a programból történő kilépésig
Az érintett által megadott személyes adatok szükségessége	Az érintett által indított foglalási folyamat során történő törzsvendéghez kapcsolódó kedvezmények (%-os és/vagy pontbeváltás/pontjóváírás) biztosítása, majd az érvényre jutás után a foglalási folyamat zökkenőmentes véglegesítése.
Az adatkezelési tevékenységhez adatfeldolgozók igénybevétele szükséges	igen

AZ ADATFELDOLGOZÓ MEGNEVEZÉSE
Az adatfeldolgozó neve	MORGENS Design Kft.
Az adatfeldolgozó címe	8800 Nagykanizsa, Magyar utca 79.
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Tárhely.Eu Szolgáltató Kft. (1144 Budapest, Ormánság utca 4. X. emelet 241.) szerverén az online ajánlatkérés modul működtetése, a beérkező online ajánlatkérések zárt rendszerben történő tárolása, ajánlatkérések megválaszolásának lehetővé tétele
Az adatfeldolgozó neve	Rocket Science Group
Az adatfeldolgozó címe	675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Mandrill szoftverén keresztül elektronikus levélküldés funkció biztosítása az online ajánlatkérés rögzítéséről, az ajánlat elkészítéséről, annak érvényességéről
Az adatfeldolgozó neve	ActiveCampaign, LLC
Az adatfeldolgozó címe	1 N Dearborn Street, Suite 500, Chicago, IL 60602
Az adatkezelő nevében folytatott adatfeldolgozás célja	az ActiveCampaign, LLC Postmark levélküldő szerverein keresztül elektronikus levélküldés funkció biztosítása, Promóciós levelek küldés céljából.
Adatok címzettjei	A vállalkozás; a vállalkozás munkavállalói; a szerződés teljesítése – ideértve az szerződésből eredő igényérvényesítést is – érdekében megbízottak;
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás	nincs/van
Automatizált döntéshozatal / profilalkotás	nincs/van
Adatszolgáltatás elmaradásának lehetséges következményei	az érintett nem tudja igénybe venni a vállalkozás által nyújtott szolgáltatást
Felügyeleti hatósághoz panasz	Adatkezelési Tájékoztató és Adatkezelési Szabályzatban foglaltak szerint nyújtható be. Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel, problémával fordulhat az Adatkezelőhöz a fent megadott elérhetőségeken. Az érintett jogainak megsértése esetén bírósághoz fordulhat. Az érintett az adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1055 Budapest, Falk Miksa utca 9-11; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) is fordulhat.

Az adatkezelési tevékenység megnevezése	ONLINE AJÁNDÉKUTALVÁNY RENDELÉS
Az adatkezelő neve	GEOTHERM ÜDÜLŐ KFT
Az adatkezelő elérhetősége	4200 HAJDÚSZOBOSZLÓ, MÁTYÁS KIRÁLY SÉTÁNY 25.
Az adatkezelés célja	az online ajándékutalvány megrendelési folyamat egyszerűsítése, kényelmesebbé tétele
Az adatkezelés jogalapja	az online ajándékutalvány megrendelés folyamatában online fizetést kezdeményező személy kifejezett és önkéntes, előzetes hozzájárulása
A kezelt személyes adatok megnevezése	Ajándékutalványt megrendeléshez kezelt személyes adatok az alábbiak szerint: - vásárló neve - vásárló e-mail címe - vásárló telefonszáma - vásárló postázási címe (ország, irányítószám, város, utca, házszám) - vásárló számlázási címe (ország, irányítószám, város, utca, házszám) - vásárló IP-címe (online azonosító) - megajándékozott(ak) neve
A személyes adatok kezelésének előirányzott időtartama	a hozzájárulás visszavonásáig
Az érintett által megadott személyes adatok szükségessége	az érintett által indított ajándékutalvány megrendelési folyamat egyszerű, kényelmes megvalósulásának lehetősége.
Az adatkezelési tevékenységhez adatfeldolgozók igénybevétele szükséges	igen

AZ ADATFELDOLGOZÓ MEGNEVEZÉSE
Az adatfeldolgozó neve	MORGENS Design Kft.
Az adatfeldolgozó címe	8800 Nagykanizsa, Magyar utca 79.
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Tárhely.Eu Szolgáltató Kft. (1144 Budapest, Ormánság utca 4. X. emelet 241.) szerverén az online ajándékutalvány rendelés modul működtetése, a beérkező ajándékutalvány megrendelések zárt rendszerben történő tárolása, ajándékutalványok online formában küldésének lehetővé tétele
Az adatfeldolgozó neve	Rocket Science Group
Az adatfeldolgozó címe	675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Mandrill szoftverén keresztül elektronikus levélküldés funkció biztosítása az online ajándékutalvány megrendelés rögzítéséről
Az adatfeldolgozó neve	OTP Bank Nyrt.
Az adatfeldolgozó címe	1051 Budapest, Nádor utca 16.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és az OTP Bank Nyrt. (fizetési szolgáltató) elektronikus rendszere között, a tranzakció státuszának visszaigazolása.
Az adatfeldolgozó neve	OTP Mobil Kft.
Az adatfeldolgozó címe	1093 Budapest, Közraktár u. 30-32.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és a SimplePay by OTP Mobil (fizetési szolgáltató) elektronikus rendszere között, a tranzakció státuszának visszaigazolása
Az adatfeldolgozó címe	1027 Budapest, Medve u. 4-14.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és a CIB Bank Zrt. (fizetési szolgáltató) elektronikus rendszere között, a tranzakció státuszának visszaigazolása
Az adatfeldolgozó neve	BIG FISH Internet-technológiai Kft.
Az adatfeldolgozó címe	1066 Budapest, Nyugati tér 1-2.
Az adatkezelő nevében folytatott adatfeldolgozás célja	Az online fizetési tranzakcióhoz szükséges adatkommunikáció lebonyolításának biztosítása a …… (szálláshelyet üzemeltető cég/vállalkozás) és a Payment Gateway online fizetési rendszert üzemeltető fizetési szolgáltató elektronikus rendszere között, a tranzakció státuszának visszaigazolása
Adatok címzettjei	A vállalkozás; a vállalkozás munkavállalói; a szerződés teljesítése – ideértve az szerződésből eredő igényérvényesítést is – érdekében megbízottak;
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás	nincs/van
Automatizált döntéshozatal / profilalkotás	nincs/van
Az érintetti jogok	Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, tiltakozhat az ilyen személyes adatok kezelése ellen, valamint joga van az adathordozhatósághoz. Hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.
Adatszolgáltatás elmaradásának lehetséges következményei	az érintett nem tudja igénybe venni a vállalkozás által nyújtott szolgáltatást
Felügyeleti hatósághoz panasz	Adatkezelési Tájékoztató és Adatkezelési Szabályzatban foglaltak szerint nyújtható be. Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel, problémával fordulhat az Adatkezelőhöz a fent megadott elérhetőségeken. Az érintett jogainak megsértése esetén bírósághoz fordulhat. Az érintett az adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1055 Budapest, Falk Miksa utca 9-11; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) is fordulhat.

Az adatkezelési tevékenység megnevezése	HÍRLEVÉL FELIRATKOZÁS
Az adatkezelő neve	GEOTHERM ÜDÜLŐ KFT
Az adatkezelő elérhetősége	4200 HAJDÚSZOBOSZLÓ, MÁTYÁS KIRÁLY SÉTÁNY 25.
Az adatkezelés célja	kapcsolattartás, tájékoztatás
Az adatkezelés jogalapja	a hírlevél feliratkozást kezdeményező személy kifejezett és önkéntes, előzetes hozzájárulása
A kezelt személyes adatok megnevezése	Hírlevél feliratkozáshoz kezelt személyes adatok az alábbiak szerint: - feliratkozó neve - feliratkozó e-mail címe - feliratkozó IP-címe (online azonosító) - feliratkozás dátuma - feliratkozás forrása - feliratkozás státusza - feliratkozás státuszának dátuma
A személyes adatok kezelésének előirányzott időtartama	a hozzájárulás visszavonásáig, a hírlevélről történő leiratkozásig
Az érintett által megadott személyes adatok szükségessége	az érintett érdeklődési körébe tartozó szálláshely kiemelt ajánlatainak, aktuális programjainak megismerése, esetleges egyedi promóciókkal kapcsolatos információszerzés lehetősége
Az adatkezelési tevékenységhez adatfeldolgozók igénybevétele szükséges	igen

AZ ADATFELDOLGOZÓ MEGNEVEZÉSE
Az adatfeldolgozó neve	MORGENS Design Kft.
Az adatfeldolgozó címe	8800 Nagykanizsa, Magyar utca 79.
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Tárhely.Eu Szolgáltató Kft. (1144 Budapest, Ormánság utca 4. X. emelet 241.) szerverén zárt, online, azonosítóval és jelszóval védett Zadír MailR rendszer tárhelyének biztosítása az adatkezelő részére az általa meghatározott belépési fiókhoz hírlevélküldés céljából
Az adatfeldolgozó neve	Mailgun Technologies, Inc.
Az adatfeldolgozó címe	535 Mission St., 14th Floor San Francisco, California 94105
Az adatkezelő nevében folytatott adatfeldolgozás célja	az Mailgun Technologies, Inc. levélküldő szerverein keresztül elektronikus levélküldés funkció biztosítása hírlevélküldés céljából
Az adatfeldolgozó neve	ActiveCampaign, LLC
Az adatfeldolgozó címe	1 N Dearborn Street, Suite 500, Chicago, IL 60602
Az adatkezelő nevében folytatott adatfeldolgozás célja	az ActiveCampaign, LLC Postmark levélküldő szerverein keresztül elektronikus levélküldés funkció biztosítása, hírlevélküldés céljából.
Adatok címzettjei	A vállalkozás; a vállalkozás munkavállalói; a szerződés teljesítése – ideértve az szerződésből eredő igényérvényesítést is – érdekében megbízottak;
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás	nincs/van
Automatizált döntéshozatal / profilalkotás	nincs/van
Adatszolgáltatás elmaradásának lehetséges következményei	az érintett nem tudja igénybe venni a vállalkozás által nyújtott szolgáltatást
Felügyeleti hatósághoz panasz	Adatkezelési Tájékoztató és Adatkezelési Szabályzatban foglaltak szerint nyújtható be. Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel, problémával fordulhat az Adatkezelőhöz a fent megadott elérhetőségeken. Az érintett jogainak megsértése esetén bírósághoz fordulhat. Az érintett az adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1055 Budapest, Falk Miksa utca 9-11; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) is fordulhat.

Az adatkezelési tevékenység megnevezése	ZADÍR TICKET
Az adatkezelő neve	GEOTHERM ÜDÜLŐ KFT
Az adatkezelő elérhetősége	4200 HAJDÚSZOBOSZLÓ, MÁTYÁS KIRÁLY SÉTÁNY 25.
Az adatkezelés célja	a jegyértékesítési folyamat egyszerűsítése, az online megrendelés zökkenőmentessé és kényelmesebbé tétele
Az adatkezelés jogalapja	a megrendelést kezdeményező személy kifejezett és önkéntes, előzetes hozzájárulása
A kezelt személyes adatok megnevezése	a megrendelő személyes adatai az alábbiak szerint: - vezetéknév - keresztnév - e-mail cím - telefonszám - számlázási cím (ország, irányítószám, település, utca, házszám, emelet/ajtó/egyéb) - céges vásárló esetén cégnév és adószám - születésnap - IP-cím (online azonosító)
A személyes adatok kezelésének előirányzott időtartama	a hozzájárulás visszavonásáig
Az érintett által megadott személyes adatok szükségessége	Az érintett által indított online jegyvásárlási folyamat, illetve online fizetés esetén a tranzakció megvalósulása.
Az adatkezelési tevékenységhez adatfeldolgozók igénybevétele szükséges	igen

AZ ADATFELDOLGOZÓ MEGNEVEZÉSE
Az adatfeldolgozó neve	MORGENS Design Kft.
Az adatfeldolgozó címe	8800 Nagykanizsa, Magyar utca 79.
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Tárhely.Eu Szolgáltató Kft. (1144 Budapest, Ormánság utca 4. X. emelet 241.) szerverén az online jegyértékesítő modul működtetése, a beérkező online megrendelések zárt rendszerben történő tárolása
Az adatfeldolgozó neve	Rocket Science Group.
Az adatfeldolgozó címe	675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308
Az adatkezelő nevében folytatott adatfeldolgozás célja	a Mandrill szoftverén keresztül elektronikus levélküldés funkció biztosítása az online jegyvásárlás rögzítéséről, a jegy kiküldéséről, annak érvényességéről és felhasználhatóságáról
Adatok címzettjei	A vállalkozás; a vállalkozás munkavállalói; a szerződés teljesítése – ideértve az szerződésből eredő igényérvényesítést is – érdekében megbízottak;
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás	nincs/van
Automatizált döntéshozatal / profilalkotás	nincs/van
Az érintetti jogok	Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, tiltakozhat az ilyen személyes adatok kezelése ellen, valamint joga van az adathordozhatósághoz. Hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.
Adatszolgáltatás elmaradásának lehetséges következményei	az érintett nem tudja igénybe venni a vállalkozás által nyújtott szolgáltatást
Felügyeleti hatósághoz panasz	Adatkezelési Tájékoztató és Adatkezelési Szabályzatban foglaltak szerint nyújtható be. Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel, problémával fordulhat az Adatkezelőhöz a fent megadott elérhetőségeken. Az érintett jogainak megsértése esetén bírósághoz fordulhat. Az érintett az adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1055 Budapest, Falk Miksa utca 9-11; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) is fordulhat.