II. Tájékoztatás személyes adatok kezelésről
Az érintettet – egyértelműen, közérthetően és részletesen – a jelen szabályzatban foglaltak szerint tájékoztatja az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról, jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyekről, az adatkezelés időtartalmáról, arról, ha az érintett személyes adatait az adatkezelő az érintett hozzájárulásával és az adatkezelőre vonatkozó jogi kötelezettség teljesítése vagy harmadik személy jogos érdekének érvényesítése céljából kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatás kiterjed az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. A tájékoztatás tartalmát az UNI-HOSTEL munkatársai kötelezően elsajátítják.
III. Az adatkezelés jogalapja
Szállodai szolgáltatások esetén az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés b) pontja szerinti a szállodai szolgáltatásra vonatkozóan létrejövő szerződés teljesítése. A Miskolci Egyetem által bérelt férőhelyek esetében a bérlő (vendég) személyi adatlapot, a szállodai szolgáltatások igénybevételekor a vendég bejelentőlapot tölt ki, illetve csoportos szobafoglalás esetén (vendégnévsor) személyes adatait a szerződő/szervező fél továbbítja az UNI-HOSTEL Diákotthon felé. Felhívjuk az UNI-HOSTEL Diákotthon részére adatközlők figyelmét, hogy amennyiben nem saját személyes adataikat adják meg, az adatközlő kötelezettsége az érintett tájékoztatása az adatkezelésről. Cselekvőképtelen és 16 éven aluli korlátozottan cselekvőképes kiskorú személy nyilatkozatához a törvényes képviselőjének hozzájárulása szükséges.
IV. A személyes adatok kezelésének ideje
Az UNI-HOSTEL Diákotthon a megadott adatokat a szerződés létrejötte, teljesítésének bizonyítása és az esetleges igényérvényesítés céljára az általános elévülési időn belül (5 év) kezeli és archíválja. Számviteli bizonylatok esetében azok adattartalmát a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig őrzi meg az UNI-HOSTEL Diákotthon.
V. A személyes adatok kezelésének célja
Az UNI-HOSTEL Diákotthon a vendégek által átadott, az igénybe vett szolgáltatás teljesítéséhez szükséges adatokat, információkat az Info törvény vonatkozó rendelkezéseivel összhangban az alábbi célokból kezeli:
Az UNI-HOSTEL Diákotthon weboldalán, személyi adatlapon, vendég bejelentő adatlapon, valamint a vendégnévsoron megadott adatokat: szobafoglalás, kapcsolatfelvétel és kapcsolattartás, illetőleg ezen szolgáltatásokhoz szükséges technikai háttér biztosítása, továbbá az idegenforgalmi adóval és az idegenrendészeti jogszabályokban meghatározott kötelezettségei teljesítése, illetve a teljesítés bizonyítása céljából kezeli.
A vendégek személyes adatainak kezelése kizárólag e célokhoz szükséges mértékben történik. Az UNI-HOSTEL Diákotthon az adatkezelés minden szakaszában vizsgálja, hogy az megfelel-e a célnak.
Az önkéntes hozzájárulás alapján kezelt adatok tekintetében az UNI-HOSTEL Diákotthon a felvett adatokat törvény eltérő rendelkezéseinek hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy az UNI-HOSTEL Diákotthon vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
AZ UNI-HOSTEL DIÁKOTTHON EGYÉB ADATKEZELÉSEI fejezetben rögzített további adatkezelések esetében az UNI-HOSTEL Diákotthon személyes adatkezelést az ott meghatározott konkrét célok megvalósulása érdekében végez.
VIII. Az érintettek jogai és érvényesítése
Tiltakozáshoz való jog: Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen. Ebben az esetben Munkáltató a személyes adatokat nem kezelheti tovább, kivéve, ha az bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
A személyes adatokhoz való hozzáférés:
Az érintett jogosult arra, hogy az munkáltatótól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- az adatkezelés céljai;
- az érintett személyes adatok kategóriái;
- azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
- adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
- az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár
A jog gyakorlásának célja az adatkezelés jogszerűségének megállapítására és ellenőrzésére irányulhat. Többszöri tájékoztatás kérés esetén az UNI-HOSTEL Diákotthon méltányos költségtérítést számolhat fel a tájékoztatás teljesítéséért cserébe.
Helyesbítés és törléshez való jog:
Az érintett jogosult arra, hogy kérésére az UNI-HOSTEL Diákotthon indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Munkáltató ezt a videó rendszer működési sajátosságaira tekintettel tudja teljesíteni, adott esetben a kérelem teljesítését azonban megadhatja, ha az a felvett videó felvétel használhatatlanságát eredményezné.
Törléshez – elfeledtetéshez való jog:
Az érintett jogosult arra, hogy kérésére az UNI-HOSTEL Diákotthon indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja hozzájárulását és az adatkezelésnek nincs más jogalapja;
- az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok (azaz jogos érdek, vagy más jogalap) az adatkezelésre,
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.
Ha az UNI-HOSTEL Diákotthon nyilvánosságra hozta a személyes adatot, és törölni köteles azt, az elérhető technológia és a megvalósítás költségeinek figyelembevételével köteles megtenni az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A törlés nem alkalmazandó, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az
- adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- a népegészségügy területét érintő közérdek alapján;
- a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A törlésénél továbbá figyelembe kell venni azt is, hogy ha egy adott személyes adatállomány egynél több érintettre vonatkozik, a személyes adatok megszerzéséhez való jog nem sértheti az egyéb érintettek e rendelet szerinti jogait. Azaz, ha a felvétel szabálysértés, vagy bűncselekmény elbírálása, vizsgálata során szükséges, akkor a törlés nem hajtható végre.
Az UNI-HOSTEL Diákotthon az adatvédelemért felelős személy útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából az adatvédelmi incidensekről nyilvántartást vezet, amely tartalmazza az adatvédelmi incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Amennyiben az érintett ezt kéri, az adatvédelemért felelős személy tájékoztatást ad az érintett személyes adatára is kiterjedő adatvédelmi incidensekkel kapcsolatban.
Az adatvédelemért felelős személy értesíti a felügyeleti hatóságot 72 órán belül, amennyiben az adatvédelmi incidensről kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintett vagy más érintettek jogaira és szabadságaira nézve. Az adatvédelemért felelős személy haladéktalanul értesíti az érintettek és az incidensben érintett más személyeket, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett vagy más érintettek jogaira és szabadságaira nézve.
IX. Adattovábbítás, adatkezelések összekapcsolása
Az UNI-HOSTEL Diákotthonon belüli – az UNI-HOSTEL Diákotthonnal munkaviszonyban álló személyek adatai – a számítógépes hálózatban a különböző modulok között összekapcsolhatók. A számítógépes hálózaton a partnertörzsből kapcsolt adatként jöttek létre a számlázási modul adatai, amelyek a természetes személyek esetében szintén tartalmaznak személyes adatokat is.
Az UNI-HOSTEL Diákotthonon kívüli adattovábbítás és a különböző adatkezelések akkor kapcsolhatók csak össze, ha:
- az érintett ehhez hozzájárult,
- ezt a törvény megengedi,
- és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek
A Büntetőeljárásról szóló 1998. évi XIX. törvény 71.§-a alapján a bíróság, az ügyész és a nyomozó hatóság tájékoztatás adása, adatok közlése, átadása, iratok rendelkezésre bocsátása végett megkeresheti az UNI-HOSTEL Diákotthont. Az UNI-HOSTEL Diákotthon a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljához elengedhetetlenül szükséges.
X. A hitelkártya információra vonatkozó speciális szabályok – PCI – DSS
Az Uni-Hostel Diákotthon egyéb adatkezelései:
A PCI DSS (Payment Card Industry Data Security Standards) egy speciális biztonsági szabvány, amelyet a legnagyobb kártyakibocsátók (American Express, Discover, JCB, MasterCard és Visa) által alapított PCI Security Standards Council hozott létre és tart naprakészen.
A PCI DSS biztonsági követelmények minden egyes olyan szervezetre vonatkoznak, amelyek bankkártya adatokat dolgoznak fel, tárolnak vagy továbbítanak.
PCI DSS követelmények
A PCI DSS a következő fő biztonsági elveket fogalmazza meg és támasztja követelményként:
Biztonságos hálózatot kell kialakítani és fenntartani:
- Tűzfalat kell telepíteni és működtetni, amely védi a kártyabirtokos adatait
- Alapbeállítású rendszer-jelszavak és biztonsági paraméterek nem használhatók
- Védeni kell a kártyabirtokos adatait.
- Védeni kell a kártyabirtokos adatait tárolás során
- Nyilvános hálózatokon való átvitel esetén a kártyabirtokos adatait titkosítani kell
- Sérülékenység menedzsment programot kell működtetni
- Rendszeresen frissülő vírusvédelmet kell használni
- Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni
- Erős hozzáférés szabályozási rendszert kell kialakítani
- A kártyabirtokos adataihoz való hozzáférést a lehetséges minimumra kell korlátozni
- Korlátozni kell a kártyabirtokos adataihoz való fizikai hozzáférést
- A hálózatot tesztelni és monitorozni kell
- Naplózni kell minden hozzáférést a hálózati erőforrásokhoz és a kártyabirtokos adataihoz
- Rendszeresen tesztelni kell a rendszereket és a folyamatokat
- Informatikai biztonsági szabályrendszert kell működtetni
- Létre kell hozni, és fenn kell tartani a szervezet információbiztonsági szabályrendszerét
Az UNI-HOSTEL Diákotthon mindent megtesz a fenti követelményekhez való közelítés érdekében.
XII. Minőségi kifogásokhoz kapcsolódó adatkezelés
Az adatkezelés célja: az UNI-HOSTEL Diákotthon által nyújtott szolgáltatásokkal kapcsolatosan felmerülő minőségi kifogások kezelése.
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés b) pont szerint a szerződés teljesítésével kapcsolatos adatkezelés.
A kezelt adatok köre: sorszám, a vendég neve, címe, a panasszal érintett szolgáltatás és a panasz leírása, a panasztevő által érvényesíteni kívánt igény, a kifogás rendezésének módja.
Az adatkezelés időtartama:
- a vásárlók könyvébe tett bejegyzések másodpéldány tekintetében 2 év
- az írásbeli panaszokra adott válaszok másolati példányai tekintetében pedig 3 év
XIII. Az UNI-HOSTEL Diákotthonnál alkalmazott elektronikus kártyarendszer
Az adatkezelés jogalapja: A Rendelet 6. cikk (1) bekezdés f) pontja alapján az UNI-HOSTEL Diákotthon vendégeinek személy és vagyonvédelemmel kapcsolatos jogos érdeke.
Az adatkezelés célja: A kártyarendszer elsődleges biztonsági-vagyonvédelmi célja a területre belépők azonosítása, a belépési jogosultság és a helyszínen való tartózkodás ellenőrzése, az illetéktelen belépés megakadályozása.
A kezelt adatok köre: kártyaszám, érvényesség. érkezés időpontja, állandó belépési engedéllyel engedély esetében fénykép (azonosítás céljából), aláírása valamint a vendég távozásának időpontja.
Az adatkezelés időtartama: Az UNI-HOSTEL Diákotthon az állandó belépési engedéllyel rendelkezők adatainak biztonságos tárolásáról a rögzítéstől számított legfeljebb 1 évig gondoskodik. A kezelt adatok ezt követően automatikusan megsemmisítésre, törlésre kerülnek.
A kártyarendszerben rögzített adatokhoz kizárólag az UNI-HOSTEL Diákotthonnal szerződéses jogviszonyban álló és üzemeltetési feladatokat ellátó Jánosik és Társai Kft. munkaköri feladatában érintett munkatársai férnek hozzá.
Az UNI-HOSTEL Diákotthon által alkalmazott adatbiztonsági intézkedések a beléptető rendszer üzemeltetése során: A rögzített adatokat kezelő adatbázisokat jelszóval, valamint az azokhoz való hozzáférést megfelelő jogosultsági szintek kialakításával védi az illetéktelen hozzáféréstől, a megváltoztatás, a nyilvánosságra hozatal, a törlés vagy a megsemmisülés ellen. Az UNI-HOSTEL Diákotthon a megtett védelmi intézkedéseket a hatékonyság és a biztonság érdekében folyamatosan ellenőrzi.
Alkalmazott szabályok:
Az UNI-HOSTEL Diákotthon, valamint a Jánosik és Társa Kft. a személyes adatok kezelését, tárolását, rögzítését és továbbítását a személy és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (továbbiakban Szvtv.) 25. § (1)-(2) bekezdés 26. § (1) a)-c) és e)-f), valamint a 32. § (1) bekezdésének alkalmazásával végzi.
Jogos érdek igazolása:
A szállodai szolgáltatás kifejezetten olyan tevékenység, ahol az elszállásolt személyek vagyon és személybiztonságát az UNI-HOSTEL Diákotthonnak védenie kell, nem engedheti meg, hogy:
- illetéktelen személyek a diákotthon területén belül tartózkodjanak,
- ha illetéktelen személy jut be a diákotthon területére, akkor arról az UNI-HOSTEL Diákotthonnak információval kell rendelkeznie,
- amennyiben szabálysértést, vagy bűncselekményt követnek el a diákotthon területén, arról az UNI-HOSTEL Diákotthon az elszállásolt diákok védelme érdekében információval kell rendelkeznie.
Mindezekre tekintettel döntött úgy az UNI-HOSTEL Diákotthon, hogy:
- a vagyon és személyvédelmet megerősíti beléptető rendszer működtetésével,
- az esetleges szabálysértések és bűncselekmények ellenei hatékony fellépést segíti a beléptető rendszer működtetésével.
Az érdekek arányosítása:
Az UNI-HOSTEL Diákotthon megállapította, hogy a vagyon és személyvédelem ütközik azzal az érintetti érdekkel, hogy beléptető rendszer alkalmazása érdekében az érintettek személyes adatait is kezelni szükséges.
Az UNI-HOSTEL Diákotthon azonban megállapította, hogy az előző pontban bemutatott érdekek arányban állnak az elérni kívánt céllal, és nem korlátozzák az érintettek személyiségi jogait olyan mértékben, amely már aránytalan lenne az adatkezelés céljával.
XIV. Egyéb rendelkezések
A jelen Szabályzat valamely pontjának érvénytelensége a Szabályzat érvénytelen pontja nélkül is értelmezhető részeinek érvényét nem érinti. Az UNI-HOSTEL Diákotthon a vendégek (bérlők) által átadott adatok helyességéért felelősséget nem vállal.