MENU

Adatkezelési tájékoztató

Az egri Borvidék webshopjának üzemeltetője az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. 

 

  1. A szabályzat célja  

A szabályzat (továbbiakban: Szabályzat) célja annak biztosítása, hogy az EGER VÁROSI  TURISZTIKAI NONPROFIT KFT. személyes adatkezelése megfeleljen a természetes  személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen  adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló,  2016. április 27-i 2016/679 európai parlament és tanács (általános adatvédelmi rendelet)  (továbbiakban: GDPR), valamint a kapcsolódó hazai rendelkezéseknek, különösen az  információs önrendelkezési jogról és az információszabadságról EGER VÁROSI  TURISZTIKAI NONPROFIT KFT. fontosnak tartja munkavállalói, ügyfelei, partnerei és  minden egyéb érintett természetes személy adatkezeléshez kapcsolódó jogának tiszteletben  tartását és érvényre juttatását, a személyes adatok védelmét. Társaságunk a személyes  adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési  intézkedést, mely az adatok biztonságát garantálja. Mindezek érvényesülése érdekében az  alábbi Szabályzatot alkotja. 

  1. A szabályzat hatálya  

1) tárgyi hatály: Jelen Szabályzat hatálya kiterjed az EGER VÁROSI TURISZTIKAI  NONPROFIT KFT. valamennyi személyes adatot tartalmazó adatkezelésére  függetlenül attól, hogy az elektronikusan és/vagy papíralapon történik. Papíralapú  adatkezelés esetében Adatkezelő a jelen szabályzattól formailag különálló  Iratkezelési Szabályzatot is alkot, amely a jelen Szabályzat szerinti általános  rendelkezéseket kiegészíti, és amelyre a jelen Szabályzat hatálya kiterjed. Jelen  Szabályzat hatálya nem terjed ki az adat-és információbiztonság szabályozására,  valamint a közérdekű adatok elektronikus közzétételének és a közérdekű  adatigénylések teljesítésének rendjére, melyekről külön szabályzatok rendelkeznek. 

2) személyi hatály: a Szabályzat személyi hatálya kiterjed az Adatkezelőre, így az  EGER VÁROSI TURISZTIKAI NONPROFIT KFT. összes munkavállalójára, továbbá  azon személyekre, akik adatait e Szabályzat hatálya alá tartozó adatkezelések  tartalmazzák, illetve azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés  érinti. 

  1. Értelmező rendelkezések 

1) Érintett: bármely információ alapján azonosított vagy azonosítható természetes  személy.  

Magyarázó példa: Minden természetes személy, aki az Adatkezelő  szolgáltatásai iránt érdeklődik, az ügyfél, a kamerával megfigyelt területre belépő, stb. 

2) Személyes adat: az érintettre vonatkozó bármely információ, így az érintettel  kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy  vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális  azonosságára jellemző ismeret-, valamint az adatból levonható, az érintettre  vonatkozó következtetés is.

Magyarázó példa: név, cím, telefonszám, anyja neve, IP cím, bankszámlaszám, stb. 

3) Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat,  azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti  meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a  genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus  adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy  szexuális irányultságára vonatkozó személyes adatok (ha az szabályzat szövege a  továbbiakban személyes adat kifejezést használ, abba beleértendő a különleges adat  is, kivéve, ha az szabályzat ettől eltérően rendelkezik). 

Magyarázó példa: egészségi állapot, vallási meggyőződés, stb. 

4) Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő  tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy  az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését  adja a rá vonatkozó személyes adatok kezeléséhez. 

Magyarázó példa: A gyakorlatban az adatkezeléshez hozzájáruló nyilatkozat. 

5) Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely  művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése,  rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása,  nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése  és megsemmisítése, valamint az adat további felhasználásának megakadályozása,  fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására  alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. 

Magyarázó példa: egyszeri információkérés, ajánlatkérés, hírlevél küldés, stb. 

6) Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem  rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező  jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat  kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt)  vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval  végrehajtatja. 

Magyarázó példa: A szervezetnél adatkezelőként meghatározott személy. 

7) Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem  rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező  jogi aktusában meghatározott keretek között és feltételekkel – az Adatkezelő  megbízásából vagy rendelkezése alapján személyes adatokat kezel. 

Magyarázó példa: tárhelyszolgáltató. 

8) Adatzárolás: az adat azonosító jelzéssel való ellátása további kezelésének végleges  vagy meghatározott időre történő korlátozása céljából. 

Magyarázó példa: érintett az adatok zárt/korlátozott kezelését kéri. 

9) Adattovábbítás: az adat meghatározott harmadik személy számára történő  hozzáférhetővé tétele. 

Magyarázó példa: adattovábbítás a partner felé. 

10) Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy helyreállítása többé  nem lehetséges.

Magyarázó példa: elektronikusan tárolt adatok visszaállíthatatlan törlése. 

11) Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai  megsemmisítése. 

Magyarázó példa: papír alapú dokumentumok fizikai megsemmisítése. 

12) Adatvédelmi tisztviselő: az Adatkezelőnek a személyes adatok kezelésére  vonatkozó jogi előírások teljesítésének és az érintettek jogai érvényesülésének  elősegítése érdekében alkalmazott munkavállalója. 

13) Harmadik személy: az EGER VÁROSI TURISZTIKAI NONPROFIT KFT-én, valamint  az érintetten kívül minden más természetes vagy jogi személy, illetve jogi  személyiséggel nem rendelkező szervezet. 

Magyarázó példa: egy másik adatkezelő. 

14) Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt  vagy más módon kezelt személyes adatok véletlen vagy jogellenes  megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy  nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést  eredményezi. 

Magyarázó példa: hackelés eredménye, zsarolóvírus, adatszivárgás, adatlopás. 

15) Adatkezelési nyilvántartás: adatvédelemért felelős munkatárs által kezelt  személyes adatok, illetve közérdekű adatok összességének számbavétele. Magyarázó példa: egy-egy adatkezelésben kezelt adatok összessége. 

16) Hatóság: a Nemzeti Adatvédelmi és Információszabadság Hatóság. 

17) Profilalkotás: a személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi  teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes  preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez,  tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére,  elemzésére vagy előrejelzésére irányul. 

  1. Az Adatkezelő személye  

Az adatkezelő neve: Eger Városi Turisztikai Nonprofit Korlátolt Felelősségű Társaság  Az adatkezelő címe: 3300 Eger, Bajcsy-Zsilinszky u 9. 

Az adatkezelő elérhetőségei: Tourinform Iroda 

E-mail: eger@tourinform.hu 

Telefon: 06/36/517-715 

Honlap: https://visiteger.com/ 

Az adatkezelő képviselője: Sarusi-Kis Ádám 

1.) Munkatárs, akinek tevékenységével kapcsolatban az EGER VÁROSI TURISZTIKAI  NONPROFIT KFT. teljes felelősséget vállal az érintettek személyi köre és harmadik  személyek irányában. 

2.) Hivatkozva a fenti alpontokra, az Adatkezelő kifejezésen érteni kell a Munkatársat is,  ha a Szabályzat szövegéből más nem következik. 

  1. A SZEMÉLYES ADATOK VÉDELME 
  2. Az adatkezelés jogalapja 

5.1 Személyes adat akkor kezelhető, ha 

  1. a) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben,  különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi  önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező  adatkezelés); 
  2. b) az a) pontban meghatározottak hiányában az az Adatkezelő törvényben meghatározott  feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok  kezeléséhez kifejezetten hozzájárult, ideértve azt az esetet is, amikor az adatkezelés olyan  szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés  megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; 
  3. c) az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú  érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető  közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy d) az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten  nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal  arányos. 

5.2 Különleges adat 

  1. a) a 5.1 c)-d) pontjában meghatározottak szerint, vagy 
  2. b) akkor kezelhető, ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához  feltétlenül szükséges és azzal arányos, vagy azt az Alaptörvényben biztosított alapvető jog  érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése, felderítése  vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli.  

Különleges adatot az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. kizárólag törvény  felhatalmazása alapján kezel, különösen a foglalkoztatáshoz kapcsolódó egészségügyi és  érdekképviseleti szervezeti tagságra vonatkozó adatokat. Különleges adatok kezelésével  járó ügyekben – a jogszabályokban és jelen Szabályzatban foglaltakon túl is – fokozott  gondossággal kell eljárni. 

Erkölcsi bizonyítványa bemutatására a munkavállaló a munkaviszony fennállása alatt is  felhívható.  

A munkavállalótól önkéntes hozzájárulás alapján csak olyan nyilatkozat megtétele vagy adat  közlése kérhető, amely személyhez fűződő jogát nem sérti, és a munkaviszony létesítése,  teljesítése vagy megszűnése szempontjából lényeges. Az ilyen nyilatkozat beszerzése előtt  a munkavállalót minden részletre kiterjedő, világos, tájékoztatással kell ellátni, melynek  birtokában a munkavállaló felelős nyilatkozatot tud tenni. 

Ha a személyes adat felvételére az érintett hozzájárulásával került sor, a felvett adatokat,  törvény eltérő rendelkezésének hiányában az EGER VÁROSI TURISZTIKAI NONPROFIT  KFT. a rá vonatkozó jogi kötelezettség teljesítése, valamint saját, illetve harmadik személy  jogos érdekének érvényesítése céljából – ha ezen érdek érvényesítése a személyes adatok  védelméhez fűződő jog korlátozásával arányban áll – további külön hozzájárulás nélkül,  valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

  1. AZ EGER VÁROSI TURISZTIKAI NONPROFIT KFT. által végzett személyes  adatkezelések 

Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. személyes adatkezelései általában  jogszabályi előírásokon (ebben az esetben az adatok kezelését, tárolását jogszabályok  teszik kötelezővé) vagy az érintett önkéntes hozzájárulásán alapulnak, továbbá valamely  szerződés vagy jogi kötelezettség teljesítéséhez szükségesek, esetenként, külön  érdekmérlegelés alapján az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. jogi érdekén  alapulnak.  

A személyes adatok védelméért, az adatkezelés jogszerűségéért az EGER VÁROSI  TURISZTIKAI NONPROFIT KFT. adatvédelemért felelős munkatársa a felelős. Az EGER  VÁROSI TURISZTIKAI NONPROFIT KFT. által kezelt személyes adatok védelméről, az  adatvédelemmel kapcsolatos szabályok munkavállalók általi megismeréséről és betartásáról  az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. adatvédelemért felelős munkatársa  gondoskodik. 

  1. Az adatkezelés során alkalmazott alapelvek  

Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése  érdekében kezelhető. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának  megvalósulásához elengedhetetlen és a cél elérésére alkalmas.  

A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.  Mindezeket figyelembe véve az alábbi alapelvek mentén történik a személyes adatok  kezelése: 

  1. a) Jogszerűség, tisztességes eljárás és átláthatóság: 

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az Érintett számára  átlátható módon kell végezni.  

  1. b) Célhoz kötöttség: 

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet,  és azokat nem lehet ezekkel a célokkal össze nem egyeztethető módon kezelni. Nem  minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából,  tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés. 

  1. c) Adattakarékosság: 

A személyes adatkezelésnek az adatkezelés célja szempontjából megfelelőnek és  relevánsak kell lennie, valamint a szükségesre kell korlátozódnia. 

  1. d) Pontosság: 

A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden  ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai  szempontjából pontatlan személyes adatokat az adatvédelemért felelős munkatárs haladéktalanul törölje vagy helyesbítse. 

  1. e) Korlátozott tárolhatóság: 

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek  azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi  lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet  sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos  és történelmi kutatási célból vagy statisztikai célból kerül sor, GDPR-ban, illetve az Info tv 

ben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai  és szervezési intézkedések végrehajtására is figyelemmel.

  1. f) Integritás és bizalmas jelleg: 

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy  szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő  biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével,  megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. 

  1. g) Elszámoltathatóság: 

A személyes adatkezelésnek a fentiek szerinti megfeleléséért az adatvédelemért felelős  munkatárs felel, akinek képesnek kell lennie e megfelelés igazolására. 

  1. Adatvédelmi hatásvizsgálat 

Amennyiben az adatkezelés valamely, különösen új technológiákat alkalmazó típusa,  figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően  magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az  adatvédelemért felelős munkatárs az adatkezelést megelőzően, az Info tv. 25/G §-a szerint  hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a  személyes adatok védelmét hogyan érintik.  

  1. Adatfeldolgozási megállapodás 

Az Adatkezelő kizárólag olyan Adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat  nyújtanak a GDPR rendelkezései szerinti, megfelelő technikai és szervezési intézkedések  végrehajtására. Ezen garanciákat az adatkezelés megkezdését megelőzően az  Adatfeldolgozó igazolja az Adatkezelő számára. Ennek keretében az Adatfeldolgozó által  végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés  tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, valamint az Adatkezelő  kötelezettségeit és jogait meghatározó – szerződésnek kell szabályoznia, amely köti az  Adatfeldolgozót az Adatkezelővel szemben.  

  1. Adatvédelmi incidensek kezelése 

Adatvédelmi incidens bekövetkezéséről rögtön értesíteni kell az adatvédelemért felelős  munkatársat, aki az adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi  incidensről való tudomásszerzését követő hetvenkét órán belül bejelenti a Hatóságnak.  

Az adatvédelmi incidenst nem kell bejelenteni, ha valószínűsíthető, hogy az nem jár  kockázattal az érintettek jogainak érvényesülésére. 

Az adatvédelemért felelős munkatárs köteles kivizsgálni az adatvédelmi incidens  körülményeit, kiváltó okait, hatásait, valamint értesíteni a társaság vezető tisztségviselőit az  adatvédelmi incidens bekövetkezéséről és a lefolytatott vizsgálat eredményéről. 

A Hatóság felé történő bejelentési kötelezettség keretei között az Adatkezelő  a) ismerteti az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek körét  és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges  mennyiségét, 

  1. b) tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt  más kapcsolattartó nevéről és elérhetőségi adatairól, 
  2. c) ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és d) ismerteti az Adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett – az  adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és  egyéb – intézkedéseket.

Az adatvédelmi incidens bekövetkezése estén érintett adatkezelő munkatárs azonnal  megkezdi az adatvédelmi incidens következményeinek elhárítását, a jogellenes állapot  megszüntetését a Jogi igazgatóság bevonásával.  

  1. Az Érintett tájékoztatáskérési joga 

Az érintett kérelmezheti az EGER VÁROSI TURISZTIKAI NONPROFIT KFT-től a) tájékoztatását személyes adatai kezeléséről, 

  1. b) személyes adatainak helyesbítését, valamint 
  2. c) személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását. 

Az érintett kérelmére az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. legfeljebb 15  napon belül írásban tájékoztatást ad az érintettre vonatkozó, általa kezelt személyes  adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, bekövetkezett  adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről,  továbbá – az érintett személyes adatainak harmadik személynek történő továbbítása esetén – 

az adattovábbítás jogalapjáról és címzettjéről. 

A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre  vonatkozóan tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítés  állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat  jogellenesen kezelték. 

  1. Nyilvántartások és hozzáférési jogosultságok 

Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. személyes adatokkal kapcsolatos  adatkezeléseikről adatkezelési nyilvántartást, a bekövetkezett adatvédelmi incidensekről  adatvédelmi incidens nyilvántartást vezet.  

Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. által végzett adatkezelési  tevékenységről a nyilvántartást az adatvédelemért felelős munkatárs vezeti, amelynek  naprakészségéért is az adatvédelemért felelős munkatárs a felelős. A társaság vezető  tisztségviselője a nyilvántartást minden év december 31. napjáig felülvizsgálja, és a  felülvizsgálatról készült jegyzőkönyvet, valamint a felülvizsgált nyilvántartást 30 napon belül  megküldi az adatvédelemért felelős munkatársnak, aki az adatkezelési nyilvántartását vezeti. 

Az egyes nyilvántartások, adatkezelések tekintetében a hozzáférési jogosultságot az  adatvédelemért felelős munkatársnak személyre lebontottan meg kell határoznia és  gondoskodnia kell az időszerű állapotnak megfelelő nyilvántartás vezetéséről.  

  1. Az érintett előzetes tájékoztatása 

Az érintettel az adatkezelés megkezdése előtt közölni kell az adatkezelés jogalapját,  valamint egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos  minden tényről, így különösen az adatkezelés céljáról, az adatkezelésre jogosult  személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat.  A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és  jogorvoslati lehetőségeire is. 

  1. Az érintett jogai és jogorvoslati lehetőségei az adatkezelés során Az érintettet a személyes adatainak kezelése során a GDPR-ral és az Info tv-ben foglaltakkal  összhangban az Adatvédelmi Szabályzat e fejezetében meghatározott jogok gyakorlása illeti  meg. 

14.1. A tájékoztatás és „hozzáférés joga” 

Az Info tv. és a GDPR 15. cikke alapján az érintett kérelmére az Adatkezelő  tájékoztatást ad: 

az adatkezelés céljáról/céljairól, 

az általa kezelt adatokról és személyes adatok kategóriáiról, 

azon címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes  adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli  címzetteket, illetve a nemzetközi szervezeteket (adatfeldolgozókról és adatközlés  más címzettjeiről), 

az adatkezelés jogalapjáról, jogszerűségéről, 

az adatkezelés időtartamáról, vagy ha ez nem lehetséges, ezen időtartam  meghatározásának szempontjairól, 

adott esetben ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó  minden elérhető információról, 

adott esetben az automatizált döntéshozatalról, ideértve a profilalkotást is, valamint a  logikára és arra vonatkozó érthető információkról, hogy az ilyen adatkezelés milyen  jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár, 

az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett  intézkedésekről, ha az érintett ilyen incidens alanyává vált. 

Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett  rendelkezésére bocsátja, ha ezt az érintett kéri. Az érintett által kért további másolatokért  az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.  Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben  használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett  másként kéri. 

Adatkezelő felhívja az érintettek figyelmét, hogy a tájékoztatást meg fogja tagadni,  ha 

a tájékoztatás hátrányosan érinti mások jogait, szabadságait; 

törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának  rendelkezése alapján az Adatkezelő személyes adatot akként vesz át, hogy az  adattovábbító adatkezelő az adattovábbítással egyidejűleg jelzi a személyes adat  érintettje a nevezett törvényben biztosított jogainak korlátozását, vagy kezelésének  egyéb korlátozását; 

az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a  bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága  érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből,  az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a  foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és  munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve  minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások  jogainak védelme érdekében. 

 Adatkezelő az elutasított tájékoztatási kérelmekről a Nemzeti Adatvédelmi és  Információszabadság Hatóságot évente értesíti, ha jogszabály alapján fennáll ilyen  kötelezettsége.

14.2. A helyesbítés joga 

 Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül  helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az  adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Ugyanakkor, ha a  személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes  adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő kötelezően  helyesbíti, az érintett kérése nélkül is. Adatkezelő a helyesbítés megtörténtéről  tájékoztatja az érintettet. 

14.3. A törléshez való jog, „elfeledtetéshez való jog” 

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül  törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll: a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték  vagy más módon kezelték; 

az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az  adatkezelésnek nincs más jogalapja; 

az érintett tiltakozik a profilalkotás vagy közvetlen üzletszerzési célból történő  adatkezelés ellen; 

-a személyes adatokat jogellenesen kezelték; 

– a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban  előírt jogi kötelezettség teljesítéséhez törölni kell; 

– a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett,  közvetlenül gyermekeknek kínált, információs társadalommal összefüggő  szolgáltatások kínálásával kapcsolatosan került sor. 

Abban az esetben, ha az Adatkezelő valamely okból nyilvánosságra hozta a személyes  adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a  megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket  – ideértve technikai intézkedéseket – 

annak érdekében, hogy tájékoztassa az adatokat kezelő más adatkezelőket, hogy az  érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes  adatok másolatának, illetve másodpéldányának törlését. 

Az Adatkezelő felhívja az érintettek figyelmét a törléshez vagy az „elfeledtetéshez való jog” GDPR 17. cikk (3) bekezdésben meghatározott korlátaira,  amelyek a következők: 

a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása; a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy  tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az  adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat  végrehajtása; 

népegészségügy területét érintő közérdek; 

a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából,  tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a  törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan  veszélyeztetné ezt az adatkezelést;  

jogi igények előterjesztése, érvényesítése, illetve védelme.

14.4. Az adatkezelés korlátozásához, vagy más néven zároláshoz való jog  

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, az  adatokhoz történő hozzáférést, ha az alábbi feltételek valamelyike fennáll: 

az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az  időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a  személyes adatok pontosságát; 

az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és e helyett kéri  azok felhasználásának korlátozását; 

az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de  az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy  védelméhez; vagy 

ha az érintett a tiltakozott a profilalkotás ellen; ez esetben a korlátozás arra az  időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos  indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben 

Ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett  jogos érdekeit, az adatokat zárolni kell. Az így zárolt személyes adat kizárólag addig  kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. 

Adatkezelő indokolatlan késedelem nélkül, maximum a kérelem beérkezésétől számított 15  napon belül tájékoztatja az érintettet a kérelmében meghatározottakról, és/vagy helyesbíti az  adatokat, és/vagy törli és/vagy korlátozza (zárolja) az adatokat, vagy egyéb lépéseket tesz  meg a kérelemnek megfelelően, ha nincsen azt kizáró ok. 

Az Adatkezelő a helyesbítésről, a törlésről, az adatkezelés korlátozásának megtörténtéről  írásban értesíti az érintettet, továbbá mindazokat, akiknek korábban az adatot adatkezelés  céljára továbbították, átadták. Az érintettet kérésére az Adatkezelő tájékoztatja e  címzettekről. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett  jogos érdekét nem sérti, vagy ha a tájékoztatás lehetetlennek bizonyul, vagy aránytalanul  nagy erőfeszítést igényel. Az Adatkezelő arról is köteles írásban értesíteni az érintettet, ha  az érintett joggyakorlása valamely okból nem valósulhat meg. Ebben az esetben az  Adatkezelő köteles megjelölni pontos ténybeli okot és jogalapot, valamint az érintett számára  nyitva álló jogorvoslati lehetőségeket: a bírósághoz és a Nemzeti Adatvédelmi és  Információszabadsághoz fordulás lehetőségét. 

14.5. A tiltakozáshoz való jog 

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okból bármikor tiltakozzon  személyes adatainak kezelése ellen, ha a személyes adatok kezelésére az adatkezelő jogos  érdeke, vagy a közhatalmi jelegge miatt kerül sor. 

14.6. Tiltakozás közvetlen üzletszerzés estén 

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett a  GDPR 21. cikk (3) bekezdése alapján jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó  személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az  a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok  közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a  továbbiakban e célból nem kezelhetők.

Az Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de  legfeljebb 15 nap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban  tájékoztatja. Amennyiben a kérelmező tiltakozása megalapozott, az Adatkezelő az  adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az  adatokat zárolja, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről  értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban  továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. 

Amennyiben az érintett az Adatkezelő döntésével nem ért egyet, vagy az Adatkezelő a  hivatkozott határidőt elmulasztja, jogosult – annak közlésétől számított 30 napon belül – bírósághoz fordulni. 

14.7. Az adathordozhatósághoz való jog 

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére  bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban  megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek  továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat  a rendelkezésére bocsátotta. 

14.8. Jogorvoslathoz való jog  

14.8.1. Bírósági jogérvényesítés 

Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron  kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő  köteles bizonyítani. 

14.8.2. Az érintett bejelentéssel, panasszal élhet: 

Nemzeti Adatvédelmi és Információszabadság Hatóság Cím: 1125 Budapest, Szilágyi  Erzsébet fasor 22/c 

Telefon: +36 (1) 391-1400 

Fax: +36 (1) 391-1410 

www: http://www.naih.hu 

e-mail: ugyfelszolgalat@naih.hu 

Kiskorúakat sértő, gyűlöletkeltő, kirekesztő tartalmakkal, helyreigazítással, elhunyt  személy jogaival, jó hírnév megsértésével kapcsolatos jogainak megsértése esetén az  érintett bejelentéssel, panasszal élhet: 

Nemzeti Média- és Hírközlési Hatóság 1015 Budapest, Ostrom u. 23-25. Levélcím: 1525. Pf. 75 

Tel: (06 1) 457 7100 

Fax: (06 1) 356 5520 

E-mail: info@nmhh.hu 

14.8.3. Kártérítésre és sérelemdíjra vonatkozó törvényi szabályok: Abban az esetben,  ha az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság  követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az  Adatkezelőtől sérelemdíjat követelhet.

Abban az esetben, ha Adatkezelő adatfeldolgozót vett igénybe, az érintettel szemben az  Adatkezelő felel az adatfeldolgozó által okozott kárért és az Adatkezelő köteles megfizetni az  érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is.  Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének  kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét  az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. 

Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a  károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos  vagy súlyosan gondatlan magatartásából származott. 

III. MUNKAVÁLLALÓI ADATKEZELÉSSEL KAPCSOLATOS  

RENDELKEZÉSEK 

Adatkezelő kiemelten fontosnak tartja munkavállalói személyes adatainak megfelelő  kezelését, ezért a legfontosabb munkahelyi személyes adatkezelések kapcsán az alábbi  elvek és rendelkezések szerint jár el. 

A munkavállaló személyes adata csak akkor kezelhető, ha az adat kezelése nélkül a  munkaviszony létesítése, fenntartása, megszűnése nem lenne lehetséges. A munkáltatónak  adatkezelései jogszerűségét azzal kell alátámasztania, hogy minden adatkezelése  vonatkozásában igazolni tudja az adatkezelés célját, és azt, hogy az adatkezelés a cél  eléréséhez szükséges. A munkáltató köteles a munkavállalóktól kért adatok körét előre oly  módon meghatározni, hogy az adatok kizárólag a munkaviszony létesítéséhez,  fenntartásához, megszűnéséhez kapcsolódjanak. 

A munkavállalókat tájékoztatni kell arról, hogy a tőlük kért adatok, a velük szemben  alkalmazott vizsgálatok milyen információként szolgálhatnak a munkáltató számára.  

Amennyiben az adatokon eltérő célokból végeznek műveleteket, akkor a célokat egyenként  definiálni kell. Továbbá az adatkezelésnek minden szakaszában meg kell felelnie az adott  adatkezelési célnak, és tilos adatokat kezelni olyan újabb célból, amely  összeegyeztethetetlen az eredetivel. 

Amennyiben a munkáltató a munkaszerződés alapján rendelkezésére álló adatokat fel akarja  használni belső képzés szervezésére, akkor ez a munkajogviszonyból fakadó, korábbi  adatkezelésekhez képest új adatkezelési cél, amelyet külön definiálnia kell. 

Abban az esetben, ha a munkakörre vonatkozóan jogszabály alkalmassági vizsgálatot ír elő,  a munkahelyi felvételi eljárás során kizárólag olyan kérdést intézhet a munkáltató a leendő  munkavállaló felé, amely a munkaviszony, az alkalmassági vizsgálat szempontjából  releváns, és az érintett személyiségi jogait – így a személyes adatok védelméhez való jogát – 

nem sérti. 

A munkáltatónak a munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése  körében lehetőleg olyan módszert kell választania, amely nem jár együtt személyes adat  kezelésével. Ha nincs ilyen, akkor a magánszférát legkevésbé korlátozó módszert kell  alkalmaznia, amelynek nyomán korlátozott körben ismer meg személyes adatokat. 

A munkáltatónak biztosítania kell a munkavállaló jelenlétét a munkáltatói ellenőrzés során.  Ez csak abban az esetben mellőzhető, amennyiben a munkavállaló jelenléte lehetetlen,  különös nehézségbe ütközik, vagy a munkavállaló jelenlétének biztosítása aránytalanul nagy  terhet róna a munkáltatóra. Ilyen esetben a munkáltatónak kell bizonyítania a munkavállaló  jelenlétének elmaradását kiváltó okot. 

  1. A munkavállaló munkavégzésének munkáltatói ellenőrzése során az alábbiak  szerint kell eljárni: 
  • Az alkalmazott eszköznek alkalmasnak kell lennie a cél elérésére, vagyis csak akkor  lehet ellenőrzést folytatni, ha egyértelmű, hogy az alkalmazni kívánt eszköz, módszer  által az ellenőrzés útján a védeni kívánt munkáltatói érdekek, jogok sérelme  megelőzhető. 
  • Az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat. Ez egyszerre jelenti  az adatkezelés időbeni korlátozottságát, és azt is, hogy a személyes adatokat csak a  szükséges esetben, és csak az arra feljogosított személyek használhatják fel. 
  • Az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók  magánélete nem ellenőrizhető. A munkavállalókat a munkahelyen is megilleti a  magánélethez való jog, és ezt a munkáltatónak tiszteletben kell tartania. 
  • Az ellenőrzésnek minden esetben a munkavállalók emberi méltóságának tiszteletben  tartásával kell történnie. Az ellenőrzés nem irányulhat a munkavállalók  megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is  eredményezheti. 

16.1. Az adatkezelés az érintett hozzájárulása alapján: 

A hozzájárulásnak, önkéntesnek előzetes és érthető írásbeli tájékoztatáson alapulónak,  valamint mindenfajta külső befolyástól mentesnek kell lennie. A hozzájárulás csak akkor  minősül önkéntesnek, ha az érintettnek valódi választási lehetőség áll rendelkezésére, és  nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív  következmény veszélye a hozzájárulás megtagadása esetén. Az önkéntesség hiányában az  Adatkezelő nem rendelkezik megfelelő jogalappal az adatkezeléshez. 

A munkavégzésre irányuló jogviszonyban fő szabályként, a munkáltató és a munkavállaló  közötti alá-fölérendeltség okán, nem értelmezhető a hozzájárulás önkéntessége. Az érintett  hozzájárulására, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen  lehet hivatkozni akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli  előnyöket szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés  megtagadása esetén. 

16.2. Adatkezelés szerződés alapján: 

A szerződés alapján történő adatkezelés az érintett által kötött szerződés teljesítésének  érdekében, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépések  során is lehetséges. Az érintett részére korlátozásmentesen hozzáférhetővé kell tenni az  adatkezelésről szóló részletes írásbeli tájékoztatót. 

16.3. Adatkezelés törvényi felhatalmazás alapján: 

Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. a jogszabályi felhatalmazáson alapuló  adatkezelés esetén, amennyiben a jogszabály kötelezővé teszi, az adatkezelést köteles  elvégezni. 

Amennyiben a jogszabály nem írja elő, csak lehetővé teszi az adatkezelést, Adatkezelői  döntésen alapulhat az adatkezelés.  

Az érintett részére korlátozásmentesen hozzáférhetővé kell tenni az adatkezelésről szóló  részletes írásbeli tájékoztatót.

16.4. Adatkezelés az Adatkezelő jogos érdeke alapján: 

Az Érintett adatait az EGER VÁROSI TURISZTIKAI NONPROFIT KFT., amennyiben az  jogos érdekének érvényesítéséhez szükséges, kezelheti. Ez az adatkezelés az érintett  hozzájárulásától függetlenül jogszerűvé teszi a munkáltató adatkezelését, feltéve, ha az  Adatkezelő jogos érdeke arányosan korlátozza az érintett személyes adatok védelméhez  való jogát, magánszféráját. Nem kezelhetők ezek az adatok a munkáltató jogos érdekének  fennállása esetén sem, ha ezeknél az érdekeknél magasabb rendű a munkavállaló  személyes adatai védelméhez és a magánéletének tiszteletben tartásához való joga. 

Az érintett részére korlátozásmentesen hozzáférhetővé kell tenni az adatkezelésről szóló  részletes írásbeli tájékoztatót. 

Az adatkezelésért felelős munkatársnak a 16.4 pont szerinti jogalapból fakadó  adatkezeléséhez az alábbi szempontokat kell figyelembe vennie: 

  1. a) az adatkezelési körülményeket, 
  2. b) az érdekmérlegelési teszt elvégzésének az Adatkezelő általi elvégzésének  kötelezettségét, az Adatkezelői jogos érdeket meglapozó körülményeket, 
  3. d) az érdekmérlegelési teszt elvégzése során megfontolandó kulcsfontosságú tényezőket, 
  4. e) azokat az intézkedéseket, amelyek biztosítják az érintettek magánszférájának és  személyes adatainak védelmét. 

Az érdekmérlegelési teszt elvégzése során az adatkezelésért felelős munkatársnak: 

  1. a) a tervezett adatkezelés megkezdése előtt át kell tekintenie, hogy a célja elérése  érdekében feltétlenül szükséges-e személyes adat kezelése, 
  2. b) meg kell vizsgálnia, hogy rendelkezésre állnak-e olyan alternatív megoldások, amelyek  alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél, 
  3. c) meg kell határoznia az Adatkezelői jogos érdeket, 
  4. d) meg kell határoznia, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó  adatkezelését igényli a jogos érdek, 
  5. e) meg kell határoznia, hogy a munkavállalóknak mik lehetnek az érdekeik az adott  adatkezelés vonatkozásában, melyek azok a szempontok, amelyeket a munkavállalók  felhozhatnának az adatkezeléssel szemben, 
  6. f) meg kell határoznia, hogy miért korlátozza arányosan a munkáltatói jogos érdek – és az  ennek alapján végzett adatkezelés – az Érintett jogait. 

16.5. A pályázatok, önéletrajzok megőrzése: 

Az Info tv. 4. § (1)-(2) bekezdése alapján az önéletrajzok, pályázatok esetében az  adatkezelés célja az, hogy a meghirdetett munkakört betöltsék. Ennek megfelelően, ha a  munkáltató a jelentkezők közül kiválasztott egy személyt a meghirdetett állásra, akkor  megszűnt az adatkezelés célja és – az Info tv. 17. § (2) bekezdés d) pontja alapján – a ki nem  választott jelentkezők személyes adatait törölni kell. Fennáll a törlési kötelezettség abban az  esetben is, ha az érintett még a jelentkezés során meggondolja magát, visszavonja  pályázatát. 

A munkáltató alapvetően csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása  alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére az Info tv. 4. § (1)-(2) 

bekezdésével összhangban álló adatkezelési célja elérése érdekében szükség van. Az  érintett azzal, hogy elküldi a pályázati anyagát a munkáltató számára, nem adott  hozzájárulást ahhoz, hogy a pályázati anyagát a munkáltató megőrizze. A munkáltatónak az  ilyen adatkeléshez a hozzájárulást a felvételi eljárás lezárását követően kell kérnie a  jelentkezőktől. A munkáltatónak a pályázati anyagok megőrzése esetében is egy konkrét, az  adatkezelés céljához és az adatkezelés pontosságának, naprakészségének elvéhez igazodó  időtartamot kell meghatároznia. 

16.6. Az alkalmassági vizsgálatok: 

Részletesen tájékoztatni kell a munkavállalót, illetve leendő munkavállalót többek között  arról, hogy az alkalmassági vizsgálat, mely jogszabály, munkaviszonyra vonatkozó szabály  alapján, milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel,  módszerrel történik. 

Az eredményeket kizárólag a vizsgált leendő munkavállaló, az érintett munkavállaló,  valamint a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az  információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve  milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes  dokumentációját azonban nem ismerheti meg. 

A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet  munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó  szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. 

A munkaalkalmasságra, felkészültségre irányuló teszteket a munkáltató mind a  munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a  munkavállalókkal. 

16.7. Megváltozott munkaképességű munkavállalók: 

A megváltozott munkaképességű munkavállalókra adatkezelési szempontból azonos  szabályok vonatkoznak, mint a Társaság alkalmazottaira, rájuk vonatkozóan azonban  bővebb a kezelt adatok köre. A Társaság törvényi előírás alapján kezeli a megváltozott  munkaképességű munkavállalók egészségi állapotára vonatkozó adatokat. 

16.8. E-mail fiók használata: 

A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail-fiók használatának  ellenőrzésére a munkáltatónak belső szabályzatot kell megalkotnia az e-mail-fiók  használatának és a használat ellenőrzésének szabályairól.  

A munkáltató az e-mail-fiók használatát, a munkavégzés akadályozása nélkül, magáncélra is  engedélyezte. 

A munkáltatónak az adatkezelés megkezdése előtt el kell végeznie az érdekmérlegelés  tesztjét. Ennek során meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor  az e-mail-fiók ellenőrzésére. Ezen érdekeknek, ténylegesnek és valósnak, a munkáltató  tevékenységéhez, piaci helyzetéhez és a munkavállalók munkaköréhez igazodóknak kell  lenniük. Ezen túlmenően a munkáltatónak az e-mail-fiók használatának ellenőrzése előtt  közölnie kell a munkavállalókkal, hogy milyen érdeke miatt kerül sor a munkáltatói  intézkedésre. 

A munkáltatónak – a fokozatosság elvére figyelemmel – lépcsőzetes ellenőrzési rendszert kell  kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve hogy  az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját. Az ellenőrzés 

során az e-mail-cím és a levél tárgyának ellenőrzése mellett az e-mail tartalma csak  különösen indokolt esetben lehetséges. A munkáltató nem jogosult az e-mail- fiókban tárolt  magánjellegű e-mailek tartalmát ellenőrizni még akkor sem, ha az ellenőrzés tényéről  előzetesen a munkavállalókat tájékoztatta. 

A munkáltatónak előzetesen részletes tájékoztatást kell biztosítania a munkavállalók  számára. A tájékoztatóban közölni kell, milyen célból, milyen munkáltatói érdekek miatt  kerülhet sor az e-mail-fiók ellenőrzésére. 

A konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy 

  • milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, 
  • a munkáltató részéről ki végezheti az ellenőrzést, 
  • milyen szabályok szerint kerülhet sor ellenőrzésre, 
  • mi az eljárás menete, 
  • milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak az e-mail- fiók  ellenőrzésével együtt járó adatkezeléssel kapcsolatban. 

A munkáltatónak az E-mail fiók használatának ellenőrzésére egyebekben az Informatikai  Biztonsági Szabályzat irányadó. 

16.9. Számítógép, laptop, tablet és egyéb infokommunikációs eszköz  használatának, ellenőrzésének szabályai: 

Munkáltató az Informatikai Biztonsági Szabályzatban rendelkezik a munkavállaló  rendelkezésére bocsátott számítógép, laptop, tablet és egyéb infokommunikációs eszköz (a  továbbiakban: eszköz) használatának, ellenőrzésének szabályairól. A munkáltató az  eszközök használatát, munkavégzés akadályozása nélkül, magáncélra is engedélyezte. 

A munkáltatónak a munkavállaló rendelkezésére bocsátott számítógép, laptop, tablet és  egyéb infokommunikációs eszköz használatának ellenőrzésére egyebekben az Informatikai  Biztonsági Szabályzat irányadó. 

16.10. Internethasználat szabályai: 

A munkavállaló által meglátogatott weboldal vagy az internet használatával kapcsolatban a  számítógépen rögzített, lementett információk – az elmentett felhasználónév, jelszó – a  munkavállaló személyes adatainak tekinthetők. A munkáltató az internet használatát,  munkavégzés akadályozása nélkül, magáncélra is engedélyezte. 

A munkáltatónak a munkavállaló rendelkezésére bocsátott internet használatának  ellenőrzésére egyebekben az Informatikai Biztonsági Szabályzat irányadó. 

A szabályzatban kell meghatározni: 

  • a munkáltató mely honlapok megtekintését blokkolja a munkahelyi számítógépeken, az ellenőrzés lefolytatására vonatkozó részletes szabályokat. 

Az ellenőrzés csak az ellenőrzés céljához szükséges személyes adatok megismerésére  terjedhet ki. Amennyiben a munkáltató bizonyos honlapok látogatását blokkolja, és az  ellenőrzése pusztán arra terjedhet ki, hogy megállapítsa, a munkavállaló betartotta-e ezt a  munkáltatói rendelkezést, akkor elegendő a honlap címének a megismerése és feljegyzése,  tilos a munkavállaló tevékenységének részletes feltérképezése. A munkáltató nem  ellenőrizheti, hogy a munkavállaló milyen tevékenységet végzett a honlapon, milyen  felhasználónevet és jelszót mentett el, milyen fájlokat mentett le a honlapról.

Az internethasználatra egyebekben az e-mailre vonatkozó rendelkezéseket kell alkalmazni. 16.11. Mobiltelefon eszköz használatának ellenőrzése: 

A munkáltató által rendelkezésre bocsátott mobiltelefon előfizetés, mobiltelefon eszköz  használatának ellenőrzésére a munkáltató jogosult. A munkáltató mind mobiltelefon  előfizetés, mind a mobiltelefon eszköz használatát magáncélra is engedélyezte, azonban a  munkáltató a magáncélú hívások adatait nem, csak a munkával összefüggő hívások adatait  jogosult megismerni.  

A magáncélú telefonhasználat engedélyezése során a munkáltató hívásrészletezőt kérhet a  telefonszolgáltatótól, de ennek adatait csak azután ismerheti meg, ha felhívja a  munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat  tegye felismerhetetlenné. A fennmaradó telefonszámokat a munkáltató megismerheti, mivel  a munkáltató képviseletében hívta fel a munkavállaló. A munkáltató nem kezelhet személyes  adatokat, nem ismerheti meg, hogy a munkavállaló magáncélból kit és mikor hívott fel. 

16.12. Vagyonvédelmi kamerarendszer által rögzített képmás: 

Az Adatkezelő vagyonvédelmi célból videó rögzítő rendszert üzemeltet a telephelyein és  működési területén. Az érintett munkavállalók a rögzítés tényének tudomásul vételével  szerepelhetnek a felvételeken.  

  1. A TÁRSASÁG ÁLTAL VÉGZETT EGYÉB ADATKEZELÉSEK 

17.1. Szervezeti struktúrára vonatkozó adatkezelés 

17.1.1. Tulajdonosok, vezető tisztségviselők, a társaság képviseletére jogosultak  nyilvántartása 

– az adatkezelés célja: kapcsolattartás, a társaság működésével, vezetésével,  képviseletével kapcsolatos feladatok ellátása 

– kezelt adatok köre: név, cím, e-mail cím, telefonszám, számlaszám, adószám, weboldal – adatkezelés jogalapja: érintett hozzájárulása, valamint a cégnyilvánosságról, a bírósági  cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény 10. § 

– az adatkezelés (tárolás) időtartama: a tisztség betöltéséig 

– személyes adatok címzettjei: nincs 

– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

17.2. Felügyelő bizottsági tagok nyilvántartása 

– az adatkezelés célja: kapcsolattartás, a társaság törvényes működésével,  ellenőrzésével kapcsolatos feladatok ellátása 

– kezelt adatok köre: név, születési név, születési idő, anyja neve, álladó lakcím,  adóazonosító jel, TAJ kártya szám, bankszámlaszám 

– adatkezelés jogalapja: Infotv., az érintett hozzájárulása 

– az adatkezelés (tárolás) időtartama: a tisztség betöltéséig 

– személyes adatok címzettjei: nincs 

– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

17.3. Munkavállalók nyilvántartása 

– az adatkezelés célja: munkaviszonnyal kapcsolatos ügyintézés 

– kezelt adatok köre: név, születési név, születési idő, anyja neve, álladó lakcím,  adóazonosító jel, TAJ kártya szám, bankszámlaszám  

– adatkezelés jogalapja: Infotv., a Munka Törvénykönyvéről szóló 2012. évi I. törvény, az  adózás rendjéről szóló 2017. évi CL. törvény, az érintett hozzájárulása

– az adatkezelés (tárolás) időtartama: a tisztség betöltéséig 

– személyes adatok címzettjei: nincs 

– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

17.4. Partnerek nyilvántartása (könyvvizsgáló, könyvelő, jogi képviselő, szakértő,  fordító, informatikai szolgáltató, vagyonvédelemi szolgáltató, takarítási szolgáltató) – az adatkezelés célja: kapcsolattartás, szolgáltatás igénybe vételével, illetve  teljesítésével kapcsolatos ügyintézés 

– kezelt adatok köre: név, cím, adószám, telefonszám, e-mail cím, bankszámlaszám – adatkezelés jogalapja: Infotv., az Érintett hozzájárulása  

– az adatkezelés (tárolás) időtartama: a szolgáltatás igénybevételének időtartamáig – személyes adatok címzettjei: nincs 

– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

17.5. Eger Megyei Jogú Város Önkormányzatának önkormányzati képviselőinek,  tisztségviselőinek, munkatársainak nyilvántartása  

– az adatkezelés célja: kapcsolattartás 

 – kezelt adatok köre: név, cím, telefonszám, e-mail cím 

– adatkezelés jogalapja: Infotv., az Érintett hozzájárulása  

– az adatkezelés (tárolás) időtartama: Eger Megyei Jogú Város Önkormányzatának az  EGER VÁROSI TURISZTIKAI NONPROFIT KFT.-ben fennálló tagsági jogviszonyának a  megszűnéséig, illetve az önkormányzati képviselők megbízásának megszűnéséig,  valamint az önkormányzati köztisztviselők és közszolgálati ügykezelők közszolgálati  jogviszonyának megszűnéséig 

– személyes adatok címzettjei: nincs 

– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

17.6. Eger Megyei Jogú Város Önkormányzatának önkormányzati fenntartási  intézményeinek, önkormányzati társaságainak, illetve ezen intézmények és társaságok  képviselőinek, munkatársainak nyilvántartása  

– az adatkezelés célja: kapcsolattartás 

 – kezelt adatok köre: név, cím, telefonszám, e-mail cím 

– adatkezelés jogalapja: Infotv., az Érintett hozzájárulása  

– az adatkezelés (tárolás) időtartama: Eger Megyei Jogú Város Önkormányzatának az  EGER VÁROSI TURISZTIKAI NONPROFIT KFT.-ben fennálló tagsági jogviszonyának a  megszűnéséig 

– személyes adatok címzettjei: nincs 

– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

17.7. Térségi, regionális és országos szakmai szervezetek vezetőinek, munkatársainak nyilvántartása  

– az adatkezelés célja: kapcsolattartás 

 – kezelt adatok köre: név, cím, telefonszám, e-mail cím 

– adatkezelés jogalapja: Infotv., az Érintett hozzájárulása  

– az adatkezelés (tárolás) időtartama: a szakmai szervezettekkel fennálló együttműködés  időtartamáig 

– személyes adatok címzettjei: nincs 

– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs

  1. Turisztikai Desztinációs Menedzsment (TDM) tevékenységgel kapcsolatos  adatkezelés 

18.1. Regisztráció eseményekre 

az adatkezelés célja: eseményeken való részvétel jelzése, kapcsolattartás,  tájékoztatatás 

a kezelt adatok köre: név, lakcím, e-mail cím (kérdéssel, hogy hozzájárul-e a címének  további tárolásához: igen/nem), telefonszám 

adatkezelés jogalapja: az érintett önkéntes hozzájárulása  

az adatkezelés (tárolás) időtartama: az esemény végéig 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

18.2. Regisztráció nyereményjátékok során 

az adatkezelés célja: a nyereményjátékon való önkéntes részvétel rögzítése, a  nyertesek tájékoztatása, kapcsolattartás 

a kezelt adatok köre: név, e-mail cím, telefonszám 

adatkezelés jogalapja: az érintett önkéntes hozzájárulása  

az adatkezelés (tárolás) időtartama: a nyereményjáték lezárásáig 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

18.3. Egri bor okostelefonos alkalmazás működtetése 

az adatkezelés célja: tájékoztatás, kapcsolattartás, marketing 

a kezelt adatok köre: borászat neve, a borászat vezetője, a borászat címe, e-mail  címe, telefonszáma, a borászat bemutatkozása, fényképek 

adatkezelés jogalapja: az érintett önkéntes hozzájárulása 

az adatkezelés (tárolás)időtartama: az érintett borászat hozzájáruló nyilatkozatának  a visszavonásáig 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

18.4. Programszervezők nyilvántartása 

az adatkezelés célja: tájékoztatás, kapcsolattartás 

a kezelt adatok köre: név, telefonszám, e-mail cím 

adatkezelés jogalapja: jogos érdek 

az adatkezelés (tárolás) időtartama: a jogos érdek fennállásának időtartamára  személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

 18.5. Árajánlatkérés 

az adatkezelés célja: az érintett számára megfelelő információ, ajánlat nyújtása és kapcsolattartás 

a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, bankszámlaszám adatkezelés jogalapja: Infotv., illetve az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: sikeres ajánlatkérés esetén az ajánlatkérés  alapján létrejött jogviszony hatálya alatt; sikertelen ajánlatkérés esetén az ajánlat  visszautasítását követően 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

 18.6. Önkéntesek fogadása 

az adatkezelés célja: önkéntesek feladataival kapcsolatos ügyintézés, az önkéntesek  tájékoztatása, kapcsolattartás

a kezelt adatok köre: név, anyja neve, születési idő, hely, személyi igazolvány  száma, cím, telefonszám, e-mail cím 

adatkezelés jogalapja: Infotv., illetve az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: az önkéntesekkel kötött szerződés hatálya alatt személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

18.7. Eseményen közreműködők (idegenvezetők / egyéb) nyilvántartása: az adatkezelés célja: tájékoztatás, kapcsolattartás 

a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, bankszámlaszám adatkezelés jogalapja: jogos érdek 

az adatkezelés (tárolás) időtartama: a jogos érdek fennállásának időtartamára  személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

  1. Turisztikai Desztinációs Menedzsment (TDM) tagsággal kapcsolatos  adatkezelés 

19.1. A tulajdonosok által képviselt szervezetekhez tartozó turisztikai szolgáltatók  nyilvántartása 

az adatkezelés célja: tájékoztatás, kapcsolattartás 

a kezelt adatok köre:  

o Magánszállásadók: szálláshely tulajdonosok neve, szálláshely megnevezése,  címe, telefonszám, email cím, számlaszám, adószám 

o Hotelek, panziók: tulajdonosok neve, kapcsolattartók neve, szálláshely  megnevezése, cím, telefonszám, e-mail cím, számlaszám, adószám 

o Borászok: tulajdonos neve, egység megnevezése, kapcsolattartó neve,  telefonszám, e-mail cím, számlaszám, adószám 

o Vendéglátóegységek: tulajdonosok neve, egység megnevezése,  kapcsolattartó neve, telefonszám, email cím, számlaszám, adószám 

adatkezelés jogalapja: az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

19.2. Idegenvezetők nyilvántartása 

az adatkezelés célja: tájékoztatás, kapcsolattartás 

a kezelt adatok köre: név, telefonszám, e-mail cím, adószám, bankszámlaszám adatkezelés jogalapja: az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

19.3. Egyéb szolgáltatók nyilvántartása 

az adatkezelés célja: tájékoztatás, kapcsolattartás 

a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, bankszámlaszám adatkezelés jogalapja: az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

  1. Egyedi turisztikai szolgáltatás megrendelésével kapcsolatos adatkezelés az adatkezelés célja: egyedi turisztikai szolgáltatás nyújtásának létrejötte a kezelt adatok köre: vevő neve, címe, telefonszáma, e-mail címe, adószáma,  bankszámlaszám

adatkezelés jogalapja: az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: az egyedi turisztikai szolgáltatás igénybevételéig személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás 

  1. Marketing tevékenység partneri hálózatával (írott és elektronikus sajtó, hirdetéskezelők, szerkesztőségek, nyomdák, partner szervezete) kapcsolatos adatkezelés 

az adatkezelés célja: kapcsolattartás 

a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, banki adatok adatkezelés jogalapja: az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás 22. Tourinform irodai tevékenyéggel kapcsolatos adatkezelés  

22.1. Turisztikai szolgáltatók (vállalkozók, cégek) adatainak a nyilvántartása az adatkezelés célja: tájékoztatás, kapcsolattartás 

a kezelt adatok köre:  

o szálláshelyek: tulajdonos neve, egység megnevezése, kapcsolattartó neve,  telefonszám, e-mail cím, számlaszám, adószám, weboldal 

o borászatok: tulajdonos neve, egység megnevezése, kapcsolattartó neve,  telefonszám, e-mail cím, számlaszám, adószám, weboldal 

o vendéglátóhelyek: tulajdonos neve, egység megnevezése, kapcsolattartó  neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal 

o múzeumok, kiállítóhelyek: megnevezés, hivatalos képviselő, kapcsolattartó  neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal 

o fürdők: megnevezés, hivatalos képviselő, kapcsolattartó neve, telefonszám, e mail cím, számlaszám, adószám, weboldal 

o sportolási lehetőségek (lovaglás, tenisz, fallabda, repülés): megnevezés,  hivatalos képviselő, kapcsolattartó neve, telefonszám, e-mail cím,  számlaszám, adószám, weboldal 

adatkezelés jogalapja: az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

22.2. Rendezvényszervezők, programgazdák nyilvántartása 

az adatkezelés célja: tájékoztatás, kapcsolattartás 

a kezelt adatok köre: megnevezés, hivatalos képviselő, kapcsolattartó neve,  telefonszám, e-mail cím, számlaszám, adószám, weboldal 

adatkezelés jogalapja: az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 22.3. Belépőjegy vásárlók (színházi előadásokra, koncertekre) adatainak kezelése  

az adatkezelés célja: számlaadási kötelezettség teljesítése 

a kezelt adatok köre: vevő neve, címe 

adatkezelés jogalapja: az általános forgalmi adóról szóló 2007. évi CXXVII. törvény,  valamint a számvitelről szóló 2000. évi C. törvény 

az adatkezelés (tárolás) időtartama: a számvitelről szóló 2000. évi C. törvény 169.  § (1) bekezdése alapján 8 év

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

22.4. Értékcikkek beszállítói (könyv, térkép, cd, dvd, autóbuszbérlek) adatainak  kezelése  

az adatkezelés célja: kapcsolattartás, megrendelések leadása, fogadása a kezelt adatok köre: megnevezés, hivatalos képviselő, kapcsolattartó neve,  telefonszám, e-mail cím, számlaszám, adószám, weboldal 

adatkezelés jogalapja: az érintett hozzájárulása/szerződés 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/  szerződés időbeli hatálya alatt 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

22.5. A Tourinform Irodában gyakorlatot teljesítő diákok adatainak kezelése  az adatkezelés célja: a gyakorlatot teljesítő diákok feladataival kapcsolatos  ügyintézés, a diákok tájékoztatása, kapcsolattartás 

a kezelt adatok köre:  

o középiskolás, egyetemista, főiskolás diákok szakmai gyakorlata: név, cím,  adóazonosító jel, telefonszám, e-mail cím, bankszámlaszám 

o duális képzésben résztvevők: név, cím, adóazonosító jel, telefonszám, e-mail  cím, bankszámlaszám 

o közösségi szolgálatot teljesítők: név, cím, adóazonosító jel, telefonszám, e mail cím 

adatkezelés jogalapja: az érintett hozzájárulása/szerződés 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/  szerződés időbeli hatálya alatt 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

22.5.1. A Tourinform Irodában gyakorlatot teljesítő diákokkal tanulói, illetve  hallgatói jogviszonyban középiskolákkal, egyetemekkel, illetve középiskolák,  egyetemek, szakmai gyakorlat kapcsolattartóival kapcsolatos adatok kezelése 

az adatkezelés célja: együttműködési megállapodásban foglaltak teljesítése a kezelt adatok köre: név, cím, telefonszám, e-mail cím 

adatkezelés jogalapja: az érintett hozzájárulása/szerződés 

az adatkezelés (tárolás) időtartama: az együttműködési megállapodás időbeli hatálya  alatt 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

 22.6. Önkéntesek fogadása 

az adatkezelés célja: önkéntesek feladataival kapcsolatos ügyintézés, az önkéntesek  tájékoztatása, kapcsolattartás 

a kezelt adatok köre: név, anyja neve, születési idő, hely, személyi igazolvány száma,  cím, telefonszám, e-mail cím 

adatkezelés jogalapja: Infotv., illetve az érintett hozzájárulása 

az adatkezelés (tárolás) időtartama: az önkéntesekkel kötött szerződés hatálya alatt személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

22.7. Kiadványszerkesztéssel kapcsolatos (grafikus, nyomdai) adatkezelés: az adatkezelés célja: kapcsolattartás, megrendelések leadása, fogadása a kezelt adatok köre: név, cím, telefonszám, e-mail cím,adóazonosító jel

adatkezelés jogalapja: az érintett hozzájárulása/szerződés 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/  szerződés időbeli hatálya alatt 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 23. Ajándékbolt tevékenyégével kapcsolatos adatkezelés  

23.1.Beszállítók adatainak kezelése 

az adatkezelés célja: kapcsolattartás, megrendelések leadása, fogadása a kezelt adatok köre: tulajdonos, kapcsolattartó neve, cím, adószám, telefonszám, e mail cím, bankszámlaszám 

adatkezelés jogalapja: az érintett hozzájárulása/szerződés 

az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/  szerződés időbeli hatálya alatt 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

23.2.Vevők adatainak kezelése 

az adatkezelés célja: számlaadási kötelezettség teljesítése 

a kezelt adatok köre: vevő neve, címe 

adatkezelés jogalapja: az általános forgalmi adóról szóló 2007. évi CXXVII. törvény,  valamint a számvitelről szóló 2000. évi C. törvény 

az adatkezelés (tárolás) időtartama: a számvitelről szóló 2000. évi C. törvény 169.  § (1) bekezdése alapján 8 év 

személyes adatok címzettjei: nincs 

harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 

  1. ADATBIZTONSÁGRA, ADATTOVÁBBÍTÁSRA VONATKOZÓ  RENDELKEZÉSEK 
  2. Adatbiztonság 

Az Adatkezelő gondoskodik az általa tárolt adatok biztonságáról. Ennek érdekében  megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai  eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt  adatállományok tekintetében. Kialakítja azokat az eljárási szabályokat, amelyek az  irányadó jogszabályok, adat-és titokvédelmi szabályok érvényre juttatásához  szükségesek. 

Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés,  megváltoztatás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen  megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó  hozzáférhetetlenné válás ellen. Az Adatkezelő az adatbiztonság feltételeinek  érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről.  

Az Adatkezelő az adatok biztonságát szolgáló intézkedések meghozatalakor és  alkalmazásakor tekintettel van a technika mindenkori fejlettségére. Az Adatkezelő több  lehetséges adatkezelési megoldás közül azt választja, amely a személyes adatok  magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene. 

24.1. Informatikai nyilvántartások védelme 

Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik  különösen:  

A jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a  szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés  védelem, hálózati védelem); 

Az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül  a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonsági kezeléséről  (biztonsági mentés); 

Az adatállományok vírusok elleni védelméről (vírusvédelem); 

Az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül  a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen  események következtében bekövetkező károsodások helyreállíthatóságáról  (archiválás, tűzvédelem). 

Az elektronikusan tárolt adatok esetében adatot csak nyilvántartott hozzáférési  jogosultsággal rendelkező adatkezelő kezelhet. Az adatkezelőnek egyéni, titkos jelszóval  kell bejelentkeznie a rendszerbe. A rendszerben történt, jelszóval védett adatkezeléséért  az adatkezelő felel. Az esetleges visszaélések elkerülése érdekében az adatkezelő  kötelezettsége, hogy egyéni jelszava titkosságát biztosítsa. Az adatkezelés befejeztével  az adatkezelőnek a rendszerből ki kell lépnie.  

24.2. Adatvédelmi intézkedések  

A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi  intézkedéseket teszi: 

az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá,  más számára át nem adhatók; 

a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel  ellátott helyiségben helyezi el; 

a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá; a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az  olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy  az irodát bezárja; 

a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papírlapú  adathordozót elzárja;  

amennyiben a papírlapon kezelt személyes adatok digitalizálásra kerülnek, a  digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a  Társaság. 

A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a  Társaság az alábbi intézkedéseket alkalmazza: 

az adatkezelés során használt számítógépek a Társaság tulajdonát képezik; a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható  jogosultsággal – legalább felhasználó névvel és jelszóval – lehet hozzáférni; a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő  jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá; 

amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az  adatot tartalmazó fájl visszaállíthatatlanul törlésre vagy anonomizálásra kerül, az adat újra vissza nem nyerhető; 

a hálózaton tárolt adatok biztonsága érdekében az Adatkezelő a szerveren folyamatos  biztonsági mentéssel kerüli el az adatvesztést;

az adatkezelő a személyes adatokat tartalmazó adatbázisok aktív adataiból napi  mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik; az Adatkezelő a személyes adatokat kezelő hálózaton a vírusvédelemről  folyamatosan gondoskodik; 

a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával  megakadályozza illetéktelen személyek hálózati hozzáférését. 

24.3. Szerverek biztonsága 

A Társaság által kezelt személyes adatok áramlását elektronikus módon szerverek  segítségével valósítják meg, fizikai tárolásukat pedig adattárolók segítségével. Mind az  adattárolókat, mind pedig a szervereket külön erre a célra kialakított helyiségben kell  elhelyezni. Erre a helyiségre vonatkozóan ki kell alakítani egy hozzáférési jogosultsággal  rendelkező munkavállaló bázist, akik engedéllyel férhetnek hozzá ezekhez az  eszközökhöz és esetlegesen a rajtuk tárolt adatokhoz. A szerverszobába való belépési  jogosultságot a munkavállalónak külön kell igényelnie, amit az informatikai vezetőnek  (amennyiben kinevezésre vagy megbízásra került belső adatvédelmi felelős, abban az  esetben vele egyetértésben) kell elbírálnia. A helyiségbe csak előre meghatározott és  tételesen felsorolt személyek léphetnek be. A személyes adatok tárolásának helyén, a  szerverszobákban tárolt szerverek fizikai védelme érdekében a Társaság az alábbi  intézkedéseket hozza: 

a szerverszoba fizikai védelmét tűzgátló falak biztosítják; 

a szerverszoba klimatizált és tűzjelző berendezéssel ellátott; 

a szerverszobába csak a szerverszoba kulcsfelvételi engedéllyel rendelkező  rendelkezhet saját kulccsal vagy veheti át a kulcs kezelőjétől a szerverszoba kulcsát; a kulcsfelvételi engedéllyel rendelkezőkről nyilvántartást vezet az adatkezelő; aki nem a Társaság alkalmazottja, az nem rendelkezik kulcsfelvételi engedéllyel; a kezelt kulcsok típusa lehet állandó vagy eseti, állandó kulcsfelvételi jogosultság  birtokában dedikált kulccsal rendelkezhet az engedély birtokosa; 

Társaság ezen feladattal megbízott munkatársa folyamatosan rögzíti a nem dedikált  kulcsok felvételét és leadását; 

amennyiben olyan személynek kell tevékenysége ellátása érdekében bemenni a  szerverszobába, aki nem jogosult a kulcs felvételére vagy nem a Társaság  alkalmazottja, akkor minden esetben tartózkodik vele egy olyan személy is a  szerverszobában, aki kulcsfelvételi engedéllyel rendelkezik. 

24.4. Papíralapú nyilvántartások védelme  

Az Adatkezelő a papírlapú nyilvántartások védelme érdekében megteszi a szükséges  intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében. 

A munkavállalók és egyéb, az Adatkezelés érdekében eljáró személyek az általuk  használt, vagy birtokukban lévő személyes adatokat is tartalmazó adathordozókat,  függetlenül az adatok rögzítésének módjától kötelesek biztonságosan őrizni, és védeni a  jogosultatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy  megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.  

A manuálisan kezelt iratokat a Dokumentumkezelési Szabályzatnak megfelelően kell  irattárba helyezni.

  1. Adattovábbítás 

25.1. Az adattovábbítás általános szabályai 

A Társaság által kezelt adatokból személyes adatot továbbítani csak jogszabályban  meghatározott körben, illetve ezen kötelezettség teljesítése érdekében, valamint az  érintett beleegyezésével lehet a célhoz kötöttség elvének maradéktalan  érvényesítésével. 

Az adattovábbítás jogszerű, ha a személyes adat birtokába lévő szerv vagy személy  jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig jogszabályi  felhatalmazással vagy az érintett hozzájárulásával rendelkezik. Az adattovábbítás  feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.  

Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a  jogszabályban kötelezően előírt adattovábbítás esetét kivéve – az érintett szervezeti  egység vezetője, amennyiben az adattovábbítás jogalapja kérdéses, kérheti az  adatvédelmi felelős állásfoglalását.  

Az adatigénylés abban az esetben teljesíthető, ha tartalmazza: 

az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos  megjelölését), 

a kért adatok körének pontos meghatározását és 

az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó  adatigénylés esetén az érintettek azonosításához szükséges csoportképző  ismérveket. 

Az adattovábbítás történhet kérelemre vagy törvény ilyen tartalmú rendelkezése alapján  automatikusan, illetve a hozzáférés biztosítható kérelem alapján történő egyedi  adatszolgáltatással vagy számítógépes (online) lekérdezés lehetővé tételével közvetlen  lekérdezéssel. 

Számítógépes adatállomány rendszerbe állítása esetén az adattovábbítás naplózását  programtechnikailag biztosítani kell. A már működő adatállományok esetében a technikai  és költségvetési lehetőségek függvényében szintén kezdeményezni kell az  adattovábbítás céljának naplózásához szükséges technikai feltételek megteremtését.  Manuális adatkezelések esetén – vagy ha a számítógépes adatkezelésnél a naplózás  nem biztosítható – manuális módon kell gondoskodni az adattovábbítási nyilvántartás  vezetéséről. 

Az Adatkezelő külföldre nem továbbít adatokat. Nem minősül külföldre való  továbbításnak, ha az érintett külföldi szolgáltatóknál regisztrált elektronikus  kapcsolattartási címet ad meg.

  1. Vonatkozó jogszabályok 

Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. adatkezelési alapelvei összhangban  vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az  alábbiakkal: 

  • az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR); • 2011. évi CXII. törvény — az információs önrendelkezési jogról és az  információszabadságról  
  • 2013. évi V. törvény — a Polgári Törvénykönyvről (Ptk.); 
  • 1997. évi CLV. törvény — a fogyasztóvédelemről (Fgytv.); 
  • 2017. évi XC. törvény — a büntetőeljárásról (Be.); 
  • 2000. évi C. törvény — a számvitelről (Számv. tv.); 
  • 2007. évi CXXVII. törvény – az általános forgalmi adóról szóló, 
  1. HATÁLYBALÉPTETŐ RENDELKEZÉSEK 

Ez a szabályzat 2019. július 19. napján lép hatályba. 

  

Eger, 2019. július 19.  
Törőcsik Gábor 
ügyvezető