Menu
EN
Adatvédelem átláthatóan

Privacy Policy

Purpose and Scope of the policy

(1) The purpose of this data management information (hereinafter referred to as the “Information”) is to determine the legal order of the use of the registers/databases kept by BalaLand Hotel Üzemeltető Korlátolt Felelfösségű Társaság (hereinafter referred to as the “Data Controller”) during the operation of Mövenpick Balaland Resort Lake Balaton and its associated BalaLand Family Park, and to ensure the enforcement of the constitutional principles of data protection, the right to informational self-determination and data security requirements, and to ensure that everyone has access to their personal data within the framework of legal regulations, can learn about the circumstances of their management, and prevents unauthorized access, alteration of data and unauthorized disclosure. Furthermore, this Information serves as information to inform the data subjects about the Data Controller’s data management practices. .

Applicable Legislation

  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation; hereinafter referred to as “GDPR”)
  • Act CXII of 2011 on the right to informational self-determination and freedom of information (hereinafter: “Infotv.”)
  • Act V of 2013 on the Civil Code (hereinafter: “Ptk.”)
  • Act CXXX of 2016 on the Code of Civil Procedure (hereinafter: “Pp.”)
  • Act CVIII of 2001 on certain issues of electronic commerce services and services related to the information society (hereinafter: “Elkertv.”)
  • Act CLXIV of 2005 on trade (hereinafter: “Kertv.”)
  • Act CLVI of 2016 on state tasks in the development of tourist areas
  • Act II of 2007 on the entry and residence of third-country nationals (hereinafter: “Harmtv.”)
  • Act CLV of 1997 on Consumer Protection (hereinafter: “Fgy.tv.”)
  • Act C of 1990 on Local Taxes (hereinafter: “Htv.”)
  • Act CL of 2017 on the Taxation System (hereinafter: “Art.”)
  • Act XLVIII of 2008 on the Basic Conditions and Certain Limits of Economic Advertising Activity (hereinafter: “Advertising Act.”)
  • 239/2009. (X. 20.) Government Decree on the detailed conditions for the provision of accommodation services and the procedure for issuing accommodation operating permits
  • 114/2007. (V.24.) Government Decree on the implementation of Act II of 2007 on the entry and residence of third-country nationals

Data Controller Information

The current data of the Data Controller are as follows:

  • Name: BalaLand Hotel Üzemeltető Korlátolt Felőlősségű Társaság
  • Registered office: 1026, Budapest, Pasaréti út 122-124
  • Company registration number: 01-09-404329
  • Tax number: 32047679-2-41
  • Telephone number: +36 86 526 888
  • E-mail address: hc089@movenpick.com
  • Name of Data Protection Officer: Anikó Ferenczy
  • E-mail address of Data Protection Officer: Aniko.Ferenczy@movenpick.com
  • Telephone number of Data Protection Officer: +36 30 257 7751

Scope of Processed Personal Data, Purpose, Duration and Legal Basis

  • (1) Data providers are obliged to provide all data provided to the best of their knowledge and accurately.
  • (2) If the data subject does not provide his or her own personal data, the data subject shall be obliged to obtain the consent of the data subject.
  • (3) If the Data Controller transfers data to data processors or other third parties, the Data Controller shall keep a record of such transfers. The record of the transfer shall include the recipient, method, time of transfer and the scope of the transferred data.
  • (4) Data processing related to certain activities of the Data Controller:
  1. Processing of guest data in connection with the provision of accommodation services

Legal basis for data processing: performance of contract

Scope of data processed: data processed in the context of online accommodation booking: name, e-mail address, bank card number, optionally: food sensitivity: in the case of a group booking, the number of food-sensitive members of the group, in the case of an individual booking: indication of food sensitivity in the notes; if an e-mail address is provided in advance, the Data Controller provides the data subjects with the opportunity to use pre-registration, within the framework of which the following data will be processed: name, date of birth, nationality, address, passport number; data provided personally at the accommodation: personal identification data (name, date of birth, address), signature Data processing platform: The Data Controller processes data both on paper and electronically; if the data subject does not use the Data Controller’s services via online accommodation booking or pre-registration, their data will be recorded on paper when the accommodation is booked. After recording the data on paper, the Data Controller also stores the processed data in an electronic system. Purpose of data processing: providing accommodation services, making accommodation bookings more convenient and advantageous

  • Data Processor: For the electronic storage of data
  • Data Processor Oracle Hungary Kft. (Millenium Tower II, 1095
  • Budapest, Lechner Ödön Fasor 7.,
  • cégj.sz.: 01-09-264442, adósz.: 10845606-2-44)

Legal basis for data transfer: Legitimate interest of the data controller

Deadline for data deletion: in the case of paper-based data management, 5 years from departure, in the case of electronic data management, the data will be archived after 2 years and then deleted after 9 years

Potential consequences of the lack of data provision: failure to use the accommodation service in the case of mandatory data, deterioration of the efficiency of the service in the case of optional data, failure to book discounted accommodation

Order transfer

Legal basis for data processing: consent of the data subject

Scope of data processed: name, room number

Data processing platform: electronically/on paper

Purpose of data processing: arranging a transfer for the data subject

Deadline for data deletion: 3 days after the transfer is completed

Data transfer: to the company providing the transfer service (only the name of the data subject)

Possible consequence of lack of data provision: failure of the transfer order

Restaurant reservation

Legal basis for data processing: consent of the data subject

Scope of data processed: name, optionally, if the data subject

Data controller’s guest: room number

Data processing platform: electronically/on paper

Purpose of data processing: arranging a restaurant reservation at the request of the data subject

Deadline for data deletion: 3 days after the performance of the restaurant service
Possible consequence of lack of data provision: failure to reserve the restaurant service

Local tourist tax payment obligation

Legal basis for data processing: fulfillment of legal obligations

Scope of data processed: name, birth name, place and time of birth, residential address, permanent residential address, passport or ID card number, optionally: student ID number (if the data subject has a student ID), date of arrival and expected date of departure, purpose of stay, signature

Data processing platform: paper-based/electronic

Purpose of data processing: fulfillment of the local tourist tax payment obligation

Deadline for data deletion: until the right to tax enforcement expires, 5 years Possible consequences of failure to provide data: no possibility to refuse to provide data due to legal obligations.

Keeping a complaint book

Legal basis for data management: compliance with a legal obligation

Scope of data managed: name, address, signature

Platform for data management: paper-based

Purpose of data management: compliance with the obligation to keep a complaint register as stipulated in Section 17/A. (5) of the Fgy.tv., ensuring/enforcing the data subject’s right to complain Deadline for data deletion: the Data Controller is obliged to keep the minutes of the complaint and a copy of the response for five years and present them to the supervisory authorities upon their request. Possible consequences of failure to provide data: there is no possibility to refuse to provide data due to a legal obligation

Guestbook management

Legal basis for data processing: compliance with a legal obligation

Scope of data processed: family name and first name(s), family name and first name(s) at birth, previous family name and first name(s); place and time of birth, gender, mother’s family name and first name(s), citizenship(s) or stateless status, travel document identification data, visa or residence permit number

Data processing platform: on paper or electronically (the Data Controller is entitled to determine the method of keeping the guestbook) The Data Controller may also keep the guestbook electronically in accordance with the Act on the Entry and Residence of Third-Country Nationals using the accommodation management software. (National Tourism Data Service Center)

Purpose of data processing: compliance with the legal obligation to register guests arriving from third countries, compliance with the obligation to fill in the guestbook

Deadline for data deletion: five years from the date of recording

Possible consequence of failure to provide data: no possibility to refuse to provide data due to legal obligation

Send newsletter

Legal basis for data processing: data subject consent

Scope of data processed: e-mail address, optionally: name, company name, telephone number, month, day of birth

Data processing platform: electronically

Purpose of data processing: sending electronic newsletters to subscribers’ email addresses about current news, available discount offers, and sending advertising messages

Deadline for data deletion: until consent is withdrawn

Possible consequences of the lack of data provision: inability to receive information about current news and available discount offers by e-mail

Data processor: BalaLand Hotel Kft., 1026 Budapest, Pasaréti út 122-124

Sending and evaluating satisfaction surveys

Legal basis for data processing: consent of the data subject

Scope of data processed: name, e-mail address, personal data included in the questionnaires

Platform of data processing: electronically

Purpose of data processing: to assess how satisfied the data subject is with the services provided by the Data Controller; to develop the services provided by the Data Controller

Deadline for data deletion: until consent is withdrawn

Possible consequence of the lack of data disclosure: failure for the Data Controller to receive feedback on consumer perceptions of the services it provides

Instagram

Legal basis for data processing: consent of the data subject with indicative behavior

The data controller informs the data subjects that it has no influence on the data processing of the subpage operated by Instagram and created by the data controller under https://www.instagram.com/movenpickbalaland/ alother than the storage and deletion of messages sent through the page. Detailed information on the processing of data subjects can be found in Instagram’s information available at the following address:

https://help.instagram.com/1896641480634370?ref=ig 

If the data subject wishes to restrict or delete the data relating to him/her, only Instagram can fulfill this request, so please contact the service provider!

IMPORTANT NOTE: Some of the cookies operated by the Instagram site are installed on the user’s computer even if the data subject does not have an Instagram registration, but opens content on the Instagram site (e.g. as a result of search results).

Possible consequences of the lack/prohibition of data disclosure: Impossibility of accessing content shared on the Data Controller’s Instagram page

Invoicing

Legal basis for data processing: fulfillment of legal obligations

Scope of data processed: name; address, ID card or passport number, citizenship, place and date of birth, visa number, email address

Data processing platform: invoices are issued using an electronic database

Purpose of data processing: fulfillment of legal obligations

Data processor: BalaLand Hotel Kft., 1026 Budapest, Pasaréti út 122-124.

Legal basis for data transfer: Legitimate interest of the data controller

Deadline for deleting data: 9 years after the invoice is issued

Possible consequences of failure to provide data: there is no way to refuse to provide data due to legal obligation

Data Subject Rights and Remedies

  • (1) Data subjects may at any time request information in writing from the Data Controller about the way in which their personal data is processed, may indicate their request for deletion or modification, and may withdraw their previously given consent using the contact details provided in point 3.
  • (2) The data subject may not exercise his/her right to erasure in the case of data processing that is mandatory under the law.
  • (3) Content of the right to information: Based on the request of the data subject, the Data Controller shall provide the data subject with the information listed in Articles 13 and 14 of the GDPR regarding the processing of personal data, as well as the information pursuant to Articles 15-22 and 34, in a concise, plain and understandable form.
  • (4) Content of the right of access: Upon request by the data subject, the Data Controller shall provide information on whether data processing concerning him/her is in progress at the Data Controller. If the Data Controller is in progress at the Data Controller, the data subject shall have the right of access to the following:
    • a. Personal data concerning him/her;
    • b. purpose(s) of data processing;
    • c. the categories of personal data concerned;
    • d. the persons to whom the data subject’s data has been disclosed, or will be announced
    • e. the duration of data storage;
    • f. the right to rectification, erasure and restriction of data processing;
    • g. the right to apply to the court or supervisory authority;
    • h. source of the processed data;
    • i. profiling and/or automated decision-making, as well as the details and practical effects of such application;
    • j. transfer of processed data to a third country or international organization.
  • (5) In the event of a data request as described above, the Data Controller shall provide the data subject with a copy of the data processed by it in accordance with the request. It is possible to request electronic delivery from the Data Controller upon separate request.
  • (6) The data controller charges an administration fee of HUF 500 per page for each additional copy.
  • (7) The deadline for issuing the requested data is 30 days from the receipt of the request.
  • (8) Right to rectification: The data subject may request the rectification of inaccurate data concerning him or her processed by the Data Controller.
  • (9) Right to erasure: If any of the following reasons apply, the Data Controller shall, at the request of the data subject, erase the data relating to the data subject as soon as possible, but no later than within 5 working days:
    • a. The data was processed unlawfully (without legal authorization or personal consent);
    • b. the processing of the data is not necessary to achieve the original purpose;
    • c. the data subject withdraws his/her consent to the data processing and the Datab Controller has no other legal basis for the data
    • d. the data in question were collected in connection with the provision of information society services;
    • e. the personal data must be deleted to comply with legal obligations applicable to the Data Controller.
    • f. The Data Controller is not able to delete the data if the data processing is necessary for any of the following purposes:
      • Further processing is necessary to comply with legal requirements applicable to the Data Controller;
      • necessary for the exercise of the right to freedom of expression and information; c. in the public interest;
      • for archiving, scientific, research or statistical purposes;
      • for the establishment or defence of legal claims.
    • g. Right to restriction of data processing: If any of the following reasons apply, the Data Controller shall restrict data processing at the request of the data subject:
      • The data subject disputes the accuracy of the data relating to him/her, in which case the restriction applies for the period until the accuracy and correctness of the data in question can be credibly reviewed;
      • the data processing is unlawful, but the data subject requests that the deletion not be carried out, but only requests the restriction of data processing;
      • the data is no longer necessary for data processing, but the data subject requests their continued storage for the exercise or defense of legal claims;
    • h. If the Data Controller imposes a restriction on any processed data, during the period of the restriction, it shall only process the data concerned if and to the extent that:
      • The data subject consents to this;
      • necessary to assert or defend legal claims;
      • necessary to enforce or protect the rights of another person;
      • necessary to enforce public interest.
    • i. Right to withdrawal: The data subject has the right to withdraw his/her consent to the Data Controller at any time – in writing. In the event of such a request, the Data Controller shall immediately and permanently delete all data processed in relation to the data subject, the further storage of which is not required by law or is not necessary for the exercise or protection of rights related to legitimate interests. The lawfulness of the data processing carried out until the consent is withdrawn shall not be affected by the withdrawal.
    • j. Right to data portability: The data subject has the right to request that the Data Controller transmit the data concerning him or her to another data controller in a commonly used, computer-readable format. The Data Controller shall comply with the request as soon as possible, but no later than within 30 days.
    • k. Automated decision-making and profiling: The data subject has the right not to be subject to a decision based solely on automated processing (such as profiling) which would have legal effects on him or her or would otherwise adversely affect him or her. This right does not apply if:
      • the processing is necessary for the conclusion or performance of a contract between the data subject and the Data Controller;
      • the data subject expressly consents to the use of such a procedure;
      • its use is authorised by law;
      • necessary for the exercise or defence of legal claims.

Contact

(1) The Data Controller stores the e-mail received during the contact with the Data Controller and its content (in particular the sender’s name, address, date, attachments) for 5 years and then deletes it. An exception to this is a communication whose content the Data Controller deems insignificant and therefore deletes it within 30 days.

Data Storage and Security

  • (1) The data controller shall keep the data it processes – both in paper and electronic form – at its registered office.
  • (2) The exception to point (1) is the data stored by the Data Controller’s data processors, the storage location of which is located at the data processors’ registered office.
  • (3) The data controller uses an IT system for its operations that ensures that the data:
    • its unchangeability can be verified (data integrity);
    • its authenticity is ensured (data processing authenticity);
    • it is accessible to those authorized to do so (availability);
    • it is protected against unauthorized access (data confidentiality).
  • (4) Data protection shall cover in particular:
    • unauthorized access;
    • alteration;
    • transmission;
    • deletion;
    • disclosure;
    • accidental damage;
    • accidental destruction;
    • or inaccessibility resulting from a change in the technology used.
  • (5) In order to protect electronically processed data, the Data Controller shall use a solution that provides an appropriate level of security in accordance with the current state of the art. During the assessment of compliance, special emphasis is placed on the degree of risk arising from the data processing carried out by the Data Controller. IT protection ensures that the stored data cannot be directly assigned or linked to the data subjects (unless permitted by law).
  • (6) During data processing, the Data Controller ensures that:
    • the person authorized to access the data when they need it;
    • only those authorized to access the information have access;
    • the accuracy and completeness of the information and the processing method are protected.
  • (7) The Data Controller and any data processors used shall at all times ensure protection against fraud, espionage, viruses, break-ins, vandalism and natural disasters against their IT systems. The Data Controller (or the data processor) shall apply server-level and application-level protection procedures.
  • (8) Messages transmitted to the Data Controller via the Internet – in any form – are particularly vulnerable to network threats that lead to the modification of information, access by unauthorized persons, or other illegal activities. However, the Data Controller does everything that is reasonably possible and expected of it in accordance with the current state of the art to prevent such threats. To this end, the systems used are monitored in order to record security deviations, to obtain evidence of security incidents, and to examine the effectiveness of the precautions.

Procedural rules

  • (1) If the Data Controller receives a request pursuant to Articles 15-22 of the GDPR, the Data Controller shall inform the data subject in writing as soon as possible, but no later than within 30 days, of the measures taken based on the request.
  • (2) If justified by the complexity of the request or other objective circumstances, the above deadline may be extended once, for a maximum of 60 days. The Data Controller shall notify the data subject in writing of the extension of the deadline, together with the appropriate justification for the extension.
  • (3) The data controller shall provide the information free of charge, unless:
  1. a. the data subject repeatedly requests information/measures with essentially unchanged content;
  2. b. the request is clearly unfounded;
  3. c. the request is excessive.
  • (4) In the cases referred to in point (3), the Data Controller is entitled to:
  1. a. refuse the request;
  2. b. make the execution of the request subject to payment of a reasonable fee in connection therewith.
  • (5) If the applicant requests the transfer of data on paper or on an electronic data medium (CD or DVD), the Data Controller shall provide a copy of the data concerned free of charge in the requested manner (unless the chosen platform would technically present a disproportionate difficulty). For each additional copy requested, an administration fee of HUF 500 per page/CD-DVD is charged.
  • (6) The data controller shall notify all persons to whom the data concerned were previously communicated of the rectification, erasure or restriction carried out by it, unless the information is impossible or requires a disproportionate effort.
  • (7) If the data subject requests it, the Data Controller shall provide information on the persons to whom his/her data has been forwarded.
  • (8)The data controller shall respond to the request in electronic form, unless:
  1. a. the data subject explicitly requests the answer in a different way, and this does not cause unreasonably high additional costs for the Data Controller;
  2. b. the Data Controller does not know the data subject’s electronic contact details.

Compensation

  • (1) If any data subject suffers material or non-material damage as a result of a breach of data protection legislation, he or she shall be entitled to claim compensation from the Controller and/or the processor. If the Controller and the processor(s) are also involved in the breach, they shall be jointly and severally liable for the damage suffered.
  • (2) The data processor is only liable for damages incurred if it has violated the provisions of the relevant data protection legislation specifically formulated for data processors, or if the damage occurred due to disregard of the instructions of the Data Controller.
  • (3) The Data Controller and any data processors are only liable if they cannot prove that they are not responsible for the event or circumstance that caused the damage.

Legal remedy

  • (1) If you have any objections or problems regarding the Data Controller’s data processing, please contact the Data Controller’s data protection officer in confidence.
  • (2) If the data subject believes that his or her rights have been violated by the Data Controller and/or the data processors, he or she is entitled to apply to a court with jurisdiction and authority pursuant to the Personal Data Protection Act. The court shall proceed with the case without delay.
  • (3) If the data subject wishes to file a complaint regarding data processing, he/she may do so at the National Authority for Data Protection and Freedom of Information, at the following contact details: registered office: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.; postal address: 1530 Budapest, Pf.: 5. Telephone: 061/391-1400; fax: 061/391-1410; e-mail address: ugyfelszolgalat@naih.hu; website: www.naih.hu.

Authority Cooperation

  • (1) The Data Controller, if it receives an official request from the competent authorities, shall be obliged to provide the specified personal data.
  • (2) The Data Controller shall only transfer data in the cases referred to in point (1) which are strictly necessary to achieve the purpose specified by the requesting authority.

Kelt: Szántód, 2023. 04. 14.

Szabályzati nyilatkozat

A BalaLand Hotel Üzemeltető Kft. elkötelezett amellett, hogy teljesen megfeleljen az Európai Unió (EU) általános adatvédelmi rendeletének (GDPR), a BalaLand Hotel Üzemeltető Kft. üzleti műveletei közben kezelésre kerülő, az EU ország polgáraihoz tartozó személyes adatok védelme érdekében.

Szándék

Jelen szabályzat lefekteti az EU ország polgáraihoz tartozó, nyilvántartási rendszer részét képező személyes adatok feldolgozása közben betartandó követelményeket.

Hatály

Jelen szabályzat érvényes minden BalaLand Hotel Üzemeltető Kft.  alkalmazottra és a BalaLand Hotel Üzemeltető Kft.  nevében eljáró, EU ország polgára személyes adatai kezelését végző szolgáltatást nyújtó harmadik félre, beleértve, de nem kizárólagosan, az alkalmazottakat, az alvállalkozókat, a tanácsadókat és egyéb szolgáltatásnyújtókat. Minden, jelen szabályzat végrehajtása érdekében készült belső szabályzatnak és folyamatnak összhangban kell állnia a jelen szabályzattal és annak részletszabályait kell megállapítania.

Definíciók

Érintett: ez alatt értendő minden alkalmazott, ügyfél, paciens, egészségügyi szakember (EUSZ), szolgáltatást nyújtó harmadik fel és egyéb azonosított vagy azonosítható természetes személyek, akiknek a személyes adatait a BalaLand Hotel Üzemeltető Kft. feldolgozza.

Európai Unió (EU): jelen szabályzat értelmezésében az Európai Unió 27 tagállamát.

„Európai (EU) ország” az EU tagállamait, Norvégiát, Izlandot, Liechtensteint, Svájcot, továbbá az Egyesült Királyságot jelenti, miután az Egyesült Királyság kilépett az EU-ból;

mely bizonyos kritériumok alapján érhető csak el, akár központilag, akár nem, akar funkció vagy földrajzi helyzet alapján szétválogatva, akar elektronikusan, akar papíralapon tárolva.

Személyes adat: bármely, egy azonosított vagy azonosítható természetes személlyel (érintett) kapcsolatos információ. Egy azonosítható természetes személy egy közvetlen vagy közvetett módon azonosítható személy, különösképpen egy azonosító jelére való utalás által, ilyenek például: név, személyazonosító, tartózkodási hely, online azonosítók vagy egyéb fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy társadalmi azonosító jelek.

Folyamat: bármely művelet vagy műveletegyüttes, amelyet személyes adaton, ideértve az érzékeny személyes adatot is, hajtanak végre, beleértve a gyűjtést, felhasználást, feljegyzést, rendszerezést, felépítést, átvitelt, hozzáférést, tarolást, közzétételt, törlést es megsemmisítést.

Kérjük, olvassa el a BalaLand Hotel Üzemeltető Kft.  GDPR honlapján tálalható GDPR szószedetet a jelen szabályzatban használt további kifejezések megismeréséhez.

Szabályzat részletei

1. Adatvédelmi alapelvek

1.1. A BalaLand Hotel Üzemeltető Kft. köteles bevezetni minden megfelelő, az iparagban standardkent elfogadott technikai, fizikai es szervezeti intézkedést, amellyel biztosítani tudja az adatvédelmi alapelvek beágyazódását az EU ország polgáraihoz tartozó személyes adatok kezelésébe, és a szükséges biztonsági lépések integrálódását a GDPR által előírt minimális adatvédelmi követelmények teljesüléséhez es az érintettek jogainak védelméhez.

1.2. A BalaLand Hotel Üzemeltető Kft. alapértelmezettként bevezeti a GDPR adatvédelmi alapelveit, es biztosítja, hogy az EU ország polgáraihoz tartozó személyes adatok:

1.2.1. méltányosan, törvényesen és átlátszóan kerülnek feldolgozásra;

1.2.2. egy vagy több, meghatározott, kifejtett és törvényes célból kerülnek begyűjtésre, és nem kerülnek olyan módon további kezelésre, amely ellentmondana ezeknek a céloknak;

1.2.3. megfelelőek, relevánsak es korlátozottak annak függvényében, hogy milyen célból kerülnek kezelésre;

1.2.4. pontosak, és – szükség szerint – mindig naprakészek, és minden, az EU ország polgáraihoz tartozó, pontatlan vagy elavult személyes adat azonnali törlésre vagy kijavításra kerül;

1.2.5. olyan formátumban kerülnek tárolásra, amely csak addig teszi lehetővé az érintettek azonosítását, amely az EU ország polgáraihoz tartozó személyes adat kezelésének céljához szükséges;

1.2.6. az érintettek jogainak megfelelően kerülnek kezelésre;

1.2.7. oly módon kerülnek kezelésre, amely biztosítja az EU ország polgáraihoz tartozó személyes adatok megfelelő biztonságát, beleértve a jogosulatlan es törvénytelen feldolgozás, véletlen adatvesztés, megsemmisülés vagy megsérülés elleni védelmet, a megfelelő technikai es szervezeti biztonsági intézkedéseken keresztül.

2. EU ország polgára, mint érintett jogai

A BalaLand Hotel Üzemeltető Kft. köteles biztosítani, hogy az EU ország-polgárára, mint érintettre a GDPR által ruházott jogok teljes mértékben tiszteletben legyenek tartva, és minden ésszerű intézkedést megtenni, hogy megfeleljen azoknak. Ezek közé tartoznak az EU ország polgára, mint érintett következő jogai:

2.1. a szándékozott adatkezelési tevékenységről való értesítés és tájékoztatás joga;

2.2. személyes adataihoz való hozzáférés joga;

2.3. helyesbítés kérésének joga;

2.4. törlés kérésének joga;

2.5. a kezelés bizonyos körülmények közötti korlátozásának joga;

2.6. adati hordozhatóságának joga;

2.7. az érintettre jogszerű vagy hasonló jelentőségű hatással bíró, kizárólag automatikus feldolgozáson alapuló döntés alóli felmentettség joga;

2.8. a kezelés elleni tiltakozás joga, és

2.9. felügyeleti hatósághoz fordulás joga.

3. Adatvédelmi hatásvizsgálatok

A BalaLand Hotel Üzemeltető Kft. egyes esetekben köteles adatvédelmi hatásvizsgálatokat (AVHV) végezni a BalaLand Hotel Üzemeltető Kft. adatkezelési tevékenységeinek dokumentálása céljából, illetve az érintettek szabadságaira és jogaira nézve kockázatot jelentő tényezők felmerése céljából. Az AVHV ezen felül megfogalmazza a BalaLand Hotel Üzemeltető Kft. által az érintettekre nézve kockázatot jelentő tényezők enyhítésére elfogadott intézkedéseket, védelmeket és mechanizmusokat. Az AVHV elvégzése kötelező, amennyiben az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

4. Nyilvántartás

A BalaLand Hotel Üzemeltető Kft. köteles az egyes adatkezeléseket nyilvántartani. A nyilvántartás a következő információkat tartalmazza:

  • a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; b) az adatkezelés céljai;
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  • olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
  • ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  • ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. A

BalaLand Hotel Üzemeltető Kft.  köteles biztosítani, hogy a nyilvántartás mindig naprakész legyen, és az adatkezelési folyamatokat pontosan tükrözze.

5. Adatvédelmi incidensek és a magánélet megsértése

A BalaLand Hotel Üzemeltető Kft. köteles átlátható folyamatokat biztosítani minden adatvédelmi incidens jelentésére, kivizsgálására, enyhítésére és kezelésére, illetve minden vonatkozó magánéleti sérelem a releváns adatvédelmi hatóság részére történő 72 órán belüli jelentésére kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A BalaLand Hotel Üzemeltető Kft. köteles feljegyzéseket készíteni minden adatvédelmi és magánéletet sértő incidensről, beleértve az egyes incidensekhez kapcsolódó tényeket, hátasokat, jogorvoslati lépéseket és értesítéseket.

6. EU ország polgárai személyes adatainak átvitele nem EU-tagállamokba

Amennyiben EU ország polgárai személyes adatai kerülnek átvitelre harmadik országba, a BalaLand Hotel

Üzemeltető Kft.  köteles biztosítani a GDPR által az efféle átvitelekre vonatkozóan megállapított követelményeket.

7. Adatfeldolgozók

A BalaLand Hotel Üzemeltető Kft. köteles megfelelő es elégséges garanciákat biztosítani, beleértve a GDPRnak megfelelő technikai és rendszerezési intézkedéseket az adatfeldolgozó igénybevétele esetén. Az adatfeldolgozóval való kapcsolatot írásos megállapodással kell szabályozni, amelynek tartalmaznia kell ezeket a garanciákat, beleértve -esettől függően – a BalaLand Hotel Üzemeltető Kft.  magánélet- es adatvédelmi függeléket.

8. Képzés

A BalaLand Hotel Üzemeltető Kft.  köteles összeállítani egy képzési programot a GDPR-ral kapcsolatban, hogy tudatosítsa és biztosítsa a GDPR-nak való megfelelést. A képzést az alkalmazottak szerepeihez és felelősségeihez kell igazítani.

9. Szabályzatnak való megfelelés

9.1. Minden személy, aki EU ország polgárának személyes adatát kezeli, köteles megfelelni jelen szabályzatnak. A megfelelés elmulasztása eseten előfordulhat, hogy a személy és a vállalat jelentős kockázatnak lesz kitéve, és a mulasztó személy ellen helyileg indított fegyelmi eljárást vonhat maga után, amelynek következménye a személy elbocsátása is lehet.

9.2. A jelen szabályzatnak való megfelelés felügyeletének átfogó felelőssége a GDPR adatvédelmi felelőst terheli, aki köteles a jelen szabályzatnak való megfelelést rendszeresen ellenőrizni.

Referenciák

Jelen szabályzat kiegészült egyéb, a személyes adatok kezelésével kapcsolatos BalaLand Hotel Üzemeltető
Kft. szabályzatokat és folyamatokat, beleértve, de nem kizárólagosan a(z):

  • Munkavállalói adatkezelési szabályzat
  • Kamera szabályzat
  • Vendégek adatainak kezeléséről szóló adatkezelési szabályzat

Tulajdonos/Elérhetőségek

Amennyiben kérdése van a jelen szabályzattal kapcsolatban, kérjük, lépjen kapcsolatba a GDPR adatvédelmi felelőssel, Ferenczy Anikóval a következő email címen: aniko.ferenczy@movenpick.com