Adatvédelmi nyilatkozat

Adatkezelési nyilatkozat

 

BELSŐ ADATKEZELÉSI SZABÁLYZAT

 

 

Tartalom

 

Bevezetés. 

1.       Az általános adatvédelmi rendelet.. 

1.1     Adatkezelés. 

1.2     Az adatkezelés elvei 

1.3     Különleges személyes adatkategóriák kezelése. 

1.4     Az érintett személyek jogai 

1.5     Az adatkezelés gyakori jogalapjai 

1.6     Beépített adatvédelem.. 

1.7     Személyes adatok továbbítása.. 

1.8     Adatfeldolgozók.. 

1.9     Jogsértés bejelentése. 

1.10        Meghatározott ideig való kezelés. 

1.11        Nyilvántartás vezetési kötelezettségek.. 

2.       Az Infotörvény kiegészítő rendelkezései. 

3.       Az adatkezelésért viselt felelősség rendje.. 

3.1.         Adatvédelmi szabályok.. 

3.2.         Szerepek és felelősségi körök.. 

IT Biztonsági Vezető. 

Adatvédelmi Tisztviselő és Compliance Officer. 

Munkavállaló. 

 

 


 

A jelen belső adatkezelési szabályzat célja az, hogy az iroda munkavállalói számára összegyűjtse a legfontosabb tudnivalókat, ami az iroda adatkezelési tevékenységéhez kapcsolódik.

A jelen irat mindazonáltal nem minősül egyedi tanácsadásnak és nem helyettesíti az adatvédelmi auditálást. Az irat célja, hogy az iratcsomagot alkotó többi irattal együtt, általános segítséget nyújtson az utazási szektorban működő vállalkozásoknak ahhoz, hogy az adatvédelmi előírásoknak való megfelelést biztosítani tudják.

Bevezetés

A Domi Tours KFT a mindennapi üzleti működése során különféle személyes adatokat kezel természetes személyek elkülönülő csoportjairól, így:

 

  • az utazási szolgáltatásai iránt érdeklődő személyekről,
  • a vele utazási szerződéseket kötő utazókról,
  • a munkavégzésre jelentkező személyekről,
  • munkavállalóiról,
  • korábbi munkavállalóiról,

 

Az e személyekre vonatkozó adatok gyűjtése és kezelése során a Domi Tours KFT –nek meg kell, hogy feleljen a személyes adatok védelmére vonatkozó uniós és hazai jogszabályoknak. Mindeközben tekintettel kell lennie saját üzleti érdekeire, működési feltételeire, technikai és munkaszervezési lehetőségeire és munkavállalói, ügyfelei érdekeire is.

 

A jelen szabályzat célja, hogy munkatársai számára röviden ismertesse az alkalmazandó jogszabályokat és bemutassa azokat az intézkedéseket, amiket az [utazási iroda] a jogszabályoknak való megfelelés érdekében tesz, illetve amit munkatársainak e cél érdekében tenniük kell. A Domi Tours KFT célja, hogy a jelen szabályzat és mindenkor egyértelmű és igazolható módon biztosítsa a GDPR-nak való megfelelést.

 

Ez a szabályozás vonatkozik minden rendszerre, személyre és folyamatra, akik/amelyek az Domi Tours KFT információs rendszerét alkotják, beleértve az igazgatósági tagokat, Domokos Gyuláné és Domokos Gyula, vezető tisztségviselőket, és a munkavállalókat Bakonyi Zsófia, Bilics Dóra, Fazekasné Horváth Timea, Kauffmann Nikolett Éva és Pesei Piroska, szállítókat és további harmadik feleket, akik hozzáférhetnek a Társaság rendszereihez.

 

 

1.       Az általános adatvédelmi rendelet

 

A 2016/679/EU számú általános adatvédelmi rendelet (GDPR) a legjelentősebb jogszabály, amely az adatkezelési tevékenységeink végzését befolyásolja. A rendelet közvetlenül hatályos, így implementáció nélkül alkalmazandó a tagállamokban.

 

1.1          Adatkezelés  

 A Domi Tours  KFT működése az adatvédelmi szabályozás körébe tartozik. Amint a GDPR alábbi fogalmaiból is kitűnik, az iroda és munkatársai adatkezelési (és adatfeldolgozóként megbízott adatkezelési) tevékenységet folytatnak.

 

a)      a személyes adat meghatározása:

 

Személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

 

Ennek alapján tehát például személyes adat minden olyan információ, amit a név alapján azonosított utazó kapcsán az iroda feljegyez (pl: étkezési igényei, szálláshelye, befizetett programjai), tehát nem csak azok az adatok, amelyek beazonosíthatóságát lehetővé teszik. Ezért minősül személyes adatnak a profilalkotás során az adott utazó korábbi úti céljaira vonatkozó információ és ezért nem személyes adat, ha ugyanez az információ statisztikai formában, azaz az utazó személyétől különválasztva jelenik meg.

 

Mivel a Domi Tours Kft] mindennapi működése az ügyfelek személyre szabott kiszolgálását jelenti, azaz minden ügyfelünk azonosított, vagy azonosítható, ezért rutinszerűen találkozunk személyes adatokkal.

 

b)      az „adatkezelés” jelentése:

 

Adatkezelésnek minősül a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet, így a gyűjtés, rögzítés, rendszerezés, tárolás, megváltoztatás, lekérdezés, felhasználás, továbbítás, korlátozás vagy éppen a törlés.

 

A Domi Tours KFT] mindennapi működése során tehát lényegében folyamatosan személyes adatokat kezelünk.

 

c)       az „adatkezelő” jelentése:

 

Adatkezelő az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza..

 

A Domi Tours KFT tevékenysége során meghatározza az utazók, a munkavállalók és egyéb személyek adatai kezelésének célját és eszközeit, így adatkezelőnek minősül. A Domi Tours Kft] munkatársai az iroda e tevékenységében való részvétellel válnak adatkezelővé.

 

d)      az „adatfeldolgozó” jelentése:

 

Adatfeldolgozó az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel.

 

Az Domi Tours Kft, mint utazásközvetítő mindennapi tevékenysége során/e tevékenységi körben adatfeldolgozónak minősül, a tevékenységben résztvevő munkavállalókkal együtt.

 

A Domi Tours Kft nevében az alábbi adatfeldolgozók végeznek adatkezelési tevékenységet:

-           [cégnevek] mint utazásközvetítők;

-           [cégnevek vagy kategóriák, pl: hotelek] mint az utazási szolgáltatás nyújtásában részt vevő szolgáltatók,

-           [cégnév], mint az [utazási iroda] IT szolgáltatója;

-          [cégnév], mint az [utazási iroda] bérszámfejtési és könyvelési szolgáltatója;

-          [utazási iroda által szükség esetén kiegészítendő].

 

1.2          Az adatkezelés elvei

 

A jogszabályok megfogalmaznak a Domi Tours KFT adatkezelési tevékenységére vonatkozó, kötelezően figyelembeveendő alapelvet.

 

A személyes adatok kezelése kapcsán tekintettel kell lenni az alábbi alapelvekre:

 

  1. A személyes adatok:

 

  • kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

 

  • gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a statisztikai célból történő további adatkezelés („célhoz kötöttség”);

 

  • az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

 

  • pontosnak és szükség esetén naprakésznek kell lenniük; a pontatlan személyes adatokat lehetőség szerint haladéktalanul törölni vagy helyesbíteni kell („pontosság”);

 

  • tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére […] statisztikai célból kerül majd sor, megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

 

  • oly módon kell kezelni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

 

  • a fenti elveknek való megfelelést az adatkezelőnek igazolnia is tudnia kell („elszámoltathatóság”).

 

1.3          Különleges személyes adatkategóriák kezelése

A Domi Tours KFT esetenként különleges adatkategóriákat (például egészségügyi adatok, vallási meggyőződés, stb.) is kezel, a GDPR 9. cikkében részletezett jogalapok alapján. A Domi Tours Kft esetében a leggyakoribb jogalapoknak az alábbiak tűnnek:

 

-          az érintett kifejezett hozzájárulása (pl: utas kéri vallási meggyőződése szerinti étkezés biztosítását),

-          létfontosságú érdek védelméhez szükséges, és az érintett fizikailag, vagy jogilag cselekvőképtelen állapota miatt nem tud hozzájárulást adni (pl: rosszullét miatt ellátás alatt álló utazó ismert allergiájáról tájékoztatni az orvost),

-          az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi okból történik (pl: munkavállaló munkaképességének felmérésére folytatott vizsgálat eredményének kezelése).

 

Amennyiben e gyakori körön kívüli esetben merülne fel a különleges adatkategória kezelésének igénye, úgy külön is szükséges a kezelés jogalapjának előzetes vizsgálata. Ilyen esetben a Domokos Gyuláné, ügyvezetőt szükséges tájékoztatást kérni.

 

1.4          Az érintett személyek jogai

 

A Domi Tours KFT által kezelt személyes adatok érintettjei számára a GDPR számos olyan jogosultságot biztosít, amely a Domi Tours KFT számára kötelezettségként jelenik meg. E jogok a következők:

 

                      1.            Tájékoztatáshoz való jog

 

Az utazó például jogosult külön tájékoztatást kérni a róla tárolt adatokról, ideértve az esetleges profilalkotást is, akkor is, ha egyébként a szerződésben részletes tájékoztatást kapott a kezelt adatok köréről.


Az érintett jogosult tájékoztatást kapni a vele kapcsolatban kezelt személyes adatok köréről, a tárolás céljáról, időtartamáról, a kezelés jogalapjáról, a kezelő személyéről, jogos érdeken alapuló adatkezelés esetén a jogos érdek mibenlétéről, harmadik országba történő adattovábbításról, az adatok címzettjeiről és a címzetti kategóriákról.  

 

                      2.            Hozzáféréshez való jog

 

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a kezelt információkhoz hozzáférést kapjon.

A munkavállaló például jogosult a teljesítményértékelések során róla tárolt adatokat olvasható formában elkérni, vagy például az utazó jogosult a róla készült profilt kinyomtatva elkérni az irodától.

                      3.            Helyesbítéshez való jog

 

Az utazó jogosult például értesítési címe változását jelezni és annak kieszközölni. Nem tartozik ugyanakkor ebbe a körbe, ha az utazási szerződés tárgyához tartozó körülmény változik meg, például más személlyel utazik el, mint akit eredetileg megjelölt – azaz e körben az utazási iroda ÁSZF vagy szerződés szerinti módosítási szabályai (és esetleges költségei) alkalmazandóak. 


Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

 

                      4.            Törléshez való jog

 

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles a törlést elvégezni (néhány speciális eset mellett – GDPR 17. cikk) akkor, ha az adatkezelés célja vagy jogalapja megszűnt, az adatkezelés eleve jogalap nélkül történt.

Fontos megjegyezni, hogy ha a Domi Tours Kft jogi követelése van az érintett személlyel szemben, úgy az annak érvényesítéséhez szükséges személyes adatok törlésére az iroda nem kötelezhető.


                                                      

 

                      5.            Adatkezelés korlátozásához való jog

 

Az érintett a GDPR 18. cikkében meghatározott speciális esetekben kérheti az adatkezelés korlátozását. A korlátozás azt jelenti, hogy az érintett adatokat a Domi Tours KFT köteles tovább tárolni, de azt kezelni csak az érintett hozzájárulásával, vagy jogérvényesítés céljából lehet.

Példa lehet erre, ha az adatokra az irodának már nincsen szüksége, de a volt munkavállaló/utazó valamilyen jogi igényt kíván – akár az irodával szemben – érvényesíteni, amihez szüksége van az adatok további tárolására.

 

                      6.            Adathordozhatósághoz való jog

 

Ez azt is jelenti, hogy például az utazó kérheti, hogy egy adott utazási irodánál róla kialakított profilt egy másik utazási irodának is megküldjék.


Az érintettnek joga van ahhoz, hogy kérje a róla kezelt adatok olvasható formában való megjelenítését, illetve azok másik adatkezelőhöz való továbbítását.

                      7.            Tiltakozáshoz való jog

 

Az adatkezelés folytatható azonban, ha annak más jogalapja is van, illetve ha az adatkezeléshez fűződő jogos okok elsőbbséget élveznek az érintett érdekeivel szemben


Az érintett jogosult arra, hogy tiltakozzon személyes adatainak közérdekből vagy a Domi Tours KFT érdekéből történő kezelése miatt, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább.

 

                      8.            Automatizált döntéshozatallal és profilalkotással kapcsolatos jogok

 

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

 

 

A Domi Tours KFT számára a fentiekből származó kötelezettségekhez a GDPR teljesítési határidőket is fűz. Eljárásuk során az iroda felelős közreműködői e határidőkre is tekintettel kell, hogy eljárjanak.

 

Ezeket a határidőket az alábbi táblázat foglalja össze:

 

Érintett kérelmének tárgya

Határidő

Tájékoztatáshoz való jog

amikor az adatot gyűjtik (ha az érintett adja át) vagy egy hónapon belül (ha nem az érintett adja át)

Hozzáféréshez való jog

egy hónap

Helyesbítéshez való jog

egy hónap

Törléshez való jog

indokolatlan késedelem nélkül

Adatkezelés korlátozásához való jog

indokolatlan késedelem nélkül

Adathordozhatósághoz való jog

egy hónap

Tiltakozáshoz való jog

a tiltakozás kézhezvételekor

Automatizált döntéshozatallal és profilalkotással kapcsolatos jogok

nem meghatározott

 

Az [utazási irodának] minden észszerű intézkedést meg kell tennie, hogy meggyőződjön az érintett személyazonosságáról, aki hozzáférést kér vagy gyakorolni kívánja az érintetti jogait.

 

 

1.5          Az adatkezelés gyakori jogalapjai

A Domi Tours KFT tevékenysége során leggyakoribb adatkezelési jogalapok a hozzájárulás, a szerződés teljesítése, az iroda jogos érdeke, illetve a jogszabályból eredő kötelezettség. Minden adatkezelési folyamat esetében előzetesen azonosítani szükséges az adatkezelés jogalapját.

 

 

Hozzájárulás

A Domi Tours KFT marketing jellegű tevékenységei (hírlevél, telefonos kampány, SMS megkeresés stb.) az érintett előzetes hozzájárulását kell kérni. 16 évnél fiatalabb gyermekek esetében a törvényes képviselő engedélye szükséges.

 

A hozzájárulás megadása előtt a személyes adataik általunk történő kezeléséről átlátható tájékoztatást kell adni az érintettek részére, ismertetni kell velük kapcsolódó jogaikat, így különösen a hozzájárulás visszavonásához való jogukat. Ezt a tájékoztatást hozzáférhető formában, világos nyelven megírva és térítésmentesen kell biztosítani.

 

Ha a személyes adatokat nem közvetlenül az érintettől szerezte az iroda, akkor ezt a tájékoztatást az adatok megszerzését követő észszerű időn, de mindenképpen egy hónapon belül meg kell adni az érintett számára.

 

A hozzájárulást, beleértve az adott érintett részletes adatait, a hozzájárulás megadásának helyét és idejét mindenkor a Társaság az Adatmegőrzési és törlési szabályzat szerint kell rögzíteni és megőrizni.

 

 

Szerződés teljesítése

 

Az utazási szerződés megkötésekor megadott személyes adatok a Domi Tours KFT számára szükségesek a szerződés teljesítéséhez. Ez az érdek elegendő jogalap a személyes adatok kezeléséhez. Az érdek mindaddig fennáll, amíg a teljesített szerződéshez kapcsolódóan jogos érdekek érvényesítésére sor kerülhet – azaz lényegében a szerződés teljesítését követő általános öt éves polgári jogi igényérvényesítési határidő lejártáig.

 

 

Domi Tours KFT jogi kötelezettségének teljesítése

 

Az adatkezelés az adatkezelőre vonatkozó jogi teljesítéséhez is szükséges lehet (pl. a Domi Tours KFT. mint munkáltató bizonyos munkavállalói adatokat kell, hogy kezeljen, pl. a név, lakcím, adóazonosító jel és társadalombiztosítási szám, stb., hogy eleget tegyen az adóbevallással és adófizetéssel kapcsolatos kötelezettségeinek, bérszámfejtés, stb.).

 

 

[utazási iroda] vagy más jogos érdekének érvényesítése

 

Például az [utazási iroda] hivatkozhat erre a jogalapra, amikor megfigyeli a munkavállalóit, hogy ily módon előzze meg vagy tárja fel az általuk elkövetett lopást/csalást. Ehhez előzőleg megfelelően el kell végezni az érintett munkavállalók jogait is figyelembe vevő értékelést és emellett megfelelő biztosítékokat is kell alkalmazni a munkavállalók magánéletének lehető legmagasabb szintű védelmére (például annak biztosításával, hogy a munkavállalók jelen lehetnek, amikor az e-mail fiókjukat/internet- vagy telefonhasználatukat egy belső compliance audit során átvizsgálják).

 

Harmadik fél jogos érdekére lehet példa, ha az utazás során az egyik utazó a másiknak kárt okozott, és az e kár kapcsán keletkező kártérítési igény érvényesítése érdekében kéri a károsult a vonatkozó adatok megőrzését, miközben a károkozó adattörlést kér.

Az adatkezelés jogalapja lehet az is, hogy az [utazási iroda] vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. A jogos érdek alapján történő adatkezelés esetén mindig szükséges érdekmérlegelési-vizsgálatot végezni, hogy az érvényesíteni kívánt érdek nagyobb-e, mint a személyes adatok védelméhez fűződő érdek. Az erre vonatkozó értékelés bemutatására az [utazási iroda] köteles.


1.6          Beépített adatvédelem

A GDPR elvárása szerint az adatkezelés folyamatába be kell építeni a fentiekben kifejtett alapelveket és az érintettek jogainak megfelelő védelmét. Ez a megfelelő adatkezelési rendszer megalkotása mellett azt is jelenti, hogy az alkalmazott technológiák fejlődése, az adatkezelés változása, új kockázatok felmerülése, új adatkezelési folyamatok megkezdése esetén a rendszer megfelelően felülvizsgálatra kerül, biztosítandó az alapelvek és jogok aktuálisan legmegfelelőbb érvényesülését.

 

Ezeknek az intézkedéseknek arra is vonatkozniuk kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

A Domi Tours KFT magáévá tette a beépített adatvédelem elvét, és biztosítja, hogy minden olyan új vagy jelentősen módosított rendszer tervezése során, ami személyes adatokat gyűjt vagy kezel, kellő figyelmet fordítsanak az adatvédelem kérdésére, beleértve egy vagy több adatvédelmi hatásvizsgálat elvégzését.

 

Az adatvédelmi hatásvizsgálat magában foglalja a következőket:

 

  • annak figyelembe vétele, hogy a személyes adatok hogyan és milyen célból kezelik.
  • annak értékelése, hogy a személyes adatok javasolt kezelése szükséges-e és arányos-e a cél(ok)hoz.
  • a természetes személyeket a személyes adatok kezelése során érintő kockázatok értékelése.
  • annak azonosítása, hogy milyen ellenőrzések szükségesek a feltárt kockázatok kezelésére és a jogszabályoknak való megfelelés igazolására.

 

Emellett a Domi Tours KFT időről időre felülvizsgálja adatkezelési rendszereinek működését, hogy azok megfelelnek-e az aktuális elvárásoknak, illetve az esetleg változó üzleti gyakorlatnak.

 

Az adatkezelés GDPR alapelveknek megfelelő alkalmazása érdekében a Domi Tours KFT biztosítja, hogy:

  • a személyes adatok kezelésében részt vevő személyzet minden tagja megérti a helyes adatvédelmi gyakorlatok követésére vonatkozó felelősségét,
  • a személyzet minden tagja adatvédelmi képzésben részesül,
  • az érintettek számára könnyen hozzáférhető kapcsolatfelvételi lehetőségek állnak rendelkezésre, ha személyes adatokra vonatkozó jogaikat kívánják gyakorolni, és az ilyen megkereséseket hatékonyan kezelik.

 

 

1.7          Személyes adatok továbbítása

A Domi Tours KFT mindennapos tevékenységének szerves részét képezi a személyes adatok továbbítása a szolgáltatás nyújtásában résztvevő szolgáltatók felé, a Domi Tours KFT számára szolgáltatást nyújtók és egyéb adatfeldolgozók felé.

 

A harmadik országokba történő adattovábbítás kérdése meglehetősen bonyolult kérdés lehet, mivel egy többlépcsős ellenőrzési mechanizmus keretében lehet eljutni odáig, hogy az iroda tisztázni tudja, ha nincsenek meg a megfelelő jogszabályi vagy szabályozói garanciák az adatok továbbítására (GDPR 45-47). Ilyen esetben is lehetséges az adatok továbbítása egyes különös helyzetekben (GDPR 49), így akkor ha az érintett, megfelelő tájékoztatás után hozzájárulását adta, vagy ha az adattovábbítás az utazási szerződés teljesítéséhez szükséges. Végeredményben tehát az utazási szolgáltatásokhoz kapcsolódó normális adattovábbításra van lehetőség. Ennek ellenére javasolt, hogy az irodák végezzék el a többlépcsős tesztet is, hiszen például a megfelelő tájékoztatáshoz is szükséges, hogy azonosítsák, az adott úti cél, ahová adatokat továbbítanak, melyik kategóriába tartozik.


Az adattovábbítás során a címzett személyétől függetlenül jelentőséggel bír az a körülmény, hogy a továbbítás földrajzi értelemben véve hová történik. Míg ugyanis az Európai Unión belülre történő adattovábbítás esetében egységes jogi szabályozás és így egységes garanciális rendszer alkalmazandó, az Európai Unión kívülre való továbbítás esetén a személyes adatok olyan országokba is kikerülhetnek, ahol a jogszabályok nem biztosítanak kellő garanciákat az adatok kezelésére vonatkozóan. 

 

Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására főszabályként akkor kerülhet sor, ha az Európai Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. A Bizottság az Európai Unió Hivatalos Lapjában és annak honlapján teszi közzé az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, vagy többé nem biztosítják a megfelelő védelmi szintet.

A harmadik országok első kategóriája a Bizottság által jóváhagyott országok (vagy csak területek, nemzeti ágazatok) köre. A GDPR hatálybalépését követően meg kell vizsgálni, hogy az iroda adattovábbítása érint-e olyan országot, területet, stb., amely kapcsán nincs Bizottsági megfelelőségi határozat. Ilyen esetben vizsgálni javasolt a második lépcsőfokot.  

E körön kívül az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek rendelkezésre állnak. A megfelelő garanciák megléte nem az iroda saját mérlegelésén múló körülmény, a GDPR ugyanis rögzíti azokat az eseteket, amelyek ide tartoznak, így például, ami leginkább releváns lehet az [utazási iroda] esetében:

 

-         

Például ha a konszern anyavállalata az egész cégcsoportra nézve fogad el adatkezelési szabályokat és azokat az illetékes hatóság jóváhagyja, akkor a harmadik országban lévő konszern tag felé engedély nélkül is továbbíthatóak lehetnek a személyes adatok.  


kötelező erejű vállalati szabályok megléte (GDPR 47);

-         

A jelenleg elérhető bizottsági mintaklauzulákat az adatvédelmi csomag részeként mellékeljük.  


az Európai Bizottság vagy az illetékes nemzeti adatvédelmi hatóság által elfogadott szerződéses mintaklauzulák alkalmazása;

 

-         

Ilyen megállapodásról nincs tudomásunk, de nem kizárt, sőt kezdeményezhető lehet a nemzeti turisztikai hatóságok közötti adatvédelmi tárgyú együttműködési megállapodás létrehozása.  


az érintett nemzeti hatóság közötti kötelező megállapodás megléte.

 

Ilyen garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására csak a GDPR szerinti feltételek (GDPR 49) legalább egyikének teljesülése esetén kerülhet sor. A Domi Tours KFT működési körében a jogszabályi feltételek közül az alábbiak tűnnek a leginkább relevánsnak:

-          az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;  

-          az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

-          az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;

-          az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;

Az itt említett kivételes feltételek az általános utazási irodai szolgáltatások körében rendszerint fennállnak. Fokozottan tanácsos ugyanakkor ügyelni arra, hogy az érintett tájékoztatása mindig megfelelő és teljes körű legyen, illetve a már meglévő mintaklauzulák alkalmazása is tanácsos, akkor is, ha e különleges körülmények fennállnak.

 

1.8          Adatfeldolgozók

 

A GDPR előírja, hogy a Társaság csak olyan adatfeldolgozókat vegyen igénybe, amelyek elegendő garanciát biztosítanak arra, hogy a GDPR-ban meghatározott követelményeknek megfelelő technikai és szervezési intézkedéseket vezetnek be.

 

"Az Utazásirendszer kft. a vele a 2011. évi CXII. törvény 3. § 17. pont szerinti adatfeldolgozási tevékenység végzésére és a CeSYS rendszer felhasználására szerződést kötő felek által kezelt adatokat a hivatkozott törvény, illetve az egyéb vonatkozó jogszabályok rendelkezéseinek megfelelően dolgozza fel. A törvény 10. § (3) bekezdésének megfelelően az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni."

 

 

 

1.9          Jogsértés bejelentése

A Domi Tours KFT tisztességesen és arányosan jár el, amikor megválasztja a személyes adatok megsértéséről (adatvédelmi incidensről) az érintett feleket tájékoztató intézkedéseket. A GDPR-nak megfelelően, amikor a természetes személyek jogaira és szabadságára feltehetően kockázatot jelentő adatvédelmi incidens bekövetkezéséről szerez tudomást, , az illetékes adatvédelmi hatóságot 72 órán belüli tájékoztatása is szükséges lehet.

 

A vonatkozó eljárást az Incidenskezelési szabályok rendezik, meghatározva az információ-biztonsági incidensek kezelésének teljes folyamatát.

 

 

1.10       Meghatározott ideig való kezelés

 

A GDPR azt is megköveteli, hogy az [utazási iroda] eljárásokat vezessen be az olyan adatok törlésére, amikre már nincs szükség azokra a célokra, amikre eredetileg gyűjtötték azokat (például: ha az adatokat az [utazási iroda] egy konkrét marketing kampányhoz gyűjtötte, a kampány befejezése után az adatokat törölni kell). Az [utazási iroda] általi időben történő feldolgozásra vonatkozó szabályokat az Adatmegőrzési és törlési szabályzat tartalmazza.

 

 

1.11       Nyilvántartás vezetési kötelezettségek

 

A GDPR egyértelműen előírja a személyes adatokhoz kapcsolódó adatkezelési tevékenységre vonatkozó nyilvántartások vezetését azokban az esetekben, ha az adatkezelés nem alkalmi jellegű. A Domi Tours KFT] esetében tehát a nyilvántartás vezetése kötelező. Ennek tartalmi elemeit a GDPR szintén meghatározza. A Domi Tours KFT a nyilvántartást táblázatos formában vezeti (lásd: Adatkezelési nyilvántartás).

 

Az Adatkezelési nyilvántartás a Domi Tours KFT esetében arra is szolgál, hogy ellenőrizhetővé tegye, hogy a Domi Tours KFT mindenkor eleget tesz a GDPR elszámoltathatóság elvének:

 

  • a személyes adatok kezelésének jogalapja minden esetben világos és egyértelmű,
  • az adatkezelés célja pontosan meghatározott, a kezelt adatok köre a cél eléréséhez szükséges,
  • az érintett az adatkezelésről megfelelő tájékoztatást kapott,
  • az adatkezelés időtartama és a törlés rendje szabályozott,
  • az adatok tárolása megfelelő biztonsági intézkedések mellett történik,
  • adattovábbítás megfelelő garanciák mellett történik,
  • az adatkezelésért felelős személy kijelölésre került.

 

 

 

 

2.       Az Infotörvény kiegészítő rendelkezései

 

[törvénymódosítást követően kiegészítendő]

 

 

 

3.       Az adatkezelésért viselt felelősség rendje

 

A Domi Tours KFT nagyon komolyan veszi a személyes adatok biztonságát. Ennek hatékony biztosítása érdekében a Domi Tours KFT egyértelműen meghatározza, hogy az irodán belül kinek a felelőségi körébe tartozik az egyes adatkezelési folyamatok felügyelete, és hogy e felügyeleti felelősség pontosan milyen feladatok ellátását jelenti.

 

 

 

A szerepek és felelősségek egyértelmű meghatározása, a vonatkozó feladatok megfelelő szabályozása azt a célt szolgálja, hogy megelőzze a személyes adatokat érintő adatvédelmi incidensek bekövetkezését, és hogy lehetővé tegye hatékony és megfelelő intézkedések megtételét, ha ilyen incidensek felmerülnek.

 

 

3.1.    Adatvédelmi szabályok

 

A GDPR-nak való megfelelése érdekében a Domi Tours KFT az alábbi főbb szerepeket érdemes meghatározni, és az érintett pozíciókat betöltő személyeket kijelölni:

 

  • IT biztonsági vezető
  • Adatvédelmi tisztviselő vagy Compliance Officer
  • Egyéb adatvédelemmel kapcsolatos feladatokat ellátó személyek

 

 

Minden utazási irodának mérlegelnie kell, hogy saját szervezeti rendszerének összetettsége és az adatkezelési folyamatok száma és komplexitása fényében a fenti szerepkörök közül melyeket szükséges alkalmaznia. E döntéshez segítséget nyújtanak az alábbi megfontolások:

 

Az IT biztonsági vezető elsődleges feladata általában az, hogy megismerje és kezelje az informatikai szolgáltatásokhoz vagy rendszerekhez való hozzáféréshez, használat kapcsolódó kockázatokat, és gondoskodjon a GDPR követelményeinek betartásáról az informatikai rendszerek tekintetében.

 

Az Adatvédelmi tisztviselő kijelölésének kötelező eseteit a GDPR 37. cikke határozza meg. Ezen esetek nem érintik az utazási irodák általában vett szakmai tevékenységét. Önkéntesen vállalható ugyanakkor a GDPR által szigorúan szabályozott Adatvédelmi tisztviselői pozíció alkalmazása. Célszerűbbnek tűnik ugyanakkor szükség esetén a rugalmasabban alkalmazható, mert kötelezően nem szabályozott Compliance Officer kijelölése. Compliance Officer alkalmazása elsősorban akkor javasolt, ha a végzett tevékenységek komplexitása, a cégcsoport összetettsége miatt előre látható, hogy folyamatosan merülnek majd fel megválaszolandó adatvédelmi kérdések, szükséges lesz az adatkezelési folyamatok rendszeres felülvizsgálata és várhatóan felmerülnek majd kezelendő incidensek is.

 

Az egyes szerepek konkrét felelősségeit a jelen dokumentum későbbi fejezetei ismertetik.

 

A munkavállalóra, egyéb foglalkoztatottra és szerződéses partnerekre vonatkozó feladatok és felelősségeket az alábbiakban általánosan kerülnek megjelenítésre, de lehetőség van azoknak az alkalmazandó belső szervezeti szabályzatokban, együttműködésre vonatkozó szerződésekben való megjelenítésére is. Szükség esetén a kötelezettségek konkretizálhatóak is az elvégzett faladat és az annak kapcsán elvárt viselkedés pontos megjelölésével.


A Domi Tours KFT valamennyi adatkezelési tevékenységet folytató munkavállalója és partnere köteles a cégre és részére meghatározott feladatok és kötelezettségek ellátására, annak érdekében, hogy az iroda működése során megfelelően érvényesülhessenek a GDPR általános elvei, így egyebek mellett a jogszerű, tisztességes és átlátható adatkezelés elve, a célhoz kötöttség elve, az adattakarékosság és a pontosság elve, valamint az integritás és bizalmas jelleg elve (az elvek kapcsán lásd a 1.2. pontot).

 

A releváns adatvédelmi szerepeket bemutató szervezeti ábra az alábbiakban látható.

 

 

 

Szervezeti ábra készítése nem kötelező. Több szintű felelősség vagy szerteágazó adatkezelési folyamatok esetén érdemes lehet vizuálisan is megjeleníteni, hogy az egyes területekért ki tartozik felelősséggel, illetve kinek tartozik követlen beszámolási kötelezettséggel.

 

A szervezeti ábrán bemutathatóak az iroda (konszern) főbb részei és a vonatkozó információk.

 

Azonosítandó az Adatvédelmi Tisztviselő/Compliance Officer, az IT biztonsági Vezető, valamint az egyéb lehetséges döntéshozók vagy érdekeltek és azok elérhetősége.

 

 

 

3.2.    Szerepek és felelősségi körök

 

Ez a fejezet a Domi Tours KFT szervezeti struktúrájában levő egyes szerepekhez kapcsolódó konkrét adatvédelemmel kapcsolatosfelelősségeket részletezi. Nem tartalmaz semmilyen más típusú (pl. vezetői, technikai) felelősséget, és nem tekinthető teljes munkaköri leírásnak.

Az utazási irodának saját belső szervezete, adatkezelési folyamat-allokációja és egyéb megfontolásai alapján kell kialakítania az adatkezeléshez kapcsolódó felelősségi rendet. Az alábbiakban mintaként megjelöljük, hogy az összetett informatikai rendszerrel rendelkező irodák estében milyen fő feladatai lehetnek az informatikai biztonságért felelős személynek. Bemutatjuk továbbá az Adatvédelmi tisztviselő, vagy az annál rugalmasabb (GDPR-ban nem szabályozott) Compliance Officer szerepkör jellemző feladatait. Fontos végezetük hangsúlyozni a beépített adatvédelem elvének is megfelelően, hogy az adatkezeléssel kapcsolatba kerülő egyes munkatársak számára is megfelelő képzést kell nyújtani és felelősségi körüket is tisztázni kell.

IT Biztonsági Vezető

 

Az Információbiztonsági Vezető elsődleges feladata az információbiztonság megteremtése és fenntartása. Az Információbiztonsági Vezető feladatai többek között a következők:

 

  • Kidolgozza és az ügyvezetés felé ismerteti az információbiztonság megteremtéséhez szükséges lépéseket;

 

  • Irányítja az információbiztonság megteremtése érdekében az ügyvezetés által hozott döntések végrehajtását;

 

  • Felügyeli az információbiztonsági rendszer működését;

 

  • Azonosítja, számszerűsíti és figyelemmel kíséri a biztonsági incidensek és működési hibák típusait, nagyságrendjét és hatásait és lépéseket tesz azok megakadályozására és elhárítására;

 

  • Rendszeresen és szükség esetén eseti jelleggel jelentést tesz az ügyvezetésnek minden, a biztonsággal kapcsolatos kérdésről;

 

  • Együttműködik az Adatvédelmi tisztviselővel / Compliance Officer-rel és végrehajtja annak utasításait;

 

  • Az információbiztonsági szabályzatról tájékoztatja az érdekeltet;

 

  • Végrehajtja az információbiztonsági szabályzat előírásait;

 

  • Kezeli a szolgáltatáshoz vagy rendszerekhez való hozzáféréshez kapcsolódó kockázatokat;

 

  • Biztosítja, hogy a biztonsági kontrollokat alkalmazzák és ezt dokumentálják;

 

  • Meghatározza a fejlesztési terveket és célokat a pénzügyi évre;

 

  • Figyelemmel kíséri a fejlesztési tervek megvalósítását.

 

 

Adatvédelmi Tisztviselő és Compliance Officer

 

Adatvédelmi tisztviselőt bizonyos esetekben kell kijelölni a GDPR-nak megfelelően, akinek konkrét feladatai vannak az érintettek személyes adatainak védelmében.

 

Minden esetben kötelező az Adatvédelmi Tisztviselő, ha

 

(a)        az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

(b)        az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

vagy

(c)         az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok GDPR 9. cikk szerinti különleges kategóriáinak és a GDPR 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

 

Az adatvédelmi tisztviselő jogállását és feladatkörét a GDPR részletesen szabályozza. Minden egyes utazási irodának magának kell mérlegelnie, hogy a fenti szabályok alapján rá vonatkozik-e a kinevezés kötelezettsége, vagy nem, és a döntést, valamint az indoklást mindenképpen érdemes rögzíteni. Önkéntes vállalás esetén ugyanazok a szabályok alkalmazandóak, mintha a jogszabály erejénél fogva kellene kinevezni.

 

Amennyiben szükségesnek látszik, bizonyos feladatok ellátására Compliance Officer is alkalmazható lehet, amely személyre nem vonatkoznak kötelező előírások. Az alábbiakban megjelölt feladatkörök így rugalmasabban igazíthatóak a tényleges szükségletekhez és kockázatokhoz. Természetesen a Compliance Officer-nél felsorolt feladatok csak példálózó jelleggel kerültek meghatározásra, és azokat vagy azok közül bármelyiket más, vagy több személy is elláthatja az utazási iroda struktúrájának és egyedi működésének megfelelően.

 

A Domi Tours KFT társaság megvizsgálta, hogy köteles-e Adatvédelmi Tisztviselőt kijelölni, és megállapította, hogy ez a kötelezettség vonatkozik rá. Az Adatvédelmi Tisztségviselő Domokos Gyuláné. Emellett a Társaság úgy döntött, hogy Compliance Officer-t nem nevez ki.

 

Az Adatvédelmi Tisztviselő és/vagy a Compliance Officer adatai: [].

 

A GDPR alapján amennyiben Adatvédelmi Tisztviselő kinevezésére sor került, a Domi Tours KFT társaság biztosítja

 

(a)    azt, hogy a tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon;

 

(b)   tisztviselő számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek;

 

(c)    hogy a tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el (az a Domi Tours KFT társaság a tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja;

 

(d)   a tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel;

 

A GDPR alapján amennyiben Adatvédelmi Tisztviselő kinevezésére sor került, tisztviselő legalább a következő feladatokat ellátja:

 

(a)    tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

 

(b)   ellenőrzi a GDPR-nak, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

 

(c)    kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat GDPR 35. cikk szerinti elvégzését;

 

(d)   együttműködik a felügyeleti hatósággal; és

 

(e)   az adatkezeléssel összefüggő ügyekben – ideértve a GDPR 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

 

A Compliance Officer többek között az alábbi feladatokat láthatja el a szerződésében meghatározottaknak megfelelően:

 

(a)    ellenőrzi az adatvédelmi jogszabályoknak, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést;

 

(b)   belső és külső adatvédelmi szabályzatot, információbiztonsági szabályzatot, célkitűzéseket és terveket dolgoz ki és tart fenn;

 

(c)    kijelöli a feladatköröket, növeli az adatkezelési műveletekben vevő személyzet tudatosságát és képzi e személyzetet, valamint elvégzi a kapcsolódó auditokat;

 

(d)   kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

 

(e)   együttműködik az adatvédelemre illetékes felügyeleti hatósággal;

 

(f)     az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

 

(g)    kommunikálja a GDPR-nak való megfelelés, a célok teljesítésének és az egész szervezet folyamatos fejlesztésének fontosságát;

 

(h)   fenntartja a jogi követelményekkel, üzleti igényekkel és lényeges változásokkal kapcsolatos tudatosságot;

 

(i)      biztosítja, hogy a jogi és információbiztonsági követelményeket meghatározzák és teljesítsék annak érdekében, hogy a minimálisra csökkentsék a kockázatot és hatékony kontrollokat alkalmazzanak a társaságnál és a vevőink tekintetében;

 

(j)     meghatározza az erőforrásokat a jogi megfelelés és az információbiztonság és -kezelés tervezéséhez, végrehajtásához, felügyeletéhez, felülvizsgálatához és fejlesztéséhez, és fellép azok biztosítása érdekében (pl. megfelelő személyzet felvétele, személyzet fluktuációjának kezelése);

 

(k)    felügyeli a szervezetet és annak szolgáltatásait érintő kockázatok kezelését;

 

(l)      tervezett időközönként elvégzi az információbiztonság vezetőségi átvizsgálását az alkalmasság, megfelelőség és hatékonyság érdekében;

 

(m) kiválasztja az auditorokat és biztosítja, hogy a belső ellenőrzéseket objektív és pártatlan módon végzik a jogi és információbiztonsági megfelelés igazolásához;

 

(n)   folyamatos fejlesztési politikát vezet be az adatvédelmi megfelelés és az információbiztonság területén a társaságnál;

 

(o)   megvizsgálja a jelentős információbiztonsági incidenseket;

 

(p)   biztosítja, hogy az információs rendszerekhez hozzáférő külső szervezetekkel kapcsolatos intézkedések hivatalos megállapodáson alapuljanak, amelyek meghatároznak minden szükséges jogi és biztonsági követelményt.

 

 

 

Munkavállaló

 

A munkavállalók főbb felelősségei a következők:

 

  • Biztosítja, hogy ismeri és betartja minden a szervezet minden adatvédelmi szabályzatát, ami az üzleti szerepére vonatkozik.

 

  • Bejelent minden tényleges vagy lehetséges adatvédelmi incidenst.

 

  • Szükség esetén hozzájárul az adatvédelmi hatásvizsgálathoz.