Zgodnie z artykułem 12(1) ogólnego rozporządzenia o ochronie danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia rozporządzenia 95/46/WE – dalej „RODO”) oraz art. 14(a) ustawy CXII z 2011 r. o prawie do samostanowienia informacyjnego i wolności informacji (dalej „Infotv.”)
1. Dane administratora danych i dane kontaktowe:
Nazwa: Simon István Geza
Siedziba: 3300 Eger, Kisfaludy Sándor út 7.
Numer telefonu: +36 70 567 3977, +36 20 381 1992
E-mail: valleyvendeghazeger@gmail.com
Lokalizacja usługi noclegowej:
Pensjonat Valley
3300 Eger, ulica Szalóki 8.
Numer rejestracyjny NTAK: MA24090384
Administrator danych zapewnia w każdym przypadku zgodność z prawem i prawidłowość przetwarzania danych osobowych, które przetwarza.
2. Dane osobowe (RODO, art. 4 pkt 1): wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”), czyli możliwej do zidentyfikowania osoby fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
3. Cel przetwarzania danych: udzielanie wstępnych informacji o zakwaterowaniu, umożliwianie rezerwacji noclegów online, świadczenie innych usług noclegowych, utrzymywanie kontaktu za pośrednictwem newslettera.
4. Zakres przetwarzanych danych osobowych: nazwisko i imię, miejsce i godzina urodzenia, adres (kraj, kod pocztowy, miasto, ulica, numer domu), numer telefonu, adres e-mail, obywatelstwo, numer dowodu osobistego lub numer paszportu, numer karty bankowej, dane karty SZÉP (numer identyfikacyjny, imię i nazwisko na karcie), numer rejestracyjny pojazdu.
5. Podstawa prawna przetwarzania danych: Zgodnie z artykułem 6 ust. 1 RODO:
ten) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
B) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
C) przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych,
D) przetwarzanie danych odbywa się w celu realizacji uzasadnionych interesów administratora danych lub osoby trzeciej
niezbędny.
6. Korzystanie z podmiotu przetwarzającego dane:
Działalność świadczona przez podmiot przetwarzający dane: Usługa hostingowa
Nazwa podmiotu przetwarzającego dane: RACKFOREST ZRT.
Siedziba spółki: 1132 Budapest, Victor Hugo Street 11, 5 piętro, B05001.
Numer telefonu: +36 1 211 0044
Adres e-mail: info@rackforest.hu
Adres strony internetowej: https://rackforest.com/
7. Czas przetwarzania danych: dwóch lat od ostatniego dnia zarezerwowanego pobytu lub do momentu wypisania się z subskrypcji newslettera.
8. Udostępnianie danych organom, podmiotom wykonującym zadania publiczne i sądom
W celu wypełnienia obowiązku prawnego, niektóre organy władzy, instytucje publiczne i sądy mogą zwrócić się do administratora danych o udostępnienie danych osobowych. Administrator danych ujawni dane osobowe wyżej wymienionym organizacjom – pod warunkiem, że dana organizacja wskazała dokładny cel i zakres danych – wyłącznie w przypadku, gdy jest to wymagane przez prawo i w zakresie niezbędnym do osiągnięcia celu żądania.
9. Prawa osoby, której dane dotyczą, będącej podmiotem przetwarzania danych (RODO, rozdział III):
ten) Prawo do przejrzystych informacji (art. 12-14 RODO): Administrator danych, w ramach swojego obowiązku informacyjnego, w niniejszej informacji o ochronie danych osobowych wskazuje administratora danych, inspektora ochrony danych, cel i podstawę prawną przetwarzania danych, czas jego trwania, źródło danych, prawa osoby, której dane dotyczą, oraz przysługujący jej środek prawny. Osobie, której dane dotyczą, można również udzielić informacji ustnie – po weryfikacji tożsamości.
B) Prawo dostępu osoby, której dane dotyczą (art. 15 RODO): Osoba, której dane dotyczą, może żądać od administratora dostępu do dotyczących jej danych osobowych oraz kopii swoich danych osobowych.
Administrator danych musi udzielić osobie, której dane dotyczą, informacji zwrotnej na temat tego, czy jej dane osobowe są przetwarzane; jeśli takie dane są przetwarzane, osoba, której dane dotyczą, ma prawo dostępu do następujących informacji:
– cele przetwarzania danych,
– kategorie danych osobowych, których to dotyczy,
– odbiorcy lub kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
– planowany okres przechowywania danych osobowych lub, w przypadku jego braku, szczegółowe aspekty jego ustalenia,
– prawo osoby, której dane dotyczą, do żądania od administratora danych sprostowania, usunięcia lub ograniczenia przetwarzania jej danych osobowych oraz do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych,
– prawo wniesienia skargi do organu nadzorczego,
– jeżeli dane nie zostały zebrane od osoby, której dane dotyczą, wszelkie dostępne informacje dotyczące ich źródła,
– fakt zautomatyzowanego podejmowania decyzji, w tym profilowania, zastosowana w tych przypadkach logika oraz zrozumiałe informacje o takim przetwarzaniu danych, jego znaczeniu i konsekwencjach dla osoby, której dane dotyczą.
C) Sprostowanie, usunięcie i ograniczenie przetwarzania danych osoby, której dane dotyczą (art. 16-18 RODO):
c) Osoba, której dane dotyczą, ma prawo żądać od administratora, na żądanie, niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych. Z uwzględnieniem celów przetwarzania danych, osoba, której dane dotyczą, może żądać uzupełnienia niekompletnych danych osobowych w drodze oświadczenia.
cb) prawo do usunięcia – zgodnie z „prawem do bycia zapomnianym” dane osobowe muszą zostać usunięte, jeżeli
– cel przetwarzania danych przestał istnieć,
– osoba, której dane dotyczą, cofnęła swoją zgodę i nie ma innej podstawy prawnej przetwarzania danych,
– przetwarzanie danych odbywa się na podstawie uzasadnionego interesu lub w interesie publicznym, lub jest niezbędne do wykonania zadania realizowanego przez administratora danych w ramach sprawowania władzy publicznej, a osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych,
– przetwarzanie danych jest niezgodne z prawem,
– usunięcie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze na mocy prawa Unii lub prawa państwa członkowskiego,
– dane zostały usunięte w związku z usługami związanymi z usługami informacyjnymi oferowanymi bezpośrednio dzieciom.
C) na podstawie prawa do ograniczenia przetwarzania danych, administrator danych ogranicza przetwarzanie danych na żądanie osoby, której dane dotyczą, jeżeli:
– osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych,
– przetwarzanie danych jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych,
– administrator danych nie potrzebuje już danych osobowych, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń prawnych.
– przetwarzanie danych opiera się na uzasadnionym interesie, leży w interesie publicznym lub jest niezbędne do wykonania zadania realizowanego przez administratora danych w ramach sprawowania władzy publicznej, a osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych.
Administrator informuje osobę, której dane dotyczą, o działaniach podjętych w związku z żądaniem w ciągu jednego miesiąca od jego otrzymania (bez zbędnej zwłoki). Termin może zostać przedłużony o kolejne dwa miesiące ze względu na liczbę i złożoność żądań. Administrator informuje osobę, której dane dotyczą, o przedłużeniu terminu w ciągu jednego miesiąca od jego otrzymania, wskazując przyczyny opóźnienia. W przypadku żądań składanych przez osobę, której dane dotyczą, drogą elektroniczną, informacje są przekazywane w miarę możliwości drogą elektroniczną, chyba że osoba, której dane dotyczą, zażąda innej formy.
D) Obowiązek powiadomienia w związku z sprostowaniem lub usunięciem danych osobowych lub ograniczeniem przetwarzania (art. 19 RODO): Administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Osoba, której dane dotyczą, zostanie poinformowana o odbiorcach na żądanie.
mi) Prawo do przenoszenia danych (art. 20 RODO):
Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. Word, Excel) dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz przesłać te dane innemu administratorowi. Osoba, której dane dotyczą, ma również prawo, o ile jest to technicznie możliwe, żądać bezpośredniego przesłania danych osobowych między administratorami.
F) Prawo do sprzeciwu (art. 21 RODO): Osoba, której dane dotyczą, ma prawo wnieść sprzeciw, z przyczyn związanych z jej szczególną sytuacją, wobec przetwarzania dotyczących jej danych osobowych opartego na prawnie uzasadnionych interesach lub gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, w tym profilowania opartego na tych podstawach prawnych. W powyższych przypadkach administrator może kontynuować przetwarzanie danych osobowych wyłącznie wtedy, gdy wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec praw i interesów osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
G) Prawo osoby, której dane dotyczą, w przypadku zautomatyzowanego podejmowania decyzji (art. 22 RODO): Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa, chyba że:
– niezbędne do zawarcia lub wykonania umowy pomiędzy osobą, której dane dotyczą, a administratorem danych,
– jest to dozwolone na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, co obejmuje również odpowiednie środki ochrony praw i uzasadnionych interesów osoby, której dane dotyczą,
– opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Nawet w przypadku zautomatyzowanego podejmowania decyzji administrator danych musi zapewnić, że osoba, której dane dotyczą, ma co najmniej prawo do żądania interwencji ludzkiej ze strony administratora danych, wyrażenia swojego stanowiska lub sprzeciwienia się decyzji.
10. Dostęp do środków prawnych:
ten) Można wszcząć dochodzenie w Krajowym Urzędzie Ochrony Danych Osobowych i Wolności Informacji (RODO, art. 57, art. 77, Infotv. § 51/A-58)
Każdy (nie tylko osoba, której dane dotyczą) może wszcząć dochodzenie, składając zawiadomienie do Krajowego Urzędu Ochrony Danych Osobowych i Dostępu do Informacji Publicznej (dalej „Urząd”) w związku z naruszeniem prawa w związku z przetwarzaniem danych osobowych lub bezpośrednim zagrożeniem takim naruszeniem. Jeżeli wszczęcie postępowania nie jest obowiązkowe zgodnie z ustawą o ochronie danych osobowych (Infotv), Urząd może wszcząć dochodzenie z urzędu.
Urząd może odrzucić anonimowe zgłoszenie bez przeprowadzenia gruntownego dochodzenia, dlatego też ważne jest, aby zgłoszenie nie było anonimowe.
Dochodzenie Urzędu jest bezpłatne, a jego koszty pokrywa Urząd z góry. Urząd, co do zasady, podejmuje decyzję w ciągu dwóch miesięcy od otrzymania powiadomienia.
Dane kontaktowe Urzędu:
Krajowy Urząd Ochrony Danych i Dostępu do Informacji
1125 Budapeszt, Szilágyi Erzsébet fasor 22/c.
strona internetowa: www.naih.hu
telefon: +36 1 31 1400
B) Egzekwowanie prawa na drodze sądowej (art. 79 RODO, art. 23 ustawy o dostępie do informacji):
Osoba, której dane dotyczą, może wszcząć postępowanie przeciwko administratorowi danych lub, w związku z operacjami przetwarzania danych wchodzącymi w zakres działalności podmiotu przetwarzającego dane, przeciwko podmiotowi przetwarzającemu dane, jeżeli jej zdaniem administrator danych lub działający w jej imieniu lub na jej polecenie podmiot przetwarzający dane przetwarza jej dane osobowe z naruszeniem przepisów o przetwarzaniu danych osobowych określonych w ustawie lub w wiążącym akcie prawnym Unii Europejskiej.
Powództwo należy wnieść do sądu państwa członkowskiego, w którym administrator lub podmiot przetwarzający ma siedzibę. Postępowanie może być również wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu.
Administrator lub podmiot przetwarzający dane musi udowodnić, że przetwarzanie danych spełnia wymogi określone w prawie lub wiążącym akcie prawnym Unii Europejskiej dotyczącym przetwarzania danych osobowych.
Na Węgrzech osoba zainteresowana może, według swego wyboru, wnieść pozew także do sądu właściwego ze względu na miejsce zamieszkania lub pobytu.
Podmiot danych może dochodzić odszkodowania lub zadośćuczynienia od administratora danych w ramach pozwu w następujący sposób:
– Jeżeli administrator danych, przetwarzając niezgodnie z prawem dane osobowe osoby, której dane dotyczą, lub naruszając wymogi bezpieczeństwa danych, wyrządził szkodę innej osobie, jest on zobowiązany do naprawienia szkody.
– Jeżeli administrator danych naruszy prawa osobiste osoby, której dane dotyczą, przetwarzając jej dane niezgodnie z prawem lub naruszając wymogi bezpieczeństwa danych (np. przekazując dane osobowe osobie nieupoważnionej lub upubliczniając je), osoba, której dane dotyczą, może dochodzić odszkodowania od administratora danych.
Uwagi końcowe
Przygotowując niniejsze informacje braliśmy pod uwagę następujące przepisy prawne:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia rozporządzenia 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa CXII z 2011 r. – o prawie do samostanowienia informacyjnego i wolności informacji (dalej: Infotv.)
- Ustawa CVIII z 2001 r. – o niektórych kwestiach usług handlu elektronicznego i usług związanych ze społeczeństwem informacyjnym (głównie art. 13/A)
- Ustawa XLVII z 2008 r. – o zakazie nieuczciwych praktyk rynkowych wobec konsumentów;
- Ustawa XLVIII z 2008 r. – o podstawowych warunkach i niektórych ograniczeniach działalności reklamy gospodarczej (w szczególności art. 6)
- Ustawa XC z 2005 r. o wolności informacji elektronicznej
- Ustawa C z 2003 r. o komunikacji elektronicznej (w szczególności art. 155)
- Opinia nr 16/2011 w sprawie rekomendacji EASA/IAB dotyczącej najlepszych praktyk w zakresie reklamy behawioralnej online
- Rekomendacja Krajowego Urzędu Ochrony Danych Osobowych i Dostępu do Informacji w sprawie wymogów ochrony danych w zakresie informacji wstępnych
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia rozporządzenia 95/46/WE
