Adatkezelési tájékoztató a személyes adatok kezeléséről

/Centroom Invest Kft./

Bevezetés

Az Európai Unió Általános adatvédelmi rendelete (továbbiakban: General Data Protection Regulation, GDPR), valamint a mindenkor hatályos információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Info tv.) 20.§-ának (4) bekezdése alapján a Centroom Invest Korlátolt Felelősségű Társaság, mint adatkezelő a jelen tájékoztató nyilvánosságra hozatalával tájékoztatja a https://citystay.hu weboldal felhasználóit, illetve a hírlevélre feliratkozókat, továbbá az egyéb érintetteket a személyes adatok kezelésével kapcsolatos információkról.

Az adatkezelő a Centroom Invest Korlátolt Felelősségű Társaság (a továbbiakban: szolgáltató, adatkezelő):

Elérhetőségei:
2600 Vác, Varsa köz 14.
Cégjegyzékszám: 13-09-131530
Adószám: 14907209-2-13
Telefon: +36 20 936 8143
E-mail: hello@citystay.hu

A személyes adatok kezelésére vonatkozó elvek

A személyes adatok:
• kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni
• gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a
célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés
• az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk
• pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék
• tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel
• kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az adatkezelő felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

Az adatkezelés jogalapja
Az adatkezelés GDPR értelmében a (leendő) felhasználó önkéntes és egyértelmű hozzájárulásával létrejött beleegyezés alapján történik. A regisztráció elfogadásával a felhasználó félreérthetetlenül tudomásul veszi a rá vonatkozó személyes adatok teljes körű kezelését, a jelen tájékoztató szerint.

Az adatkezelő adatkezelésének törvényi jogalapjait a következők foglalják össze:

GDPR:

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról.

 AZ EURÓPAI PARLAMENT RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról való rendelkezés.

Info tv.:

2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. A törvény célja az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon.

Adatkezelések
Az adatkezelő a szálláshely foglaláshoz kapcsolódóan az alábbi adatokat kezeli:

A szálláshely foglalás és az elektronikus hírlevélre történő regisztráció során a felhasználónak kötelezően meg kell adni a következő adatokat:

• Vezeték név
• Kereszt név
• E-mail cím
• Telefonszám
• Lakcím

A regisztráció során megadott adatok más felhasználók számára nem hozzáférhetők. Az adatkezelő tájékoztatja a felhasználót, hogy a fenti személyes adatok szolgáltatásának elmaradása ahhoz vezet, hogy a szálláshely foglalás vagy a regisztráció sikertelen lesz, így a felhasználó nem fog tudni a honlap használatával szerződést kötni adatkezelővel.

A kezelt adatok köre és célja
Vezeték és keresztnév: a kapcsolatfelvételhez, és a számla/díjbekérő kiállításához szükséges
Lakcím: a számla vagy díjbekérő kiállítása, a szerződés létrehozása és a díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése
Telefonszám: kapcsolattartás, a számlázással, vagy a szállással kapcsolatos kérdések hatékonyabb egyeztetése
E-mail cím: azonosítás, belépés, kapcsolattartás, a számlázással, vagy a szállással kapcsolatos kérdések hatékonyabb egyeztetése. (Az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon)
Jelszó: weboldalra történő belépés kezelése
IP cím: technikai adat
Hozzászólások: hozzászólás beküldésekor a hozzászólási űrlapban megadottakon kívül begyűjtésre kerül a hozzászóló IP címe és a böngészőazonosító karakterlánc a kéretlen tartalmak kiszűrése céljából. Egy személytelenített, az e-mail címből előállított karakterlánc (hashnek szokás nevezni) kerül továbbításra a Gravatar szolgáltatás felé, ha ez az oldalon használatban van.
Média: amennyiben regisztrált felhasználó által kerül kép feltöltésre a honlapra, kerülni kell az olyan EXIF-eket, amelyekben GPS pozíció adatok is szerepelnek. A honlap látogatói ezeket letölthetik és kinyerhetik a hely adatokat a honlapon található képekből.
Sütik: hozzászólás írása után a honlap a megadott nevet, e-mail és webcímet sütiben eltárolja. A tárolás csak kényelmi célokat szolgál, hogy a következő hozzászóláskor ne kelljen automatikusan kitölteni. A sütik lejárati ideje 1 év. Ha rendelkezünk felhasználói fiókkal és be is vagyunk jelentkezve erre a honlapra, akkor átmeneti sütiket állítunk be, annak érdekében, hogy megállapítsuk, hogy a böngésző elfogadja-e a sütiket. Ezek a sütik nem tartalmaznak személyes információt, és törlődnek, ahogy bezárjuk a böngészőt. A honlapra történő bejelentkezéskor több sütit hozunk létre, amely elmenti a bejelentkezési információt és a szerkesztőfelület megjelenítési opcióit. A bejelentkezési sütik két napig érvényesek, a szerkesztőfelület megjelenítési opcióit tároló süti egy évig. Amennyiben az „Emlékezz rám” opciót bejelöljük, a bejelentkezés két hétig folytatódik. Kijelentkezéskor a bejelentkezési sütik eltávolításra kerülnek. Amennyiben bejegyzést vagy oldalt szerkesztünk, egy újabb sütit tárol el a böngészőnk. Ez a süti nem tartalmaz személyes adatot, egyszerűen csak a bejegyzés azonosító számát tárolja, amelyet szerkesztettünk. Egy nap múlva jár le az érvényessége.

Érintettek köre:
A weboldalon és a szálláshely foglalási oldalon regisztrált felhasználók és vásárlók.

Az adatkezelés időtartama, az adatok törlésének határideje:
A regisztráció törlésével azonnal. Kivéve a számlák esetében (számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig meg kell őrizni ezeket az adatokat).

Az adatok megismerésére jogosult lehetséges adatkezelők személye:
A személyes adatokat az adatkezelő munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.

A személyes adatokhoz való hozzáférést, azok törlését, módosítását, vagy kezelésének korlátozását, az adatkezelések elleni tiltakozást az alábbi módokon tudja érintett kezdeményezni

• postai úton: a 2600 Vác, Varsa köz 14. címre írt hivatalos levéllel
• e-mail útján az info@citystay.hu e-mail címen

Az adatkezelés az Ön hozzájárulásán alapul, a rendelések teljesítéshez szükséges adatok megadása nélkül nem tudjuk azt teljesíteni.
A szállásfoglalás teljesítéséhez igénybe vett adatfeldolgozók:

thePass Kft. (SabbeApp)
Adószám: 24327567-2-42
Cégjegyzékszám: 01-09-172346
Székhely cím 1074 Budapest, Dohány utca 2-14.
Telefonszáma: (+36) 1 998 9186

A kezelt adatok: Valamennyi személyes adat.

Érintettek köre: A weboldal összes felhasználója, aki regisztrált vagy szállást foglalt.

Az adatkezelés időtartama a regisztráció törléséig tart.

Az adatfeldolgozás jogalapja: a felhasználó foglaláskor történő hozzájárulása.

Tárhely szolgáltató
Rackhost Zrt.
Adószám: 25333572-2-06
Cégjegyzékszám: 06-10-000489
Székhely cím: 6722 Szeged, Tisza Lajos körút 41.
Telefonszáma: (+36) 1 445 1200
E-mail címe: info@rackhost.hu

A kezelt adatok: Valamennyi személyes adat.

Érintettek köre: A weboldal összes felhasználója, aki regisztrált vagy szállást foglalt.

Az adatkezelés időtartama a regisztráció törléséig tart.

Az adatfeldolgozás jogalapja: a felhasználó hozzájárulása regisztráció során.

Egyéb adatfeldolgozók:
GOOGLE ANALYTICS szolgáltatás
A honlap a Google Analytics szolgáltatást használja. A szolgáltatás sütiket és szövegfájlokat használ, amelyeket a számítógépére mentenek, így megkönnyítik a weblap felhasználói szokásainak elemzését. Ezek az információk egy a Google által üzemeltetett szerverre kerülnek.

Adatbiztonság
Az adatkezelő minden szükséges lépést megtesz, hogy biztosítsa a felhasználók által megadott személyes adatok biztonságát mind a hálózati kommunikáció során, mind az adatok tárolása, őrzése során.
Az adatkezelő a megadott személyes adatokat a Magyar Köztársaság területén, 24 órás őrzéssel védett szerveren tárolja. A kezelt adatok harmadik országba vagy nemzetközi szervezet részére nem kerülnek továbbításra.

A felhasználó jogai és érvényesítésük
Az érintett kérelmezheti az adatkezelőnél a.) tájékoztatását személyes adatai kezeléséről, b) személyes adatainak helyesbítését, kezelésének korlátozását, valamint c) személyes adatainak – a kötelező adatkezelés kivételével – törlését. Az érintett kérelmére az adatkezelő tájékoztatást ad arról, hogy a személyes adatainak kezelése folyamatban van-e, és ha igen, az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, az érintett személyes adatok kategóriáiról, a tárolás tervezett időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről. Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja, amely szolgáltatásért az adatkezelő az adminisztratív költségeken alapuló észszerű mértékű díjat számíthat fel. A másolat igényléséhez való jog nem érintheti hátrányosan mások jogait és szabadságait. Az adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Az elektronikus hírközlésről szóló törvény hatálya alá tartozó adatkezelő a fenti bekezdésben meghatározott kötelezettségét az elektronikus hírközlésről szóló törvényben meghatározott, a személyes adatok megsértésének eseteit tartalmazó nyilvántartás vezetésével is teljesítheti.
Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban egy hónapon belül írásban, közérthető formában megadni a tájékoztatást. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja a felhasználót. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

A tájékoztatás megtagadása esetén az adatkezelő írásban közli az érintettel, hogy a felvilágosítás megtagadására e törvény mely rendelkezése alapján került sor. Abban az esetben, ha az adatkezelő nem tesz intézkedést az érinett kérelme nyomán, erről legfeljebb egy hónapon belül tájékoztatja a felhasználót megjelölve az intézkedés elmaradásának okát. A felvilágosítás megtagadása, illetve az intézkedés elmaradása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) fordulás lehetőségéről.
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték
2. az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
3. az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
4. a személyes adatokat jogellenesen kezelték;
5. a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
6. a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az fenti bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő
adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. A fentieket nem lehet alkalmazni, amennyiben az adatkezelés szükséges:

1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
2. a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
3. a GDPR 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
4. a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
5. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
4. az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. Ha az adatkezelés a fentiek szerint korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Az adatkezelő az érintettet, akinek a kérésére a fentiek alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

A helyesbítésről, a korlátozásról és a törlésről az érintettet, továbbá mindazokat a címzetteket értesíteni kell, akikkel az adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

Jelen adatkezeléssel összefüggésben az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt
akadályozná az adatkezelő, mivel az adatkezelés hozzájáruláson alapul; és az adatkezelés automatizált módon történik. Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait.

Jelen adatkezeléssel összefüggésben az érintett nem jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené tekintettel arra, hogy az adatkezelés az érintett kifejezett hozzájárulásán alapul. Ugyanakkor az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül: a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

Az érintettnek a fenti jogait törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.
Az érintett tiltakozhat személyes adatának kezelése ellen, a) ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint c) törvényben meghatározott egyéb esetben.

Az adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.

Ha az adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Ha az érintett az adatkezelőnek a fenti döntésével nem ért egyet, illetve, ha az adatkezelő a fenti határidőt elmulasztja, az érintett – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül bírósághoz fordulhat.

Ha az adatátvevő jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, az értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.

Ha az adatkezelő az értesítést elmulasztja, az adatátvevő felvilágosítást kérhet az adatátadás meghiúsulásával kapcsolatos körülményekről az adatkezelőtől, amely felvilágosítást az adatkezelő az adatátvevő erre irányuló kérelmének kézbesítését követő 8 napon belül köteles megadni. Felvilágosítás kérése esetén az adatátvevő a felvilágosítás megadásától, de legkésőbb az arra nyitva álló határidőtől számított 15 napon belül fordulhat bírósághoz az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.

Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, vagy a bíróság a tiltakozás jogosságát megállapította.

Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.

Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. A részére történő adattovábbítás jogszerűségét az adatátvevő köteles bizonyítani.

A per elbírálása a megyei bíróság, a fővárosban a Fővárosi Törvényszék (a továbbiakban: együtt: megyei bíróság) hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti megyei bíróság előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat. Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve az adatátvevő által kért adat kiadására kötelezi. Ha a bíróság az adatátvevő kérelmét elutasítja, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. Az adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő határidőn belül nem fordul bírósághoz.

 

 

 

Privacy Policy
/Centroom Invest Kft./

Introduction
The General Data Protection Regulation of the European Union (hereinafter: General Data Protection Regulation, GDPR) and CXII of 2011 on the right to self-determination of information and freedom of information in force at all times. Act (hereinafter: Info tv.) § 20 (4), the Centroom Invest Limited Liability Company, as a data controller, informs the users of the website https://citystay.hu and those who subscribe to the newsletter, as well as other stakeholders about information related to the management of personal data.

The data controller is Centroom Invest Limited Liability Company (hereinafter: service provider, data controller):

Contact details:
2600 Vác, Varsa köz 14.
Company registration number: 13-09-131530
Tax number: 14907209-2-13
Phone: +36 20 936 143
Email: info@citystay.hu

Principles for handling personal data

Personal data:

• its handling must be carried out legally and fairly, as well as in a transparent manner for the data subject
• be collected only for specific, clear and legal purposes, and they should not be treated with these a in a manner inconsistent with the objectives; in accordance with Article 89 (1) further data processing for the purpose of archiving in the public interest, for scientific and historical research purposes or for statistical purposes is not considered incompatible with the original purpose
• they must be appropriate and relevant for the purposes of data management and must be limited to what is necessary
• they must be accurate and, if necessary, up-to-date; all reasonable measures must be taken to immediately delete or correct personal data that is inaccurate for the purposes of data management
• it must be stored in a form that allows the identification of the data subjects only for the time necessary to achieve the goals of personal data management; personal data may be stored for a longer period only if the personal data will be processed in accordance with Article 89 (1) for the purpose of archiving in the public interest, for scientific and historical research purposes or for statistical purposes, the rights of the data subjects and taking into account the implementation of the appropriate technical and organizational measures required to protect his freedoms
• must be handled in such a way that adequate security of personal data is ensured through the application of appropriate technical or organizational measures, including protection against unauthorized or unlawful processing, accidental loss, destruction or damage of data.

The data controller is responsible for compliance with the above and must be able to prove this compliance (“accountability”).

Legal basis for data management

In accordance with the GDPR, data is processed on the basis of the voluntary and clear consent of the (future) user. By accepting the registration, the user unequivocally acknowledges the full handling of his personal data, according to this information.

The legal basis for data management by the data controller is summarized as follows:

GDPR:

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free flow of such data.

REGULATION OF THE EUROPEAN PARLIAMENT on the protection of natural persons with regard to the processing of personal data and the provision on the free flow of such data.

TV info:

CXII of 2011 Act on the right to self-determination of information and freedom of information. The purpose of the law is to define the basic rules for the handling of data in order to ensure that the privacy of natural persons is respected by the data controllers, and the transparency of public affairs is achieved by enforcing the right to access and disseminate data of public interest and public interest.

Data management

The data manager manages the following data in connection with the accommodation reservation:

When booking accommodation and registering for the electronic newsletter, the user must provide the following data:

• Surname
• First name
• Email address
• Phone number
• Residential address

The data provided during registration are not accessible to other users. The data manager informs the user that failure to provide the above personal data will result in the accommodation reservation or registration being unsuccessful, so the user will not be able to enter into a contract with the data manager using the website.

The scope and purpose of the processed data

Surname and first name: required for contacting and issuing the invoice/request for fees
Address: issuing the invoice or fee request, creating the contract and invoicing the fees, as well as asserting related claims
Phone number: contact, more effective coordination of questions related to invoicing or accommodation
E-mail address: identification, login, contact, more effective coordination of questions related to invoicing or accommodation. (The e-mail address does not need to contain personal data)
Password: managing access to the website
IP address: technical data
Comments: when submitting a comment, in addition to what is specified in the comment form, the commenter’s IP address and browser identification string are collected in order to filter out unsolicited content. A depersonalized character string generated from the e-mail address (usually called a hash) is transmitted to the Gravatar service if it is used on the site.
Media: if an image is uploaded to the website by a registered user, EXIFs containing GPS position data must be avoided. Website visitors can download these and extract location data from the images on the website.
Cookies: after writing a comment, the website stores the entered name, e-mail and web address in cookies. The storage is only for convenience purposes, so that it does not have to be filled in automatically the next time you post. The expiration date of cookies is 1 year. If we have a user account and are logged in to this website, we set temporary cookies in order to determine whether the browser accepts cookies. These cookies do not contain personal information and are deleted when you close your browser. When logging in to the website, we create several cookies that save the login information and the display options of the editing interface. Login cookies are valid for two days, and cookies storing the display options of the editing interface are valid for one year. If the “Remember me” option is selected, the registration will continue for two weeks. Login cookies are removed when you log out. If we edit a post or page, our browser stores another cookie. This cookie does not contain any personal data, it simply stores the ID number of the post that we have edited. It will expire in one day.

Scope of stakeholders:
Users and customers registered on the website and accommodation reservation page.

Duration of data management, deadline for data deletion:
By canceling the registration immediately. Except in the case of invoices (on the basis of § 169 (2) of Act C of 2000 on accounting, these data must be kept for 8 years).

The person of possible data controllers entitled to access the data:
Personal data can be managed by the employees of the data controller, respecting the above principles.

The data subject can initiate access to personal data, its deletion, modification or limitation of processing, objection to data processing in the following ways

by post: with an official letter addressed to 2600 Vác, Varsa köz 14
by e-mail at the e-mail address info@citystay.hu

Data management is based on your consent, without providing the necessary data to complete orders, we cannot fulfill them.
Data processors used to complete the accommodation reservation:

thePass Kft. (SabbeApp)
Tax number: 24327567-2-42
Company registration number: 01-09-172346
Headquarters address: 1074 Budapest, Dohány utca 2-14.
Telephone number: (+36) 1 998 9186

The managed data: All personal data.

Stakeholders: All users of the website who have registered or booked accommodation.

The duration of data management lasts until the cancellation of the registration.

The legal basis for data processing: the user’s consent at the time of booking.

Hosting provider
Rackhost Zrt.
Tax number: 25333572-2-06
Company registration number: 06-10-000489
Headquarters address: Tisza Lajos körút 41, 6722 Szeged.
Telephone number: (+36) 1 445 1200
E-mail address: info@rackhost.hu

The managed data: All personal data.

Stakeholders: All users of the website who have registered or booked accommodation.

The duration of data management lasts until the cancellation of the registration.

The legal basis for data processing: the user’s consent during registration.

 

Other data processors:
GOOGLE ANALYTICS service
The website uses the Google Analytics service. The service uses cookies and text files that are saved on your computer, thus making it easier to analyze the user habits of the website. This information is sent to a server operated by Google.

Data security

The data manager takes all necessary steps to ensure the security of the personal data provided by users both during network communication and during data storage and protection.
The data manager stores the provided personal data on a server protected by 24-hour security in the territory of the Republic of Hungary. The processed data will not be forwarded to third countries or international organizations.

User’s rights and their enforcement

The data subject may request from the data controller a.) information about the processing of his personal data, b) correction of his personal data, restriction of processing, and c) deletion of his personal data – with the exception of mandatory data processing. At the request of the data subject, the data controller provides information on whether the processing of his personal data is in progress and, if so, on the data subject’s data managed by him or processed by a data processor commissioned by him or at his disposal, their source, the purpose of data management, the personal data of the data subject the categories of data, the planned duration of storage, the name and address of the data processor and its activities related to data management, the circumstances and effects of the data protection incident and the measures taken to prevent it, and – in the case of forwarding the data subject’s personal data – the legal basis and recipient of the data transfer. The data manager provides a copy of the personal data that is the subject of data management to the data subject, for which service the data manager may charge a reasonable fee based on administrative costs. The right to request a copy must not adversely affect the rights and freedoms of others. The data controller keeps a register for the purpose of checking the measures related to the data protection incident and for informing the data subject, which includes the scope of personal data concerned, the scope and number of those affected by the data protection incident, the date, circumstances, effects of the data protection incident and the measures taken to prevent it, as well as the data management other data specified in the prescriptive legislation.
The data controller subject to the Electronic Communications Act may also fulfill its obligations set out in the above paragraph by keeping a register containing cases of personal data violations defined in the Electronic Communications Act.
The data controller is obliged to provide the information in writing in an understandable form as soon as possible, but no later than one month after the submission of the request. If necessary, taking into account the complexity of the application and the number of applications, this deadline can be extended by another two months. The data controller shall inform the user of the extension of the deadline, indicating the reasons for the delay, within one month of receiving the request. Information is provided free of charge if the information requester has not yet submitted an information request to the data controller for the same data set in the current year. In other cases, reimbursement may be established. The amount of reimbursement can also be fixed in the contract between the parties. The compensation already paid must be refunded if the data was handled unlawfully or the request for information led to a correction.

In case of refusal to provide information, the data controller shall inform the data subject in writing of which provision of this law the refusal of information was based on. In the event that the data controller does not take action following the request of the data subject, it shall inform the user of this within a maximum of one month, specifying the reason for the failure to take action. In case of refusal to provide information, or failure to take action, the data controller informs the data subject of the possibility of legal remedies in court, as well as the possibility of turning to the National Data Protection and Freedom of Information Authority (hereinafter: Authority).
The data subject has the right to request that the data controller correct inaccurate personal data concerning him without undue delay. Taking into account the purpose of the data management, the data subject is entitled to request the completion of incomplete personal data, including by means of a supplementary statement. The data subject has the right to request that the data controller delete the personal data concerning him without undue delay, and the data controller is obliged to delete the personal data concerning the data subject without undue delay if one of the following reasons exists:

1. the personal data is no longer needed for the purpose for which it was collected or otherwise processed
2. the data subject withdraws the consent that forms the basis of the data processing pursuant to point a) of Article 6 (1) or point a) of Article 9 (2) of the GDPR, and there is no other legal basis for the data processing;
3. the data subject objects to the data processing based on Article 21 (1) of the GDPR and there is no overriding legitimate reason for data processing, or the data subject objects to the data processing based on Article 21 (2);
4. personal data has been processed unlawfully;
5. the personal data must be deleted in order to fulfill the legal obligation prescribed by the EU or Member State law applicable to the data controller;
6. the collection of personal data took place in connection with the offer of information society-related services referred to in Article 8 (1) of the GDPR.

If the data controller has disclosed the personal data and is obliged to delete it pursuant to the above paragraph, it will take reasonable steps, including technical measures, taking into account the available technology and the costs of implementation, in order to inform the data controller
data controllers that the data subject has requested from them the deletion of the links to the personal data in question or the copy or duplicate of these personal data. The above cannot be applied if data management is necessary:

1. for the purpose of exercising the right to freedom of expression and information;
2. for the purpose of fulfilling the obligation under the EU or Member State law applicable to the data controller requiring the processing of personal data, or for the execution of a task carried out in the public interest or in the context of the exercise of a public authority vested in the data controller;
3. in accordance with points h) and i) of Article 9 (2) and Article 9 (3) of the GDPR on the basis of public interest in the field of public health;
4. in accordance with Article 89 (1) for the purpose of archiving in the public interest, for scientific and historical research purposes or for statistical purposes, if the right to erasure would likely make this data management impossible or seriously jeopardize; or
5. for the presentation, enforcement and defense of legal claims.

The data subject has the right to have the data controller restrict data processing at his request if one of the following conditions is met:

1. the data subject disputes the accuracy of the personal data, in which case the limitation applies to the period that allows the data controller to check the accuracy of the personal data;
2. the data processing is illegal and the data subject opposes the deletion of the data and instead requests the restriction of its use;
3. the data controller no longer needs the personal data for the purpose of data management, but the data subject requires them to present, enforce or defend legal claims; or
4. the data subject has objected to the data processing in accordance with Article 21 (1) of the GDPR; in this case, the restriction applies to the period until it is established whether the legitimate reasons of the data controller take precedence over the legitimate reasons of the data subject. If data management is subject to restrictions as described above, such personal data, with the exception of storage, will only be processed with the consent of the data subject, or for the presentation, enforcement or defense of legal claims, or for the protection of the rights of another natural or legal person, or in the important public interest of the Union or a member state can be handled. The data controller informs the data subject, at whose request the data processing was restricted based on the above, of the lifting of the data processing restriction in advance.

The data subject must be notified of the correction, restriction and deletion, as well as all the recipients to whom the data was communicated, unless this proves to be impossible or requires a disproportionately large effort. At the request of the data subject, the data controller informs about these recipients.

In connection with this data management, the data subject has the right to receive the personal data concerning him/her provided to the data controller in a segmented, widely used, machine-readable format, and is also entitled to transmit this data to another data controller without this
would be hindered by the data controller, as the data management is based on consent; and data management is automated. When exercising the right to data portability, the data subject is entitled to – if this is technically feasible – request the direct transfer of personal data between data controllers. This right must not adversely affect the rights and freedoms of others.

In connection with this data processing, the data subject is not entitled to be excluded from the scope of a decision based solely on automated data processing, including profiling, which would have legal effects on him or similarly significantly affect him, given that data processing is the data subject’s express consent. based on your consent. At the same time, the data controller is obliged to take appropriate measures to protect the rights, freedoms and legitimate interests of the data subject, including at least the right of the data subject to request human intervention on the part of the data controller, to express his point of view and to submit objections to the decision.

If the data protection incident is likely to involve a high risk for the rights and freedoms of natural persons, the data controller shall inform the data subject of the data protection incident without undue delay. In the information provided to the data subject, the nature of the data protection incident must be clearly and comprehensibly described, and at least the information and measures mentioned in points b), c) and d) of Article 33, paragraph (3) of the GDPR must be communicated. The data subject does not need to be informed if any of the following conditions are met: a) the data controller has implemented appropriate technical and organizational protection measures and these measures have been applied to the data affected by the data protection incident, in particular those measures – such as the use of encryption – , which make the data unintelligible to persons not authorized to access the personal data; b) after the data protection incident, the data controller has taken additional measures to ensure that the high risk to the rights and freedoms of the data subject is unlikely to materialize in the future; c) providing information would require a disproportionate effort. In such cases, the data subjects must be informed through publicly published information, or a similar measure must be taken that ensures similarly effective information to the data subjects.

If the data controller does not comply with the data subject’s request for correction, blocking or deletion, within 30 days of receiving the request, the data controller shall provide the factual and legal reasons for rejecting the request for correction, blocking or deletion in writing. In case of rejection of the request for correction, deletion or blocking, the data controller informs the data subject of the possibility of legal remedies in court, as well as the possibility of turning to the Authority.

The above rights of the data subject may be limited by law in the interests of the external and internal security of the state, such as national defense, national security, the prevention or prosecution of crimes, the security of the execution of sentences, as well as in the economic or financial interest of the state or municipality, the European Union has a significant economic or financial interests, as well as disciplinary and ethical offenses related to the practice of occupations, for the purpose of preventing and uncovering violations of labor law and labor protection obligations – including in each case control and supervision – and also for the protection of the rights of the person concerned or others.
The data subject may object to the processing of his personal data, a) if the processing or transmission of personal data is necessary solely for the fulfillment of the legal obligation of the data controller or for the enforcement of the legitimate interests of the data controller, data receiver or third party, except in the case of mandatory data processing; b) if personal data is used or forwarded for the purpose of direct business acquisition, public opinion polls or scientific research; and c) in other cases specified by law.

The data controller examines the objection as soon as possible, but no later than 15 days after the submission of the application, makes a decision on its validity, and informs the applicant of his decision in writing.

If the data controller determines that the data subject’s objection is well-founded, the data management – including further data collection

lt and data transmission – terminates and locks the data, as well as notifies all those to whom the personal data affected by the protest was previously transmitted, about the protest and the measures taken based on it, and who are obliged to take measures to enforce the right to protest.

If the data subject does not agree with the above decision of the data controller, or if the data controller misses the above deadline, the data subject may apply to the court within 30 days from the notification of the decision or the last day of the deadline.

If the data recipient does not receive the data necessary to enforce its rights due to the data subject’s objection, within 15 days from the date of the notification, the data controller may go to court against the data controller in order to obtain access to the data. The data controller can also sue the data subject.

If the data manager fails to notify, the data recipient may request information from the data manager about the circumstances related to the failure of the data transfer, which information the data manager must provide within 8 days of delivery of the data recipient’s request to this effect. In the case of a request for clarification, the data recipient may apply to the court against the data controller within 15 days of the provision of the clarification, but no later than the deadline. The data controller can also sue the data subject.

The data controller cannot delete the data subject’s data if the data management is ordered by law. However, the data may not be forwarded to the data recipient if the data controller has agreed to the objection, or the court has established the legitimacy of the objection.

In the event of a violation of their rights, the data subject may apply to the court against the data controller. The court acts out of sequence in the case.

The data controller is obliged to prove that the data management complies with the provisions of the law. The data recipient is obliged to prove the legality of the data transfer to him.

The adjudication of the lawsuit falls under the jurisdiction of the county court, and in the capital, the Capital Court (hereinafter: together: county court). According to the choice of the person concerned, the lawsuit can also be initiated before the county court of the place of residence or residence of the person concerned. A person who otherwise does not have legal capacity can be a party to the lawsuit. The Authority can intervene in the lawsuit in order to win the case for the person concerned. If the court approves the request, it obliges the data controller to provide information, correct, block, delete the data, annul the decision made by automated data processing, take into account the data subject’s right to object, and release the data requested by the data recipient. If the court rejects the data recipient’s request, the data controller is obliged to delete the data subject’s personal data within 3 days from the notification of the judgment. The data controller is obliged to delete the data even if the data recipient does not apply to the court within the deadline.