Expo Consulting Kft., Expo Consulting Travel

ADATKEZELÉSI SZABÁLYZATA

 

Az Expo Consulting Kft. Expo Consulting Travel (Székhelye: 1137 Budapest, Radnóti M. u. 5-7., cégjegyzékszáma: 01-09-915092, Képviseli: Szabó Bernadett, e-mail címe: office@expobs.com, telefon: 06-1-301-0658, továbbiakban: Iroda) a személyes adatok kezelését a vonatkozó uniós és hazai jogszabályok előírásainak megfelelően végzi. Az adatkezelés alapjául szolgáló jogszabályok:

• az Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban: GDPR),
• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.

 

1.Adatkezelés

1. Meghatározások

 

1. a személyes adat meghatározása:

 

Személyes adat az azonosított vagy azonosítható természtes személyre vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságra vonatkozó egy vagy több tényező alapján azonosítható.

 

2. az „adatkezelés” jelentése:

 

Adatkezelésnek minősül a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet, így a gyűjtés, rögzítés, rendszerezés, tárolás, megváltoztatás, lekérdezés, felhasználás, továbbítás, korlátozás vagy éppen a törlés.

 

 

3. az „adatkezelő” jelentése:

 

Adatkezelő az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

 

 

4. az „adatfeldolgozó” jelentése:

 

Adatfeldolgozó az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel.

Az Iroda nevében az alábbi adatfeldolgozók végeznek adatkezelési tevékenységet:

• partner utazási irodák;
• az utazási szolgáltatás nyújtásában részt vevő szolgáltatók (szállodák, utasbiztosítók, légitársaságok, egyéb személyszállító társaságok, gépkocsi kölcsönzők)
• Zeller Computer Kft., az Iroda IT szolgáltatója;
• Hozampont Kft., az Iroda bérszámfejtési és könyvelési szolgáltatója.

 

5. az „ügyfél” jelentése:

 

Az Iroda termékei, szolgáltatásai iránt személyesen, telefonon, elektronikus úton, vagy bármely más módon érdeklődők, és/vagy szerződést kötők.

1.2Az adatkezelés elvei

 

Az Iroda a személyes adatokat kezelése során az alábbi alapelvek szerint jár el:

 

• a személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon végzi („jogszerűség, tisztességes eljárás és átláthatóság”);
• a személyes adatokat csak jogszerű, meghatározott és egyértelmű célból gyűjti, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
• a személyes adatok kezelése az adatkezelés céljai szempontjából megfelelő és releváns, és csak a szükséges adatokra korlátozódik („adattakarékosság”);
• a személyes adatok pontosak és naprakészek; a pontatlan személyes adatokat lehetőség szerint haladéktalanul törli vagy helyesbíti („pontosság”);
• a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerül sor megfelelő technikai és szervezési intézkedések végrehajtása mellett, amennyiben ezt egyéb jogszabályok előírják („korlátozott tárolhatóság”);
• a személyes adatokat oly módon kezeli, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
• a fenti elveknek való megfelelést az adatkezelőnek igazolnia is tudnia kell („elszámoltathatóság”).

 

1.  

 

Az Iroda a felsorolt adatkezelési célokból az alábbi személyes adatokat kezeli ügyfeleiről:

 

1. Repülőjegy, egyéb utazási jegy értékesítése:

 

	az ügyfél beazonosításához elengedhetetlenül szükséges adat
telefonszám, e-mail cím, lakcím	az ügyfél későbbi eléréséhez, számlázáshoz elengedhetetlenül szükséges adatok
utas/ok pontos neve	utazási dokumentumok kiállításához szükséges adat
utasok születési dátuma	repülőjegy foglaláshoz szükséges adat
úti cél, indulás-érkezés napjának meghatározása	utazási jegyek foglalásához, kiállításához szükséges adatok
releváns egészségügyi adatok	az átlagostól eltérő kiszolgálás biztosításához szükséges adatok (életkor, átlagostól eltérő étkezési igény, fogyatékosság miatti különleges igény, stb.).

Az adatkezelés jogalapja a szerződés teljesítése, illetve az annak kapcsán felmerült esetleges jogviták rendezhetőségének biztosítása. Az adatkezelés időtartama a szerződés teljesítése plusz 5 év (általános polgári jogi igényérvényesítési határidő).

 

1. utazási irodai szolgáltatás iránti érdeklődés személyesen, telefonon, elektronikus úton, vagy bármely más módon:

 

név	az ügyfél beazonosításához elengedhetetlenül szükséges adat
telefonszám, e-mail cím, lakcím	az ügyfél későbbi eléréséhez, számlázáshoz elengedhetetlenül szükséges adatok
az érdeklődés tárgya: úti cél, utazási mód megjelölése, utasok száma, kora, telefonos elérhetősége, szállásigén, estleges étkezési elvárások	a személyre szabott ajánlat elkészítéséhez, majd a szerződés teljesítéséhez szükséges adatok az ügyfél saját közlése alapján

 

Az adatkezelés jogalapja az ügyfél hozzájárulása. Az adatkezelés visszavonásig, illetve az ügyfél hozzájárulásában megjelölt időtartamig tart.

 

1. partner utazási irodai érdeklődés személyesen, telefonon, elektronikus úton, vagy bármely más módon:

 

partneriroda munkatársának e-mail címe és telefonszáma	a partner érdeklődésének megválaszolásához szükséges adatok, a partneriroda munkatársának közlése alapján
partneriroda ügyfelének neve	a partneriroda ügyfelének beazonosításához elengedhetetlenül szükséges adat
partneriroda ügyfelének              telefonszáma, e-mail címe	partneriroda ügyfelének későbbi eléréséhez elengedhetetlenül szükséges adatok
az érdeklődés tárgya: úti cél, utazási mód megjelölése, utasok száma, kora, telefonos elérhetősége, szállásigény, estleges étkezési elvárások	a személyre szabott ajánlat elkészítéséhez, majd a szerződés teljesítéséhez szükséges adatok a partneriroda munkatársának közlése alapján

 

Az adatkezelés jogalapja az ügyfél hozzájárulása. Az adatkezelés visszavonásig, illetve az ügyfél hozzájárulásában megjelölt időtartamig tart.

 

 

1. Utazási szerződés kötés, baleset- és poggyász biztosítás, sztornó biztosítás

 

	az ügyfél beazonosításához elengedhetetlenül szükséges adat
telefonszám, e-mail cím, lakcím	az ügyfél későbbi eléréséhez, számlázáshoz elengedhetetlenül szükséges adatok
utas/ok pontos neve	szerződéskötéshez, biztosítási kötvény kiállításához szükséges adat
utasok születési dátuma	szerződéskötéshez, biztosítási kötvény kiállításához szükséges adat
úti cél, indulás-érkezés napjának meghatározása	szerződéskötéshez, biztosítási kötvény kiállításához szükséges adat
releváns egészségügyi adatok	biztosítási kötvény kiállításához szükséges, adatok, esetenként átlagostól eltérő, vagy a szóba jöhető biztosítási módot befolyásoló adatok (életkor, fogyatékosság, stb.)

 

Az adatkezelés jogalapja a szerződés teljesítése, illetve az annak kapcsán felmerült esetleges jogviták rendezhetőségének biztosítása. Az adatkezelés időtartama a szerződés teljesítése plusz 5 év (általános polgári jogi igényérvényesítési határidő).

 

 

1. Az Iroda által képviselt kiállítások és vásárok iránti érdeklődés személyesen, telefonon, elektronikus úton, vagy bármely más módon:

 

ügyfél neve	az ügyfél beazonosításához elengedhetetlenül szükséges adat
ügyfél telefonszáma, e-mail címe	az ügyfél későbbi eléréséhez elengedhetetlenül szükséges adatok
ügyfél beosztása, munkahelyének neve, címe	ingyenes szakmai belépőjegyek regisztrációs kódjának megadásához elengedhetetlenül szükséges adat

 

Az adatkezelés jogalapja az ügyfél hozzájárulása. Az adatkezelés visszavonásig, illetve az ügyfél hozzájárulásában megjelölt időtartamig tart.

 

 

1.4Különleges személyes adatkategóriák kezelése

 

Az Iroda esetenként különleges adatkategóriákat (például egészségügyi adatok,vallási meggyőződés, stb.) is kezel az alábbi jogalapok alapján.

 

• az ügyfél kifejezett hozzájárulása (pl: utas kéri vallási meggyőződése szerinti étkezés biztosítását),
• létfontosságú érdek védelméhez szükséges, és az ügyfél fizikailag, vagy jogilag cselekvőképtelen állapota miatt nem tud hozzájárulást adni (pl: rosszullét miatt ellátás alatt álló utazó ismert allergiájáról tájékoztatni az orvost),
• az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi okból történik (pl: munkavállaló munkaképességének felmérésére folytatott vizsgálat eredményének kezelése).

1.5Az ügyfelek és érintett személyek jogai

 

Az Iroda teljesíti az általa kezelt személyes adatokkal kapcsolatos kötelezettségeit:

 

1. Tájékoztatáshoz való jog

 

Az Iroda az általa kezelt személyes adatok tulajdonosai számára kérésre tájékoztatást ad a vele kapcsolatban kezelt személyes adatok köréről, a tárolás céljáról, időtartamáról, a kezelés jogalapjáról, a kezelő személyéről, jogos érdeken alapuló adatkezelés esetén a jogos érdek mibenlétéről, harmadik országba történő adattovábbításról, az adatok címzettjeiről és a címzetti kategóriákról.

 

2. Hozzáféréshez való jog

 

Az Az Iroda az általa kezelt személyes adatok tulajdonosai számára kérésre visszajelzést ad arra vonatkozóan, hogy az érintett személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, hozzáférést biztosít a személyes adatokhoz és a kezelt információkhoz.

 

3. Helyesbítéshez való jog

 

Az Iroda az általa kezelt személyes adatok tulajdonosai számára kérésre indokolatlan késedelem nélkül helyesbíti a rájuk vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, biztosítja az érintettek számára a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

(Nem tartozik ugyanakkor ebbe a körbe, ha az utazási szerződés tárgyához tartozó körülmény változik meg, például más személlyel utazik el, mint akit eredetileg megjelölt – azaz e körben az utazási iroda ÁSZF vagy szerződés szerinti módosítási szabályai (és esetleges költségei) alkalmazandóak.)

 

4. Törléshez való jog

 

Az Iroda az általa kezelt személyes adatok tulajdonosai számára kérésre indokolatlan késedelem nélkül törli a rájuk vonatkozó személyes adatokat (néhány speciális eset mellett – GDPR 17. cikk) akkor, ha az adatkezelés célja vagy jogalapja megszűnt, az adatkezelés eleve jogalap nélkül történt.

(Kivéve, ha az Irodának jogi követelése van az érintett személlyel szemben, úgy az annak érvényesítéséhez szükséges személyes adatok törlésére az iroda nem kötelezhető.)

 

 

5. Adatkezelés korlátozásához való jog

 

Az Iroda az általa kezelt személyes adatok tulajdonosai számára kérésre a GDPR 18. cikkében meghatározott speciális esetekben korlátozza az adatkezelést. A korlátozás azt jelenti, hogy az érintett adatokat az Iroda köteles tovább tárolni, de azt kezelni csak az érintett hozzájárulásával, vagy jogérvényesítés céljából lehet.

(Amennyiben az ügyfél valamilyen jogi igényt kíván – akár az irodával szemben – érvényesíteni, amihez szüksége van az adatok további tárolására, az Iroda nem kötelezhető az adatkezelés korlátozására.)

 

 

6. Adathordozhatósághoz való jog

 

Az Iroda az általa kezelt személyes adatok tulajdonosai számára kérésre megküldi az érintettnek a róla kezelt adatokat olvasható formában, illetve azokat másik adatkezelőhöz továbbítja.

 

7. Tiltakozáshoz való jog

 

Az Iroda az általa kezelt személyes adatok tulajdonosai számára biztosítja a jogot, hogy az érintett tiltakozzon személyes adatainak közérdekből vagy az Iroda érdekéből történő kezelése miatt, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább.

(Az Iroda folytatja azonban az adatkezelést, amennyiben annak más jogalapja is van, illetve ha az adatkezeléshez fűződő jogos okok elsőbbséget élveznek az érintett érdekeivel szemben.)

 

Az Iroda az ügyfelek kérelmeit az alábbi határidők betartásával teljesíti:

 

Érintett kérelmének tárgya	Határidő
Tájékoztatáshoz való jog	amikor az adatot gyűjtik (ha az érintett adja át) vagy egy hónapon belül (ha nem az érintett adja át)
Hozzáféréshez való jog	egy hónap
Helyesbítéshez való jog	egy hónap
Törléshez való jog	indokolatlan késedelem nélkül
Adatkezelés korlátozásához való jog	indokolatlan késedelem nélkül
Adathordozhatósághoz való jog	egy hónap
Tiltakozáshoz való jog	a tiltakozás kézhezvételekor

 

8.           Az érintett jogorvoslati lehetőségei az Adatkezeléssel kapcsolatban.

 

- Az Érintett jogorvoslati igényével, panaszával a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) fordulhat az alábbi elérhetőségeken:

       Székhely:             1125 Budapest, Szilágyi Erzsébet fasor 22/C.

       Levelezési cím:    1530 Budapest, Pf.: 5.

       Telefon:                06-1-391-1400

       Fax:                      06-1-391-1410

       E-mail:                 ugyfelszolgalat@naih.hu

       Honlap:               http://www.naih.hu

 

- Az Érintett jogainak megsértése esetén az adatkezelő (Expo Consulting Kft. Expo Consulting Travel) ellen bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A perre az Expo Consulting Kft. Expo Consulting Travel székhelye alapulvételével a Fővárosi Törvényszék illetékes, de a per – az Érintett választása szerint – az Érintett lakóhelye vagy tartózkodási helye szerinti tövényszék előtt is megindítható.

               A területileg illetékes békéltető testület. A békéltető testületek címei a www.bekeltetes.hu
               weboldalon érhetőek el.

               Budapesti Békéltető Testület
               1016 Budapest, Krisztina krt. 99.
               Tel: 488-2131,
               E-mail: bekelteto.testulet@bkik.hu

 

 

Személyes adatok továbbítása

 

Az Iroda mindennapos tevékenységének szerves részét képezi a személyes adatok továbbítása a szolgáltatás nyújtásában résztvevő szolgáltatók valamint szerződéses partnerei felé, az Iroda számára szolgáltatást nyújtók és egyéb adatfeldolgozók felé. Az adattovábbításra sor kerülhet harmadik jogi személyek irányában is.

 

Az Iroda elsősorban az Európai Unión belülre továbbít személyes adatokat. Harmadik országba kizárólag abban az esetben, ha az ügyfél úti célja itt található és itt kíván különböző szolgáltatásokat igénybe venni, amelyekhez személyének beazonosítása szükséges. Ilyen esetekben az Iroda bekéri az ügyfél kifejezett hozzájárulását személyes adatinak továbbításához, tájékoztatva őt az esetleges kockázatokról. Az Iroda az alábbi esetekben továbbít még személyi adatokat harmadik országba:

• az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
• az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
• az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására.

 

1.6Beépített adatvédelem

 

Az Iroda magáévá tette a beépített adatvédelem elvét, és biztosítja, hogy minden olyan új vagy jelentősen módosított rendszer tervezése során, ami személyes adatokat gyűjt vagy kezel, kellő figyelmet fordítsanak az adatvédelem kérdésére, beleértve egy vagy több adatvédelmi hatásvizsgálat elvégzését.

 

Az adatvédelmi hatásvizsgálat magában foglalja a következőket:

• annak figyelembe vétele, hogy a személyes adatok hogyan és milyen célból kezelik.
• annak értékelése, hogy a személyes adatok javasolt kezelése szükséges-e és arányos-e a cél(ok)hoz.
• a természetes személyeket a személyes adatok kezelése során érintő kockázatok értékelése.
• annak azonosítása, hogy milyen ellenőrzések szükségesek a feltárt kockázatok kezelésére és a jogszabályoknak való megfelelés igazolására.

 

Emellett az Iroda időről időre felülvizsgálja adatkezelési rendszereinek működését, hogy azok megfelelnek-e az aktuális elvárásoknak, illetve az esetleg változó üzleti gyakorlatnak.

 

Az adatkezelés GDPR alapelveknek megfelelő alkalmazása érdekében az Iroda biztosítja, hogy:

• a személyes adatok kezelésében részt vevő személyzet minden tagja megérti a helyes adatvédelmi gyakorlatok követésére vonatkozó felelősségét,
• a személyzet minden tagja adatvédelmi képzésben részesül,
• az érintettek számára könnyen hozzáférhető kapcsolatfelvételi lehetőségek állnak rendelkezésre, ha személyes adatokra vonatkozó jogaikat kívánják gyakorolni, és az ilyen megkereséseket hatékonyan kezelik.

 

1.7Jogsértés bejelentése

 

Az Iroda a GDPR-nak megfelelően, amikor a természetes személyek jogaira és szabadságára feltehetően kockázatot jelentő adatvédelmi incidens bekövetkezéséről szerez tudomást,  az illetékes adatvédelmi hatóságot 72 órán belül tájékoztatja.

 

Adatvédelmi incidensnek minősül minden olyan esemény, amely az Iroda által kezelt, továbbított, tárolt vagy feldolgozott személyes adatokkal kapcsolatban a személyes adat jogellenes kezelését vagy feldolgozását, így különösen jogosulatlan vagy véletlen hozzáférését, megváltoztatását, közlését, törlését, elvesztését vagy megsemmisítését, valamint véletlen megsemmisülését és sérülését eredményezi.

 

Az Iroda indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) részére az adatvédelmi incidenst.

 

Az Iroda az adatvédelmi incidens észlelését követő 72 órán belül tájékoztatja az érintetteket az adatvédelmi incidensről a www.expobs.com honlapján keresztül.

 

Az adatvédelmi incidensekről az Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezet.

 

1.8Nyilvántartás vezetési kötelezettségek

 

Az Iroda táblázatos formában vezeti Adatkezelési Nyilvántartását:

 

• a személyes adatok kezelésének jogalapja minden esetben világos és egyértelmű,
• az adatkezelés célja pontosan meghatározott, a kezelt adatok köre a cél eléréséhez szükséges,
• az érintett az adatkezelésről megfelelő tájékoztatást kapott,
• az adatkezelés időtartama és a törlés rendje szabályozott,
• az adatok tárolása megfelelő biztonsági intézkedések mellett történik,
• adattovábbítás megfelelő garanciák mellett történik,
• az adatkezelésért felelős személy kijelölésre került.

 

 

2.2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról kiegészítő rendelkezései

 

[törvénymódosítást követően kiegészítendő]

 

2.1Adatvédelmi szabályok

 

Tekintettel az Iroda alacsony létszámára, nem kerül sor IT biztonsági vezető és Adatvédelmi tisztviselő kijelölésére.

Az Iroda valamennyi adatkezelési tevékenységet folytató munkavállalója és partnere köteles a cégre és részére meghatározott feladatok és kötelezettségek ellátására annak érdekében, hogy az iroda működése során megfelelően érvényesülhessenek a GDPR általános elvei, így egyebek mellett a jogszerű, tisztességes és átlátható adatkezelés elve, a célhoz kötöttség elve, az adattakarékosság és a pontosság elve, valamint az integritás és bizalmas jelleg elve.

 

 

 

Budapest, 2020. február 1.