1. Introduction

The main activity of the BEST-REISEN Utazási Iroda Korlátolt Felelősségű Társaság (1137 Budapest, Szent István krt. 22. 2. em. 1, company reg. number: Cg.01-09-366049),

and BEST-REISEN Holiday Korlátolt Felelősségű Társaság (1137 Budapest, Szent István krt. 22. 2. em. 1, company reg. number: Cg.01 09 166619),

further on: Service provider, is travel organisation, and besides its activity it is also dealing with the letting, operating its own or leased properties.

The Service provider – in connection with the data management – hereby informs its customers, guests and lessee as well s the website visitors about the personal data handled by it, as well as the principles and practice applied in connection with the management of personal data, and also about the mode and possibility of exerting the rights of the concerned parties.

The Service provider is committed to protect the personal data of its users and partners, with special regard to respect the information-related self-governing right of the clients. Service provider declares that it respects the personal rights of the partners, clients, leasers and the visitors of the website. It handles the recorded data confidentially, according to the data protection law and international recommendations, complying with the present data management policy and takes all the safety, technical and organising measures that guarantees the data safety.

The Service provider reserves the right to modify the present policy any time in such a way that it informs its partners and guests accordingly.

The partner getting in customer contact with the Hotel is accepting the following, and approves to data management as follows.

  1. Purpose and scope of the data protection policy

The present Policy aims to assure that the Service provider complies with the valid law that is related to the data protection.

The present Policy shall be valid from May 1, 2017 until withdrawal.

The scope of the present Policy shall cover the Service provider, the people whose data are contained in the databases falling under the scope of the present Policy, and those people whose rights or righteous interests are concerned with the data management.

The scope of the present Policy covers all the data management activities that contain personal data and are performed in the Service provider’s organisational units.

  • The following notions shall be interpreted when applying the present Policy.

Concerned party: natural person who is defined, determined based on personal data – ether directly or indirectly;

Personal data: the data that can be connected with the concerned party – especially the name, identification number of the concerned party, as well as one or more pieces of information that characterise his/her physical, physiological, mental, economic, cultural or social identity – and the related conclusions that can be drawn form there;

Consent: the concerned party’s voluntary and definite expression that is based on proper information, and with which he gives his/her clear consent to handle his/her related personal data – either in full or by covering certain operations;

Objection: the concerned party’s statement with which he/she is objecting against the management of his/her personal data, and he/she is asking for the termination of the data management respectively the deletion of the handled data;

Data manager: the natural or legal person respectively organisation without legal personality who either individually or together with others defines the purpose of data management, makes the decisions related to the data management (including the used device) and executes them, or has them executed with the data processor assigned by him;

Data management: regardless the applied process any operation or operations made with the data, with special regard to their collection, recording, organising, storage, changing, usage, querying, forwarding, disclosing, harmonising or connecting, blocking, deletion and termination, as well as the prevention of further use of the data, making pictures, sound or image recoding and recording the physical features that are suitable to identify the person.

Data processor: the natural or legal person respectively organisation without legal personality who or based on the contract concluded with the data manager – including the contract concluding based on the legal provision – performs the data processing;

Data processing: technical tasks related to the data management operations, regardless the method and device used for the execution of the operations, and the place of application, provided that the technical task sis being performed on the data

Third party: the natural or legal person respectively organisation without legal personality who is not identical with the concerned party, the data manager or the data processor;

Data forwarding: when the data are made available for certain third parties;

Disclosing: when the data are made available to anybody;

Data deletion: the data are made unrecognisable in such a way that their recovery is not possible any more;

Data marking: providing the data with identification mark in order to differentiate them;

Data blocking: marking the data in order to restrict their handling for a certain period or for good;

Data annihilation: total physical annihilation of the data carrier;

  1. Rules of handling the personal data

The personal data can be handled by the Service provider if

  1. a) the concerned party gives his/her consent, or
  2. b) the law stipulates so – or based on the authorisation by law in the pre-defined scope – the decree of the local self-government for a purpose that is based on public interest (mandatory data management).

The personal data can be handled even if the concerned party’s consent can’t be obtained or it would involve disproportionate cost, and the management of the personal data is required in order to meet the legal obligation related to the data manager, or it is required to enforce the righteous interests of the data manager or a third party, and the enforcement of this interest is in harmony with the restriction of the right related to the protection of the personal data.

The statement of the incapable person or the person who is under 16 and he/she is partly incapably there is need for the consent of his/her legal representative, except for those service parts where the statement refers to data handling in mass that occurs in the daily life and it does require specific consideration.

If due to the concerned person’s incapacity or due to other unavoidable reason the consent can’t be given, then the personal data of the concerned person can be handled at the extent required for the protection of the vital interest of his/her own or another person as well as for avoiding the direct threat that endangers the people’s lives, bodily integrity or goods – when the obstacles to give the consent do exist.

If the personal data were recorded with the concerned party’s consent, then the data manager can handle the recorded data – if there are no differing legal provisions

  1. a) for the purpose of fulfilling his legal obligation, or
  2. b) for the purpose of enforcing the righteous interests of the data manager or third party, if the enforcing of this interest is proportionate with the restriction of the right related to the protection of the personal data without further consent, and even after the concerned party has withdrawn his consent.

The personal data can be managed only for certain purposes, in order to exert the right or meet an obligation. Every phase of the data management shall correspond to the purpose, and the recording and management of the data shall be correct.

Only those personal data can be managed that are indispensable or the realisation of the purpose of the data management, hey are suitable to reach the objective, and only at the extent and for the time required to realise the objective.

The personal data can be handled only through consent that is based on proper briefing.

Before commencing the data management the concerned party shall be informed whether the data management is based on consent or it is mandatory. The concerned party shall be informed clearly and in detailed form about the facts related to the data management, with special regard to the purpose and legal grounds of the data management, the person entitled to handle or process the data, the duration of data management, the concerned party shall be informed if the personal data are handled by the data manager with the concerned party’s consent and for the purpose of meeting the legal obligation related to the data manager or for enforcing the righteous interest of a third party, and he shall also be informed about the people who can have access to the data. The information shall cover the concerned data management-related rights and possibilities of legal remedies, too.

During the data management one shall assure that the data are accurate, complete, up-to-date and the concerned party can be identified only or the time required for the purpose of data management.

The employees who handle data at the Service provider’s organisational units shall handle the obtained personal data as business secrets. The people who are managing the personal data and have access to them are obliged to make a confidentiality statement.

  1. Scope of the personal data, purpose of data management, legal title, term

The Data manager is handling the personal data only for certain purposes, to exert the law and meet an obligation. In each phase the data management corresponds to the purpose of the data management. The recording and handling of the data shall take place correctly and legally. The Data manager tries to handle only those personal data ht are indispensable or the purpose of the data management, and they are suitable for reaching the objective. The personal data can be handled only at the extent and for the time required for the realisation of the objective.

We draw the attention of the data providers or the Service provider that if they do not provide their own personal data, it is the data provider’s obligation to obtain the consent of the concerned party.

  1. Data management in the website

In the website the legal grounds of data management: the User’s consent, respectively the paragraph 13/A. § (3) of the 2001/CVIII act on certain questions of electronic commercial services and the services related to the information content.

Scope of handled data: date and time of visit, IP address of the visitor’s PC, type of browser, name, phone, e-mail address, date and time, number of adults, number of children and their age, type of catering, and other personal data provided by the User.

Deadline for deleting the data: 5 years from booking the room, in the case of a quotation, if the contract is not being concluded immediately; while in the case of consents given for sending newsletters: till the consent is withdrawn. Regarding the accounting documents the Service provider performs the storage for 8 years pursuant to paragraph 169. § (2) of the 2000/C act on accounting.

The deletion or modification of the personal data can be requested as follows:

  • by post (1137 Budapest, Szent István krt. 22. 2. em. 1.)
  • by e-mail (hello@studentapartmentbudapest.eu)

We are hereby inform our Users that other organs can contact the Service provider based on the authorisation of the court, prosecutor, investigating authority, the contravention authority, the public administration authority, the data protection commissioner respectively legal provision in order to provide information, disclose or hand over the data or documents. The Service provider is supplying the authorities with personal data at an extent – if the authority has specified the exact purpose and the scope of data – that is indispensably required to realise the objective of the request.

The Service provider is handling the data, information provided by the guests ad required for the Service according to the 2011/CXII act on the information self-governing right and information freedom.

The Service provider is handling the Users’ personal data – exclusively at the required extent and for the required time – in order to provide the service (full utilisation of the website, e.g. booking, newsletter sending, contract conclusion). The data management corresponds to the purpose in every phase.

It also handles the personal data that are technically required to provide the service.  If he personal data were recorded with the User’s consent then the Service provider can – if there is no different provision of the law (i) handle the data for the purpose of meeting his legal obligation, or (ii) handle the data for enforcing the righteous interests of the Service provider or third parties, if the enforcement of this interest is proportionate with the restriction of the right related to the protection of the personal data, without further consent, and even after the User has withdrawn his consent.

In addition the Service provider is collecting User’s related information (IP address, date of utilisation, visited website, browser and the cookies that enable the identification of the browser), that are used exclusively for the development and sustenance of the Services as well as for statistical purposes. The Service provider is using these statistical data only personal identification. In order to improve the quality of service the Service provider is placing so-called cookies on the User’s computer that are series of characters, if the user is giving his/her consent. If the User does not give his/her consent then he/she announces it in advance through the contacts specified in the „Data management in the website” chapter.

The Service provider is forwarding the handled personal data to third parties only in order to improve and/or operate certain services of the Service provider that are used by the User. Service provider is not using the handled personal data in the interest of third parties and he shall not abuse them in any way.

The websites also contain references to external servers (being not operated by the Service provider), and the pages that can be reached through these link can eventually place their cookies or other files on the PC, they may collect data or ask for personal data. The Service provider excluded all the liability for these.

By using the service the user approves that the Service provider can collect and handle his personal data according to the contents of the present data protection information in order to provide full-scope service.

  • Newsletter, DM activity

Pursuant to the paragraph 6. § of the 2008/XLVIII act on the basic conditions and certain limits of the business promotion activity the User is giving his/her consent in advance so that the Service provider can contact him/her with ads, other consignments through the contact details provided  at the registration (e.g. electronic e-mail address or phone number).

In addition by considering the provisions of the present information the Customer approves that the Service provider can handle his personal data required to send promotion material.

The Service provider does not send unsolicited ads and the User can unsubscribe free of charge from the promotions without restriction and justification. In this case the Service provider is deleting all the personal data from the register that are required to send the ads and the User won’t be connected with further ads. User can subscribe from the ads by clicking the link in the message.

The purpose of the data handling: sending electronic newsletters to the User with economic ads, information about the current products.

Legal grounds of the data management: the concerned party’s voluntary consent and the paragraph 6. § (5) of the 2008/XLVIII act on basic terms and conditions of the business ads as well as the certain limits.

The scope of handled data: name, e-mail address, phone number, date, time.

Deadline of deleting the data: till the approving statement’s withdrawal that is the unsubscribing.

  • Data safety

The Service provider makes all the safety steps, takes all the organisational and technical measures for the highest possible safety of the personal data respectively in order to prevent their unauthorised modification, termination and use.

The Service provider takes all the necessary measures for assuring the data integrity meaning is the accuracy, completeness and up-to-date status of the personal data that are either handled and/or processed by him.

The service is protecting the data with proper measures, with special regard against unauthorised access, modification, forwarding, disclosure, deletion or annihilation as well as for preventing the accidental annihilation, corruption and the inaccessibility due to the modification of the applied technique.

Thus the Service provider sustains the right that if there are security gaps in the system of his customers or partners, then he will inform his partners and customers accordingly, and simultaneously till the elimination of the security gap he will restrict the access to the Service provider’s system, services or certain functions.

In order to safely store the data in the network the Service provider is avoiding the data loss through continuous mirroring in the server.

The Service provider performs daily saving of the active data of the databases that contain the personal data.

The Service provider keeps caring for the virus protection.

The data, access to the databases handled on the Service provider’s network shall be secured with name and password.

  1. Information about the data management

The User may ask for information about the handling of his/her personal data and he/she can also ask for the correction of the personal data, respectively – except for the data management stipulated by law – their deletion in the way specified during the recording respectively through the contact details specified for the Service provider.

Requested by User the Service provider is providing information about the data handled by him, as well as their source, the purpose of data handling, the legal grounds and duration. The Service provider – within the shortest possible time considered from the data of submitting the application, but in maximum 30 days – shall provide the information in writing and an understandable form.

The Service provider is correcting the personal data, if they are not true, and the true personal data are available.

The Service provider is blocking the personal data if the User asks so, or if based on the available information it can be supposed that the deletion would hurt the user’s righteous interests. The blocked personal data can be handled as long as the data management purpose that excluded the deletion of the personal data is still valid.

Service provider is deleting the personal data if its management is illegal, it is asked by the User, the managed data are incomplete or wrong – and this status can’t be remedied righteously – except when the deletion is not excluded by law, the purpose of the data management is terminated, or the legally determined deadline of storing the data has expired, it was ordered by court or the National data protection and information liberty authority.

The data manager has 30 days to delete, block or correct the personal data. If the Service provider does not meet the user’s request to correct, block or delete, then he is telling the reason of rejection in writing in 30 days.

The Service is informing the Customer about the correction, blocking and deletion as well s those to whom h had already forwarded the data for data management purpose. He is omitting the notification if it is not hurting the User’s righteous interests from the perspective of the data management1s purpose.

  1. Checking

The compliance with the data-protection-related provisions, with special regard to the compliance of the provisions of the present policy shall be checked continuously by the managers of the organisational unit that perform the data handling at the Service provider.

At the Service provider the checking of the handled data are checked once a year by the Service provider and the assigned data protection commissioner.

  1. Legal remedy

User may object against the management of his personal data if

(a) the handling or the forwarding of the personal data is required exclusively to meet the legal obligation of the Service provider or to enforce the righteous interests of the Service provider, data receiver or third party except when the data handling was ordered by the law;

(b) the personal data are used or forwarded with the purpose of direct business making, research of public opinion or scientific research;

(c) in other cases stipulated by law.

Service provider is analysing the objection within the shortest possible time but in maximum 15 days considered from the submittal of the application, makes a decision regarding its grounds and informs the concerned party in writing. If the Service provider finds that the concerned objection is justified, it is terminating the data management – including the further data recording and data forwarding -, and it is blocking the data and it is notifying everybody about the objection and the related measures to who, it had earlier forwarded the objection-related personal data and those who are obliged to take measures in order to enforce the objection right.

If the User does not agree upon the Service provider’s decision, he may turn to the court – in 30 days form announcement.

If the User’s rights are hurt the User can turn to the court against the Service provider. In this issue the court is proceeding out of turn. The legal remedy can be obtained from and complaints can be submitted to the Nemzeti Adatvédelmi és Információszabadság (National data protection and information liberty) authority:

Nemzeti Adatvédelmi és Információszabadság Hatóság

1125 Budapest, Szilágyi Erzsébet fasor 22/C.

Postal address: 1530 Budapest, P.O. Box: 5.

Phone: +36 -1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu


Managing director


  1. Bevezetés

A Cg.01-09-366049 cégjegyzékszámú BEST-REISEN Utazási Iroda Korlátolt Felelősségű Társaság (1137 Budapest, Szent István krt. 22. 2. em. 1.),

illetve Cg.01-09-166619 cégjegyzékszámú BEST-REISEN Holiday Korlátolt Felelősségű Társaság (1137 Budapest, Szent István krt. 22. 2. em. 1, ),

a továbbiakban Szolgáltató főtevékenysége utazásszervezés, tevékenysége egyebek mellett saját tulajdonú, bérelt ingatlan bérbeadása, üzemeltetése

A Szolgáltató, az adatok kezelésével összefüggésben, ezúton tájékoztatja ügyfeleit, vendégeit, bérlőit, valamint honlapjának látogatóit, az általa kezelt személyes adatokról, a személyes adatok kezelése körében követett elveiről és gyakorlatáról, valamint az érintettek jogai gyakorlásának módjáról és lehetőségeiről.

A Szolgáltató elkötelezett felhasználói és partnerei személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását. A Szolgáltató kijelenti, hogy tiszteletben tartja partnerei, ügyfelei, bérlői honlapja látogatóinak személyhez fűződő jogait. A rögzített személyes adatokat bizalmasan, az adatvédelmi jogszabályokkal és nemzetközi ajánlásokkal összhangban, a jelen adatkezelési szabályzatnak megfelelően kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.

A Szolgáltató fenntartja a jogot jelen szabályzat bármikori megváltoztatására, úgy, hogy ezekről a változásokról partnereit, vendégeit értesíti.

A Szállodával ügyfélkapcsolatba kerülő partner elfogadja az alábbiakat, és hozzájárul az alábbiakban meghatározott adatkezeléshez.

  1. Az adatvédelmi szabályzat célja és hatályai

Jelen Szabályzat célja annak biztosítása, hogy a Szolgáltató megfeleljen az adatvédelemmel kapcsolatos hatályos jogszabályoknak.

Jelen Szabályzat 2017. május 1-től hatályos, visszavonásig érvényes.

Jelen Szabályzat hatálya kiterjed a Szolgáltatóra, azon személyekre, akik adatait a jelen Szabályzat hatálya alá tartozó adatkezelések tartalmazzák, továbbá azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.

Jelen Szabályzat hatálya kiterjed a Szolgáltató minden  szervezeti egységeikben folytatott valamennyi személyes adatokat tartalmazó adatkezelésre.

  • Az alábbi fogalmak jelen Szabályzat alkalmazásában értendők.

Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az abból levonható, az érintettre vonatkozó következtetés;

Hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;

Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;

Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése.

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – az adatok feldolgozását végzi;

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

  1. Személyes adat kezelésének szabályai

Személyes adat akkor kezelhető a Szolgáltató részéről, ha

  1. a) ahhoz az érintett hozzájárul, vagy
  2. b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés).

Személyes adat akkor is kezelhető, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

Cselekvőképtelen és 16 éven aluli korlátozottan cselekvőképes kiskorú személy nyilatkozatához a törvényes képviselőjének hozzájárulása szükséges, kivéve azon szolgáltatás részeket, ahol a nyilatkozat a mindennapi életben tömegesen előforduló adatkezelést céloz, és különösebb megfontolást nem igényel.

Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek.

Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában

  1. a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
  2. b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak, továbbá az adatok felvételének és kezelésének tisztességesnek kell lennie.

Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, és csak a cél megvalósulásához szükséges mértékben és ideig.

Személyes adat csak megfelelő tájékoztatáson alapuló beleegyezéssel kezelhető.

Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet – egyértelműen, közérthetően és részletesen – tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az érintett hozzájárulásával és az adatkezelőre vonatkozó jogi kötelezettség teljesítése vagy harmadik személy jogos érdekének érvényesítése céljából kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét, naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

A Szolgáltató szervezeti egységeinél adatkezelést végző alkalmazottak kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titokvédelmi nyilatkozatot tenni.

  1. A személyes adatok köre, az adatkezelés célja, jogcíme, időtartama

Az Adatkezelő személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekébe kezel. Az adatkezelés minden szakaszában megfelel az adatkezelés céljának. Az adatok felvétele és kezelése tisztességesen és törvényesen történik. Az Adatkezelő törekszik arra, hogy csak olyan személyes adat kezelésére kerüljön sor, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. Személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Felhívjuk a Szolgáltató részére adatközlők figyelmét, hogy amennyiben nem saját személyes adataikat adják meg, az adatközlő kötelessége az érintett hozzájárulásának beszerzése.

  1. Adatkezelés a weboldalon

A weboldalon az adatkezelés jogalapja: a Felhasználó hozzájárulása, illetve az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

A kezelt adatok köre: a látogatás dátuma és időpontja, a látogató felhasználó számítógépének IP címe, böngészőjének típusa, név, telefon, e-mail cím, dátum és időpont, felnőtt személyek száma, gyermekek száma és életkora, ellátás típusa, továbbá a Felhasználó által megadott egyéb személyes adatok.

Az adatok törlésének határideje: a szobafoglalástól számított 5 év, ajánlatkérés esetén, ha nem jött létre szerződés azonnal; míg a hírlevél küldéséhez adott hozzájárulások esetében a hozzájárulás visszavonásáig. A számviteli bizonylatok esetében a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig őrzi meg Szolgáltató.

A személyes adatok törlését, vagy módosítását az alábbi módokon lehet kezdeményezni:

  • postai úton (1137 Budapest, Szent István krt. 22. 2. em. 1.)
  • e-mail útján (hello@studentapartmentbudapest.eu)

Tájékoztatjuk Felhasználóinkat, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, az adatvédelmi biztos, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik a Szolgáltatót. A Szolgáltató a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

A Szolgáltató a vendégek által átadott, a Szolgáltatás teljesítéséhez szükséges adatokat, információkat az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény.

A Szolgáltató a szolgáltatás (weboldal teljes körű használata, pl. foglalás, hírlevél küldés, szerződéskötés) nyújtásának céljából kezeli a Felhasználók személyes adatait, kizárólag az ahhoz szükséges mértékben és ideig. Az adatkezelés minden szakaszában megfelel e célnak.

Kezeli továbbá azokat a személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag feltétlenül szükségesek.  Amennyiben a személyes adat felvételére a Felhasználó hozzájárulásával került sor, a Szolgáltató a felvett adatokat törvény eltérő rendelkezésének hiányában (i) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy (ii) Szolgáltató vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül, valamint a Felhasználó hozzájárulásának visszavonását követően is kezelheti.

A Felhasználókról a Szolgáltató ezen felül csak olyan információkat gyűjt (IP-cím, felhasználás időpontja, megtekintett weboldal, böngészőprogram, valamint a böngésző egyedi azonosítását lehetővé tévő egy vagy több cookie), amelyeket kizárólag a Szolgáltatások fejlesztése és fenntartása érdekében, illetve statisztikai célokra használ fel. A Szolgáltató ezen statisztikai célokból feldolgozott adatokat kizárólag személyes azonosításra alkalmatlan formában használja fel. A Szolgáltató a Szolgáltatások minőségének javítása érdekében a Felhasználó számítógépén egy-egy karaktersorozatot tartalmazó fájlt, ún. cookie-t helyez el, amennyiben ehhez Felhasználó hozzájárul. Amennyiben nem járul hozzá Felhasználó, azt előzetesen jelzi az „Adatkezelés a weboldalon” fejezetben meghatározott elérhetőségeken.

A Szolgáltató az általa kezelt személyes adatokat harmadik személy részére csak a Szolgáltató egyes – a Felhasználó által használt – szolgáltatásainak fejlesztése és / vagy működtetése érdekében továbbítja. A Szolgáltató az általa kezelt személyes adatokat harmadik személy céljainak érdekében nem használja fel, és azokkal semmilyen egyéb módon nem él vissza.

A Weboldalak külső (nem a Szolgáltató által kezelt) szerverre mutató hivatkozásokat is tartalmaznak, ezen linkeken elérhető oldalak esetleg elhelyezhetik saját cookie vagy egyéb fájljaikat a számítógépen, adatokat gyűjthetnek, vagy személyes adatokat kérhetnek. Ezekért a Szolgáltató minden felelősségét kizárja.

A szolgáltatás igénybevételével a Felhasználó hozzájárul ahhoz, hogy a Szolgáltató a jelen adatvédelmi tájékoztatóban leírtaknak megfelelően, a szolgáltatás teljes körű nyújtásának céljából a Szolgáltató összegyűjtse és kezelje személyes adatait.

  • Hírlevél, DM tevékenység

A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. §-a értelmében Felhasználó előzetesen és kifejezetten hozzájárul ahhoz, hogy Szolgáltató reklámajánlataival, egyéb küldeményeivel a regisztrációkor megadott elérhetőségein (pl. elektronikus levélcím, vagy telefonszám) megkeresse.

Továbbá Ügyfél a jelen tájékoztató rendelkezéseit szem előtt tartva hozzájárul ahhoz, hogy a Szolgáltató a reklámajánlatok küldéséhez szükséges személyes adatait kezelje.

A Szolgáltató nem küld kéretlen reklámüzenetet, és Felhasználó korlátozás és indokolás nélkül, ingyenesen leiratkozhat az ajánlatok küldéséről. Ebben az esetben a Szolgáltató minden – a reklámüzenetek küldéséhez szükséges – személyes adatát törli nyilvántartásából és további reklámajánlataival nem keresi meg a Felhasználót. Felhasználó a reklámokról leiratkozhat az üzenetben lévő linkre kattintva.

Az adatkezelés célja: gazdasági reklámüzenetet is tartalmazó elektronikus hírlevelek küldése Felhasználó részére, tájékoztatás az aktuális információkról, termékekről.

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása és a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (5) bekezdése.

A kezelt adatok köre: név, e-mail cím, telefonszám, dátum, időpont.

Az adatok törlésének határideje: a hozzájáruló nyilatkozat visszavonásáig, azaz a leiratkozásig.

  • Adatbiztonság

A Szolgáltató minden szükséges biztonsági lépést, szervezési és technikai intézkedést megtesz a személyes adatok legmagasabb szintű biztonsága, illetve azok jogosulatlan megváltoztatásának, megsemmisítésének és felhasználásának megakadályozása érdekében.

A Szolgáltató minden szükséges intézkedést megtesz az adatintegritás biztosítása érdekében, azaz az általa kezelt és/vagy feldolgozott személyes adatok pontossága, teljessége, valamint naprakész állapota érdekében.

A Szolgáltató az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A Szolgáltató ezért fenntartja a jogot, hogy amennyiben ügyfelei vagy partnerei részéről a rendszerében biztonsági rést érzékel, akkor azokról az ügyfeleit és partnereit tájékoztassa, és ezzel egyidejűleg a biztonsági rés megszüntetéséig a Szolgáltató rendszeréhez, szolgáltatásaihoz való hozzáférését, vagy annak egyes funkcióit korlátozza.

A Szolgáltató a hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos tükrözéssel kerüli el az adatvesztést.

A személyes adatokat tartalmazó adatbázisok aktív adataiból a Szolgáltató napi mentést végez.

A Szolgáltató folyamatosan gondoskodik a vírusvédelemről.

A Szolgáltató hálózatán kezelt adatokat, adatállományok hozzáférését felhasználói névvel és jelszóval kell biztosítani.

  1. Tájékoztatás az adatkezelésről

A Felhasználó tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését az adatfelvételénél jelzett módon, illetve Szolgáltató feltüntetett elérhetőségein.

Felhasználó kérelmére a Szolgáltató tájékoztatást ad az általa kezelt adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról. A Szolgáltató a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában adja meg a tájékoztatást.

A Szolgáltató a személyes adatot helyesbíti, ha az a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a rendelkezésére áll.

A Szolgáltató zárolja a személyes adatot, ha a Felhasználó ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené a Felhasználó jogos érdekeit. A zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.

Szolgáltató törli a személyes adatot, ha kezelése jogellenes, a Felhasználó kéri, a kezelt adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható – feltéve, hogy a törlést törvény nem zárja ki, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.

A személyes adatok törlésére, zárolására, helyesbítésére 30 nap áll az adatkezelő rendelkezésére. Amennyiben a Szolgáltató a Felhasználó helyesbítés, zárolás vagy törlés iránti igényét nem teljesíti, 30 napon belül írásban közli az elutasítás indokait.

A Szolgáltató a helyesbítésről, a zárolásról és a törlésről az Ügyfelet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbította. Az értesítést mellőzi, ha ez az adatkezelés céljára való tekintettel a Felhasználó jogos érdekét nem sérti.

  1. Ellenőrzés

Az adatvédelemmel kapcsolatos előírások, így különösen ezen szabályzat rendelkezéseinek betartását a Szolgáltatónál adatkezelést végző szervezeti egység vezetői folyamatosan kötelesek ellenőrizni.

A Szolgáltatónál a kezelt adatok ellenőrzését a Szolgáltató és az általa megbízott adatvédelmi felelős évente egyszer ellenőrzi.

  1. Jogorvoslat

Felhasználó tiltakozhat személyes adatának kezelése ellen, ha

(a)  a személyes adatok kezelése vagy továbbítása kizárólag az Szolgáltatóra vonatkozó jogi kötelezettség teljesítéséhez, vagy az Szolgáltató, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;

(b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;

(c) törvényben meghatározott egyéb esetben.

Szolgáltató a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha az Szolgáltató az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben a Felhasználó a Szolgáltató meghozott döntésével nem ért egyet, az ellen – annak közlésétől számított 30 napon belül – bírósághoz fordulhat.

Felhasználó a jogainak megsértése esetén Szolgáltató ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság

Hatóságnál lehet élni:

Nemzeti Adatvédelmi és Információszabadság Hatóság

1125 Budapest, Szilágyi Erzsébet fasor 22/C.

Levelezési cím: 1530 Budapest, Postafiók: 5.

Telefon: +36 -1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu