1. ÁLTALÁNOS INFORMÁCIÓK

1.1. A Tensi Kft. (továbbiakban Tensi/Adatkezelő) (székhelye és levelezési címe: 1023 Budapest, Komjádi Béla utca 1. Tel: +36-1-345-1505, e-mail cím: info@tensi.hu, weblap címe: www.tensi.hu és www.tropicanatravel.hu adószáma: 13069560-2-41, cégjegyzékszáma: 01-09-717213 (Fővárosi Törvényszék Cégbíróság), nyilvántartási száma: U-000390, képviseli: Boros József önállóan)

1.2. A Tensi kötelezettséget vállal arra, hogy a tevékenységével kapcsolatos minden adatkezelés megfelel a Tensi mindenkor érvényes Adatkezelési Szabályzatában, Adatkezelési Tájékoztatójában (a továbbiakban: Tájékoztató), és a hatályos jogszabályokban meghatározott szabályoknak és elvárásoknak.

1.3. Az Adatkezelési Tájékoztató az elkészítésekor hatályos jogszabályok rendelkezései alapján készült. Az Adatkezelési Tájékoztató módosulhat a vonatkozó jogszabályok változása esetén, illetve a Tensi fenntartja magának a jogot az Adatkezelési Tájékoztató bármikori megváltoztatására a hatályos jogszabályok keretei között.

1.4. Az Adatkezelési Tájékoztató, és annak esetleges módosításai folyamatosan elérhetők a www.tensi.hu és www.tropicanatravel.hu honlapon, és megtekinthetők, ill. átvehetők az utazási irodákban. (1023 Komjádi Béla utca 1.; 7621 Pécs, Teréz utca 17., 3527 Miskolc, Bajcsy-Zsilinszky út 2-4.)

1.5. A jelen tájékoztató célja annak biztosítása, hogy az Adatkezelő mindenben megfeleljen a hatályos jogszabályok adatvédelemmel kapcsolatos rendelkezéseinek, így különösen, de nem kizárólagosan
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény,
- az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR),
- az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény,
- a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról szóló 2008. évi XLVII. törvény,
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény rendelkezéseinek.
- 213/1996. (XII.23.) Korm. rendelet - az utazásszervező és -közvetítő tevékenységről,
- 281/2008. (XI.28.) Korm. rendelet – az utazási szerződésről.

1.6. Az Adatkezelő elkötelezett az iránt, hogy az érintett által a weboldalon vagy más fórumon keresztül vagy más módon rendelkezésre bocsátott, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény által meghatározott adatokat védelemben részesítse, és az érintettek információs önrendelkezési jogukat tiszteletben tartsa. E körben a vonatkozó hatályos jogszabályoknak teljes körűen eleget téve járul hozzá az érintettek biztonságos internetezési lehetőségeinek megteremtéséhez.

1.7. Az Adatkezelő tájékoztatja ügyfeleit, hogy a bíróság, az ügyész, a nyomozó hatóság, szabálysértési hatóság, a közigazgatási hatóság, az adatvédelmi biztos, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkeresheti az adatkezelőt. A Tensi a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

1.8. A Tensi az ügyfelek személyes adatait az utazási vállalkozói tevékenység végzésével összefüggésben, a szerződések létrehozásához (pl. ajánlatkérés, igényfelmérés), teljesítéséhez, marketing célból, és a szerződésekből eredő a Tensiigények érvényesítéséhez szükséges körben és ideig kezeli, ill. továbbítja az adott szolgáltatás teljesítéséhez szükséges mértékben az ügyfél által megrendelt szolgáltatás(oka)t nyújtó partnereknek az alkalmazott informatikai rendszerek (saját és külső rendszerek: globális foglalási rendszer, a Tensi saját rendszerei, stb.) használatával

1.9. Amennyiben bármely felhasználónknak vagy ügyfelünknek olyan kérdése lenne, mely a jelen Tájékoztató alapján nem egyértelmű, kérjük, írja meg nekünk a Tájékoztató 1. 1. pontjában található bármely elérhetőségünk valamelyikére és megválaszoljuk a kérdését.

1.10. A NAIH honlapján tájékoztatása szerint az általános adatvédelmi rendelet (GDPR) nem tartalmaz az Irányelv, illetve az Infotv. szabályozásához hasonló, a tagállami hatóságok által vezetendő országos adatvédelmi nyilvántartásra vonatkozó szabályozást, tehát az adatvédelmi nyilvántartásba történő bejelentési kötelezettség 2018. május 25. napjától megszűnik. Az általános adatvédelmi rendelet 30. cikke szerint az adatkezelők, illetve adatfeldolgozók kötelezettsége, hogy az általuk végzett adatkezelési tevékenységekről vezessenek nyilvántartást.

2. FOGALOMMEGHATÁROZÁSOK

1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

16. „tevékenységi központ”: a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

17. „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

18. „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

19. „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

20. „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

21. „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv.

22. „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett felügyeleti hatósághoz;

23. „személyes adatok határokon átnyúló adatkezelése”: a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

24. „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

25. „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv ( 1 ) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

26. „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

3. A TENSI ADATKEZELÉSÉNEK ELVEI:

a) jogszerűség, tisztességes eljárás és átláthatóság: a Tensi a személyes adatokkezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi

b) célhoz kötöttség: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés

c) adattakarékosság: a Tensi által kezelt személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk

d) pontosság: a Tensi által kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; a Tensi minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse

e) korlátozott tárolhatóság: a Tensinél a személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel

f) integritás és bizalmas jelleg: a Tensi a személyes adatok kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve

g) elszámoltathatóság: aTensi felelős a fenti elveknek való megfelelésért, továbbá képes ezen megfelelés igazolására.

4. AZ ADATKEZELÉS JOGSZERŰSÉGE, JOGALAPJA

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

5. A TENSI ADATKEZELÉSÉNEK JOGALAPJA

5.1. Az adatkezelés alapjául szolgáló jogszabályok
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény,
- a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679/EU rendelet (általános adatvédelmi rendelet

5.1.1 Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve a 6 cikk (1) bekezdés e) pontjában (az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához.

5.1.2. Ez a jogalap tartalmazhat a GDPR rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan.

5.1.3. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

5.1.4. Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi: a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat; b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra; c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó; d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése; e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

5.2. A hozzájárulás feltételei
Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.

5.3. Azonosítást nem igénylő adatkezelés
Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.
Ha a fenti bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a GDPR 15–20. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

5.4. Különleges személyes adatkategóriák kezelése
Tensi esetenként különleges adatkategóriákat (például egészségügyi adatok, étkezési igények, stb.) is kezel, a GDPR 9. cikkében részletezett jogalapok alapján. Tensi esetében a leggyakoribb jogalapoknak az alábbiak tűnnek:
- az érintett kifejezett hozzájárulása (pl: utas kéri speciális étkezés biztosítását),
- létfontosságú érdek védelméhez szükséges, és az érintett fizikailag, vagy jogilag cselekvőképtelen állapota miatt nem tud hozzájárulást adni (pl: rosszullét miatt ellátás alatt álló utazó ismert allergiájáról tájékoztatni az orvost),
- az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi okból történik (pl: munkavállaló munkaképességének felmérésére folytatott vizsgálat eredményének kezelése).
Amennyiben e gyakori körön kívüli esetben merülne fel a különleges adatkategória kezelésének igénye, úgy külön is szükséges a kezelés jogalapjának előzetes vizsgálata. Ilyen esetben az ügyvezetőtől szükséges tájékoztatást kérni.

5.5. Személyes adatok címzettjei, illetve a címzettek kategóriái
Tensi általában adatkezelőtől adatkezelőig alapon a következő harmadik felekkel oszt meg ügyféli személyes adatokat:
(a) Tensi vagy az ügyfelek részére szolgáltatásokat végző szervezetekkel (pl: biztosítást nyújtó társasággal, IT szolgáltatóval, marketing kampányt folytató vállalkozással);
(b) az utazási szerződés teljesítésében résztvevő harmadik felekkel (hotel, repülőtársaság, stb.);
(c) felügyeleti hatósággal és más szabályozó hatóságokkal és szervekkel.
Az ügyfelek személyre szóló tájékoztatást kérhetnek a hozzájuk kapcsolódóan a Tensi által kezelt személyes adatok kezeléséről (az adatkezelés céljáról, jogalapjáról, az adatok köréről, az adatok továbbításáról, a kezelés időtartamáról, a profilalkotás logikájáról), azt az alábbi kapcsolatfelvételi ponton teheti meg: info@tensi.hu e-mail címre, vagy postai úton a Tensi, 1023 Budapest, Komjádi Béla utca 1. szám alá küldött levél, +36-1/345-15-05 telefonszámon).

6. A TENSI EGYES ADATKEZELÉSEINEK ISMERTETÉSE

6.1. A www.tensi.hu és a www.tropicanatravel.hu weboldal látogatói adatainak kezelése

6.1.1. Az adatkezeléssel érintett személyek: a weboldalak látogatói, regisztrált felhasználói.

6.1.2. Az adatgyűjtés célja:
a) a honlap látogatója esetében: a honlap látogatása során a szolgáltató a szolgáltatás teljesítése, működésének ellenőrzése és visszaélések megakadályozása érdekében rögzíti a látogatói adatokat.
b) a honlap regisztrált látogatója esetében: érintett utazások iránt mutatott érdeklődésének megismerése és minél inkább személyre szabott kiszolgálásának támogatása érdekében rögzíti a látogatói adatokat.
c) a honlapon utazási szolgáltatást megrendelő érintett esetében: érintett utazások iránt mutatott érdeklődésének megismerése és minél inkább személyre szabott kiszolgálásának támogatása érdekében, valamint érintett szerződésének létrehozásához, teljesítéséhez és a szerződéséből eredő igények érvényesítésének érdekében rögzíti a látogatói adatokat.

6.1.3. Az adatkezelés jogalapja: az Eker tv. 13/A. § (1) - (3) bekezdése, regisztrált felhasználók esetén az általuk megrendelt vagy egyébként igénybe vett szolgáltatások nyújtása és a velük kötött szerződések teljesítése a GDPR 6.§(1)b) pont alapján.
a) a kezelt adatok köre: a honlap látogatás időpontja és időtartama, IP cím, honlapon mutatott viselkedése, érdeklődése,
b) regisztrált felhasználók esetén az adatkezelő az a) pontban meghatározott adatokon felül a következő aktivitásokkal kapcsolatos egyéb adatokat gyűjti: név, email cím, születési dátuma, neme, számlázási címe, telefonszáma
c) honlapon utazási szolgáltatást megrendelő érintett esetében: megrendelő neve, email cím, születési dátuma, neme, számlázási címe, telefonszáma, utastársak neve, neme és születési dátuma

6.1.4. Az adatszolgáltatás kötelező vagy önkéntes jellege: az adatkezelő minden esetben jelzi, hogy mely adatok megadása önkéntes valamely szolgáltatás igénybevételéhez (pl. a regisztrációhoz kötelező a név és e-mail cím megadása, szolgáltatások megrendelésénél számlázási információk megadása.

6.1.5. Az adatkezelés időtartama: a honlap megtekintésétől számított 6 hónap, vagy az érintett hozzájárulásának érvényességi ideje.

6.1.6. Az érintettek adatkezeléssel kapcsolatos jogai, ideértve a panasztétel jogát is: ld. 9. pontot.

6.1.7. Adatkezelő weboldala olyan linkeket is tartalmazhat, amelyek olyan oldalakra mutatnak, amelyeket nem az Adatkezelő üzemeltet, csupán a látogatók tájékoztatását szolgálják. Az Adatkezelőnek nincs semmi befolyása a partner cégek által üzemeltetett weboldalak tartalmára és biztonságára így nem is tartozik felelősséggel azokért

6.2. Általános információk a cookie-król
Mi az a cookie?
A cookie-k (http sütik) kisméretű adatfájlok, adatcsomagok, amelyeket egy weboldal üzemeltetője a weboldal használata során és azon keresztül helyez el a látogató számítógépén és amelyeket a látogató internetes böngészője ment és tárol el a weboldalról letöltve. Egy későbbi látogatás esetén az üzemeltető a cookie révén tudja pl. azonosítani a látogatót, vagy megkülönböztetni őt más felhasználóktól, illetve akár testreszabott információkat is eljuttathat neki a böngésző ablakban.

Hogyan tudom megtiltani a cookie-k gépemre történő telepítését vagy azokat törölni?
Fontos tudni, hogy az internetes böngészők többsége alapbeállításként elfogadja és engedélyezi a cookie-k elhelyezését és használatát. Ugyanakkor a böngésző megfelelő beállításaival a cookie-k visszautasíthatóak, használatuk korlátozható, illetve letiltható, valamint a már eltárolt cookie-k törölhetőek. A cookie-k használatához szükséges beállításokról az egyes böngészők szolgáltatói nyújtanak tájékoztatást, illetve a szükséges információk általában megtalálhatóak a böngészők „súgó” menüpontja alatt is.

Mi történik, ha törlöm a cookie-kat, vagy nem járulok hozzá a gépemre történő telepítésükhöz?
A cookie-k használatának felhasználó általi tiltása általában nem akadálya a weboldal látogatásának vagy az azon való böngészésnek. Néhány cookie viszont feltétlenül szükséges egyes szolgáltatások megfelelő működéséhez, így a cookie-k használatának tiltása vagy visszautasítása, illetve a már eltárolt cookie-k törlése azt eredményezi, illetve eredményezheti, hogy a weboldal nem működik teljeskörűen és bizonyos funkciói nem használhatóak megfelelően az érintett látogató által.

A cookie-k típusai
A weboldalakon elérhető cookie-k általában két kategóriába sorolhatóak. Az egyik csoportba tartoznak a weboldal működ(tet)éséhez elengedhetetlenül szükséges cookie-k (idetartoznak pl. a felhasználó által rögzített adatokat tároló, hitelesítési munkamenet, felhasználó központú biztonsági, multimédia-lejátszó munkamenet, terheléskiegyenlítő munkamenet- , és a felhasználói felület testreszabását segítő munkamenet cookie-k), míg a másikba tartozik minden egyéb olyan cookie, amelynek célja vagy funkciója túlmutat a weboldal működ(tet)ésén, és egyéb adatkezelési célokat szolgál (ilyenek pl. az analitikai cookie-k, social media plug-in és harmadik fél (pl. Google), a felhasználó Internet-használatának adatait rögzítő és egyéb marketing célú cookie-k). Míg az első csoportba tartozó cookie-k esetén a weboldal üzemeltetőjének elegendő előzetes tájékoztatást nyújtania a weboldala használatával a látogató gépére telepített cookie-kről, a második csoport esetén ehhez előzetesen be kell szereznie a látogató hozzájárulását.

A kezelt adatok köre: a cookie-k elhelyezésével, illetve azok visszaolvasásával a látogatóknak a weboldal használatával, illetve böngészésével kapcsolatos adatait és az azokhoz kapcsolódó információkat, továbbá demográfiai és statisztikai adatokat kezelünk. A konkrét adatok meghatározását ld. fent.

A cookie-kkal végzett adatkezelés célja: a weboldalon azért használunk cookie-kat, hogy a látogatók számára biztosítsuk a weboldal elérhetőségét (ideértve az ott elérhető szolgáltatásokat és funkciókat), egyszerűsítsük a böngészést, a felhasználói élményt pedig növeljük az egyes felhasználói beállítások és látogatási előzmények rögzítésével. Emellett a cookie-k segítségünkre vannak a látogatók megfelelő kiszolgálásában, a látogatásuk biztonságának elősegítésében és szolgáltatásaink fejlesztésében azáltal, hogy a weboldal használatával kapcsolatos adatokat, statisztikákat és más hasznos információkat is adnak számunkra, illetve harmadik személyek cookie-jai esetén az ő részükre. A weboldalról korábban letöltött és elmentett cookie-k visszaolvasása lehetővé teszi számunkra, hogy a látogató adott böngészési munkamenetét összekapcsoljuk egy korábbi böngészésének adataival. A böngészési előzmények összekapcsolása és a böngészési szokások elemzése pedig segítségünkre van abban, hogy a látogató anonimitásának megőrzése mellett számára egyedi felhasználói élményt nyújtsunk, illetve célzott reklám és marketing üzeneteket továbbítsunk.

Az adatkezelés jogalapja: az 6.1.8. (A) pontban felsorolt cookie-k esetén az adatkezelés jogalapja az Eker tv. 13.§/A (3) bekezdése, illetve a 2002/58/EK irányelv 5. cikk (3) bekezdésében foglalt jogszabályi rendelkezések. Az 6.1.8.(B) pontban felsorolt cookie-k esetén az adatkezelés jogalapja az Ehtv 155.§(4) bekezdése alapján az érintett hozzájárulása, amelyet a honlapokra történő első belépéskor kérünk el, és rögzítünk.

Az adatkezelés időtartama: egyes általunk használt, általában az adott munkamenetben az adatvesztést megakadályozó cookie-k átmeneti élettartamúak és az adott munkamenet lezárásával, azaz a böngésző bezárásával törlődnek. Ugyanakkor használunk tartós élettartamú cookie-kat is, amelyek hosszabb ideig a látogató számítógépén maradnak. Az általunk használt tartós élettartamú cookie-k alapvetően a weboldal ismételt meglátogatásának támogatását szolgálják és a böngésző bezárásával nem törlődnek automatikusan. Az állandó jellegű cookie-k eltárolása határozott időre történik és azok általában 7 nap elteltével vagy a felhasználó böngésző beállításainak a törlésre irányuló műveletével törlődnek, illetve törölhetőek.

Harmadik személyek által elhelyezett cookie-kkal kapcsolatos kiegészítő tájékoztatás: a weboldalon a harmadik személyek (pl: Google, Facebook) szolgáltatásaihoz kapcsolódó cookie-k azt is eredményezhetik, hogy amennyiben a felhasználó az érintett harmadik személyek szolgáltatásait is használja, akkor a weboldalaink látogatása során ezen harmadik személyek (pl. Google, Facebook) további, a látogatóhoz köthető személyes adatokat is gyűjthetnek, amelyet az általuk a felhasználóról rendelkezésükre álló személyiségprofil részeként kezelhetnek, és ezeket az adatokat felhasználhatják célzott marketing és reklám üzenetek közvetítésére is. Az ilyen tevékenységek jogszerűségéért ezek a harmadik személyek a felelősek. A Google által végzett adatkezelésekről bővebb információ található a
https://www.google.com/policies/technologies/types/ és a
https://www.google.com/analytics/learn/privacy.html?hl=hu elérhetőségek alatt.

Cookie-k bármikori törlésének lehetősége: a fenti weboldalak látogatóinak bármikor lehetőségük van arra, hogy a cookie-kat az internetes böngészőjük megfelelő beállításaival a visszautasítsák, illetve használatukat letiltsák, illetve a már eltárolt cookie-kat töröljék.

6.3. A Tensi által végzett értékesítési tevékenységhez kapcsolódó adatkezelés

6.3.1. Az adatkezeléssel érintettek köre: a Tensi ügyfelei.

6.3.2. Az adatkezelés célja: a Tensi illetve partnerei által nyújtott szolgáltatások igénybevétele, akár az utazási irodákon keresztül, akár online úton, a szerződések megkötése, teljesítése, nyomon követése, számlázás, utazási ajánlat adása emailen és/vagy telefonon, közvetlen üzletszerzés (direkt marketing) céljából történő megkeresés címzett reklámküldemény (meghatározást ld. a definíciók között) és telefon útján.

6.3.3. A kezelt adatok köre: név, cím, e-mail cím, telefonszám, telefonhívások adatai, emailek adatai, születési dátuma, neme, utazáshoz szükséges úti dokumentumok adatai (pl. azonosítási száma, lejárati dátuma, stb.), utazással kapcsolatos érdeklődési köre, utastársak neve, neme és születési dátuma, speciális igények (pl. életmód, táplálkozás, testi adottságokból eredő igények), direkt marketing hozzájáruló nyilatkozat, az utazással kapcsolatos adatok, dátum és aláírás.

6.3.4. Az adatkezelés jogalapja: a GDPR 6.§(1) b) pontja alapján a szerződés teljesítése, és a szerződés megkötését megelőzően az érintett kérésére történő lépések megtétele. Címzett reklámküldemény (postai direkt marketing) esetén az adatkezelés jogalapja a Grt. 6.§(4) bekezdése, telemarketing esetén pedig az Eht. 162.§-a.
A telefonbeszélgetések rögzítésének és megőrzésének jogalapja a GDPR 6.§(1) f) pontja alapján a TENSI Kft-nek a telefonbeszélgetések során megrendelt szolgáltatások, megkötött szerződések, az ügyfelek által tett jognyilatkozatok (pl. leiratkozás, tiltakozás) bizonyításához, az ügyfelekkel folytatott interakciók (pl. reklamációk) utólagos rekonstruálásának biztosításához, Tensi vitás ügyekkel kapcsolatos jogai érvényesítéséhez és védelméhez fűződő jogos érdeke (a Tensi érdekmérlegelési tesztje alapján definiálta a fent említett jogos érdekét, megállapította, hogy az általa végezni tervezett adatkezelés valóban szükséges a fentiekben definiált jogos érdek érvényesítéséhez, és az adatkezeléssel érintett személyek érdekei, alapvető jogai és szabadságai nem írják felül az adatkezelő jogos érdekét; az érdekmérlegelési tesztről és annak részleteiről a felhasználók az adatkezelő 1.1. pontban említett elérhetőségein kérhetnek további információt).

6.3.5. Az adatkezelés időtartama: a szerződéssel kapcsolatos igények esedékességét követő 6 év, az értékesítés során keletkező számviteli bizonylatok esetében a Számv. tv. 169. §-ának megfelelően 8 év. A közvetlen üzletszerzési tevékenységek esetén az adatkezelés az ügyfél tiltakozásáig/leiratkozásáig tart. A telefonbeszélgetések megőrzési időtartama a telefonbeszélgetéstől számított egy év, illetve a visszahívást igénylők megadott telefonszámai a visszahívást követően törlésre kerülnek.

6.3.6. A kezelt adatok címzettjei: amennyiben a kívánt szolgáltatás igénybevételéhez ez elengedhetetlen, a Tensi megfelelő tájékoztatás után a szükséges adatokat továbbítja szerződött partnerei (biztosítótársaság, szállás, transzfer, légitársaságok és egyéb partner cégek) felé. Ilyen esetekben az ügyfél adatai az általa kiválasztott utazási helyszíntől függően (az EGT-n kívüli) harmadik országokba is továbbításra kerülhetnek.

6.3.7. Utazásszervezéssel kapcsolatos adattovábbítások címzettjei: a Tensi, mint utazásszervező által közzétett szolgáltatások megrendelése, ill. igénybe vétele esetén az ügyfelek személyes adatai továbbításra kerülnek a szerződés teljesítésében közreműködő szolgáltatók (a megrendelt szolgáltatás függvényében: a lefoglalt szálloda, a szállítást végző légitársaság, vagy más közlekedési szolgáltató, az ügyfél által megkötött biztosítás biztosítótársasága, az ügyfél által megrendelt egyéb szolgáltatást nyújtó szolgáltató) felé.
Továbbá, a Tensi, mint utazásközvetítő más utazásszervezők szolgáltatásaira adott megrendelések, ill. kötött szerződések esetében az ügyfél személyes adatait továbbítja az utazásszervező felé.
Tájékoztatjuk ügyfeleinket, hogy az utas adatok valódiságáért, és az utas adatainak kezeléséhez adott hozzájárulás beszerzéséért a szolgáltatásra szerződést kötő szerződőt terheli a felelősség.
Harmadik országokba történő adattovábbítások: amennyiben a Tensi az ügyfél adatait harmadik országokba továbbítja, minden esetben gondoskodik a GDPR V. fejezete szerinti megfelelő garanciákról, és
(a) vagy olyan országokba továbbít személyes adatokat, amelyek kapcsán a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en)
(b) vagy az Európai Bizottság által jóváhagyott szerződéses feltételeket használja az adattovábbítás során (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en) vagy
(c) az Egyesült Államokba történő adattovábbítások során csak a GDPR-nak megfelelő adatvédelmi szint biztosítását előíró EU-USA Adatvédelmi Pajzshoz csatlakozott személyek részére továbbít személyes adatot (https://naih.hu/files/EU-USA-Adatvedelmi-Pajzs-forditas.pdf)

6.3.8. Az egyes ügyfelek az őket érintő adattovábbítások garanciákról az adatkezelőnél érdeklődhetnek a fenti 1.1. pontban meghatározott elérhetőségeken.

6.3.9. A Tensi részére történő adattovábbítások: a Tensi, mint utazásszervező által közzétett szolgáltatások utazásközvetítő közreműködésével történő megrendelése, ill. szerződéskötés esetén az ügyfelek adatait az utazásközvetítő továbbítja a Tensi felé, melyek vonatkozásában a továbbiakban a Tensi a jelen pontban foglaltak szerint jár el.

6.3.10. Az érintettek adatkezeléssel kapcsolatos jogai, ideértve a panasztétel jogát is: ld. A 9.pontban meghatározott általános tájékoztatást. A direkt marketing üzenetek (ideértve a címzett reklámküldemények) továbbítását és a telefonos megkereséseket az alábbi módokon lehet meg,- illetve letiltani:
(a) postai úton: a lemondó válaszküldemény visszaküldésével a Tensi 1023 Budapest, Komjádi Béla utca 1. címére;
(b) e-mail útján a info@tensi.hu címre küldött üzenettel;
(c) telefonon a 06-1-345-15-05 számon;
(d) chaten a www.tensi.hu honlapon található online ügyfélszolgálaton keresztül;
(e) személyesen a TENSI irodáiban.

6.4. Regisztrációs adatbázis, profilalkotás

6.4.1. Az érintettek köre: a Tensi adatbázisába online módon, telefonon vagy személyesen regisztráló személyek.

6.4.2. Az adatkezelés célja: az személyes, telefonos, vagy online ügyintézés, foglalás, megrendelés ügymenetének előmozdítása, a kapcsolattartás, utazási szerződések létrehozása, teljesítése, a vásárlói szokások és preferenciák gyűjtése és elemzése, kedvezmények biztosítása, akciós ajánlatok és más küldemények küldése, a fenti tevékenységek hatékonyabb és testreszabott módon történő végzése és nyújtása érdekében profilalkotás (ügyfelekről rendelkezésre álló adatok egy adatbázisban történő folyamatos gyűjtése és ügyfélprofilhoz kötése, ügyfelek különböző csoportokba sorolása utazási szokásaik, érdeklődési körük, a Tensi weboldalain kifejtett aktivitásuk stb. alapján) és részükre megfelelő jogalap megléte esetén személyre szabott üzenetek, tartalom, reklámok, hírlevelek, stb. megjelenítése és küldése.

6.4.3. Az adatkezelés Az adatkezelés jogalapja:
az Eker. tv. 13/A§-a,a profilalkotási tevékenység (ideértve az ügyfelek e-mail címének retargeting és remarketing célból történő továbbítását is, ld. a kezelt adatok címzettjeinél szereplő leírást) tekintetében pedig a GDPR 6.§(1) f) pontja alapján a TENSI Kft-nek a személyre szabott közvetlen üzletszerzési tevékenység végzéséhez, és értékesítési tevékenységének támogatásához és elősegítéséhez fűződő jogos érdeke (a Tensi érdekmérlegelési tesztje alapján definiálta a fent említett jogos érdekét, megállapította, hogy az általa végezni tervezett adatkezelés valóban szükséges a fentiekben definiált jogos érdek érvényesítéséhez, és az adatkezeléssel érintett személyek érdekei, alapvető jogai és szabadságai nem írják felül az adatkezelő jogos érdekét; az érdekmérlegelési tesztről és annak részleteiről a felhasználók az adatkezelő 1.1. pontban említett elérhetőségein kérhetnek további információt).
A kezelt adatok köre: név, cím, e-mail cím, telefonszám, telefonhívások adatai, emailek adatai, születési dátuma, neme, utazáshoz szükséges úti dokumentumok adatai (pl. azonosítási száma, lejárati dátuma, stb.), utazással kapcsolatos érdeklődési köre, utastársak neve, neme és születési dátuma, speciális igények (pl. életmód, táplálkozás, testi adottságokból eredő igények), direkt marketing hozzájáruló nyilatkozat, az utazással kapcsolatos adatok, dátum és aláírásügyfelek által az adatkezelővel kötött szerződések kapcsán és az adatkezelővel folytatott szóbeli, írásbeli és elektronikus kommunikációja és interakciói során rendelkezésre bocsátott adatok (ideértve a felhasználó érdeklődésével érintett és általa megrendelt vagy igénybe vett utazási szolgáltatások

6.4.4. Az adatkezelés időtartama: az utolsó belépést vagy ügyfél-kapcsolatfelvételt követő három év, a profilalkotás esetében a felhasználó tiltakozásáig.

6.4.5. A kezelt adatok címzettjei: az adatkezelő bizonyos esetekben harmadik személyek által (pl. Google, Facebook, stb.) saját adatkezelési szabályzatuk alapján végzett, de a Tensi által megrendelt remarketing és retargeting szolgáltatások végzése céljából (pl. amikor az adatkezelő ezeken a platformokon szeretné elérni ügyfeleit) megosztja a regisztrációs adatbázisában szereplő ügyfeleinek e-mailcímét ezen harmadik személyekkel, és ilyen esetben az ügyfelek e-mail címei (az EGT-n kívüli) harmadik országokba is továbbításra kerülhetnek.

6.4.6. Harmadik országokba történő adattovábbítások: amennyiben a Tensi az ügyfél e-mail címét a fentiek szerint harmadik országokba továbbítja, minden esetben gondoskodik a GDPR V fejezete szerinti megfelelő garanciákról, és
Harmadik országokba történő adattovábbítások: amennyiben a Tensi az ügyfél adatait
(a) vagy olyan országokba továbbít személyes adatokat, amelyek kapcsán a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en)
(b) vagy az Európai Bizottság által jóváhagyott szerződéses feltételeket használja az adattovábbítás során (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en) vagy
(c) az Egyesült Államokba történő adattovábbítások során csak a GDPR-nak megfelelő adatvédelmi szint biztosítását előíró EU-USA Adatvédelmi Pajzshoz csatlakozott személyek részére továbbít személyes adatot (https://naih.hu/files/EU-USA-Adatvedelmi-Pajzs-forditas.pdf)
Az egyes ügyfelek az őket érintő adattovábbítások garanciákról az adatkezelőnél érdeklődhetnek a fenti 1.1. pontban meghatározott elérhetőségeken.

6.4.7. Az érintettek adatkezeléssel kapcsolatos jogai, ideértve a panasztétel jogát is: ld. a 9 pontban meghatározott általános tájékoztatást.

6.4.8. Az érintettek tiltakozási joga: az ügyfelek bármikor tiltakozhatnak személyes adataik profilalkotás céljából történő felhasználása ellen az alábbiakban meghatározott módon. Fontos, hogy amennyiben az ügyfél csak a profilalkotás ellen él tiltakozási jogával, az adatkezelő csak a profilalkotást és az azon alapuló, személyre szabott marketing tevékenységet (targetálást és adatfelhasználást) szünteti meg, de az ügyfél jogszerűen kezelt egyéb adatait az ügyfél meghatározott marketing tevékenység (postai DM, azaz címzett reklámküldemény küldése, telemarketing végzése és hírlevél küldése) elleni tiltakozásáig/leiratkozásáig továbbra is kezelheti. Ugyanígy, amennyiben az ügyfél tiltakozik valamely marketing adatkezelés ellen, vagy arról leiratkozik, az nem minősül egyben és automatikusan a profilalkotási tevékenység elleni tiltakozásnak is. A Tensi a fentiekre tekintettel kéri ügyfeleit, hogy tiltakozási/leiratkozási joguk gyakorlásakor egyértelműen jelezzék, hogy nyilatkozatuk mely adatkezelési tevékenységekre vonatkozik.
A profilalkotás ellen az ügyfelek az alábbi elérhetőségen gyakorolhatják tiltakozási jogukat:
(a) postai úton: a lemondó válaszküldemény visszaküldésével a Tensi 3530 Miskolc, Bajcsy-Zsilinszky utca 2-4. címére;
(b) e-mail útján a miskolc@tensi.hu címre küldött üzenettel;
(c) telefonon a 06-46-506-177 számon;
(d) chaten a www.tropicanatravel.hu honlapon található online ügyfélszolgálaton keresztül; vagy
(e) személyesen a TENSI irodáiban.

6.5. Kizárólag automatizált adatkezelésen alapuló döntések: a Tensi nem végez olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló adatkezelést, amely az érintettekre nézve joghatással járna vagy őket hasonlóképpen jelentős mértékben érintené (pl. a TENSIKft. nem különbözteti meg hátrányosan ügyfeleit az utazási szokásaik, anyagi lehetőségeik, vagy más hasonló jellemzőjük alapján).

6.6. Elektronikus hírlevél, sms, mms

6.6.1. Az érintettek köre: hírlevélre feliratkozó személyek.

6.6.2. Az adatkezelés célja: gazdasági reklámot is tartalmazó, általános vagy esetenként az ügyfelek 6.3. pontban említett személyiségprofilja alapján személyre szabott e-mail hírlevelek, sms-ek, mms-ek küldése az érdeklődők részére, tájékoztatás aktuális információkról, ajánlatokról.

6.6.3. Az adatkezelés jogalapja: a Grt. 6.§(1) bekezdése és a GDPR 6.§(1) a) pontja alapján az érintett önkéntes hozzájárulása. Az érintett hozzájárulását bármikor indoklás nélkül visszavonhatja a hírlevélről történő leiratkozással, amely nem érinti a hozzájárulás visszavonás előtt a hozzájárulás alapján történő adatkezelés jogszerűségét.

6.6.4. A kezelt adatok köre: név, nem, születési dátum, telefonszámok, e-mail cím, utazási szokások és utazási érdeklődési kör, adatkezelési hozzájárulás, direkt marketing hozzájáruló nyilatkozat, dátum, profilalkotási tevékenység elleni tiltakozás ellen ennek ténye.

6.6.5. Az adatkezelés időtartama: hozzájárulás visszavonásáig.

6.6.6. Az érintettek adatkezeléssel kapcsolatos jogai, ideértve a panasztétel jogát is: ld. a 9. pontban meghatározott általános tájékoztatást. A hírlevelekről, sms-ekről, mms-ekről leiratkozás postai úton a Tensi 3530 Miskolc, bajcsy-Zsilinszky utca 2-4. címére küldött levéllel, e-mail útján a info@tensi.hu címre küldött üzenettel, telefonon a 06 46-506-177-es számon és hírlevelek esetében természetesen a hírlevél alján lévő „leiratkozás” vagy hasonló gomb használatával is lehetséges.

6.7. Reklamáció

6.7.1. Az érintettek köre: Tensi ügyfelei.

6.7.2. Az adatkezelés célja: az ügyfélpanaszok kivizsgálása.

6.7.3. Az adatkezelés jogalapja: a GDPR 6.§(1) f) pontja alapján a TENSI Kft-nek a reklamációk kivizsgálásához és jogainak védelméhez fűződő jogos érdeke (a Tensi érdekmérlegelési tesztje alapján definiálta a fent említett jogos érdekét, megállapította, hogy az általa végezni tervezett adatkezelés valóban szükséges a fentiekben definiált jogos érdek érvényesítéséhez, és az adatkezeléssel érintett személyek érdekei, alapvető jogai és szabadságai nem írják felül az adatkezelő jogos érdekét; az érdekmérlegelési tesztről és annak részleteiről a felhasználók az adatkezelő 1.1. pontban említett elérhetőségein kérhetnek további információt).

6.7.4. A kezelt adatok köre: név, utastársak neve, neme, születési dátuma, utazás foglalási részvételi száma, panasz részletes leírása, hány főt érint a reklamáció, a reklamáció beérkezésének ideje, az úti cél, az utazás időpontja, a szálláshely kódja, a megválaszolás ideje, módja, a kártérítési igény, összege és formája, illetve az áthárítható költség mértéke, dátum, aláírás.

6.7.5. Az adatkezelés időtartama: a szerződéssel kapcsolatos igények esedékességét követő 6 év.

6.7.6. Az érintettek adatkezeléssel kapcsolatos jogai, ideértve a panasztétel jogát is: ld. 9.pontban meghatározott általános tájékoztatást.

6.8. Nyereményjátékokkal kapcsolatos adatkezelés

6.8.1. Az érintettek köre: a Tensi nyereményjátékéra regisztrálók

6.8.2. Az adatkezelés célja: a TENSI által szervezett nyereményjátékon történő részvétel biztosítása, a nyereményjáték és a sorsolás lebonyolítása.

6.8.3. Az adatkezelés jogalapja: a GDPR 6.§(1) b) pontja alapján a nyereményjátékra való jelentkezéssel létrejött szerződés teljesítése, és a szerződés megkötését megelőzően az érintett kérésére történő lépések megtétele

6.8.4. A kezelt adatok köre: e-mail cím, név, ország, irányítószám, város, utca/házszám, telefonszám, direkt marketing hozzájáruló nyilatkozat, dátum, aláírás.

6.8.5. Az adatkezelés időtartama: a sorsolást követő 6 év.

6.8.6. Nyilvánosságra hozatal: a nyertes neve és településének neve tekintetében.

6.8.7. A kezelt adatok címzettjei: a Tensi nyereményjáték lebonyolításában közreműködő partnerei, amelyek az egyes nyereményjátok szabályzatokban kerülnek megnevezésre.

6.8.8. Az érintettek adatkezeléssel kapcsolatos jogai, ideértve a panasztétel jogát is: ld. a 9. pontban meghatározott általános tájékoztatást.

6.9. Szolgáltatással kapcsolatos ügyfél levelezések, ajánlatkérések
Amennyiben a Tensi ügyfeleinek az adatkezelő szolgáltatásainak igénybevétele során kérdése, problémája van, az 6.1 pontban megjelölt honlapon megadott módokon léphet kapcsolatba az adatkezelővel.
A www.tensi.hu honlapon keresztül történő ajánlatkérés során a felhasználó által megadott adatok a honlapot működtető szerveren nem kerülnek rögzítésre, azokat a rendszer e-mailben továbbítja az illetékesek felé.
A Tensi a beérkezett e-maileket, a küldő nevével és e-mailcímével, valamint más, önként megadott személyes adatával együtt az ügyintézéstől számított legfeljebb 6 év elteltével törli.

6.10. Nemzetközi adattovábbítás harmadik országokba
Az ügyfelek személyes adatai továbbíthatók az Európai Gazdasági Térségen kívüli országokban levő adatkezelőknek és adatfeldolgozóknak is, amennyiben az utazási szerződés teljesítéséhez erre szükség van, illetve ha ahhoz az utazó kifejezett és informált hozzájárulását adta (GDPR 49. cikk).
A Tensi az utazót az utazási szerződés megkötését megelőzően tájékoztatja, hogy az utazó adatainak továbbításával érintett Európai Unión kívüli címzett tekintetében a továbbított adatok megfelelő védelme biztosított:
a) a Bizottság által a GDPR 93. cikkének (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések révén;
b) a felügyeleti hatóság által elfogadott és a Bizottság által a GDPR 93. cikkének (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések révén;
c) a GDPR 40. cikke szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy
d) a GDPR 42. cikke szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is. E körben a Tensi törekszik arra, hogy az Európai Bizottság / NAIH által jóváhagyott szerződéses adatvédelmi mintaklauzulákat harmadik országbeli partnereivel elfogadtassa.

6.11. TENSI törzsutas program

6.11.1. Az érintettek köre: A Tensi törzsutas nyilvántartása és programja egy, az érintettek egy bizonyos csoportja számára nyújtott exkluzív szolgáltatás, amelynek célja kedvezmények nyújtása az ezt a célt szolgáló nyilvántartásban résztvevő érintettek részére.

6.11.2. A törzsutasprogramban történő részvétel a jelen Szabályzattól formailag elkülönülő szabályzatban meghatározott feltétel teljesítéséhez kötött.

6.11.3. Az érintettek köre: Minden természetes személy, aki korábban már igénybe vette a Tensi szolgáltatásait, teljesítette a törzsutassá válás feltételeit.

6.11.4. Az adatkezelés jogalapja: a GDPR 6.§(1)b pontja

6.11.5. A kezelt adatok köre és célja:
Név: azonosítás
Cím: kapcsolattartás
telefonszám : kapcsolattartás
e-mail cím: kapcsolattartás
Az adatkezelés célja az érintettek azonosítása, jogosultságainak megadása és ellenőrzése, az érintettek tájékoztatása a kizárólag törzsutasoknak szóló kedvezményekről, akciókról, egyebekről, kapcsolattartás.

6.11.6. A tagsági státusz az utolsó igénybe vett szolgáltatás igénybevételétől számított 6 év után inaktívvá válik.

6.12. Közösségi oldalakon történő jelenlét (Social media)

6.12.1. Az érintettek köre: Azon természetes személyek, akik az Adatkezelő közösségi oldalait, különösen facebook.com közösségi oldalán lévő oldalt vagy azon megjelenő tartalmakat önként követik, megosztják, kedvelik

6.12.2. Az adatkezelés jogalapja: önkéntes hozzájáruláson alapul (azon belül is különösen a Facebook oldal használata és az azon keresztül, az Adatkezelővel történő kapcsolatfelvétel, kapcsolattartás, és egyéb, a közösségi oldal által megengedett művelet)

6.12.3. A kezelt adatok köre és célja:

• érintett publikus neve: azonosítás
• publikus fotója: azonosítás
• publikus e-mail címe: kapcsolattartás
• érintett közösségi oldalon keresztül küldött üzenete: kapcsolattartás, válaszadás alapja
• érintett általi értékelés, vagy más művelet eredménye: minőségjavítás, vagy egyéb művelet

6.12.4. Az adatkezelés célja: Adatkezelő az érintettekkel a közösségi oldalon keresztül kizárólag akkor kommunikál, és így a kezelt adatok körének célja akkor válik lényegessé, ha az érintett a közösségi oldalon keresztül keresi meg az Adatkezelőt.
A közösségi portálokon, különösen a Facebook-on történő jelenlét és az azzal kapcsolatos adatkezelés célja a weboldalon található tartalmak közösségi oldalon történő megosztása, publikálása, marketingje. A közösségi oldal segítségével az érintett tájékozódhat a legújabb akciókról is. Az érintett a közösségi oldal feltételei alapján önként hozzájárul az Adatkezelő tartalmainak követésével, kedveléséhez.
Adatkezelő közösségi oldalán, különösen Facebook oldalán képeket/videófelvételeket is közzétesz a különböző eseményekről, az Adatkezelő szolgáltatásairól, egyebekről. Adatkezelő a facebook oldalt összekapcsolhatja más közösségi oldalakkal a facebook.com közösségi portál szabályai szerint, így a facebook oldalon történő közzétételen érteni kell az ilyen kapcsolt közösségi portálokon történő közzétételt is. Amennyiben nem tömegfelvételről, vagy közéleti szereplésről készült felvételről van szó (Ptk. 2:48.§), Adatkezelő mindig kikéri az érintett írásbeli hozzájárulását a képek közzététele előtt. Az Érintett az adott közösségi oldal adatkezeléséről tájékoztatást az adott közösségi oldalon kaphat, ennek megfelelően a Facebook oldal adatkezeléséről tájékoztatást a www.facebook.com címen kaphat.

6.12.5. Az adatkezelés időtartama: érintett kérésére törlésig

6.13. Bankszámlaadatok

6.13.1. Az érintettek köre: Adatkezelő lehetővé teszi, hogy érintett termékek ellenértékét bankon keresztül történő átutalással egyenlítse ki, továbbá Adatkezelő a Munkatársak munkabérét és egyéb járandóságait átutalással fizeti meg, valamint harmadik felek felé történő pénzügyi kötelezettségek teljesítését banki átutalással teszi meg. Minden természetes személy, aki bankon keresztül történő átutalással kíván fizetni, továbbá, minden Munkatárs és minden harmadik fél, aki felé az Adatkezelő által kezdeményezett átutalás történik

6.13.2. Az adatkezelés jogalapja: a GDPR 6.§(1) Az érintett által bankon keresztül történő átutalás önkéntes hozzájáruláson alapul, az érintettek, mint Munkavállalók és más, harmadik felek felé történő pénzügyi teljesítés és így adatainak kezelése jogszabály és szerződés alapján kötelező

6.13.3. A kezelt adatok köre és célja:
számlabirtokos neve   azonosítás
bankszámla száma    azonosítás
közlemény    azonosítás
összeg    azonosítás

6.13.4. Az adatkezelés célja: az érintett részéről történő pénzügyi teljesítéselősegítése, ellenőrzése, valamint az érintett felé történő pénzügyi teljesítés végrehajtása.

6.13.5. Az adatkezelés időtartama: azonosítási és kapcsolattartási adatok vonatkozásában azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli, olyan adatok vonatkozásában, amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 év

6.14. Álláspályázatok

6.14.1. Az érintettek köre: Minden természetes személy, aki az Adatkezelő által meghirdetett álláspályázatra jelentkezik, mivel az Adatkezelő lehetővé teszi az érintettek számára, hogy az általa meghirdetett álláspályázatra jelentkezzenek az álláspályázatban szereplő úton vagy módon (pl. elektronikus vagy papír alapon)

6.14.2. Az adatkezelés jogalapja: önkéntes hozzájárulás

6.14.3. A kezelt adatok köre és célja:

• név:azonosítás
• születési hely, idő: azonosítás
• megpályázott pozíció neve: a jelentkezés beazonosításához szükséges
• különleges adat, pl. egészségügyi adat (különleges adat kezelésére csak akkor kerül sor, ha az a pozíció betöltésének elbírálásához szükséges)
• tapasztalatok: korábbi munkahely neve és az ott eltöltött időszak, a pozíció betöltésének elbírálásához szükséges a munkatapasztalat
• tapasztalatok – pozíció leírása pozíció betöltésének elbírálásához szükséges a munkatapasztalat
• iskolai végzettség: a pozíció betöltésének elbírálásához szükséges az iskolai végzettség
• idegen nyelv ismeret, idegen nyelv és ismeret foka: pozíció betöltésének elbírálásához szükséges az idegen nyelv ismeret
• csatolt önéletrajz egyéb adatai: a pozíció betöltésének elbírálásához szükséges az önéletrajz, és annak munkakörhöz releváns adatai
• csatolt motivációs levél: a pozíció betöltésének elbírálásához szükséges a motivációs levél
• adatok jelentkezést követő 2 évig történő kezeléséhez való hozzájárulás jelzése, ha az érintett nem nyer felvételt ki nem választás esetén történő adatkezelés jogalapjához szükséges

6.14.4. Az adatkezelés célja: az álláspályázatra történő jelentkezés, valamint a kapcsolattartás

6.14.5. Az adatkezelés időtartama: cél megvalósulásáig, vagy érintett hozzájárulása alapján a jelentkezést követő 2 év leteltéig, vagy érintett időközben tett törlési igényéig.

6.15. Munkatársak adatainak kezelése, nyilvántarása

6.15.1. Az érintettek köre: Minden természetes személy, aki az Adatkezelővel munkaviszonyt, vagy egyéb jogviszonyt létesít, amellyel kapcsolatban az Adatkezelőnek bejelentési kötelezettsége fakad

6.15.2. Az adatkezelés jogalapja: Adatkezelő a hatályos jogszabályok előírásai alapján köteles adatokat felvenni, és adatokat átadni az adóhatóság irányába biztosítási jogviszony, így munkaviszony létesítése, egyszerűsített foglalkoztatás vagy megbízási jogviszony esetén
A jogviszony létesítése önkéntes hozzájáruláson alapul, de az adatkezelés kötelező az adózás rendjéről szóló 2017. évi CL. Törvény 16.§ alapján, valamint az egyszerűsített foglalkoztatásról szóló 2010. évi LXXV.törvény 3. és 11.§ alapján

6.15.3. A kezelt adatok köre és célja:
Kezelt adatok köre munkaviszony esetén:

• családi és utónév
• születési hely
• születési idő
• anyja neve
• lakcím
• adóazonosító jel
• TAJ szám
• a végzettség, szakképzettség, szakképesítés, továbbá az ezt igazoló okiratot kibocsátó intézmény neve és az okirat száma
• FEOR szám
• biztosítási jogviszonyának kezdete, kódja, megszűnése
• biztosítás szünetelésének időtartama
• heti munkaidő
• bruttó személyi bér
• nettó személyi bér
• bankszámlaszám
• személyazonosító igazolvány száma
• telefonszám
• e-mail cím
• érintett személyes képmása
• idegen nyelv tudása
• munkakör, munkaköri leírás
• vezetői megbízások
• gyakornoki idő, vizsga, próbaidő
• fegyelmi eljárás, büntetés, felmentés
• büntetett előélet
• fizetési fokozat
• tudományos kutatás (publikáció)
• művészeti alkotói tevékenység
• munkában töltött idő
• munkaviszonyba beszámítható idő
• besorolással kapcsolatos adatok
• kapott kitüntetések, díjak és más elismerések, címek

Kezelt adatok köre egyszerű foglalkoztatás esetén:

• családi és utónév
• születési hely
• születési idő
• anyja neve
• lakcím
• adóazonosító jel
• TAJ szám
• egyszerűsített munka jellege
• munkakör megnevezése
• munkaviszony kezdete és megszűnésének napja
• alkalmi munka esetén a ledolgozott munkaórák száma/nap (naponként)
• rendes munkaidő
• bruttó személyi alapbér
• nettó személyi alapbér
• bankszámlaszám
• munkavégzés helye

Kezelt adatok köre megbízási jogviszony esetén:

• családi és utónév
• születési hely
• születési idő
• anyja neve
• lakcím
• adóazonosító jel
• TAJ szám
• jogviszony kezdete
• bruttó megbízási díj
• nettó megbízási díj
• bankszámlaszám
• munkavégzés helye

6.15.4. Az adatkezelés célja: a jogszabályok szerinti kötelezettségek teljesítése

6.15.5. Az adatkezelés időtartama: Adatkezelő az adatokat a Munkatárs kilépésének naptári éve végétől számított 5 évig tartja nyilván azzal, hogy a munkaügyi-, bér- és társadalombiztosítási nyilvántartásokat leselejtezni tilos.

6.16. Egyéb adatkezelés
E tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor ad a Tensi tájékoztatást. A bíróság, az ügyész, a nyomozó hatóság, szabálysértési hatóság, a közigazgatási hatóság, az adatvédelmi biztos, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkeresheti az adatkezelő Tensit. A Tensi a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

7. A SZEMÉLYES ADATOK TÁROLÁSÁNAK MÓDJA, AZ ADATKEZELÉS BIZTONSÁGA
Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
a) a személyes adatok álnevesítését és titkosítását;
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai, vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
Az adatkezelő, illetve az adatfeldolgozó 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.
Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
Ennek tükrében a Tensi gondoskodik az adatok biztonságáról. Ennek érdekében megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az irányadó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Az adatbiztonság szabályainak érvényesüléséről a Tensi az Adatvédelmi és Adatbiztonsági Szabályzattól és jelen Tájékoztatótól tartalmilag és formailag elkülönülő belső szabályzatok, utasítások, eljárási rendek útján (is) gondoskodik.
A Tensi az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére és több lehetséges adatkezelési megoldás közül azt választja, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
A Tensi számítástechnikai rendszerei és más adatmegőrzési helye a székhelyén, telephelyein, fióktelepein, és a 8. pont alatt megjelölt adatfeldolgozóinál találhatók meg.
A Tensi a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás)
b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége)
c) változatlansága igazolható (adatintegritás)
d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
A Tensi olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
A Tensi az adatkezelés során megőrzi:

• a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult
• a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét
• a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök

Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik. Tájékoztatjuk a felhasználókat, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek.
Az ilyen fenyegetésektől megvédendő a szolgáltató megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is
A Tensi az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:
- A jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, (a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);
- Az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés);
- Az adatállományok vírusok elleni védelméről (vírusvédelem);
- Az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás,tűzvédelem).
A Tensi számítástechnikai rendszerei és más adatmegőrzési helye a székhelyén, telephelyein, fióktelepein, a 8. pont alatti adatfeldolgozóinál találhatók meg.
A Tensi ismeri és teljesíti a GDPR 32.§-ában megfogalmazott adatbiztonsági elvárásokat és követelményeket, továbbá rendelkezik az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrenddel.
A Tensi és partnereinek informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.
Tájékoztatjuk a felhasználókat, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek. Az ilyen fenyegetésektől megvédendő a szolgáltató megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.

8. A TENSI ÁLTAL ADATKEZELÉSEI SORÁN IGÉNYBE VETT EGYÉB ADATFELDOLGOZÓK ADATAI, ELÉRHETŐSÉGEI

Név: SigmaNet Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság
Székhely: 1132 Budapest, Viktor Hugo u. 18-22.
Az adatfeldolgozó által végzett adatkezelési tevékenység leírása: adatbázis tárolás

Név: TEN TECHNIC Irodatechnikai Korlátolt Felelősségű Társaság
Székhely: 1023 Budapest, Komjádi Béla utca 1.
Az adatfeldolgozó által végzett adatkezelési tevékenység leírása: IT szolgáltató

Név: Inclust Systems Kft.

Székhely: 1054 Budapest, Honvéd utca 8. I/2. 

Az adatfeldolgozó által végzett adatkezelési tevékenység leírása: adatbázis tárolás

 

Adatfeldolgozó igénybevétele
A Tensi nevében az alábbi adatfeldolgozók végeznek adatkezelési tevékenységet:
- Az adatkezelővel szerződéses jogviszonyban álló utazásközvetítők;
- Hotelek, hajótársaságok, repülőtársaságok, autókölcsönzők, foglalási rendszerek üzemeletetői mint az utazási szolgáltatás nyújtásában részt vevő szolgáltatók, a megvalósuló utazások esetén előzetes tájékoztatást követően
- Biztosítótársaságok, megkötött szerződés esetén esetén előzetes tájékoztatást követően

A munkavállaló például jogosult a teljesítményértékelések során róla tárolt adatokat olvasható formában elkérni, vagy például az utazó jogosult a róla készült profilt kinyomtatva elkérni az irodától.
Az utazó például jogosult külön tájékoztatást kérni a róla tárolt adatokról, ideértve az esetleges profilalkotást is, akkor is, ha egyébként a szerződésben részletes tájékoztatást kapott a kezelt adatok köréről.

9. AZ ÉRINTETTEK JOGAI
A Tensi által kezelt személyes adatok érintettjei számára a GDPR számos olyan jogosultságot biztosít, amely a Tensi számára kötelezettségként jelenik meg.
Az Info tv., valamint az Európai Parlament és a Tanács (EU) 2016/679 Rendelete alapján az érintett jogai a következők: a tájékoztatás joga, a helyesbítés joga, a törléshez való jog, az „elfeledtetéshez való jog”, az adatok zároláshoz/korlátozáshoz való jog, tiltakozáshoz való jog, bírósághoz fordulás joga, hatósághoz fordulás joga.

1. Tájékoztatáshoz való jog
Az érintett jogosult tájékoztatást kapni a vele kapcsolatban kezelt személyes adatok köréről, a tárolás céljáról, időtartamáról, a kezelés jogalapjáról, a kezelő személyéről, jogos érdeken alapuló adatkezelés esetén a jogos érdek mibenlétéről, harmadik országba történő adattovábbításról, az adatok és a címzetti
kategóriákról címzettjeiről.

Az utazó például jogosult külön tájékoztatást kérni a róla tárolt adatokról, ideértve az esetleges profilalkotást is, akkor is, ha egyébként a szerződésben részletes tájékoztatást kapott a kezelt adatok köréről.

2. Hozzáféréshez való jog
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a kezelt információkhoz hozzáférést kapjon.
Az ügyfél hozzáférési jogai
Az ügyfél hozzáférhet a személyes adataihoz. Ha az ügyfél azt kéri, hogy a Tensivisszajelzést adjon arra vonatkozóan, hogy kezeli-e a személyes adatait, a Tensiköteles tájékoztatást adni.
Az ügyfél azon joga, hogy visszajelzést kapjon arról, hogy a Tensi kezeli-e (vagy sem) a személyes adatait,
(a) a rá vonatkozó személyes adatokra terjed ki;
(b) nem terjed ki az anonim adatokra;
(c) nem terjed ki a nem rá vonatkozó személyes adatokra; és
(d) magában foglalja az egyértelműen az ügyfélhez kapcsolható álnevesített adatokat.
A Tensi a kérelmező ügyfél kérésére hozzáférést és másolatot biztosít a személyes adataihoz. Ha az ügyfél további/ismételt másolatot kér a személyes adatairól, a Tensiésszerű díjat számíthat fel a kérés teljesítésével összefüggésben felmerülő adminisztratív költségek megfizetésére, mely díjat a ügyfél fog viselni.

A munkavállaló például jogosult a teljesítményértékelések során róla tárolt adatokat olvasható formában elkérni, vagy például az utazó jogosult a róla készült profilt kinyomtatva elkérni az irodától.

3. Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

Az utazó jogosult például értesítési címe változását jelezni és annak kieszközölni. Nem tartozik ugyanakkor ebbe a körbe, ha az utazási szerződés tárgyához tartozó körülmény változik meg, például más személlyel utazik el, mint akit eredetileg megjelölt – azaz e körben az utazási iroda ÁSZF vagy szerződés szerinti módosítási szabályai (és esetleges költségei) alkalmazandóak.

Az ügyfél helyesbítéshez való joga
Az ügyfél jogosult a személyes adatai helyesbítésére. E joga
(a) nem terjed ki az anonim adatokra;
(b) a rá vonatkozó személyes adatokra terjed ki;
(c) nem terjed ki a nem rá vonatkozó személyes adatokra; és
(d) magában foglalja az egyértelműen az ügyfélhez kapcsolható álnevesített adatokat.
A Tensi az ügyfél kérése alapján megfelelően javítja vagy kiegészíti annak személyes adatait. A Tensiaz ügyfél személyes adatainak helyesbítéséről tájékoztatja az ilyen személyes adatok címzettjeit (ha vannak ilyenek). A Tensiazonban nem tájékoztatja a címzetteket a személyes adatok helyesbítéséről, ha a címzettek tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne

4. Törléshez / elfeledtetéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles a törlést elvégezni (néhány speciális eset mellett – GDPR 17. cikk) akkor, ha az adatkezelés célja vagy jogalapja megszűnt, az adatkezelés eleve jogalap nélkül történt.

Az ügyfél törléshez való joga
Bizonyos feltételek esetén az ügyfél jogosul a személyes adatai törlésére.
A Tensi indokolatlan késedelem nélkül köteles törölni az ügyfél személyes adatait, amennyiben
(a) a Tensi kezeli e személyes adatokat, és
(b) az ügyfél a személyes adatai törlését kéri, és
(c) a személyes adatok nem szükségesek azon célokra, amelyekre a Tensi a személyes adatokat kezeli.
A Tensi indokolatlan késedelem nélkül köteles törölni az ügyfél személyes adatait, ha
(d) a Tensi kezeli az ügyfél személyes adatait, és
(e) az ügyfél a személyes adatai törlését kéri, és
(f) az ügyfél visszavonja a hozzájárulását, amin az adatainak kezelése alapul, és
(g) nincs más jogalap az ügyfél adatainak további kezelésére.
A Tensi indokolatlan késedelem nélkül köteles törölni az ügyfél személyes adatait, ha
(h) az adatkezelés a Tensivagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, és
(i) az ügyfél tiltakozik az ellen, hogy a Tensikezeli a személyes adatait, és

Fontos megjegyezni, hogy ha Tensinek jogi követelése van az érintett személlyel szemben, úgy az annak érvényesítéséhez szükséges személyes adatok törlésére az iroda nem kötelezhető.
Példa lehet erre, ha az adatokra az irodának már nincsen szüksége, de a volt munkavállaló/utazó valamilyen jogi igényt kíván – akár az irodával szemben – érvényesíteni, amihez szüksége van az adatok további tárolására.
(j) az ilyen személyes adatok kezelését megalapozó jogszerű ok nem élvez elsőbbséget a ügyfél tiltakozásával szemben.
A Tensi indokolatlan késedelem nélkül köteles törölni az ügyfél személyes adatait, ha
(k) az ügyfél a személyes adatai törlését kéri, és
(l) az ilyen adatok Társaság általi kezelése nem jogellenes, vagy
(m) a törlés kötelező a hatályos törvények értelmében, vagy
(n) az ügyfél adatait az információs társadalommal összefüggő szolgáltatások vonatkozásában gyűjtik.
A Tensi az ügyfél személyes adatainak törléséről tájékoztatja az ilyen személyes adatok címzettjeit (ha vannak ilyenek). A Tensiazonban nem tájékoztatja a címzetteket a személyes adatok törléséről, ha a címzettek tájékoztatása lehetetlen vagy aránytalanul nagy erőfeszítést igényelne

Fontos megjegyezni, hogy ha Tensinek jogi követelése van az érintett személlyel szemben, úgy az annak érvényesítéséhez szükséges személyes adatok törlésére az iroda nem kötelezhető.

5. Adatkezelés korlátozásához való jog
Az érintett a GDPR 18. cikkében meghatározott speciális esetekben kérheti az adatkezelés korlátozását. A korlátozás azt jelenti, hogy az érintett adatokat a Tensi köteles tovább tárolni, de azt kezelni csak az érintett hozzájárulásával, vagy jogérvényesítés céljából lehet.

Példa lehet erre, ha az adatokra az irodának már nincsen szüksége, de a volt munkavállaló/utazó valamilyen jogi igényt kíván – akár az irodával szemben – érvényesíteni, amihez szüksége van az adatok további tárolására.

Az ügyfél joga az adatkezelés korlátozásához
Az ügyfél kérheti a személyes adatai kezelésének korlátozását.
Az ügyfél joga a személyes adatai kezelése korlátozásának kérésére
(a) nem terjed ki az anonim adatokra;
(b) a rá vonatkozó személyes adatokra terjed ki;
(c) nem terjed ki a nem rá vonatkozó személyes adatokra; és
(d) magában foglalja az egyértelműen az ügyfélhez kapcsolható álnevesített adatokat.
A Tensi korlátozza az ügyfél személyes adatainak kezelését arra az időszakra, amely alatt ellenőrzi az ilyen adatok pontosságát, ha az ügyfél a személyes adatai kezelésének korlátozását kéri és az ügyfél vitatja az ilyen adatok pontosságát.
A Tensi korlátozza az ügyfél személyes adatainak kezelését, ha az ügyfél olyan adatok kezelésének korlátozását kéri, amelyek kezelése jogellenes, és az ügyfél ellenzi az ilyen adatok törlését.
A Tensi korlátozza az ügyfél személyes adatainak kezelését, ha

Ez azt is jelenti, hogy például az utazó kérheti, hogy egy adott utazási irodánál róla kialakított profilt egy másik utazási irodának is megküldjék.
(a) az ügyfél a személyes adatai kezelésének korlátozását kéri, és
(b) a Tensinek már nincs szüksége ezekre az adatokra az adatkezelése céljából, és
(c) az ügyfél az adatait jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez igényli.
A Tensi korlátozza az ügyfél személyes adatainak kezelését, ha
(a) az ügyfél tiltakozik az olyan személyes adatai kezelése ellen, amik szükségesek a Tensijogos érdekei céljából, és
(b) az ügyfél annak visszaigazolására vár, hogy az ügyfél személyes adatainak a Tensiáltali kezelésére van jogszerű ok, amely nem élvez elsőbbséget az ügyfél tiltakozásával szemben.
A Tensi az ügyfél személyes adatai kezelésének korlátozásáról tájékoztatja az ilyen személyes adatok címzettjeit (ha vannak ilyenek). A Tensiazonban nem tájékoztatja a címzetteket az ilyen korlátozásról, ha a címzettek tájékoztatása lehetetlen vagy aránytalanul nagy erőfeszítést igényelne.
Ha a Tens ikorlátozza az ügyfél személyes adatainak kezelését, akkor
(a) tárolhatja az ilyen személyes adatokat,
(b) az ügyfél hozzájárulása alapján kezelheti az ilyen személyes adatokat,
(c) kezelheti a személyes adatokat jogi igényének előterjesztéséhez, érvényesítéséhez vagy védelméhez vagy valamely személy jogainak megvédéséhez.
A Tensi nem használhat fel ügyféli adatokat közvetlen üzletszerzés céljára, beleértve a profilalkotást vagy az automatizált döntéshozatalt egyedi ügyekben

6. Adathordozhatósághoz való jog
Az érintettnek joga van ahhoz, hogy kérje a róla kezelt adatok olvasható formában való megjelenítését, illetve azok másik adatkezelőhöz való továbbítását.

Ez azt is jelenti, hogy például az utazó kérheti, hogy egy adott utazási irodánál róla kialakított profilt egy másik utazási irodának is megküldjék.

Az ügyfél adathordozhatósághoz való joga
Az ügyfél jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosultak arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsák anélkül, hogy ez akadályozná (ahol technikailag lehetséges) azt az adatkezelőt, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az adatkezelés hozzájáruláson alapul vagy szerződés teljesítéséhez szükséges és az adatkezelés automatizált módon történik.
Az ügyfél adathordozhatósághoz való joga
(a) nem terjed ki az anonim adatokra;
(b) a rá vonatkozó személyes adatokra terjed ki;
(c) nem terjed ki a nem rá vonatkozó személyes adatokra; és
(d) nem terjed ki az egyértelműen az ügyfélhez kapcsolható álnevesített adatokra

Az adatkezelés folytatható azonban, ha annak más jogalapja is van, illetve ha az adatkezeléshez fűződő jogos okok elsőbbséget élveznek az érintett érdekeivel szemben
Utazási iroda esetében elképzelhető, hogy e jogosultságnak nincs különösebb relevanciája. Ide tartozik például, ha egy bank emberi beavatkozás nélkül, kizárólag automatizált döntéshozatal keretében értékeli az ügyfél hitelképességét.

7. Tiltakozáshoz való jog
Az érintett jogosult arra, hogy tiltakozzon személyes adatainak közérdekből vagy a Tensi érdekéből történő kezelése miatt, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább.

Az adatkezelés folytatható azonban, ha annak más jogalapja is van, illetve ha az adatkezeléshez fűződő jogos okok elsőbbséget élveznek az érintett érdekeivel szemben

8. Automatizált döntéshozatallal és profilalkotással kapcsolatos jogok
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

Utazási iroda esetében elképzelhető, hogy e jogosultságnak nincs különösebb relevanciája. Ide tartozik például, ha egy bank emberi beavatkozás nélkül, kizárólag automatizált döntéshozatal keretében értékeli az ügyfél hitelképességét.

A Tensi számára a fentiekből származó kötelezettségekhez a GDPR teljesítési határidőket is fűz. Eljárásuk során a tensi felelős közreműködői e határidőkre is tekintettel kell, hogy eljárjanak.
Ezeket a határidőket az alábbi táblázat foglalja össze:

Érintett kérelmének tárgya	Határidő
Tájékoztatáshoz való jog	amikor az adatot gyűjtik (ha az érintett adja át) vagy egy hónapon belül (ha nem az érintett adja át)
Hozzáféréshez való jog	egy hónap
Helyesbítéshez való jog	egy hónap
Törléshez való jog	indokolatlan késedelem nélkül
Adatkezelés korlátozásához való jog	indokolatlan késedelem nélkül
Adathordozhatósághoz való jog	egy hónap
Tiltakozáshoz való jog	a tiltakozás kézhezvételekor
Automatizált döntéshozatallal és profilalkotással kapcsolatos jogok	nem meghatározott

Panasz benyújtásához való jog
Ha az ügyfél úgy véli, hogy a jogait megsértették, a Tensi azt javasolja, hogy az ügyfél kezdeményezzen egyeztetést az adatkezelővel úgy, hogy közvetlenül felveheti a kapcsolatot a fent megjelölt kapcsolattartó személlyel. Ha az ilyen egyeztetés nem vezet eredményre vagy ha az érintett személy nem kíván részt venni ilyen tevékenységben, a bírósághoz vagy a NAIH-hoz fordulhat.
Bírósági eljárás kezdeményezése esetén az érintett dönthet úgy, hogy az eljárást a lakcíme vagy lakóhelye szerint illetékes bíróság előtt indítja meg.

Az önrendelkezési jog megsértése esetén az érintett az alábbi hatóságokhoz fordulhat:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
www: http://www.naih.hu
e-mail: ugyfelszolgalat@naih.hu

Kiskorúakat sértő, gyűlöletkeltő, kirekesztő tartalmakkal, helyreigazítással, elhunyt személy jogaival, jó hírnév megsértésével kapcsolatos jogainak megsértése esetén:
Nemzeti Média- és Hírközlési Hatóság
1015 Budapest, Ostrom u. 23-25.
Levélcím: 1525. Pf. 75
Tel: (06 1) 457 7100
Fax: (06 1) 356 5520
E-mail: info@nmhh.hu

Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani.
Abban az esetben, ha az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az Adatkezelőtől sérelemdíjat követelhet.
A Tensinek minden észszerű intézkedést meg kell tennie, hogy meggyőződjön az érintett személyazonosságáról, aki hozzáférést kér vagy gyakorolni kívánja az érintetti jogait.
A Tensi felhívja az érintettek figyelmét, hogy az érintettek tájékoztatás kérésüket, valamint egyéb jogaik gyakorlását – ha azt jogszabály ki nem zárja – a info@tensi.hu e-mail címre, vagy a Tensi más elérhetőségére küldött nyilatkozattal tehetik meg. Tensi a nyilatkozatot a beérkezéstől számított legrövidebb időn, de maximum 15 napon belül megvizsgálja és megválaszolja, valamint megteszi a szükséges lépéseket a nyilatkozatban, a Szabályzatban, valamint jogszabályban foglaltak alapján. Amennyiben együttes, közös adatkezelés történik, úgy az érintett bármely adatkezelőnél élhet jogaival.

10. NYILVÁNTARTÁS
A GDPR egyértelműen előírja a személyes adatokhoz kapcsolódó adatkezelési tevékenységre vonatkozó nyilvántartások vezetését azokban az esetekben, ha az adatkezelés nem alkalmi jellegű. A Tensi esetében tehát a nyilvántartás vezetése kötelező. Ennek tartalmi elemeit a GDPR szintén meghatározza. A Tensi a nyilvántartást táblázatos formában vezeti (lásd: Adatkezelési nyilvántartás).
Az Adatkezelési nyilvántartás a Tensi esetében arra is szolgál, hogy ellenőrizhetővé tegye, hogy a Tensi mindenkor eleget tesz a GDPR elszámoltathatóság elvének:

• a személyes adatok kezelésének jogalapja minden esetben világos és egyértelmű,
• az adatkezelés célja pontosan meghatározott, a kezelt adatok köre a cél eléréséhez szükséges,
• az érintett az adatkezelésről megfelelő tájékoztatást kapott,
• az adatkezelés időtartama és a törlés rendje szabályozott,
• az adatok tárolása megfelelő biztonsági intézkedések mellett történik,
• adattovábbítás megfelelő garanciák mellett történik,
• az adatkezelésért felelős személy kijelölésre került.

11. INCIDENS

11.1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
11.2. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

11.3. Az előző bekezdésben említett bejelentésben legalább: a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhető ségeit; c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

11.4. Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

11.5. Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

11.6. Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az előző bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
Az érintettet nem kell az első bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

11.7. Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a GDPR 34. Cikk (3) bekezdésben említett feltételek valamelyikének teljesülését.

11.8. A Tensi tisztességesen és arányosan jár el, amikor megválasztja a személyes adatok megsértéséről (adatvédelmi incidensről) az érintett feleket tájékoztató intézkedéseket. A GDPR-nak megfelelően, amikor a természetes személyek jogaira és szabadságára feltehetően kockázatot jelentő adatvédelmi incidens bekövetkezéséről szerez tudomást, az illetékes adatvédelmi hatóságot 72 órán belüli tájékoztatása is szükséges lehet.

12. A JELEN TÁJÉKOZTATÓ MÓDOSÍTÁSAI
A Tensi fenntartja a jogot, hogy bármikor módosítsa a jelen tájékoztatót. A Tensi adott esetben levélben vagy e-mailben és minden esetben a vonatkozó jogszabályok szerint tájékoztatja az ügyfeleket az ilyen módosításokról.
A Tensi felhívja a figyelmet, hogy a Tájékoztatónak az időközben módosulandó jogszabályi háttérrel, a Szabályzattal és egyéb belső szabályzattal való összehangolása miatt megváltoztatására ad jogot

13. HATÁLYBA LÉPÉS:
A jelen tájékoztató az aláírás napján lép hatályba.

14. VONATKOZÓ JOGSZABÁLYOK AZ UTAZÁSI SZAKMÁRA:
Törvények
2005 évi CLXIV. törvény a kereskedelemről
2009 évi LXXVI. törvény a szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól
2003 évi V. törvény a Polgári Törvénykönyvről
2008 évi XLVII. törvény fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról
1997 évi CLV. törvény a fogyasztóvédelemről
1998 évi XII. törvény a külföldre utazásról

Kormányrendeletek:
2018 június 30-ig hatályos
213/1996. (XII. 23.) Korm. rendelet az utazásszervező és -közvetítő tevékenységről

Módosító jogszabály
473/2017. (XII. 28.) Korm. rendelet az utazásszervező és -közvetítő tevékenységről szóló 213/1996. (XII. 23.) Korm. rendelet módosításáról

2018 július 1-től hatályos
213/1996. (XII. 23.) Korm. rendelet az utazásszervező és -közvetítő tevékenységről

2018 június 30-ig hatályos
281/2008. (XI. 28.) Korm. rendelet az utazási szerződésről

2018 július 1-től hatályos
472/2017. (XII. 28.) Korm. rendelet az utazási szolgáltatásokra vonatkozó szerződésekről, különösen az utazási csomagra és az utazási szolgáltatásegyüttesre vonatkozó szerződésekről 65/2014. (III. 13.) Korm. rendelet a tartós közvetítői szerződés alapján a közvetítőt megillető jutalékról

Európai Uniós irányelvek
Az Európai Parlament és a Tanács 2006/123/EK irányelve ( 2006. december 12. ) a belső piaci szolgáltatásokról
Az Európai Parlament és a Tanács (EU) 2015/2302 irányelve (2015. november 25.) az utazási csomagokról és az utazási szolgáltatásegyüttesekről, valamint a 2006/2004/EK rendelet és a 2011/83/EU európai parlamenti és tanácsi irányelv módosításáról, továbbá a 90/314/EGK tanácsi irányelv hatályon kívül helyezéséről

Új uniós irányelv
Az Európai Parlament és a Tanács (EU) 2015/2302 irányelve (2015. november 25.) az utazási csomagokról és az utazási szolgáltatásegyüttesekről, valamint a 2006/2004/EK rendelet és a 2011/83/EU európai parlamenti és tanácsi irányelv módosításáról, továbbá a 90/314/EGK tanácsi irányelv hatályon kívül helyezéséről

Az Európai Parlament és a Tanács 261/2004/EK rendelete (2004. február 11.) visszautasított beszállás és légijáratok törlése vagy hosszú késése esetén az utasoknak nyújtandó kártalanítás és segítség közös szabályainak megállapításáról, és a 295/91/EGK rendelet hatályon kívül helyezéséről

 

Kelt: Budapesten, 2018. május hó 24. napján

 

Boros József
Ügyvezető
TENSI Kft