Защита данных

ИНФОРМАЦИЯ ОБ ОБРАБОТКЕ ДАННЫХ

Действительна с 01.10.2023.

Целью данного информационного листа является предоставление информации Хевизской Ревматологической Клиникой имени Святого Андраша и Лечебной Купальней в соответствии с положениями статьи 13 Общего регламента по защите данных Европейского Союза (далее: GDPR) об обработке данных в его системе, что действует с целью продажи билетов через Интернет.

Имя и контактная информация Контролера данных

Имя:	Хевизская Ревматологическая Клиника имени Святого Андраша и Лечебная Купальня
Штаб-квартира:	H-8360 Хевиз, Др. Шулхоф Вилмош шетань 1. [H-8360 Hévíz, Dr. Schulhof Vilmos sétány 1.]
Идентификационный номер:	813727
Название органа, ведущего реестр:	Государственное Казначейство Венгрии
Идентификационный номер налогоплательщика	15813729-2-20
Электронная почта	titkarsag@spaheviz.hu

далее: Контролер данных или Учреждение.

Контактная информация сотрудника по защите данных:
Электронная почта: adatvedelem@spaheviz.hu
Почтовый адрес: H-8380 Хевиз, Др. Шулхоф Вилмош шетань 1. [H-8360 Hévíz, Dr. Schulhof Vilmos sétány 1.] – на конверте, пожалуйста, напишите следующее: «Сотруднику по защите данных».

Что касается других примеров управления данными, связанных с предоставлением услуг (например, проверка действительности входных билетов), Контролер данных не определяет самостоятельно цель управления данными, а выполняет его в интересах поставщика(ов) услуг, предоставляющего(их) сервис (к примеру, передает им данные), поэтому в этом отношении он считается обработчиком данных.

Имя и контактная информация Обработчика данных

Имя: ИнтелиАрт Онлайн Маркетинг Корлатольт Фелелёшшегю Таршашаг [InteliArt Online Marketing Korlátolt Felelőségű Társaság]
Штаб-квартира: H-2440 Сазгаломбатта, Чалогань утца 19 [H-2440 Százhalombatta, Csalogány utca 19]
Идентификационный номер налогоплательщика: 23160277-2-13
Электронная почта: info@inteliart.hu

далее: Обработчик данных.

На основании договора об оказании услуг между Контролером данных и Обработчиком данных, Обработчик данных предоставляет Контролеру данных полный комплекс ИТ-услуг, который включает в себя эксплуатацию и разработку веб-сайта и программного обеспечения, используемого для продажи билетов, а также услугу хостинга, необходимую для хранения данных.

Информации об управлении индивидуальными данными

3.1. Покупка билетов с регистрацией или без регистрации на платформе онлайн-продажи билетов

Заинтересованное лицо: все физические лица, которые после регистрации на сайте spaheviz.hu покупают билет в спа через профиль пользователя или без регистрации.

Цель обработки данных: обеспечение покупки именного билета в спа-центр, который дает право пользоваться услугой Контролера данных, а также отправку билета клиенту в электронной форме.

Правовое основание обработки данных: выполнение договора между Контролером данных и заинтересованного лица о предоставлении и использовании услуг, согласно статье 6 (1) пункта b) GDPR.

Объем персональных данных, обрабатываемых для достижения цели обработки данных, а также фактическая цель обработки персональных данных:

Объем персональных данных, обрабатываемых при покупке билета и абонемента в спа-центр, и их цель

Объем обрабатываемых персональных данных	Цель обработки персональных данных
Полное имя и дата рождения заинтересованного лица	Оформление именного электронного билета для посещения спа-центра
Электронная почта заинтересованного лица	Отправка электронного билета клиенту в электронной форме
Дата рождения заинтересованного лица	Предоставление возможных скидок на вход в зависимости от возраста заинтересованного лица
Размер и основание скидки	Предоставление скидки на стоимость билета в спа-центр
Номер свидетельства, дающего право на скидку	Во избежание неправомерного использования льготного билета
Платежная информация [имя и адрес (страна, почтовый индекс, населённый пункт, название и тип общественного места, номер дома, этаж/дверь)]	При покупке любого продукта премиум-класса с целью выставления счета
Данные билета в QR-коде на билете (визуально отображаются данные на билете в зависимости от его состояния на момент покупки)	Предотвращение злоупотребления электронным билетом для посещения спа-центра

Длительность обработки данных:

в случае покупки билета до тех пор, пока услуга не будет использована.
дополнительные данные, необходимые для покупки абонемента, закрепляются за профилем пользователя и обрабатываются до тех пор, пока они не будут удалены пользователем (заинтересованным лицом) или до тех пор, пока профиль не будет удален.

Адресат передачи данных: ОТП Мобил Сольгатато Кфт. [OTP Mobil Szolgáltató Kft.] (штаб-квартира: H-1143 Будапешт, Хунгариа крт. 17-19. [H-1143 Budapest, Hungária krt. 17-19.], регистрационный номер компании: 01-09-174466, контактная информация: ugyfelszolgalat@simple.hu).

В связи с выставлением счетов:

КБОСС.ху Кфт [KBOSS.hu Kft]

H-1031 Будапешт, Захонь утца 7/Д. [H-1031 Budapest, Záhony utca 7/D.]

Идентификационный номер налогоплательщика: 134217-2-41

Регистрационный номер компании: 01-09-303201

В связи с покупкой входных билетов:

АССА АБЛОЙ Опенинг Солутионс Хунгары Корлатольт Фелелёшшегю Таршашаг [ASSA ABLOY Opening Solutions Hungary Korlátolt Felelősségű Társaság]

Почтовый адрес: H-8000 Секешфехервар, Паланкаи у. 5. [H-8000 Székesfehérvár, Palánkai u. 5.]

Номер телефона: (+36) 22 510 170

Электронная почта: sales.seawing@assaabloy.com

Регистрационный номер компании: 07-09-001285

Идентификационный номер налогоплательщика: 10271731-2-07

Цель передачи данных: оплата стоимости билета, приобретенного в электронном виде, надежная аутентификация клиентов, анализ мошенничества и информирование клиентов. Правовое основание передачи данных: выполнение договора, заключенного между Контролером данных и заинтересованным лицом, согласно статье 6 (1) пункта b) GDPR и выполнение обязательства по предоставлению данных, предусмотренного Директивой ПСД2 [PSD2] и Регламентом СЦА [SCA].

3.2. Проверка права пользования спа-услугой

Заинтересованное лицо: все физические лица, которые входят в спа-центр с билетом, купленным у Контролера данных, и их право на скидку, включая проверку права на использование скидки, будет проверено уполномоченным лицом(ами), действующим от имени Контролера данных.

Цель обработки данных: проверка услуги по сниженной цене. Во время проверки личности контролер билетов (информационная стойка), действующий от имени Контролера данных, проверяет билет в спа-центр и считывает QR-код на билете с помощью устройства, предназначенного для этой цели, на основании чего получает информацию о данных покупки билета (срок действия, состояние, скидка и т.д.) Кроме того, если гость приобрел билет со скидкой, контролер также запрашивает предъявление документа, удостоверяющего личность.

Персональные данные, обрабатываемые для достижения цели обработки данных: данные билета и личные данные гостя (имя, дата рождения и, если используется скидка, обоснование скидки) и имя, дата рождения, идентификационный номер и изображение (фотография) на документе.

Длительность обработки данных: пока билет не будет проверен.

3.4. Обработка данных для целей, отличных от первоначальных целей, указанных в пункте 3.1. и 3.2. (создание статистических данных)

Цель обработки данных: из персональных данных, обрабатываемых Контролером данных, в связи с продажей билетов и/или проверкой билетов, могут быть созданы статистические данные – в зависимости от различных аспектов – которые могут служить основой для решений, связанных с деятельностью Контролера данных по продажам и предоставлению услуг, или же для характеристики последствий предыдущих решений. Кроме того, учитывая тот факт, что данное Учреждение является организацией, выполняющей общественную задачу, если Контролер данных получает запрос на данные, представляющие общественный интерес, выполнение которого может быть достигнуто путем создания статистики из персональных данных, обрабатываемых в связи с продажей билетов и/или контролем билетов, с учетом применимых правил Закона об информации [Infotv.] он также может использовать персональные данные для этой цели. Статистические данные подготавливаются во всех случаях таким образом, чтобы впоследствии не можно было идентифицировать субъекта.

Правовое основание обработки данных:

в соответствии со статьей 6 (1) пункта f) GDPR, законный интерес Контролера данных проявляется в том, что он имеет законный интерес в подготовке статистических данных на основе персональных данных, обрабатываемых во время продажи билетов и деятельности по контролю билетов, что необходимо для реализации, облегчения и создания основ для принятия решений, связанных с развитием контрольной деятельности и оказанием услуг.
если подготовка статистических данных необходима, поскольку они также классифицируются как данные общественного интереса и необходимы в связи с выполнением запроса данных Закона об информации [Infotv.], правовой основой для обработки данных является выполнение публичной обязанности контролера данных в соответствии со статьей 6 (1) пункт e) GDPR.

3.5. Выставление счета о покупке билетов и его хранение

Заинтересованное лицо: все физические лица, которые покупают любой продукт через любой интерфейс, используемый Контролером данных для онлайн-продажи билетов.

Цель обработки данных: выставление и юридическое сохранение счета на оплату вознаграждения за услугу, предоставленную Контролером данных, и, при необходимости, корректировочного счета/документа, на который распространяется такая же оплата и его сохранение согласно закону.

Правовое основание обработки данных: выполнение юридического обязательства в соответствии со статьей 6 (1) пункта c) GDPR, которое изложено в § 169–170 закона CXXVII 2007 года об общем налоге с продаж.

Персональные данные, обрабатываемые для достижения целей обработки данных: имя и адрес для выставления счета (страна, почтовый индекс, населённый пункт, название и тип общественного места, номер дома, этаж/дверь), детали счета.

Длительность обработки данных: на основании § 169 (2) закона C. 2000 года о бухгалтерском учете, 8 лет с момента публикации отчета за данный год, а также в случае надзорного органа – указанный в § 5 –, действующего на основании статьи 58 (1) закона LIII. 2017 года (далее: ПМТ.) о предотвращении отмывания денег и финансирование терроризма, подразделения финансовой информации, следственного органа, прокуратуры и суда на срок, указанный в запросе, орган должен хранить его в течение десяти лет с момента прекращения отношений или завершения сделки.

Адресат передачи данных: налоговый орган Венгрии (Национальная Налоговая и Таможенная Администрация). Цель передачи данных: выполнение обязательств по предоставлению данных в соответствии с законом. Правовое основание передачи данных: выполнение юридического обязательства в соответствии со статьей 6 (1) пункта c) GDPR, которое изложено в законе CXXVII. 2007 года и в постановлении NGM 23/2014. (VI. 30.).

3.6. Работа системы мониторинга в онлайн-продаже билетов

Заинтересованное лицо: все физические лица, которые осуществляют любые действия в интерфейсе Контролера данных, используемого для онлайн-продажи билетов.

Цель обработки данных: запись данных о продажах и выставлении счетов, созданных во время продажи Контролером данных, в файле журнала ошибок, которые могут возникнуть, с целью мониторинга и анализа, а также устранения обнаруженных ошибок, а также в случае предъявления претензии заинтересованной особой по любой причине – оценка претензии.

Правовое основание обработки данных: в соответствии со статьей 6 (1) пункта f) GDPR, это является законным интересом Контролера данных.

Объем обрабатываемых персональных данных: электронная почта, используема при входе в систему, электронная почта для уведомлений при покупках без регистрации, действия, выполняемые в системе онлайн-покупки билетов, и их время покупки, IP-адрес подключенного устройства.

Длительность обработки данных: в случае безупречной работы Системы онлайн-покупки билетов или отсутствия комментариев клиентов относительно данной транзакции, данные автоматически удаляются в течение 15 дней с момента покупки. В случае получения жалобы или комментария относительно ошибки или конкретной транзакции, система мониторинга сохраняет соответствующие данные мониторинга до тех пор, пока комментарий или жалоба не будут расследованы или ошибка не будет исправлена.

3.7. Обработка данных в связи с онлайн-продажей билетов

Следующая обработка данных тесно связана с онлайн-продажами билетов, осуществляемыми Контролером данных, и с услугами Контролера, в отношении которых он самостоятельно предоставляет информацию в соответствии со статьей 13 GDPR.

Права заинтересованных лиц и способы их реализации

Заинтересованное лицо в первую очередь может реализовать свои права как субъект данных в запросе, поданном через контактные данные Контролера, указанные в пункте 1. Мы сообщаем субъекту, что он может подать свой запрос на реализацию своих прав по любому контакту Контролера данных, но мы рекомендуем ему сделать это через одну из контактных данных, указанных в пункте 1.

Контролер данных обязан предоставить информацию в письменном виде, в понятной форме, как можно скорее после подачи запроса, но не позднее одного месяца. При необходимости, учитывая сложность заявки и количество заявок, данный срок может быть продлен еще на два месяца. О продлении срока Контроллер данных должен проинформировать субъекта с указанием причин задержки в течение одного месяца с момента получения запроса. Контролер в первую очередь выполняет запрос субъекта в форме, запрошенной субъектом. Если субъект данных подал запрос в электронном виде, Контролер предоставит ответ в электронном виде, при отсутствии иного запроса от субъекта.

Контролер данных обеспечивает реализацию прав субъекта данных бесплатно. Если запрос заинтересованного лица явно необоснован или чрезмерен, особенно из-за его повторяющегося характера, Контролер данных может, принимая во внимание административные расходы, связанные с предоставлением запрошенной информации или принятием запрошенной меры, взимать разумную плату или отказать в принятии меры в соответствии с запросом. Контролер данных может отказать в выполнении запроса, если он не может идентифицировать субъекта данных, вне всякого сомнения.

4.1. Право доступа и право запроса копии

Заинтересованное лицо имеет право получить отзыв от Контролера данных о том, обрабатываются ли его персональные данные. На основании права доступа заинтересованное лицо имеет право на получение доступа к персональным данным, связанным с текущей обработкой данных, а также к информации о цели обработки данных, категориях персональных данных, на которые влияет обработка, продолжительность обработки, кто получает или получил и с какой целью персональные данные лица, а также имеет право подать жалобу в надзорный орган.

По запросу заинтересованного лица Контролер данных предоставит копию персональных данных, которые являются предметом обработки, - в случае, если это не ущемляет права и свободы других лиц. Контролер данных может установить возмещение за дополнительные копии, запрошенные заинтересованной особой.

4.2. Право на поправку, исправление и дополнение данных

Заинтересованное лицо может запросить изменение (исправление) неточных персональных данных, касающихся его, а также дополнение неполных персональных данных, используя контактную информацию, указанную в пункте 1. Контролер данных должен уведомить заинтересованного лица об исправлении.

Если заинтересованное лицо имеет учетную запись пользователя в системах онлайн-продажи билетов Контролера, он имеет возможность самостоятельно изменять персональные данные, записанные в учетной записи пользователя.

4.3. Право на отзыв согласия

Заинтересованное лицо может отозвать свое согласие в соответствии со статьей 6 (1) пункт a) GDPR по любому контакту Контролера данных без каких-либо ограничений по времени, что не влияет на законность обработки данных, осуществляемой на основании согласия до отзыва. Если заинтересованное лицо отзовет свое согласие на обработку данных, Контролер данных незамедлительно должен удалить данные субъекта и проинформировать его о принятых мерах.

Заинтересованное лицо может отозвать свое согласие, указанного в пункте 3.1. о процессе обработки данных [регистрации на платформах продажи онлайн-билетов] в любое время, удалив свой профиль пользователя.

4.4. Право на удаление данных («право на забвение»)

Заинтересованное лицо может запросить удаление своих личных данных, если цель обработки данных прекратилась, если субъект отозвал свое согласие, если обработка данных является незаконным, если указанный срок хранения данных истек, или если так было распряжено судом или органом власти. Контролер данных должен уведомить заинтересованного лица об удалении личных данных. Контролер данных не должен удалить персональные данные, если те необходимы для выполнения юридических обязательств Контролера, а также для предъявления, исполнения и защиты юридических претензий.

Сообщаем заинтересованному лицу, что электронный адрес и регистрационные данные, предоставленные для неактивированной регистрации, будут автоматически удалены через 72 часа после отправки электронного письма с активацией.

4.5. Ограничение обработки данных

Заинтересованное лицо может потребовать, чтобы обработка его персональных данных была ограничена Контролером данных по любому контакту Контролера, если:

обработка оспаривает точность персональных данных (в этом случае ограничение распространяется на период, пока Контролер данных не проверит точность данных);
обработка данных является незаконным, но субъект возражает против удаления данных и требует ограничения их использования;
цель обработки данных прекратилась, но они нужны субъекту данных для представления, исполнения и защиты юридических претензий.

Ограничение обработки данных действует до тех пор, пока это необходимо по причине, указанной заинтересованным лицом. При этом мы занимаемся персональными данными – за исключением хранения – только с согласия заинтересованного лица; или для подачи, утверждения или защиты судебных исков; или для защиты прав другого физического или юридического лица; или ради важнейших общественных интересов. Контролер данных заранее информирует заинтересованного лица об отмене ограничения по его запросу.

4.6. Право на переносимость данных

Заинтересованное лицо имеет право получать предоставленные ему персональные данные в сегментированном, широко используемом, машиночитаемом формате, а также имеет право передавать эти данные другому контролеру данных без препятствий со стороны контролера данных, кем хранились и кому предоставлялись персональные данные прежде, если обработка данных основано на договоре в соответствии со статьей 6 (1) пункт а) или статьей 6 (1) пункт b) и обработка происходит в автоматизированном порядке.

4.7. Право на протест

Заинтересованное лицо имеет право в любое время возразить против обработки его персональных данных на основании пунктов e) и f) статьи 6 (1) GDPR по разным причинам, связанным с его собственной ситуацией. Это право может быть осуществлено в случае примеров обработки данных, указанных в пункте разделов 3.4. и 3.6. данной информации об обработке данных. В этом случае контролер данных не будет обрабатывать персональные данные дальше, за исключением случаев, когда обработка данных оправдана вескими законными причинами, которые имеют приоритет над интересами, правами и свободами субъекта или которые связаны с представлением, исполнением или защитой юридических претензий. Если заинтересованное лицо возражает против обработки данных, содержащихся в этом информационном листе, Контролер данных должен индивидуально исследовать осуществимость запроса.

4.8. Средства правовой защиты

4.8.1. Право связаться с Контролером данных

Если у заинтересованного лица есть комментарии или возражения относительно обработки его персональных данных или он желает запросить информацию об обработке своих данных, он может сделать это по адресу adatvedelem@spaheviz.hu.

4.8.2. Право на обжалование

В случае если заинтересованное лицо не согласен с обработкой данных, осуществляемой Контролером данных, или считает, что тот нарушил одно из его прав, он может подать жалобу в Национальный центр защиты персональных данных и свободы информации по любому из следующих контактов:

Имя:	Национальный центр защиты персональных данных и свободы информации
Штаб-квартира:	H-1055 Будапешт, Фальк Микша утца 9-11. [H-1055 Budapest, Falk Miksa utca 9-11.]
Почтовый адрес:	H-1363 Будапешт, Пф. 9. [H-1363 Budapest, Pf. 9.]
Номер телефона:	+36 (1) 391-1400 / +36 (30) 683-5969 / +36 (30) 549-6838
Факс:	+36 (1) 391-1410
Электронная почта:	ugyfelszolgalat@naih.hu
Вебсайт:	www.naih.hu

4.8.3. Право на судебную защиту

В случае если заинтересованное лицо не согласен с обработкой данных, осуществляемой Контролером данных, или считает, что тот нарушил одно из его прав, он может напрямую обратиться за правовой защитой, причем этот запрос должен быть подан в суд по местонахождению Контролера данных или по месту жительства или проживания заинтересованного лица. Суд действует по делу вне очередности.

Применяемые и ссылаемые законодательства при обработке данных

Контролер данных в ходе процессов обработки, указанных в пункте 4 данного информационного листа, применяет следующее законодательство:

Закон C. 2000 года о бухгалтерском учете (Закон о бухгалтерском учете);
Закон V. 2013 года о Гражданском кодексе (ПТК) [Ptk.];
Закон CXXVII. 2007 года об общем налоге с продаж (налог на добавленную стоимость);
Закон LIII. 2017 года о предотвращении отмывания денег и финансирования терроризма (Пмт.);
Указ НГМ [NGM] (VI. 30.) 23/2014 об идентификации налоговой администрацией счета и квитанции, а также о контроле счетов налоговыми органами, хранящихся в электронной форме;
Директива Европейского Парламента и Совета (ЕС) 2015/2366 (25 ноября 2015 г.) о платежных услугах на внутреннем рынке и Директивы 2002/65/EC, 2009/110/EC и 2013/36/EU и 1093/ 2010/ЕС, вносящий поправки в Регламент и отменяющий Директиву 2007/64/EC (Директива ПСД2 [PSD2]);

Делегированный регламент Комиссии (ЕС) 2018/389, дополняющий Директиву Европейского парламента и Совета (ЕС) 2015/2366 в отношении нормативных технических стандартов для строгой аутентификации клиентов и общих и безопасных стандартов открытой связи (Регламент СЦА [SCA]).