GDPR tajekoztato - Vezpa PMS

1. Bevezetes es alkalmazasi kor

Jelen tajekoztato leirja, hogyan kezeli a Vezpa di Paolo Vezzola (a tovabbiakban "Vezpa" vagy "Mi") a szemelyes adatokat a kovetkezokhez kepest:

EU 2016/679 rendelet (GDPR)
196/2003 torvenyerejuu rendelet (olasz adatvedelmi torveny) a 101/2018 torvenyerejuu rendelet altali modositasok szerint
Az olasz adatvedelmi hatosag (Garante) intezkedesei es iranymutatasai

1.1 Kire vonatkozik

Jelen tajekoztato a kovetkezokre vonatkozik:

Szallashelyuzemeltetok, akik a Vezpa-t hasznaljak (kozvetlen ugyfelek)
Vendegek, akik Vezpa-t hasznalo szallashelyeken tartozkodnak
Uzleti partnerek es beszallitok
Latogatok, akik a vezpa.it honlapot latogatjak

1.2 A Vezpa kettos szerepe

A Vezpa ket kulonbozo szerepben jar el:

ADATKEZELO A szallashelyuzemeltetok (ugyfelek) adatai tekinteteben
ADATFELDOLGOZO A vendegek adatai tekinteteben (az adatokat a szallashelyuzemelteto utasitasara kezeljuk)

2. Az Adatkezelo azonositasa es kapcsolati adatai

Adatkezelo:

Vezpa di Paolo Vezzola
Szekhely: Desenzano del Garda (BS), 25015, via San Zeno 67
HEASZ: 04449070988
Adoazonosito: VZZPLA84C10D284C
PEC: [email protected]
E-mail: [email protected]

3. Kezelt szemelyes adatok kategoriai

3.1 Uzemeltetok adatai (ugyfelek)

Kategoria	Adatok tipusa	Kotelezoseg
Azonosito adatok	Vezeteknev, keresztnev, szuletesi ido, adoazonosito	Kotelezo
Kapcsolati adatok	E-mail, telefon, cim	Kotelezo
Vallalati adatok	Cegnev, HEASZ, szallashely adatai	Kotelezo
Fizetesi adatok	IBAN, hitelkartya (Stripe-on keresztul)	Elofizeteshez kotelezo
Hasznalati adatok	Hozzaferesi naplok, IP, platformon vegzett tevekenysegek	Automatikus
Kommunikacios adatok	E-mail, tamogatasi chat, tickettek	Onkentes

3.2 Vendegek adatai (Adatfeldolgozokent)

Kategoria	Adatok tipusa	Jogalap (Adatkezelo reszerol)
Szemelyes adatok	Vezeteknev, keresztnev, szuletesi ido es hely, allampolgarsag, nem	Jogi kotelezettseg (olasz TULPS torveny 109. cikke es egyenerteku EU-s szabalyozasok)
Szemelyazonosito okmany	Tipus, szam, kiallitas datuma, kibocsato, szkennelt vagy fenykepezett kep	Jogi kotelezettseg
OCR kinyeres	Az okmanybol automatikusan kinyert szoveges adatok (nev, datum, szam)	Szerzodes teljesitese (6. cikk (1) b)) - csak az adatbeviteli folyamat megkonnyitesere
Kapcsolati adatok	E-mail, telefon, cim	Szerzodes teljesitese
Foglalasi adatok	Tartozkodasi datumok, vendegek szama, szoba, arak, ellatas	Szerzodes teljesitese
Fizetesi adatok	Tranzakciok, nyugtak (a kartyaadatokat a Stripe kezeli, a Vezpa-n nem kerulnek tarolasra)	Szerzodes teljesitese + adougyi kotelezettseg

Kulonleges adatok (GDPR 9. cikk):

A megszerzett szemelyazonosito okmanyok tartalmazhatnak a GDPR 9. cikke szerint "kulonlegesnek" minosulo elemeket, jellemzoen:

Szuletesi hely (amelybol etnikai szarmazas kovetkeztetheto)
Az arc fenykepe (nem hasznalva automatizalt biometrikus felismeresre)

Az adatkezeles jogszeruusege: 9. cikk (2) b) (munkajogbol, szocialis biztonsagbol es szocialis vedelembol eredoo kotelezettsegek teljesitese), 9. cikk (2) g) (jelentos kozerdek - kozbiztonsagi nyilvantartasok) es 9. cikk (2) f) (jogok ervenyesitese). A celok a hatosagokkal szemben torveny altal eloirt kotelezettsegekre korlatozodnak.

Tovabbi intezkedesek: hozzaferes csak a jogosult szerepkorokre (igazgato, asszisztens), nincs profilalas ezeken az adatokon, nincs kozles harmadik feleknek a cimzett hatosagokon kivul.

A Vezpa szandekosan nem gyujt mas kulonleges adatokat (politikai/vallasi velemenyek, egeszsegi adatok, genetikai adatok, szexualis iranyultsag). Ha ilyen adatokat a felhasznalo tevedesbol bevisz, azokat azonnal el kell tavolitani.

4. Az adatkezeles celja es jogalapja

4.1 Uzemeltetok tekinteteben (ugyfelek)

Cel	Jogalap (GDPR 6. cikk)	Megorzes
PMS szolgaltatas nyujtasa	6. cikk (1) b) - Szerzodes teljesitese	Szerzodes idotartama + 10 ev
Szamlazas es szamvitel	6. cikk (1) c) - Jogi kotelezettseg	10 ev (adougyi kotelezettseg)
Ugyfeltamogatas	6. cikk (1) b) - Szerzodes teljesitese	Szerzodes idotartama + 2 ev
Biztonsag es csalasmegelozes	6. cikk (1) f) - Jogos erdek	5 ev
Szolgaltatas fejlesztese	6. cikk (1) f) - Jogos erdek	2 ev (anonim aggregalt adatok)
Kozvetlen marketing	6. cikk (1) a) - Hozzajarulas	A hozzajarulas visszavonasaig
Jogok birosag elotti vedelme	6. cikk (1) f) - Jogos erdek	10 ev

4.2 Vendegek tekinteteben (az Uzemelteto utasitasara)

Cel	Jogalap	Megorzes
Vendegregisztracio es Rendorsegi kozlemenyek	6. cikk (1) c) - Jogi kotelezettseg (olasz TULPS torveny 109. cikke, 159/2011 torvenyerejuu rendelet)	Minimum 2 ev
ISTAT kozlemenyek	6. cikk (1) c) - Jogi kotelezettseg	ISTAT szabalyozas szerint
Idegenforgalmi ado (Paytourist)	6. cikk (1) c) - Jogi kotelezettseg	Onkormanyzati szabalyozas szerint
Foglalas es tartozkodas kezelese	6. cikk (1) b) - Szerzodes teljesitese	10 ev (adougyi celok)
Online check-in es kommunikaciok	6. cikk (1) b) - Szerzodes teljesitese	A tartozkodas idotartama + szallashely megorzesi idoszaka

Megjegyzes a hozzajarulasrol:

Sok tevekenysegre NEM szukseges a hozzajarulas, mivel a kovetkezokre alapozod:

Szerzodes teljesitese (On kerte a szolgaltatast)
Jogi kotelezettsegek (kotelezo kozlemenyek a hatosagok fele)
Jogos erdek (biztonsag, szolgaltatasfejlesztes)

Hozzajarulas CSAK marketinghez es profilalashoz szukseges.

5. Az adatkezeles modja

5.1 Az adatkezeles elvei (GDPR 5. cikk)

A Vezpa az alabbi elvek betartasaval kezel szemelyes adatokat:

Jogszeruseg, tisztesseges eljaras, atlathatosag: jogszeruuen kezeljuk az adatokat, es vilagosan tajekoztatjuk On
Celhoz kotottseg: az adatokat csak a bejelentett celokra hasznaljuk
Adatminimum: csak a feltetlenul szukseges adatokat gyujtjuk
Pontossag: naprakeszen es pontosan tartjuk az adatokat
Korlatozott megorzes: az adatokat csak a szukseges ideig taroljuk
Integritas es bizalmassag: megfelelo biztonsagi intezkedesekkel vedjuk az adatokat
Elszamoltathatosag (accountability): bizonyitani tudjuk a GDPR-nak valo megfelelest

5.2 Adatkezelesi eszkozok

Az adatokat a kovetkezo eszkozokkel kezeljuk:

Informatikai: szerverek, adatbazisok, web/mobil alkalmazasok
Papir alapu: csak a szukseges dokumentumokhoz (szerzodesek, szamlak)

5.3 Hozzaferes modja

Az adatok a kovetkezok szamara erhetok el:

A Vezpa arra jogosult szemelyzete (szemelyes belepesi adatokkal)
A "need to know" (minimalis jogosultsag) elven alapulo hozzaferes
Hozzaferesi naplok kovetesre es megfigyelesre kerulnek

6. Biztonsagi intezkedesek (GDPR 32. cikk)

6.1 Technikai intezkedesek

Atviteli titkositas: HTTPS/TLS 1.2+ minden kapcsolathoz, HSTS

At-rest titkositas: specifikus erzekeny adatok django-cryptography-val titkositva; kezelt kotetek es snapshot-ok az infrastruktura oldalan titkositva (DigitalOcean)

Jelszo hashing: PBKDF2 (Django alapertelmezett) veletlenszeruu salttal

Tokenek: JWT access token TTL 15 perc, refresh rotacioval es feketelistaval, TTL 180 nap

2FA TOTP elerheto fiokhoz (django-otp)

Bot blokkolo es rate limiting: dedikalt middleware, amely blokkolja a szkennereket es ismert tamadasi utvonalakat

Biztonsagi mentesek: az adatbazis snapshot-jai az infrastruktura szolgaltato altal kezelve, EU helyszinen

Szerepkor alapu hozzaferes-szabalyozas (RBAC): igazgato, asszisztens, szobaasszony, megfigyelo

Alkalmazasi naplozas: hozzaferesek, kritikus muuveletek es anomaliak kovetse

Fuggooseg frissitesek: sebezhetosegek megfigyelese Python es Flutter csomagokon

6.2 Szervezeti intezkedesek

Adminisztracios hozzaferesek az Adatkezelore korlatozva (a Vezpa jelenleg egyeni vallalkozas alkalmazottak nelkul); kulso munkatarsak irasban Adatfeldolgozonak vagy Jogosult szemelynek jelolhetok ki

Incident response eljaras dokumentalt (9. szakasz lent)

Privacy by Design and by Default a fejlesztesi fazisokba beintegralva

Adatkezelesi nyilvantartas (GDPR 30. cikk) fenntartva es frissitve

DPA alairva az osszes fo Tovabbi adatfeldolgozoval

Publikus Tovabbi adatfeldolgozok listaja frissitve a vezpa.it/subprocessors oldalon

6.3 Referencia szabvanyok

EU szerverek: elsodleges infrastruktura DigitalOcean Frankfurt regio (FRA1)
PCI-DSS: fizetesek Stripe-on keresztul, PCI-DSS Level 1 tanusitott (Vezpa nem tarolja a kartyaadatokat)
Tanusitott albeszallitok: ahol alkalmazhato (ISO 27001, SOC 2, DPF) — lasd Tovabbi adatfeldolgozok oldalat

7. Az adatok cimzettjei (GDPR 13. cikk (1) e))

7.1 Cimzettek kategoriai

Az adatok az alabbi kategoriaju cimzetteknek kozolhetok. A nevsor es naprakesz lista kozzeteve a vezpa.it/subprocessors oldalon.

Kategoria	Cimzettek	Szerep	Cel
IT hatosagok	AlloggiatiWeb (Rendorseg), ISTAT, onkormanyzatok (PayTourist), Adohivatal	Onallo Adatkezelok	Jogi kotelezettseg
EU hatosagok	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Onallo Adatkezelok	Az Adatkezelo (szallashely) jogi kotelezettsege
Hosting / Storage / CDN	DigitalOcean LLC (Frankfurt szerver, Spaces, Redis)	Adatfeldolgozo	IT infrastruktura
Fizetesek	Stripe Payments Europe Ltd / Stripe Inc.	Adatfeldolgozo	Fizetesek feldolgozasa
E-mail	IONOS SE (DE)	Adatfeldolgozo	Tranzakcios e-mailek es PEC kuldese
Mobil push ertesitesek	Google LLC (Firebase Cloud Messaging)	Adatfeldolgozo	Push ertesitesek kuldese mobil eszkozoknek
OTA Channel Manager	STAAH Limited (Uj-Zeland)	Adatfeldolgozo	Foglalasok szinkronizalasa OTA-kkal
Alkalmazason beluli vasarlas — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Onallo Adatkezelo (store)	App Store elofizetesek kezelese. Az Apple nem csatlakozik a DPF-hez: az USA fele tortent adattovabbitasokat SCC 2021/914 szabalyozza
Alkalmazason beluli vasarlas — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Onallo Adatkezelok (store)	Play Store / Microsoft Store elofizetesek kezelese
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda es kb. 55 masik csatorna	Onallo Adatkezelok	Foglalasok kezelese az utas fele
Okos zarak (opcionalis)	Tuya Smart (CN)	Adatfeldolgozo	Domotikus hozzaferes kezelese, csak a szallashely altal aktivalva
Szakemberek	Konyvelok, jogaszok, IT tanacsadok	Adatfeldolgozok / Onallo Adatkezelok	Szakmai tanacsadas, csak szukseg eseten

7.2 Tovabbi adatfeldolgozok listaja (GDPR 28. cikk (4))

A naprakesz lista kozzeteve es mindig elerheto a vezpa.it/subprocessors oldalon. Valtozasok (uj Tovabbi adatfeldolgozok, cserelek) az Adatkezelokkel (szallashelyekkel) legalabb 30 napos elozetes ertesitessel kerulnek kozlesre, hogy lehetseges legyen a tiltakozas (GDPR 28. cikk (2)).

7.3 EU-n kivuli adattovabbitas

Az adattovabbitas jogalapja (GDPR V. fejezet):

USA — EU-U.S. Data Privacy Framework ((EU) 2023/1795 hatarozat): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — aktiv tanusitvanyok a DPF-ben (ellenorzes: dataprivacyframework.gov/list)
USA — Altalanos szerzodesi feltetelek (SCC) 2021/914: az Apple Inc. nem csatlakozik a DPF-hez; az EU felhasznalokra vonatkozo szerzodeses kapcsolat az Apple Distribution International Ltd-vel (Irorszag) all fenn, az Apple-csoporton belul az USA fele tortent esetleges adattovabbitasokat SCC es belso megfelelesi mechanizmusok szabalyozzak
Uj-Zeland — Megfelelosegi hatarozat (2013/65/EU hatarozat): STAAH Limited
Kina (opcionalis): Tuya Smart — Altalanos szerzodesi feltetelek (SCC) 2021/914 + kiegeszito intezkedesek (minimalizacio es alanevesites). Adattovabbitas csak az okos zarakat aktivalo szallashelyek szamara.

Minden EU-n kivuli Tovabbi adatfeldolgozo eseten dokumentalt az alkalmazando adattovabbitasi mechanizmus. Az SCC-k es a Transfer Impact Assessment-ek az Adatkezelo szamara kerelemre elerhetok.

8. Az erintett jogai (GDPR 15-22. cikk)

8.1 Gyakorolhato jogok

Jog	GDPR cikk	Leiras
Hozzaferes	15. cikk	Megerosites kerni adatai meglete felol es masolatot kerni
Helyesbites	16. cikk	Pontatlan adatok helyesbitese vagy kiegeszitese
Torles ("elfeledtetes")	17. cikk	Adatok torlesenek kerese (jogi kotelezettsegek kivetelevel)
Korlatozas	18. cikk	Az adatkezeles korlatozasa meghatarozott feltetelek mellett
Hordozhatosag	20. cikk	Az adatok strukturalt formatumban valo megkapasa (CSV, JSON) es masik Adatkezelonek tovabbitasa
Tiltakozas	21. cikk	Tiltakozas a jogos erdeken alapulo adatkezeles ellen
Hozzajarulas visszavonasa	7. cikk (3)	A marketinghez adott hozzajarulas barmikor visszavonhato
Panasz	77. cikk	Panasz tetele az olasz adatvedelmi hatosagnak (Garante)
Automatizalt profilalas elleni jog	22. cikk	Ne legyen kizarolag automatizalt adatkezeleen alapulo dontesek targya

8.2 Hogyan gyakorolhatja jogait

Jogait a kovetkezo modokon gyakorolhatja:

E-mail: [email protected]
PEC: [email protected]
Ajanlott kuldemeny: Vezpa di Paolo Vezzola, Desenzano del Garda via San Zeno 67
Ugyfelzona: "Adatvedelem es adatok" szakasz az iranyitopulton (bizonyos jogokhoz)

8.3 Valaszidok

A Vezpa a kerelmekre 30 napon belul valaszol a fogadastol (osszetett esetekben 60 nap mertekben meghosszabbithato, indokolt kozlessel).

8.4 Jogok korlatozasai

Egyes jogok (torles, korlatozas) nem gyakorolhatok, ha:

Jogi kotelezettsegek vannak, amelyek megkovetelik az adatok megorzeset
Az adatok szuksegesek a jogok birosagi vedelmehez
Kozerdek van erevenyben

9. Adatvedelmi incidensek es ertesitesek (GDPR 33-34. cikk)

9.1 Eljaras adatvedelmi incidens eseten

Adatvedelmi incidens (szemelyes adatok megsertese) eseten a Vezpa:

Ertekeli az incidenst a felfedezestol szamitott 24 oran belul
Ertesiti az olasz adatvedelmi hatosagot (Garante) 72 oran belul (ha kockazat all fenn az erintettek jogaira)
Kozli az erintettekkel indokolatlan kesedelem nelkul (ha magas kockazat all fenn)
Dokumentalja az incidenst az adatvedelmi incidensek nyilvantartasaban
Korrektiv intezkedeseket fogad el a jovobeli incidensek megelozesere

9.2 Atlathatosag

Az Ont erinto adatvedelmi incidens eseten kozleest kap a kovetkezovekkel:

A megsertes termeszete
Erintett adatok
Lehetseges kovetkezmenyek
Megtett es ajanlott intezkedesek
Adatvedelmi iroda elerhetosegei

10. Adatvedelmi hatasvizsgalat (DPIA)

A Vezpa elinditotta az Adatvedelmi hatasvizsgalatot (DPIA) a GDPR 35. cikke szerint, tekintettel tobb EU-tagallam erintettjeinek szemelyazonosito okmanyainak rendszerszeruu kezelesere es az EU-n kivuli Tovabbi adatfeldolgozok fele torteno adattovabbitasokra.

A DPIA hataskore:

Vendegek szemelyes adatainak es szemelyazonosito okmanyainak kezelese tobb kormanyzati csatlakozon keresztul
OTA channel manager fele torteno adatfolyamok es EU-n kivuli adattovabbitasok
Automatikus OCR okmany kepeken
Integracio eszkoz oldali biometrikus hitelesitesi szolgaltatasokkal

A DPIA-t es az esetleges tovabbi kockazatcsokkento intezkedeseket rendszeresen frissitjuk. Magas maradek kockazat eseten a Vezpa a GDPR 36. cikke szerint elozetes konzultaciot vegez az olasz adatvedelmi hatosaggal (Garante). Az Adatkezelo (szallashely) a DPIA osszefoglalojat kerheti az [email protected] cimen.

11. Adatfeldolgozo (GDPR 28. cikk)

11.1 Megallapodasok ugyfelekkel (vendegadatokhoz)

Amikor a szallashely a Vezpa-t vendegadatok kezelesere hasznalja:

A szallashely az Adatkezelo
A Vezpa az Adatfeldolgozo
Adatfeldolgozasi szerzodes (DPA) kerul megkotesre a GDPR 28. cikke szerint

11.2 A DPA tartalma

Az Adatfeldolgozasi szerzodes a GDPR 28. cikk (3) szerint tartalmazza:

Az adatkezeles targya es idotartama
Az adatkezeles termeszete es celja
A szemelyes adatok tipusa es az erintettek kategoriai
Az Adatkezelo kotelezettsegei es jogai
Dokumentalt utasitasok az adatkezelesre vonatkozoan
Alkalmazott biztonsagi intezkedesek
Jogosult Tovabbi adatfeldolgozok csereenek elozetes ertesitessel
Segitsegnyujtas az Adatkezelonek az erintettek jogaihoz, DPIA-hoz es adatvedelmi incidensekhez
Torlesi vagy visszaszolgaltatasi kotelezettsegek a vegen

Az DPA a Szolgaltatasi feltetelek elvalaszthatatlan reszet kepezi, es a szallashely regisztraciojakor elfogadjak.

12. Privacy by Design es by Default (GDPR 25. cikk)

12.1 Privacy by Design

A Vezpa a tervezestol kezdve beepiti az adatvedelmet:

Natív titkositas minden kommunikacioban
Alanevesites ahol lehetseges
A gyujtott adatok minimalizalasa
Granularis hozzaferes-szabalyozas
Az osszes muuvelet teljes audit trail-je

12.2 Privacy by Default

Az alapertelmezett beallitasok maximalizaljak az adatvedelmet:

Csak a feltetlenul szukseges adatok kotelezooek
Automatikus megorzes a minimalis torvenyes idotartamra
Marketing opt-in (nem opt-out)
Az adatok lathatosaga a minimalisra korlatozva

13. Adatkezelesi tevekenysegek nyilvantartasa (GDPR 30. cikk)

A Vezpa teljes nyilvantartast tart az osszes adatkezelesi tevekenysegrol, amely tartalmazza:

Az Adatkezelo es Adatvedelmi tisztviselo neve es kapcsolati adatai
Az adatkezeles celja
Az erintettek es adatok kategoriainak leirasa
Cimzettek kategoriai
Harmadik orszagokba torteno adattovabbitasok
Tervezett megorzesi idok
Biztonsagi intezkedesek leirasa

A nyilvantartas az olasz adatvedelmi hatosag (Garante) kerelmere elerheto.

14. A tajekoztato modositasai

Ez a tajekoztato modosulhat:

Szabalyozas fejlodese
A szolgaltatas uj funkcioi
Szervezeti valtozasok

A lenyeges modositasokrol legalabb 30 nappal korabban e-mailben tajekoztatjuk.

Az utolso frissites datuma mindig a dokumentum tetejen van feltuntetve.