Adatvedelmi tajekoztato

1. Adatkezelo

A szemelyes adatok Adatkezeloje:

Vezpa di Paolo Vezzola
Szekhely: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
HEASZ: 04449070988
Adoazonosito: VZZPLA84C10D284C
E-mail: [email protected]
PEC: [email protected]

2. Alkalmazasi kor

Jelen adatvedelmi tajekoztato a Vezpa PMS platformra (web, asztali es mobil) valamint a honlap azon oldalaira vonatkozik, ahol ez a tajekoztato kozzeteve van.

3. Gyujtott szemelyes adatok

3.1 A szolgaltatas felhasznaloinak adatai (szallashelyuzemeltetok)

Amikor szallashelyuzemeltetokent regisztral a Vezpa-ra, az alabbi adatokat gyujtjuk:

Szemelyes adatok: vezeteknev, keresztnev, e-mail, telefonszam
Szallashely adatai: nev, cim, tipus, adoszam
Szamlazasi adatok: szamlazasi cim, adoazonosito/HEASZ, egyedi kod/PEC
Belepesi adatok: e-mail es jelszo (titkositva)
Fizetesi adatok: kulso PCI-DSS tanusitott szolgaltatok altal kezelve (nem taroljuk kozvetlenul a bankkartyaadatokat)

3.2 A szallashelyek vendegeinek adatai

A szallashelyuzemeltetok neveben (a GDPR 28. cikke szerinti Adatfeldolgozokent, a DPA altal szabalyozva) a rendszer az alabbi adatokat gyujti:

Azonosito adatok: vezeteknev, keresztnev, szuletesi hely es ido, allampolgarsag, nem
Szemelyazonosito okmanyok: tipus, szam, kiallitas helye es datuma, az okmany szkennelt kepe vagy fenykepe. Ezeket a kepeket automatikus OCR-rel dolgozhatjuk fel a szoveges adatok kinyerese celjabol, biometrikus adatok szarmaztatasa nelkul.
Kapcsolati adatok: e-mail, telefonszam
Foglalasi adatok: tartozkodas datumai, vendegek szama, arak, ellatas
Fizetesi adatok: csak ha a fizetes a Vezpa Booking Engine-en vagy Stripe linken keresztul tortenik; a kartyaadatok soha nincsenek a Vezpa szerverein tarolva

            Szemelyazonosito okmanyok es kulonleges kategoriak (GDPR 9. cikk): a szemelyazonosito okmanyok tartalmazhatnak "kulonleges"-nek minosulo adatokat (pl. a szuletesi helybol kovetkeztetheto etnikai szarmazas). A Vezpa ezeket az adatokat kizarolag az uzemelteto hatosagokkal szembeni jogszabalyi kotelezettsegei teljesiteseshez feltetlenul szukseges mertekben kezeli, nem vegez profilalast rajtuk, es nem kozli oket a hatosagokon es a 7. szakaszban felsorolt Tovabbi adatfeldolgozokon kivul masoknak.
        

3.3 Navigacios adatok

IP-cim
Bongeszo es eszkoz tipusa
Latogatott oldalak es tartozkodasi ido
Operacios rendszer
Hivatkozo (forras)

3.4 Sutik

A szolgaltatas mukodesehez szukseges technikai sutiket hasznalunk. Tovabbi reszletekert lasd a Suti tajekoztato dokumentumot.

4. Az adatkezeles celja es jogalapja

4.1 A szallashelyuzemeltetok tekinteteben

Cel	Jogalap
PMS szolgaltatas nyujtasa	Szerzodes teljesitese (GDPR 6. cikk (1) b))
Szamlazas es adougyi kotelezettsegek	Jogi kotelezettseg (GDPR 6. cikk (1) c))
Ugyfeltamogatas	Szerzodes teljesitese (GDPR 6. cikk (1) b))
Biztonsag, csalasmegelozes, a szolgaltatas megbizhatosaga	Jogos erdek (GDPR 6. cikk (1) f))
Marketing kommunikaciok kuldese	Hozzajarulas (GDPR 6. cikk (1) a)) - csak engedely eseten

4.2 A szallashelyek vendegei tekinteteben

Fontos: A vendegek adatainak tekinteteben az Adatkezelo a szallashely. A Vezpa a szallashelyuzemelteto dokumentalt utasitasara jar el Adatfeldolgozokent, a Adatfeldolgozasi szerzodes (DPA) alapjan.

Bejelentkezes es vendegregisztracio: jogi kotelezettseg (olasz TULPS torveny 109. cikke, 159/2011 torvenyerejuu rendelet) Olaszorszagra; egyenerteku szabalyozas a tamogatott tobbi allamra
Kotelezo kormanyzati kozlemenyek: AlloggiatiWeb (IT-Rendorseg), ISTAT (IT), PayTourist (IT-Onkormanyzatok), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — mindegyik csak akkor aktivalodik, ha a szallashely a megfelelo allamban helyezkedik el
Foglalas es tartozkodas kezelese: szerzodes teljesitese (6. cikk (1) b))
OTA-k es channel manager fele torteno kozlemenyek: a foglalasi szerzodes teljesitese (6. cikk (1) b)), csak a szallashely altal aktivalt csatornak

5. Az adatkezeles modja

A szemelyes adatokat elektronikus eszkozokkel, a celokkal szorosan osszefuggo logikaval es megfelelo biztonsagi intezkedesek alkalmazasaval kezeljuk (GDPR 32. cikk):

Atviteli titkositas: minden adat HTTPS/TLS 1.2+ protokollon keresztul kerul tovabbitasra
Jelszavak: biztonsagos hash algoritmusokkal (PBKDF2 Django alapertelmezett) tarolva
Tokenek: JWT access 15 perc, refresh rotacioval es feketelistaval, opcionalis 2FA TOTP
Hozzaferes-szabalyozas: szerepkor alapu jogosultsagok (igazgato/asszisztens/szobaasszony/megfigyelo), a minimalis jogosultsag elve
Biztonsagi mentesek: rendszeresen vegezve az infrastruktura szolgaltato (DigitalOcean) altal, EU-ban (Frankfurt)
Hosting: DigitalOcean szerverek az Europai Unioban (FRA1 regio), DigitalOcean Spaces tarolo Frankfurtban
Felugyelet: hozzaferesi es alkalmazas naplok, automatizalt anomalia-detektalas, bot es szkenner blokkolas

6. Adatok megorzese

A szemelyes adatokat csak a feltetlenul szukseges ideig taroljuk:

Uzemeltetok adatai (ugyfelek): a szerzodes idotartama + 10 ev adougyi es szamviteli kotelezettsegekhez
Szamlazasi adatok: 10 ev (olasz Ptk 2220. cikk, adougyi kotelezettseg)
Vendegek adatai (a Vezpa altal Adatfeldolgozokent kezelve):
- AlloggiatiWeb kozlemenyek: a megorzesi idoszakot az Adatkezelo (szallashely) hatarozza meg az alkalmazando szabalyok szerint
- ISTAT kozlemenyek: az ISTAT szabalyozas szerint
- Egyeb foglalasi adatok: az Adatkezelo utasitasai szerint a DPA-ban (tipikusan 10 ev adougyi celokbol)
- Az Adatkezelovel kotott szerzodes megszunesekor a Vezpa 30 napon belul torli vagy visszaadja a vendegek adatait, az onallo megorzesi kotelezettsegek (pl. szamlazas) kivetelevel
Hozzaferesi es alkalmazas naplok: 24 honapig biztonsagi es jogvedelmi celokra (jogos erdek)
Hitelesitesi tokenek es megbizhato eszkozok: 90 nap az utolso hasznalattol
Marketing adatok (hirlevel, kampanyok): a hozzajarulas visszavonasaig, ketevente feluelvizsgalva
Tamogatasi tickettek: a szerzodes idotartama + 2 ev

7. Az adatok tovabbitasa es terjesztese

7.1 Az adatok cimzettjei

Az On adatai az alabbi kategoriaju cimzetteknek kozolhetok. A Tovabbi adatfeldolgozok naprakesz nevsora kozzeteve a vezpa.it/subprocessors oldalon.

Hatosagok (onallo Adatkezelok, jogi kotelezettseg)

Olaszorszag: Rendorseg / AlloggiatiWeb, ISTAT, onkormanyzatok (PayTourist-on keresztul idegenforgalmi adohoz), Adohivatal
Ausztria: Feratel/Meldeamt
Spanyolorszag: SES.HOSPEDAJES (Ministerio del Interior)
Magyarorszag: NTAK
Horvatorszag: eVisitor
Portugalia: SEF
Cseh Koztarsasag: UbyPort
Szlovenia: eTurizem / AJPES

Minden kormanyzati csatlakozo csak akkor aktivalodik, ha a szallashely a megfelelo allamban talalhato. A hitelesito adatokat maga a szallashely konfiguralja.

Tovabbi adatfeldolgozok (GDPR 28. cikk (4))

Infrastruktura: DigitalOcean LLC (Frankfurti szerver, adatbazis, Spaces/CDN, Redis) — USA/EU DPF-fel es SCC-vel
Fizetesek: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) — PCI-DSS, DPF tanusitott
Tranzakcios e-mail es PEC: IONOS SE (DE)
Mobil push ertesitesek: Google LLC — Firebase Cloud Messaging (USA, DPF tanusitott)
OTA Channel Manager: STAAH Limited (Uj-Zeland) — EU-megfelelesi hatarozattal rendelkezo orszag (2012)
Alkalmazason beluli vasarlas es elofizetes:
- Apple Distribution International Ltd (IE) — EU jogalany; az Apple Inc. (USA) fele tortent esetleges adattovabbitasokat SCC 2021/914 szabalyozza (az Apple nem csatlakozik a DPF-hez)
- Google Ireland Ltd / Google LLC (USA, aktiv DPF tanusitvany)
- Microsoft Ireland / Microsoft Corp. (USA, aktiv DPF tanusitvany)
Okos zarak (opcionalis, ha aktivalva): Tuya Smart (CN) — EU SCC es kiegeszito intezkedesek
Szakmai tanacsadok: konyvelok, jogaszok, IT tanacsadok, Adatfeldolgozokent vagy szukseg szerint onallo Adatkezelokent kijelolve

OTA-k (onallo Adatkezelok az utassal valo kapcsolatban)

Booking.com, Airbnb, Expedia, VRBO, Agoda es kb. 55 masik STAAH-n keresztul csatlakoztatott csatorna: a foglalasi adatok a szallashely es az OTA kozotti szerzodes alapjan kerulnek atadasra

7.2 EU-n kivuli adattovabbitas

Egyes kezelesi muveletek szemelyes adatok Europai Union kivuli tovabbitasat is magukban foglaljak. Minden esetben a GDPR V. fejezete szerinti garanciakat alkalmazzuk:

USA — EU-U.S. Data Privacy Framework ((EU) 2023/1795 hatarozat): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktiv tanusitvanyok a Framework-ben (ellenorzes: dataprivacyframework.gov/list)
USA — Altalanos szerzodesi feltetelek (SCC) 2021/914: Apple Inc. — az Apple nem csatlakozik a DPF-hez; az EU felhasznalokra vonatkozo szerzodeses kapcsolat az Apple Distribution International Ltd-vel (Irorszag) all fenn, az Apple Inc. (USA) fele tortent esetleges adattovabbitasokat SCC es belso Apple mechanizmusok szabalyozzak
Uj-Zeland — Megfelelosegi hatarozat (EU hatarozat 2013/65): STAAH Limited
Kina (opcionalis) — Altalanos szerzodesi feltetelek (SCC) 2021/914 + kiegeszito intezkedesek: Tuya Smart, csak az okos zarakat aktivalo szallashelyek szamara
Minden aktiv DPF vagy megfeleloseg hianyaban torteno adattovabbitashoz a Vezpa EU SCC 2021/914-et alkalmaz, es ha alkalmazhato, dokumentalt Transfer Impact Assessment (TIA)-t keszit

7.3 Terjesztes

A szemelyes adatok nem kerulnek terjesztesre (hatarozatlan szemelyek reszere valo kozles), es nem kerulnek eladasra.

8. Az erintett jogai

A GDPR 15-22. cikkei ertelmeben On jogosult:

Hozzaferesi jog (15. cikk): megerosites kerni adatai meglete felol, es masolatot kerni
Helyesbitesi jog (16. cikk): pontatlan vagy hianyos adatok helyesbitese
Torlesi jog (17. cikk): az adatok torlesenek kerese (elfeledteteshez valo jog), ha az elofeltetelek fennallnak
Korlatozasi jog (18. cikk): az adatkezeles korlatozasa meghatarozott feltetelek mellett
Hordozhatosag (20. cikk): az adatok strukturalt formatumban valo megkapasa es masik Adatkezelonek tovabbitasa
Tiltakozashoz valo jog (21. cikk): az adatkezeles elleni tiltakozas jogos okokbol
Hozzajarulas visszavonasa: a marketinghez adott hozzajarulas barmikor visszavonhato

            Fontos megjegyzes: A vendegek adatai tekinteteben ezeket a jogokat a szallashelynel kell gyakorolni (amely az Adatkezelo), nem kozvetlenul a Vezpa fele. A Vezpa, mint Adatfeldolgozo, a GDPR 28. cikk (3) e) pontja szerint segiti az Adatkezelot a kerelmek teljesiteseben.
        

Marketing es hirlevel

A kereskedelmi kommunikaciokra valo feliratkozas kifejezett hozzajarulast igenyel ketto opt-in eljarassal (e-mail link megerosites). Minden kommunikacio tartalmaz azonnali leiratkozasi linket. Meglevo ugyfelek eseten a Vezpa hasonlo termekekrol es szolgaltatasokrol kuldhet kozlemenyeket az olasz 196/2003 torvenyerejuu rendelet 130. cikk (4) bekezdese ("soft opt-in") alapjan, mindig aktiv ellenzes lehetosegevel.

Hogyan gyakorolhatja jogait

Jogait az alabbi modon gyakorolhatja:

E-mail: [email protected]
PEC: [email protected]
Ajanlott kuldemeny a fenti cimre

A keresre 30 napon belul valaszolunk.

Panasz joga

Ha On ugy veli, hogy az adatai kezelese serti a GDPR-t, joga van panaszt tenni az olasz adatvedelmi hatosaghoz (Garante):

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
E-mail: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

A magyarorszagi felhasznalok a Nemzeti Adatvedelmi es Informacioszabadsag Hatosaghoz (NAIH, www.naih.hu) is fordulhatnak.

9. Kiskoruak

A Vezpa PMS szolgaltatas kizarolag 18 ev feletti szemelyeknek van szanva. Tudatosan nem gyujtunk kiskoruak adatait. Ha egy szulo vagy gondviselo ugy veli, hogy egy kiskoru szemelyes adatokat adott meg, azonnali torleshez lephet velunk kapcsolatba.

10. Az adatvedelmi tajekoztato modositasa

Ez az adatvedelmi tajekoztato idonkent modosulhat. Minden lenyeges modositast megfelelo elozetes ertesitessel kozlunk a kovetkezoek szerint:

Az uj verzio kozzetetele a honlapon
E-mail ertesites a regisztralt felhasznaloknak
Informacios banner a fiokban

Az utolso frissites datuma mindig a dokumentum tetejen van feltuntetve.