đź“Ś Jogi elsĹ‘bbsĂ©g: ez a dokumentum az olasz eredeti udvariassági fordĂtása. A fordĂtás Ă©s az olasz változat közötti eltĂ©rĂ©s esetĂ©n
az olasz változat irányadó mint jogilag kötelező referencia. Olasz eredeti itt elérhető:
https://vezpa.it/dpa/.
A dokumentum celja: jelen Adatfeldolgozasi szerzodes (
DPA) szabalyozza a Vezpa platformot hasznalo szallashelyek
vendegeinek szemelyes adatainak kezeleset. A szallashely (
Adatkezelo) megbizza a Vezpat (
Adatfeldolgozo) ezen adatok feldolgozasaval. A DPA a
Szolgaltatasi feltetelek szerves reszet kepezi, es a szallashely regisztracioja soran kerul elfogadasra.
Akire vonatkozik: ez a DPA minden alkalommal hatalyba lep, amikor a szallashely a Vezpat hasznalja a szallashelytol elkulonulo szemelyek szemelyes adatainak feldolgozasara (jellemzoen: vendegek, azok kiseroi, foglalasi kapcsolattartok).
Nem alkalmazando a szallashely szakmai felhasznaloinak adatkezelesere, amely tekinteteben a Vezpa onallo Adatkezelokent jar el (lasd
Adatvedelmi tajekoztato).
1. Felek
| Adatkezelo ("Adatkezelo") |
A Vezpa elofizetest megkoto szallashely, ahogy az sajat fiokjaban szerepel (cegnev, adoszam, szekhely, torvenyes kepviselo). |
| Adatfeldolgozo ("Adatfeldolgozo" / "Vezpa") |
Vezpa di Paolo Vezzola, adoszam: 04449070988, szekhely: via San Zeno 67, 25015 Desenzano del Garda (BS), Olaszorszag. PEC: [email protected] - Email: [email protected] |
2. Targy es idotartam (GDPR 28.3 cikk)
Az Adatkezelo megbizza az Adatfeldolgozot, hogy a Vezpa platformon keresztul sajat szamara kezeljen szemelyes adatokat. Az adatkezeles a felek kozotti elofizetesi szerzodes idotartamara vonatkozik, es annak megszunesevel megszunik, a 14. pontban foglaltak kivetelevel.
3. Az adatkezeles jellege, celja es a kezelt adatok tipusa
3.1 Cel
- Foglalasok, tartozkodas es be-/kijelentkezes kezelese
- Az Adatkezelonek a kozigazgatasi hatosagok fele fennallo jogi kotelezettsegeinek teljesitese (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Foglalasi adatok tovabbitasa a szallashely altal aktivalt OTA csatornakhoz es channel managerhez
- Kommunikacio kikuldese a vendegnek (visszaigazolasok, pre-check-in, fizetesek)
- Fizetesek feldolgozasa Booking Engine-en vagy Stripe linken keresztul
- Jelentesek es statisztikak keszitese az Adatkezelo szamara
3.2 Erintettek kategoriai
- Szallashelyek vendegei es azok kiseroi
- Mas nevere foglalast eszkozlo szemelyek
- A vendeg altal esetlegesen megadott veszhelyzeti kapcsolattartok
3.3 A kezelt szemelyes adatok tipusa
- Szemelyazonosito es szemelyes adatok (keresztnev, vezeteknev, szuletesi datum es hely, allampolgarsag, nem)
- Szemelyazonosito okmanyok (tipus, szam, kiallitas idopontja, kibocsato szerv, beszkennelt vagy lefenykepezett kep)
- Az okmanybol automatikus OCR-rel kinyert szoveges adatok
- Kapcsolattartasi adatok (email, telefon, cim)
- Foglalasi es tartozkodasi adatok
- Fizetesi adatok (a Stripe altal kezelve, a Vezpanal nem kerulnek tarolasra)
Kulonleges adatok (GDPR 9. cikk): a szemelyazonosito okmany tartalmazhat kulonleges adatokat (pl. szuletesi hely). Az Adatkezelo kijelenti, hogy rendelkezik a GDPR 9.2 cikke szerinti megfelelo jogalappal (jellemzoen b, f vagy g pont), es utasitja az Adatfeldolgozot, hogy az ilyen adatok kezeleset korlatozza a torveny altal eloirt kozigazgatasi hatosagok fele tortent kozlesekre es az eloirt megorzesi idoszakokra.
4. Az Adatkezelo utasitasai (GDPR 28.3.a cikk)
Az Adatfeldolgozo a szemelyes adatokat kizarolag az Adatkezelo dokumentalt utasitasai alapjan kezeli. Az altalanos utasitasokat jelen DPA, az Adatvedelmi tajekoztato, a GDPR tajekoztato es a Szolgaltatasi feltetelek tartalmazzak. Specifikus utasitasokat az Adatkezelo a kovetkezo csatornakon adhat:
Ha az Adatfeldolgozo ugy itelli meg, hogy egy utasitas serti a GDPR-t vagy mas alkalmazando rendelkezeseket, errol haladektalanul ertesiti az Adatkezelot.
5. Az Adatfeldolgozo kotelezettsegei (GDPR 28.3.b-h cikk)
Az Adatfeldolgozo vallalja, hogy:
- Titoktartas: az adatokat bizalmasan kezeli, es biztositja, hogy az adatkezelesre jogosult szemelyek titoktartasi kotelezettseg ala tartoznak;
- Biztonsag: a B mellekletben szereplo technikai es szervezesi intezkedeseket foganatositja, amelyek aranyban allnak a kockazattal;
- Tovabbi adatfeldolgozok: betartja a 6. pontban foglalt felteteleket;
- Segitsegnyujtas az Adatkezelonek: segiti az Adatkezelot kotelezettsegeinek teljesiteseben, kulonosen:
- Valasz az erintettek kereseire (GDPR 15-22. cikk) olyan hataridovel, amely lehetove teszi az Adatkezelo szamara a torveny altal eloirt 30 napon beluli valaszadast;
- Az adatvedelmi incidens ertesitese az Adatkezelo fele a felfedezestol szamitott 24 oran belul (7. pont);
- Tamogatas a DPIA-hoz (35. cikk) es az elozetes konzultaciokhoz (36. cikk);
- A megfeleloseg dokumentaciojan keresztuli igazolasa, valamint - ha kerik - audit utjan (9. pont).
- Visszaadas / torles az adatok megszunesekor, a 14. pont szerint;
- Informalas: az Adatkezelo rendelkezesere bocsatja mindazon informaciot, amely a jelen DPA-nak valo megfeleles bizonyitasahoz szukseges.
6. Tovabbi adatfeldolgozok (GDPR 28.2 es 28.4 cikk)
6.1 Altalanos felhatalmazas
Az Adatkezelo felhatalmazza az Adatfeldolgozot, hogy kinevezze a vezpa.it/subprocessors oldalon felsorolt tovabbi adatfeldolgozokat, es azokat, akiket az itt leirt eljaras szerint kesobb adnak hozza.
6.2 Elozetes ertesites valtoztatasrol
Az Adatfeldolgozo legalabb 30 nappal korabban ertesiti az Adatkezelot uj tovabbi adatfeldolgozo felvetelenek vagy cserejenek szandekarol, a regisztralt email cimre kuldott ertesites es/vagy dashboard ertesites utjan. Ezen hataridon belul az Adatkezelo indokoltan tiltakozhat. Feloldhatatlan tiltakozas eseten barmelyik fel elallhat a szerzodestol, az erintett adatkezeles megszunesevel.
6.3 Kotelezettsegek a tovabbi adatfeldolgozok fele
Az Adatfeldolgozo irasban, a jelen DPA-val egyenerteku adatvedelmi kotelezettsegeket ir elo a tovabbi adatfeldolgozoknak, es felel az Adatkezelo fele a tovabbi adatfeldolgozok tevekenysegeert.
7. Adatvedelmi incidens (GDPR 33. cikk)
Az Adatkezelo szamara kezelt adatokat erinto szemelyes adatokkal kapcsolatos jogserteskor az Adatfeldolgozo:
- Ertesiti az Adatkezelot indokolatlan kesedelem nelkul, de legkesobb a felfedezestol szamitott 24 oran belul;
- Megadja a GDPR 33.3 cikk szerinti informaciokat (jelleg, az erintettek es az adatok kategoriai es hozzavetoleges szama, valoszinu kovetkezmenyek, foganatositott vagy javasolt intezkedesek);
- Egyuttmukodik az Adatkezelovel az erintettek es a felugyeleti hatosag fele tortent kommunikacioban;
- Dokumentalja az esemenyt es a megtett intezkedeseket.
Az Adatkezelo ertesitese a regisztralt email cimre es - ha rendelkezesre all - PEC-en keresztul tortenik. A kulso ertesitesekert (Garante, erintettek) a GDPR 33-34. cikke alapjan tovabbra is az Adatkezelo felel.
8. Az erintettek jogai (GDPR 28.3.e cikk)
Ha egy erintett kozvetlenul az Adatfeldolgozohoz fordul az Adatkezelo szamara kezelt adatokkal kapcsolatos jogok gyakorlasa erdekeben, az Adatfeldolgozo a kerest haladektalanul tovabbitja az Adatkezelonek, es - eltero utasitas hianyaban - nem valaszol az Adatkezelo nevben.
Az Adatfeldolgozo a dashboardon es API-n keresztul az Adatkezelo rendelkezesere bocsat funkciokat az alabbi celokra:
- Egy erintett adatainak exportalasa (hozzaferes es adathordozhatosag)
- Helyesbites
- Torles vagy anonimizalas
- Az adatkezeles korlatozasa
A kezi technikai beavatkozast igenylo keresekre az Adatfeldolgozo az Adatkezelo utasitasanak kezhezvetelet koveto 10 munkanapon belul valaszol.
9. Audit (GDPR 28.3.h cikk)
Az Adatfeldolgozo kerelem eseten az Adatkezelo rendelkezesere bocsatja a jelen DPA-nak valo megfeleloseget igazolo informaciokat es dokumentaciot, tobbek kozott:
- A foganatositott biztonsagi intezkedesek osszefoglalasat
- A tovabbi adatfeldolgozok listajat szekhellyel es a tovabbitas jogalapjaval
- Adatkezelesi nyilvantartas (vonatkozo kivonatok)
- A tovabbi adatfeldolgozok tanusitvanyai (ISO 27001, SOC 2, DPF), amennyiben rendelkezesre allnak
Az Adatkezelo auditot vegezhet (kozvetlenul vagy titoktartasi kotelezettseg ala tartozo fuggetlen harmadik felek utjan) legalabb 30 napos elozetes ertesitessel, munkaidoben, a muveletek megszakitasa nelkul, evente legfeljebb egyszer (kiveve adatvedelmi incidens eseten). Mindegyik fel sajat koltsegeit viseli.
10. EU-n kivuli adattovabbitasok (GDPR V. fejezet)
A tovabbi adatfeldolgozok listaja szekhellyel es a tovabbitas jogalapjaval a vezpa.it/subprocessors oldalon van kozzeteve. A megfelelosegi hatarozat altal nem fedett tovabbitasok eseteben az Adatfeldolgozo a kovetkezoket alkalmazza:
- Standard Szerzodeses Kikotesek 2021/914 es - szukseg eseten - kiegeszito intezkedesek (dokumentalt Transfer Impact Assessment);
- Vagy a GDPR 46. cikkeben elorelatott mas megfelelo garanciak.
11. Az Adatkezelo szerepe
Az Adatkezelo kijelenti es garantalja, hogy:
- Megadta az erintetteknek a GDPR 13-14. cikke szerinti tajekoztatast;
- Megszerezte az adatkezeleshez szukseges esetleges jogalapokat (hozzajarulas, szerzodes, jogi kotelezettseg);
- Jogszeru utasitasokat ad az Adatfeldolgozonak;
- Biztositja az adatok megfelelo megorzeset es torleset a Vezpa platformrol valo visszavonulas utan.
12. Titoktartas
Mindegyik fel szigoruan bizalmasan kezeli a masik felet jelen DPA vegrehajtasa soran kapott valamennyi informaciot, a szerzodes teljes idotartamara es az azt koveto 5 evre.
13. Felelosseg
Mindegyik fel felelossege az erintettekkel szemben a GDPR 82. cikke szerint tovabbra is a torveny altal szabalyozott. A felek kozotti viszonyban a szerzodeses felelossegi rendszer a Szolgaltatasi feltetelek (9-10. pont) altal megallapitott, a GDPR 82. cikkenek kotelezo felelossegmegoszlasanak fenntartasa mellett.
14. Az adatkezeles megszunese
A szerzodes barmely okbol tortent megszunesekor az Adatfeldolgozo:
- Az Adatkezelo rendelkezesere bocsatja a sajat adatai exportalasara szolgalo eszkozoket strukturalt formatumban (CSV/JSON) a megszunestol szamitott 30 napig;
- A 30 nap elteltevel torli vagy anonimizalja az Adatkezelo szamara kezelt adatokat a produkcios rendszerekbol;
- A backupokbol a kovetkezo rotacios ciklus alatt torli az adatokat (jellemzoen 90 napon belul);
- Megorzi azokat az adatokat, amelyeket a Vezpa torvenyileg koteles megorizni (jellemzoen: szamlazasi adatok es biztonsagi naplok) kizarolag az alkalmazando jogszabalyok altal eloirt ideig, azokon megfelelo biztonsagi intezkedeseket tartva fenn.
15. Modositasok
Az Adatfeldolgozo modosithatja jelen DPA-t a szabalyozasi valtozasok (pl. uj SCC-k, Garante rendelkezesei) vagy szervezeti valtozasok atvetele erdekeben. Az erdemi modositasokrol az Adatkezelot legalabb 30 nappal korabban ertesitjuk. Ha az Adatkezelo nem fogadja el, buntetes nelkul elallhat az elofizetes nem hasznalt reszere vonatkozoan.
16. Alkalmazando jog
Jelen DPA-t az olasz jog szabalyozza. A jogvitakra a Szolgaltatasi feltetelek 16. pontja alkalmazando.
A melleklet - Az adatkezeles osszefoglalo leirasa
| Tetel |
Leiras |
| Az adatkezeles jellege |
Gyujtes, rogzites, rendszerezes, strukturalas, tarolas, adaptacio, kinyeres, konzultacio, felhasznalas, kozles, OTA csatornakhoz es kozigazgatasi hatosagokhoz tortent tovabbitas, torles |
| Cel |
Lasd 3.1 pont |
| Erintettek kategoriai |
Lasd 3.2 pont |
| Adatkategoriak |
Lasd 3.3 pont |
| Idotartam |
A szerzodes teljes idotartamara. A kategoriakra vonatkozo specifikus retention az Adatvedelmi tajekoztato 6. pontja szerint |
B melleklet - Technikai es szervezesi biztonsagi intezkedesek (GDPR 32. cikk)
Technikai intezkedesek
- Titkositas atvitel kozben: HTTPS/TLS 1.2+, HSTS
- Nyugvo allapotu titkositas: erzekeny mezok django-cryptography-val, titkositott kotetek es snapshotok az infrastruktura oldalan (DigitalOcean)
- Jelszo hashing sozott PBKDF2-vel (Django default)
- Hitelesites: rotalo JWT (access 15 perc, refresh 180 nap blacklisttel), opcionalis 2FA TOTP
- Bot blocker es rate limiting az automatizalt tamadasok megelozesere
- Szerep alapu hozzaferes-kontroll (igazgato/asszisztens/takarito/megfigyelo)
- Backupok az EU-beli infrastruktura szolgaltato altal kezelve
- Alkalmazasi es hozzaferesi naplok anomaliak eszlelesere
- Secure Storage az alkalmazas oldalon: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Szervezesi intezkedesek
- A Vezpa jelenleg alkalmazott nelkuli egyeni vallalkozaskent mukodik; az esetleges kulso munkatarsak irasban Adatfeldolgozokent vagy Jogosult Szemelyekent kerulnek kijelolesre titoktartasi kotelezettseggel
- Dokumentalt incident response eljaras
- Naprakesz adatkezelesi nyilvantartas (30. cikk)
- DPA a fontosabb tovabbi adatfeldolgozokkal
- Privacy by Design and by Default a fejlesztes szakaszaiban
- Produkcios / staging / fejlesztesi kornyezetek elkulonitese
C melleklet - Felhatalmazott tovabbi adatfeldolgozok
A hatalyos lista a vezpa.it/subprocessors oldalon van kozzeteve es naprakeszen tartva. A szerzodes megkotesekor a lista - tobbek kozott - a kovetkezoket tartalmazza:
- DigitalOcean LLC - infrastruktura (EU Frankfurt + USA DPF)
- Stripe - fizetesek (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - email (DE)
- STAAH Limited - channel manager OTA (NZ, megfeleloseg)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (az Apple nem csatlakozik a DPF-hez, USA-ba tortent adattovabbitas SCC 2021/914 utjan)
- Google LLC / Microsoft Corp. - in-app purchase (USA, aktiv DPF tanusitvany)
- Tuya Smart - okos zarak (CN, csak ha a szallashely aktivalja, SCC)
© 2022-2026 Vezpa - Minden jog fenntartva |
Adatvedelmi tajekoztato |
Szolgaltatasi feltetelek |
Cookie szabalyzat |
GDPR |
DPA |
Tovabbi adatfeldolgozok