Ugrás a fő tartalomra

Adatkezelési tájékoztató
Citadella Experience

Bevezetés

Jelen a tájékoztatóban összefoglaljuk, hogy a Citadella Experience név alatt futó – Citadella Kávézó, Citadella Ajándékbolt, Citadella Kürtős-Fagylalt valamint Szabadság Ajándékbolt és Szabadság Kávézó és a lenti weboldalt üzemeltető City Memories Management Kft. (továbbiakban: „Adatkezelő”) milyen személyes adatokat, milyen célból, jogalappal és mennyi ideig kezel. A dokumentum megfelel a 2016/679/EU általános adatvédelmi rendelet (GDPR) 13. cikkének tájékoztatási kötelezettségének, amely előírja, hogy az adatkezelők kötelesek az érintetteket tájékoztatni többek között a kezelő személyéről, a célokról, a jogalapokról, az adatmegőrzési időről, a címzettekről, a harmadik országbeli továbbításról és az érintetti jogokról. 

Adatkezelő adatai

  • Név: City Memories Management Korlátolt Felelősségű Társaság (rövid név: City Memories Management Kft.)
  • Székhely: 1024 Budapest, Margit körút 5. A ép. 3. em. 1
  • Weboldal: citadellaexperience.hu
  • Cégjegyzékszám: 01‑09‑285923 (Fővárosi Törvényszék Cégbírósága).
  • Adószám: 25417269‑2‑41
  • E‑mail: Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát..
  • Felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), 1055 Budapest, Falk Miksa utca 9‑11, www.naih.hu.

Általános információk a személyes adatok kezeléséről

Az Adatkezelő kizárólag olyan adatokat kezel, amelyek a szolgáltatás teljesítéséhez, a vendégek biztonságának, kényelmének és elégedettségének biztosításához, illetve jogi kötelezettségeinek teljesítéséhez szükségesek. A személyes adatok kezelése során az Adatkezelő az adatkezelés jogszerűsége, átláthatósága, célhoz kötöttsége, adattakarékossága és pontossága elvét követi, valamint olyan technikai és szervezési intézkedéseket alkalmaz, amelyek a személyes adatok megfelelő biztonságát garantálják

1. Kamera‑megfigyelő rendszer (CCTV)

Cél és jogalap: Az étterem területén üzemelő kamera‑rendszer célja a vendégek és a munkavállalók személy- és vagyonbiztonságának védelme. A felvétel készítése az Adatkezelő jogos érdekén alapul (GDPR 6. cikk (1) bek. f). A jelen kamerarendszer felvételeit az étterem 5 napig tárolja.

Kezelt adatok: a kamerák által rögzített képfelvételek, melyek tartalmazhatják az érintett személy arcképét, mozgását és a rögzítés időpontját. Hangfelvétel nem készül.

Érintettek: az étterem és a terasz látogatói, munkavállalói és szállítói.

Kamerák helye: A bejáratoknál, a vendégterekben, a közös helyiségekben és a folyosókon vannak felszerelve. A kamerák látószöge csak az étterem területére terjed ki, nem figyel meg közterületet, mosdót vagy öltözőt. Az étterem előterében és a weboldalon figyelemfelkeltő jelöléssel tájékoztatjuk a látogatókat a kamerás megfigyelésről.

Adatkezelési idő: A felvételeket 5 napig őrizzük, majd automatikusan töröljük, kivéve, ha a felvételekre jogi igény érvényesítése vagy hatósági eljárás miatt szükség van.

Hozzáférés: A felvételekhez csak az Adatkezelő ügyvezetése és a biztonsági feladatokra kijelölt munkatársak férnek hozzá. Külső félnek csak törvényes kötelezés (rendőrség, bíróság) esetén adjuk át a felvételeket.

Adatszolgáltatás jogkövetkezménye: A kamera‑megfigyelésből származó adatok szolgáltatása az étterem területére belépéssel együtt jár; az érintett nem köteles a területre belépni, az érintett a tájékoztatás ismeretében lép be a megfigyelt területre.

2. Hírlevél és marketing

Cél: Az étterem hírlevél szolgáltatásán keresztül a vendégek ajánlatokat, eseményekről szóló értesítéseket, promóciókat kapnak.

Jogalap: Az e‑mail-cím és név kezelése az érintett hozzájárulása alapján történik (GDPR 6. cikk (1) bek. a) pont). Az érintett bármikor visszavonhatja hozzájárulását a hírlevél leiratkozó linkjével vagy az Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. címen.

Kezelt adatok: Név, e-mail-cím, valamint a hírlevélküldő rendszer által mért interakciós adatok (pl. megnyitás, kattintás) a marketingtevékenység hatékonyságának mérésére.

Adatkezelési idő: Az adatokat addig kezeljük, amíg az érintett le nem iratkozik a hírlevélről vagy vissza nem vonja hozzájárulását.

Hozzáférés: Az adatokat az étterem marketing csapata és ügyvezetése használja. Az elektronikus hírlevélküldés és a kapcsolódó interakciók mérése érdekében az Adatkezelő hírlevélküldő szolgáltatót vesz igénybe, amely adatfeldolgozóként jár el; a szolgáltató adatait a jelen tájékoztató adatfeldolgozókra vonatkozó fejezete tartalmazza.

Következmény: A hírlevélre feliratkozás önkéntes; a feliratkozás hiányában az érintett nem kap marketingüzeneteket.

3. Hűségprogram és vendégkapcsolati rendszer (CRM)

Cél: Az étterem hűségprogramja lehetővé teszi, hogy a visszatérő vendégek személyre szabott ajánlatokat, kedvezményeket kapjanak, és hogy az étterem nyomon kövesse a fogyasztási szokásokat a szolgáltatás javítása érdekében.

Jogalap: Az adatkezelés jogalapja szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont) a vendéggel kötött tagsági szerződés esetén, valamint hozzájárulás (GDPR 6. cikk (1) bek. a) pont), ha az érintett önkéntesen adja meg adatait marketingcélokra.

Kezelt adatok: Név, e‑mail-cím, telefonszám, fogyasztási és látogatási adatok (pl. látogatások időpontja, fogyasztott termékek), beállított preferenciák, illetve különleges adatként az ételallergiák vagy speciális étrendi információk, amelyeket csak az érintett kifejezett hozzájárulásával kezelünk.

Adatkezelési idő: A tagsági program fennállásáig, de legfeljebb az utolsó aktivitástól (pl. utolsó vásárlás) számított 1 év. A hozzájárulást visszavonó érintett adatai 30 naptári napon belül törlésre kerülnek.

Hozzáférés és adatfeldolgozók: A vendégkapcsolati rendszer üzemeltetésére a SevenRooms Inc. (245 Park Avenue, 39th Floor, New York, NY 10167, USA) szolgáltatót vesszük igénybe. A szolgáltató a személyes adatokat az USA-ba továbbítja; a továbbítás az EU‑USA Adatvédelmi Keretrendszer (Data Privacy Framework) alapján történik, amelyet az Európai Bizottság 2023. július 10‑én fogadott el, és amely biztosítja, hogy a hitelesített amerikai cégek megfelelő adatvédelmi szintet nyújtanak. Az érintett ellenőrizheti, hogy a szolgáltató rendelkezik‑e érvényes tanúsítással, és gyakorolhatja a hozzáféréshez, helyesbítéshez vagy törléshez való jogát a keretrendszer keretében. Ezen kívül a CRM rendszerhez az étterem marketing csapata fér hozzá.

Következmény: A hűségprogramban való részvétel önkéntes; az adatkezelés hiányában a vendég nem részesül a hűségprogram előnyeiben.

4. Elégedettségmérés (vendégvélemény‑kutatás)

Cél: A szolgáltatások és ügyfélélmény fejlesztése érdekében az Adatkezelő elégedettségi kérdőíveket küld a vendégeknek, vagy lehetőséget biztosít online értékelések kitöltésére.

Jogalap: Hozzájárulás (GDPR 6. cikk (1) bek. a) pont).

Kezelt adatok: E‑mail-cím, telefonszám (ha megadta), a vendég visszajelzései, értékelése, valamint az esetleges válaszok. A kérdőív anonim módon is kitölthető.

Adatkezelési idő: A válaszok megadásától számított 1 év vagy a hozzájárulás visszavonásig. Az anonimizált statisztikai adatok hosszabb ideig is megőrizhetők.

Hozzáférés: Az eredményeket kizárólag az Adatkezelő vezetése és marketingcsapata látja. Külső kutatócég bevonása esetén szerződésben biztosítjuk, hogy az adatok titkosan kezelendők, és a harmadik fél nem használhatja más célra.

Következmény: A kérdőív kitöltése önkéntes; elmaradása nem jár semmilyen hátránnyal.

5. Honlap technikai adatai és cookie‑k

Az www.citadellaexperience.hu weboldal használata során a rendszer automatikusan rögzíthet bizonyos technikai adatokat, és cookie‑kat helyezhet el a felhasználó eszközén. Egyes cookie‑k a weboldal működéséhez elengedhetetlenek (munkamenet‑cookie, kosár‑cookie), míg mások statisztikai, analitikai vagy marketing célokat szolgálnak.

Jogalap: A szükséges cookie‑k esetében az adatkezelés az Adatkezelő jogos érdeke vagy a szerződés teljesítése (GDPR 6. cikk (1) bek. b) és f) pont). A statisztikai és marketing cookie‑k használata hozzájáruláson alapul, amelyet a látogató az első látogatáskor megjelenő cookie‑kezelő ablakban adhat meg vagy tagadhat meg.

Kezelt adatok: IP‑cím, cookie‑azonosító, böngésző‑ és eszközadatok, honlaphasználati adatok (pl. mely oldalakat látogatja, mennyi ideig tartózkodik az adott aloldalon), marketing cookie‑k esetén a felhasználó viselkedésére vonatkozó információk.

Cookie‑kezelésben részt vevő szolgáltatók (adatfeldolgozók):

  • Google Ireland Limited (Barrow Street, Dublin 4, Írország) – Google Analytics (GA4) és Google Ads. A Google szolgáltatásai használatával anonim statisztikákat készítünk, valamint remarketing hirdetéseket jelenítünk meg. A Google az adatokat az USA‑ba továbbíthatja. A továbbítás a 2023. július 10‑én elfogadott EU‑USA Adatvédelmi Keretrendszer vagy szükség esetén az Európai Bizottság által jóváhagyott standard szerződéses kikötések alapján történik.
  • Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Írország) – Facebook Pixel. Marketing cookie, amely remarketing hirdetéseket tesz lehetővé. Az adatokat az USA‑ba továbbíthatják a Data Privacy Framework vagy standard szerződéses feltételek szerint.
  • Cookie consent rendszerek – Olyan megoldást (pl. cookiebot vagy hasonló szolgáltatás) alkalmazunk, amely lehetővé teszi a felhasználó számára a cookie‑k kategóriánkkénti elfogadását vagy elutasítását.

Adatkezelési idő: A munkamenet‑cookie‑k a böngésző bezárásáig élnek; az analitikai cookie‑k 14 hónapig, a marketing cookie‑k legfeljebb 6 hónapig tárolódnak, ha a látogató hozzájárult.

Következmény: Ha a felhasználó nem fogadja el a statisztikai és marketing cookie‑kat, a honlap minden funkciója elérhető marad, de személyre szabott tartalmak és hirdetések nem jelennek meg.

6. Asztalfoglalás

Cél: Az étterem online, telefonos vagy személyes asztalfoglalási rendszerén keresztül lehetőség van asztalt foglalni.

Jogalap: Szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont) a foglalás egy szolgáltatási szerződés létrejöttével jár. Speciális adatok (pl. ételallergia, diéta) esetén az adatkezelés jogalapja az érintett kifejezett hozzájárulása (GDPR 9. cikk (2) bek. a) pont).

Kezelt adatok: Név, e‑mail-cím, telefonszám, foglalás dátuma és időpontja, a vendégek száma, preferenciák (pl. asztal típusa), esetleges ételallergia vagy speciális étrendi igény. Fizetésnél bankkártya‑adatokat nem kezelünk; a fizetés biztonságos fizetési szolgáltató felületén (Stripe) történik.

Adatfeldolgozók:

  • SevenRooms Inc. – online foglalási modul, lásd fent.
  • Stripe Inc. (354 Oyster Point Boulevard, South San Francisco, CA 94080, USA) – online fizetés feldolgozó. A Stripe a tranzakciókhoz szükséges kártyaadatokat az USA‑ban tárolja; a továbbítás a Data Privacy Framework vagy standard szerződéses kikötések alapján történik. A Stripe az európai adatkezelési követelményeknek megfelelően PCI DSS tanúsítvánnyal rendelkezik.

Adatkezelési idő: A foglalás adatait a foglalás teljesítését követő 2 évig őrizzük. Az ételallergiára vonatkozó adatokat legfeljebb a foglalás napjáig kezeljük.

Következmény: A megadott adatok hiányában asztalfoglalás nem lehetséges. Érzékeny adatokat (ételallergia) nem kötelező megadni, de az étterem a vendég egészségének védelme érdekében ajánlott.

7. Rendezvényfoglalás (esemény‑ és terembérlés)

Cél: Céges vagy magánrendezvények szervezése, bálterem és szalon bérlése.

Jogalap: Szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont), illetve jogos érdek (GDPR 6. cikk (1) bek. f) pont) a szerződéshez kapcsolódó adminisztráció (pl. számlázás, behajtás) során.

Kezelt adatok: Név, cégnév (ha céges rendezvény), kapcsolattartó adatai (telefon, e‑mail), rendezvény részletei (dátum, időpont, létszám, menü), fizetési adatok (előleg, foglaló), számlázási adatok.

Adatfeldolgozók:

  • Tripleseat Software LLC (55 Middlesex Turnpike, Bedford, MA 01730, USA) – rendezvényfoglalási platform. Az adatok továbbítása az USA‑ba a Data Privacy Framework vagy standard szerződéses kikötések alapján történik.
  • Stripe Inc. – fizetésfeldolgozás.

Adatkezelési idő: A szerződés teljesítését követő 1 év. A számlázási adatokat a számviteli jogszabályok szerint legalább 8 évig megőrizzük.

Következmény: A rendezvényfoglaláshoz megadandó adatok hiánya esetén nem tudjuk a szolgáltatást nyújtani. Bizonyos adatok kezelését törvény ír elő a számlázásiérdekben.

8. Adatfeldolgozók és címzettek

Az alábbi táblázatban összefoglaljuk az egyes adatfeldolgozókat és az általuk végzett tevékenységet:

Adatfeldolgozó és cím

Tevékenység / szolgáltatás

HG BackOffice Kft. (1024 Budapest, Margit körút 5. A ép. 3. em. 1.)

Könyvelés, bérszámfejtés, adóügyek

KBOSS.hu Kft. (1031 Budapest, Záhony utca 7.)

Számlázó program (számlák kiállítása)

Rackforest Zrt. (1132 Budapest, Victor Hugo utca 11.)

Webtárhely, biztonsági mentés

Connect Things Kft. (1116 Budapest, Nádudvar utca 7.)

Informatikai karbantartás és üzemeltetés

Google Ireland Ltd. (Barrow Street, Dublin 4, Írország)

Analitika, online hirdetés (Google Analytics/Ads)

Meta Platforms Ireland Ltd. (4 Grand Canal Square, Dublin 2, Írország)

Online hirdetés (Facebook Pixel)

SevenRooms Inc. (245 Park Avenue, New York, NY 10167, USA)

CRM és asztalfoglalás valamint hírlevél kiküldés

Stripe Inc. (354 Oyster Point Blvd., South San Francisco, CA 94080, USA)

Online fizetés

Tripleseat Software LLC (55 Middlesex Turnpike, Bedford, MA 01730, USA)

Rendezvényfoglalási rendszer

HAMU és Gyémánt Kft. (1024 Budapest, Margit körút 5. A ép. 3. em. 1)

Marketing és PR

A fenti adatfeldolgozókkal az Adatkezelő írásbeli szerződést kötött, amely biztosítja, hogy a feldolgozók az adatokat csak a meghatározott célra és a GDPR‑nak megfelelően kezelik.

9. Harmadik országbeli adattovábbítások

Az Adatkezelő egyes szolgáltatói az Európai Gazdasági Térségen kívüli országban (főként az USA-ban) találhatók. Ezek a továbbítások a következő jogalapok szerint történnek:

  • EU‑USA Adatvédelmi Keretrendszer (Data Privacy Framework): A SevenRooms, Stripe, Tripleseat és a marketingcégek (Google, Meta) részt vesznek a Data Privacy Framework önkéntes tanúsítási rendszerben. Az Európai Bizottság 2023. július 10‑én határozta meg, hogy a tanúsított amerikai vállalatok megfelelő védelmi szintet biztosítanak, így a személyes adatok külön engedély nélkül továbbíthatók.
  • Standard Szerződéses Kikötések (SCC): Ha a szolgáltató nem rendelkezik Data Privacy Framework tanúsítással, a továbbítás a GDPR 46. cikk szerinti standard szerződéses kikötések alapján történik.

Az adatkezelő rendszeresen ellenőrzi partnerei megfelelőségét, és tájékoztatja az érintetteket, ha a harmadik országba irányuló adattovábbítás jogi alapja változik.

10. Az érintettek jogai

A GDPR értelmében az érintettet több jog illeti meg az adatkezeléssel kapcsolatban. A „Your Europe” útmutató szerint a szolgáltatónak tájékoztatnia kell az érintetteket a célokról, a jogalapokról, az adatok címzetteiről, a megőrzési időről, az érintetti jogokról és az automatizált döntéshozatalról. Az alábbiakban összefoglaljuk ezeket a jogokat, amelyek a Citadella Experience esetében is érvényesek:

  1. Hozzáférési jog: Az érintett kérheti visszajelzésünket arról, hogy személyes adatai kezelése folyamatban van‑e, és kérheti másolatát az adatokról. Az adatkezelő köteles egy hónapon belül ingyenes másolatot biztosítani.
  2. Helyesbítéshez való jog: Az érintett kérheti pontatlan adatai helyesbítését vagy hiányos adatai kiegészítését, továbbá a hibás adatot korábban megkapó címzetteket tájékoztatni kell.
  3. Törléshez való jog („az elfeledtetéshez való jog”): Az érintett kérheti adatainak törlését, ha az adatokra már nincs szükség, visszavonta hozzájárulását, tiltakozott a jogos érdeken alapuló kezelés ellen, vagy az adatkezelés jogellenes. Kivétel, ha a törlés ellentétes jogi kötelezettséggel vagy közérdekű archiválással.
  4. Adatkezelés korlátozásához való jog: Az érintett kérheti az adatkezelés korlátozását (pl. vitatott adat pontossága, jogellenes kezelés, de nem kér törlést). A korlátozott adatok csak tárolhatók, más feldolgozásukhoz az érintett hozzájárulása szükséges.
  5. Adathordozhatósághoz való jog: Az érintett kérheti, hogy az adatkezelő az általa megadott személyes adatokat strukturált, széles körben használt és géppel olvasható formátumban bocsássa rendelkezésére, és kérheti azok továbbítását egy másik szolgáltatóhoz.
  6. Tiltakozáshoz való jog: Az érintett bármikor tiltakozhat személyes adatainak kezelése ellen, ha az adatkezelés jogos érdeken alapul (pl. kamerarendszer, marketing tevékenység). Tiltakozás esetén az adatkezelőnek meg kell vizsgálnia, hogy fennállnak‑e a jogos érdeket alátámasztó kényszerítő okok; ha nem, az adatkezelést meg kell szüntetni. Direkt marketing esetén a tiltakozás automatikusan a marketingüzenetek megszüntetését vonja maga után.
  7. Automatizált döntéshozatal és profilalkotás elleni jog: Ha az adatkezelés olyan döntéseket hoz, amelyek joghatással vannak az érintettre vagy jelentősen érintik, és az döntően automatizált folyamaton alapul, az érintett jogosult emberi felülvizsgálatot kérni, véleményt nyilvánítani és a döntéssel szemben fellebbezni.
  8. Hozzájárulás visszavonása: Az érintett bármikor visszavonhatja hozzájárulását anélkül, hogy ez befolyásolná a visszavonás előtti adatkezelés jogszerűségét.
  9. Jogorvoslati jog: Az érintett jogosult panaszt benyújtani a felügyeleti hatósághoz (NAIH) vagy lakóhelye szerinti tagállam illetékes hatóságához. Panasz benyújtása előtt javasoljuk, hogy vegye fel a kapcsolatot az Adatkezelővel, hogy az esetleges problémát belső úton megoldhassuk.

A fenti jogok gyakorlását kérés esetén az Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. címre küldött e‑mailben vagy postai úton lehet kezdeményezni. Az Adatkezelő a kérelmekre indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszol. Különösen bonyolult esetben a határidő további két hónappal meghosszabbítható, melyről az érintettet tájékoztatjuk.

11. Adatbiztonság

Az Adatkezelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok védelme érdekében, így különösen:

  • Hozzáférés‑kezelés: A rendszerekhez való hozzáférés jelszavas védelemmel és többfaktoros azonosítással korlátozott; a hozzáférési jogosultságokat rendszeresen felülvizsgáljuk.
  • Titkosítás: A hálózaton továbbított adatokat TLS/SSL‑titkosítással, az e‑mail‑forgalmat pedig titkosított csatornán védjük.
  • Mentések: A webtárhely és a CRM rendszer adatbázisa rendszeresen biztonsági mentésre kerül a Rackforest Zrt. szerverén. A mentésekhez csak jogosult személyek férhetnek hozzá.
  • Vírus‑ és behatolásvédelem: Az étterem informatikai rendszerein naprakész vírus‑ és rosszindulatú szoftver védelem, behatolás‑észlelő és tűzfal megoldások futnak.
  • Fizikai biztonság: A papíralapú dokumentumokat kulccsal zárható irattárolókban tartjuk, az irodákba való belépést kártyás beléptető rendszer szabályozza.

12. Egyéb rendelkezések

  • Adatvédelmi hatásvizsgálat (DPIA): A kamera‑rendszer, az érzékeny adatok kezelése (ételallergia) és a profilalkotás olyan tevékenységek, amelyek potenciálisan magas kockázattal járhatnak az érintettek jogaira nézve. Az Adatkezelő rendszeresen felülvizsgálja tevékenységeit.
  • Adatvédelmi incidensek kezelése: Személyes adatot érintő biztonsági incidens észlelésekor az Adatkezelő haladéktalanul értékeli az incidens súlyosságát. Amennyiben az incidens valószínűleg magas kockázattal jár az érintettek jogaira nézve, az érintetteket késedelem nélkül értesítjük, és szükség esetén bejelentjük az incidenset a NAIH-nak. Az érintettek tájékoztatása során ismertetjük az incidens jellegét, a várható következményeket és a megtett intézkedéseket.
  • A tájékoztató módosítása: Az Adatkezelő fenntartja a jogot a tájékoztató frissítésére, ha az adatkezelési gyakorlat vagy a jogszabályi környezet változik. A frissített verziót honlapunkon közzétesszük.

 

Kelt: Budapest, 2026. április 21.