Privacy Policy

1. Details of the Controller 2

1.1. Controller 2

1.2. Data protection contact 2

2. Applicable data protection laws and principles 2

2.1. Applicable laws 2

2.2. Principles of data processing 3

3. Purpose, legal basis and scope of data processing 3

3.1. Summary table of processing activities 3

3.2. Managing bookings, concluding contracts, providing the service 4

3.3. Taking, editing, delivering and archiving photographs 5

3.4. Invoicing, payment, financial and accounting obligations 6

3.5. Communication, complaint handling, legal disputes 7

3.6. Marketing processing, newsletters, reference photographs 7

3.7. Website, online booking interface, Pixieset galleries and cookies 8

4. Processing relating to minors 8

5. Processors, data transfers, joint controllers 9

5.1. Data processors 9

5.2. Barion as independent controller 9

5.3. Other data transfers 10

5.4. Transfers to third countries 10

6. Data security 10

7. Rights of data subjects 11

7.1. Right of access 11

7.2. Right to rectification 11

7.3. Right to erasure 11

7.4. Right to restriction of processing 12

7.5. Right to data portability 12

7.6. Right to object 12

7.7. Right to withdraw consent 12

7.8. Manner and deadline for submitting requests 12

8. Remedies 13

8.1. Complaint to the Controller 13

8.2. Complaint to the supervisory authority 13

8.3. Judicial remedy 13

9. Final provisions 13

1. Details of the Controller

1. Controller

• Name: Nagy Kristóf E.V.

• Registration number: 61494916

• Tax number: 91596444-1-41

• Address: H-1042, Budapest, Árpád út 68-70., 1. emelet, 3. ajtó

• E-mail: info@luminogram.com

• Phone: +36 (30) 256 7138

• Website / online platforms:

  • Luminogram website and client galleries operated via Pixieset,

  • Booked4.us online booking interface,

  • Luminogram social media pages (e.g. Facebook, Instagram, etc.).

Hereinafter in this Policy: Controller or Luminogram.

2. Data protection contact

The Controller is not required to appoint a data protection officer under the GDPR, and therefore has not appointed a separate data protection officer.

In matters relating to data protection, comments or requests, the data subject may contact the Controller at the contact details indicated above.

2. Applicable data protection laws and principles

   1. Applicable laws

In the course of processing personal data, the Controller applies in particular the following laws:

• Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation – GDPR),

• Act CXII of 2011 on the Right of Informational Self-Determination and on Freedom of Information (Infotv.),

• Act V of 2013 on the Civil Code (Civil Code),

• Act C of 2000 on Accounting,

• Act CL of 2017 on the Rules of Taxation,

• Act CVIII of 2001 on Certain Issues of Electronic Commerce Services and Information Society Services,

• Act CLV of 1997 on Consumer Protection,

• other relevant Hungarian and EU laws applicable to the Controller’s activities.

2. Principles of data processing

The Controller processes personal data in accordance with the principles set out in Article 5 of the GDPR, in particular:

• lawfulness, fairness and transparency,

• purpose limitation,

• data minimisation,

• accuracy,

• storage limitation,

• integrity and confidentiality,

• accountability.

The Controller only processes such personal data that are indispensable for achieving the purpose of the processing, and only to the extent and for the duration necessary for that purpose.

3. Purpose, legal basis and scope of data processing

   1. Summary table of processing activities

   No.               Purpose of processing           Subjects of data         Categories of data processed

1.

Managing bookings, concluding contracts, providing the photographic service

Customers making bookings, participants (companions, family members, partners)

Name, contact details (e-mail, phone), language preference, date and time of booking, location, hotel, room number (if relevant), package, number of participants, special requests, declarations (e.g. guardian’s consent)

2.

Taking, editing, delivering and archiving photographs

Customers using the service and persons who appear in the photographs (adults and minors)

Photographs (in digital and, where applicable, printed form), gallery identifiers, selection data, technical metadata

3.

Invoicing, fulfilment of financial and accounting obligations

Customers liable for payment of invoices

Billing name, address, tax number (if any), invoice data (fee, description of service, method of payment, date)

4.

Communication, complaint handling, settlement of legal disputes

Enquirers, customers, data subjects

Communication data (e-mail, telephone), content of complaint or enquiry, related documents

5.

Marketing communications, newsletters, offers, public use of reference photographs

Customers and data subjects who have given consent

Name, e-mail address, photographs used, consent declarations

6.

Operation of website, online booking interface and Pixieset client galleries, IT security, statistics

Website and gallery visitors, customers

IP address, browser and device information, cookie identifiers, log data, user activity

The above table is a summary of the main processing activities; the detailed rules for each processing are set out in the subsections below.

2. Managing bookings, concluding contracts, providing the service

The Controller’s photographic services may be booked by customers

• directly (via the online booking system, by e-mail, telephone, social media), or

• indirectly, through the hotel reception.

Categories of data subjects: All natural persons who use the Luminogram services, as well as other persons participating in the booking (e.g. family members, friends, partner).

Main categories of personal data processed:

• name,

• contact details (e-mail address, telephone number),

• details of the booking (date and time, location, hotel, room number, chosen package, language preference),

• number of participants and – where relevant – classification according to age (adult / minor),

• special requests (e.g. accessibility needs, specific location requests),

• in the case of minors, data of the legal representative and their consent declaration.

Source of data:

The data are provided by the data subject, or are transmitted to the Controller by the hotel reception or by the Booked4.us booking system for the purpose of performing the booking.

Legal basis:

• conclusion and performance of the contract for the service (Article 6(1)(b) GDPR),

• in some cases the legitimate interest of the Controller (Article 6(1)(f) GDPR) – for example where one person makes the booking but other persons also participate in the photo session; this is indispensable for the performance of the contract and organisation of the service and does not disproportionately interfere with the data subjects’ right to privacy.

Nature of data provision:

The provision of data is voluntary; however, provision of certain data is indispensable for concluding and performing the contract. If the data are not provided, the Controller will be unable to accept the booking or provide the service.

Retention period:

As a main rule, personal data relating to the booking are processed for 5 years from performance of the service, in view of the civil-law limitation period.

3. Taking, editing, delivering and archiving photographs

The main activity of Luminogram is the provision of photographic services; in this context, photographs are taken of data subjects, which the Controller selects, edits and makes available to the customer in digital (and, where relevant, printed) form.

Categories of data subjects:

Natural persons present at the photo session and who actually appear in the photographs (adults and minors).

Categories of personal data processed:

• photographs, including their metadata,

• technical and access data relating to the gallery (gallery identifier, password, download data),

• the customer’s selection and ordering data (which photographs are to be edited and printed).

Legal basis:

• performance of the contract (Article 6(1)(b) GDPR) – the essence of the service is the creation and delivery of photographs;

• for marketing, reference, portfolio or social media use: separate, voluntary consent (Article 6(1)(a) GDPR) given in writing by the data subject (or, in the case of a minor, by the legal representative).

Retention period:

• to the extent necessary for performance of the contract, for a maximum of 5 years from performance of the service,

• for marketing, reference use, until withdrawal of consent or, at the latest, until the point in time when the given use is actually ongoing in Luminogram’s communication.

Consent may be withdrawn at any time, without giving reasons; withdrawal does not affect the lawfulness of processing carried out before withdrawal.

4. Invoicing, payment, financial and accounting obligations

For the purpose of payment of the service fee and fulfilment of the related statutory obligations, the Controller issues invoices and processes the data necessary for bookkeeping. Payment may be made in cash, by bank transfer, or via the Barion online bank card payment service.

Categories of personal data processed:

• name, address, tax number (if relevant) of the person liable for payment of the invoice,

• consideration of the service, method of payment, date,

• bank account data (in case of transfers), for evidencing performance of the invoice.

In the case of card payments, card data (e.g. card number, expiry date, CVC) are processed by Barion Payment Zrt. (address: H-1117 Budapest, Irinyi József utca 4–20. 2nd floor; company registration number: 01-10-048552; tax number: 25353192-2-43), an electronic money institution supervised by the Central Bank of Hungary (Magyar Nemzeti Bank), acting as an independent controller. The Controller does not have access to the full card data and does not store copies of them; the detailed rules of Barion’s data processing are set out in the privacy and cookie policies of Barion Payment Zrt., available on www.barion.com .

Legal basis:

• compliance with a legal obligation (Article 6(1)(c) GDPR) – in particular the obligation to retain accounting documents pursuant to accounting and tax laws,

• to the extent directly necessary for payment, performance of the contract – Article 6(1)(b) GDPR.

Retention period:

Personal data on accounting documents are retained by the Controller for at least 8 years, in accordance with the relevant statutory provisions.

5. Communication, complaint handling, legal disputes

The Controller communicates with data subjects via communication channels (e-mail, telephone, social media messages) in relation to providing the service, as well as in the context of complaint handling, information and legal disputes.

Categories of personal data processed:

• identification data of the data subject (name, contact details),

• content of the enquiry, attachments,

• internal notes, decisions and replies related to complaint handling.

Legal basis:

• performance of the contract (Article 6(1)(b) GDPR),

• legitimate interest of the Controller (Article 6(1)(f) GDPR) – in particular for the submission, enforcement and defence of legal claims.

Retention period:

As a general rule, records and electronic messages created in the course of communication and complaint handling are retained for 5 years from closure of the given case, or in the event of legal disputes until expiry of the relevant claims.

6. Marketing processing, newsletters, reference photographs

On the basis of separate consent, the Controller may:

• send newsletters and marketing electronic messages to the e-mail address provided by the data subject,

• use photographs taken during the service as reference, portfolio, advertising or social media content (including on the Luminogram website, social media pages and printed promotional materials).

Categories of personal data processed:

• name, e-mail address, fact and date of consent,

• photographs used for marketing purposes,

• the data subject’s declaration on the mode of use (e.g. only anonymised, only on certain platforms).

Legal basis:

• the data subject’s voluntary, prior consent based on appropriate information (Article 6(1)(a) GDPR).

Retention period:

• until withdrawal of consent,

• or, where the data subject remains inactive for a longer period, at most 5 years from the last active contact.

The data subject may withdraw consent at any time, without giving reasons (e.g. by e-mail or by using the unsubscribe link provided in the newsletter). Withdrawal does not affect the lawfulness of processing carried out before withdrawal.

7. Website, online booking interface, Pixieset galleries and cookies

The Controller operates its website and client galleries using the system provided by Pixieset Media Inc., and its online booking interface via the Booked4.us system. The use of the website, the online booking interface and the client galleries may involve the automatic processing of log data and cookies. When using the online booking interface and the Barion Smart Gateway online card payment service, cookies and tracking codes provided by Barion Payment Zrt. (in particular the Barion Pixel technology) may also be placed in the visitor’s browser; these cookies and tracking technologies are implemented and controlled by Barion Payment Zrt. as an independent controller, in accordance with its own privacy and cookie policies available on www.barion.com .

Types of personal data processed:

• IP address,

• device and browser information,

• access timestamps,

• log data relating to the use of certain functions (e.g. opening a gallery, downloading a photograph),

• cookie identifiers, session identifiers.

Legal basis:

• for essential (strictly necessary) cookies and log data, the legal basis is the Controller’s legitimate interest (secure and uninterrupted operation of the website and galleries),

• for statistical, analytical or marketing cookies, the legal basis is the data subject’s consent.

4. Processing relating to minors

It is common in the course of Luminogram’s services that minors also appear in photographs.

• In the case of minors with no legal capacity and minors below the age of 18, processing of personal data and the taking and use of photographs require the consent of the legal representative (parent, guardian).

The Controller is entitled, to a reasonable extent, to verify the identity and authority of the legal representative of minors participating in the photo session, in particular in accordance with the provisions of the “Guardian’s Declaration”.

Marketing, public use (e.g. social media post, portfolio image) of photographs taken of minors may only take place on the basis of an explicit, written consent.

5. Processors, data transfers, joint controllers

   1. Data processors

   Processor           Activity       Categories of data processed

Booked4.us Kft.

Operation of online appointment booking system

Data provided for booking: name, contact details, booked date and time, package, number of participants, etc.

Pixieset Media Inc.

Operation of website and client galleries, storage of image files, provision of gallery access

Photographs, name and e-mail address of client and gallery recipients, IP addresses and log data relating to gallery use

Billingo Technologies Zrt.

Operation of electronic invoicing system

Billing data: name, address, tax number, invoice data

Hosting and e-mail service providers, IT partners

Management of e-mail traffic, IT security and operation

Communication data, technical log data

The Controller concludes written contracts with the data processors in accordance with Article 28 GDPR, ensuring that the processor may process personal data solely in accordance with the Controller’s instructions, the law, and appropriate security measures.

2. Barion as independent controller

In the case of online card payments, the data subject is redirected to the payment interface operated by Barion and completes the payment via the Barion Smart Gateway service.

During the execution of the payment, with regard to the processing of card data and payment transaction data (in particular: the amount and currency of the transaction, the date and time of the transaction, the subject of the purchase, the user’s IP address, and device and browser identifiers), Barion qualifies as an independent controller.

Barion processes personal data in particular for the purposes of executing payment transactions, issuing electronic money, preventing money laundering and terrorist financing, and preventing card misuse and fraud, on the legal bases set out in its own privacy policy.

The detailed rules of Barion’s data processing are contained in the Privacy Notice and Cookie Notice published on the website www.barion.com ; Luminogram is not responsible for the data processing carried out by Barion.

Luminogram only receives from Barion limited information necessary for performance of the service and compliance with accounting obligations, in particular information on whether the payment was successful, the identifier of the transaction, the amount of the payment and the settlement data required for reconciliation.

3. Other data transfers

The Controller may transfer personal data to third parties in the following cases:

• for the purpose of complying with legal obligations (e.g. requests from authorities, court or enforcement proceedings),

• to legal representatives, accountants, tax advisors, to the extent necessary for the submission, enforcement or defence of legal claims,

• to hotel partners, where the service is provided directly within the framework of cooperation with the given hotel and the transfer of data is indispensable for fulfilment of the booking,

• in the event of reorganisation, transfer or cessation of Luminogram’s activities, to the legal successor taking over the business, provided that the legal successor undertakes to provide at least the same level of data protection guarantees as the Controller; in such a case, data subjects will be informed of the change in the identity of the controller.

4. Transfers to third countries

Due to the use of services provided by Pixieset Media Inc., personal data may be stored and processed on servers located outside the European Economic Area (EEA), in particular in Canada and the United States.

The legal basis for such transfers is the provision of appropriate safeguards in accordance with Article 46 GDPR – in particular the use of the European Commission’s standard contractual clauses – as well as the technical and organisational measures applied by the service provider.

6. Data security

The Controller uses all reasonable efforts to protect personal data against unauthorised access, alteration, disclosure, accidental destruction or damage.

In particular, the Controller:

• restricts access to personal data (only those persons have access who need it for the performance of their duties),

• applies appropriate password and access management rules,

• uses a secure, and where possible encrypted, channel for accessing client galleries,

• regularly updates the security settings of the devices and software it uses,

• requires and enforces a similar level of data security from its processors.

In the event of a personal data breach, the Controller will, in accordance with Articles 33–34 GDPR:

• notify the breach to the Hungarian National Authority for Data Protection and Freedom of Information without undue delay and, where feasible, not later than 72 hours after becoming aware of it, if the breach is likely to result in a risk to the rights and freedoms of natural persons,

• where necessary, inform the data subjects of the breach, its likely consequences and the measures taken to address it.

The Controller keeps a record of all personal data breaches and takes the necessary measures to prevent their recurrence.

7. Rights of data subjects

The data subject may request from the Controller:

• access to their personal data,

• rectification of their personal data,

• erasure of their personal data (“right to be forgotten”),

• restriction of processing,

• objection to processing,

• data portability, where the legal basis for processing is consent or contract and processing is carried out by automated means,

• in the case of processing based on consent, withdrawal of consent at any time.

1. Right of access

The data subject has the right to obtain confirmation from the Controller as to whether or not personal data concerning them are being processed and, where that is the case, to access the personal data and the information relating to the processing.

2. Right to rectification

The data subject may request the rectification of inaccurate personal data and the completion of incomplete data.

3. Right to erasure

The data subject may request erasure of their personal data where:

• the personal data are no longer necessary in relation to the purposes for which they were collected,

• the data subject withdraws consent and there is no other legal basis for the processing,

• the processing is unlawful,

• erasure is required by law.

The Controller may not erase data immediately where a law requires retention (e.g. billing data) or where the data are necessary for the submission, enforcement or defence of legal claims.

4. Right to restriction of processing

The data subject may request restriction of processing where:

• the accuracy of the personal data is contested by the data subject,

• the processing is unlawful and the data subject opposes erasure,

• the Controller no longer needs the personal data for the purposes of the processing, but the data are required by the data subject for the submission, enforcement or defence of legal claims,

• the data subject has objected to processing based on legitimate interests; in this case processing is restricted until it is verified whether the Controller’s legitimate grounds override those of the data subject.

5. Right to data portability

The data subject has the right to receive the personal data concerning them, which they have provided to the Controller, in a structured, commonly used and machine-readable format and has the right to transmit those data to another controller, and – where technically feasible – to request direct transmission from one controller to another.

6. Right to object

The data subject has the right to object at any time to processing of personal data based on legitimate interests; in such a case the Controller will no longer process the data unless it demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the submission, enforcement or defence of legal claims.

7. Right to withdraw consent

In the case of processing based on consent, the data subject may withdraw consent at any time, without giving reasons, for example:

• by sending a statement by e-mail to the Controller,

• in the case of newsletters, by using the unsubscribe link provided at the bottom of the e-mail.

Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.

8. Manner and deadline for submitting requests

The data subject may submit a request to exercise the above rights using the contact details indicated in Section 1 (primarily by e-mail or post). The Controller will examine and reply to the request without undue delay and in any event within 1 month of receipt; in exceptional cases, having regard to the complexity of the request and the number of requests, this period may be extended by a further 2 months, of which the Controller will inform the data subject.

8. Remedies

   1. Complaint to the Controller

If the data subject considers that the Controller has not acted in accordance with the law in processing their personal data, they may first lodge a complaint directly with the Controller using the contact details set out in Section 1. The Controller will seek to resolve complaints as quickly and amicably as possible.

2. Complaint to the supervisory authority

The data subject also has the right to lodge a complaint with the supervisory authority:

Hungarian National Authority for Data Protection and Freedom of Information (NAIH)

• Address: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.

• Postal Adress: 1530 Budapest, Pf. 5.

• Phone: +36 (1) 391-1400

• E-mail: ugyfelszolgalat@naih.hu

3. Judicial remedy

The data subject has the right to bring a civil action before the competent regional court (törvényszék) of their place of residence or habitual residence if they consider that the processing of their personal data is unlawful. The court proceeds in such cases as a matter of priority.

9. Final provisions

The Controller reserves the right to unilaterally amend this Privacy Notice at any time if required by changes in the law, supervisory practice or the Controller’s activities and services.

The Controller will inform data subjects of amendments by publishing them on the Luminogram website / online platforms. Amendments take effect upon publication; the data subject has the right to object to the processing and to withdraw consent-based processing.

Effective: 10th December, 2025

Adatkezelési Tájékoztató

1. Az adatkezelő adatai 2

1.1. Adatkezelő 2

1.2. Adatvédelmi kapcsolattartó 2

2. Az adatkezelésre vonatkozó jogszabályok és alapelvek 2

2.1. Irányadó jogszabályok 2

2.2. Az adatkezelés alapelvei 3

3. Az adatkezelés célja, jogalapja, kezelt adatok köre 3

3.1. Összefoglaló táblázat az adatkezelésekről 3

3.2. Foglalások kezelése, szerződéskötés, a szolgáltatás nyújtása 4

3.3. Képfelvételek készítése, szerkesztése, átadása, archiválása 5

3.4. Számlázás, fizetés, pénzügyi-számviteli kötelezettségek 6

3.5. Kapcsolattartás, panaszkezelés, jogviták 7

3.6. Marketing célú adatkezelés, hírlevél, referencia-fotók 7

3.7. Honlap, online foglalási felület, Pixieset-galériák és cookie-k 8

4. Kiskorúakra vonatkozó adatkezelés 8

5. Adatfeldolgozók, adattovábbítások, közös adatkezelés 9

5.1. Adatfeldolgozók 9

5.2. Barion, mint önálló adatkezelő 9

5.3. További adattovábbítások 10

5.4. Adattovábbítás harmadik országba 10

6. Adatbiztonság 10

7. Az érintettek jogai 11

7.1. Hozzáféréshez való jog 11

7.2. Helyesbítéshez való jog 11

7.3. Törléshez való jog 11

7.4. Az adatkezelés korlátozásához való jog 12

7.5. Adathordozhatósághoz való jog 12

7.6. Tiltakozáshoz való jog 12

7.7. Hozzájárulás visszavonásához való jog 12

7.8. A kérelem benyújtásának módja és határideje 13

8. Jogorvoslati lehetőségek 13

8.1. Panasztétel az Adatkezelőnél 13

8.2. Panasz benyújtása a felügyeleti hatósághoz 13

8.3. Bírósági jogérvényesítés 13

9. Záró rendelkezések 13

1. Az adatkezelő adatai

1. Adatkezelő

• Név: Nagy Kristóf E.V.

• Nyilvántartási szám: 61494916

• Adószám: 91596444-1-41

• Székhely: H-1042, Budapest, Árpád út 68-70., 1. emelet, 3. ajtó

• E-mail cím: info@luminogram.com

• Telefonszám: +36 (30) 256 7138

• Honlap / online felületek:

  • a Luminogram Pixieset-alapú honlapja és ügyfélgalériái,

  • a Booked4.us időpontfoglalási felület,

  • a Luminogram közösségi média oldalai (pl. Facebook, Instagram stb.).

A jelen tájékoztatóban a továbbiakban: Adatkezelő vagy Luminogram.

2. Adatvédelmi kapcsolattartó

Az Adatkezelő a GDPR alapján adatvédelmi tisztviselő kijelölésére nem köteles, ezért külön adatvédelmi tisztviselőt nem jelölt ki.

Adatvédelmi kérdések, észrevételek, kérelmek esetén az érintett a fenti elérhetőségeken jogosult az Adatkezelővel kapcsolatba lépni.

2. Az adatkezelésre vonatkozó jogszabályok és alapelvek

   1. Irányadó jogszabályok

Az Adatkezelő a személyes adatok kezelése során különösen az alábbi jogszabályok rendelkezéseit tartja irányadónak:

az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR),

• a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.),

• a 2013. évi V. törvény a Polgári Törvénykönyvről (Ptk.),

• a 2000. évi C. törvény a számvitelről (Sztv.),

• a 2017. évi CL. törvény az adózás rendjéről,

• a 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatásokról,

• a 1997. évi CLV. törvény a fogyasztóvédelemről,

• egyéb, az Adatkezelő tevékenységére irányadó magyar és uniós jogszabályok.

2. Az adatkezelés alapelvei

Az Adatkezelő a személyes adatok kezelését a GDPR 5. cikkében rögzített elveknek megfelelően végzi, különösen:

• jogszerűség, tisztességesség, átláthatóság,

• célhoz kötöttség,

• adattakarékosság,

• pontosság,

• korlátozott tárolhatóság,

• integritás és bizalmas jelleg,

• elszámoltathatóság.

Az Adatkezelő csak olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és a céllal arányos mértékben, ideig.

3. Az adatkezelés célja, jogalapja, kezelt adatok köre

   1. Összefoglaló táblázat az adatkezelésekről

   Sorszám          Adatkezelés célja           Érintettek köre         Kezelt adatok fő csoportjai

1.

Foglalások kezelése, szerződéskötés, a fotószolgáltatás nyújtása

Foglalást kezdeményező ügyfelek, résztvevők (kísérők, családtagok, partner(ek))

Név, elérhetőségek (e-mail, telefon), nyelvi preferencia, foglalt időpont, helyszín, szálloda, szobaszám (ha releváns), csomag, résztvevők száma, speciális kérések, nyilatkozatok (pl. gondviselői hozzájárulás)

2.

Képfelvételek készítése, szerkesztése, átadása, archiválása

Szolgáltatást igénybe vevő ügyfelek és a fotókon szereplő személyek (felnőttek és kiskorúak)

Képfelvételek (digitális és – ha van – nyomtatott formában), galériaazonosítók, válogatási adatok, technikai metaadatok

3.

Számlázás, pénzügyi-számviteli kötelezettségek teljesítése

Számlafizető ügyfelek

Számlázási név, cím, adószám (ha van), számla adatai (díj, tétel megnevezése, fizetési mód, dátum)

4.

Kapcsolattartás, panaszkezelés, jogviták rendezése

Érdeklődők, ügyfelek, érintettek

Kommunikációs adatok (e-mail, telefonszám), panasz vagy megkeresés tartalma, kapcsolódó dokumentumok

5.

Marketing kommunikáció, hírlevél, ajánlatok küldése, referencia-fotók nyilvános felhasználása

Hozzájárulást adó ügyfelek, a képeken szereplő személyek

Név, e-mail cím, felhasznált képfelvételek, hozzájáruló nyilatkozatok

6.

Honlap, online foglalási felület és Pixieset-ügyfélgalériák működtetése, informatikai biztonság, statisztikák

Honlap- és galérialátogatók, ügyfelek

IP-cím, böngésző- és eszközinformációk, cookie-azonosítók, naplóadatok, felhasználói aktivitás

A fenti táblázat a fő adatkezelési tevékenységek összefoglalását tartalmazza; az egyes adatkezelésekre vonatkozó részletes szabályokat az alábbi alpontok fejtik ki.

2. Foglalások kezelése, szerződéskötés, a szolgáltatás nyújtása

Az Adatkezelő fényképészeti szolgáltatásait az ügyfelek

• közvetlenül (online foglalási rendszeren, e-mailen, telefonon, közösségi médián) vagy

• közvetetten, hotel recepcióján keresztül

foglalhatják le.

Érintettek köre: mindazon természetes személyek, akik a Luminogram szolgáltatásait igénybe veszik, illetve a foglalásban részt vevő további személyek (pl. családtagok, barátok, partner).

Kezelt adatok köre:

• név,

• elérhetőségek (e-mail cím, telefonszám),

• a foglalás részletei (időpont, helyszín, szálloda, szobaszám, választott csomag, nyelvi preferencia),

• résztvevők száma és – ha releváns – életkor szerinti minősítés (felnőtt / kiskorú),

• speciális kérések (pl. akadálymentesség, egyedi helyszínkérés),

• kiskorúak esetén a törvényes képviselő adatai és hozzájáruló nyilatkozata.

Forrás:

Az adatokat az érintett maga adja meg, vagy a hotel recepciója, illetve a Booked4.us időpontfoglaló rendszere továbbítja az Adatkezelő részére a foglalás teljesítése érdekében.

Jogalap:

• a szolgáltatásra irányuló szerződés megkötése és teljesítése (GDPR 6. cikk (1) bek. b) pont),

• egyes esetekben az Adatkezelő jogos érdeke (6. cikk (1) bek. f) pont) – például, ha a foglalást egy személy intézi, de más személyek is részt vesznek a fotózáson; ez a szerződés teljesítéséhez és a szolgáltatás megszervezéséhez elengedhetetlen, az érintettek magánszférájához fűződő jogait azonban nem sérti aránytalanul.

Adatszolgáltatás jellege:

Az adatszolgáltatás önkéntes, azonban a szerződés megkötéséhez és teljesítéséhez bizonyos adatok megadása elengedhetetlen. Az adatszolgáltatás elmaradása esetén az Adatkezelő a foglalást nem tudja elfogadni, illetve a szolgáltatást nem tudja nyújtani.

Megőrzési idő:

A foglalással kapcsolatos személyes adatokat főszabályként a szolgáltatás teljesítésétől számított 5 évig kezeli az Adatkezelő a polgári jogi elévülési idő figyelembevételével.

3. Képfelvételek készítése, szerkesztése, átadása, archiválása

A Luminogram fő tevékenysége fényképészeti szolgáltatás nyújtása; ennek körében az érintettekről képfelvételek készülnek, azokat az Adatkezelő válogatja, szerkeszti és digitális (valamint szükség szerint nyomtatott) formában az ügyfél rendelkezésére bocsátja.

Érintettek köre:

a fotózáson jelen lévő és a fényképeken ténylegesen megjelenő természetes személyek (felnőttek és kiskorúak).

Kezelt adatok köre:

• a fényképfelvételek, ideértve azok metaadatait,

• a galériához tartozó technikai és hozzáférési adatok (galéria-azonosító, jelszó, letöltési adatok),

• az ügyfél válogatási, rendelési adatai (mely képek kerüljenek retusálásra, nyomtatásra).

Jogalap:

• a szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont) – a szolgáltatás lényege a képfelvételek elkészítése és átadása;

• marketing-, referencia-, portfólió- vagy közösségi média célú felhasználás esetén külön, önkéntes hozzájárulás (GDPR 6. cikk (1) bek. a) pont), amelyet az érintett (illetve kiskorú esetén a törvényes képviselő) írásban ad meg.

Megőrzési idő:

• a szerződés teljesítéséhez szükséges mértékben a szolgáltatás teljesítésétől számított legfeljebb 5 évig,

• marketing célú, referencia-jellegű felhasználás esetén a hozzájárulás visszavonásáig, illetve legfeljebb addig az időpontig, amíg az adott felhasználás a Luminogram kommunikációjában ténylegesen folyamatban van.

A hozzájárulás bármikor, indokolás nélkül visszavonható; a visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.

4. Számlázás, fizetés, pénzügyi-számviteli kötelezettségek

A szolgáltatási díj megfizetése és az ahhoz kapcsolódó jogszabályi kötelezettségek teljesítése érdekében az Adatkezelő számlát állít ki, és a könyvvezetéshez szükséges adatokat kezeli. A fizetés történhet készpénzben, átutalással, illetve Barion online bankkártyás fizetési szolgáltatáson keresztül.

Kezelt adatok köre:

• számlafizető neve, címe, adószáma (ha releváns),

• a szolgáltatás ellenértéke, fizetés módja, dátuma,

• bankszámla adatai (átutalás esetén) a számla teljesítésének igazolására.

Bankkártyás fizetés esetén az online fizetési szolgáltatást a Barion Payment Zrt. (székhely: 1117 Budapest, Irinyi József utca 4–20. B épület 2. emelet; cégjegyzékszám: 01-10-048552; adószám: 25353192-2-43; a továbbiakban: Barion) biztosítja a Barion Smart Gateway szolgáltatásán keresztül. A fizetés során a bankkártya-adatokat (pl. kártyaszám, lejárat, CVC-kód), valamint a fizetési tranzakcióval összefüggő egyes adatokat (pl. a fizetendő összeg, a vásárlás tárgya, dátuma, IP-cím) kizárólag a Barion mint önálló adatkezelő kezeli; a Luminogram ezen adatokhoz nem fér hozzá. A Barion adatkezeléséről, ideértve az online fizetéshez használt cookie-kat is, részletes tájékoztató a www.barion.com oldalon elérhető Adatkezelési tájékoztatóban és Cookie tájékoztatóban található.

Jogalap:

• jogi kötelezettség teljesítése (GDPR 6. cikk (1) bek. c) pont) – különösen a számviteli és adójogszabályok szerinti bizonylat-megőrzési kötelezettség,

• a fizetéshez közvetlenül szükséges mértékben a szerződés teljesítése – 6. cikk (1) bek. b) pont.

Megőrzési idő:

A számviteli bizonylatokon szereplő személyes adatokat a vonatkozó jogszabályi rendelkezések szerint legalább 8 évig őrzi meg az Adatkezelő.

5. Kapcsolattartás, panaszkezelés, jogviták

Az Adatkezelő az érintettekkel a szolgáltatás nyújtása, illetve azzal összefüggő panaszkezelés, tájékoztatás, jogvita esetén kommunikációs csatornákon (e-mail, telefon, közösségi média üzenetek) keresztül tart kapcsolatot.

Kezelt adatok köre:

• az érintett azonosító adatai (név, elérhetőségek),

• a megkeresés tartalma, mellékletek,

• panaszkezeléshez kapcsolódó belső jegyzetek, döntések, válaszlevelek.

Jogalap:

• a szerződés teljesítése (6. cikk (1) bek. b) pont),

• az Adatkezelő jogos érdeke (6. cikk (1) bek. f) pont) – különösen jogi igények előterjesztése, érvényesítése, védelme.

Megőrzési idő:

A kapcsolattartás és panaszkezelés során keletkezett iratok, elektronikus üzenetek főszabály szerint az adott ügy lezárásától számított 5 évig kerülnek megőrzésre, jogvita esetén az igények elévüléséig.

6. Marketing célú adatkezelés, hírlevél, referencia-fotók

Az Adatkezelő külön hozzájárulás alapján jogosult:

• hírlevelet, marketing célú elektronikus üzenetet küldeni az érintett által megadott e-mail címre,

• a szolgáltatás során készült fényképfelvételeket referencia-, portfólió-, reklám- vagy közösségi média tartalomként felhasználni (ideértve a Luminogram honlapját, közösségi média oldalait, nyomtatott promóciós anyagait).

Kezelt adatok köre:

• név, e-mail cím, hozzájárulás ténye és időpontja,

• marketing célra felhasznált képfelvételek,

• az érintett nyilatkozata a felhasználás módjáról (pl. csak anonimizáltan, csak bizonyos felületeken).

Jogalap:

• az érintett önkéntes, előzetes és megfelelő tájékoztatáson alapuló hozzájárulása (GDPR 6. cikk (1) bek. a) pont).

Megőrzési idő:

• a hozzájárulás visszavonásáig,

• illetve – amennyiben az érintett huzamosabb ideig nem reagál – legfeljebb az utolsó aktív kapcsolatfelvételtől számított 5 évig.

Az érintett a hozzájárulást bármikor, indokolás nélkül visszavonhatja (pl. e-mailben vagy a hírlevélben elhelyezett leiratkozási link útján). A visszavonás nem érinti a visszavonás előtt végzett adatkezelés jogszerűségét.

7. Honlap, online foglalási felület, Pixieset-galériák és cookie-k

Az Adatkezelő honlapját és ügyfélgalériáit a Pixieset Media Inc. által biztosított rendszerben, online időpontfoglaló felületét pedig a Booked4.us Kft. rendszerében működteti. A honlap, az online foglalási felület és a galériák használata során a rendszerek automatikusan naplóadatokat és cookie-kat kezelhetnek. Az online bankkártyás fizetés biztosítása érdekében a Booked4.us felületen a Barion Payment Zrt. által üzemeltetett Barion Smart Gateway és a hozzá kapcsolódó Barion Pixel technológia is működhet; ezen cookie-k és nyomkövető megoldások adatkezelője a Barion Payment Zrt., amely az adatkezelés részleteiről saját adatkezelési és cookie-tájékoztatóiban nyújt tájékoztatást.

Kezelt adatok típusa:

• IP-cím,

• eszköz- és böngésző-információk,

• hozzáférési időpontok,

• egyes funkciók (pl. galéria megnyitása, kép letöltése) használatára vonatkozó naplóadatok,

• cookie-azonosítók, session azonosítók.

Jogalap:

• az alapvető (működéshez szükséges) cookie-k és naplóadatok kezelésének jogalapja az Adatkezelő jogos érdeke (a honlap és a galériák biztonságos és zavartalan működtetése),

• a statisztikai, analitikai vagy marketing célú cookie-k jogalapja az érintett hozzájárulása.

4. Kiskorúakra vonatkozó adatkezelés

A Luminogram szolgáltatásai során gyakori, hogy kiskorúak is szerepelnek a fényképeken.

• Cselekvőképtelen, illetve 18. életévét be nem töltött kiskorú esetében a személyes adatok kezeléséhez és a képfelvételek elkészítéséhez, valamint felhasználásához a törvényes képviselő (szülő, gondviselő) hozzájárulása szükséges.

Az Adatkezelő jogosult a fotózás során részt vevő kiskorúak törvényes képviselőjének személyazonosságát, jogosultságát – különösen a „gondviselői nyilatkozatban” foglaltak szerint – ésszerű mértékben ellenőrizni.

A marketing célú, nyilvános felhasználás (pl. közösségi média poszt, portfóliókép) kiskorúakról készült felvételek esetében kizárólag kifejezett, írásbeli hozzájárulás alapján történhet.

5. Adatfeldolgozók, adattovábbítások, közös adatkezelés

   1. Adatfeldolgozók

   Adatfeldolgozó           Tevékenység     Kezelt adatok főbb körei

Booked4.us Kft.

Online időpontfoglaló rendszer üzemeltetése

Foglaláshoz megadott adatok: név, elérhetőségek, foglalt időpont, csomag, résztvevők száma stb.

Pixieset Media Inc.

Weboldal és ügyfélgalériák üzemeltetése, képfájlok tárolása, galéria-hozzáférés biztosítása

Képfelvételek, ügyfél és címzettjei neve és e-mail címe, IP-címek és naplóadatok a galéria-használat során

Billingo Technologies Zrt.

Elektronikus számlázó rendszer üzemeltetése

Számlázási adatok: név, cím, adószám, számlaadatok

Tárhely- és e-mail szolgáltatók, IT partnerek

E-mail forgalom kezelése, adatbiztonsági, üzemeltetési feladatok

Kommunikációs adatok, technikai naplóadatok

Az Adatkezelő az adatfeldolgozókkal a GDPR 28. cikke szerinti írásbeli szerződést köt, mely biztosítja, hogy az adatfeldolgozó kizárólag az Adatkezelő utasításai, a jogszabályok és megfelelő biztonsági intézkedések mellett kezelheti a személyes adatokat.

2. Barion, mint önálló adatkezelő

Online bankkártyás fizetés esetén az érintett a Barion által üzemeltetett Barion Smart Gateway fizetési felületre kerül átirányításra, illetve azon keresztül teljesíti fizetését.

A fizetés lebonyolítása során a bankkártyaadatok és a fizetési tranzakcióval összefüggő adatok (különösen: a tranzakció összege, devizaneme, időpontja, a vásárlás tárgya, a felhasználó IP-címe, eszköz- és böngésző-azonosítók) kezelése tekintetében a Barion önálló adatkezelőnek minősül.

A Barion a személyes adatokat különösen a fizetési tranzakciók lebonyolítása, az elektronikus pénz kibocsátása, a pénzmosás és terrorizmus-finanszírozás megelőzése, valamint a bankkártyás visszaélések megelőzése céljából kezeli, a saját adatkezelési tájékoztatójában meghatározott jogalapok szerint.

A Barion adatkezelésének részletes szabályait a www.barion.com weboldalon közzétett Adatkezelési tájékoztató és Cookie tájékoztató tartalmazza; a Luminogram a Barion által végzett adatkezelésért nem felel.

A Luminogram a Bariontól kizárólag a fizetés sikerességére, azonosítójára és összegére, valamint a szükséges elszámolási adatokra vonatkozó, a szolgáltatás teljesítéséhez és a számviteli kötelezettségek teljesítéséhez szükséges korlátozott információt kap.

3. További adattovábbítások

Az Adatkezelő a személyes adatokat az alábbi esetekben továbbíthatja harmadik személyek részére:

• jogi kötelezettség teljesítése érdekében (pl. hatósági megkeresés, bírósági vagy végrehajtási eljárás),

• jogi képviselők, könyvelők, adótanácsadók részére jogi igények érvényesítéséhez vagy védekezéshez szükséges mértékben,

• szállodai partnerek részére, amennyiben a szolgáltatás közvetlenül az adott hotellal kötött együttműködés keretében valósul meg, és az adatok továbbítása a foglalás teljesítéséhez elengedhetetlen,

• a Luminogram tevékenységének átszervezése, átruházása, megszűnése esetén az üzletágat átvevő jogutód számára, azzal a feltétellel, hogy a jogutód legalább olyan szintű adatvédelmi garanciákat vállal, mint az Adatkezelő; ilyen esetben az érintettek tájékoztatást kapnak az adatkezelő személyében bekövetkező változásról.

4. Adattovábbítás harmadik országba

A Pixieset Media Inc. szolgáltatásai igénybevétele miatt elképzelhető, hogy a személyes adatok az Európai Gazdasági Térségen (EGT) kívüli országokban (különösen Kanadában és az Egyesült Államokban) elhelyezkedő szervereken kerülnek tárolásra, feldolgozásra.

Az ilyen adattovábbítások jogalapja a GDPR 46. cikke szerinti megfelelő garanciák – különösen az Európai Bizottság által elfogadott általános szerződési feltételek (Standard Contractual Clauses) –, továbbá a szolgáltató által alkalmazott technikai és szervezési intézkedések.

6. Adatbiztonság

Az Adatkezelő mindent megtesz annak érdekében, hogy a személyes adatokat a jogosulatlan hozzáféréssel, módosítással, nyilvánosságra hozatallal, véletlen megsemmisüléssel vagy károsodással szemben megvédje.

Ennek keretében különösen:

• korlátozza a személyes adatokhoz való hozzáférést (csak azok a személyek férhetnek hozzá, akiknek ez a feladataik ellátásához szükséges),

• megfelelő jelszókezelési és jogosultságkezelési szabályokat alkalmaz,

• biztonságos, lehetőség szerint titkosított csatornát alkalmaz az ügyfélgalériák elérésére,

• rendszeresen frissíti az általa használt eszközök és szoftverek biztonsági beállításait,

• adatfeldolgozóitól is elvárja és megköveteli a hasonló szintű adatbiztonságot.

Adatvédelmi incidens esetén az Adatkezelő a GDPR 33–34. cikkeinek megfelelően:

• indokolatlan késedelem nélkül, legkésőbb 72 órán belül bejelenti az incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, ha az valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira nézve,

• szükség esetén tájékoztatja az érintetteket az incidensről, annak várható következményeiről és az elhárítására tett intézkedésekről.

Az Adatkezelő minden adatvédelmi incidenst nyilvántartásba vesz, és megteszi a szükséges intézkedéseket annak érdekében, hogy az ismételten ne következzen be.

7. Az érintettek jogai

Az érintett kérelmezheti az Adatkezelőtől:

• a személyes adataihoz való hozzáférést,

• azok helyesbítését,

• törlését („elfeledtetés”),

• az adatkezelés korlátozását,

• az adatkezelés elleni tiltakozást,

• adathordozhatóságát, amennyiben az adatkezelés jogalapja hozzájárulás vagy szerződés, és az automatizált módon történik,

• hozzájárulás alapján végzett adatkezelés esetén a hozzájárulás bármikori visszavonását.

1. Hozzáféréshez való jog

Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a kezelt személyes adatokhoz és az adatkezelésre vonatkozó információkhoz hozzáférést kapjon.

2. Helyesbítéshez való jog

Az érintett kérheti a pontatlan személyes adatok helyesbítését, illetve a hiányos adatok kiegészítését.

3. Törléshez való jog

Az érintett kérheti személyes adatainak törlését, ha:

• az adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték,

• az érintett visszavonta hozzájárulását, és az adatkezelésnek nincs más jogalapja,

• az adatkezelés jogellenes,

• azt jogszabály írja elő.

Az Adatkezelő azonnal nem törölheti azokat az adatokat, amelyek megőrzését jogszabály írja elő (pl. számlaadatok), vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükségesek.

4. Az adatkezelés korlátozásához való jog

Az érintett kérheti az adatkezelés korlátozását, ha:

• vitatja az adatok pontosságát,

• az adatkezelés jogellenes, de nem kéri az adatok törlését,

• az Adatkezelőnek az adatokra már nincs szüksége, de az érintett jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez igényli azokat,

• az érintett a jogos érdeken alapuló adatkezelés ellen tiltakozott; ez esetben a korlátozás addig tart, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett indokaival szemben.

5. Adathordozhatósághoz való jog

Az érintett jogosult arra, hogy az Adatkezelő rendelkezésére bocsátott, rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, illetve – technikailag megvalósítható esetben – kérheti az adatok közvetlen továbbítását másik adatkezelőhöz.

6. Tiltakozáshoz való jog

Az érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen; ebben az esetben az Adatkezelő az adatokat nem kezelheti tovább, kivéve, ha az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

7. Hozzájárulás visszavonásához való jog

Az érintett hozzájáruláson alapuló adatkezelés esetén a hozzájárulást bármikor, indokolás nélkül visszavonhatja, például:

• e-mail útján az Adatkezelő részére küldött nyilatkozattal,

• hírlevél esetén az e-mail alján biztosított leiratkozási lehetőség igénybevételével.

A visszavonás nem érinti a visszavonás előtt végzett adatkezelés jogszerűségét.

8. A kérelem benyújtásának módja és határideje

Az érintett a fenti jogai gyakorlására irányuló kérelmét az 1. pontban megadott elérhetőségeken (elsősorban e-mailben vagy postai úton) nyújthatja be. Az Adatkezelő a kérelmet indokolatlan késedelem nélkül, de legkésőbb 1 hónapon belül megvizsgálja és megválaszolja; kivételesen, a kérelem összetettségére és a kérelmek számára tekintettel ez a határidő további 2 hónappal meghosszabbítható, amelyről az Adatkezelő az érintettet tájékoztatja.

8. Jogorvoslati lehetőségek

   1. Panasztétel az Adatkezelőnél

Az érintett, amennyiben úgy véli, hogy személyes adatai kezelése során az Adatkezelő nem a jogszabályoknak megfelelően járt el, elsődlegesen jogosult panaszával közvetlenül az Adatkezelőhöz fordulni az 1. pontban megadott elérhetőségeken. Az Adatkezelő törekszik a panaszok mihamarabbi, békés rendezésére.

2. Panasz benyújtása a felügyeleti hatósághoz

Az érintett jogosult panaszt tenni a felügyeleti hatóságnál is:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

• Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.

• Levelezési cím: 1530 Budapest, Pf. 5.

• Telefon: +36 (1) 391-1400

• E-mail: ugyfelszolgalat@naih.hu

3. Bírósági jogérvényesítés

Az érintett jogosult a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt polgári pert indítani, ha megítélése szerint a személyes adatainak kezelése jogellenes. A bíróság az ügyben soron kívül jár el.

9. Záró rendelkezések

Az Adatkezelő fenntartja a jogot, hogy jelen Adatkezelési Tájékoztatót bármikor, egyoldalúan módosítsa, ha azt jogszabályváltozás, hatósági gyakorlat, illetve az Adatkezelő tevékenységének, szolgáltatásainak változása indokolja.

Az Adatkezelő a módosításokról a Luminogram honlapján / online felületein történő közzététel útján tájékoztatja az érintetteket. A módosítások a közzétételtől hatályosak; az érintett jogosult az adatkezeléssel szemben tiltakozni, illetve a hozzájáruláson alapuló adatkezelést visszavonni.

Hatályos: 2025. December 10.