GDPR-meddelelse - Vezpa PMS

1. Indledning og anvendelsesomrade

Denne meddelelse beskriver, hvordan Vezpa di Paolo Vezzola (herefter "Vezpa" eller "Vi") behandler personoplysninger i overensstemmelse med:

EU-forordning 2016/679 (GDPR)
Lovdekret 196/2003 (italiensk privatlivskodeks) som ændret ved lovdekret 101/2018
Foranstaltninger og retningslinjer fra den italienske databeskyttelsesmyndighed (Garante)

1.1 Hvem den gælder for

Denne meddelelse gælder for:

👤 Forvaltere af indkvarteringssteder, der anvender Vezpa (direkte kunder)
🏨 Gæster, der bor pa indkvarteringssteder, der anvender Vezpa
👔 Forretningspartnere og leverandorer
🌐 Besogende pa webstedet vezpa.it

1.2 Vezpas dobbelte rolle

Vezpa opererer med to forskellige roller:

DATAANSVARLIG For data om indkvarteringsstedernes forvaltere (kunder)
DATABEHANDLER For gæsternes data (vi behandler data efter instruks fra indkvarteringsstedets forvalter)

2. Dataansvarliges identitet og kontaktoplysninger

Dataansvarlig:

Vezpa di Paolo Vezzola
Hjemsted: Desenzano del Garda (BS), 25015, via San Zeno 67
Moms-nr.: 04449070988
Skattekode: VZZPLA84C10D284C
PEC: [email protected]
E-mail: [email protected]

3. Kategorier af personoplysninger, der behandles

3.1 Data om forvaltere (kunder)

Kategori	Datatyper	Obligatorisk
Identifikationsoplysninger	Fornavn, efternavn, fodselsdato, skattekode	✅ Obligatorisk
Kontaktoplysninger	E-mail, telefon, adresse	✅ Obligatorisk
Virksomhedsoplysninger	Firmanavn, moms-nr., oplysninger om indkvarteringssted	✅ Obligatorisk
Betalingsoplysninger	IBAN, kreditkort (via Stripe)	✅ Obligatorisk for abonnement
Brugsdata	Adgangslogs, IP, aktivitet pa platformen	⚙️ Automatisk
Kommunikationsdata	E-mail, supportchat, tickets	📝 Frivillig

3.2 Gæsternes data (som Databehandler)

Kategori	Datatyper	Retsgrundlag (for den Dataansvarlige)
Identifikationsoplysninger	Fornavn, efternavn, fodselsdato og -sted, statsborgerskab, kon	Retlig forpligtelse (italienske TULPS-lov, art. 109, og tilsvarende EU-lovgivning)
Identitetsdokument	Type, nummer, udstedelsesdato, myndighed, scannet eller fotografisk billede	Retlig forpligtelse
OCR-udtræk	Tekstdata automatisk udtrukket fra dokumentet (navn, dato, nummer)	Opfyldelse af kontrakt (art. 6.1.b) - kun for at lette dataindtastning
Kontaktoplysninger	E-mail, telefon, adresse	Opfyldelse af kontrakt
Reservationsdata	Opholdsdatoer, antal gæster, værelse, priser, forplejning	Opfyldelse af kontrakt
Betalingsdata	Transaktioner, kvitteringer (kortdata handteret af Stripe, ikke lagret hos Vezpa)	Opfyldelse af kontrakt + skattemæssig forpligtelse

⚠️ Særlige data (art. 9 GDPR):

De indhentede identitetsdokumenter kan indeholde elementer, der kan kvalificeres som "særlige" i henhold til art. 9 GDPR, typisk:

Fodested (hvorfra etnisk oprindelse kan udledes)
Fotografisk billede af ansigtet (ikke anvendt til automatiseret biometrisk genkendelse)

Behandlingens lovlighed: art. 9.2.b (opfyldelse af forpligtelser vedrorende arbejdsret, sikkerhed og social beskyttelse), 9.2.g (hensynet til en vigtig samfundsinteresse - registreringer af offentlig sikkerhed) og 9.2.f (fastlæggelse af rettigheder). Formalene er begrænset til de lovpligtige forpligtelser over for offentlige myndigheder.

Yderligere foranstaltninger: adgang begrænset til kun autoriserede roller (direktor, assistent), ingen profilering pa sadanne data, ingen videregivelse til tredjeparter uden for de modtagende offentlige myndigheder.

Vezpa indsamler ikke bevidst andre særlige data (politiske/religiose overbevisninger, sundhedsdata, genetiske data, seksuel orientering). Hvis sadanne data indtastes ved en fejl af brugeren, skal de straks fjernes.

4. Formal og retsgrundlag for behandlingen

4.1 For forvaltere (kunder)

Formal	Retsgrundlag (art. 6 GDPR)	Opbevaring
Levering af PMS-tjeneste	Art. 6.1.b - Opfyldelse af kontrakt	Kontraktens varighed + 10 ar
Fakturering og regnskab	Art. 6.1.c - Retlig forpligtelse	10 ar (skattemæssig forpligtelse)
Kundeservice	Art. 6.1.b - Opfyldelse af kontrakt	Kontraktens varighed + 2 ar
Sikkerhed og svigforebyggelse	Art. 6.1.f - Legitim interesse	5 ar
Forbedring af tjenesten	Art. 6.1.f - Legitim interesse	2 ar (anonyme aggregerede data)
Direkte markedsforing	Art. 6.1.a - Samtykke	Indtil tilbagekaldelse af samtykke
Forsvar af rettigheder ved domstolene	Art. 6.1.f - Legitim interesse	10 ar

4.2 For gæster (efter instruks fra forvalteren)

Formal	Retsgrundlag	Opbevaring
Gæsteregistrering og meddelelse til Politiet	Art. 6.1.c - Retlig forpligtelse (italienske TULPS-lov, art. 109, lovdekret 159/2011)	Minimum 2 ar
ISTAT-meddelelser	Art. 6.1.c - Retlig forpligtelse	I henhold til ISTAT-lovgivning
Opholdsskat (Paytourist)	Art. 6.1.c - Retlig forpligtelse	I henhold til kommunal lovgivning
Administration af reservation og ophold	Art. 6.1.b - Opfyldelse af kontrakt	10 ar (skattemæssige formal)
Online check-in og kommunikation	Art. 6.1.b - Opfyldelse af kontrakt	Opholdets varighed + indkvarteringsstedets opbevaringsperiode

📌 Bemærkning om samtykke:

For mange aktiviteter er samtykke IKKE nodvendigt, fordi de er baseret pa:

✅ Opfyldelse af kontrakt (De har selv anmodet om tjenesten)
✅ Retlige forpligtelser (obligatoriske meddelelser til myndighederne)
✅ Legitim interesse (sikkerhed, forbedring af tjenesten)

Samtykke er KUN pakrævet til markedsforing og profilering.

5. Behandlingsmade

5.1 Behandlingsprincipper (art. 5 GDPR)

Vezpa behandler personoplysninger under overholdelse af folgende principper:

✅ Lovlighed, rimelighed og gennemsigtighed: vi behandler data lovligt og informerer Dem tydeligt
✅ Formalsbegrænsning: vi bruger data kun til de angivne formal
✅ Dataminimering: vi indsamler kun strengt nodvendige data
✅ Nojagtighed: vi holder data opdaterede og nojagtige
✅ Opbevaringsbegrænsning: vi opbevarer data kun sa længe, det er nodvendigt
✅ Integritet og fortrolighed: vi beskytter data med passende sikkerhedsforanstaltninger
✅ Ansvarlighed (accountability): vi kan dokumentere overholdelse af GDPR

5.2 Behandlingsmidler

Data behandles med værktojer:

💻 Edb-baseret: servere, databaser, web-/mobilapplikationer
📄 Pa papir: kun for nodvendige dokumenter (kontrakter, fakturaer)

5.3 Adgangsmade

Data er tilgængelige for:

👥 Autoriseret Vezpa-personale (med personlige loginoplysninger)
🔐 Adgang baseret pa "need to know"-princippet (mindste privilegium)
📝 Adgangslogs sporet og overvaget

6. Sikkerhedsforanstaltninger (art. 32 GDPR)

6.1 Tekniske foranstaltninger

✅ Kryptering under overforsel: HTTPS/TLS 1.2+ for alle forbindelser, HSTS

✅ At-rest-kryptering: specifikke folsomme data krypteret via django-cryptography; administrerede volumener og snapshots krypteret pa infrastrukturniveau (DigitalOcean)

✅ Adgangskode-hashing: PBKDF2 (Django default) med tilfældigt salt

✅ Tokens: JWT access token TTL 15 minutter, refresh med rotation og blacklist, TTL 180 dage

✅ 2FA TOTP tilgængelig pa konti (django-otp)

✅ Bot blocker og rate limiting: dedikeret middleware, der blokerer scannere og kendte angrebspaths

✅ Backup: database-snapshots administreret af infrastrukturudbyder, placering EU

✅ Rollebaseret adgangskontrol (RBAC): direktor, assistent, rengoringsansvarlig, observator

✅ Applikationslogging: sporing af adgange, kritiske handlinger og anomalier

✅ Opdatering af afhængigheder: overvagning af sarbarheder i Python- og Flutter-pakker

6.2 Organisatoriske foranstaltninger

✅ Administrative adgange begrænset til den Dataansvarlige (Vezpa er i ojeblikket en enkeltmandsvirksomhed uden ansatte); eventuelle eksterne samarbejdspartnere udpeges skriftligt som Databehandlere eller autoriserede personer

✅ Dokumenteret incident response-procedure (§9 nedenfor)

✅ Privacy by Design and by Default integreret i udviklingsfaserne

✅ Fortegnelse over behandlingsaktiviteter (art. 30 GDPR) vedligeholdt og opdateret

✅ DPA underskrevet med alle væsentlige underdatabehandlere

✅ Offentlig liste over underdatabehandlere og opdateret pa vezpa.it/subprocessors

6.3 Referencestandarder

🏆 EU-servere: primær infrastruktur DigitalOcean Frankfurt-region (FRA1)
🏆 PCI-DSS: betalinger handteret via Stripe, PCI-DSS Level 1-certificeret (Vezpa lagrer ikke kortdata)
🏆 Certificerede underleverandorer: hvor det er relevant (ISO 27001, SOC 2, DPF) — se side om underdatabehandlere

7. Modtagere af data (art. 13.1.e GDPR)

7.1 Kategorier af modtagere

Data kan videregives til folgende kategorier af modtagere. Den navneliste, der altid er opdateret, er offentliggjort pa vezpa.it/subprocessors.

Kategori	Modtagere	Rolle	Formal
Italienske offentlige myndigheder	AlloggiatiWeb (Politiet), ISTAT, kommuner (PayTourist), skattemyndigheden	Selvstændige dataansvarlige	Retlig forpligtelse
EU-offentlige myndigheder	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Selvstændige dataansvarlige	Den Dataansvarliges (indkvarteringssted) retlige forpligtelse
Hosting / Storage / CDN	DigitalOcean LLC (Frankfurt-servere, Spaces, Redis)	Databehandler	IT-infrastruktur
Betalinger	Stripe Payments Europe Ltd / Stripe Inc.	Databehandler	Behandling af betalinger
E-mail	IONOS SE (DE)	Databehandler	Afsendelse af transaktionelle e-mails og PEC
Mobile push-notifikationer	Google LLC (Firebase Cloud Messaging)	Databehandler	Afsendelse af push-notifikationer til mobile enheder
OTA Channel Manager	STAAH Limited (New Zealand)	Databehandler	Synkronisering af reservationer med OTA
In-app-kob — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Selvstændig dataansvarlig (store)	Administration af App Store-abonnementer. Apple deltager ikke i DPF: overforsler til USA er reguleret af SCC 2021/914
In-app-kob — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Selvstændige dataansvarlige (store)	Administration af Play Store / Microsoft Store-abonnementer
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda og cirka 55 andre kanaler	Selvstændige dataansvarlige	Administration af reservationer til den rejsende
Smartlase (valgfrit)	Tuya Smart (CN)	Databehandler	Administration af domotiske adgange, kun hvis aktiveret af indkvarteringsstedet
Professionelle radgivere	Revisorer, advokater, IT-konsulenter	Databehandlere / Selvstændige dataansvarlige	Specialistradgivning, kun hvor det er nodvendigt

7.2 Liste over underdatabehandlere (art. 28.4 GDPR)

Den opdaterede liste er offentliggjort og altid tilgængelig pa vezpa.it/subprocessors. Eventuelle ændringer (nye underdatabehandlere, udskiftninger) meddeles de Dataansvarlige (indkvarteringssteder) med mindst 30 dages varsel for at muliggore indsigelse (art. 28.2 GDPR).

7.3 Overforsler uden for EU

Retsgrundlag for overforsler (GDPR's kapitel V):

USA — EU-U.S. Data Privacy Framework (Beslutning (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — aktive certificeringer under DPF (verificer pa dataprivacyframework.gov/list)
USA — Standardkontraktbestemmelser (SCC 2021/914): Apple Inc. deltager ikke i DPF; kontraktforholdet for EU-brugere er med Apple Distribution International Ltd (Irland), og eventuelle koncerninterne overforsler til USA er reguleret af SCC og Apples interne tilstrækkelighedsmekanismer
New Zealand — Tilstrækkelighedsafgorelse (Beslutning (EU) 2013/65): STAAH Limited
Kina (valgfrit): Tuya Smart — Standardkontraktbestemmelser (SCC) 2021/914 + supplerende foranstaltninger (minimering og pseudonymisering). Overforsel sker kun for indkvarteringssteder, der aktiverer smartlasene.

For hver underdatabehandler uden for EU er den gældende overforselsmekanisme dokumenteret. SCC'er og eventuelle Transfer Impact Assessments er tilgængelige for den Dataansvarlige efter anmodning.

8. Den registreredes rettigheder (art. 15-22 GDPR)

8.1 Rettigheder der kan udoves

Rettighed	GDPR art.	Beskrivelse
Indsigt	Art. 15	Fa bekræftelse pa eksistensen af Deres data og modtage en kopi
Berigtigelse	Art. 16	Rette unojagtige data eller tilfoje dem
Sletning ("retten til at blive glemt")	Art. 17	Fa data slettet (med undtagelser for retlige forpligtelser)
Begrænsning	Art. 18	Begrænse behandlingen under visse betingelser
Dataportabilitet	Art. 20	Modtage data i struktureret format (CSV, JSON) og overfore dem til en anden dataansvarlig
Indsigelse	Art. 21	Gore indsigelse mod behandling baseret pa legitim interesse
Tilbagekaldelse af samtykke	Art. 7.3	Tilbagekalde samtykke til markedsforing pa ethvert tidspunkt
Klage	Art. 77	Indgive klage til databeskyttelsesmyndigheden
Ingen automatiseret profilering	Art. 22	Ikke blive genstand for afgorelser baseret udelukkende pa automatiseret behandling

8.2 Sadan udover De rettighederne

De kan udove Deres rettigheder gennem:

📧 E-mail: [email protected]
📧 PEC: [email protected]
📮 Anbefalet brev: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
💻 Privat omrade: Sektionen "Privatliv og Data" i dashboardet (for nogle rettigheder)

8.3 Svartider

Vezpa svarer pa anmodninger inden for 30 dage fra modtagelsen (kan forlænges med yderligere 60 dage i komplekse tilfælde, med begrundet meddelelse).

8.4 Begrænsninger af rettighederne

Visse rettigheder (sletning, begrænsning) kan muligvis ikke udoves, nar:

⚖️ Der findes retlige forpligtelser, der palægger os at opbevare data
⚖️ Data er nodvendige for at forsvare rettigheder ved domstolene
⚖️ En offentlig interesse har forrang

9. Data breach og meddelelser (art. 33-34 GDPR)

9.1 Procedure i tilfælde af brud pa datasikkerheden

I tilfælde af data breach (brud pa persondatasikkerheden):

📊 Vurderer hændelsen inden for 24 timer efter opdagelsen
📢 Underretter Garante inden for 72 timer (hvis der er risiko for de registreredes rettigheder)
📧 Kommunikerer til de registrerede uden ugrundet ophold (hvis der er hoj risiko)
📝 Dokumenterer hændelsen i fortegnelsen over brud
🔧 Vedtager afhjælpende foranstaltninger for at forebygge fremtidige brud

9.2 Gennemsigtighed

I tilfælde af data breach der vedrorer Dem, modtager De en meddelelse indeholdende:

Bruddets art
Involverede data
Mulige konsekvenser
Vedtagne og anbefalede foranstaltninger
Privatlivskontorets kontaktoplysninger

10. Data Protection Impact Assessment (DPIA)

Vezpa har indledt Konsekvensanalysen vedrorende Databeskyttelse (DPIA) i henhold til art. 35 GDPR under hensyn til systematisk behandling af identitetsdokumenter for registrerede fra flere EU-lande og overforslerne til underdatabehandlere uden for EU.

DPIA'ens omrade:

Behandling af identifikationsoplysninger og identitetsdokumenter for gæster gennem flere regeringskonnektorer
Stromme til OTA channel manager og overforsler uden for EU
Automatisk OCR pa dokumentbilleder
Integration med biometriske autentifikationstjenester pa enhedsniveau

DPIA'en og eventuelle yderligere afhjælpningsforanstaltninger opdateres periodisk. I tilfælde af hoj resterende risiko vil Vezpa forhandsvis konsultere Garante i henhold til art. 36 GDPR. Den Dataansvarlige (indkvarteringssted) kan anmode om en sammendrag af DPIA'en ved at skrive til [email protected].

11. Databehandler (art. 28 GDPR)

11.1 Aftaler med kunder (for gæsternes data)

Nar indkvarteringsstedets forvalter bruger Vezpa til at behandle gæsternes data:

Forvalteren er den Dataansvarlige
Vezpa er Databehandleren
Der indgas en Databehandleraftale (DPA) i henhold til art. 28 GDPR

11.2 DPA'ens indhold

Databehandleraftalen indeholder i henhold til art. 28.3 GDPR:

📋 Behandlingens genstand og varighed
📋 Behandlingens art og formal
📋 Typen af personoplysninger og kategorier af registrerede
📋 Den Dataansvarliges forpligtelser og rettigheder
📋 Dokumenterede instrukser om behandlingen
📋 Implementerede sikkerhedsforanstaltninger
📋 Autoriserede underdatabehandlere med varsel om udskiftning
📋 Assistance til den Dataansvarlige med de registreredes rettigheder, DPIA og data breach
📋 Forpligtelser til sletning eller tilbagelevering ved ophor

DPA'en er en integrerende del af Servicevilkarene og accepteres ved registrering af indkvarteringsstedet.

12. Privacy by Design og by Default (art. 25 GDPR)

12.1 Privacy by Design

Vezpa integrerer databeskyttelse lige fra designfasen:

🔒 Native kryptering i al kommunikation
🔒 Pseudonymisering hvor muligt
🔒 Minimering af indsamlede data
🔒 Granulære adgangskontroller
🔒 Fuldstændig audit trail af alle operationer

12.2 Privacy by Default

Standardindstillingerne maksimerer privatliv:

✅ Kun strengt nodvendige data er obligatoriske
✅ Automatisk opbevaring i den minimale lovlige periode
✅ Marketing opt-in (ikke opt-out)
✅ Datasynlighed begrænset til det minimalt nodvendige

13. Fortegnelse over behandlingsaktiviteter (art. 30 GDPR)

Vezpa forer en fuldstændig fortegnelse over alle behandlingsaktiviteter, indeholdende:

Navn og kontaktoplysninger for den dataansvarlige og DPO
Behandlingens formal
Beskrivelse af kategorier af registrerede og data
Kategorier af modtagere
Overforsler til tredjelande
Forventede opbevaringsperioder
Beskrivelse af sikkerhedsforanstaltninger

Fortegnelsen er tilgængelig efter anmodning fra Garante.

14. Ændringer af meddelelsen

Denne meddelelse kan ændres pa grund af:

Lovgivningsmæssige ændringer
Nye funktioner i tjenesten
Organisatoriske ændringer

Væsentlige ændringer meddeles via e-mail med mindst 30 dages varsel.

Datoen for seneste opdatering er altid angivet overst i dokumentet.