GDPR-ilmoitus - Vezpa PMS

1. Johdanto ja soveltamisala

Tama ilmoitus kuvaa, miten Vezpa di Paolo Vezzola (jaljempana "Vezpa" tai "Me") kasittelee henkilotietoja seuraavien mukaisesti:

EU-asetus 2016/679 (GDPR)
Lakiasetus 196/2003 (Italian tietosuojakoodeksi) muutettuna asetuksella D.Lgs. 101/2018
Italian tietosuojaviranomaisen (Garante) maaraykset ja ohjeet

1.1 Kenelle sovelletaan

Tama ilmoitus koskee:

Vezpaa kayttavia majoituskohteiden yllapitajia (suorat asiakkaat)
Asiakkaita, jotka majoittuvat Vezpaa kayttavissa kohteissa
Liikekumppaneita ja toimittajia
Vezpa.it-verkkosivuston kavijoita

1.2 Vezpan kaksoisrooli

Vezpa toimii kahdella eri roolilla:

REKISTERINPITAJA majoituskohteiden yllapitajien (asiakkaiden) tietojen osalta
HENKILOTIETOJEN KASITTELIJA asiakkaiden tietojen osalta (kasittelemme tietoja majoituskohteen yllapitajan ohjeistuksen mukaan)

2. Rekisterinpitajan henkilollisyys ja yhteystiedot

Rekisterinpitaja:

Vezpa di Paolo Vezzola
Rekisteroity toimipaikka: Desenzano del Garda (BS), 25015, via San Zeno 67
ALV-numero: 04449070988
Verotunnus: VZZPLA84C10D284C
PEC: [email protected]
Sahkoposti: [email protected]

3. Kasiteltavien henkilotietojen kategoriat

3.1 Yllapitajien tiedot (asiakkaat)

Kategoria	Tietotyypit	Pakollisuus
Tunnistetiedot	Etunimi, sukunimi, syntymaaika, verotunnus	Pakollisia
Yhteystiedot	Sahkoposti, puhelin, osoite	Pakollisia
Yritystiedot	Yrityksen nimi, ALV, majoituskohteen tiedot	Pakollisia
Maksutiedot	IBAN, luottokortti (Stripen kautta)	Pakollisia tilaukseen
Kayttotiedot	Paasyloki, IP, toiminta alustalla	Automaattisia
Viestintatiedot	Sahkoposti, tukichat, tiketit	Vapaaehtoisia

3.2 Asiakkaiden tiedot (henkilotietojen kasittelijana)

Kategoria	Tietotyypit	Oikeusperuste (rekisterinpitajan)
Henkilotiedot	Etunimi, sukunimi, syntymaaika ja -paikka, kansalaisuus, sukupuoli	Lakisaateinen velvoite (Italian TULPS-lain, 109 artikla ja vastaavat EU-saadokset)
Henkilollisyystodistus	Tyyppi, numero, myontamispaiva, myontava viranomainen, skannattu tai valokuvattu kuva	Lakisaateinen velvoite
OCR-poiminta	Asiakirjasta automaattisesti poimitut tekstitiedot (nimi, paivamaara, numero)	Sopimuksen tayttaminen (art. 6.1.b) - vain tietojen syotön helpottamiseksi
Yhteystiedot	Sahkoposti, puhelin, osoite	Sopimuksen tayttaminen
Varaustiedot	Oleskelupaivat, asiakkaiden lukumaara, huone, hinnat, hoitomuoto	Sopimuksen tayttaminen
Maksutiedot	Transaktiot, kuitit (korttitiedot kasittelee Stripe, ei tallenneta Vezpaan)	Sopimuksen tayttaminen + verovelvoite

Erityiset henkilotietoryhmat (GDPR art. 9):

Keratyt henkilollisyystodistukset voivat sisaltaa GDPR art. 9 mukaisesti "erityisiksi" luokiteltavia elementteja, tyypillisesti:

Syntymapaikka (josta voidaan paatella etninen alkupera)
Kasvojen valokuva (ei kayteta automatisoituun biometriseen tunnistukseen)

Kasittelyn lainmukaisuus: art. 9.2.b (tyoelamaan, sosiaaliturvaan ja sosiaaliseen suojeluun liittyvien velvoitteiden tayttaminen), 9.2.g (merkittava yleinen etu - yleisen turvallisuuden rekisterointi) ja 9.2.f (oikeusvaateiden toteuttaminen). Tarkoitukset rajoitettu lakisaateisten velvoitteiden tayttamiseen viranomaisia kohtaan.

Lisatoimet: paasy rajoitettu vain valtuutettuihin rooleihin (johtaja, avustaja), ei profilointia naiden tietojen perusteella, ei luovutuksia kolmansille muille kuin vastaanottaville viranomaisille.

Vezpa ei tietoisesti kerää muita erityisia henkilotietoja (poliittiset/uskonnolliset mielipiteet, terveystiedot, geneettiset tiedot, seksuaalinen suuntautuminen). Jos tallaisia tietoja syotetaan vahingossa, ne on poistettava valittomasti.

4. Kasittelyn tarkoitus ja oikeusperuste

4.1 Yllapitajille (asiakkaat)

Tarkoitus	Oikeusperuste (GDPR art. 6)	Sailyttaminen
PMS-palvelun toimittaminen	Art. 6.1.b - Sopimuksen tayttaminen	Sopimuksen kesto + 10 vuotta
Laskutus ja kirjanpito	Art. 6.1.c - Lakisaateinen velvoite	10 vuotta (verovelvoite)
Asiakaspalvelu	Art. 6.1.b - Sopimuksen tayttaminen	Sopimuksen kesto + 2 vuotta
Turvallisuus ja petosten torjunta	Art. 6.1.f - Oikeutettu etu	5 vuotta
Palvelun parantaminen	Art. 6.1.f - Oikeutettu etu	2 vuotta (anonyymit koostetiedot)
Suoramarkkinointi	Art. 6.1.a - Suostumus	Suostumuksen peruuttamiseen asti
Oikeuksien puolustaminen oikeudessa	Art. 6.1.f - Oikeutettu etu	10 vuotta

4.2 Asiakkaille (yllapitajan ohjeistuksella)

Tarkoitus	Oikeusperuste	Sailyttaminen
Asiakkaiden rekisterointi ja ilmoitus poliisille	Art. 6.1.c - Lakisaateinen velvoite (Italian TULPS-lain, 109 artikla, asetus 159/2011)	Vahintaan 2 vuotta
ISTAT-ilmoitukset	Art. 6.1.c - Lakisaateinen velvoite	ISTAT-saadosten mukaisesti
Oleskelumaksu (Paytourist)	Art. 6.1.c - Lakisaateinen velvoite	Kunnallisen saadoksen mukaisesti
Varauksen ja oleskelun hallinta	Art. 6.1.b - Sopimuksen tayttaminen	10 vuotta (verotuksellisia tarkoituksia varten)
Online-sisaankirjautuminen ja viestinta	Art. 6.1.b - Sopimuksen tayttaminen	Oleskelun kesto + majoituskohteen sailytysaika

Huomio suostumuksesta:

Monissa toiminnoissa suostumusta EI tarvita, koska ne perustuvat:

Sopimuksen tayttamiseen (te olette pyytaneet palvelua)
Lakisaateisiin velvoitteisiin (pakolliset ilmoitukset viranomaisille)
Oikeutettuun etuun (turvallisuus, palvelun parantaminen)

Suostumus vaaditaan VAIN markkinoinnissa ja profiloinnissa.

5. Kasittelytavat

5.1 Kasittelyn periaatteet (GDPR art. 5)

Vezpa kasittelee henkilotietoja seuraavien periaatteiden mukaisesti:

Laillisuus, oikeudenmukaisuus, lapinakyvyys: kasittelemme tietoja laillisesti ja ilmoitamme siita selkeasti
Kayttotarkoitussidonnaisuus: kaytamme tietoja vain ilmoitettuihin tarkoituksiin
Tietojen minimointi: keraamme vain tiukasti tarvittavat tiedot
Tarkkuus: pidamme tiedot ajan tasalla ja tarkkoina
Sailytyksen rajoittaminen: sailytamme tietoja vain tarvittavan ajan
Eheys ja luottamuksellisuus: suojaamme tiedot riittavin turvatoimin
Osoitusvelvollisuus (accountability): voimme osoittaa GDPR-noudattamisen

5.2 Kasittelyn valineet

Tietoja kasitellaan:

IT-valineilla: palvelimet, tietokanta, web-/mobiilisovellukset
Paperisilla: vain tarvittaville asiakirjoille (sopimukset, laskut)

5.3 Paasytavat

Tiedot ovat saatavilla:

Vezpan valtuutetulle henkilokunnalle (henkilokohtaisilla tunnuksilla)
"Need to know" -periaatteeseen perustuva paasy (vahimman oikeuden periaate)
Paasyloki seurataan ja valvotaan

6. Turvatoimet (GDPR art. 32)

6.1 Tekniset toimet

Salaus siirron aikana: HTTPS/TLS 1.2+ kaikille yhteyksille, HSTS

Salaus lepotilassa: tietyt arkaluonteiset tiedot salataan django-cryptography:lla; hallitut levyt ja snapshotit salataan infrastruktuurin puolella (DigitalOcean)

Salasanan tiivistys: PBKDF2 (Djangon oletus) satunnaisella suolalla

Tokenit: JWT access token TTL 15 minuuttia, refresh kierrolla ja mustalla listalla, TTL 180 paivaa

2FA TOTP saatavilla tileille (django-otp)

Bot blocker ja rate limiting: dedikoitu middleware, joka estaa skannerit ja tunnetut hyokkayspolut

Varmuuskopiot: tietokannan snapshotit hallinnoi infrastruktuurin tarjoaja, sijainti EU

Rooliin perustuva paasynhallinta (RBAC): johtaja, avustaja, siivooja, tarkkailija

Sovellusloki: paasyn, kriittisten toimien ja poikkeavuuksien seuranta

Riippuvuuksien paivittaminen: Python- ja Flutter-pakettien haavoittuvuuksien valvonta

6.2 Organisatoriset toimet

Hallinnollinen paasy rajoitettu rekisterinpitajaan (Vezpa on tallä hetkella yksittainen yritys ilman tyontekijoita); ulkoiset yhteistyokumppanit nimetaan kirjallisesti henkilotietojen kasittelijoiksi tai valtuutetuiksi henkiloiksi

Dokumentoitu incident response -menettely (§9)

Privacy by Design and by Default integroitu kehitysvaiheisiin

Kasittelytoimien luettelo (GDPR art. 30) yllapidetty ja paivitetty

DPA allekirjoitettu kaikkien paaalihenkilotietojen kasittelijoiden kanssa

Julkinen alihenkilotietojen kasittelijoiden luettelo ja paivitetty osoitteessa vezpa.it/subprocessors

6.3 Viittausstandardit

EU-palvelimet: paainfrastruktuuri DigitalOcean Frankfurt-alueella (FRA1)
PCI-DSS: maksut hallitaan Stripen kautta, PCI-DSS Level 1 -sertifioitu (Vezpa ei tallenna korttitietoja)
Sertifioidut alitoimittajat: mikali sovellettavissa (ISO 27001, SOC 2, DPF) - katso alihenkilotietojen kasittelijat -sivu

7. Tietojen vastaanottajat (GDPR art. 13.1.e)

7.1 Vastaanottajakategoriat

Tietoja voidaan luovuttaa seuraaville vastaanottajaryhmille. Nimetty luettelo ja aina paivitetty on julkaistu osoitteessa vezpa.it/subprocessors.

Kategoria	Vastaanottajat	Rooli	Tarkoitus
Italian viranomaiset	AlloggiatiWeb (poliisi), ISTAT, kunnat (PayTourist), Verohallinto	Itsenaiset rekisterinpitajat	Lakisaateinen velvoite
EU-viranomaiset	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Itsenaiset rekisterinpitajat	Rekisterinpitajan (majoituskohteen) lakisaateinen velvoite
Hosting / Storage / CDN	DigitalOcean LLC (Frankfurt-palvelimet, Spaces, Redis)	Henkilotietojen kasittelija	IT-infrastruktuuri
Maksut	Stripe Payments Europe Ltd / Stripe Inc.	Henkilotietojen kasittelija	Maksujen kasittely
Sahkoposti	IONOS SE (DE)	Henkilotietojen kasittelija	Transaktionaalisten sahkopostien ja PEC:n lahettaminen
Mobiilipush-ilmoitukset	Google LLC (Firebase Cloud Messaging)	Henkilotietojen kasittelija	Push-ilmoitusten lahetys mobiililaitteisiin
Channel Manager OTA	STAAH Limited (Uusi-Seelanti)	Henkilotietojen kasittelija	Varausten synkronointi OTA:iden kanssa
Sovelluksensisaiset ostot - Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Itsenainen rekisterinpitaja (kauppa)	App Store -tilausten hallinta. Apple ei kuulu DPF-jarjestelmaan: USA-siirrot saadellaan SCC 2021/914 -lausekkeilla
Sovelluksensisaiset ostot - Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Itsenaiset rekisterinpitajat (kaupat)	Play Store / Microsoft Store -tilausten hallinta
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda ja noin 55 muuta kanavaa	Itsenaiset rekisterinpitajat	Varausten hallinta matkustajaa kohtaan
Alyoven lukot (valinnainen)	Tuya Smart (CN)	Henkilotietojen kasittelija	Domotiikan paasynhallinta, vain jos kohde aktivoi
Ammattilaiset	Kirjanpitajat, asianajajat, IT-konsultit	Henkilotietojen kasittelijat / itsenaiset rekisterinpitajat	Erityiskonsultointi, vain tarpeen mukaan

7.2 Alihenkilotietojen kasittelijoiden luettelo (GDPR art. 28.4)

Paivitetty luettelo on julkaistu ja aina saatavilla osoitteessa vezpa.it/subprocessors. Mahdolliset muutokset (uudet alihenkilotietojen kasittelijat, vaihdokset) ilmoitetaan rekisterinpitajille (majoituskohteille) vahintaan 30 paivan ennakkoilmoituksella vastustamisen sallimiseksi (GDPR art. 28.2).

7.3 Siirrot EU:n ulkopuolelle

Siirtojen oikeusperuste (GDPR V luku):

USA - EU-U.S. Data Privacy Framework (paatos (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC - aktiiviset DPF-sertifioinnit (tarkista osoitteessa dataprivacyframework.gov/list)
USA - vakiosopimuslausekkeet (SCC) 2021/914: Apple Inc. ei kuulu DPF-jarjestelmaan; sopimussuhde EU-kayttajien osalta on Apple Distribution International Ltd:n (Irlanti) kanssa ja mahdolliset siirrot Apple-konsernin sisalla USA:han saadellaan SCC:lla ja sisaisilla riittavyysmekanismeilla
Uusi-Seelanti - riittavyyspaatos (paatos 2013/65/EU): STAAH Limited
Kiina (valinnainen): Tuya Smart - EU:n vakiosopimuslausekkeet (SCC) 2021/914 + lisatoimet (minimointi ja pseudonymisointi). Siirto suoritetaan vain alyovien lukkoja aktivoiville majoituskohteille.

Jokaiselle EU:n ulkopuoliselle alihenkilotietojen kasittelijalle on dokumentoitu sovellettava siirtomekanismi. SCC:t ja mahdolliset Transfer Impact Assessmentit ovat rekisterinpitajan saatavilla pyynnosta.

8. Rekisteroidyn oikeudet (GDPR art. 15-22)

8.1 Toteutettavat oikeudet

Oikeus	GDPR-artikla	Kuvaus
Paasy	Art. 15	Saada vahvistus tietojen olemassaolosta ja kopio niista
Oikaisu	Art. 16	Korjata virheelliset tiedot tai taydentaa niita
Poisto ("unohtaminen")	Art. 17	Saada tiedot poistetuksi (lakisaateisia velvoitteita lukuun ottamatta)
Rajoitus	Art. 18	Rajoittaa kasittelya tietyissa olosuhteissa
Siirrettavyys	Art. 20	Saada tiedot jasennetyssa muodossa (CSV, JSON) ja siirtaa ne toiselle rekisterinpitajalle
Vastustaminen	Art. 21	Vastustaa oikeutettuun etuun perustuvaa kasittelya
Suostumuksen peruuttaminen	Art. 7.3	Peruuttaa markkinointisuostumus milloin tahansa
Valitus	Art. 77	Tehda valitus Italian tietosuojaviranomaiselle
Ei automatisoitua profilointia	Art. 22	Olla joutumatta yksinomaan automatisoituun kasittelyyn perustuvien paatosten kohteeksi

8.2 Miten kayttaa oikeuksia

Voitte kayttaa oikeuksianne seuraavien kautta:

Sahkoposti: [email protected]
PEC: [email protected]
Kirjattu kirje: Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
Suojattu alue: "Yksityisyys ja tiedot" -osio dashboardilla (joitain oikeuksia varten)

8.3 Vastausajat

Vezpa vastaa pyyntoihin 30 paivan kuluessa vastaanotosta (voidaan pidentaa 60 paivaa monimutkaisissa tapauksissa, perustellulla ilmoituksella).

8.4 Oikeuksien rajoitukset

Jotkut oikeudet (poisto, rajoitus) eivat ehka ole toteutettavissa, kun:

On olemassa lakisaateisia velvoitteita, jotka vaativat tietojen sailyttamista
Tiedot ovat tarpeen oikeuksien puolustamiseksi oikeudessa
Yleisella edulla on etusija

9. Data breach ja ilmoitukset (GDPR art. 33-34)

9.1 Menettely tietojen loukkauksen tapauksessa

Data breach -tapauksessa (henkilotietojen loukkaus) Vezpa:

Arvioi tapauksen 24 tunnin kuluessa havaitsemisesta
Ilmoittaa Italian tietosuojaviranomaiselle 72 tunnin kuluessa (jos rekisteroidyn oikeuksiin kohdistuu riski)
Ilmoittaa rekisteroidyille ilman perusteetonta viivytysta (jos korkea riski)
Dokumentoi tapauksen loukkausluetteloon
Ottaa kayttoon korjaavat toimet tulevien loukkausten estamiseksi

9.2 Lapinakyvyys

Teita koskevan data breachin tapauksessa saatte viestinnan, joka sisaltaa:

Loukkauksen luonteen
Mukana olevat tiedot
Mahdolliset seuraukset
Otetut ja suositellut toimet
Tietosuojatoimiston yhteystiedot

10. Data Protection Impact Assessment (DPIA)

Vezpa on aloittanut Tietosuojaa koskevan vaikutustenarvioinnin (DPIA) GDPR art. 35 mukaisesti, ottaen huomioon usean EU-valtion rekisteroityjen henkilollisyystodistusten systemaattisen kasittelyn ja siirrot EU:n ulkopuolisille alihenkilotietojen kasittelijoille.

DPIA:n soveltamisala:

Asiakkaiden henkilotietojen ja henkilollisyystodistusten kasittely useiden viranomaisliittymien kautta
Virrat channel manager OTA:lle ja siirrot EU:n ulkopuolelle
Automaattinen OCR asiakirjojen kuvissa
Integraatio laitteen puolella olevien biometristen todennuspalveluiden kanssa

DPIA ja mahdolliset lisalieventavat toimet paivitetaan saannollisesti. Mikali jaannosriski on korkea, Vezpa kaantyy GDPR art. 36 mukaiseen ennakkokuulemiseen Italian tietosuojaviranomaisen kanssa. Rekisterinpitaja (majoituskohde) voi pyytaa DPIA:n yhteenvetoa kirjoittamalla osoitteeseen [email protected].

11. Henkilotietojen kasittelija (GDPR art. 28)

11.1 Sopimukset asiakkaiden kanssa (asiakkaiden tietojen osalta)

Kun majoituskohteen yllapitaja kayttaa Vezpaa asiakkaiden tietojen kasittelyyn:

Yllapitaja on rekisterinpitaja
Vezpa on henkilotietojen kasittelija
Laaditaan Tietojenkasittelysopimus (DPA) GDPR art. 28 mukaisesti

11.2 DPA:n sisalto

Tietojenkasittelysopimus sisaltaa GDPR art. 28.3 mukaisesti:

Kasittelyn kohde ja kesto
Kasittelyn luonne ja tarkoitus
Henkilotietojen tyypit ja rekisteroityjen kategoriat
Rekisterinpitajan velvoitteet ja oikeudet
Dokumentoidut ohjeet kasittelysta
Toteutetut turvatoimet
Valtuutetut alihenkilotietojen kasittelijat vaihtoilmoituksella
Tuki rekisterinpitajalle rekisteroityjen oikeuksien, DPIA:n ja data breachin osalta
Poistamis- tai palauttamisvelvoitteet paattymisessa

DPA on olennainen osa kayttoehtoja ja se hyvaksytaan majoituskohteen rekisteroinnin yhteydessa.

12. Privacy by Design ja by Default (GDPR art. 25)

12.1 Privacy by Design

Vezpa integroi tietosuojan suunnittelun alusta lahtien:

Natiivi salaus kaikessa viestinnassa
Pseudonymisointi mahdollisuuksien mukaan
Kerattavien tietojen minimointi
Hienorakeiset paasynhallinnat
Kattava audit trail kaikille toiminnoille

12.2 Privacy by Default

Oletusasetukset maksimoivat yksityisyyden:

Vain tiukasti tarvittavat tiedot ovat pakollisia
Automaattinen sailyttaminen vahimman laillisen ajan
Markkinointi opt-in (ei opt-out)
Tietojen nakyvyys rajoitettu tarvittavaan vahimmaan

13. Kasittelytoimien luettelo (GDPR art. 30)

Vezpa yllapitaa taydellista luetteloa kaikista kasittelytoimista, joka sisaltaa:

Rekisterinpitajan ja tietosuojavastaavan nimen ja yhteystiedot
Kasittelyn tarkoitukset
Rekisteroityjen ja tietojen kategorioiden kuvaus
Vastaanottajakategoriat
Siirrot kolmansiin maihin
Suunnitellut sailytysajat
Turvatoimien kuvaus

Luettelo on saatavilla Italian tietosuojaviranomaisen pyynnosta.

14. Muutokset ilmoitukseen

Tama ilmoitus voi muuttua:

Saannosten muutoksien vuoksi
Palvelun uusien toiminnallisuuksien vuoksi
Organisatoristen muutosten vuoksi

Merkittavat muutokset ilmoitetaan sahkopostitse vahintaan 30 paivan ennakkoilmoituksella.

Viimeisen paivityksen paivamaara on aina merkitty asiakirjan ylaosaan.