Ενημέρωση ΓΚΠΔ

1. Εισαγωγή και Πεδίο Εφαρμογής

Η παρούσα ενημέρωση περιγράφει πώς η Vezpa di Paolo Vezzola (εφεξής «Vezpa» ή «Εμείς») επεξεργάζεται τα προσωπικά δεδομένα σύμφωνα με:

Κανονισμός ΕΕ 2016/679 (ΓΚΠΔ)
Ιταλικό Νομοθετικό Διάταγμα 196/2003 (Ιταλικός Κώδικας Απορρήτου) όπως τροποποιήθηκε από το Ν.Δ. 101/2018
Αποφάσεις και Κατευθυντήριες Γραμμές της ιταλικής αρχής προστασίας δεδομένων (Garante)

1.1 Σε Ποιους Εφαρμόζεται

Η παρούσα ενημέρωση εφαρμόζεται σε:

👤 Διαχειριστές τουριστικών καταλυμάτων που χρησιμοποιούν τη Vezpa (άμεσοι πελάτες)
🏨 Επισκέπτες που διαμένουν σε καταλύματα που χρησιμοποιούν τη Vezpa
👔 Εμπορικούς εταίρους και προμηθευτές
🌐 Επισκέπτες του ιστοτόπου vezpa.it

1.2 Διπλός Ρόλος της Vezpa

Η Vezpa λειτουργεί με δύο διακριτούς ρόλους:

ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Για τα δεδομένα των διαχειριστών των καταλυμάτων (πελάτες)
ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ Για τα δεδομένα των επισκεπτών (επεξεργαζόμαστε δεδομένα βάσει οδηγίας του διαχειριστή του καταλύματος)

2. Ταυτότητα και Στοιχεία Επικοινωνίας του Υπευθύνου Επεξεργασίας

Υπεύθυνος Επεξεργασίας:

Vezpa di Paolo Vezzola
Καταστατική έδρα: Desenzano del Garda (BS), 25015, via San Zeno 67
ΑΦΜ: 04449070988
Φορολογικός Κωδικός: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Κατηγορίες Επεξεργαζόμενων Προσωπικών Δεδομένων

3.1 Δεδομένα Διαχειριστών (Πελάτες)

Κατηγορία	Τύπος Δεδομένων	Υποχρεωτικό
Στοιχεία ταυτότητας	Όνομα, επώνυμο, ημερομηνία γέννησης, φορολογικός κωδικός	✅ Υποχρεωτικά
Στοιχεία επικοινωνίας	Email, τηλέφωνο, διεύθυνση	✅ Υποχρεωτικά
Εταιρικά στοιχεία	Εταιρική επωνυμία, ΑΦΜ, στοιχεία καταλύματος	✅ Υποχρεωτικά
Στοιχεία πληρωμής	IBAN, πιστωτική κάρτα (μέσω Stripe)	✅ Υποχρεωτικά για συνδρομή
Δεδομένα χρήσης	Αρχεία καταγραφής προσβάσεων, IP, δραστηριότητα στην πλατφόρμα	⚙️ Αυτόματα
Δεδομένα επικοινωνιών	Email, chat υποστήριξης, ticket	📝 Εθελοντικά

3.2 Δεδομένα Επισκεπτών (ως Εκτελών την Επεξεργασία)

Κατηγορία	Τύπος Δεδομένων	Νομική Βάση (του Υπευθύνου Επεξεργασίας)
Στοιχεία ταυτότητας	Όνομα, επώνυμο, ημερομηνία και τόπος γέννησης, υπηκοότητα, φύλο	Νομική υποχρέωση (ιταλικός νόμος TULPS, άρθρο 109 και ισοδύναμες ευρωπαϊκές νομοθεσίες)
Έγγραφο ταυτότητας	Τύπος, αριθμός, ημερομηνία έκδοσης, αρχή, σαρωμένη ή φωτογραφημένη εικόνα	Νομική υποχρέωση
Εξαγωγή OCR	Δεδομένα κειμένου που εξάγονται αυτόματα από το έγγραφο (όνομα, ημερομηνία, αριθμός)	Εκτέλεση σύμβασης (άρθρο 6.1.β) - μόνο για διευκόλυνση της καταχώρησης δεδομένων
Στοιχεία επικοινωνίας	Email, τηλέφωνο, διεύθυνση	Εκτέλεση σύμβασης
Στοιχεία κράτησης	Ημερομηνίες διαμονής, αριθμός επισκεπτών, δωμάτιο, τιμές, πλάνο διατροφής	Εκτέλεση σύμβασης
Στοιχεία πληρωμής	Συναλλαγές, αποδείξεις (δεδομένα κάρτας διαχειρίζονται από Stripe, δεν αποθηκεύονται στη Vezpa)	Εκτέλεση σύμβασης + φορολογική υποχρέωση

⚠️ Ειδικές Κατηγορίες Δεδομένων (άρθρο 9 ΓΚΠΔ):

Τα έγγραφα ταυτότητας που λαμβάνονται ενδέχεται να περιέχουν στοιχεία που χαρακτηρίζονται ως «ειδικών κατηγοριών» κατά την έννοια του άρθρου 9 ΓΚΠΔ, τυπικά:

Τόπος γέννησης (από τον οποίο μπορεί να συναχθεί η εθνοτική καταγωγή)
Φωτογραφική εικόνα του προσώπου (δεν χρησιμοποιείται για αυτοματοποιημένη βιομετρική αναγνώριση)

Νομιμότητα της επεξεργασίας: άρθρο 9.2.β (εκπλήρωση υποχρεώσεων σε θέματα εργατικού δικαίου, ασφάλειας και κοινωνικής προστασίας), 9.2.ζ (λόγοι ουσιαστικού δημοσίου συμφέροντος - καταχωρήσεις δημόσιας ασφάλειας) και 9.2.στ (θεμελίωση δικαιωμάτων). Περιορισμένοι σκοποί στις υποχρεώσεις που επιβάλλει ο νόμος προς τις δημόσιες αρχές.

Πρόσθετα μέτρα: πρόσβαση περιορισμένη μόνο σε εξουσιοδοτημένους ρόλους (διευθυντής, βοηθός), καμία κατάρτιση προφίλ επ' αυτών των δεδομένων, καμία κοινοποίηση σε τρίτους πέραν των παραληπτών δημοσίων αρχών.

Η Vezpa δεν συλλέγει σκόπιμα άλλα δεδομένα ειδικών κατηγοριών (πολιτικές/θρησκευτικές πεποιθήσεις, δεδομένα υγείας, γενετικά δεδομένα, σεξουαλικός προσανατολισμός). Εάν τέτοια δεδομένα καταχωρηθούν εκ λάθους από τον χρήστη, πρέπει να αφαιρεθούν αμέσως.

4. Σκοποί και Νομική Βάση της Επεξεργασίας

4.1 Για τους Διαχειριστές (Πελάτες)

Σκοπός	Νομική Βάση (Άρθρο 6 ΓΚΠΔ)	Διατήρηση
Παροχή υπηρεσίας PMS	Άρθρο 6.1.β - Εκτέλεση σύμβασης	Διάρκεια σύμβασης + 10 έτη
Τιμολόγηση και λογιστική	Άρθρο 6.1.γ - Νομική υποχρέωση	10 έτη (φορολογική υποχρέωση)
Υποστήριξη πελατών	Άρθρο 6.1.β - Εκτέλεση σύμβασης	Διάρκεια σύμβασης + 2 έτη
Ασφάλεια και πρόληψη απάτης (αρχεία καταγραφής εφαρμογών, ανωμαλίες)	Άρθρο 6.1.στ - Έννομο συμφέρον	12 μήνες ως τυπική διάρκεια, έως 24 μήνες για τεκμηριωμένες ενεργές έρευνες (Απόφ. Garante 352/2022)
Βελτίωση υπηρεσίας	Άρθρο 6.1.στ - Έννομο συμφέρον	2 έτη (ανώνυμα συγκεντρωτικά δεδομένα)
Άμεσο marketing	Άρθρο 6.1.α - Συγκατάθεση	Έως ανάκληση συγκατάθεσης
Άμυνα δικαιωμάτων στο δικαστήριο	Άρθρο 6.1.στ - Έννομο συμφέρον	10 έτη

4.2 Για τους Επισκέπτες (βάσει οδηγίας του Διαχειριστή)

Σκοπός	Νομική Βάση	Διατήρηση
Καταχώρηση επισκεπτών και γνωστοποίηση στην Αστυνομία	Άρθρο 6.1.γ - Νομική υποχρέωση (ιταλικός νόμος TULPS, άρθρο 109, Ν.Δ. 159/2011)	Τουλάχιστον 2 έτη
Γνωστοποιήσεις ISTAT	Άρθρο 6.1.γ - Νομική υποχρέωση	Σύμφωνα με τη νομοθεσία ISTAT
Φόρος διαμονής (Paytourist)	Άρθρο 6.1.γ - Νομική υποχρέωση	Σύμφωνα με δημοτική νομοθεσία
Διαχείριση κράτησης και διαμονής	Άρθρο 6.1.β - Εκτέλεση σύμβασης	10 έτη (φορολογικοί σκοποί)
Check-in online και επικοινωνίες	Άρθρο 6.1.β - Εκτέλεση σύμβασης	Διάρκεια διαμονής + περίοδος διατήρησης καταλύματος

📌 Σημείωση για τη Συγκατάθεση:

Για πολλές δραστηριότητες ΔΕΝ απαιτείται συγκατάθεση επειδή βασίζονται σε:

✅ Εκτέλεση της σύμβασης (είστε εσείς που ζητήσατε την υπηρεσία)
✅ Νομικές υποχρεώσεις (υποχρεωτικές γνωστοποιήσεις στις αρχές)
✅ Έννομο συμφέρον (ασφάλεια, βελτίωση υπηρεσίας)

Η συγκατάθεση απαιτείται ΜΟΝΟ για marketing και κατάρτιση προφίλ.

5. Τρόπος Επεξεργασίας

5.1 Αρχές της Επεξεργασίας (Άρθρο 5 ΓΚΠΔ)

Η Vezpa επεξεργάζεται τα προσωπικά δεδομένα σύμφωνα με τις ακόλουθες αρχές:

✅ Νομιμότητα, αντικειμενικότητα, διαφάνεια: επεξεργαζόμαστε τα δεδομένα νόμιμα και σας ενημερώνουμε σαφώς
✅ Περιορισμός του σκοπού: χρησιμοποιούμε τα δεδομένα μόνο για τους δηλωμένους σκοπούς
✅ Ελαχιστοποίηση δεδομένων: συλλέγουμε μόνο τα αυστηρά αναγκαία δεδομένα
✅ Ακρίβεια: διατηρούμε τα δεδομένα ενημερωμένα και ακριβή
✅ Περιορισμός διατήρησης: διατηρούμε τα δεδομένα μόνο για τον αναγκαίο χρόνο
✅ Ακεραιότητα και εμπιστευτικότητα: προστατεύουμε τα δεδομένα με κατάλληλα μέτρα ασφαλείας
✅ Λογοδοσία (accountability): μπορούμε να αποδείξουμε τη συμμόρφωση με τον ΓΚΠΔ

5.2 Μέσα Επεξεργασίας

Τα δεδομένα επεξεργάζονται με εργαλεία:

💻 Πληροφορικής: διακομιστές, βάσεις δεδομένων, εφαρμογές web/mobile
📄 Έντυπα: μόνο για απαραίτητα έγγραφα (συμβόλαια, τιμολόγια)

5.3 Τρόπος Πρόσβασης

Τα δεδομένα είναι προσβάσιμα σε:

👥 Εξουσιοδοτημένο προσωπικό της Vezpa (με προσωπικά διαπιστευτήρια)
🔐 Πρόσβαση βάσει της αρχής «need to know» (ελάχιστο προνόμιο)
📝 Αρχεία καταγραφής προσβάσεων που παρακολουθούνται και ελέγχονται

6. Μέτρα Ασφαλείας (Άρθρο 32 ΓΚΠΔ)

6.1 Τεχνικά Μέτρα

✅ Κρυπτογράφηση κατά τη μετάδοση: HTTPS/TLS 1.2+ για όλες τις συνδέσεις, HSTS

✅ Κρυπτογράφηση at-rest: συγκεκριμένα ευαίσθητα δεδομένα κρυπτογραφημένα μέσω django-cryptography· διαχειριζόμενοι τόμοι και snapshot κρυπτογραφημένοι στο επίπεδο υποδομής (DigitalOcean)

✅ Hashing κωδικών πρόσβασης: PBKDF2 (προεπιλογή Django) με τυχαίο salt

✅ Token: JWT access token TTL 15 λεπτά, refresh με εναλλαγή και blacklist, TTL 180 ημέρες

✅ 2FA TOTP διαθέσιμο στον λογαριασμό (django-otp)

✅ Bot blocker και rate limiting: αφιερωμένο middleware που μπλοκάρει scanner και γνωστά μονοπάτια επίθεσης

✅ Backup: snapshot της βάσης δεδομένων διαχειριζόμενα από τον πάροχο υποδομής, τοποθεσία ΕΕ

✅ Έλεγχος πρόσβασης βάσει ρόλων (RBAC): διευθυντής, βοηθός, καμαριέρα, παρατηρητής

✅ Καταγραφή εφαρμογής: παρακολούθηση προσβάσεων, κρίσιμων ενεργειών και ανωμαλιών

✅ Ενημέρωση εξαρτήσεων: παρακολούθηση ευπαθειών σε πακέτα Python και Flutter

6.2 Οργανωτικά Μέτρα

✅ Διοικητικές προσβάσεις περιορισμένες στον Υπεύθυνο Επεξεργασίας (η Vezpa είναι επί του παρόντος ατομική επιχείρηση χωρίς υπαλλήλους)· ενδεχόμενοι εξωτερικοί συνεργάτες ορίζονται γραπτώς ως Εκτελούντες ή Εξουσιοδοτημένα Πρόσωπα

✅ Διαδικασία incident response τεκμηριωμένη (§9 κατωτέρω)

✅ Privacy by Design and by Default ενσωματωμένη στις φάσεις ανάπτυξης

✅ Αρχείο δραστηριοτήτων επεξεργασίας (άρθρο 30 ΓΚΠΔ) τηρούμενο και ενημερωμένο

✅ DPA συνυπογεγραμμένο με όλους τους κύριους υποεκτελούντες

✅ Δημόσιος κατάλογος υποεκτελούντων και ενημερωμένος στη διεύθυνση vezpa.it/subprocessors

6.3 Πρότυπα αναφοράς

🏆 Διακομιστές ΕΕ: πρωτογενής υποδομή DigitalOcean περιοχή Φρανκφούρτης (FRA1)
🏆 PCI-DSS: πληρωμές διαχειριζόμενες μέσω Stripe, πιστοποιημένη PCI-DSS Level 1 (η Vezpa δεν αποθηκεύει δεδομένα κάρτας)
🏆 Πιστοποιημένοι υπο-προμηθευτές: όπου εφαρμόζεται (ISO 27001, SOC 2, DPF) — βλ. σελίδα υποεκτελούντων

7. Αποδέκτες των Δεδομένων (Άρθρο 13.1.ε ΓΚΠΔ)

7.1 Κατηγορίες Αποδεκτών

Τα δεδομένα μπορούν να κοινοποιηθούν στις ακόλουθες κατηγορίες αποδεκτών. Ο ονομαστικός κατάλογος και πάντα ενημερωμένος δημοσιεύεται στη διεύθυνση vezpa.it/subprocessors.

Κατηγορία	Αποδέκτες	Ρόλος	Σκοπός
Δημόσιες αρχές IT	AlloggiatiWeb (Αστυνομία), ISTAT, Δήμοι (PayTourist), Φορολογική Υπηρεσία	Αυτοτελείς Υπεύθυνοι Επεξεργασίας	Νομική υποχρέωση
Δημόσιες αρχές ΕΕ	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Αυτοτελείς Υπεύθυνοι Επεξεργασίας	Νομική υποχρέωση του Υπευθύνου Επεξεργασίας (κατάλυμα)
Hosting / Storage / CDN	DigitalOcean LLC (διακομιστής Φρανκφούρτης, Spaces, Redis)	Εκτελών την Επεξεργασία	Υποδομή IT
Πληρωμές	Stripe Payments Europe Ltd / Stripe Inc.	Εκτελών την Επεξεργασία	Επεξεργασία πληρωμών
Email	IONOS SE (DE)	Εκτελών την Επεξεργασία	Αποστολή συναλλακτικών email και PEC
Push notifications mobile	Google LLC (Firebase Cloud Messaging)	Εκτελών την Επεξεργασία	Αποστολή push notifications σε κινητές συσκευές
Channel Manager OTA	STAAH Limited (Νέα Ζηλανδία)	Εκτελών την Επεξεργασία	Συγχρονισμός κρατήσεων με OTA
In-app purchase — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (ΗΠΑ)	Αυτοτελής Υπεύθυνος Επεξεργασίας (store)	Διαχείριση συνδρομών App Store. Η Apple δεν συμμετέχει στο DPF: οι διαβιβάσεις προς ΗΠΑ διέπονται από SCC 2021/914
In-app purchase — Google / Microsoft	Google Ireland Ltd / Google LLC (ΗΠΑ, DPF), Microsoft Ireland / Microsoft Corp. (ΗΠΑ, DPF)	Αυτοτελείς Υπεύθυνοι Επεξεργασίας (store)	Διαχείριση συνδρομών Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda και περίπου 55 άλλα κανάλια	Αυτοτελείς Υπεύθυνοι Επεξεργασίας	Διαχείριση κρατήσεων προς τον ταξιδιώτη
Έξυπνες κλειδαριές (προαιρετικό)	Tuya Smart (CN)	Εκτελών την Επεξεργασία	Διαχείριση οικιακών αυτοματισμών πρόσβασης, μόνο εάν ενεργοποιηθεί από το κατάλυμα
Επαγγελματίες	Λογιστές, δικηγόροι, σύμβουλοι IT	Εκτελούντες / Αυτοτελείς Υπεύθυνοι Επεξεργασίας	Εξειδικευμένες συμβουλές, μόνο όπου είναι αναγκαίο

7.2 Κατάλογος Υποεκτελούντων την Επεξεργασία (άρθρο 28.4 ΓΚΠΔ)

Ο ενημερωμένος κατάλογος δημοσιεύεται και είναι πάντα προσβάσιμος στη διεύθυνση vezpa.it/subprocessors. Ενδεχόμενες μεταβολές (νέοι υποεκτελούντες, αντικαταστάσεις) γνωστοποιούνται στους Υπευθύνους Επεξεργασίας (καταλύματα) με προειδοποίηση τουλάχιστον 30 ημερών για να επιτραπεί η εναντίωση (άρθρο 28.2 ΓΚΠΔ).

7.3 Διαβιβάσεις Εκτός ΕΕ

Νομική βάση των διαβιβάσεων (Κεφάλαιο V ΓΚΠΔ):

ΗΠΑ — EU-U.S. Data Privacy Framework (Απόφαση (ΕΕ) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — με ενεργές πιστοποιήσεις στο DPF (επαλήθευση στο dataprivacyframework.gov/list)
ΗΠΑ — Τυποποιημένες Συμβατικές Ρήτρες (SCC 2021/914): Apple Inc. δεν συμμετέχει στο DPF· η συμβατική σχέση για τους χρήστες της ΕΕ είναι με την Apple Distribution International Ltd (Ιρλανδία) και τυχόν εσωτερικές διαβιβάσεις του ομίλου Apple προς τις ΗΠΑ διέπονται από SCC και εσωτερικούς μηχανισμούς επάρκειας
Νέα Ζηλανδία — Απόφαση επάρκειας (Απόφαση 2013/65/ΕΕ): STAAH Limited
Κίνα (προαιρετικά): Tuya Smart — Τυποποιημένες Συμβατικές Ρήτρες (SCC) 2021/914 + συμπληρωματικά μέτρα (ελαχιστοποίηση και ψευδωνυμοποίηση). Η διαβίβαση πραγματοποιείται μόνο για τα καταλύματα που ενεργοποιούν τις έξυπνες κλειδαριές.

Για κάθε υποεκτελούντα εκτός ΕΕ τεκμηριώνεται ο εφαρμοστέος μηχανισμός διαβίβασης. Οι SCC και ενδεχόμενες Εκτιμήσεις Επιπτώσεων Διαβίβασης είναι διαθέσιμες στον Υπεύθυνο Επεξεργασίας κατόπιν αιτήματος.

8. Δικαιώματα του Υποκειμένου των Δεδομένων (Άρθρα 15-22 ΓΚΠΔ)

8.1 Ασκούμενα Δικαιώματα

Δικαίωμα	Άρθρο ΓΚΠΔ	Περιγραφή
Πρόσβαση	Άρθρο 15	Λήψη επιβεβαίωσης της ύπαρξης των δεδομένων σας και λήψη αντιγράφου τους
Διόρθωση	Άρθρο 16	Διόρθωση ανακριβών δεδομένων ή συμπλήρωσή τους
Διαγραφή («λήθη»)	Άρθρο 17	Λήψη διαγραφής των δεδομένων (με εξαιρέσεις για νομικές υποχρεώσεις)
Περιορισμός	Άρθρο 18	Περιορισμός της επεξεργασίας υπό ορισμένες προϋποθέσεις
Φορητότητα	Άρθρο 20	Λήψη των δεδομένων σε δομημένη μορφή (CSV, JSON) και μεταφορά σε άλλον υπεύθυνο επεξεργασίας
Εναντίωση	Άρθρο 21	Εναντίωση στην επεξεργασία που βασίζεται σε έννομο συμφέρον
Ανάκληση συγκατάθεσης	Άρθρο 7.3	Ανάκληση της συγκατάθεσης για marketing ανά πάσα στιγμή
Καταγγελία	Άρθρο 77	Υποβολή καταγγελίας στην αρχή προστασίας δεδομένων
Μη αυτοματοποιημένη κατάρτιση προφίλ	Άρθρο 22	Να μην υπόκειται σε αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία

8.2 Πώς να Ασκήσετε τα Δικαιώματα

Μπορείτε να ασκήσετε τα δικαιώματά σας μέσω:

📧 Email: [email protected]
📧 PEC: [email protected]
📮 Συστημένη: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
💻 Περιοχή μελών: Ενότητα «Απόρρητο και Δεδομένα» στο dashboard (για ορισμένα δικαιώματα)

8.3 Χρόνοι Απόκρισης

Η Vezpa απαντά στα αιτήματα εντός 30 ημερών από τη λήψη (παρατάσιμα κατά περαιτέρω 60 ημέρες σε πολύπλοκες περιπτώσεις, με αιτιολογημένη γνωστοποίηση).

8.4 Περιορισμοί των Δικαιωμάτων

Ορισμένα δικαιώματα (διαγραφή, περιορισμός) μπορεί να μην είναι ασκητά όταν:

⚖️ Υπάρχουν νομικές υποχρεώσεις που μας επιβάλλουν τη διατήρηση των δεδομένων
⚖️ Τα δεδομένα είναι αναγκαία για την άμυνα δικαιωμάτων στο δικαστήριο
⚖️ Υπερισχύει δημόσιο συμφέρον

9. Data Breach και Ειδοποιήσεις (Άρθρα 33-34 ΓΚΠΔ)

9.1 Διαδικασία σε Περίπτωση Παραβίασης Δεδομένων

Σε περίπτωση data breach (παραβίασης προσωπικών δεδομένων), η Vezpa:

📊 Αξιολογεί το περιστατικό εντός 24 ωρών από την ανακάλυψη
📢 Ειδοποιεί την αρχή προστασίας δεδομένων εντός 72 ωρών (εάν υπάρχει κίνδυνος για τα δικαιώματα των υποκειμένων)
📧 Ενημερώνει τα υποκείμενα χωρίς αδικαιολόγητη καθυστέρηση (εάν υπάρχει υψηλός κίνδυνος)
📝 Τεκμηριώνει το περιστατικό στο αρχείο παραβιάσεων
🔧 Υιοθετεί διορθωτικά μέτρα για την πρόληψη μελλοντικών παραβιάσεων

9.2 Διαφάνεια

Σε περίπτωση data breach που σας αφορά, θα λάβετε γνωστοποίηση που περιέχει:

Φύση της παραβίασης
Εμπλεκόμενα δεδομένα
Πιθανές συνέπειες
Ληφθέντα και συνιστώμενα μέτρα
Επαφές του Γραφείου Απορρήτου

10. Data Protection Impact Assessment (DPIA)

Η Vezpa έχει ξεκινήσει την Εκτίμηση Αντικτύπου στην Προστασία Δεδομένων (DPIA) σύμφωνα με το άρθρο 35 ΓΚΠΔ, λαμβάνοντας υπόψη τη συστηματική επεξεργασία εγγράφων ταυτότητας υποκειμένων πολλαπλών κρατών της ΕΕ και τις διαβιβάσεις προς υποεκτελούντες εκτός ΕΕ.

Πεδίο της DPIA:

Επεξεργασία στοιχείων ταυτότητας και εγγράφων ταυτότητας επισκεπτών μέσω πολλαπλών κυβερνητικών συνδέσμων
Ροές προς channel manager OTA και διαβιβάσεις εκτός ΕΕ
Αυτόματο OCR σε εικόνες εγγράφων
Ενσωμάτωση με υπηρεσίες βιομετρικής ταυτοποίησης στην πλευρά της συσκευής

Η DPIA και ενδεχόμενα πρόσθετα μέτρα μετριασμού επικαιροποιούνται περιοδικά. Σε περίπτωση υψηλού εναπομένοντος κινδύνου, η Vezpa θα προχωρήσει σε προηγούμενη διαβούλευση με την αρχή προστασίας δεδομένων κατά το άρθρο 36 ΓΚΠΔ. Ο Υπεύθυνος Επεξεργασίας (κατάλυμα) μπορεί να ζητήσει σύνοψη της DPIA γράφοντας στο [email protected].

11. Εκτελών την Επεξεργασία (Άρθρο 28 ΓΚΠΔ)

11.1 Συμφωνίες με τους Πελάτες (για δεδομένα επισκεπτών)

Όταν ο διαχειριστής του καταλύματος χρησιμοποιεί τη Vezpa για την επεξεργασία δεδομένων των επισκεπτών:

Ο διαχειριστής είναι ο Υπεύθυνος Επεξεργασίας
Η Vezpa είναι ο Εκτελών την επεξεργασία
Συνάπτεται Σύμβαση επεξεργασίας δεδομένων (DPA) σύμφωνα με το άρθρο 28 ΓΚΠΔ

11.2 Περιεχόμενο του DPA

Η Σύμβαση επεξεργασίας δεδομένων περιέχει, σύμφωνα με το άρθρο 28.3 ΓΚΠΔ:

📋 Αντικείμενο και διάρκεια της επεξεργασίας
📋 Φύση και σκοποί της επεξεργασίας
📋 Τύπος προσωπικών δεδομένων και κατηγορίες υποκειμένων
📋 Υποχρεώσεις και δικαιώματα του Υπευθύνου Επεξεργασίας
📋 Τεκμηριωμένες οδηγίες για την επεξεργασία
📋 Εφαρμοζόμενα μέτρα ασφαλείας
📋 Εξουσιοδοτημένοι υποεκτελούντες με προειδοποίηση αντικατάστασης
📋 Συνδρομή στον Υπεύθυνο Επεξεργασίας για τα δικαιώματα των υποκειμένων, DPIA και data breach
📋 Υποχρεώσεις διαγραφής ή επιστροφής στη λήξη

Η DPA αποτελεί αναπόσπαστο μέρος των Όρων Υπηρεσίας και γίνεται αποδεκτή κατά την εγγραφή του καταλύματος.

12. Privacy by Design και by Default (Άρθρο 25 ΓΚΠΔ)

12.1 Privacy by Design

Η Vezpa ενσωματώνει την προστασία των δεδομένων από τον σχεδιασμό:

🔒 Εγγενής κρυπτογράφηση σε όλες τις επικοινωνίες
🔒 Ψευδωνυμοποίηση όπου είναι δυνατόν
🔒 Ελαχιστοποίηση των συλλεγόμενων δεδομένων
🔒 Λεπτομερείς έλεγχοι πρόσβασης
🔒 Πλήρες audit trail όλων των ενεργειών

12.2 Privacy by Default

Οι προεπιλεγμένες ρυθμίσεις μεγιστοποιούν το απόρρητο:

✅ Μόνο αυστηρά αναγκαία δεδομένα είναι υποχρεωτικά
✅ Αυτόματη διατήρηση για την ελάχιστη νομική περίοδο
✅ Marketing opt-in (όχι opt-out)
✅ Ορατότητα δεδομένων περιορισμένη στο ελάχιστο αναγκαίο

13. Αρχείο Δραστηριοτήτων Επεξεργασίας (Άρθρο 30 ΓΚΠΔ)

Η Vezpa τηρεί πλήρες αρχείο όλων των δραστηριοτήτων επεξεργασίας, που περιέχει:

Όνομα και στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και DPO
Σκοποί της επεξεργασίας
Περιγραφή των κατηγοριών υποκειμένων και δεδομένων
Κατηγορίες αποδεκτών
Διαβιβάσεις προς τρίτες χώρες
Προβλεπόμενοι χρόνοι διατήρησης
Περιγραφή των μέτρων ασφαλείας

Το αρχείο είναι διαθέσιμο κατόπιν αιτήματος της αρχής προστασίας δεδομένων.

14. Τροποποιήσεις στην Ενημέρωση

Η παρούσα ενημέρωση μπορεί να τροποποιηθεί λόγω:

Κανονιστικών εξελίξεων
Νέων λειτουργιών της υπηρεσίας
Οργανωτικών αλλαγών

Οι ουσιαστικές τροποποιήσεις θα γνωστοποιούνται μέσω email με τουλάχιστον 30 ημέρες προειδοποίηση.

Η ημερομηνία της τελευταίας ενημέρωσης αναφέρεται πάντα στην κορυφή του εγγράφου.