GDPR obavijest - Vezpa PMS

1. Uvod i podrucje primjene

Ova obavijest opisuje kako Vezpa di Paolo Vezzola (u nastavku "Vezpa" ili "Mi") obraduje osobne podatke u skladu s:

Uredba EU 2016/679 (GDPR)
Talijanska Zakonska uredba 196/2003 (Kodeks privatnosti) kako je izmijenjena Zakonskom uredbom 101/2018
Odlukama i smjernicama talijanskog tijela za zastitu podataka (Garante)

1.1 Na koga se primjenjuje

Ova obavijest primjenjuje se na:

Upravitelje smjestajnih objekata koji koriste Vezpu (izravni klijenti)
Goste koji borave u objektima koji koriste Vezpu
Poslovne partnere i dobavljace
Posjetitelje web-mjesta vezpa.it

1.2 Dvostruka uloga Vezpe

Vezpa djeluje u dvije razlicite uloge:

VODITELJ OBRADE Za podatke upravitelja objekata (klijenata)
IZVRSITELJ OBRADE Za podatke gostiju (obradujemo podatke na uputu upravitelja objekta)

2. Identitet i kontakt podaci Voditelja obrade

Voditelj obrade:

Vezpa di Paolo Vezzola
Sjediste: Desenzano del Garda (BS), 25015, via San Zeno 67
PDV broj: 04449070988
OIB: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Kategorije obradenih osobnih podataka

3.1 Podaci upravitelja (klijenata)

Kategorija	Vrsta podataka	Obvezatnost
Identifikacijski podaci	Ime, prezime, datum rodenja, OIB	Obvezni
Podaci za kontakt	Email, telefon, adresa	Obvezni
Poduzetnicki podaci	Naziv tvrtke, PDV broj, podaci o objektu	Obvezni
Podaci za placanje	IBAN, kreditna kartica (putem Stripea)	Obvezni za pretplatu
Podaci o koristenju	Dnevnici pristupa, IP, aktivnosti na platformi	Automatski
Komunikacijski podaci	Email, chat podrska, tiketi	Dobrovoljni

3.2 Podaci gostiju (kao Izvrsitelj obrade)

Kategorija	Vrsta podataka	Pravna osnova (Voditelja obrade)
Osobni podaci	Ime, prezime, datum i mjesto rodenja, drzavljanstvo, spol	Zakonska obveza (talijanski zakon TULPS, cl. 109 i ekvivalentni EU propisi)
Identifikacijska isprava	Vrsta, broj, datum izdavanja, tijelo, skenirana ili fotografska slika	Zakonska obveza
OCR ekstrakcija	Tekstualni podaci automatski izvuceni iz isprave (ime, datum, broj)	Izvrsenje ugovora (cl. 6.1.b) - samo za olaksavanje unosa podataka
Podaci za kontakt	Email, telefon, adresa	Izvrsenje ugovora
Podaci o rezervaciji	Datumi boravka, broj gostiju, soba, cijene, usluga	Izvrsenje ugovora
Podaci o placanju	Transakcije, potvrde (podaci o kartici obraduje Stripe, ne pohranjuju se na Vezpi)	Izvrsenje ugovora + porezna obveza

Posebni podaci (cl. 9. GDPR-a):

Pribavljeni identifikacijski dokumenti mogu sadrzavati elemente koji se mogu kvalificirati kao "posebni" sukladno cl. 9. GDPR-a, tipicno:

Mjesto rodenja (iz kojeg se moze zakljuciti etnicko podrijetlo)
Fotografska slika lica (ne koristi se za automatizirano biometrijsko prepoznavanje)

Zakonitost obrade: cl. 9.2.b (ispunjavanje obveza u podrucju radnog prava, sigurnosti i socijalne zastite), 9.2.g (razlozi vaznog javnog interesa - evidencije javne sigurnosti) i 9.2.f (utvrdivanje prava). Svrhe ogranicene na obveze nametnute zakonom prema javnim tijelima.

Dodatne mjere: pristup ogranicen samo na ovlastene uloge (direktor, asistent), bez profiliranja na tim podacima, bez priopcavanja trecima izvan javnih tijela primatelja.

Vezpa ne prikuplja namjerno druge posebne podatke (politicka/vjerska misljenja, zdravstvene podatke, geneticke podatke, seksualnu orijentaciju). Ako takve podatke korisnik unese greskom, moraju se odmah ukloniti.

4. Svrhe i pravna osnova obrade

4.1 Za upravitelje (klijente)

Svrha	Pravna osnova (cl. 6. GDPR-a)	Cuvanje
Pruzanje PMS usluge	Cl. 6.1.b - Izvrsenje ugovora	Trajanje ugovora + 10 godina
Fakturiranje i racunovodstvo	Cl. 6.1.c - Zakonska obveza	10 godina (porezna obveza)
Korisnicka podrska	Cl. 6.1.b - Izvrsenje ugovora	Trajanje ugovora + 2 godine
Sigurnost i sprjecavanje prijevara	Cl. 6.1.f - Legitimni interes	5 godina
Poboljsanje usluge	Cl. 6.1.f - Legitimni interes	2 godine (anonimizirani agregirani podaci)
Izravni marketing	Cl. 6.1.a - Privola	Do opoziva privole
Obrana prava u sudskom postupku	Cl. 6.1.f - Legitimni interes	10 godina

4.2 Za goste (na uputu upravitelja)

Svrha	Pravna osnova	Cuvanje
Registracija gostiju i komunikacija s Policijom	Cl. 6.1.c - Zakonska obveza (talijanski zakon TULPS, cl. 109, D.Lgs. 159/2011)	Najmanje 2 godine
ISTAT komunikacije	Cl. 6.1.c - Zakonska obveza	Sukladno ISTAT propisima
Boravisna pristojba (Paytourist)	Cl. 6.1.c - Zakonska obveza	Sukladno opcinskim propisima
Upravljanje rezervacijom i boravkom	Cl. 6.1.b - Izvrsenje ugovora	10 godina (porezne svrhe)
Online prijava i komunikacije	Cl. 6.1.b - Izvrsenje ugovora	Trajanje boravka + razdoblje cuvanja objekta

Napomena o privoli:

Za mnoge aktivnosti NIJE potrebna privola jer se temelje na:

Izvrsenju ugovora (Vi ste zatrazili uslugu)
Zakonskim obvezama (obvezne komunikacije s tijelima)
Legitimnom interesu (sigurnost, poboljsanje usluge)

Privola je potrebna SAMO za marketing i profiliranje.

5. Nacin obrade

5.1 Nacela obrade (cl. 5. GDPR-a)

Vezpa obraduje osobne podatke postujuci sljedeca nacela:

Zakonitost, postenje, transparentnost: obradujemo podatke zakonito i jasno Vas obavjestavamo
Ogranicenje svrhe: koristimo podatke samo za deklarirane svrhe
Smanjenje podataka: prikupljamo samo strogo nuzne podatke
Tocnost: odrzavamo podatke azuriranim i tocnim
Ogranicenje pohrane: podatke cuvamo samo onoliko dugo koliko je potrebno
Cjelovitost i povjerljivost: stitimo podatke odgovarajucim sigurnosnim mjerama
Odgovornost (accountability): mozemo dokazati uskladenost s GDPR-om

5.2 Sredstva obrade

Podaci se obraduju alatima:

Informatickim: posluzitelji, baze podataka, web/mobilne aplikacije
Papirnatim: samo za potrebne dokumente (ugovori, racuni)

5.3 Nacin pristupa

Podacima pristupaju:

Ovlasteno osoblje Vezpe (s osobnim vjerodajnicama)
Pristup temeljen na nacelu "need to know" (minimalna ovlast)
Dnevnici pristupa pracenih i nadziranih

6. Sigurnosne mjere (cl. 32. GDPR-a)

6.1 Tehnicke mjere

Enkripcija u prijenosu: HTTPS/TLS 1.2+ za sve veze, HSTS

Enkripcija at-rest: specificni osjetljivi podaci kriptirani putem django-cryptography; upravljani volumeni i snapshots kriptirani na strani infrastrukture (DigitalOcean)

Hashing lozinki: PBKDF2 (Django default) s nasumicnom soli

Tokeni: JWT access token TTL 15 minuta, refresh s rotacijom i blacklistom, TTL 180 dana

2FA TOTP dostupan na racunu (django-otp)

Bot blocker i rate limiting: namjenski middleware koji blokira skenere i poznate napadacke puteve

Sigurnosne kopije: snapshotovi baze podataka upravljani od strane pruzatelja infrastrukture, lokacija u EU

Kontrola pristupa temeljena na ulogama (RBAC): direktor, asistent, domacica, promatrac

Aplikacijski logging: pracenje pristupa, kriticnih radnji i anomalija

Azuriranje ovisnosti: nadzor ranjivosti Python i Flutter paketa

6.2 Organizacijske mjere

Administrativni pristupi ograniceni na Voditelja obrade (Vezpa je trenutno obrt bez zaposlenika); eventualni vanjski suradnici pisanim putem se imenuju kao Izvrsitelji ili Ovlastene osobe

Dokumentirani postupak incident responsea (§9 u nastavku)

Privacy by Design and by Default integrirana u faze razvoja

Registar obrade (cl. 30. GDPR-a) odrzavan i azuriran

DPA sklopljen sa svim glavnim podizvrsiteljima

Popis podizvrsitelja javan i azuriran na vezpa.it/subprocessors

6.3 Referentni standardi

EU posluzitelji: primarna infrastruktura DigitalOcean regija Frankfurt (FRA1)
PCI-DSS: placanja upravljana putem Stripea, certificiran PCI-DSS Level 1 (Vezpa ne pohranjuje podatke o kartici)
Certificirani pod-dobavljaci: gdje je primjenjivo (ISO 27001, SOC 2, DPF) - vidi stranicu podizvrsitelja

7. Primatelji podataka (cl. 13.1.e GDPR-a)

7.1 Kategorije primatelja

Podaci se mogu priopciti sljedecim kategorijama primatelja. Imenski popis uvijek azuriran objavljen je na vezpa.it/subprocessors.

Kategorija	Primatelji	Uloga	Svrha
Javna tijela IT	AlloggiatiWeb (Policija), ISTAT, Opcine (PayTourist), Porezna uprava	Samostalni Voditelji obrade	Zakonska obveza
Javna tijela EU	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Samostalni Voditelji obrade	Zakonska obveza Voditelja obrade (objekta)
Hosting / Storage / CDN	DigitalOcean LLC (posluzitelji Frankfurt, Spaces, Redis)	Izvrsitelj obrade	IT infrastruktura
Placanja	Stripe Payments Europe Ltd / Stripe Inc.	Izvrsitelj obrade	Obrada placanja
Email	IONOS SE (DE)	Izvrsitelj obrade	Slanje transakcijskih emailova i PEC-a
Mobilne push obavijesti	Google LLC (Firebase Cloud Messaging)	Izvrsitelj obrade	Slanje push obavijesti mobilnim uredajima
Channel Manager OTA	STAAH Limited (Novi Zeland)	Izvrsitelj obrade	Sinkronizacija rezervacija s OTA-ama
In-app kupnje - Apple	Apple Distribution International Ltd (IE) / Apple Inc. (SAD)	Samostalni Voditelj obrade (store)	Upravljanje pretplatama na App Storeu. Apple ne sudjeluje u DPF-u: prijenosi prema SAD-u regulirani SCC 2021/914
In-app kupnje - Google / Microsoft	Google Ireland Ltd / Google LLC (SAD, DPF), Microsoft Ireland / Microsoft Corp. (SAD, DPF)	Samostalni Voditelji obrade (store)	Upravljanje pretplatama na Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda i oko 55 drugih kanala	Samostalni Voditelji obrade	Upravljanje rezervacijama prema putniku
Pametne brave (opcionalno)	Tuya Smart (CN)	Izvrsitelj obrade	Upravljanje domotickim pristupima, samo ako je aktivirano od strane objekta
Strucnjaci	Racunovode, odvjetnici, IT konzultanti	Izvrsitelji / Samostalni Voditelji obrade	Specijalisticka savjetovanja, samo gdje je potrebno

7.2 Popis Podizvrsitelja obrade (cl. 28.4 GDPR-a)

Azurirani popis objavljen je i uvijek dostupan na vezpa.it/subprocessors. Eventualne izmjene (novi podizvrsitelji, zamjene) priopcavaju se Voditeljima obrade (objektima) uz najavu od najmanje 30 dana kako bi se omogucio prigovor (cl. 28.2 GDPR-a).

7.3 Prijenosi izvan EU

Pravna osnova prijenosa (Poglavlje V. GDPR-a):

SAD - EU-U.S. Data Privacy Framework (Odluka (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC - aktivne certifikacije u DPF-u (provjera na dataprivacyframework.gov/list)
SAD - Standardne ugovorne klauzule (SCC) 2021/914: Apple Inc. ne sudjeluje u DPF-u; ugovorni odnos za korisnike u EU je s Apple Distribution International Ltd (Irska), a eventualni interni prijenosi unutar Apple grupe prema SAD-u regulirani su SCC-om i internim mehanizmima primjerenosti
Novi Zeland - Odluka o primjerenosti (Odluka 2013/65/EU): STAAH Limited
Kina (opcionalno): Tuya Smart - Standardne ugovorne klauzule (SCC) 2021/914 + dopunske mjere (minimizacija i pseudonimizacija). Prijenos se provodi samo za objekte koji aktiviraju pametne brave.

Za svakog podizvrsitelja izvan EU dokumentiran je primjenjivi mehanizam prijenosa. SCC i eventualne Transfer Impact Assessment dostupni su Voditelju obrade na zahtjev.

8. Prava ispitanika (cl. 15.-22. GDPR-a)

8.1 Ostvarljiva prava

Pravo	Cl. GDPR-a	Opis
Pristup	Cl. 15.	Dobivanje potvrde o postojanju Vasih podataka i primanje kopije
Ispravak	Cl. 16.	Ispravljanje netocnih podataka ili njihovo dopunjavanje
Brisanje ("zaborav")	Cl. 17.	Postizanje brisanja podataka (s iznimkama za zakonske obveze)
Ogranicenje	Cl. 18.	Ogranicenje obrade u odredenim uvjetima
Prenosivost	Cl. 20.	Primanje podataka u strukturiranom obliku (CSV, JSON) i prenosenje drugom voditelju obrade
Prigovor	Cl. 21.	Prigovor na obradu temeljenu na legitimnom interesu
Opoziv privole	Cl. 7.3	Opoziv privole za marketing u bilo kojem trenutku
Prigovor	Cl. 77.	Podnosenje prigovora tijelu za zastitu podataka
Bez automatiziranog profiliranja	Cl. 22.	Ne podvrgavanje odlukama temeljenim iskljucivo na automatiziranoj obradi

8.2 Kako ostvariti prava

Svoja prava mozete ostvariti putem:

Emaila: [email protected]
PEC-a: [email protected]
Preporucene poste s povratnicom: Vezpa di Paolo Vezzola, Desenzano del Garda u via San Zeno 67
Korisnickog podrucja: Sekcija "Privatnost i podaci" na nadzornoj ploci (za neka prava)

8.3 Vremenski rokovi odgovora

Vezpa odgovara na zahtjeve u roku od 30 dana od primitka (mozda produljivih za dodatnih 60 dana u slozenim slucajevima, s obrazlozenom komunikacijom).

8.4 Ogranicenja prava

Neka prava (brisanje, ogranicenje) mozda nisu ostvarljiva kada:

Postoje zakonske obveze koje nam namecu cuvanje podataka
Podaci su potrebni za obranu prava u sudskom postupku
Prevladava javni interes

9. Data Breach i obavijesti (cl. 33.-34. GDPR-a)

9.1 Postupak u slucaju povrede podataka

U slucaju data breacha (povrede osobnih podataka), Vezpa:

Procjenjuje incident u roku od 24 sata od otkrica
Obavjestava tijelo za zastitu podataka u roku od 72 sata (ako postoji rizik za prava ispitanika)
Priopcava ispitanicima bez neopravdanog kasnjenja (ako postoji visok rizik)
Dokumentira incident u registru povreda
Provodi korektivne mjere za sprjecavanje buducih povreda

9.2 Transparentnost

U slucaju data breacha koji se odnosi na Vas, primit cete priopcenje koje sadrzi:

Priroda povrede
Ukljuceni podaci
Moguce posljedice
Poduzete i preporucene mjere
Kontakti Ureda za privatnost

10. Data Protection Impact Assessment (DPIA)

Vezpa je zapocela Procjenu ucinka na zastitu podataka (DPIA) sukladno cl. 35. GDPR-a, u obzir uzimajuci sustavnu obradu identifikacijskih isprava ispitanika iz vise drzava EU i prijenose prema podizvrsiteljima izvan EU.

Podrucje DPIA:

Obrada osobnih podataka i identifikacijskih isprava gostiju putem vise vladinih konektora
Tokovi prema channel managerima OTA i prijenosi izvan EU
Automatski OCR na slikama isprava
Integracija s uslugama biometrijske autentifikacije na uredaju

DPIA i eventualne dodatne mjere ublazavanja azuriraju se povremeno. U slucaju visokog preostalog rizika, Vezpa ce provesti prethodnu konzultaciju s talijanskim tijelom za zastitu podataka (Garante) sukladno cl. 36. GDPR-a. Voditelj obrade (objekt) moze zatraziti sazetak DPIA pisuci na [email protected].

11. Izvrsitelj obrade (cl. 28. GDPR-a)

11.1 Sporazumi s klijentima (za podatke gostiju)

Kada upravitelj objekta koristi Vezpu za obradu podataka gostiju:

Upravitelj je Voditelj obrade
Vezpa je Izvrsitelj obrade
Sklapa se Ugovor o obradi osobnih podataka (DPA) sukladno cl. 28. GDPR-a

11.2 Sadrzaj DPA

Ugovor o obradi osobnih podataka sadrzi, sukladno cl. 28.3 GDPR-a:

Predmet i trajanje obrade
Prirodu i svrhu obrade
Vrstu osobnih podataka i kategorije ispitanika
Obveze i prava Voditelja obrade
Dokumentirane upute o obradi
Primijenjene sigurnosne mjere
Ovlastene podizvrsitelje uz najavu zamjene
Pomoc Voditelju obrade za prava ispitanika, DPIA i data breach
Obveze brisanja ili povrata po zavrsetku

DPA je sastavni dio Uvjeta usluge i prihvaca se pri registraciji objekta.

12. Privacy by Design i by Default (cl. 25. GDPR-a)

12.1 Privacy by Design

Vezpa integrira zastitu podataka vec od projektiranja:

Nativna enkripcija u svim komunikacijama
Pseudonimizacija gdje je moguce
Minimizacija prikupljenih podataka
Granularne kontrole pristupa
Potpun audit trail svih operacija

12.2 Privacy by Default

Zadane postavke maksimiziraju privatnost:

Samo strogo nuzni podaci su obvezni
Automatsko cuvanje za minimalno zakonsko razdoblje
Marketing opt-in (ne opt-out)
Vidljivost podataka ogranicena na minimum potrebno

13. Registar aktivnosti obrade (cl. 30. GDPR-a)

Vezpa vodi potpuni registar svih aktivnosti obrade, koji sadrzi:

Naziv i kontakt podatke voditelja obrade i DPO-a
Svrhe obrade
Opis kategorija ispitanika i podataka
Kategorije primatelja
Prijenose prema trecim zemljama
Predvidene rokove cuvanja
Opis sigurnosnih mjera

Registar je dostupan na zahtjev talijanskog tijela za zastitu podataka (Garante).

14. Izmjene obavijesti

Ova obavijest moze se izmijeniti zbog:

Razvoja propisa
Novih funkcionalnosti usluge
Organizacijskih promjena

Bitne izmjene bit ce priopcene putem emaila s najmanje 30 dana najave.

Datum posljednjeg azuriranja uvijek je naznacen na vrhu dokumenta.