GDPR-erklaering - Vezpa PMS

1. Innledning og virkeomraade

Denne erklaeringen beskriver hvordan Vezpa di Paolo Vezzola (heretter "Vezpa" eller "Vi") behandler personopplysninger i samsvar med:

EU-forordning 2016/679 (GDPR)
Lovdekret 196/2003 (italiensk personvernlov) som endret ved D.Lgs. 101/2018
Vedtak og retningslinjer fra den italienske datatilsynsmyndigheten (Garante)

1.1 Hvem den gjelder for

Denne erklaeringen gjelder for:

👤 Driftsansvarlige for innkvarteringssteder som bruker Vezpa (direkte kunder)
🏨 Gjester som oppholder seg ved innkvarteringssteder som bruker Vezpa
👔 Forretningspartnere og leverandoerer
🌐 Besoekende paa nettstedet vezpa.it

1.2 Vezpas doble rolle

Vezpa opptrer med to forskjellige roller:

BEHANDLINGSANSVARLIG For data om driftsansvarlige for innkvarteringsstedene (kunder)
DATABEHANDLER For data om gjestene (vi behandler data etter instruks fra den driftsansvarlige)

2. Identitet og kontaktopplysninger for Behandlingsansvarlig

Behandlingsansvarlig:

Vezpa di Paolo Vezzola
Forretningsadresse: Desenzano del Garda (BS), 25015, via San Zeno 67
MVA-nr.: 04449070988
Skattekode: VZZPLA84C10D284C
PEC: [email protected]
E-post: [email protected]

3. Kategorier av behandlede personopplysninger

3.1 Data om driftsansvarlige (kunder)

Kategori	Datatype	Obligatorisk
Identifikasjonsdata	Fornavn, etternavn, foedselsdato, skattekode	✅ Obligatoriske
Kontaktopplysninger	E-post, telefon, adresse	✅ Obligatoriske
Virksomhetsdata	Firmanavn, MVA-nr., innkvarteringsstedets data	✅ Obligatoriske
Betalingsopplysninger	IBAN, kredittkort (via Stripe)	✅ Obligatoriske for abonnement
Bruksdata	Tilgangslogger, IP, aktivitet paa plattformen	⚙️ Automatiske
Kommunikasjonsdata	E-post, stoettechat, billetter	📝 Frivillige

3.2 Data om gjestene (som Databehandler)

Kategori	Datatype	Rettslig grunnlag (til den Behandlingsansvarlige)
Personopplysninger	Fornavn, etternavn, foedselsdato og -sted, statsborgerskap, kjoenn	Rettslig forpliktelse (italienske TULPS-loven, art. 109 og tilsvarende EU-regelverk)
Legitimasjonsdokument	Type, nummer, utstedelsesdato, utsteder, skannet eller fotografert bilde	Rettslig forpliktelse
OCR-uttrekk	Tekstdata hentet automatisk fra dokumentet (navn, dato, nummer)	Oppfyllelse av avtale (art. 6.1.b) - kun for a forenkle datainnlegging
Kontaktopplysninger	E-post, telefon, adresse	Oppfyllelse av avtale
Bestillingsdata	Oppholdsdatoer, antall gjester, rom, priser, pensjon	Oppfyllelse av avtale
Betalingsopplysninger	Transaksjoner, kvitteringer (kortdata behandles av Stripe, ikke lagret hos Vezpa)	Oppfyllelse av avtale + skatterettslig forpliktelse

⚠️ Saerlige kategorier (art. 9 GDPR):

Innhentede legitimasjonsdokumenter kan inneholde elementer som kan kvalifisere som "saerlige kategorier" i henhold til art. 9 GDPR, typisk:

Foedested (som kan avsloere etnisk opprinnelse)
Fotografisk bilde av ansiktet (ikke brukt til automatisert biometrisk gjenkjenning)

Behandlingens lovlighet: art. 9.2.b (oppfyllelse av forpliktelser innen arbeidsrett, sosialsikkerhet og sosial beskyttelse), 9.2.g (viktige samfunnsinteresser - offentlige sikkerhetsregistre) og 9.2.f (fastsettelse av rettskrav). Formaalene er begrenset til forpliktelser paalagt av loven overfor offentlige myndigheter.

Ekstra tiltak: tilgang begrenset til kun autoriserte roller (direktoer, assistent), ingen profilering paa slike data, ingen kommunikasjon til tredjeparter utenfor mottakende offentlige myndigheter.

Vezpa samler ikke bevisst inn andre saerlige kategorier (politiske/religioese oppfatninger, helsedata, genetiske data, seksuell orientering). Hvis slike data legges inn ved feil av brukeren, maa de umiddelbart fjernes.

4. Formaal og rettslig grunnlag for behandlingen

4.1 For driftsansvarlige (kunder)

Formaal	Rettslig grunnlag (art. 6 GDPR)	Oppbevaring
Levering av PMS-tjenesten	Art. 6.1.b - Oppfyllelse av avtale	Kontraktens varighet + 10 aar
Fakturering og regnskap	Art. 6.1.c - Rettslig forpliktelse	10 aar (skatterettslig forpliktelse)
Kundestoette	Art. 6.1.b - Oppfyllelse av avtale	Kontraktens varighet + 2 aar
Sikkerhet og svindelforebygging	Art. 6.1.f - Berettiget interesse	5 aar
Tjenesteforbedring	Art. 6.1.f - Berettiget interesse	2 aar (aggregerte anonyme data)
Direkte markedsfoering	Art. 6.1.a - Samtykke	Inntil samtykket trekkes tilbake
Forsvar av rettigheter i retten	Art. 6.1.f - Berettiget interesse	10 aar

4.2 For gjester (etter instruks fra den driftsansvarlige)

Formaal	Rettslig grunnlag	Oppbevaring
Gjesteregistrering og kommunikasjon til politiet	Art. 6.1.c - Rettslig forpliktelse (italienske TULPS-loven, art. 109, D.Lgs. 159/2011)	Minst 2 aar
ISTAT-kommunikasjon	Art. 6.1.c - Rettslig forpliktelse	I henhold til ISTAT-regelverk
Turistskatt (Paytourist)	Art. 6.1.c - Rettslig forpliktelse	I henhold til kommunalt regelverk
Administrasjon av bestilling og opphold	Art. 6.1.b - Oppfyllelse av avtale	10 aar (skattemessige formaal)
Online innsjekk og kommunikasjon	Art. 6.1.b - Oppfyllelse av avtale	Oppholdets varighet + innkvarteringsstedets oppbevaringsperiode

📌 Merknad om samtykke:

For mange aktiviteter er samtykke IKKE noedvendig, fordi de baserer seg paa:

✅ Oppfyllelse av avtale (De har bedt om tjenesten)
✅ Rettslige forpliktelser (obligatorisk kommunikasjon til myndighetene)
✅ Berettiget interesse (sikkerhet, tjenesteforbedring)

Samtykke kreves KUN for markedsfoering og profilering.

5. Behandlingsmaate

5.1 Prinsipper for behandlingen (art. 5 GDPR)

Vezpa behandler personopplysninger i samsvar med foelgende prinsipper:

✅ Lovlighet, rettferdighet, aapenhet: vi behandler data paa lovlig maate og informerer Dem tydelig
✅ Formaalsbegrensning: vi bruker data kun til de angitte formaalene
✅ Dataminimering: vi samler kun inn strengt noedvendige data
✅ Riktighet: vi holder dataene oppdatert og noeyaktige
✅ Lagringsbegrensning: vi oppbevarer data kun saa lenge det er noedvendig
✅ Integritet og fortrolighet: vi beskytter dataene med egnede sikkerhetstiltak
✅ Ansvarlighet (accountability): vi kan dokumentere samsvar med GDPR

5.2 Behandlingsmidler

Dataene behandles med verktoey:

💻 Informatiske: servere, databaser, web-/mobilapplikasjoner
📄 Papirbaserte: kun for noedvendige dokumenter (kontrakter, fakturaer)

5.3 Tilgangsmaate

Dataene er tilgjengelige for:

👥 Autorisert personell hos Vezpa (med personlig legitimasjon)
🔐 Tilgang basert paa "need to know"-prinsippet (minste privilegium)
📝 Tilgangslogger spores og overvaakes

6. Sikkerhetstiltak (art. 32 GDPR)

6.1 Tekniske tiltak

✅ Kryptering under overfoering: HTTPS/TLS 1.2+ for alle tilkoblinger, HSTS

✅ Kryptering at-rest: spesifikke sensitive data kryptert med django-cryptography; administrerte volumer og snapshots kryptert paa infrastruktursiden (DigitalOcean)

✅ Passord-hashing: PBKDF2 (Django standard) med tilfeldig salt

✅ Tokens: JWT access token TTL 15 minutter, refresh med rotasjon og svarteliste, TTL 180 dager

✅ 2FA TOTP tilgjengelig paa kontoen (django-otp)

✅ Bot blocker og rate limiting: dedikert middleware som blokkerer skannere og kjente angrepsstier

✅ Sikkerhetskopier: databasens snapshots administrert av infrastrukturleverandoeren, plassering i EU

✅ Rollebasert tilgangskontroll (RBAC): direktoer, assistent, husholderske, observatoer

✅ Applikasjonslogging: sporing av tilganger, kritiske handlinger og avvik

✅ Oppdatering av avhengigheter: overvaakning av saarbarheter paa Python- og Flutter-pakker

6.2 Organisatoriske tiltak

✅ Administrative tilganger begrenset til den Behandlingsansvarlige (Vezpa er for tiden enkeltpersonforetak uten ansatte); eventuelle eksterne medarbeidere utnevnes skriftlig som Databehandlere eller Autoriserte personer

✅ Dokumentert incident response-prosedyre (§9 nedenfor)

✅ Privacy by Design and by Default integrert i utviklingsfasene

✅ Register over behandlingsaktiviteter (art. 30 GDPR) vedlikeholdt og oppdatert

✅ DPA inngaatt med alle viktige underdatabehandlere

✅ Offentlig liste over underdatabehandlere og oppdatert paa vezpa.it/subprocessors

6.3 Referansestandarder

🏆 EU-servere: primaerinfrastruktur DigitalOcean region Frankfurt (FRA1)
🏆 PCI-DSS: betalinger behandles gjennom Stripe, sertifisert PCI-DSS Level 1 (Vezpa lagrer ikke kortdata)
🏆 Sertifiserte underleverandoerer: der det er aktuelt (ISO 27001, SOC 2, DPF) — se siden om underdatabehandlere

7. Mottakere av data (art. 13.1.e GDPR)

7.1 Kategorier av mottakere

Dataene kan formidles til foelgende kategorier av mottakere. Den navngitte listen som alltid er oppdatert er publisert paa vezpa.it/subprocessors.

Kategori	Mottakere	Rolle	Formaal
IT offentlige myndigheter	AlloggiatiWeb (politiet), ISTAT, Kommuner (PayTourist), Skatteetaten	Selvstendige behandlingsansvarlige	Rettslig forpliktelse
EU offentlige myndigheter	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Selvstendige behandlingsansvarlige	Rettslig forpliktelse for den Behandlingsansvarlige (innkvarteringsstedet)
Hosting / Storage / CDN	DigitalOcean LLC (Frankfurt-server, Spaces, Redis)	Databehandler	IT-infrastruktur
Betalinger	Stripe Payments Europe Ltd / Stripe Inc.	Databehandler	Behandling av betalinger
E-post	IONOS SE (DE)	Databehandler	Utsendelse av transaksjonelle e-poster og PEC
Push-varsler mobil	Google LLC (Firebase Cloud Messaging)	Databehandler	Utsendelse av push-varsler til mobile enheter
Channel Manager OTA	STAAH Limited (New Zealand)	Databehandler	Synkronisering av bestillinger med OTA
In-app purchase — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Selvstendig behandlingsansvarlig (store)	Administrasjon av App Store-abonnementer. Apple deltar ikke i DPF: USA-overfoeringer reguleres av SCC 2021/914
In-app purchase — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Selvstendige behandlingsansvarlige (store)	Administrasjon av Play Store / Microsoft Store-abonnementer
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda og ca. 55 andre kanaler	Selvstendige behandlingsansvarlige	Bestillingsbehandling overfor den reisende
Smartlaaser (valgfritt)	Tuya Smart (CN)	Databehandler	Smart tilgangskontroll, kun hvis aktivert av innkvarteringsstedet
Profesjonelle	Regnskapsfoerere, advokater, IT-konsulenter	Databehandlere / Selvstendige behandlingsansvarlige	Spesialistraadgivning, kun naar noedvendig

7.2 Liste over underdatabehandlere (art. 28.4 GDPR)

Den oppdaterte listen er publisert og alltid tilgjengelig paa vezpa.it/subprocessors. Eventuelle endringer (nye underdatabehandlere, erstatninger) kommuniseres til de Behandlingsansvarlige (innkvarteringsstedene) med minst 30 dagers varsel for a tillate innsigelse (art. 28.2 GDPR).

7.3 Overfoering utenfor EU

Rettslig grunnlag for overfoeringene (GDPR kapittel V):

USA — EU-U.S. Data Privacy Framework (Beslutning (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — aktive sertifiseringer i DPF (kontrolleres paa dataprivacyframework.gov/list)
USA — Standardkontraktklausuler (SCC 2021/914): Apple Inc. deltar ikke i DPF; kontraktsforholdet for EU-brukere er med Apple Distribution International Ltd (Irland), og eventuelle interne overfoeringer i Apple-konsernet til USA reguleres av SCC og interne tilstrekkelighetsmekanismer
New Zealand — Tilstrekkelighetsbeslutning (beslutning 2013/65/EU): STAAH Limited
Kina (valgfritt): Tuya Smart — Standardkontraktklausuler (SCC) 2021/914 + supplerende tiltak (minimering og pseudonymisering). Overfoeringen skjer kun for innkvarteringssteder som aktiverer smartlaasene.

For hver underdatabehandler utenfor EU er den anvendelige overfoeringsmekanismen dokumentert. SCC-er og eventuelle Transfer Impact Assessments er tilgjengelige for den Behandlingsansvarlige paa forespoersel.

8. Den registrertes rettigheter (art. 15-22 GDPR)

8.1 Utoevbare rettigheter

Rettighet	GDPR-artikkel	Beskrivelse
Innsyn	Art. 15	Faa bekreftelse paa at Deres data eksisterer og motta kopi
Retting	Art. 16	Rette uriktige data eller komplettere dem
Sletting ("retten til a bli glemt")	Art. 17	Faa slettet data (med unntak for rettslige forpliktelser)
Begrensning	Art. 18	Begrense behandlingen paa visse vilkaar
Dataportabilitet	Art. 20	Motta data i strukturert format (CSV, JSON) og overfoere dem til annen behandlingsansvarlig
Innsigelse	Art. 21	Motsette seg behandling basert paa berettiget interesse
Trekke samtykke	Art. 7.3	Trekke samtykke til markedsfoering naar som helst
Klage	Art. 77	Klage til tilsynsmyndigheten
Ingen automatisert profilering	Art. 22	Ikke bli underlagt avgjoerelser utelukkende basert paa automatisert behandling

8.2 Hvordan utoeve rettighetene

De kan utoeve Deres rettigheter gjennom:

📧 E-post: [email protected]
📧 PEC: [email protected]
📮 Rekommandert brev: Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
💻 Privat omraade: Seksjonen "Personvern og data" i dashbordet (for enkelte rettigheter)

8.3 Svartider

Vezpa svarer paa henvendelsene innen 30 dager fra mottak (kan forlenges med ytterligere 60 dager i komplekse tilfeller, med begrunnet meldling).

8.4 Begrensninger av rettighetene

Noen rettigheter (sletting, begrensning) kan ikke utoeves naar:

⚖️ Det foreligger rettslige forpliktelser som krever at vi oppbevarer dataene
⚖️ Dataene er noedvendige for a forsvare rettigheter i retten
⚖️ En offentlig interesse staar sterkere

9. Data breach og varslinger (art. 33-34 GDPR)

9.1 Prosedyre ved datainnbrudd

Ved data breach (brudd paa personopplysninger) skal Vezpa:

📊 Vurdere hendelsen innen 24 timer fra oppdagelse
📢 Varsle tilsynsmyndigheten innen 72 timer (dersom det foreligger risiko for de registrertes rettigheter)
📧 Kommunisere til de registrerte uten ubegrunnet forsinkelse (ved hoey risiko)
📝 Dokumentere hendelsen i register over brudd
🔧 Iverksette korrigerende tiltak for a forhindre fremtidige brudd

9.2 Aapenhet

Ved et data breach som gjelder Dem, vil De motta en meldling som inneholder:

Bruddets art
Berorte data
Mulige konsekvenser
Iverksatte og anbefalte tiltak
Kontakt til Personvernkontoret

10. Data Protection Impact Assessment (DPIA)

Vezpa har igangsatt vurdering av personvernkonsekvenser (DPIA) i henhold til art. 35 GDPR, med tanke paa systematisk behandling av legitimasjonsdokumenter tilhoerende registrerte i flere EU-stater og overfoeringer til underdatabehandlere utenfor EU.

DPIA-omfang:

Behandling av personopplysninger og legitimasjonsdokumenter fra gjester via flere myndighetskonnektorer
Flyt til OTA channel manager og overfoeringer utenfor EU
Automatisk OCR paa dokumentbilder
Integrasjon med biometriske autentiseringstjenester paa enhetssiden

DPIA og eventuelle ytterligere avbotstiltak oppdateres regelmessig. Ved hoey restrisiko vil Vezpa gjennomfoere forhaandskonsultasjon med tilsynsmyndigheten i henhold til art. 36 GDPR. Den Behandlingsansvarlige (innkvarteringsstedet) kan be om sammendrag av DPIA ved a skrive til [email protected].

11. Databehandler (art. 28 GDPR)

11.1 Avtaler med kunder (for gjestedata)

Naar innkvarteringsstedets driftsansvarlige bruker Vezpa til a behandle gjestedata:

Den driftsansvarlige er Behandlingsansvarlig
Vezpa er Databehandler
Det inngaas en Databehandleravtale (DPA) i henhold til art. 28 GDPR

11.2 DPA-innhold

Databehandleravtalen inneholder, i henhold til art. 28.3 GDPR:

📋 Behandlingens gjenstand og varighet
📋 Behandlingens art og formaal
📋 Type personopplysninger og kategorier av registrerte
📋 Den Behandlingsansvarliges forpliktelser og rettigheter
📋 Dokumenterte instruksjoner om behandlingen
📋 Iverksatte sikkerhetstiltak
📋 Autoriserte underdatabehandlere med varsel ved utskifting
📋 Bistand til den Behandlingsansvarlige for de registrertes rettigheter, DPIA og data breach
📋 Sletterings- eller tilbakeleveringsforpliktelser ved opphoer

DPA er en integrert del av Tjenestevilkaarene og aksepteres ved registrering av innkvarteringsstedet.

12. Privacy by Design og by Default (art. 25 GDPR)

12.1 Privacy by Design

Vezpa integrerer databeskyttelse fra designfasen:

🔒 Innebygd kryptering i all kommunikasjon
🔒 Pseudonymisering der det er mulig
🔒 Minimering av innsamlede data
🔒 Granulaer tilgangskontroll
🔒 Fullstendig audit trail for alle operasjoner

12.2 Privacy by Default

Standardinnstillingene maksimerer personvernet:

✅ Kun strengt noedvendige data er obligatoriske
✅ Automatisk oppbevaring for minimal lovlig periode
✅ Markedsfoering opt-in (ikke opt-out)
✅ Datasynlighet begrenset til det strengt noedvendige

13. Register over behandlingsaktiviteter (art. 30 GDPR)

Vezpa foerer et fullstendig register over alle behandlingsaktiviteter, som inneholder:

Navn og kontaktopplysninger for behandlingsansvarlig og DPO
Behandlingens formaal
Beskrivelse av kategorier av registrerte og data
Kategorier av mottakere
Overfoeringer til tredjeland
Planlagte oppbevaringstider
Beskrivelse av sikkerhetstiltak

Registeret er tilgjengelig paa forespoersel fra tilsynsmyndigheten.

14. Endringer i erklaeringen

Denne erklaeringen kan endres for:

Regelverksendringer
Nye tjenestefunksjoner
Organisatoriske endringer

Vesentlige endringer vil bli meddelt via e-post med minst 30 dagers varsel.

Dato for siste oppdatering er alltid angitt oevst i dokumentet.