Информация о GDPR

1. Введение и сфера применения

Настоящая информация описывает, как Vezpa di Paolo Vezzola (далее «Vezpa» или «Мы») обрабатывает персональные данные в соответствии с:

Регламентом (ЕС) 2016/679 (GDPR)
Итальянским законодательным декретом 196/2003 (итальянский Кодекс о конфиденциальности), с изменениями, внесёнными Законодательным декретом 101/2018
Мерами и Руководящими указаниями итальянского органа по защите данных

1.1 К кому применяется

Настоящая информация применяется к:

👤 Управляющим объектов размещения, использующим Vezpa (прямые клиенты)
🏨 Гостям, проживающим в объектах, использующих Vezpa
👔 Коммерческим партнёрам и поставщикам
🌐 Посетителям сайта vezpa.it

1.2 Двойная роль Vezpa

Vezpa действует в двух разных ролях:

КОНТРОЛЁР ДАННЫХ Для данных управляющих объектов (клиентов)
ОБРАБОТЧИК Для данных гостей (мы обрабатываем данные по инструкциям управляющего объекта)

2. Идентификация и контактные данные Контролёра

Контролёр персональных данных:

Vezpa di Paolo Vezzola
Юридический адрес: Desenzano del Garda (BS), 25015, via San Zeno 67
НДС №: 04449070988
Налоговый код: VZZPLA84C10D284C
PEC: [email protected]
Электронная почта: [email protected]

3. Категории обрабатываемых персональных данных

3.1 Данные управляющих (клиентов)

Категория	Вид данных	Обязательность
Идентификационные данные	Имя, фамилия, дата рождения, налоговый код	✅ Обязательно
Контактные данные	Электронная почта, телефон, адрес	✅ Обязательно
Данные компании	Наименование, НДС №, данные объекта	✅ Обязательно
Платёжные данные	IBAN, кредитная карта (через Stripe)	✅ Обязательно для подписки
Данные об использовании	Журналы доступа, IP, действия на платформе	⚙️ Автоматические
Данные коммуникаций	Электронная почта, чат поддержки, тикеты	📝 Добровольные

3.2 Данные гостей (как Обработчик персональных данных)

Категория	Вид данных	Правовое основание (Контролёра)
Идентификационные данные	Имя, фамилия, дата и место рождения, гражданство, пол	Юридическое обязательство (итальянский закон TULPS, ст. 109, и эквивалентные нормативные акты ЕС)
Удостоверение личности	Вид, номер, дата выдачи, орган, сканированное или фотографическое изображение	Юридическое обязательство
OCR-извлечение	Текстовые данные, автоматически извлечённые из документа (имя, дата, номер)	Исполнение договора (ст. 6.1.b) — только для упрощения ввода данных
Контактные данные	Электронная почта, телефон, адрес	Исполнение договора
Данные бронирования	Даты проживания, количество гостей, номер, тарифы, тип питания	Исполнение договора
Платёжные данные	Транзакции, квитанции (данные карты обрабатываются Stripe, не хранятся в Vezpa)	Исполнение договора + налоговое обязательство

⚠️ Специальные категории данных (ст. 9 GDPR):

Получаемые удостоверения личности могут содержать элементы, отнесённые к «специальным» согласно ст. 9 GDPR, как правило:

Место рождения (из которого может быть выведено этническое происхождение)
Фотографическое изображение лица (не используется для автоматизированного биометрического распознавания)

Правомерность обработки: ст. 9.2.b (исполнение обязательств в области трудового права, безопасности и социальной защиты), 9.2.g (причины значительного общественного интереса — регистрации общественной безопасности) и 9.2.f (установление прав). Цели ограничены исполнениями, предписанными законом, в адрес государственных органов.

Дополнительные меры: доступ ограничен только уполномоченными ролями (директор, ассистент), никакого профилирования по таким данным, никакого раскрытия третьим лицам за пределами государственных органов-получателей.

Vezpa не собирает намеренно другие специальные данные (политические/религиозные взгляды, медицинские данные, генетические данные, сексуальную ориентацию). Если такие данные были введены пользователем по ошибке, они должны быть немедленно удалены.

4. Цели и правовое основание обработки

4.1 Для управляющих (клиентов)

Цель	Правовое основание (ст. 6 GDPR)	Срок хранения
Предоставление услуги PMS	Ст. 6.1.b — Исполнение договора	Срок действия договора + 10 лет
Выставление счетов и бухгалтерия	Ст. 6.1.c — Юридическое обязательство	10 лет (налоговое обязательство)
Клиентская поддержка	Ст. 6.1.b — Исполнение договора	Срок действия договора + 2 года
Безопасность и предотвращение мошенничества	Ст. 6.1.f — Законный интерес	5 лет
Улучшение услуги	Ст. 6.1.f — Законный интерес	2 года (анонимные агрегированные данные)
Прямой маркетинг	Ст. 6.1.a — Согласие	До отзыва согласия
Защита прав в судебном процессе	Ст. 6.1.f — Законный интерес	10 лет

4.2 Для гостей (по инструкциям Управляющего)

Цель	Правовое основание	Срок хранения
Регистрация гостей и уведомление Questura	Ст. 6.1.c — Юридическое обязательство (итальянский закон TULPS, ст. 109, Зак. декрет 159/2011)	Минимум 2 года
Уведомления ISTAT	Ст. 6.1.c — Юридическое обязательство	Согласно нормативным актам ISTAT
Туристический налог (Paytourist)	Ст. 6.1.c — Юридическое обязательство	Согласно муниципальным нормативным актам
Управление бронированием и проживанием	Ст. 6.1.b — Исполнение договора	10 лет (налоговые цели)
Онлайн-заезд и коммуникации	Ст. 6.1.b — Исполнение договора	Срок проживания + срок хранения объекта

📌 Примечание о согласии:

Для многих видов деятельности согласие НЕ требуется, поскольку они основаны на:

✅ Исполнении договора (Вы запросили услугу)
✅ Юридических обязательствах (обязательные уведомления властям)
✅ Законном интересе (безопасность, улучшение услуги)

Согласие требуется ТОЛЬКО для маркетинга и профилирования.

5. Способы обработки

5.1 Принципы обработки (ст. 5 GDPR)

Vezpa обрабатывает персональные данные с соблюдением следующих принципов:

✅ Законность, добросовестность, прозрачность: мы обрабатываем данные законным образом и информируем Вас понятным языком
✅ Ограничение цели: мы используем данные только для заявленных целей
✅ Минимизация данных: мы собираем только строго необходимые данные
✅ Точность: мы поддерживаем данные актуальными и точными
✅ Ограничение хранения: мы храним данные только в течение необходимого времени
✅ Целостность и конфиденциальность: мы защищаем данные надлежащими мерами безопасности
✅ Подотчётность (accountability): мы можем доказать соответствие GDPR

5.2 Средства обработки

Данные обрабатываются следующими инструментами:

💻 Информационные: серверы, базы данных, веб-/мобильные приложения
📄 Бумажные: только для необходимых документов (договоры, счета-фактуры)

5.3 Способ доступа

Доступ к данным имеют:

👥 Уполномоченный персонал Vezpa (с личными идентификационными данными)
🔐 Доступ на основе принципа «need to know» (минимальные привилегии)
📝 Журналы доступа, отслеживаемые и контролируемые

6. Меры безопасности (ст. 32 GDPR)

6.1 Технические меры

✅ Шифрование при передаче: HTTPS/TLS 1.2+ для всех соединений, HSTS

✅ Шифрование при хранении: конкретные конфиденциальные данные, зашифрованные с помощью django-cryptography; тома, управляемые и зашифрованные снимки на стороне инфраструктуры (DigitalOcean)

✅ Хеширование паролей: PBKDF2 (по умолчанию в Django) со случайным salt

✅ Токены: JWT access token TTL 15 минут, refresh с ротацией и чёрным списком, TTL 180 дней

✅ 2FA TOTP доступна в аккаунте (django-otp)

✅ Bot blocker и rate limiting: специальный middleware, блокирующий сканеры и известные пути атак

✅ Резервные копии: снимки базы данных, управляемые поставщиком инфраструктуры, расположение в ЕС

✅ Контроль доступа на основе ролей (RBAC): директор, ассистент, горничная, наблюдатель

✅ Логирование приложения: отслеживание доступа, критических действий и аномалий

✅ Обновление зависимостей: мониторинг уязвимостей пакетов Python и Flutter

6.2 Организационные меры

✅ Административный доступ ограничен Контролёром (Vezpa в настоящее время является индивидуальным предпринимателем без сотрудников); возможные внешние сотрудники назначаются письменно как Обработчики или Уполномоченные лица

✅ Документированная процедура incident response (§9 ниже)

✅ Privacy by Design and by Default, интегрированные в этапы разработки

✅ Реестр обработок (ст. 30 GDPR), ведётся и обновляется

✅ DPA, подписанный со всеми основными суб-обработчиками

✅ Публичный список суб-обработчиков, обновляемый на vezpa.it/subprocessors

6.3 Эталонные стандарты

🏆 Серверы в ЕС: основная инфраструктура DigitalOcean регион Франкфурт (FRA1)
🏆 PCI-DSS: платежи обрабатываются через Stripe, сертифицированный PCI-DSS Level 1 (Vezpa не хранит данные карт)
🏆 Сертифицированные субподрядчики: где применимо (ISO 27001, SOC 2, DPF) — см. страницу суб-обработчиков

7. Получатели данных (ст. 13.1.e GDPR)

7.1 Категории получателей

Данные могут раскрываться следующим категориям получателей. Поимённый и всегда актуальный список опубликован на vezpa.it/subprocessors.

Категория	Получатели	Роль	Цель
Государственные органы IT	AlloggiatiWeb (Questura), ISTAT, Муниципалитеты (PayTourist), Налоговая служба	Самостоятельные контролёры	Юридическое обязательство
Государственные органы ЕС	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Самостоятельные контролёры	Юридическое обязательство Контролёра (объекта)
Хостинг / Storage / CDN	DigitalOcean LLC (серверы Франкфурт, Spaces, Redis)	Обработчик	IT-инфраструктура
Платежи	Stripe Payments Europe Ltd / Stripe Inc.	Обработчик	Обработка платежей
Электронная почта	IONOS SE (DE)	Обработчик	Отправка транзакционных писем и PEC
Push-уведомления для мобильных	Google LLC (Firebase Cloud Messaging)	Обработчик	Отправка push-уведомлений на мобильные устройства
Channel Manager OTA	STAAH Limited (Новая Зеландия)	Обработчик	Синхронизация бронирований с OTA
In-app purchase — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (США)	Самостоятельный контролёр (магазин)	Управление подписками в App Store. Apple не участвует в DPF: передачи в США регулируются SCC 2021/914
In-app purchase — Google / Microsoft	Google Ireland Ltd / Google LLC (США, DPF), Microsoft Ireland / Microsoft Corp. (США, DPF)	Самостоятельные контролёры (магазины)	Управление подписками Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda и около 55 других каналов	Самостоятельные контролёры	Управление бронированиями для путешественника
Умные замки (опционально)	Tuya Smart (CN)	Обработчик	Управление домашним доступом, только если активировано объектом
Профессионалы	Бухгалтеры, адвокаты, IT-консультанты	Обработчики / Самостоятельные контролёры	Специализированные консультации, только где необходимо

7.2 Список суб-обработчиков персональных данных (ст. 28.4 GDPR)

Актуальный список опубликован и всегда доступен на vezpa.it/subprocessors. Любые изменения (новые суб-обработчики, замены) сообщаются Контролёрам (объектам) с уведомлением не менее чем за 30 дней, чтобы обеспечить возможность возражения (ст. 28.2 GDPR).

7.3 Передачи за пределы ЕС

Правовое основание передач (Глава V GDPR):

США — EU-U.S. Data Privacy Framework (Решение (ЕС) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — активные сертификации по DPF (проверка на dataprivacyframework.gov/list)
США — Стандартные договорные условия (SCC) (SCC 2021/914): Apple Inc. не участвует в DPF; договорные отношения для пользователей из ЕС осуществляются с Apple Distribution International Ltd (Ирландия), а возможные передачи внутри группы Apple в США регулируются SCC и внутренними механизмами адекватности
Новая Зеландия — Решение об адекватности (Решение 2013/65/ЕС): STAAH Limited
Китай (опционально): Tuya Smart — Стандартные договорные условия (SCC) 2021/914 + дополнительные меры (минимизация и псевдонимизация). Передача осуществляется только для объектов, активирующих умные замки.

Для каждого суб-обработчика за пределами ЕС задокументирован применимый механизм передачи. SCC и возможные Transfer Impact Assessment доступны Контролёру по запросу.

8. Права субъекта данных (ст. 15-22 GDPR)

8.1 Реализуемые права

Право	Ст. GDPR	Описание
Право на доступ к данным	Ст. 15	Получение подтверждения существования Ваших данных и получение копии
Право на исправление	Ст. 16	Исправление неточных данных или их дополнение
Право на удаление («право быть забытым»)	Ст. 17	Получение удаления данных (с исключениями для юридических обязательств)
Ограничение	Ст. 18	Ограничение обработки при определённых условиях
Право на переносимость данных	Ст. 20	Получение данных в структурированном формате (CSV, JSON) и их передача другому контролёру
Право на возражение	Ст. 21	Возражение против обработки, основанной на законном интересе
Отзыв согласия	Ст. 7.3	Отзыв согласия на маркетинг в любое время
Жалоба	Ст. 77	Подача жалобы в надзорный орган по защите персональных данных
Отсутствие автоматизированного профилирования	Ст. 22	Не быть объектом решений, основанных исключительно на автоматизированной обработке

8.2 Как реализовать свои права

Вы можете реализовать свои права через:

📧 Электронная почта: [email protected]
📧 PEC: [email protected]
📮 Заказное письмо с уведомлением о вручении: Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
💻 Защищённая зона: Раздел «Конфиденциальность и данные» в панели управления (для некоторых прав)

8.3 Сроки ответа

Vezpa отвечает на запросы в течение 30 дней с момента получения (продлеваемых ещё на 60 дней в сложных случаях, с мотивированным уведомлением).

8.4 Ограничения прав

Некоторые права (удаление, ограничение) могут быть нереализуемы, когда:

⚖️ Существуют юридические обязательства, требующие от нас хранения данных
⚖️ Данные необходимы для защиты прав в судебном процессе
⚖️ Преобладает общественный интерес

9. Уведомление о нарушении данных (ст. 33-34 GDPR)

9.1 Процедура в случае нарушения данных

В случае data breach (нарушения персональных данных) Vezpa:

📊 Оценивает инцидент в течение 24 часов с момента обнаружения
📢 Уведомляет Garante в течение 72 часов (если есть риск для прав субъектов)
📧 Информирует субъектов без неоправданной задержки (если есть высокий риск)
📝 Документирует инцидент в реестре нарушений
🔧 Принимает корректирующие меры для предотвращения будущих нарушений

9.2 Прозрачность

В случае data breach, который Вас затрагивает, Вы получите уведомление, содержащее:

Характер нарушения
Затронутые данные
Возможные последствия
Принятые и рекомендованные меры
Контакты офиса по конфиденциальности

10. Оценка воздействия на защиту данных (DPIA)

Vezpa инициировала Оценку воздействия на защиту данных (DPIA) согласно ст. 35 GDPR, учитывая систематическую обработку удостоверений личности субъектов из нескольких государств ЕС и передачи суб-обработчикам за пределами ЕС.

Объём DPIA:

Обработка идентификационных данных и удостоверений личности гостей через несколько государственных коннекторов
Потоки к channel manager OTA и передачи за пределы ЕС
Автоматический OCR на изображениях документов
Интеграция с биометрическими сервисами для аутентификации на стороне устройства

DPIA и возможные дополнительные меры по снижению рисков периодически обновляются. В случае высокого остаточного риска Vezpa проведёт предварительную консультацию с итальянским органом по защите данных (Garante) согласно ст. 36 GDPR. Контролёр (объект) может запросить резюме DPIA, написав на [email protected].

11. Обработчик персональных данных (ст. 28 GDPR)

11.1 Соглашения с клиентами (для данных гостей)

Когда управляющий объекта использует Vezpa для обработки данных гостей:

Управляющий является Контролёром обработки
Vezpa является Обработчиком обработки
Заключается Договор об обработке персональных данных (DPA) согласно ст. 28 GDPR

11.2 Содержание DPA

Договор об обработке персональных данных содержит, согласно ст. 28.3 GDPR:

📋 Предмет и срок обработки
📋 Характер и цели обработки
📋 Вид персональных данных и категории субъектов
📋 Обязанности и права Контролёра
📋 Документированные инструкции по обработке
📋 Применённые меры безопасности
📋 Уполномоченные суб-обработчики с уведомлением о замене
📋 Содействие Контролёру в отношении прав субъектов, DPIA и data breach
📋 Обязательства по удалению или возврату при прекращении

DPA является неотъемлемой частью Общих условий обслуживания и принимается при регистрации объекта.

12. Privacy by Design и by Default (ст. 25 GDPR)

12.1 Privacy by Design

Vezpa интегрирует защиту данных уже на этапе проектирования:

🔒 Нативное шифрование во всех коммуникациях
🔒 Псевдонимизация, где это возможно
🔒 Минимизация собираемых данных
🔒 Гранулированные контроли доступа
🔒 Полный audit trail всех операций

12.2 Privacy by Default

Настройки по умолчанию максимизируют конфиденциальность:

✅ Обязательны только строго необходимые данные
✅ Автоматическое хранение в течение минимального законного периода
✅ Маркетинг opt-in (а не opt-out)
✅ Видимость данных ограничена минимально необходимым

13. Реестр действий по обработке (ст. 30 GDPR)

Vezpa ведёт полный реестр всех действий по обработке, содержащий:

Имя и контактные данные контролёра и DPO
Цели обработки
Описание категорий субъектов и данных
Категории получателей
Передачи в третьи страны
Предусмотренные сроки хранения
Описание мер безопасности

Реестр доступен по запросу Garante.

14. Изменения в информации

Настоящая информация может быть изменена в связи с:

Нормативными изменениями
Новыми функциональностями услуги
Организационными изменениями

Существенные изменения будут сообщаться по электронной почте с уведомлением не менее чем за 30 дней.

Дата последнего обновления всегда указана в начале документа.