GDPR obvestilo - Vezpa PMS

1. Uvod in podrocje uporabe

To obvestilo opisuje, kako Vezpa di Paolo Vezzola (v nadaljevanju "Vezpa" ali "Mi") obdeluje osebne podatke v skladu z:

Uredba EU 2016/679 (GDPR)
Zakonska uredba 196/2003 (italijanski zakonik o zasebnosti), kot je bila spremenjena z D.Lgs. 101/2018
Odlocbami in smernicami italijanskega organa za varstvo podatkov (Garante)

1.1 Za koga velja

To obvestilo velja za:

Upravljavce nastanitvenih objektov, ki uporabljajo Vezpo (neposredne stranke)
Goste, ki bivajo v objektih, ki uporabljajo Vezpo
Poslovne partnerje in dobavitelje
Obiskovalce spletnega mesta vezpa.it

1.2 Dvojna vloga Vezpe

Vezpa deluje v dveh razlicnih vlogah:

UPRAVLJAVEC Za podatke upravljavcev objektov (stranke)
OBDELOVALEC Za podatke gostov (obdelujemo podatke po navodilih upravljavca objekta)

2. Identiteta in kontaktni podatki Upravljavca

Upravljavec obdelave:

Vezpa di Paolo Vezzola
Sedez: Desenzano del Garda (BS), 25015, via San Zeno 67
P.IVA: 04449070988
C.F.: VZZPLA84C10D284C
PEC: [email protected]
E-posta: [email protected]

3. Kategorije obdelanih osebnih podatkov

3.1 Podatki upravljavcev (strank)

Kategorija	Vrsta podatkov	Obvezno
Identifikacijski podatki	Ime, priimek, datum rojstva, davcna stevilka	Obvezno
Kontaktni podatki	E-posta, telefon, naslov	Obvezno
Podjetniski podatki	Firma, ID za DDV, podatki o objektu	Obvezno
Podatki o placilu	IBAN, kreditna kartica (prek Stripe)	Obvezno za narocnino
Podatki o uporabi	Dnevniki dostopa, IP, aktivnost na platformi	Samodejno
Podatki o sporocilih	E-posta, podporni klepet, zahtevki	Prostovoljno

3.2 Podatki gostov (kot Obdelovalec)

Kategorija	Vrsta podatkov	Pravna podlaga (Upravljavca)
Osnovni osebni podatki	Ime, priimek, datum in kraj rojstva, drzavljanstvo, spol	Zakonska obveznost (italijanski zakon TULPS, 109. clen in enakovredne zakonodaje EU)
Osebni dokument	Vrsta, stevilka, datum izdaje, izdajatelj, skenirana ali fotografirana slika	Zakonska obveznost
Izvleceki OCR	Tekstovni podatki, samodejno izlusčeni iz dokumenta (ime, datum, stevilka)	Izvajanje pogodbe (cl. 6.1.b) - samo za lazji vnos
Kontaktni podatki	E-posta, telefon, naslov	Izvajanje pogodbe
Podatki o rezervaciji	Datumi bivanja, stevilo gostov, soba, cene, storitve	Izvajanje pogodbe
Podatki o placilu	Transakcije, racuni (podatki o karticah upravlja Stripe, niso shranjeni pri Vezpi)	Izvajanje pogodbe + davcna obveznost

Posebne vrste podatkov (9. clen GDPR):

Pridobljeni osebni dokumenti lahko vsebujejo elemente, ki se stejejo za "posebne" v skladu z 9. clenom GDPR, obicajno:

Kraj rojstva (iz katerega je mogoce sklepati na etnicno poreklo)
Fotografija obraza (ne uporablja se za samodejno biometricno prepoznavanje)

Zakonitost obdelave: cl. 9.2.b (izpolnjevanje obveznosti na podrocju delovnega prava, varnosti in socialne zascite), 9.2.g (razlogi bistvenega javnega interesa - evidence javne varnosti) in 9.2.f (uveljavljanje pravic). Nameni so omejeni na obveznosti, ki jih zakon nalaga do javnih organov.

Dodatni ukrepi: dostop omejen le na pooblascene vloge (direktor, pomocnik), brez profiliranja na teh podatkih, brez sporocanja tretjim osebam zunaj javnih organov prejemnikov.

Vezpa namerno ne zbira drugih posebnih vrst podatkov (politicna/verska preprica, zdravstveni podatki, geneticni podatki, spolna usmerjenost). Ce jih uporabnik po pomoti vnese, jih je treba takoj odstraniti.

4. Nameni in pravna podlaga obdelave

4.1 Za upravljavce (stranke)

Namen	Pravna podlaga (cl. 6 GDPR)	Hramba
Zagotavljanje storitve PMS	Cl. 6.1.b - Izvajanje pogodbe	Trajanje pogodbe + 10 let
Izdaja racunov in racunovodstvo	Cl. 6.1.c - Zakonska obveznost	10 let (davcna obveznost)
Podpora strankam	Cl. 6.1.b - Izvajanje pogodbe	Trajanje pogodbe + 2 leti
Varnost in preprecevanje goljufij	Cl. 6.1.f - Zakoniti interes	5 let
Izboljsanje storitve	Cl. 6.1.f - Zakoniti interes	2 leti (zbrani anonimni podatki)
Neposredno trzenje	Cl. 6.1.a - Privolitev	Do preklica privolitve
Obramba pravic na sodiscu	Cl. 6.1.f - Zakoniti interes	10 let

4.2 Za goste (po navodilih Upravljavca)

Namen	Pravna podlaga	Hramba
Prijava gostov in sporocilo Policiji	Cl. 6.1.c - Zakonska obveznost (italijanski zakon TULPS, 109. clen, D.Lgs. 159/2011)	Najmanj 2 leti
Sporocila ISTAT	Cl. 6.1.c - Zakonska obveznost	Skladno s predpisi ISTAT
Turisticna taksa (Paytourist)	Cl. 6.1.c - Zakonska obveznost	Skladno z obcinskimi predpisi
Upravljanje rezervacije in bivanja	Cl. 6.1.b - Izvajanje pogodbe	10 let (davcni nameni)
Spletna prijava in sporocila	Cl. 6.1.b - Izvajanje pogodbe	Trajanje bivanja + obdobje hrambe objekta

Opomba o privolitvi:

Za veliko dejavnosti NI potrebna privolitev, ker temeljijo na:

Izvajanju pogodbe (vi ste zahtevali storitev)
Zakonskih obveznostih (obvezna sporocila organom)
Zakonitem interesu (varnost, izboljsanje storitve)

Privolitev je potrebna SAMO za trzenje in profiliranje.

5. Nacin obdelave

5.1 Nacela obdelave (5. clen GDPR)

Vezpa obdeluje osebne podatke v skladu z naslednjimi naceli:

Zakonitost, postenost, transparentnost: podatke obdelujemo zakonito in vas jasno obvescamo
Omejitev namena: podatke uporabljamo samo za navedene namene
Minimizacija podatkov: zbiramo samo nujno potrebne podatke
Tocnost: podatke vzdrzujemo posodobljene in tocne
Omejitev hrambe: podatke hranimo samo toliko casa, kolikor je potrebno
Celovitost in zaupnost: podatke varujemo z ustreznimi varnostnimi ukrepi
Odgovornost: lahko izkazemo skladnost z GDPR

5.2 Sredstva obdelave

Podatki se obdelujejo z orodji:

Informacijskimi: strezniki, zbirke podatkov, spletne/mobilne aplikacije
Papirnatimi: samo za potrebne dokumente (pogodbe, racuni)

5.3 Nacin dostopa

Podatki so dostopni:

Pooblascenemu osebju Vezpe (z osebnimi poverilnicami)
Dostop na podlagi nacela "need to know" (najmanjsi privilegij)
Dnevniki dostopa so sledljivi in spremljani

6. Varnostni ukrepi (32. clen GDPR)

6.1 Tehnicni ukrepi

Sifriranje pri prenosu: HTTPS/TLS 1.2+ za vse povezave, HSTS

Sifriranje v mirovanju: posebni obcutljivi podatki sifrirani prek django-cryptography; upravljani nosilci in snapshot sifrirani na strani infrastrukture (DigitalOcean)

Zgoscanje gesel: PBKDF2 (privzeto Django) z nakljucno soljo

Zetoni: JWT access token TTL 15 minut, refresh z rotacijo in crno listo, TTL 180 dni

2FA TOTP na voljo za racune (django-otp)

Bot blocker in rate limiting: namenski middleware, ki blokira optike in znane napadne poti

Varnostne kopije: snapshot baze podatkov upravlja ponudnik infrastrukture, lokacija EU

Nadzor dostopa na podlagi vlog (RBAC): direktor, pomocnik, gospodinja, opazovalec

Aplikacijsko beleznje: sledenje dostopom, kriticnim dejanjem in nepravilnostim

Posodobitev odvisnosti: spremljanje ranljivosti paketov Python in Flutter

6.2 Organizacijski ukrepi

Administrativni dostopi omejeni na Upravljavca (Vezpa je trenutno samostojni podjetnik brez zaposlenih); morebitni zunanji sodelavci so pisno doloceni kot Obdelovalci ali Pooblascene osebe

Postopek odzivanja na incidente dokumentiran (§9 spodaj)

Privacy by Design and by Default vgrajen v razvojne faze

Evidenca obdelave (30. clen GDPR) vzdrzevana in posodabljana

DPA podpisan z vsemi glavnimi dodatnimi obdelovalci

Javni seznam dodatnih obdelovalcev, posodobljen na vezpa.it/subprocessors

6.3 Referencni standardi

Strezniki EU: primarna infrastruktura DigitalOcean regija Frankfurt (FRA1)
PCI-DSS: placila upravljana prek Stripe, certificirana PCI-DSS Level 1 (Vezpa ne shranjuje podatkov o karticah)
Certificirani dodatni ponudniki: kjer je primerno (ISO 27001, SOC 2, DPF) - glej stran dodatnih obdelovalcev

7. Prejemniki podatkov (cl. 13.1.e GDPR)

7.1 Kategorije prejemnikov

Podatki se lahko sporocajo naslednjim kategorijam prejemnikov. Imenski seznam in vedno posodobljen je objavljen na vezpa.it/subprocessors.

Kategorija	Prejemniki	Vloga	Namen
Javni organi IT	AlloggiatiWeb (Policija), ISTAT, Obcine (PayTourist), Davcna agencija	Samostojni upravljavci	Zakonska obveznost
Javni organi EU	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Samostojni upravljavci	Zakonska obveznost Upravljavca (objekt)
Gostovanje / Shramba / CDN	DigitalOcean LLC (strezniki Frankfurt, Spaces, Redis)	Obdelovalec	IT infrastruktura
Placila	Stripe Payments Europe Ltd / Stripe Inc.	Obdelovalec	Obdelava placil
E-posta	IONOS SE (DE)	Obdelovalec	Posiljanje transakcijske e-poste in PEC
Mobilna push obvestila	Google LLC (Firebase Cloud Messaging)	Obdelovalec	Posiljanje push obvestil mobilnim napravam
Channel Manager OTA	STAAH Limited (Nova Zelandija)	Obdelovalec	Sinhronizacija rezervacij z OTA
Nakupi v aplikaciji - Apple	Apple Distribution International Ltd (IE) / Apple Inc. (ZDA)	Samostojni upravljavec (trgovina)	Upravljanje narocnin App Store. Apple ne sodeluje pri DPF: prenosi v ZDA urejeni s SCC 2021/914
Nakupi v aplikaciji - Google / Microsoft	Google Ireland Ltd / Google LLC (ZDA, DPF), Microsoft Ireland / Microsoft Corp. (ZDA, DPF)	Samostojna upravljavca (trgovini)	Upravljanje narocnin Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda in priblizno 55 drugih kanalov	Samostojni upravljavci	Upravljanje rezervacij do potnika
Pametne kljucavnice (neobvezno)	Tuya Smart (CN)	Obdelovalec	Upravljanje domoticnih dostopov, samo ce je aktivirano
Profesionalci	Davcni svetovalci, odvetniki, IT svetovalci	Obdelovalci / Samostojni upravljavci	Specialno svetovanje, samo kjer je potrebno

7.2 Seznam dodatnih obdelovalcev (cl. 28.4 GDPR)

Posodobljen seznam je objavljen in vedno na voljo na vezpa.it/subprocessors. Morebitne spremembe (novi dodatni obdelovalci, zamenjave) se sporocajo Upravljavcem (objektom) s predhodnim obvestilom vsaj 30 dni za omogocanje ugovarjanja (cl. 28.2 GDPR).

7.3 Prenosi izven EU

Pravna podlaga prenosov (Pogl. V GDPR):

ZDA - EU-U.S. Data Privacy Framework (Sklep (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC - aktivne certifikacije pri DPF (preverite na dataprivacyframework.gov/list)
ZDA - Standardne pogodbene klavzule (SCC) 2021/914: Apple Inc. ne sodeluje pri DPF; pogodbeno razmerje za uporabnike EU je sklenjeno z Apple Distribution International Ltd (Irska), morebitni notranji prenosi v skupini Apple v ZDA pa potekajo prek SCC in notranjih mehanizmov ustreznosti
Nova Zelandija - Sklep o ustreznosti (Sklep 2013/65/EU): STAAH Limited
Kitajska (neobvezno): Tuya Smart - Standardne pogodbene klavzule (SCC) 2021/914 + dopolnilni ukrepi (minimizacija in psevdonimizacija). Prenos se izvede samo za objekte, ki aktivirajo pametne kljucavnice.

Za vsakega dodatnega obdelovalca izven EU je dokumentiran veljavni mehanizem prenosa. SCC in morebitna Transfer Impact Assessment so Upravljavcu na voljo na zahtevo.

8. Pravice posameznika (cl. 15-22 GDPR)

8.1 Uveljavljive pravice

Pravica	Cl. GDPR	Opis
Dostop	Cl. 15	Pridobiti potrdilo o obstoju vasih podatkov in prejeti kopijo
Popravek	Cl. 16	Popraviti netocne podatke ali jih dopolniti
Izbris ("pozaba")	Cl. 17	Doseci izbris podatkov (z izjemami zaradi zakonskih obveznosti)
Omejitev	Cl. 18	Omejiti obdelavo pod dolocenimi pogoji
Prenosljivost	Cl. 20	Prejeti podatke v strukturirani obliki (CSV, JSON) in jih prenesti drugemu upravljavcu
Ugovor	Cl. 21	Ugovarjati obdelavi, ki temelji na zakonitem interesu
Preklic privolitve	Cl. 7.3	Kadarkoli preklicati privolitev za trzenje
Pritozba	Cl. 77	Vloziti pritozbo italijanskemu organu za varstvo podatkov (Garante)
Brez avtomatizirane profiliranja	Cl. 22	Ne biti predmet odlocitev, ki temeljijo izkljucno na avtomatizirani obdelavi

8.2 Kako uveljaviti pravice

Svoje pravice lahko uveljavite prek:

E-posta: [email protected]
PEC: [email protected]
Priporoceno pismo s povratnico: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
Zasebno obmocje: razdelek "Zasebnost in podatki" v nadzorni plosci (za nekatere pravice)

8.3 Casi odziva

Vezpa odgovori na zahtevke v 30 dneh od prejema (podaljsljivo za dodatnih 60 dni v kompleksnih primerih, z obrazlozenim sporocilom).

8.4 Omejitve pravic

Nekatere pravice (izbris, omejitev) morda niso uveljavljive, ko:

Obstajajo zakonske obveznosti, ki nam narekujejo hrambo podatkov
Podatki so potrebni za obrambo pravic na sodiscu
Prevladuje javni interes

9. Krsitev podatkov in obvestila (cl. 33-34 GDPR)

9.1 Postopek v primeru krsitve podatkov

V primeru krsitve osebnih podatkov (data breach) Vezpa:

Oceni incident v 24 urah od odkritja
Obvesti italijanski organ za varstvo podatkov (Garante) v 72 urah (ce obstaja tveganje za pravice posameznikov)
Obvesti posameznike brez nepotrebnega odlasanja (ce obstaja veliko tveganje)
Dokumentira incident v evidenci krsitev
Sprejme korektivne ukrepe za preprecitev prihodnjih krsitev

9.2 Transparentnost

V primeru krsitve podatkov, ki vas zadeva, boste prejeli sporocilo, ki vsebuje:

Naravo krsitve
Vkljucene podatke
Moznih posledic
Sprejetih in priporocanih ukrepov
Kontaktov urada za zasebnost

10. Data Protection Impact Assessment (DPIA)

Vezpa je zacela Oceno ucinka na varstvo podatkov (DPIA) v skladu s 35. clenom GDPR, glede na sistematicno obdelavo osebnih dokumentov posameznikov iz razlicnih drzav EU in prenosa podatkov k dodatnim obdelovalcem izven EU.

Obseg DPIA:

Obdelava osnovnih osebnih podatkov in osebnih dokumentov gostov prek razlicnih vladnih konektorjev
Tokovi do channel managerjev OTA in prenosi izven EU
Samodejni OCR na slikah dokumentov
Integracija s storitvami biometricne avtentikacije na strani naprave

DPIA in morebitni dodatni blazilni ukrepi se obcasno posodabljajo. V primeru visokega preostalega tveganja se bo Vezpa posvetovala z italijanskim organom za varstvo podatkov (Garante) v skladu s 36. clenom GDPR. Upravljavec (objekt) lahko zahteva povzetek DPIA, tako da pise na [email protected].

11. Obdelovalec (28. clen GDPR)

11.1 Sporazumi s strankami (za podatke gostov)

Ko upravljavec objekta uporablja Vezpo za obdelavo podatkov gostov:

Upravljavec je Upravljavec obdelave
Vezpa je Obdelovalec
Sklene se Pogodba o obdelavi osebnih podatkov (DPA) v skladu s 28. clenom GDPR

11.2 Vsebina DPA

Pogodba o obdelavi osebnih podatkov (DPA) vsebuje v skladu s clenom 28.3 GDPR:

Predmet in trajanje obdelave
Naravo in namene obdelave
Vrsto osebnih podatkov in kategorije posameznikov
Obveznosti in pravice Upravljavca
Dokumentirana navodila o obdelavi
Izvedene varnostne ukrepe
Pooblascene dodatne obdelovalce s predhodnim obvestilom o zamenjavi
Pomoc Upravljavcu pri pravicah posameznikov, DPIA in krsitvah podatkov
Obveznosti izbrisa ali vracila ob koncu

DPA je sestavni del Pogojev storitve in se sprejme ob registraciji objekta.

12. Privacy by Design and by Default (25. clen GDPR)

12.1 Privacy by Design

Vezpa vgrajuje varstvo podatkov ze od zasnove:

Vgrajeno sifriranje v vseh komunikacijah
Psevdonimizacija, kjer je mogoce
Minimizacija zbranih podatkov
Granularne kontrole dostopa
Popolna revizijska sled vseh operacij

12.2 Privacy by Default

Privzete nastavitve maksimizirajo zasebnost:

Samo nujno potrebni podatki so obvezni
Samodejna hramba za minimalno zakonsko obdobje
Marketing opt-in (ne opt-out)
Vidnost podatkov omejena na minimum

13. Evidenca obdelave (30. clen GDPR)

Vezpa vzdrzuje popolno evidenco vseh aktivnosti obdelave, ki vsebuje:

Ime in kontaktne podatke upravljavca in DPO
Namene obdelave
Opis kategorij posameznikov in podatkov
Kategorije prejemnikov
Prenose v tretje drzave
Predvidene case hrambe
Opis varnostnih ukrepov

Evidenca je na voljo na zahtevo italijanskega organa za varstvo podatkov (Garante).

14. Spremembe obvestila

To obvestilo se lahko spremeni zaradi:

Razvoja zakonodaje
Novih funkcionalnosti storitve
Organizacijskih sprememb

Bistvene spremembe bodo sporocene po e-posti vsaj 30 dni vnaprej.

Datum zadnje posodobitve je vedno naveden na vrhu dokumenta.