GDPR oznamenie - Vezpa PMS

1. Uvod a rozsah posobnosti

Toto oznamenie popisuje, ako Vezpa di Paolo Vezzola (dalej "Vezpa" alebo "My") spracuva osobne udaje v sulade s:

Nariadenie EU 2016/679 (GDPR)
Legislativny dekret 196/2003 (taliansky Kodex Privacy) ako zmeneny D.Lgs. 101/2018
Opatrenia a usmernenia talianskeho uradu na ochranu osobnych udajov (Garante)

1.1 Pre koho sa aplikuje

Toto oznamenie sa aplikuje na:

👤 Prevadzkovatelov ubytovacich zariadeni, ktori pouzivaju Vezpa (priami klienti)
🏨 Hostia, ktori sa ubytovavaju v zariadeniach pouzivajucich Vezpa
👔 Obchodni partneri a dodavatelia
🌐 Navstevnici webstranky vezpa.it

1.2 Dvojita rola Vezpa

Vezpa pracuje v dvoch rozdielnych rolach:

PREVADZKOVATEL Pre udaje prevadzkovatelov zariadeni (klientov)
SPROSTREDKOVATEL Pre udaje hosti (spracuvame udaje na pokyn prevadzkovatela zariadenia)

2. Identita a kontaktne udaje Prevadzkovatela

Prevadzkovatel spracuvania:

Vezpa di Paolo Vezzola
Sidlo: Desenzano del Garda (BS), 25015, via San Zeno 67
DIC: 04449070988
Danove identifikacne cislo: VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Kategorie spracuvanych osobnych udajov

3.1 Udaje prevadzkovatelov (klientov)

Kategoria	Typ udajov	Povinnost
Identifikacne udaje	Meno, priezvisko, datum narodenia, danove identifikacne cislo	✅ Povinne
Kontaktne udaje	Email, telefon, adresa	✅ Povinne
Firemne udaje	Obchodne meno, DIC, udaje zariadenia	✅ Povinne
Platobne udaje	IBAN, kreditna karta (cez Stripe)	✅ Povinne pre predplatne
Udaje o pouzivani	Pristupove logy, IP, aktivita na platforme	⚙️ Automaticke
Komunikacne udaje	Email, chat podpora, tikety	📝 Dobrovolne

3.2 Udaje hosti (ako Sprostredkovatel spracuvania)

Kategoria	Typ udajov	Pravny zaklad (Prevadzkovatela)
Identifikacne udaje	Meno, priezvisko, datum a miesto narodenia, statna prislusnost, pohlavie	Zakonna povinnost (taliansky zakon TULPS, cl. 109 a rovnocenne EU normy)
Doklad totoznosti	Typ, cislo, datum vydania, organ, skenovany alebo foto obraz	Zakonna povinnost
OCR extrakcia	Textove udaje automaticky extrahovane z dokladu (meno, datum, cislo)	Plnenie zmluvy (cl. 6.1.b) - iba pre ulahcenie vkladania udajov
Kontaktne udaje	Email, telefon, adresa	Plnenie zmluvy
Udaje rezervacie	Datumy pobytu, pocet hosti, izba, tarify, stravovanie	Plnenie zmluvy
Platobne udaje	Transakcie, potvrdenky (udaje karty spravovane Stripe, neukladane na Vezpa)	Plnenie zmluvy + danova povinnost

⚠️ Osobitne udaje (cl. 9 GDPR):

Ziskane doklady totoznosti mozu obsahovat elementy kvalifikovatelne ako "osobitne" v zmysle cl. 9 GDPR, typicky:

Miesto narodenia (z ktoreho mozno odvodit etnicky povod)
Fotograficky obraz tvare (nie je pouzity na automatizovane biometricke rozpoznavanie)

Pravny zaklad spracuvania: cl. 9.2.b (plnenie povinnosti v oblasti pracovneho prava, bezpecnosti a socialnej ochrany), 9.2.g (dovody vyznamneho verejneho zaujmu - registracie verejnej bezpecnosti) a 9.2.f (zistovanie prav). Obmedzene ucely na povinnosti ulozene zakonom voci verejnym organom.

Doplnkove opatrenia: pristup obmedzeny iba na autorizovane ulohy (riaditel, asistent), ziadne profilovanie na tychto udajoch, ziadne oznamenie tretim stranam mimo prislusnych verejnych organov.

Vezpa vedome nezhromazduje ine osobitne udaje (politicke/nabozenske nazory, zdravotne udaje, geneticke udaje, sexualnu orientaciu). Ak tieto udaje su vlozene omylom pouzivatelom, musia byt okamzite odstranene.

4. Ucel a pravny zaklad spracuvania

4.1 Pre prevadzkovatelov (klientov)

Ucel	Pravny zaklad (cl. 6 GDPR)	Uchovavanie
Poskytovanie PMS sluzby	Cl. 6.1.b - Plnenie zmluvy	Trvanie zmluvy + 10 rokov
Fakturacia a uctovnictvo	Cl. 6.1.c - Zakonna povinnost	10 rokov (danova povinnost)
Zakaznicka podpora	Cl. 6.1.b - Plnenie zmluvy	Trvanie zmluvy + 2 roky
Bezpecnost a prevencia podvodov	Cl. 6.1.f - Opravneny zaujem	5 rokov
Zlepsenie sluzby	Cl. 6.1.f - Opravneny zaujem	2 roky (agregovane anonymne udaje)
Priamy marketing	Cl. 6.1.a - Suhlas	Do odvolania suhlasu
Obrana prav pred sudom	Cl. 6.1.f - Opravneny zaujem	10 rokov

4.2 Pre hosti (na pokyn prevadzkovatela)

Ucel	Pravny zaklad	Uchovavanie
Registracia hosti a oznamenie Policii	Cl. 6.1.c - Zakonna povinnost (taliansky zakon TULPS, cl. 109, D.Lgs. 159/2011)	Minimum 2 roky
Oznamenia ISTAT	Cl. 6.1.c - Zakonna povinnost	Podla legislativy ISTAT
Miestna dan (Paytourist)	Cl. 6.1.c - Zakonna povinnost	Podla mestskej legislativy
Sprava rezervacie a pobytu	Cl. 6.1.b - Plnenie zmluvy	10 rokov (danove ucely)
Online check-in a oznamenia	Cl. 6.1.b - Plnenie zmluvy	Trvanie pobytu + obdobie uchovavania zariadenia

📌 Poznamka o suhlase:

Pre mnohe aktivity NIE JE potrebny suhlas, pretoze su zalozene na:

✅ Plnenie zmluvy (Vy ste pozadovali sluzbu)
✅ Zakonne povinnosti (povinne oznamenia organom)
✅ Opravneny zaujem (bezpecnost, zlepsenie sluzby)

Suhlas je potrebny IBA pre marketing a profilovanie.

5. Sposob spracuvania

5.1 Zasady spracuvania (cl. 5 GDPR)

Vezpa spracuva osobne udaje v sulade s nasledujucimi zasadami:

✅ Zakonnost, spravnost, transparentnost: spracuvame udaje zakonne a jasne Vas informujeme
✅ Obmedzenie ucelu: pouzivame udaje iba na deklarovane ucely
✅ Minimalizacia udajov: zhromazdujeme iba striktne potrebne udaje
✅ Presnost: udaje udrziavame aktualne a presne
✅ Obmedzenie uchovavania: udaje uchovavame iba po potrebnu dobu
✅ Integrita a dovernost: chranime udaje primeranymi bezpecnostnymi opatreniami
✅ Zodpovednost (accountability): mozeme preukazat sulad s GDPR

5.2 Prostriedky spracuvania

Udaje su spracuvane prostriedkami:

💻 Informacnymi: servery, databazy, web/mobilne aplikacie
📄 Papierovymi: iba pre potrebne dokumenty (zmluvy, faktury)

5.3 Sposob pristupu

Udaje su pristupne:

👥 Autorizovanemu personalu Vezpa (s osobnymi prihlasovacimi udajmi)
🔐 Pristup zalozeny na princi "need to know" (minimalne opravnenie)
📝 Pristupove logy sledovane a monitorovane

6. Bezpecnostne opatrenia (cl. 32 GDPR)

6.1 Technicke opatrenia

✅ Sifrovanie pri prenose: HTTPS/TLS 1.2+ pre vsetky spojenia, HSTS

✅ Sifrovanie at-rest: specificke citlive udaje sifrovane cez django-cryptography; spravovane disky a snapshots sifrovane na urovni infrastruktury (DigitalOcean)

✅ Hashing hesiel: PBKDF2 (Django default) s nahodnym saltom

✅ Tokeny: JWT access token TTL 15 minut, refresh s rotaciou a blacklistom, TTL 180 dni

✅ 2FA TOTP dostupne na ucte (django-otp)

✅ Bot blocker a rate limiting: specializovany middleware, ktory blokuje znama skenery a utocne cesty

✅ Zaloha: snapshots databazy spravovane poskytovatelom infrastruktury, lokalizacia EU

✅ Kontrola pristupu zalozena na uloha (RBAC): riaditel, asistent, upratovacka, pozorovatel

✅ Aplikacne logovanie: sledovanie pristupov, kritickych akcii a anomalii

✅ Aktualizacia zavislosti: monitorovanie zranitelnosti na Python a Flutter baliccich

6.2 Organizacne opatrenia

✅ Administrativne pristupy obmedzene na Prevadzkovatela (Vezpa je v sucasnosti zivnostnik bez zamestnancov); pripadni externi spolupracovnici su pisomne urceni ako Sprostredkovatelia alebo Autorizovane osoby

✅ Procedura incident response dokumentovana (§9 nizsie)

✅ Privacy by Design and by Default integrovana do faz vyvoja

✅ Register spracuvani (cl. 30 GDPR) udrziavany a aktualizovany

✅ DPA podpisana so vsetkymi hlavnymi dalsimi sprostredkovatelmi

✅ Verejny zoznam dalsich sprostredkovatelov aktualizovany na vezpa.it/subprocessors

6.3 Referencne normy

🏆 EU servery: primarna infrastruktura DigitalOcean region Frankfurt (FRA1)
🏆 PCI-DSS: platby spravovane cez Stripe, certifikat PCI-DSS Level 1 (Vezpa neukladá udaje karty)
🏆 Certifikovani subdodavatelia: tam kde je aplikovatelne (ISO 27001, SOC 2, DPF) — pozri stranku dalsich sprostredkovatelov

7. Prijemcovia udajov (cl. 13.1.e GDPR)

7.1 Kategorie prijemcov

Udaje mozu byt oznamene nasledujucim kategoriam prijemcov. Menovity zoznam a vzdy aktualny je zverejneny na vezpa.it/subprocessors.

Kategoria	Prijemcovia	Rola	Ucel
IT verejne organy	AlloggiatiWeb (Policia), ISTAT, Obce (PayTourist), Financna sprava	Nezavisli Prevadzkovatelia	Zakonna povinnost
EU verejne organy	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Nezavisli Prevadzkovatelia	Zakonna povinnost Prevadzkovatela (zariadenia)
Hosting / Storage / CDN	DigitalOcean LLC (servery Frankfurt, Spaces, Redis)	Sprostredkovatel	IT infrastruktura
Platby	Stripe Payments Europe Ltd / Stripe Inc.	Sprostredkovatel	Spracuvanie platieb
Email	IONOS SE (DE)	Sprostredkovatel	Odosielanie transakcneho emailu a PEC
Push notifikacie mobilne	Google LLC (Firebase Cloud Messaging)	Sprostredkovatel	Odosielanie push notifikacii na mobilne zariadenia
Channel Manager OTA	STAAH Limited (Novy Zeland)	Sprostredkovatel	Synchronizacia rezervacii s OTA
In-app purchase — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Nezavisly Prevadzkovatel (store)	Sprava predplatneho App Store. Apple sa nezucastnuje DPF: prenosy do USA regulovane SCC 2021/914
In-app purchase — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Nezavisli Prevadzkovatelia (store)	Sprava predplatneho Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda a priblizne 55 dalsich kanalov	Nezavisli Prevadzkovatelia	Sprava rezervacii voci cestovatelovi
Smart zamky (volitelne)	Tuya Smart (CN)	Sprostredkovatel	Sprava domotickych pristupov, iba ak je aktivovana zariadenim
Profesionali	Uctovnici, advokati, IT konzultanti	Sprostredkovatelia / Nezavisli Prevadzkovatelia	Specializovane poradenstvo, iba ak je potrebne

7.2 Zoznam dalsich sprostredkovatelov spracuvania (cl. 28.4 GDPR)

Aktualny zoznam je zverejneny a vzdy k dispozicii na vezpa.it/subprocessors. Pripadne zmeny (novi dalsi sprostredkovatelia, nahrady) su oznamene Prevadzkovatelom (zariadeniam) s predstihom aspon 30 dni pre umoznenie namietky (cl. 28.2 GDPR).

7.3 Prenosy mimo EU

Pravny zaklad prenosov (Kapitola V GDPR):

USA — EU-U.S. Data Privacy Framework (Rozhodnutie (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — aktivne certifikacie v DPF (overenie na dataprivacyframework.gov/list)
USA — Standardne zmluvne dolozky (SCC) 2021/914: Apple Inc. sa nezucastnuje DPF; zmluvny vztah pre pouzivatelov EU je s Apple Distribution International Ltd (Irsko) a pripadne interne prenosy v ramci skupiny Apple do USA su regulovane SCC a internymi mechanizmami primeranosti
Novy Zeland — Rozhodnutie o primeranosti (Rozhodnutie 2013/65/EU): STAAH Limited
Cina (volitelne): Tuya Smart — Standardne zmluvne dolozky (SCC) 2021/914 + doplnkove opatrenia (minimalizacia a pseudonymizacia). Prenos vykonavany iba pre zariadenia, ktore aktivuju smart zamky.

Pre kazdeho dalsieho sprostredkovatela mimo EU je dokumentovany aplikovatelny mechanizmus prenosu. SCC a pripadne Transfer Impact Assessment su Prevadzkovatelovi dostupne na poziadanie.

8. Prava dotknutej osoby (cl. 15-22 GDPR)

8.1 Uplatnitelne prava

Pravo	Cl. GDPR	Popis
Pristup	Cl. 15	Ziskat potvrdenie o existencii Vasich udajov a dostat ich kopiu
Oprava	Cl. 16	Opravit nepresne alebo ich doplnit
Vymazanie ("zabudnutie")	Cl. 17	Ziskat vymazanie udajov (s vynimkami pre zakonne povinnosti)
Obmedzenie	Cl. 18	Obmedzit spracuvanie za urcitych podmienok
Prenositelnost	Cl. 20	Dostat udaje v strukturovanom formate (CSV, JSON) a previest ich inemu prevadzkovatelovi
Namietka	Cl. 21	Namietat proti spracuvaniu zalozenemu na opravnenom zaujme
Odvolanie suhlasu	Cl. 7.3	Kedykolvek odvolat suhlas s marketingom
Staznost	Cl. 77	Podat staznost dozornemu organu
Ne-automatizovane profilovanie	Cl. 22	Nebyt subjektom rozhodnuti zalozenych vyhradne na automatizovanom spracuvani

8.2 Ako uplatnit prava

Vase prava mozete uplatnit prostrednictvom:

📧 Email: [email protected]
📧 PEC: [email protected]
📮 Doporuceny list: Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
💻 Rezervovana oblast: Sekcia "Privacy a Udaje" v dashboarde (pre niektore prava)

8.3 Cas odpovede

Vezpa odpoveda na ziadosti do 30 dni od prijatia (predlzitelnych o dalsich 60 dni v komplexnych pripadoch, s odovodnenym oznamenim).

8.4 Obmedzenia prav

Niektore prava (vymazanie, obmedzenie) nemusia byt uplatnitelne ak:

⚖️ Existuju zakonne povinnosti, ktore nam ukladaju uchovavat udaje
⚖️ Udaje su potrebne na obranu prav pred sudom
⚖️ Prevlada verejny zaujem

9. Data breach a oznamenia (cl. 33-34 GDPR)

9.1 Procedura v pripade porusenia udajov

V pripade data breach (porusenia osobnych udajov) Vezpa:

📊 Vyhodnoti incident do 24 hodin od objavenia
📢 Oznami Garante do 72 hodin (ak je riziko pre prava dotknutych osob)
📧 Oznami dotknutym osobam bez neopodstatneneho oneskorenia (ak je vysoke riziko)
📝 Zdokumentuje incident v registri poruseni
🔧 Prijme napravne opatrenia na prevenciu buducich poruseni

9.2 Transparentnost

V pripade data breach, ktory sa Vas tyka, dostanete oznamenie obsahujuce:

Povaha porusenia
Dotknute udaje
Mozne dosledky
Prijate a odporucane opatrenia
Kontakty Privacy oddelenia

10. Data Protection Impact Assessment (DPIA)

Vezpa zacala Posudenie vplyvu na ochranu udajov (DPIA) v zmysle cl. 35 GDPR, s ohladom na systematicke spracuvanie dokladov totoznosti dotknutych osob z viacerych EU statov a prenosov voci dalsim sprostredkovatelom mimo EU.

Rozsah DPIA:

Spracuvanie identifikacnych udajov a dokladov totoznosti hosti cez viacere vladne konektory
Toky voci channel managerom OTA a prenosom mimo EU
Automaticky OCR na obrazoch dokladov
Integracia so sluzbami biometrickej autentifikacie na zariadeni

DPIA a pripadne dodatocne mitigacne opatrenia su pravidelne aktualizovane. V pripade vysokeho zvyskoveho rizika Vezpa pristupi k predchadzajucej konzultacii s Garante v zmysle cl. 36 GDPR. Prevadzkovatel (zariadenie) moze pozadovat suhrn DPIA napisanim na [email protected].

11. Sprostredkovatel spracuvania (cl. 28 GDPR)

11.1 Dohody s klientmi (pre udaje hosti)

Ked prevadzkovatel zariadenia pouziva Vezpa na spracuvanie udajov hosti:

Prevadzkovatel je zariadenie spracuvania
Vezpa je Sprostredkovatel spracuvania
Je uzavreta Data Processing Agreement (DPA) v zmysle cl. 28 GDPR

11.2 Obsah DPA

Data Processing Agreement obsahuje v zmysle cl. 28.3 GDPR:

📋 Predmet a trvanie spracuvania
📋 Povahu a ucel spracuvania
📋 Typ osobnych udajov a kategorie dotknutych osob
📋 Povinnosti a prava Prevadzkovatela
📋 Dokumentovane pokyny na spracuvanie
📋 Implementovane bezpecnostne opatrenia
📋 Autorizovani dalsi sprostredkovatelia s predstihom nahrady
📋 Asistencia Prevadzkovatelovi pri pravach dotknutych osob, DPIA a data breach
📋 Povinnosti vymazania alebo vratenia po skonceni

DPA je suvisiacou castou Podmienok sluzby a je akceptovana pri registracii zariadenia.

12. Privacy by Design a by Default (cl. 25 GDPR)

12.1 Privacy by Design

Vezpa integruje ochranu udajov uz od navrhu:

🔒 Native sifrovanie vsetkej komunikacie
🔒 Pseudonymizacia kde je to mozne
🔒 Minimalizacia zhromazdenych udajov
🔒 Granularne kontroly pristupu
🔒 Kompletny audit trail vsetkych operacii

12.2 Privacy by Default

Predvolene nastavenia maximalizuju sukromie:

✅ Povinne su iba striktne potrebne udaje
✅ Automaticke uchovavanie po minimalnu zakonnu dobu
✅ Marketing opt-in (nie opt-out)
✅ Viditelnost udajov obmedzena na minimum potrebne

13. Register spracuvacich cinnosti (cl. 30 GDPR)

Vezpa udrziava kompletny register vsetkych spracuvacich cinnosti, obsahujuci:

Meno a kontaktne udaje prevadzkovatela a zodpovednej osoby
Ucel spracuvania
Popis kategorii dotknutych osob a udajov
Kategorie prijemcov
Prenosy do tretich krajin
Planovane doby uchovavania
Popis bezpecnostnych opatreni

Register je dostupny na poziadanie Garante.

14. Zmeny oznamenia

Toto oznamenie moze byt upravene pre:

Normativne zmeny
Nove funkcie sluzby
Organizacne zmeny

Vyznamne zmeny budu oznamene emailom s predstihom aspon 30 dni.

Datum poslednej aktualizacie je vzdy uvedeny v zahlavi dokumentu.