GDPR-information - Vezpa PMS

1. Inledning och tillampningsomrade

Denna information beskriver hur Vezpa di Paolo Vezzola (hadanefter "Vezpa" eller "Vi") behandlar personuppgifter i enlighet med:

EU-forordning 2016/679 (GDPR)
Lagdekret 196/2003 (italienska integritetslagen) som andrad av D.Lgs. 101/2018
Beslut och riktlinjer fran italienska dataskyddsmyndigheten (Garante)

1.1 Till vem den galler

Denna information galler:

👤 Forvaltare av logianlaggningar som anvander Vezpa (direktkunder)
🏨 Gaster som bor pa anlaggningar som anvander Vezpa
👔 Affarspartner och leverantorer
🌐 Besokare pa webbplatsen vezpa.it

1.2 Vezpas dubbla roll

Vezpa verkar i tva distinkta roller:

PERSONUPPGIFTSANSVARIG For anlaggningsforvaltarnas uppgifter (kunder)
PERSONUPPGIFTSBITRADE For gasternas uppgifter (vi behandlar data enligt anlaggningsforvaltarens instruktioner)

2. Personuppgiftsansvariges identitet och kontaktuppgifter

Personuppgiftsansvarig:

Vezpa di Paolo Vezzola
Registrerat sate: Desenzano del Garda (BS), 25015, via San Zeno 67
Momsreg.nr: 04449070988
Skatteregistreringsnummer: VZZPLA84C10D284C
PEC: [email protected]
E-post: [email protected]

3. Kategorier av behandlade personuppgifter

3.1 Forvaltaruppgifter (kunder)

Kategori	Datatyp	Obligatorisk
Identifieringsuppgifter	Fornamn, efternamn, fodelsedatum, skatteregistreringsnummer	✅ Obligatoriska
Kontaktuppgifter	E-post, telefon, adress	✅ Obligatoriska
Foretagsuppgifter	Firmanamn, momsreg.nr, anlaggningsuppgifter	✅ Obligatoriska
Betalningsuppgifter	IBAN, kreditkort (via Stripe)	✅ Obligatoriska for abonnemang
Anvandningsuppgifter	Inloggningsloggar, IP, aktivitet pa plattformen	⚙️ Automatiska
Kommunikationsuppgifter	E-post, supportchat, arenden	📝 Frivilliga

3.2 Gasternas uppgifter (som personuppgiftsbitrade)

Kategori	Datatyp	Rattslig grund (for den personuppgiftsansvarige)
Personuppgifter	Fornamn, efternamn, fodelsedatum och -ort, medborgarskap, kon	Rattslig forpliktelse (italienska TULPS-lagen, art. 109 och motsvarande EU-regler)
Identitetshandling	Typ, nummer, utfardandedatum, utfardande myndighet, skannad eller fotografisk bild	Rattslig forpliktelse
OCR-extraktion	Textuppgifter automatiskt extraherade fran handlingen (namn, datum, nummer)	Fullgorande av avtal (art. 6.1.b) - endast for att underlatta dataregistrering
Kontaktuppgifter	E-post, telefon, adress	Fullgorande av avtal
Bokningsuppgifter	Vistelsedatum, antal gaster, rum, priser, maltidsarrangemang	Fullgorande av avtal
Betalningsuppgifter	Transaktioner, kvitton (kortuppgifter hanteras av Stripe, lagras inte pa Vezpa)	Fullgorande av avtal + skatteplikt

⚠️ Sarskilda kategorier (art. 9 GDPR):

De inhamtade identitetshandlingarna kan innehalla element som kan klassificeras som "sarskilda" enligt art. 9 GDPR, vanligtvis:

Fodelseort (fran vilken etniskt ursprung kan harledas)
Fotografisk bild av ansiktet (anvands inte for automatiserad biometrisk identifiering)

Behandlingens laglighet: art. 9.2.b (fullgorande av skyldigheter pa omradet arbetsratt, social trygghet och socialt skydd), 9.2.g (skal av vasentligt allmant intresse - registrering for allman sakerhet) och 9.2.f (faststallande av rattigheter). Syftena ar begransade till de skyldigheter som lagen paforer gentemot offentliga myndigheter.

Kompletterande atgarder: atkomst begransad till endast behoriga roller (direktor, assistent), ingen profilering pa sadana data, ingen kommunikation till tredje part utanfor de offentliga mottagande myndigheterna.

Vezpa samlar inte medvetet in andra sarskilda data (politiska/religiosa asikter, halsouppgifter, genetiska uppgifter, sexuell laggning). Om sadana data av misstag matas in av anvandaren ska de omedelbart tas bort.

4. Andamal och rattslig grund for behandlingen

4.1 For forvaltare (kunder)

Andamal	Rattslig grund (art. 6 GDPR)	Lagring
Tillhandahallande av PMS-tjanst	Art. 6.1.b - Fullgorande av avtal	Avtalstid + 10 ar
Fakturering och redovisning	Art. 6.1.c - Rattslig forpliktelse	10 ar (skatteplikt)
Kundtjanst	Art. 6.1.b - Fullgorande av avtal	Avtalstid + 2 ar
Sakerhet och bedragerifoebyggande	Art. 6.1.f - Berattigat intresse	5 ar
Tjansteforbattring	Art. 6.1.f - Berattigat intresse	2 ar (anonyma aggregerade data)
Direktmarknadsforing	Art. 6.1.a - Samtycke	Till atertagande av samtycke
Rattsligt forsvar	Art. 6.1.f - Berattigat intresse	10 ar

4.2 For gaster (enligt forvaltarens instruktion)

Andamal	Rattslig grund	Lagring
Gastregistrering och polisrapportering	Art. 6.1.c - Rattslig forpliktelse (italienska TULPS-lagen, art. 109, D.Lgs. 159/2011)	Minst 2 ar
ISTAT-rapporteringar	Art. 6.1.c - Rattslig forpliktelse	Enligt ISTAT-regler
Turistskatt (Paytourist)	Art. 6.1.c - Rattslig forpliktelse	Enligt kommunala regler
Bokning och vistelsehantering	Art. 6.1.b - Fullgorande av avtal	10 ar (skattemassiga andamal)
Online-incheckning och meddelanden	Art. 6.1.b - Fullgorande av avtal	Vistelsetid + anlaggningens lagringstid

📌 Not om samtycke:

For manga aktiviteter kravs INTE samtycke eftersom de baseras pa:

✅ Fullgorande av avtal (det ar ni som har begart tjansten)
✅ Rattsliga forpliktelser (obligatoriska rapporteringar till myndigheter)
✅ Berattigat intresse (sakerhet, tjansteforbattring)

Samtycke kravs ENDAST for marknadsforing och profilering.

5. Behandlingsmetoder

5.1 Behandlingsprinciper (art. 5 GDPR)

Vezpa behandlar personuppgifter i enlighet med foljande principer:

✅ Laglighet, korrekthet, oppenhet: vi behandlar uppgifter pa ett lagligt satt och informerar er tydligt
✅ Andamalsbegransning: vi anvander uppgifter endast for de angivna syftena
✅ Uppgiftsminimering: vi samlar endast in uppgifter som ar strikt nodvandiga
✅ Riktighet: vi haller uppgifterna uppdaterade och korrekta
✅ Lagringsbegransning: vi lagrar uppgifterna endast under nodvandig tid
✅ Integritet och konfidentialitet: vi skyddar uppgifterna med lampliga sakerhetsatgarder
✅ Ansvarsskyldighet (accountability): vi kan visa GDPR-efterlevnad

5.2 Behandlingsmetoder

Uppgifterna behandlas med:

💻 IT-verktyg: servrar, databaser, webb-/mobilapplikationer
📄 Pappersformat: endast for nodvandiga dokument (avtal, fakturor)

5.3 Atkomstmetoder

Uppgifterna ar tillgangliga for:

👥 Behorig personal hos Vezpa (med personliga inloggningsuppgifter)
🔐 Atkomst baserat pa "need to know"-principen (minsta behorighet)
📝 Atkomstloggar sparas och overvakas

6. Sakerhetsatgarder (art. 32 GDPR)

6.1 Tekniska atgarder

✅ Kryptering vid overforing: HTTPS/TLS 1.2+ for alla anslutningar, HSTS

✅ Kryptering i vila: specifika kansliga uppgifter krypteras via django-cryptography; hanterade volymer och krypterade snapshots pa infrastruktursidan (DigitalOcean)

✅ Losenordshashing: PBKDF2 (Django default) med slumpmassigt salt

✅ Tokens: JWT access token TTL 15 minuter, refresh med rotation och svartlistning, TTL 180 dagar

✅ 2FA TOTP tillgangligt for konton (django-otp)

✅ Bot blocker och rate limiting: dedikerad middleware som blockerar skannrar och kanda attackvagar

✅ Backup: databas-snapshots hanterade av infrastrukturleverantoren, placering inom EU

✅ Rollbaserad atkomstkontroll (RBAC): direktor, assistent, stadare, observator

✅ Tillampningsloggning: spårning av atkomst, kritiska atgarder och avvikelser

✅ Uppdatering av beroenden: sarbarhetsoveervakning pa Python- och Flutter-paket

6.2 Organisatoriska atgarder

✅ Administrativ atkomst begransad till den personuppgiftsansvarige (Vezpa ar for narvarande en enskild firma utan anstallda); eventuella externa medarbetare utses skriftligen som personuppgiftsbitraden eller behoriga personer

✅ Dokumenterad incident response-procedur (§9 nedan)

✅ Privacy by Design and by Default integrerat i utvecklingsfaserna

✅ Behandlingsregister (art. 30 GDPR) upprattallt och uppdaterat

✅ DPA underteckant med alla huvudsakliga underbitraden

✅ Offentlig lista over underbitraden uppdaterad pa vezpa.it/subprocessors

6.3 Referensstandarder

🏆 EU-servrar: primar infrastruktur DigitalOcean region Frankfurt (FRA1)
🏆 PCI-DSS: betalningar hanteras via Stripe, PCI-DSS Level 1-certifierat (Vezpa lagrar inga kortuppgifter)
🏆 Certifierade underleverantorer: dar tillampligt (ISO 27001, SOC 2, DPF) - se sida over underbitraden

7. Mottagare av uppgifter (art. 13.1.e GDPR)

7.1 Mottagarkategorier

Uppgifterna kan kommuniceras till foljande kategorier av mottagare. Den namngivna listan och alltid uppdaterade publiceras pa vezpa.it/subprocessors.

Kategori	Mottagare	Roll	Andamal
Italienska myndigheter	AlloggiatiWeb (Polis), ISTAT, kommuner (PayTourist), Skatteverket	Sjalvstandiga personuppgiftsansvariga	Rattslig forpliktelse
EU-myndigheter	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Sjalvstandiga personuppgiftsansvariga	Personuppgiftsansvariges (anlaggningens) rattsliga forpliktelse
Hosting / Lagring / CDN	DigitalOcean LLC (server Frankfurt, Spaces, Redis)	Personuppgiftsbitrade	IT-infrastruktur
Betalningar	Stripe Payments Europe Ltd / Stripe Inc.	Personuppgiftsbitrade	Betalningshantering
E-post	IONOS SE (DE)	Personuppgiftsbitrade	Utskick av transaktionell e-post och PEC
Mobila push-notiser	Google LLC (Firebase Cloud Messaging)	Personuppgiftsbitrade	Utskick av push-notiser till mobila enheter
Channel Manager OTA	STAAH Limited (Nya Zeeland)	Personuppgiftsbitrade	Bokningssynkronisering med OTA
In-app purchase — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Sjalvstandig personuppgiftsansvarig (store)	Abonnemangshantering App Store. Apple deltar inte i DPF: USA-overforingar regleras av SCC 2021/914
In-app purchase — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Sjalvstandiga personuppgiftsansvariga (store)	Abonnemangshantering Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda och cirka 55 andra kanaler	Sjalvstandiga personuppgiftsansvariga	Bokningshantering mot resenaren
Smarta las (valfritt)	Tuya Smart (CN)	Personuppgiftsbitrade	Hantering av hemautomationsatkomst, endast om aktiverat av anlaggningen
Professionella radgivare	Revisorer, advokater, IT-konsulter	Personuppgiftsbitraden / Sjalvstandiga personuppgiftsansvariga	Specialkonsultationer, endast vid behov

7.2 Lista over underbitraden (art. 28.4 GDPR)

Den uppdaterade listan ar publicerad och alltid tillganglig pa vezpa.it/subprocessors. Eventuella andringar (nya underbitraden, ersattningar) meddelas till de personuppgiftsansvariga (anlaggningarna) med minst 30 dagars varsel for att mojliggora invandning (art. 28.2 GDPR).

7.3 Overforingar utanfor EU

Rattslig grund for overforingarna (kapitel V GDPR):

USA — EU-U.S. Data Privacy Framework (Beslut (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC - aktiva certifieringar i DPF (kontrollera pa dataprivacyframework.gov/list)
USA — Standardavtalsklausuler (SCC 2021/914): Apple Inc. deltar inte i DPF; avtalsforhallandet for EU-anvandare ar med Apple Distribution International Ltd (Irland) och eventuella interna overforingar inom Apple-koncernen till USA regleras av SCC och Apples interna adekvansmekanismer
Nya Zeeland — Beslut om adekvat skyddsniva (Beslut 2013/65/EU): STAAH Limited
Kina (valfritt): Tuya Smart - Standardavtalsklausuler (SCC) 2021/914 + kompletterande atgarder (minimering och pseudonymisering). Overforing sker endast for anlaggningar som aktiverar smarta las.

For varje underbitrade utanfor EU dokumenteras det tillampliga overforingsmekanismen. SCC och eventuella Transfer Impact Assessments ar tillgangliga for den personuppgiftsansvarige pa begaran.

8. Den registrerades rattigheter (artt. 15-22 GDPR)

8.1 Rattigheter som kan utovas

Rattighet	GDPR-art.	Beskrivning
Tillgang	Art. 15	Erhalla bekraftelse pa att era uppgifter finns och fa en kopia
Rattelse	Art. 16	Korrigera felaktiga eller komplettera dem
Radering ("bortglomd")	Art. 17	Fa uppgifter raderade (med undantag for rattsliga forpliktelser)
Begransning	Art. 18	Begransa behandlingen under vissa omstandigheter
Dataportabilitet	Art. 20	Ta emot uppgifterna i strukturerat format (CSV, JSON) och overfora dem till en annan personuppgiftsansvarig
Invandning	Art. 21	Invanda mot behandling baserad pa berattigat intresse
Atertagande av samtycke	Art. 7.3	Ateta samtycke till marknadsforing nar som helst
Klagomal	Art. 77	Lamna klagomal till dataskyddsmyndigheten
Ingen automatiserad profilering	Art. 22	Inte omfattas av beslut baserade enbart pa automatiserad behandling

8.2 Hur man utovar rattigheterna

Ni kan utova era rattigheter genom:

📧 E-post: [email protected]
📧 PEC: [email protected]
📮 Rekommenderat brev: Vezpa di Paolo Vezzola, Desenzano del Garda in via San Zeno 67
💻 Skyddat omrade: Sektionen "Integritet och data" i dashboarden (for vissa rattigheter)

8.3 Svarstider

Vezpa svarar pa forfragningar inom 30 dagar fran mottagandet (forlangbart med ytterligare 60 dagar i komplexa fall, med motiverad kommunikation).

8.4 Begransningar av rattigheterna

Vissa rattigheter (radering, begransning) kan vara omojliga att utova nar:

⚖️ Det foreligger rattsliga forpliktelser som kraver att vi lagrar uppgifterna
⚖️ Uppgifterna behovs for att forsvara rattigheter i rattsliga forfaranden
⚖️ Ett allmant intresse overvager

9. Data breach och underrattelser (artt. 33-34 GDPR)

9.1 Procedur vid dataovetradelse

Vid en personuppgiftsincident (data breach) ska Vezpa:

📊 Utvardera incidenten inom 24 timmar fran upptackten
📢 Underratta myndigheten inom 72 timmar (om det foreligger risk for de registrerades rattigheter)
📧 Kommunicera med de registrerade utan oskalig forsening (om hogrisk foreligger)
📝 Dokumentera incidenten i overtradelseregistret
🔧 Vidta korrigerande atgarder for att forhindra framtida overtradelser

9.2 Oppenhet

Vid en data breach som beror er kommer ni att fa ett meddelande med:

Overtradelsens art
Involverade data
Mojliga konsekvenser
Vidtagna och rekommenderade atgarder
Integritetsenhetens kontaktuppgifter

10. Data Protection Impact Assessment (DPIA)

Vezpa har inlett konsekvensbedomningen avseende dataskydd (DPIA) enligt art. 35 GDPR, med tanke pa den systematiska behandlingen av identitetshandlingar fran registrerade i flera EU-stater och overforingar till underbitraden utanfor EU.

DPIA:ns omfattning:

Behandling av personuppgifter och identitetshandlingar for gaster via flera statliga anslutningar
Floden till OTA channel manager och overforingar utanfor EU
Automatisk OCR pa bilder av handlingar
Integration med biometriska autentiseringstjanster pa enhetssidan

DPIA och eventuella ytterligare mildrande atgarder uppdateras regelbundet. Vid hog kvarvarande risk kommer Vezpa att genomfora forhandssamrad med dataskyddsmyndigheten enligt art. 36 GDPR. Den personuppgiftsansvarige (anlaggningen) kan begara en sammanfattning av DPIA genom att skriva till [email protected].

11. Personuppgiftsbitrade (art. 28 GDPR)

11.1 Avtal med kunder (for gastdata)

Nar anlaggningsforvaltaren anvander Vezpa for att behandla gastuppgifter:

Forvaltaren ar personuppgiftsansvarig
Vezpa ar personuppgiftsbitrade
Ett personuppgiftsbitradesavtal (DPA) ingas enligt art. 28 GDPR

11.2 DPA:ns innehall

Personuppgiftsbitradesavtalet innehaller, enligt art. 28.3 GDPR:

📋 Behandlingens foremal och varaktighet
📋 Behandlingens art och andamal
📋 Typ av personuppgifter och kategorier av registrerade
📋 Personuppgiftsansvariges skyldigheter och rattigheter
📋 Dokumenterade instruktioner om behandlingen
📋 Implementerade sakerhetsatgarder
📋 Behoriga underbitraden med ersattningsvarsel
📋 Bistand till personuppgiftsansvarige for registrerades rattigheter, DPIA och data breach
📋 Skyldigheter om radering eller aterlamning vid upphorande

DPA utgor en integrerad del av anvandarvillkoren och accepteras vid anlaggningens registrering.

12. Privacy by Design och by Default (art. 25 GDPR)

12.1 Privacy by Design

Vezpa integrerar dataskydd fran utformningen:

🔒 Inbyggd kryptering i alla kommunikationer
🔒 Pseudonymisering dar det ar mojligt
🔒 Minimering av insamlade uppgifter
🔒 Granulara atkomstkontroller
🔒 Fullstandigt audit trail for alla operationer

12.2 Privacy by Default

Standardinstallningarna maximerar integriteten:

✅ Endast strikt nodvandiga uppgifter ar obligatoriska
✅ Automatisk lagring for den minsta lagstadgade tiden
✅ Marknadsforing opt-in (inte opt-out)
✅ Datasynlighet begransad till det nodvandiga minimum

13. Behandlingsregister (art. 30 GDPR)

Vezpa upprattahaller ett fullstandigt register over alla behandlingsaktiviteter, innehallande:

Namn och kontaktuppgifter for personuppgiftsansvarig och DPO
Behandlingens andamal
Beskrivning av kategorier av registrerade och data
Mottagarkategorier
Overforingar till tredje lander
Planerade lagringstider
Beskrivning av sakerhetsatgarder

Registret ar tillgangligt pa begaran av dataskyddsmyndigheten.

14. Andringar av informationen

Denna information kan andras pa grund av:

Regulatoriska andringar
Nya tjanstefunktioner
Organisatoriska forandringar

Vasentliga andringar kommer att meddelas via e-post med minst 30 dagars varsel.

Datumet for senaste uppdatering anges alltid overst i dokumentet.