Политика за поверителност

1. Администратор на лични данни

Администраторът на лични данни е:

Vezpa di Paolo Vezzola
Седалище: Via San Zeno 67, 25015 Desenzano del Garda (BS), Италия
ДДС №: 04449070988
Данъчен код: VZZPLA84C10D284C
Имейл: [email protected]
PEC: [email protected]

2. Обхват на приложение

Настоящата Политика за поверителност се прилага за платформата Vezpa PMS (уеб, десктоп и мобилна) и за страниците на уебсайта, на които е публикувана тази информация.

3. Събирани лични данни

3.1 Данни на потребителите на услугата (управители на обекти)

Когато се регистрирате във Vezpa като управител на обект за настаняване, събираме:

Идентификационни данни: име, фамилия, имейл, телефонен номер
Данни за обекта: име, адрес, тип, ДДС номер
Данни за фактуриране: адрес за фактуриране, данъчен код/ДДС №, уникален код/PEC
Идентификационни данни за достъп: имейл и парола (криптирана)
Платежни данни: обработвани чрез външни доставчици, сертифицирани по PCI-DSS (не съхраняваме директно данни от кредитни карти)

3.2 Данни на гостите на обектите

От името на управителите на обектите (в качеството на Обработващ лични данни съгласно чл. 28 ОРЗД, регулирано от DPA), системата събира:

Идентификационни данни: име, фамилия, място и дата на раждане, гражданство, пол
Документи за самоличност: вид, номер, място и дата на издаване, сканирано или фотографирано изображение на документа. Тези изображения могат да бъдат обработвани с автоматичен OCR за извличане на текстови данни, без съхранение на биометрични производни данни.
Данни за контакт: имейл, телефонен номер
Данни за резервацията: дати на престоя, брой гости, тарифи, режим на хранене
Платежни данни: само ако плащането се извършва чрез резервационния модул или Stripe връзка на Vezpa; данните за картата никога не се съхраняват на сървърите на Vezpa

            ⚠️ Документи за самоличност и специални категории (чл. 9 ОРЗД): документите за самоличност могат да съдържат данни, определени като „специални" (напр. място на раждане, от което може да се изведе етнически произход). Vezpa обработва такива данни само доколкото е строго необходимо за законовите задължения на управителя към публичните органи, не извършва профилиране въз основа на тях и не ги съобщава на лица, различни от органите и подобработващите, изброени в §7.
        

3.3 Навигационни данни

IP адрес
Вид на браузъра и устройството
Посетени страници и време на престой
Операционна система
Referrer (източник)

3.4 Бисквитки

Използваме технически бисквитки, необходими за функционирането на услугата. За повече подробности вижте нашата Политика за бисквитки.

4. Цели на обработването и правно основание

4.1 За управителите на обектите

Цел	Правно основание
Предоставяне на услугата PMS	Изпълнение на договора (чл. 6.1.б ОРЗД)
Фактуриране и данъчни задължения	Законово задължение (чл. 6.1.в ОРЗД)
Клиентска поддръжка	Изпълнение на договора (чл. 6.1.б ОРЗД)
Сигурност, предотвратяване на измами, надеждност на услугата	Легитимен интерес (чл. 6.1.е ОРЗД)
Изпращане на маркетингови съобщения	Съгласие (чл. 6.1.а ОРЗД) - само при разрешение

4.2 За гостите на обектите

Важно: За данните на гостите Администратор на лични данни е обектът за настаняване. Vezpa действа като Обработващ лични данни въз основа на документирани инструкции от управителя на обекта, съгласно Договора за обработване на лични данни (DPA).

Регистрация на гости и чекин: законово задължение (италиански закон TULPS, чл. 109, Законодателен декрет 159/2011) за Италия; еквивалентна нормативна уредба за другите поддържани държави
Задължителни държавни съобщения: AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-общини), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — всяка активирана само ако обектът се намира в съответната държава
Управление на резервацията и престоя: изпълнение на договора (чл. 6.1.б)
Съобщения към OTA и channel manager: изпълнение на договора за резервация (чл. 6.1.б), само за каналите, активирани от обекта

5. Начин на обработване

Личните данни се обработват с електронни средства, с логика, строго свързана с целите, и чрез приемане на подходящи мерки за сигурност (чл. 32 ОРЗД):

🔐 Криптиране при пренос: всички данни се предават чрез протокол HTTPS/TLS 1.2+
🔐 Пароли: съхранявани със сигурни алгоритми за хеширане (PBKDF2 по подразбиране на Django)
🔐 Токени: JWT access 15 минути, refresh с ротация и черен списък, налично 2FA TOTP
🔐 Контрол на достъпа: оторизации, базирани на роля (директор/асистент/камериерка/наблюдател), принцип на минималната привилегия
🔐 Резервни копия: извършвани редовно от доставчика на инфраструктурата (DigitalOcean), местоположение ЕС (Франкфурт)
🔐 Хостинг: сървъри на DigitalOcean, разположени в Европейския съюз (регион FRA1), съхранение DigitalOcean Spaces Франкфурт
🔐 Мониторинг: логове за достъп и приложение, автоматично откриване на аномалии, блокиране на ботове и скенери

6. Запазване на данните

Личните данни се запазват за строго необходимото време:

Данни на управителите (клиенти): срок на договора + 10 години за данъчни и счетоводни задължения
Данни за фактуриране: 10 години (чл. 2220 от Италианския граждански кодекс, данъчно задължение)
Данни на гостите (обработвани от Vezpa като Обработващ):
- Съобщения до AlloggiatiWeb: периодът на съхранение се определя от Администратора (обекта) въз основа на приложимото законодателство
- Съобщения до ISTAT: съгласно нормативната уредба на ISTAT
- Други данни за резервацията: съгласно инструкциите на Администратора в DPA (обикновено 10 години за данъчни цели)
- При прекратяване на договора с Администратора Vezpa заличава или връща данните на гостите в рамките на 30 дни, освен при самостоятелни задължения за съхранение (напр. фактуриране)
Логове за достъп и приложение: до 24 месеца за цели на сигурността и защита в съдебни производства (легитимен интерес)
Токени за автентикация и доверени устройства: 90 дни от последната употреба
Данни за маркетинг (бюлетини, кампании): до оттегляне на съгласието, с двугодишен преглед
Тикети за поддръжка: срок на договора + 2 години

7. Съобщаване и разпространение на данните

7.1 Получатели на данните

Вашите данни могат да бъдат съобщавани на следните категории получатели. Поименният и винаги актуализиран списък на подобработващите лични данни е публикуван на адрес vezpa.it/subprocessors.

Публични органи (самостоятелни администратори, законово задължение)

Италия: Questura / AlloggiatiWeb, ISTAT, общини (чрез PayTourist за туристически данък), Агенция по приходите
Австрия: Feratel/Meldeamt
Испания: SES.HOSPEDAJES (Министерство на вътрешните работи)
Унгария: NTAK
Хърватия: eVisitor
Португалия: SEF
Чехия: UbyPort
Словения: eTurizem / AJPES

Всеки държавен конектор се активира само ако обектът се намира в съответната държава. Идентификационните данни се конфигурират от самия обект.

Подобработващи лични данни (чл. 28.4 ОРЗД)

Инфраструктура: DigitalOcean LLC (сървъри Франкфурт, база данни, Spaces/CDN, Redis) — САЩ/ЕС с DPF и SCC
Плащания: Stripe Payments Europe Ltd (ЕС) / Stripe Inc. (САЩ) — PCI-DSS, сертифицирани по DPF
Транзакционен имейл и PEC: IONOS SE (DE)
Push уведомления за мобилни: Google LLC — Firebase Cloud Messaging (САЩ, сертифицирани по DPF)
Channel Manager OTA: STAAH Limited (Нова Зеландия) — държава с решение на ЕС за адекватност (2012)
In-app purchase и абонаменти:
- Apple Distribution International Ltd (IE) — субект в ЕС; евентуални прехвърляния към Apple Inc. (САЩ) се регулират от SCC 2021/914 (Apple не участва в DPF)
- Google Ireland Ltd / Google LLC (САЩ, активна сертификация по DPF)
- Microsoft Ireland / Microsoft Corp. (САЩ, активна сертификация по DPF)
Интелигентни брави (опционално, ако са активирани): Tuya Smart (CN) — SCC на ЕС и допълнителни мерки
Професионални консултанти: счетоводител, адвокат, IT консултанти, определени като Обработващи или самостоятелни Администратори според нуждите

OTA (самостоятелни администратори за отношението с пътуващия)

Booking.com, Airbnb, Expedia, VRBO, Agoda и около 55 други канала, свързани чрез STAAH: данните от резервацията преминават въз основа на договора между обекта и OTA

7.2 Прехвърляне на данни извън ЕС

Някои обработвания включват прехвърляне на лични данни извън Европейския съюз. Във всички случаи се прилагат гаранции съгласно Глава V от ОРЗД:

САЩ — EU-U.S. Data Privacy Framework (Решение (ЕС) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, активни сертификации в Framework (проверка на dataprivacyframework.gov/list)
САЩ — Стандартни договорни клаузи (SCC) (SCC 2021/914): Apple Inc. — Apple не участва в DPF; договорното отношение за потребителите от ЕС е с Apple Distribution International Ltd (Ирландия), а евентуалните прехвърляния към Apple Inc. (САЩ) се извършват чрез SCC и вътрешни механизми на Apple
Нова Зеландия — Решение за адекватност (Решение (ЕС) 2013/65): STAAH Limited
Китай (опционално) — Стандартни договорни клаузи (SCC) 2021/914 + допълнителни мерки: Tuya Smart, само за обекти, които активират интелигентни брави
За всяко прехвърляне при липса на активен DPF или адекватност Vezpa приема SCC на ЕС 2021/914 и, когато е приложимо, документирана Transfer Impact Assessment (TIA)

7.3 Разпространение

Личните данни не се разпространяват (съобщаване на неопределен кръг лица) и не се продават.

8. Права на субекта на данни

Съгласно членове 15-22 от ОРЗД имате право на:

📧 Достъп (чл. 15): да получите потвърждение за съществуването на Вашите данни и да получите копие
✏️ Коригиране (чл. 16): да коригирате неточни или непълни данни
🗑️ Заличаване (чл. 17): да получите заличаване на данните (право „да бъдеш забравен") при наличие на условията
⏸️ Ограничаване (чл. 18): да ограничите обработването при определени условия
📤 Преносимост (чл. 20): да получите данните в структуриран формат и да ги предадете на друг администратор
🚫 Възражение (чл. 21): да възразите срещу обработването по легитимни мотиви
❌ Оттегляне на съгласие: да оттеглите по всяко време съгласието си за маркетинг

            ⚠️ Важна забележка: За данните на гостите тези права трябва да се упражняват пред обекта за настаняване (който е Администратор на лични данни), а не директно към Vezpa. Vezpa, като Обработващ, подпомага Администратора при изпълнението на исканията съгласно чл. 28.3.д от ОРЗД.
        

Маркетинг и бюлетин

Абонаментът за търговски съобщения изисква изрично съгласие с двоен opt-in (потвърждение чрез имейл линк). Всяко съобщение съдържа връзка за незабавно отписване. За съществуващи клиенти Vezpa може да изпраща съобщения за аналогични продукти и услуги съгласно чл. 130.4 от Италианския законодателен декрет 196/2003 („soft opt-in"), с винаги активна възможност за възражение.

Как да упражните правата си

Можете да упражните правата си, като пишете на:

📧 Имейл: [email protected]
✉️ PEC: [email protected]
📮 Препоръчана поща с обратна разписка на адреса от заглавната част

Ще Ви отговорим в рамките на 30 дни от получаване на искането.

Право на жалба

Ако смятате, че обработването на Вашите данни нарушава ОРЗД, имате право да подадете жалба до надзорния орган:

италиански орган за защита на данните (Garante)
Piazza Venezia, 11 - 00187 Рим
Имейл: [email protected]
PEC: [email protected]
Тел.: +39 06.696771
Уеб: www.garanteprivacy.it

Потребителите в България могат да се обърнат и към Комисията за защита на личните данни - КЗЛД (www.cpdp.bg).

9. Непълнолетни

Услугата Vezpa PMS е предназначена изключително за лица над 18 години. Не събираме съзнателно данни на непълнолетни. Ако родител или настойник счете, че непълнолетен е предоставил лични данни, може да се свърже с нас за незабавното им заличаване.

10. Промени в Политиката за поверителност

Тази Политика за поверителност може да бъде изменяна с времето. Всяка съществена промяна ще бъде съобщена с подходящо предизвестие чрез:

Публикуване на новата версия на уебсайта
Известяване по имейл на регистрираните потребители
Информационен банер в защитената зона

Датата на последната актуализация винаги е посочена в началото на документа.

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ