📌 Právní přednost: tento dokument je zdvořilým překladem italského originálu. V případě rozporu mezi tímto překladem a italskou verzí
má přednost italská verze jako právně závazný referenční text. Italský originál k dispozici zde:
https://vezpa.it/privacy/.
📌 Ve strucnosti: Vezpa respektuje Vase soukromi. Shromazdujeme pouze udaje nezbytne k poskytovani sluzby hotelove spravy, chranime je pomoci odpovidajicich bezpecnostnich opatreni a nikdy je neprodavame tretim stranam. Pro zpracovani udaju
hostu Vezpa jedna jako
Zpracovatel (cl. 28 GDPR): specifickou smlouvou je
DPA.
1. Spravce udaju
Spravcem osobnich udaju je:
Vezpa di Paolo Vezzola
Sidlo: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italie
DIC: 04449070988
Danove ID: VZZPLA84C10D284C
E-mail: [email protected]
PEC: [email protected]
2. Oblast pusobnosti
Tyto zasady ochrany osobnich udaju se vztahuji na platformu Vezpa PMS (web, desktop a mobil) a na stranky webu, na kterych je toto oznameni zverejneno.
3. Shromazdovane osobni udaje
3.1 Udaje uzivatelu sluzby (provozovatele ubytovacich zarizeni)
Pri registraci do Vezpa jako provozovatel ubytovaciho zarizeni shromazdujeme:
- Identifikacni udaje: jmeno, prijmeni, e-mail, telefonni cislo
- Udaje o zarizeni: nazev, adresa, typ, DIC
- Fakturacni udaje: fakturacni adresa, danove ID/DIC, jedinecny kod/PEC
- Pristupove udaje: e-mail a heslo (sifrovane)
- Platebni udaje: zpracovavane prostrednictvim externich poskytovatelu certifikovanych PCI-DSS (neukladame primo udaje platebnich karet)
3.2 Udaje hostu ubytovacich zarizeni
Jmenem provozovatelu ubytovacich zarizeni (jako Zpracovatel podle cl. 28 GDPR, upraveno DPA) system shromazduje:
- Identifikacni udaje: jmeno, prijmeni, misto a datum narozeni, statni obcanstvi, pohlavi
- Doklady totoznosti: typ, cislo, misto a datum vydani, naskenovany nebo vyfotografovany doklad. Tyto obrazky mohou byt zpracovany automatickym OCR za ucelem extrakce textovych udaju, bez ukladani odvozenych biometrickych udaju.
- Kontaktni udaje: e-mail, telefonni cislo
- Udaje o rezervaci: data pobytu, pocet hostu, sazby, stravovani
- Platebni udaje: pouze pokud platba probiha prostrednictvim booking engine nebo Stripe odkazu Vezpa; udaje karet nejsou nikdy ulozeny na serverech Vezpa
⚠️ Doklady totoznosti a zvlastni kategorie (cl. 9 GDPR): doklady totoznosti mohou obsahovat udaje kvalifikovatelne jako "zvlastni" (napr. misto narozeni, z nejz lze odvodit etnicky puvod). Vezpa zpracovava tyto udaje pouze v rozsahu striktne nezbytnem pro zakonne povinnosti provozovatele vuci verejnym organum, neprovadi na nich profilovani a nesdeluje je jinym subjektum nez organum a dalsim zpracovatelum uvedenym v §7.
3.3 Udaje o prohlizeni
- IP adresa
- Typ prohlizece a zarizeni
- Navstivene stranky a doba pobytu
- Operacni system
- Referrer (puvod)
3.4 Cookies
Pouzivame technicke cookies nezbytne pro fungovani sluzby. Vice podrobnosti naleznete v nasich Zasadach pouzivani cookies.
4. Ucely zpracovani a pravni zaklad
4.1 Pro provozovatele ubytovacich zarizeni
| Ucel |
Pravni zaklad |
| Poskytovani sluzby PMS |
Plneni smlouvy (cl. 6.1.b GDPR) |
| Fakturace a danove povinnosti |
Pravni povinnost (cl. 6.1.c GDPR) |
| Zakaznicka podpora |
Plneni smlouvy (cl. 6.1.b GDPR) |
| Bezpecnost, prevence podvodu, spolehlivost sluzby |
Opravneny zajem (cl. 6.1.f GDPR) |
| Zasilani marketingovych sdeleni |
Souhlas (cl. 6.1.a GDPR) - pouze pokud je udelen |
4.2 Pro hosty ubytovacich zarizeni
Dulezite: Pro udaje hostu je Spravcem ubytovaci zarizeni. Vezpa jedna jako Zpracovatel na zaklade dokumentovanych pokynu provozovatele zarizeni podle Smlouvy o zpracovani osobnich udaju (DPA).
- Check-in a registrace hostu: pravni povinnost (italsky zakon TULPS, cl. 109, D.Lgs. 159/2011) pro Italii; obdobne predpisy pro ostatni podporovane staty
- Povinna vladni oznameni: AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-obce), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — kazdy je aktivovan pouze pokud zarizeni sidli v odpovidajicim state
- Sprava rezervace a pobytu: plneni smlouvy (cl. 6.1.b)
- Komunikace s OTA a channel managery: plneni smlouvy o rezervaci (cl. 6.1.b), pouze kanaly aktivovane zarizenim
5. Zpusob zpracovani
Osobni udaje jsou zpracovavany elektronickymi prostredky, s logikou striktne souvisejici s ucely a prijetim odpovidajicich bezpecnostnich opatreni (cl. 32 GDPR):
- 🔐 Sifrovani pri prenosu: vsechny udaje jsou prenaseny pres protokol HTTPS/TLS 1.2+
- 🔐 Hesla: ukladana pomoci bezpecnych hashovacich algoritmu (PBKDF2 Django default)
- 🔐 Tokeny: JWT access 15 minut, refresh s rotaci a blacklistem, k dispozici 2FA TOTP
- 🔐 Rizeni pristupu: opravneni zalozena na roli (reditel/asistent/pokojska/pozorovatel), princip minimalniho opravneni
- 🔐 Zalohovani: provadeno pravidelne poskytovatelem infrastruktury (DigitalOcean), umisteni EU (Frankfurt)
- 🔐 Hosting: servery DigitalOcean umistene v Evropske unii (region FRA1), uloziste DigitalOcean Spaces Frankfurt
- 🔐 Monitorovani: pristupove a aplikacni logy, automatizovana detekce anomalii, blokovani botu a skeneru
6. Uchovavani udaju
Osobni udaje jsou uchovavany po dobu striktne nezbytnou:
- Udaje provozovatelu (zakazniku): doba trvani smlouvy + 10 let pro danove a ucetni povinnosti
- Fakturacni udaje: 10 let (cl. 2220 italskeho obcanskeho zakoniku, danova povinnost)
- Udaje hostu (zpracovavane Vezpa jako Zpracovatelem):
- Oznameni AlloggiatiWeb: doba uchovavani je stanovena Spravcem (zarizenim) podle platnych predpisu
- Oznameni ISTAT: podle predpisu ISTAT
- Dalsi udaje o rezervaci: podle pokynu Spravce v DPA (typicky 10 let pro danove ucely)
- Pri ukonceni smlouvy se Spravcem Vezpa vymaze nebo vrati udaje hostu do 30 dnu, s vyhradou samostatnych povinnosti uchovavani (napr. fakturace)
- Pristupove a aplikacni logy: az 24 mesicu pro ucely bezpecnosti a obhajoby v rizeni (opravneny zajem)
- Autentizacni tokeny a duveryhodna zarizeni: 90 dnu od posledniho pouziti
- Udaje pro marketing (newsletter, kampane): az do odvolani souhlasu, s dvouletou revizi
- Tikety podpory: doba trvani smlouvy + 2 roky
7. Sdeleni a sireni udaju
7.1 Prijemci udaju
Vase udaje mohou byt sdeleny nasledujicim kategoriim prijemcu. Jmenovity a vzdy aktualni seznam dalsich zpracovatelu je zverejnen na adrese vezpa.it/subprocessors.
Verejne organy (samostatni spravci, pravni povinnost)
- Italie: Questura / AlloggiatiWeb, ISTAT, obce (pres PayTourist pro pobytovou dan), Agenzia delle Entrate
- Rakousko: Feratel/Meldeamt
- Spanelsko: SES.HOSPEDAJES (Ministerio del Interior)
- Madarsko: NTAK
- Chorvatsko: eVisitor
- Portugalsko: SEF
- Ceska republika: UbyPort
- Slovinsko: eTurizem / AJPES
Kazdy vladni konektor je aktivovan pouze pokud zarizeni sidli v odpovidajicim state. Pristupove udaje konfiguruje samo zarizeni.
Dalsi zpracovatele (cl. 28.4 GDPR)
- Infrastruktura: DigitalOcean LLC (server Frankfurt, databaze, Spaces/CDN, Redis) — USA/EU s DPF a SCC
- Platby: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) — PCI-DSS, certifikovany DPF
- Transakcni e-mail a PEC: IONOS SE (DE)
- Push notifikace mobilni: Google LLC — Firebase Cloud Messaging (USA, certifikovany DPF)
- Channel Manager OTA: STAAH Limited (Novy Zeland) — zeme s rozhodnutim EU o adekvatnosti (2012)
- In-app nakup a predplatne:
- Apple Distribution International Ltd (IE) — subjekt EU; pripadne prenosy do Apple Inc. (USA) jsou upraveny SCC 2021/914 (Apple se neucastni DPF)
- Google Ireland Ltd / Google LLC (USA, aktivni certifikace DPF)
- Microsoft Ireland / Microsoft Corp. (USA, aktivni certifikace DPF)
- Smart zamky (volitelne, pokud aktivovane): Tuya Smart (CN) — SCC EU a doplnujici opatreni
- Profesionalni poradci: ucetni, pravnik, IT konzultanti, jmenovani jako Zpracovatele nebo samostatni Spravci podle potreby
OTA (samostatni spravci pro vztah s cestujicim)
- Booking.com, Airbnb, Expedia, VRBO, Agoda a asi 55 dalsich kanalu pripojenych prostrednictvim STAAH: udaje o rezervaci prochazeji na zaklade smlouvy mezi zarizenim a OTA
7.2 Prenos udaju mimo EU
Nektera zpracovani zahrnuji prenosy osobnich udaju mimo Evropskou unii. Ve vsech pripadech jsou prijata opatreni podle kapitoly V GDPR:
- USA — EU-U.S. Data Privacy Framework (Rozhodnuti (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktivni certifikace v ramci Framework (overeni na dataprivacyframework.gov/list)
- USA — Standardni smluvni dolozky (SCC 2021/914): Apple Inc. — Apple se neucastni DPF; smluvni vztah pro uzivatele EU je s Apple Distribution International Ltd (Irsko) a pripadne prenosy do Apple Inc. (USA) probihaji prostrednictvim SCC a internich mechanismu Apple
- Novy Zeland — Rozhodnuti o adekvatnosti (Rozhodnuti EU 2013/65): STAAH Limited
- Cina (volitelne) — Standardni smluvni dolozky (SCC) 2021/914 + doplnujici opatreni: Tuya Smart, pouze pro zarizeni, ktera aktivuji smart zamky
- Pro kazdy prenos v pripade nepritomnosti aktivniho DPF nebo adekvatnosti Vezpa prijima SCC EU 2021/914 a tam, kde je to relevantni, dokumentovany Transfer Impact Assessment (TIA)
7.3 Sireni
Osobni udaje nejsou predmetem sireni (sdeleni neomezenemu okruhu osob) a nejsou prodavany.
8. Prava subjektu udaju
Podle clanku 15-22 GDPR mate pravo na:
- 📧 Pristup (cl. 15): ziskat potvrzeni o existenci Vasich udaju a obdrzet jejich kopii
- ✏️ Oprava (cl. 16): oprava nespravnych nebo neuplnych udaju
- 🗑️ Vymaz (cl. 17): ziskat vymaz udaju (pravo byt zapomenut), jsou-li splneny predpoklady
- ⏸️ Omezeni (cl. 18): omezit zpracovani za urcitych podminek
- 📤 Prenositelnost (cl. 20): obdrzet udaje ve strukturovanem formatu a predat je jinemu spravci
- 🚫 Namitka (cl. 21): vznest namitku proti zpracovani z opravnenych duvodu
- ❌ Odvolani souhlasu: kdykoli odvolat souhlas s marketingem
⚠️ Dulezita poznamka: Pro udaje hostu musi byt tato prava uplatnena u ubytovaciho zarizeni (ktere je Spravcem), nikoliv primo vuci Vezpa. Vezpa, jako Zpracovatel, pomaha Spravci s vyrizovanim zadosti podle cl. 28.3.e GDPR.
Marketing a newsletter
Prihlaseni k obchodnim sdelenim vyzaduje vyslovny souhlas s dvojitym opt-in (potvrzeni pres e-mailovy odkaz). Kazde sdeleni obsahuje okamzity odhlasovaci odkaz. Pro stavajici zakazniky muze Vezpa zasilat sdeleni o podobnych produktech a sluzbach podle cl. 130.4 italskeho D.Lgs. 196/2003 ("soft opt-in"), s vzdy aktivni moznosti namitky.
Jak uplatnit prava
Sva prava muzete uplatnit pisemne na:
Odpovime Vam do 30 dnu od zadosti.
Pravo podat stiznost
Pokud se domnivate, ze zpracovani Vasich udaju porusuje GDPR, mate pravo podat stiznost u dozoroveho uradu:
italsky urad pro ochranu osobnich udaju (Garante)
Piazza Venezia, 11 - 00187 Roma
E-mail: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it
Uzivatele v Ceske republice se mohou obratit i na UOOU (www.uoou.cz).
9. Nezletili
Sluzba Vezpa PMS je urcena vyhradne osobam starsim 18 let. Vedome neshromazdujeme udaje nezletilych. Pokud se rodic nebo opatrovnik domniva, ze nezletily poskytl osobni udaje, muze nas kontaktovat za ucelem jejich okamziteho vymazu.
10. Zmeny zasad ochrany osobnich udaju
Tyto zasady ochrany osobnich udaju mohou byt casem zmeneny. Kazda podstatna zmena bude sdelena s dostatecnym predstihem prostrednictvim:
- Zverejneni nove verze na webove strance
- E-mailove notifikace registrovanym uzivatelum
- Informacniho banneru v uzivatelske oblasti
Datum posledni aktualizace je vzdy uvedeno v zahlavi dokumentu.
© 2022-2026 Vezpa - Vsechna prava vyhrazena |
Zasady ochrany osobnich udaju |
Podminky sluzby |
Zasady cookies |
GDPR |
DPA |
Dalsi zpracovatele