Privatlivspolitik

1. Dataansvarlig

Dataansvarlig for behandlingen af personoplysninger er:

Vezpa di Paolo Vezzola
Hjemsted: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italien
Moms-nr.: 04449070988
C.F.: VZZPLA84C10D284C
E-mail: [email protected]
PEC: [email protected]

2. Anvendelsesomrade

Denne privatlivspolitik gælder for platformen Vezpa PMS (web, desktop og mobil) og for de websider, hvor denne meddelelse er offentliggjort.

3. Indsamlede personoplysninger

3.1 Oplysninger om tjenestens brugere (indkvarteringsstedsforvaltere)

Nar De registrerer Dem pa Vezpa som forvalter af et indkvarteringssted, indsamler vi:

Identifikationsoplysninger: fornavn, efternavn, e-mail, telefonnummer
Oplysninger om indkvarteringsstedet: navn, adresse, type, moms-nr.
Faktureringsoplysninger: faktureringsadresse, skattekode/moms-nr., unik kode/PEC
Loginoplysninger: e-mail og adgangskode (krypteret)
Betalingsoplysninger: handteret af eksterne PCI-DSS-certificerede udbydere (vi lagrer ikke kreditkortoplysninger direkte)

3.2 Oplysninger om indkvarteringsstedets gæster

Pa vegne af indkvarteringsstedernes forvaltere (i egenskab af Databehandler i henhold til art. 28 GDPR, reguleret af DPA) indsamler systemet:

Identifikationsoplysninger: fornavn, efternavn, fodested og fodselsdato, statsborgerskab, kon
Identitetsdokumenter: type, nummer, udstedelsessted og -dato, scanning eller fotografi af dokumentet. Disse billeder kan behandles med automatisk OCR til udtrækning af tekstdata uden lagring af udledte biometriske data.
Kontaktoplysninger: e-mail, telefonnummer
Reservationsoplysninger: opholdsdatoer, antal gæster, priser, forplejning
Betalingsoplysninger: kun hvis betaling sker via Vezpas booking engine eller Stripe-link; kortoplysninger lagres aldrig pa Vezpas servere

            ⚠️ Identitetsdokumenter og særlige kategorier (art. 9 GDPR): identitetsdokumenter kan indeholde oplysninger, der kan kvalificeres som "særlige" (f.eks. fodested, hvorfra etnisk oprindelse kan udledes). Vezpa behandler sadanne data kun i det omfang, der er strengt nodvendigt for forvalterens lovmæssige forpligtelser over for offentlige myndigheder, foretager ikke profilering pa grundlag heraf og videregiver dem ikke til andre parter end myndighederne og underdatabehandlerne anfort i §7.
        

3.3 Navigationsdata

IP-adresse
Browsertype og enhed
Besogte sider og opholdstid
Operativsystem
Referrer (herkomst)

3.4 Cookies

Vi bruger tekniske cookies, der er nodvendige for, at tjenesten kan fungere. For yderligere oplysninger, se vores Cookiepolitik.

4. Formal med behandlingen og retsgrundlag

4.1 For indkvarteringsstedernes forvaltere

Formal	Retsgrundlag
Levering af PMS-tjenesten	Opfyldelse af kontrakt (art. 6.1.b GDPR)
Fakturering og skatteforpligtelser	Retlig forpligtelse (art. 6.1.c GDPR)
Kundeservice	Opfyldelse af kontrakt (art. 6.1.b GDPR)
Sikkerhed, svigforebyggelse, tjenestens palidelighed	Legitim interesse (art. 6.1.f GDPR)
Udsendelse af markedsforingsmeddelelser	Samtykke (art. 6.1.a GDPR) - kun hvis tilladt

4.2 For indkvarteringsstedets gæster

Vigtigt: For gæsternes data er den dataansvarlige indkvarteringsstedet. Vezpa optræder som Databehandler efter dokumenteret instruks fra indkvarteringsstedets forvalter i henhold til Databehandleraftalen.

Check-in og registrering af gæster: retlig forpligtelse (italienske TULPS-lov, art. 109, lovdekret 159/2011) for Italien; tilsvarende lovgivning for de ovrige understottede stater
Obligatoriske regeringsmeddelelser: AlloggiatiWeb (IT-Politiet), ISTAT (IT), PayTourist (IT-kommuner), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — hver aktiveres kun, hvis indkvarteringsstedet er hjemmehorende i det tilsvarende land
Administration af reservation og ophold: opfyldelse af kontrakt (art. 6.1.b)
Kommunikation til OTA og channel manager: opfyldelse af reservationskontrakten (art. 6.1.b), kun kanaler aktiveret af indkvarteringsstedet

5. Behandlingsmade

Personoplysninger behandles med elektroniske værktojer, med logikker strengt relateret til formalene og ved anvendelse af passende sikkerhedsforanstaltninger (art. 32 GDPR):

🔐 Kryptering under overforsel: alle data overfores via HTTPS/TLS 1.2+-protokol
🔐 Adgangskoder: lagret med sikre hashing-algoritmer (PBKDF2 Django default)
🔐 Tokens: JWT access 15 minutter, refresh med rotation og blacklist, 2FA TOTP tilgængelig
🔐 Adgangskontrol: rollebaserede tilladelser (direktor/assistent/rengoringsansvarlig/observator), princippet om mindste privilegium
🔐 Backup: udfores regelmæssigt af infrastrukturudbyderen (DigitalOcean), placering EU (Frankfurt)
🔐 Hosting: DigitalOcean-servere beliggende i Den Europæiske Union (region FRA1), DigitalOcean Spaces-storage i Frankfurt
🔐 Overvagning: adgangs- og applikationslogs, automatiseret anomaliregistrering, blokering af bots og scannere

6. Opbevaring af data

Personoplysninger opbevares kun sa længe, det er strengt nodvendigt:

Forvalterdata (kunder): kontraktens varighed + 10 ar af hensyn til skatte- og regnskabsforpligtelser
Faktureringsoplysninger: 10 ar (art. 2220 i den italienske civile lovbog, skattemæssig forpligtelse)
Gæsternes data (behandlet af Vezpa som Databehandler):
- AlloggiatiWeb-meddelelser: opbevaringsperioden fastsættes af den Dataansvarlige (indkvarteringssted) i henhold til gældende lovgivning
- ISTAT-meddelelser: i henhold til ISTAT-lovgivning
- Andre reservationsoplysninger: i henhold til den Dataansvarliges instrukser i DPA'en (typisk 10 ar af skattemæssige hensyn)
- Ved kontraktens ophor med den Dataansvarlige sletter eller returnerer Vezpa gæsternes data inden for 30 dage, medmindre der findes selvstændige opbevaringsforpligtelser (f.eks. fakturering)
Adgangs- og applikationslogs: op til 24 maneder af sikkerheds- og retsbeskyttelseshensyn (legitim interesse)
Autentifikationstokens og betroede enheder: 90 dage fra sidste brug
Data til markedsforing (nyhedsbrev, kampagner): indtil tilbagekaldelse af samtykke, med toarig gennemgang
Supporttickets: kontraktens varighed + 2 ar

7. Videregivelse og udbredelse af data

7.1 Modtagere af data

Deres data kan videregives til folgende kategorier af modtagere. Den altid opdaterede navneliste over underdatabehandlere er offentliggjort pa adressen vezpa.it/subprocessors.

Offentlige myndigheder (selvstændige dataansvarlige, retlig forpligtelse)

Italien: Politiet / AlloggiatiWeb, ISTAT, kommuner (via PayTourist for opholdsskat), skattemyndigheden
Osterrig: Feratel/Meldeamt
Spanien: SES.HOSPEDAJES (Ministerio del Interior)
Ungarn: NTAK
Kroatien: eVisitor
Portugal: SEF
Tjekkiet: UbyPort
Slovenien: eTurizem / AJPES

Hver regeringskonnektor aktiveres kun, hvis indkvarteringsstedet er hjemmehorende i det tilsvarende land. Adgangsoplysningerne konfigureres af indkvarteringsstedet selv.

Underdatabehandlere (art. 28.4 GDPR)

Infrastruktur: DigitalOcean LLC (Frankfurt-servere, database, Spaces/CDN, Redis) — USA/EU med DPF og SCC
Betalinger: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) — PCI-DSS, DPF-certificeret
Transaktionelle e-mails og PEC: IONOS SE (DE)
Mobile push-notifikationer: Google LLC — Firebase Cloud Messaging (USA, DPF-certificeret)
OTA Channel Manager: STAAH Limited (New Zealand) — land med EU-tilstrækkelighedsafgorelse (2012)
In-app-kob og abonnementer:
- Apple Distribution International Ltd (IE) — EU-enhed; eventuelle overforsler til Apple Inc. (USA) er reguleret af SCC 2021/914 (Apple deltager ikke i DPF)
- Google Ireland Ltd / Google LLC (USA, aktiv DPF-certificering)
- Microsoft Ireland / Microsoft Corp. (USA, aktiv DPF-certificering)
Smartlase (valgfrit, hvis aktiveret): Tuya Smart (CN) — EU SCC og supplerende foranstaltninger
Professionelle radgivere: revisor, advokat, IT-konsulenter, udpeget som Databehandlere eller selvstændige Dataansvarlige efter behov

OTA (selvstændige dataansvarlige for forholdet til den rejsende)

Booking.com, Airbnb, Expedia, VRBO, Agoda og cirka 55 andre kanaler tilsluttet via STAAH: reservationsdata sendes pa grundlag af kontrakten mellem indkvarteringsstedet og OTA'en

7.2 Dataoverforsel uden for EU

Visse behandlinger indebærer overforsel af personoplysninger uden for Den Europæiske Union. I alle tilfælde vedtages garantier i henhold til GDPR's kapitel V:

USA — EU-U.S. Data Privacy Framework (Beslutning (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktive certificeringer i rammen (verificer pa dataprivacyframework.gov/list)
USA — Standardkontraktbestemmelser (SCC) 2021/914: Apple Inc. — Apple deltager ikke i DPF; kontraktforholdet for EU-brugere er med Apple Distribution International Ltd (Irland), og eventuelle overforsler til Apple Inc. (USA) sker via SCC og Apples interne mekanismer
New Zealand — Tilstrækkelighedsafgorelse (Beslutning (EU) 2013/65): STAAH Limited
Kina (valgfrit) — Standardkontraktbestemmelser (SCC) 2021/914 + supplerende foranstaltninger: Tuya Smart, kun for indkvarteringssteder der aktiverer smartlase
For enhver overforsel uden aktiv DPF eller tilstrækkelighed vedtager Vezpa EU SCC 2021/914 og, hvor det er relevant, dokumenteret Transfer Impact Assessment (TIA)

7.3 Udbredelse

Personoplysninger er ikke genstand for udbredelse (videregivelse til ubestemte modtagere) og sælges ikke.

8. Den registreredes rettigheder

I henhold til GDPR's artikel 15-22 har De ret til:

📧 Indsigt (art. 15): fa bekræftelse pa eksistensen af Deres data og modtage en kopi
✏️ Berigtigelse (art. 16): rette unojagtige eller ufuldstændige data
🗑️ Sletning (art. 17): fa data slettet (retten til at blive glemt), nar betingelserne er opfyldt
⏸️ Begrænsning (art. 18): begrænse behandlingen under visse betingelser
📤 Dataportabilitet (art. 20): modtage data i struktureret format og overfore dem til en anden dataansvarlig
🚫 Indsigelse (art. 21): gore indsigelse mod behandlingen af legitime arsager
❌ Tilbagekaldelse af samtykke: nar som helst tilbagekalde samtykke til markedsforing

            ⚠️ Vigtig bemærkning: For gæsternes data skal disse rettigheder udoves over for indkvarteringsstedet (som er den Dataansvarlige), ikke direkte over for Vezpa. Vezpa, som Databehandler, bistar den Dataansvarlige med at handtere anmodningerne i henhold til art. 28.3.e GDPR.
        

Markedsforing og nyhedsbrev

Tilmelding til kommercielle meddelelser kræver udtrykkeligt samtykke med dobbelt opt-in (bekræftelse via e-maillink). Hver meddelelse indeholder et link til ojeblikkelig afmelding. For eksisterende kunder kan Vezpa sende meddelelser om tilsvarende produkter og tjenester i henhold til art. 130.4 i lovdekret 196/2003 ("soft opt-in"), med altid aktiv mulighed for at gore indsigelse.

Sadan udover De Deres rettigheder

De kan udove Deres rettigheder ved at skrive til:

📧 E-mail: [email protected]
✉️ PEC: [email protected]
📮 Anbefalet brev til adressen i brevhovedet

Vi vil svare inden for 30 dage fra anmodningen.

Ret til at klage

Hvis De mener, at behandlingen af Deres data overtræder GDPR, har De ret til at indgive en klage til tilsynsmyndigheden:

italienske databeskyttelsesmyndighed (Garante)
Piazza Venezia, 11 - 00187 Rom
E-mail: [email protected]
PEC: [email protected]
Tlf: +39 06.696771
Web: www.garanteprivacy.it

Brugere i Danmark kan ogsa henvende sig til Datatilsynet (www.datatilsynet.dk).

9. Mindreartige

Tjenesten Vezpa PMS er udelukkende beregnet til personer over 18 ar. Vi indsamler ikke bevidst data om mindreartige. Hvis en forælder eller værge mener, at en mindreartig har afgivet personoplysninger, kan de kontakte os for ojeblikkelig sletning.

10. Ændringer af privatlivspolitikken

Denne privatlivspolitik kan ændres over tid. Enhver væsentlig ændring vil blive meddelt med passende varsel via:

Offentliggorelse af den nye version pa webstedet
E-mailmeddelelse til registrerede brugere
Informationsbanner i det private omrade

Datoen for seneste opdatering er altid angivet overst i dokumentet.