Tietosuojaseloste

1. Rekisterinpitaja

Henkilotietojen rekisterinpitaja on:

Vezpa di Paolo Vezzola
Rekisteroity toimipaikka: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
ALV-numero: 04449070988
Verotunnus: VZZPLA84C10D284C
Sahkoposti: [email protected]
PEC: [email protected]

2. Soveltamisala

Tata tietosuojaselostetta sovelletaan Vezpa PMS -alustaan (web, desktop ja mobiili) seka verkkosivuston sivuihin, joilla tama seloste julkaistaan.

3. Keratyt henkilotiedot

3.1 Palvelun kayttajien tiedot (majoituskohteiden yllapitajat)

Kun rekisteroidytte Vezpaan majoituskohteen yllapitajana, keraamme:

Henkilotiedot: etunimi, sukunimi, sahkoposti, puhelinnumero
Majoituskohteen tiedot: nimi, osoite, tyyppi, ALV-numero
Laskutustiedot: laskutusosoite, verotunnus/ALV-numero, yksilollinen tunnistekoodi/PEC
Kirjautumistunnukset: sahkoposti ja salasana (salattuna)
Maksutiedot: kasitellaan PCI-DSS -sertifioiduilla ulkoisilla palveluntarjoajilla (emme tallenna luottokorttitietoja suoraan)

3.2 Majoituskohteiden asiakkaiden tiedot

Majoituskohteiden yllapitajien puolesta (henkilotietojen kasittelijana GDPR art. 28 mukaisesti, saadellysti DPA:lla) jarjestelma keraa:

Tunnistetiedot: etunimi, sukunimi, syntymapaikka ja -aika, kansalaisuus, sukupuoli
Henkilollisyystodistukset: tyyppi, numero, myontamispaikka ja -aika, asiakirjan skannaus tai valokuva. Nama kuvat voidaan kasitella automaattisella OCR-tunnistuksella tekstitietojen poimimiseksi, ilman johdettujen biometristen tietojen tallentamista.
Yhteystiedot: sahkoposti, puhelinnumero
Varaustiedot: oleskelun ajankohdat, asiakkaiden lukumaara, hinnat, hoitomuoto
Maksutiedot: vain jos maksu tapahtuu Vezpan varausmoottorin tai Stripe-linkin kautta; korttitietoja ei koskaan tallenneta Vezpan palvelimille

            Henkilollisyystodistukset ja erityiset henkilotietoryhmat (GDPR art. 9): henkilollisyystodistukset voivat sisaltaa "erityisiksi" luokiteltavia tietoja (esim. syntymapaikka, josta voidaan paatella etninen alkupera). Vezpa kasittelee tallaisia tietoja vain siina maarin kuin se on ehdottomasti valttamatonta yllapitajan lakisaateisten velvoitteiden tayttamiseksi viranomaisia kohtaan, ei suorita profilointia niiden perusteella eika luovuta niita muille kuin viranomaisille ja luvussa 7 luetelluille alihenkilotietojen kasittelijoille.
        

3.3 Selaustiedot

IP-osoite
Selaimen ja laitteen tyyppi
Vieraillut sivut ja oleskelun kesto
Kayttojarjestelma
Referrer (lahtopaikka)

3.4 Evasteet

Kaytamme palvelun toimintaan tarvittavia teknisia evasteita. Lisatietoja on evastekaytannossamme.

4. Kasittelyn tarkoitukset ja oikeusperuste

4.1 Majoituskohteiden yllapitajat

Tarkoitus	Oikeusperuste
PMS-palvelun toimittaminen	Sopimuksen tayttaminen (GDPR art. 6.1.b)
Laskutus ja verotukselliset velvoitteet	Lakisaateinen velvoite (GDPR art. 6.1.c)
Asiakaspalvelu	Sopimuksen tayttaminen (GDPR art. 6.1.b)
Turvallisuus, petosten torjunta, palvelun luotettavuus	Oikeutettu etu (GDPR art. 6.1.f)
Markkinointiviestien lahettaminen	Suostumus (GDPR art. 6.1.a) - vain valtuutettuna

4.2 Majoituskohteiden asiakkaat

Tarkea huomio: Asiakkaiden tietojen rekisterinpitaja on majoituskohde. Vezpa toimii henkilotietojen kasittelijana kohteen yllapitajan dokumentoidun ohjeistuksen perusteella Tietojenkasittelysopimuksen (DPA) mukaisesti.

Sisaankirjautuminen ja asiakkaiden rekisterointi: lakisaateinen velvoite (Italian TULPS-lain, 109 artikla, asetus 159/2011) Italian osalta; vastaava lainsaadanto muissa tuetuissa valtioissa
Pakolliset ilmoitukset viranomaisille: AlloggiatiWeb (IT-poliisi), ISTAT (IT), PayTourist (IT-kunnat), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - kukin aktivoidaan vain, jos majoituskohde sijaitsee vastaavassa valtiossa
Varauksen ja oleskelun hallinta: sopimuksen tayttaminen (art. 6.1.b)
Ilmoitukset OTA:lle ja channel managerille: varaussopimuksen tayttaminen (art. 6.1.b), vain kohteen aktivoimat kanavat

5. Kasittelytavat

Henkilotietoja kasitellaan sahkoisin valinein, tiukasti tarkoitukseen liittyvalla logiikalla ja riittavia turvatoimia noudattaen (GDPR art. 32):

Salaus siirron aikana: kaikki tiedot lahetetaan HTTPS/TLS 1.2+ -protokollaa kayttaen
Salasanat: tallennetaan turvallisia tiivistealgoritmeja kayttaen (PBKDF2 Djangon oletus)
Tokenit: JWT access 15 minuuttia, refresh kierrolla ja mustalla listalla, 2FA TOTP saatavilla
Paasynhallinta: rooliin perustuvat kayttooikeudet (johtaja/avustaja/siivooja/tarkkailija), vahimman oikeuden periaate
Varmuuskopiot: suorittaa saannollisesti infrastruktuurin tarjoaja (DigitalOcean), sijainti EU (Frankfurt)
Hosting: DigitalOcean-palvelimet Euroopan unionissa (alue FRA1), tallennus DigitalOcean Spaces Frankfurt
Valvonta: paasy- ja sovellusloki, automatisoitu poikkeavuuksien havaitseminen, bottien ja skannerien esto

6. Tietojen sailyttaminen

Henkilotietoja sailytetaan tiukasti tarvittava aika:

Yllapitajien (asiakkaiden) tiedot: sopimuksen voimassaolo + 10 vuotta verotukselliset ja kirjanpidolliset velvoitteet
Laskutustiedot: 10 vuotta (Italian siviililain 2220 artikla, verolainsaadannollinen velvoite)
Asiakkaiden tiedot (joita Vezpa kasittelee henkilotietojen kasittelijana):
- AlloggiatiWeb-ilmoitukset: sailytysajan maarittaa rekisterinpitaja (majoituskohde) soveltuvan lainsaadannon mukaisesti
- ISTAT-ilmoitukset: ISTAT-saadosten mukaisesti
- Muut varaustiedot: rekisterinpitajan ohjeiden mukaan DPA:ssa (tyypillisesti 10 vuotta verotuksellisissa tarkoituksissa)
- Sopimuksen paatyttya rekisterinpitajan kanssa Vezpa poistaa tai palauttaa asiakkaiden tiedot 30 paivan kuluessa, paitsi itsenaisten sailyttamisvelvoitteiden (esim. laskutus) osalta
Paasy- ja sovellusloki: enintaan 24 kuukautta turvallisuus- ja oikeudenkayntitarkoituksiin (oikeutettu etu)
Autentikointitokenit ja luotetut laitteet: 90 paivaa viimeisesta kaytosta
Markkinointitiedot (uutiskirjeet, kampanjat): suostumuksen peruuttamiseen asti, kahden vuoden valein tarkasteltavana
Tukipyynnot: sopimuksen voimassaolo + 2 vuotta

7. Tietojen luovuttaminen ja jakaminen

7.1 Tietojen vastaanottajat

Tietojanne voidaan luovuttaa seuraaville vastaanottajaryhmille. Aina paivitetty nimetty lista alihenkilotietojen kasittelijoista on julkaistu osoitteessa vezpa.it/subprocessors.

Viranomaiset (itsenaiset rekisterinpitajat, lakisaateinen velvoite)

Italia: Poliisi / AlloggiatiWeb, ISTAT, kunnat (PayTouristin kautta oleskeluveroa varten), Verohallinto
Itavalta: Feratel/Meldeamt
Espanja: SES.HOSPEDAJES (Sisaministerio)
Unkari: NTAK
Kroatia: eVisitor
Portugali: SEF
Tsekki: UbyPort
Slovenia: eTurizem / AJPES

Jokainen viranomaisliittyma aktivoidaan vain, jos majoituskohde sijaitsee vastaavassa valtiossa. Tunnistetiedot konfiguroi majoituskohde itse.

Alihenkilotietojen kasittelijat (GDPR art. 28.4)

Infrastruktuuri: DigitalOcean LLC (Frankfurt-palvelimet, tietokanta, Spaces/CDN, Redis) - USA/EU DPF:lla ja SCC:lla
Maksut: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) - PCI-DSS, DPF-sertifioitu
Transaktionaalinen sahkoposti ja PEC: IONOS SE (DE)
Mobiilipush-ilmoitukset: Google LLC - Firebase Cloud Messaging (USA, DPF-sertifioitu)
Channel Manager OTA: STAAH Limited (Uusi-Seelanti) - EU:n riittavyyspaatoksen maa (2012)
Sovelluksensisaiset ostot ja tilaukset:
- Apple Distribution International Ltd (IE) - EU-yksikko; mahdolliset siirrot Apple Inc.:lle (USA) saadellaan SCC 2021/914 -lausekkeilla (Apple ei kuulu DPF-jarjestelmaan)
- Google Ireland Ltd / Google LLC (USA, aktiivinen DPF-sertifiointi)
- Microsoft Ireland / Microsoft Corp. (USA, aktiivinen DPF-sertifiointi)
Alyoven lukot (valinnainen, jos aktivoitu): Tuya Smart (CN) - EU:n SCC ja lisatoimet
Ammattikonsultit: kirjanpitaja, asianajaja, IT-konsultit, nimetaan tarpeen mukaan henkilotietojen kasittelijoiksi tai itsenaisiksi rekisterinpitajiksi

OTA (itsenaiset rekisterinpitajat suhteessa matkustajaan)

Booking.com, Airbnb, Expedia, VRBO, Agoda ja noin 55 muuta STAAH:n kautta liitettya kanavaa: varaustiedot kulkevat majoituskohteen ja OTA:n valisen sopimuksen perusteella

7.2 Tietojen siirto EU:n ulkopuolelle

Joissakin kasittelyissa henkilotietoja siirretaan Euroopan unionin ulkopuolelle. Kaikissa tapauksissa sovelletaan GDPR V luvun mukaisia suojatoimia:

USA - EU-U.S. Data Privacy Framework (paatos (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktiiviset sertifioinnit Frameworkissa (tarkista osoitteessa dataprivacyframework.gov/list)
USA - vakiosopimuslausekkeet (SCC) 2021/914: Apple Inc. - Apple ei kuulu DPF-jarjestelmaan; sopimussuhde EU-kayttajien osalta on Apple Distribution International Ltd:n (Irlanti) kanssa, ja mahdolliset siirrot Apple Inc.:lle (USA) tapahtuvat SCC:n ja Applen sisaisten mekanismien kautta
Uusi-Seelanti - riittavyyspaatos (paatos (EU) 2013/65): STAAH Limited
Kiina (valinnainen) - EU:n vakiosopimuslausekkeet (SCC) 2021/914 + lisatoimet: Tuya Smart, vain alyovien lukkoja aktivoiville majoituskohteille
Kaikissa siirroissa, joissa ei ole aktiivista DPF:aa tai riittavyytta, Vezpa soveltaa EU SCC 2021/914 -lausekkeita ja tarvittaessa dokumentoitua Transfer Impact Assessmentia (TIA)

7.3 Tietojen jakaminen

Henkilotietoja ei leviteta (ei luovuteta maarittelemattomille tahoille) eika myyda.

8. Rekisteroidyn oikeudet

GDPR:n 15-22 artiklojen mukaisesti teilla on oikeus:

Paasy (art. 15): saada vahvistus tietojenne olemassaolosta ja kopio niista
Oikaisu (art. 16): korjata virheelliset tai puutteelliset tiedot
Poisto (art. 17): saada tiedot poistetuksi (oikeus tulla unohdetuksi), kun edellytykset tayttyvat
Rajoitus (art. 18): rajoittaa kasittelya tietyissa olosuhteissa
Siirrettavyys (art. 20): saada tiedot jasennetyssa muodossa ja siirtaa ne toiselle rekisterinpitajalle
Vastustaminen (art. 21): vastustaa kasittelya oikeutetuista syista
Suostumuksen peruuttaminen: peruuttaa markkinointisuostumus milloin tahansa

            Tarkea huomio: Asiakkaiden tietojen osalta nama oikeudet on kaytettava majoituskohteessa (joka on rekisterinpitaja), ei suoraan Vezpan kautta. Vezpa henkilotietojen kasittelijana avustaa rekisterinpitajaa pyyntojen kasittelyssa GDPR art. 28.3.e:n mukaisesti.
        

Markkinointi ja uutiskirjeet

Markkinointiviestintaan rekisteroityminen edellyttaa nimenomaista suostumusta kaksoissuostumusmenettelylla (vahvistus sahkopostilinkilla). Jokainen viestinta sisaltaa valittoman perumislinkin. Olemassa oleville asiakkaille Vezpa voi lahettaa viestinta vastaavista tuotteista ja palveluista Italian D.Lgs. 196/2003 art. 130.4 ("soft opt-in") mukaisesti, aina vastustamismahdollisuuden kera.

Miten kaytatte oikeuksianne

Voitte kayttaa oikeuksianne kirjoittamalla osoitteeseen:

Sahkoposti: [email protected]
PEC: [email protected]
Kirjattu kirje otsikossa olevaan osoitteeseen

Vastaamme 30 paivan kuluessa pyynnosta.

Valitusoikeus

Jos katsotte, etta tietojen kasittely loukkaa GDPR:aa, teilla on oikeus tehda valitus valvontaviranomaiselle:

Italian tietosuojaviranomainen (Garante)
Piazza Venezia, 11 - 00187 Roma
Sahkoposti: [email protected]
PEC: [email protected]
Puh: +39 06.696771
Web: www.garanteprivacy.it

Suomessa kayttajat voivat kaantya myos Tietosuojavaltuutetun toimiston puoleen (www.tietosuoja.fi).

9. Alaikaiset

Vezpa PMS -palvelu on tarkoitettu yksinomaan yli 18-vuotiaille henkiloille. Emme tietoisesti keraa alaikaisten tietoja. Jos vanhempi tai huoltaja katsoo, etta alaikainen on antanut henkilotietoja, han voi ottaa meihin yhteytta niiden valittomaksi poistamiseksi.

10. Muutokset tietosuojaselosteeseen

Tama tietosuojaseloste voi muuttua ajan myota. Merkittavista muutoksista ilmoitetaan riittavan ajoissa:

Uusi versio julkaistaan verkkosivustolla
Sahkopostitiedote rekisteroityneille kayttajille
Informatiivinen banneri suojatulla alueella

Viimeisen paivityksen paivamaara on aina merkitty asiakirjan ylaosaan.