Ειδοποίηση: Αυτή είναι μετάφραση ευγενείας του ιταλικού πρωτοτύπου. Σε περίπτωση σύγκρουσης ή αμφισημίας, υπερισχύει η ιταλική έκδοση.
📌 Σύνοψη: Η Vezpa σέβεται το απόρρητό σας. Συλλέγουμε μόνο τα δεδομένα που είναι απαραίτητα για την παροχή της υπηρεσίας διαχείρισης ξενοδοχείων, τα προστατεύουμε με κατάλληλα μέτρα ασφαλείας και δεν τα πωλούμε ποτέ σε τρίτους. Για την επεξεργασία των δεδομένων των
επισκεπτών, η Vezpa ενεργεί ως
Εκτελών την επεξεργασία (άρθρο 28 ΓΚΠΔ): η ειδική σύμβαση είναι η
DPA.
1. Υπεύθυνος Επεξεργασίας
Ο Υπεύθυνος επεξεργασίας των προσωπικών δεδομένων είναι:
Vezpa di Paolo Vezzola
Καταστατική έδρα: Via San Zeno 67, 25015 Desenzano del Garda (BS), Ιταλία
ΑΦΜ: 04449070988
Φορολογικός κωδικός: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]
2. Πεδίο εφαρμογής
Η παρούσα Πολιτική Απορρήτου εφαρμόζεται στην πλατφόρμα Vezpa PMS (web, desktop και κινητό) και στις σελίδες του ιστοτόπου όπου δημοσιεύεται η παρούσα ενημέρωση.
3. Συλλεγόμενα Προσωπικά Δεδομένα
3.1 Δεδομένα Χρηστών της Υπηρεσίας (Διαχειριστές Καταλυμάτων)
Όταν εγγράφεστε στη Vezpa ως διαχειριστής τουριστικού καταλύματος, συλλέγουμε:
- Στοιχεία ταυτότητας: όνομα, επώνυμο, email, αριθμός τηλεφώνου
- Στοιχεία καταλύματος: όνομα, διεύθυνση, τύπος, ΑΦΜ
- Στοιχεία τιμολόγησης: διεύθυνση τιμολόγησης, φορολογικός κωδικός/ΑΦΜ, μοναδικός κωδικός/PEC
- Διαπιστευτήρια πρόσβασης: email και κωδικός πρόσβασης (κρυπτογραφημένος)
- Στοιχεία πληρωμής: διαχειρίζονται μέσω εξωτερικών παρόχων πιστοποιημένων κατά PCI-DSS (δεν αποθηκεύουμε άμεσα τα στοιχεία πιστωτικών καρτών)
3.2 Δεδομένα Επισκεπτών των Καταλυμάτων
Εκ μέρους των διαχειριστών των καταλυμάτων (με την ιδιότητα του Εκτελούντος την επεξεργασία κατά την έννοια του άρθρου 28 ΓΚΠΔ, ρυθμιζόμενο από το DPA), το σύστημα συλλέγει:
- Στοιχεία ταυτοποίησης: όνομα, επώνυμο, τόπος και ημερομηνία γέννησης, υπηκοότητα, φύλο
- Έγγραφα ταυτότητας: τύπος, αριθμός, τόπος και ημερομηνία έκδοσης, σάρωση ή φωτογραφία του εγγράφου. Οι εικόνες αυτές μπορούν να υποβληθούν σε επεξεργασία με αυτόματο OCR για την εξαγωγή των δεδομένων κειμένου, χωρίς αποθήκευση παραγόμενων βιομετρικών δεδομένων.
- Στοιχεία επικοινωνίας: email, αριθμός τηλεφώνου
- Στοιχεία κράτησης: ημερομηνίες διαμονής, αριθμός επισκεπτών, τιμές, πλάνο διατροφής
- Στοιχεία πληρωμής: μόνο εάν η πληρωμή πραγματοποιείται μέσω του booking engine ή συνδέσμου Stripe της Vezpa· τα στοιχεία της κάρτας δεν αποθηκεύονται ποτέ στους διακομιστές της Vezpa
⚠️ Έγγραφα ταυτότητας και ειδικές κατηγορίες (άρθρο 9 ΓΚΠΔ): τα έγγραφα ταυτότητας ενδέχεται να περιέχουν δεδομένα που χαρακτηρίζονται ως «ειδικές κατηγορίες» (π.χ. τόπος γέννησης από τον οποίο μπορεί να συναχθεί η εθνοτική καταγωγή). Η Vezpa επεξεργάζεται τέτοια δεδομένα μόνο στο μέτρο που είναι αυστηρά αναγκαίο για τις νόμιμες υποχρεώσεις του διαχειριστή προς τις δημόσιες αρχές, δεν πραγματοποιεί κατάρτιση προφίλ επ' αυτών και δεν τα κοινοποιεί σε άλλα πρόσωπα πέραν των αρχών και των υποεκτελούντων που απαριθμούνται στο §7.
3.3 Δεδομένα Περιήγησης
- Διεύθυνση IP
- Τύπος προγράμματος περιήγησης και συσκευής
- Επισκεφθείσες σελίδες και χρόνος παραμονής
- Λειτουργικό σύστημα
- Referrer (προέλευση)
3.4 Cookies
Χρησιμοποιούμε τεχνικά cookies που είναι απαραίτητα για τη λειτουργία της υπηρεσίας. Για περισσότερες λεπτομέρειες συμβουλευτείτε την Πολιτική Cookies μας.
4. Σκοποί της Επεξεργασίας και Νομική Βάση
4.1 Για τους Διαχειριστές των Καταλυμάτων
| Σκοπός |
Νομική Βάση |
| Παροχή της υπηρεσίας PMS |
Εκτέλεση σύμβασης (άρθρο 6.1.β ΓΚΠΔ) |
| Τιμολόγηση και φορολογικές υποχρεώσεις |
Νομική υποχρέωση (άρθρο 6.1.γ ΓΚΠΔ) |
| Υποστήριξη πελατών |
Εκτέλεση σύμβασης (άρθρο 6.1.β ΓΚΠΔ) |
| Ασφάλεια, πρόληψη απάτης, αξιοπιστία της υπηρεσίας |
Έννομο συμφέρον (άρθρο 6.1.στ ΓΚΠΔ) |
| Αποστολή εμπορικών επικοινωνιών |
Συγκατάθεση (άρθρο 6.1.α ΓΚΠΔ) - μόνο εάν έχει εξουσιοδοτηθεί |
4.2 Για τους Επισκέπτες των Καταλυμάτων
Σημαντικό: Για τα δεδομένα των επισκεπτών, Υπεύθυνος επεξεργασίας είναι το τουριστικό κατάλυμα. Η Vezpa ενεργεί ως Εκτελών την επεξεργασία βάσει τεκμηριωμένων οδηγιών του διαχειριστή του καταλύματος, σύμφωνα με τη Σύμβαση επεξεργασίας δεδομένων.
- Check-in και καταχώρηση επισκεπτών: νομική υποχρέωση (ιταλικός νόμος TULPS, άρθρο 109, Ν.Δ. 159/2011) για την Ιταλία· ισοδύναμη νομοθεσία για τα άλλα υποστηριζόμενα κράτη
- Υποχρεωτικές κυβερνητικές γνωστοποιήσεις: AlloggiatiWeb (IT-Αστυνομία), ISTAT (IT), PayTourist (IT-Δήμοι), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — κάθε ενεργοποίηση πραγματοποιείται μόνο εάν το κατάλυμα βρίσκεται στο αντίστοιχο κράτος
- Διαχείριση κράτησης και διαμονής: εκτέλεση σύμβασης (άρθρο 6.1.β)
- Επικοινωνίες με OTA και channel manager: εκτέλεση της σύμβασης κράτησης (άρθρο 6.1.β), μόνο κανάλια ενεργοποιημένα από το κατάλυμα
5. Τρόπος Επεξεργασίας
Τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα, με λογικές αυστηρά συνδεδεμένες με τους σκοπούς και με την υιοθέτηση κατάλληλων μέτρων ασφαλείας (άρθρο 32 ΓΚΠΔ):
- 🔐 Κρυπτογράφηση κατά τη μετάδοση: όλα τα δεδομένα μεταδίδονται μέσω πρωτοκόλλου HTTPS/TLS 1.2+
- 🔐 Κωδικοί πρόσβασης: αποθηκεύονται με ασφαλείς αλγόριθμους κατακερματισμού (προεπιλογή PBKDF2 Django)
- 🔐 Token: JWT access 15 λεπτά, refresh με εναλλαγή και blacklist, διαθέσιμο 2FA TOTP
- 🔐 Έλεγχος πρόσβασης: εξουσιοδοτήσεις βάσει ρόλου (διευθυντής/βοηθός/καμαριέρα/παρατηρητής), αρχή του ελάχιστου προνομίου
- 🔐 Backup: εκτελούνται τακτικά από τον πάροχο υποδομής (DigitalOcean), τοποθεσία ΕΕ (Φρανκφούρτη)
- 🔐 Hosting: διακομιστές DigitalOcean εντός της Ευρωπαϊκής Ένωσης (περιοχή FRA1), αποθήκευση DigitalOcean Spaces Φρανκφούρτη
- 🔐 Παρακολούθηση: αρχεία καταγραφής πρόσβασης και εφαρμογών, αυτοματοποιημένη ανίχνευση ανωμαλιών, αποκλεισμός bot και scanner
6. Διατήρηση Δεδομένων
Τα προσωπικά δεδομένα διατηρούνται για το χρονικό διάστημα που είναι αυστηρά αναγκαίο:
- Δεδομένα διαχειριστών (πελάτες): διάρκεια της σύμβασης + 10 έτη για φορολογικές και λογιστικές υποχρεώσεις
- Δεδομένα τιμολόγησης: 10 έτη (άρθρο 2220 ιταλικού Αστικού Κώδικα, φορολογική υποχρέωση)
- Δεδομένα επισκεπτών (που υποβάλλονται σε επεξεργασία από τη Vezpa ως Εκτελών):
- Γνωστοποιήσεις AlloggiatiWeb: η περίοδος διατήρησης καθορίζεται από τον Υπεύθυνο επεξεργασίας (κατάλυμα) βάσει της εφαρμοστέας νομοθεσίας
- Γνωστοποιήσεις ISTAT: σύμφωνα με τη νομοθεσία ISTAT
- Άλλα δεδομένα κράτησης: σύμφωνα με τις οδηγίες του Υπευθύνου επεξεργασίας στο DPA (συνήθως 10 έτη για φορολογικούς σκοπούς)
- Με τη λήξη της σύμβασης με τον Υπεύθυνο επεξεργασίας, η Vezpa διαγράφει ή επιστρέφει τα δεδομένα των επισκεπτών εντός 30 ημερών, με την επιφύλαξη αυτοτελών υποχρεώσεων διατήρησης (π.χ. τιμολόγηση)
- Αρχεία καταγραφής πρόσβασης και εφαρμογών: 12 μήνες ως τυπική διάρκεια, επεκτάσιμα έως 24 μήνες αποκλειστικά για τεκμηριωμένες ενεργές έρευνες ασφαλείας ή για νομική άμυνα (έννομο συμφέρον κατ' άρθρο 6.1.στ, σύμφωνα με την Απόφ. Garante 352/2022)
- Token ταυτοποίησης και έμπιστες συσκευές: 90 ημέρες από την τελευταία χρήση
- Δεδομένα για marketing (newsletter, καμπάνιες): έως την ανάκληση της συγκατάθεσης, με διετή επανεξέταση
- Αιτήματα υποστήριξης: διάρκεια της σύμβασης + 2 έτη
7. Κοινοποίηση και Διάδοση των Δεδομένων
7.1 Αποδέκτες Δεδομένων
Τα δεδομένα σας μπορούν να κοινοποιηθούν στις ακόλουθες κατηγορίες αποδεκτών. Ο πάντα ενημερωμένος ονομαστικός κατάλογος των υποεκτελούντων την επεξεργασία δημοσιεύεται στη διεύθυνση vezpa.it/subprocessors.
Δημόσιες αρχές (Αυτοτελείς υπεύθυνοι επεξεργασίας, νομική υποχρέωση)
- Ιταλία: Questura / AlloggiatiWeb, ISTAT, Δήμοι (μέσω PayTourist για τον φόρο διαμονής), Φορολογική Υπηρεσία
- Αυστρία: Feratel/Meldeamt
- Ισπανία: SES.HOSPEDAJES (Ministerio del Interior)
- Ουγγαρία: NTAK
- Κροατία: eVisitor
- Πορτογαλία: SEF
- Τσεχική Δημοκρατία: UbyPort
- Σλοβενία: eTurizem / AJPES
Κάθε κυβερνητικός σύνδεσμος ενεργοποιείται μόνο εάν το κατάλυμα βρίσκεται στο αντίστοιχο κράτος. Τα διαπιστευτήρια διαμορφώνονται από το ίδιο το κατάλυμα.
Υποεκτελούντες την επεξεργασία (άρθρο 28.4 ΓΚΠΔ)
- Υποδομή: DigitalOcean LLC (διακομιστής Φρανκφούρτης, βάση δεδομένων, Spaces/CDN, Redis) — ΗΠΑ/ΕΕ με DPF και SCC
- Πληρωμές: Stripe Payments Europe Ltd (EU) / Stripe Inc. (ΗΠΑ) — PCI-DSS, πιστοποιημένη DPF
- Συναλλακτικό email και PEC: IONOS SE (DE)
- Push notifications mobile: Google LLC — Firebase Cloud Messaging (ΗΠΑ, πιστοποιημένη DPF)
- Channel Manager OTA: STAAH Limited (Νέα Ζηλανδία) — χώρα με απόφαση επάρκειας ΕΕ (2012)
- In-app purchase και συνδρομές:
- Apple Distribution International Ltd (IE) — οντότητα ΕΕ· τυχόν διαβιβάσεις προς Apple Inc. (ΗΠΑ) διέπονται από τις SCC 2021/914 (η Apple δεν συμμετέχει στο DPF)
- Google Ireland Ltd / Google LLC (ΗΠΑ, ενεργή πιστοποίηση DPF)
- Microsoft Ireland / Microsoft Corp. (ΗΠΑ, ενεργή πιστοποίηση DPF)
- Έξυπνες κλειδαριές (προαιρετικά, εάν ενεργοποιηθούν): Tuya Smart (CN) — SCC ΕΕ και συμπληρωματικά μέτρα
- Επαγγελματίες σύμβουλοι: λογιστής, δικηγόρος, σύμβουλοι IT, ορισμένοι ως Εκτελούντες ή αυτοτελείς Υπεύθυνοι επεξεργασίας κατά περίπτωση
OTA (Αυτοτελείς υπεύθυνοι επεξεργασίας για τη σχέση με τον ταξιδιώτη)
- Booking.com, Airbnb, Expedia, VRBO, Agoda και περίπου 55 άλλα κανάλια που συνδέονται μέσω STAAH: τα δεδομένα κράτησης διαβιβάζονται βάσει της σύμβασης μεταξύ του καταλύματος και του OTA
7.2 Διαβίβαση Δεδομένων Εκτός ΕΕ
Ορισμένες επεξεργασίες συνεπάγονται διαβιβάσεις προσωπικών δεδομένων εκτός της Ευρωπαϊκής Ένωσης. Σε όλες τις περιπτώσεις λαμβάνονται εγγυήσεις σύμφωνα με το Κεφάλαιο V ΓΚΠΔ:
- ΗΠΑ — EU-U.S. Data Privacy Framework (Απόφαση (ΕΕ) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, με ενεργές πιστοποιήσεις στο Framework (επαλήθευση στο dataprivacyframework.gov/list)
- ΗΠΑ — Τυποποιημένες Συμβατικές Ρήτρες (SCC 2021/914): Apple Inc. — η Apple δεν συμμετέχει στο DPF· η συμβατική σχέση για τους χρήστες της ΕΕ είναι με την Apple Distribution International Ltd (Ιρλανδία), και τυχόν διαβιβάσεις προς την Apple Inc. (ΗΠΑ) πραγματοποιούνται μέσω SCC και εσωτερικών μηχανισμών της Apple
- Νέα Ζηλανδία — Απόφαση επάρκειας (Απόφαση (ΕΕ) 2013/65): STAAH Limited
- Κίνα (προαιρετικά) — Τυποποιημένες Συμβατικές Ρήτρες (SCC) 2021/914 + συμπληρωματικά μέτρα: Tuya Smart, μόνο για τα καταλύματα που ενεργοποιούν έξυπνες κλειδαριές
- Για κάθε διαβίβαση απουσία ενεργού DPF ή επάρκειας, η Vezpa υιοθετεί SCC ΕΕ 2021/914 και, όπου εφαρμόζεται, τεκμηριωμένη Εκτίμηση Επιπτώσεων Διαβίβασης (TIA)
7.3 Διάδοση
Τα προσωπικά δεδομένα δεν αποτελούν αντικείμενο διάδοσης (κοινοποίηση σε αόριστα πρόσωπα) και δεν πωλούνται.
8. Δικαιώματα του Υποκειμένου των Δεδομένων
Σύμφωνα με τα άρθρα 15-22 του ΓΚΠΔ, έχετε το δικαίωμα:
- 📧 Πρόσβασης (άρθρο 15): να λαμβάνετε επιβεβαίωση της ύπαρξης των δεδομένων σας και αντίγραφό τους
- ✏️ Διόρθωσης (άρθρο 16): να διορθώνετε ανακριβή ή ελλιπή δεδομένα
- 🗑️ Διαγραφής (άρθρο 17): να ζητάτε τη διαγραφή των δεδομένων (δικαίωμα στη λήθη) όταν συντρέχουν οι προϋποθέσεις
- ⏸️ Περιορισμού (άρθρο 18): να περιορίζετε την επεξεργασία υπό ορισμένες προϋποθέσεις
- 📤 Φορητότητας (άρθρο 20): να λαμβάνετε τα δεδομένα σε δομημένη μορφή και να τα μεταφέρετε σε άλλο υπεύθυνο επεξεργασίας
- 🚫 Εναντίωσης (άρθρο 21): να αντιτίθεστε στην επεξεργασία για νόμιμους λόγους
- ❌ Ανάκλησης συγκατάθεσης: να ανακαλείτε ανά πάσα στιγμή τη συγκατάθεση για marketing
⚠️ Σημαντική σημείωση: Για τα δεδομένα των επισκεπτών, τα δικαιώματα αυτά πρέπει να ασκούνται στο τουριστικό κατάλυμα (που είναι ο Υπεύθυνος επεξεργασίας), όχι απευθείας προς τη Vezpa. Η Vezpa, ως Εκτελών την επεξεργασία, συνδράμει τον Υπεύθυνο επεξεργασίας στη διεκπεραίωση των αιτημάτων σύμφωνα με το άρθρο 28.3.ε ΓΚΠΔ.
Marketing και newsletter
Η εγγραφή σε εμπορικές επικοινωνίες απαιτεί ρητή συγκατάθεση με double opt-in (επιβεβαίωση μέσω συνδέσμου email). Κάθε επικοινωνία περιέχει σύνδεσμο άμεσης διαγραφής. Για τους υφιστάμενους πελάτες, η Vezpa μπορεί να αποστέλλει επικοινωνίες για ανάλογα προϊόντα και υπηρεσίες σύμφωνα με το άρθρο 130.4 Ν.Δ. 196/2003 («soft opt-in»), με πάντα ενεργή τη δυνατότητα εναντίωσης.
Πώς να ασκήσετε τα δικαιώματα
Μπορείτε να ασκήσετε τα δικαιώματά σας γράφοντας στο:
Θα σας απαντήσουμε εντός 30 ημερών από την αίτηση.
Δικαίωμα καταγγελίας
Εάν θεωρείτε ότι η επεξεργασία των δεδομένων σας παραβιάζει τον ΓΚΠΔ, έχετε το δικαίωμα να υποβάλετε καταγγελία στην εποπτική αρχή:
Garante per la Protezione dei Dati Personali (ιταλική αρχή προστασίας δεδομένων, Garante)
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Τηλ: +39 06.696771
Web: www.garanteprivacy.it
Οι χρήστες στην Ελλάδα μπορούν επίσης να απευθυνθούν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).
9. Ανήλικοι
Η υπηρεσία Vezpa PMS απευθύνεται αποκλειστικά σε ενήλικα άτομα άνω των 18 ετών. Δεν συλλέγουμε εν γνώσει μας δεδομένα ανηλίκων. Εάν γονέας ή κηδεμόνας θεωρεί ότι ανήλικος έχει παράσχει προσωπικά δεδομένα, μπορεί να επικοινωνήσει μαζί μας για την άμεση διαγραφή τους.
10. Τροποποιήσεις στην Πολιτική Απορρήτου
Η παρούσα Πολιτική Απορρήτου μπορεί να τροποποιηθεί με την πάροδο του χρόνου. Κάθε ουσιαστική τροποποίηση θα γνωστοποιείται με επαρκή προειδοποίηση μέσω:
- Δημοσίευσης της νέας έκδοσης στον ιστότοπο
- Ειδοποίησης μέσω email στους εγγεγραμμένους χρήστες
- Ενημερωτικού banner στην περιοχή μελών
Η ημερομηνία της τελευταίας ενημέρωσης αναφέρεται πάντα στην κορυφή του εγγράφου.
© 2022-2026 Vezpa - Όλα τα δικαιώματα διατηρούνται |
Πολιτική Απορρήτου |
Όροι Υπηρεσίας |
Πολιτική Cookies |
ΓΚΠΔ |
DPA |
Υποεκτελούντες