Obavijest: Ovo je prijevod iz ljubaznosti talijanskog izvornika. U slucaju sukoba ili dvosmislenosti, prevladava talijanska verzija.
Ukratko: Vezpa postuje Vasu privatnost. Prikupljamo samo podatke potrebne za pruzanje usluge upravljanja smjestajnim objektima, stitimo ih odgovarajucim sigurnosnim mjerama i nikada ih ne prodajemo trecim stranama. Za obradu podataka
gostiju Vezpa djeluje kao
Izvrsitelj obrade (cl. 28. GDPR-a): posebni ugovor je
DPA.
1. Voditelj obrade
Voditelj obrade osobnih podataka je:
Vezpa di Paolo Vezzola
Sjediste: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italija
PDV broj: 04449070988
OIB: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]
2. Podrucje primjene
Ova Pravila privatnosti primjenjuju se na platformu Vezpa PMS (web, desktop i mobile) te na stranice web-mjesta na kojima je ova obavijest objavljena.
3. Osobni podaci koji se prikupljaju
3.1 Podaci korisnika usluge (Upravitelji objekata)
Kada se registrirate na Vezpa kao upravitelj smjestajnog objekta, prikupljamo:
- Osobni podaci: ime, prezime, email, telefonski broj
- Podaci o objektu: naziv, adresa, vrsta, PDV broj
- Podaci za naplatu: adresa za fakturiranje, OIB/PDV broj, jedinstveni kod/PEC
- Pristupni podaci: email i lozinka (kriptirana)
- Podaci o placanju: obraduju se putem vanjskih pruzatelja certificiranih prema PCI-DSS-u (podatke o kreditnim karticama ne pohranjujemo izravno)
3.2 Podaci gostiju objekata
U ime upravitelja objekata (u svojstvu Izvrsitelja obrade sukladno cl. 28. GDPR-a, regulirano DPA-om), sustav prikuplja:
- Identifikacijski podaci: ime, prezime, mjesto i datum rodenja, drzavljanstvo, spol
- Identifikacijske isprave: vrsta, broj, mjesto i datum izdavanja, skeniranje ili fotografija isprave. Te se slike mogu obraditi automatskim OCR-om radi ekstrakcije tekstualnih podataka, bez pohrane izvedenih biometrijskih podataka.
- Podaci za kontakt: email, telefonski broj
- Podaci o rezervaciji: datumi boravka, broj gostiju, cijene, usluga
- Podaci o placanju: samo ako se placanje obavlja putem Vezpinog booking enginea ili Stripe linka; podaci o kartici nikada se ne pohranjuju na Vezpinim posluziteljima
Identifikacijske isprave i posebne kategorije (cl. 9. GDPR-a): identifikacijske isprave mogu sadrzavati podatke koji se mogu kvalificirati kao "posebni" (npr. mjesto rodenja iz kojeg se moze zakljuciti etnicko podrijetlo). Vezpa te podatke obraduje samo u mjeri strogo nuznoj za zakonske obveze upravitelja prema javnim tijelima, ne provodi profiliranje na njima i ne prosljeduje ih subjektima razlicitim od tijela i podizvrsitelja navedenih u odjeljku 7.
3.3 Podaci o navigaciji
- IP adresa
- Vrsta preglednika i uredaja
- Posjecene stranice i vrijeme zadrzavanja
- Operativni sustav
- Referrer (izvor dolaska)
3.4 Kolacici
Koristimo tehnicke kolacice nuzne za funkcioniranje usluge. Za vise detalja pogledajte nasa Pravila o kolacicima.
4. Svrhe obrade i pravna osnova
4.1 Za upravitelje objekata
| Svrha |
Pravna osnova |
| Pruzanje PMS usluge |
Izvrsenje ugovora (cl. 6.1.b GDPR-a) |
| Fakturiranje i porezne obveze |
Zakonska obveza (cl. 6.1.c GDPR-a) |
| Korisnicka podrska |
Izvrsenje ugovora (cl. 6.1.b GDPR-a) |
| Sigurnost, sprjecavanje prijevara, pouzdanost usluge |
Legitimni interes (cl. 6.1.f GDPR-a) |
| Slanje marketinskih komunikacija |
Privola (cl. 6.1.a GDPR-a) - samo ako je odobrena |
4.2 Za goste objekata
Vazno: Za podatke gostiju, Voditelj obrade je smjestajni objekt. Vezpa djeluje kao Izvrsitelj obrade na temelju dokumentiranih uputa upravitelja objekta, sukladno Ugovoru o obradi osobnih podataka (DPA).
- Prijava i registracija gostiju: zakonska obveza (talijanski zakon TULPS, cl. 109, D.Lgs. 159/2011) za Italiju; ekvivalentni propisi za druge podrzane drzave
- Obvezne komunikacije s javnim tijelima: AlloggiatiWeb (IT-Policija), ISTAT (IT), PayTourist (IT-Opcine), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - svaka se aktivira samo ako objekt ima sjediste u odgovarajucoj drzavi
- Upravljanje rezervacijom i boravkom: izvrsenje ugovora (cl. 6.1.b)
- Komunikacije s OTA i channel managerima: izvrsenje ugovora o rezervaciji (cl. 6.1.b), samo kanali koje je objekt aktivirao
5. Nacin obrade
Osobni podaci obraduju se elektronickim sredstvima, logikama usko povezanima sa svrhama i uz primjenu odgovarajucih sigurnosnih mjera (cl. 32. GDPR-a):
- Enkripcija u prijenosu: svi podaci prenose se protokolom HTTPS/TLS 1.2+
- Lozinke: pohranjene sigurnim algoritmima hashiranja (PBKDF2 Django default)
- Tokeni: JWT access 15 minuta, refresh s rotacijom i blacklistom, dostupna 2FA TOTP
- Kontrola pristupa: ovlastenja temeljena na ulozi (direktor/asistent/domacica/promatrac), nacelo minimalne ovlasti
- Sigurnosne kopije: redovito izvodi pruzatelj infrastrukture (DigitalOcean), lokacija u EU (Frankfurt)
- Hosting: DigitalOcean posluzitelji smjesteni u Europskoj uniji (regija FRA1), pohrana DigitalOcean Spaces Frankfurt
- Nadzor: pristupni i aplikacijski dnevnici, automatizirano otkrivanje anomalija, blokiranje botova i skenera
6. Cuvanje podataka
Osobni podaci cuvaju se onoliko dugo koliko je strogo potrebno:
- Podaci upravitelja (klijenata): trajanje ugovora + 10 godina za porezne i racunovodstvene obveze
- Podaci za naplatu: 10 godina (cl. 2220. talijanskog Gradanskog zakonika, porezna obveza)
- Podaci gostiju (koje Vezpa obraduje kao Izvrsitelj):
- Komunikacije AlloggiatiWeb: razdoblje cuvanja utvrduje Voditelj obrade (objekt) sukladno primjenjivim propisima
- ISTAT komunikacije: sukladno ISTAT propisima
- Ostali podaci o rezervaciji: sukladno uputama Voditelja obrade u DPA-u (tipicno 10 godina za porezne svrhe)
- Po prestanku ugovora s Voditeljem obrade, Vezpa brise ili vraca podatke gostiju u roku od 30 dana, osim samostalnih obveza cuvanja (npr. fakturiranje)
- Pristupni i aplikacijski dnevnici: do 24 mjeseca u svrhu sigurnosti i obrane u postupku (legitimni interes)
- Autentifikacijski tokeni i povjereni uredaji: 90 dana od posljednje uporabe
- Podaci za marketing (newsletter, kampanje): do opoziva privole, uz dvogodisnju reviziju
- Tiketi za podrsku: trajanje ugovora + 2 godine
7. Priopcavanje i sirenje podataka
7.1 Primatelji podataka
Vasi podaci mogu se priopciti sljedecim kategorijama primatelja. Azurirani imenski popis podizvrsitelja obrade objavljen je na vezpa.it/subprocessors.
Javna tijela (samostalni Voditelji obrade, zakonska obveza)
- Italija: Policija / AlloggiatiWeb, ISTAT, Opcine (putem PayTourist za boravisnu pristojbu), Porezna uprava
- Austrija: Feratel/Meldeamt
- Spanjolska: SES.HOSPEDAJES (Ministerio del Interior)
- Madarska: NTAK
- Hrvatska: eVisitor
- Portugal: SEF
- Ceska: UbyPort
- Slovenija: eTurizem / AJPES
Svaki se vladin konektor aktivira samo ako objekt ima sjediste u odgovarajucoj drzavi. Vjerodajnice konfigurira sam objekt.
Podizvrsitelji obrade (cl. 28.4 GDPR-a)
- Infrastruktura: DigitalOcean LLC (posluzitelji Frankfurt, baza podataka, Spaces/CDN, Redis) - SAD/EU s DPF-om i SCC-om
- Placanja: Stripe Payments Europe Ltd (EU) / Stripe Inc. (SAD) - PCI-DSS, DPF certificirano
- Transakcijski email i PEC: IONOS SE (DE)
- Mobilne push obavijesti: Google LLC - Firebase Cloud Messaging (SAD, DPF certificirano)
- Channel Manager OTA: STAAH Limited (Novi Zeland) - drzava s odlukom EU-a o primjerenosti (2012.)
- In-app kupnje i pretplate:
- Apple Distribution International Ltd (IE) - EU subjekt; eventualni prijenosi prema Apple Inc. (SAD) regulirani su SCC 2021/914 (Apple ne sudjeluje u DPF-u)
- Google Ireland Ltd / Google LLC (SAD, aktivna DPF certifikacija)
- Microsoft Ireland / Microsoft Corp. (SAD, aktivna DPF certifikacija)
- Pametne brave (opcionalno, ako se aktiviraju): Tuya Smart (CN) - EU SCC i dopunske mjere
- Strucni savjetnici: racunovoda, odvjetnik, IT konzultanti, imenovani kao Izvrsitelji ili samostalni Voditelji obrade prema potrebi
OTA (samostalni Voditelji obrade za odnos s putnikom)
- Booking.com, Airbnb, Expedia, VRBO, Agoda i oko 55 drugih kanala povezanih putem STAAH-a: podaci o rezervaciji prolaze temeljem ugovora izmedu objekta i OTA-e
7.2 Prijenos podataka izvan EU
Neke obrade ukljucuju prijenose osobnih podataka izvan Europske unije. U svim se slucajevima primjenjuju jamstva sukladno Poglavlju V. GDPR-a:
- SAD - EU-U.S. Data Privacy Framework (Odluka (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktivne certifikacije u okviru (provjera na dataprivacyframework.gov/list)
- SAD - Standardne ugovorne klauzule (SCC) 2021/914: Apple Inc. - Apple ne sudjeluje u DPF-u; ugovorni odnos za korisnike u EU je s Apple Distribution International Ltd (Irska), a eventualni prijenosi prema Apple Inc. (SAD) odvijaju se putem SCC-a i internih Apple mehanizama
- Novi Zeland - Odluka o primjerenosti (Odluka EU 2013/65): STAAH Limited
- Kina (opcionalno) - Standardne ugovorne klauzule (SCC) 2021/914 + dopunske mjere: Tuya Smart, samo za objekte koji aktiviraju pametne brave
- Za svaki prijenos u odsutnosti aktivnog DPF-a ili primjerenosti, Vezpa primjenjuje EU SCC 2021/914 i, gdje je primjenjivo, dokumentiranu Transfer Impact Assessment (TIA)
7.3 Sirenje
Osobni podaci ne podlijezu sirenju (priopcavanju neodredenim subjektima) i ne prodaju se.
8. Prava ispitanika
Sukladno clancima 15.-22. GDPR-a, imate pravo na:
- Pristup (cl. 15.): dobivanje potvrde o postojanju Vasih podataka i primanje kopije
- Ispravak (cl. 16.): ispravljanje netocnih ili nepotpunih podataka
- Brisanje (cl. 17.): postizanje brisanja podataka (pravo na zaborav) kada postoje pretpostavke
- Ogranicenje (cl. 18.): ogranicenje obrade u odredenim uvjetima
- Prenosivost (cl. 20.): primanje podataka u strukturiranom obliku i prijenos drugom voditelju obrade
- Prigovor (cl. 21.): ulaganje prigovora na obradu iz legitimnih razloga
- Opoziv privole: opoziv privole za marketing u bilo kojem trenutku
Vazna napomena: Za podatke gostiju ova se prava moraju ostvariti prema smjestajnom objektu (koji je Voditelj obrade), a ne izravno prema Vezpi. Vezpa, kao Izvrsitelj, pomaze Voditelju obrade u obradi zahtjeva sukladno cl. 28.3.e GDPR-a.
Marketing i newsletter
Prijava na komercijalne komunikacije zahtijeva izricitu privolu s dvostrukim opt-inom (potvrda putem email linka). Svaka komunikacija sadrzi link za trenutnu odjavu. Za postojece klijente, Vezpa moze slati komunikacije o slicnim proizvodima i uslugama sukladno cl. 130.4 D.Lgs. 196/2003 ("soft opt-in"), s uvijek aktivnom mogucnoscu prigovora.
Kako ostvariti prava
Svoja prava mozete ostvariti pisuci na:
Odgovorit cemo u roku od 30 dana od zahtjeva.
Pravo na prigovor
Ako smatrate da obrada Vasih podataka krsi GDPR, imate pravo podnijeti prigovor nadzornom tijelu:
Garante per la Protezione dei Dati Personali (talijansko tijelo za zastitu podataka - Garante)
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it
Korisnici u Hrvatskoj mogu se obratiti i Agenciji za zastitu osobnih podataka - AZOP (www.azop.hr).
9. Maloljetnici
Usluga Vezpa PMS namijenjena je iskljucivo osobama starijima od 18 godina. Ne prikupljamo svjesno podatke maloljetnika. Ako roditelj ili skrbnik smatra da je maloljetnik dao osobne podatke, moze nas kontaktirati radi njihova trenutnog brisanja.
10. Izmjene Pravila privatnosti
Ova se Pravila privatnosti mogu mijenjati tijekom vremena. Svaka bitna izmjena bit ce priopcena uz odgovarajucu najavu putem:
- Objave nove verzije na web-mjestu
- Obavijesti putem emaila registriranim korisnicima
- Informativnog bannera u korisnickom podrucju
Datum posljednjeg azuriranja uvijek je naznacen na vrhu dokumenta.
© 2022-2026 Vezpa - Sva prava pridrzana |
Pravila privatnosti |
Uvjeti usluge |
Pravila o kolacicima |
GDPR |
DPA |
Podizvrsitelji