Athygli: Thetta er kurteisisthyding af italska frumgagninu. Ef um er ad raeda tulkunarafbrygoi er italska utgafan radandi.
๐ Samantekt: Vezpa virdir personuvernd ykkar. Vid sofnum adeins their gogn sem naudsynleg eru til ad veita hotelstjornunarthjonustu, verjum thau med videigandi oryggisradstofunum og seljum thau aldrei til thridja adila. Vid vinnslu personuupplysinga
gesta starfar Vezpa sem
vinnsluadili (28. gr. GDPR): serstakur samningur er
DPA.
1. Abyrgdaradili vinnslunnar
Abyrgdaradili vinnslu personuupplysinga er:
Vezpa di Paolo Vezzola
Loghamilisfang: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
VSK-numer: 04449070988
Skattnumer: VZZPLA84C10D284C
Tolvupostur: [email protected]
PEC: [email protected]
2. Gildissvid
Thessi personuverndarstefna gildir um Vezpa PMS vettvanginn (vef, desktop og farsima) og thaer sidur vefsidunnar thar sem thessi tilkynning er birt.
3. Personuupplysingar sem sofnudum
3.1 Gogn notenda thjonustunnar (Rekstraradilar gististada)
Thegar thu skrair thig hja Vezpa sem rekstraradili gististadar sofnum vid:
- Nafnaupplysingar: nafn, eftirnafn, tolvupostur, simanumer
- Gogn gististadar: heiti, heimilisfang, tegund, VSK-numer
- Reikningsfaersluupplysingar: heimilisfang fyrir reikningsfaerslu, skatt-/VSK-numer, einkvaemur kodi/PEC
- Adgangsupplysingar: tolvupostur og losenord (dulkodad)
- Greidsluupplysingar: sydar i gegnum ytri PCI-DSS-vottada thjonustuveitendur (vid geymum aldrei kortagogn beint)
3.2 Gogn gesta gististada
Fyrir hond rekstraradila gististada (sem vinnsluadili i skilningi 28. gr. GDPR, stjornad af DPA) safnar kerfid:
- Audkenningarupplysingar: nafn, eftirnafn, faedingarstadur og -dagur, rikisfang, kyn
- Skilrikjaupplysingar: tegund, numer, utgafustadur og -dagur, skonnun eda ljosmynd af skilriki. Thessar myndir ma vinna med sjalfvirkri OCR til ad draga ut textagogn, an geymslu afleiddra liftolulegra gagna.
- Samskiptaupplysingar: tolvupostur, simanumer
- Bokunarupplysingar: dvalardagsetningar, fjoldi gesta, verd, fyrirkomulag
- Greidsluupplysingar: adeins ef greidsla fer fram i gegnum bokunarveitu eda Stripe-hlekk Vezpa; kortagogn eru aldrei geymd a Vezpa-netthjonum
โ ๏ธ Skilriki og serstakir flokkar (9. gr. GDPR): skilriki geta innihaldid gogn sem flokkast sem "serstok" (t.d. faedingarstad sem ma leida uppruna af). Vezpa vinnur slik gogn adeins ad thvi marki sem naudsynlegt er vegna lagalegra skuldbindinga rekstraradila gagnvart opinberum yfirvoldum, framkvaemir ekki profilun a theim og midlar theim ekki til adila umfram yfirvold og undirvinnsluadila sem talin eru upp i ยง7.
3.3 Vafragogn
- IP-tala
- Tegund vafra og taekis
- Heimsottar sidur og dvalartimi
- Styrikerfi
- Tilvisunaraddili (Referrer)
3.4 Smakokur
Vid notum taeknilegar smakokur sem eru naudsynlegar til reksturs thjonustunnar. Fyrir nanari upplysingar sja Smakokustefnu okkar.
4. Tilgangur vinnslu og lagagrundvollur
4.1 Fyrir rekstraradila gististada
| Tilgangur |
Lagagrundvollur |
| Afhending PMS-thjonustu |
Samningsefndir (gr. 6.1.b GDPR) |
| Reikningsfaersla og skattskyldur |
Lagaskylda (gr. 6.1.c GDPR) |
| Vidskiptavinathjonusta |
Samningsefndir (gr. 6.1.b GDPR) |
| Oryggi, svikavarnir, areidanleiki thjonustunnar |
Logmaetir hagsmunir (gr. 6.1.f GDPR) |
| Sending markadssetningar |
Samthykki (gr. 6.1.a GDPR) - adeins ef heimilad |
4.2 Fyrir gesti gististada
Mikilvaegt: Fyrir gogn gesta er abyrgdaradili vinnslunnar gististadurinn sjalfur. Vezpa starfar sem vinnsluadili samkvaemt skjalfestum fyrirmaelum rekstraradila gististadar, i skilningi Data Processing Agreement.
- Innritun og skraning gesta: lagaskylda (italsk TULPS-log, 109. gr., D.Lgs. 159/2011) fyrir Italiu; samsvarandi reglugerd fyrir adrar studdar thjodir
- Skyldubundnar stjornvaldstilkynningar: AlloggiatiWeb (IT-Logreglan), ISTAT (IT), PayTourist (IT-sveitarfelog), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) โ hver virkjud adeins ef gististadurinn er stadsettur i samsvarandi landi
- Utstjornun bokana og dvalar: samningsefndir (gr. 6.1.b)
- Samskipti vid OTA og channel manager: efndir bokunarsamnings (gr. 6.1.b), adeins rasir sem gististadurinn hefur virkjad
5. Vinnsluadferdir
Personuupplysingar eru unnar med rafraenum taekjum, med rokfraedi strangt tengdri tilganginum og med vidurkenningu vidhlitandi oryggisradstafana (32. gr. GDPR):
- ๐ Dulkodun i flutningi: oll gogn eru send med HTTPS/TLS 1.2+ samskiptareglu
- ๐ Losenord: geymd med oruggum hash-reikniritum (PBKDF2 Django sjalfgefid)
- ๐ Token: JWT access 15 minutur, refresh med rotation og blacklist, 2FA TOTP i bodi
- ๐ Adgangsstyring: hlutverkamidadar heimildir (stjornandi/adstodarmadur/thrifari/eftirlitsmadur), lagmarksforrettindareglan
- ๐ Afrit: framkvaemd reglulega af innvidaveitu (DigitalOcean), stadsetning innan ESB (Frankfurt)
- ๐ Hysing: DigitalOcean-netthjonar stadsettir innan Evropusambandsins (svaedi FRA1), DigitalOcean Spaces geymsla Frankfurt
- ๐ Voktun: adgangs- og forritsskrar, sjalfvirk frafallaaflestur, loka botum og skonnurum
6. Geymsla gagna
Personuupplysingar eru geymdar i strangt naudsynlegan tima:
- Gogn rekstraradila (vidskiptavinir): samningstimi + 10 ar vegna skatt- og bokhaldsskyldna
- Reikningsfaersluupplysingar: 10 ar (gr. 2220 ialsku borgaralog, skattskyldur)
- Gogn gesta (unnin af Vezpa sem vinnsluadili):
- AlloggiatiWeb-samskipti: geymslutimi akvardadur af abyrgdaradila (gististad) samkvaemt gildandi logum
- ISTAT-samskipti: samkvaemt ISTAT-reglum
- Onnur bokunargogn: samkvaemt fyrirmaelum abyrgdaradila i DPA (venjulega 10 ar vegna skattskyldu)
- Vid lok samnings vid abyrgdaradila eydir Vezpa eda skilar gognum gesta innan 30 daga, nema sjalfstaedar geymsluskyldur gildi (t.d. reikningsfaersla)
- Adgangs- og forritsskrar: allt ad 24 manudir vegna oryggis og malsvarnar (logmaetir hagsmunir)
- Auรฐkenningartoken og trausttaeki: 90 dagar fra sidustu notkun
- Gogn fyrir markadssetningu (frettabref, herferdir): thar til samthykki er afturkallad, med tveggja ara endurskodun
- Stuรฐningsmidar: samningstimi + 2 ar
7. Midlun og dreifing gagna
7.1 Vidtakendur gagna
Gogn ykkar ma midla til eftirfarandi flokka vidtakenda. Nafnalistinn yfir undirvinnsluadila, alltaf uppfaerdur, er birtur a slodinni vezpa.it/subprocessors.
Opinber yfirvold (sjalfstaedir abyrgdaradilar, lagaskylda)
- Italia: Logreglan / AlloggiatiWeb, ISTAT, sveitarfelog (i gegnum PayTourist fyrir gistigjald), Skattstofan
- Austurriki: Feratel/Meldeamt
- Spann: SES.HOSPEDAJES (Ministerio del Interior)
- Ungverjaland: NTAK
- Kroatia: eVisitor
- Portugal: SEF
- Tekkland: UbyPort
- Slovenia: eTurizem / AJPES
Hver stjornvaldstengil er virkjadur adeins ef gististadurinn er stadsettur i samsvarandi landi. Adgangsupplysingar eru stilltar af gististadnum sjalfum.
Undirvinnsluadilar (gr. 28.4 GDPR)
- Innvidir: DigitalOcean LLC (Frankfurt-netthjonn, gagnagrunnur, Spaces/CDN, Redis) โ USA/ESB med DPF og SCC
- Greidslur: Stripe Payments Europe Ltd (ESB) / Stripe Inc. (USA) โ PCI-DSS, DPF-vottad
- Vidskiptapostur og PEC: IONOS SE (DE)
- Push-tilkynningar i farsima: Google LLC โ Firebase Cloud Messaging (USA, DPF-vottad)
- Channel Manager OTA: STAAH Limited (Nyja-Sjaland) โ land med akvordun um fullnaegjandi vernd ESB (2012)
- Innkaup i appi og askrift:
- Apple Distribution International Ltd (IE) โ ESB-eining; allir flutningar til Apple Inc. (USA) styrast af SCC 2021/914 (Apple tekur ekki thatt i DPF)
- Google Ireland Ltd / Google LLC (USA, virk DPF-vottun)
- Microsoft Ireland / Microsoft Corp. (USA, virk DPF-vottun)
- Snjallskrar (valfrjalst, ef virkjad): Tuya Smart (CN) โ ESB SCC og vidbotarradstafanir
- Fagradgjafar: endurskodandi, logfraedingur, UT-radgjafar, tilnefndir sem Vinnsluadilar eda sjalfstaedir Abyrgdaradilar eftir thorf
OTA (sjalfstaedir Abyrgdaradilar vegna sambands vid ferdamann)
- Booking.com, Airbnb, Expedia, VRBO, Agoda og um 55 adrar rasir tengdar i gegnum STAAH: bokunargogn flaeda samkvaemt samningi milli gististadar og OTA
7.2 Gagnaflutningur utan ESB
Sumar vinnslur fela i ser flutning personuupplysinga ut fyrir Evropusambandid. I ollum tilvikum eru abyrgdir i V. kafla GDPR nytar:
- USA โ EU-U.S. Data Privacy Framework (akvordun (ESB) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, virkar vottanir i Framework (sannreyna a dataprivacyframework.gov/list)
- USA โ stadlad samningsakvaedi (SCC 2021/914): Apple Inc. โ Apple tekur ekki thatt i DPF; samningssamband fyrir notendur i ESB er vid Apple Distribution International Ltd (Irland), og allir flutningar til Apple Inc. (USA) fara fram med SCC og innri Apple-radstofunum
- Nyja-Sjaland โ Akvordun um fullnaegjandi vernd (Akvordun ESB 2013/65): STAAH Limited
- Kina (valfrjalst) โ Standardsamningsakvaedi (SCC) 2021/914 + vidbotarradstafanir: Tuya Smart, adeins fyrir gististadi sem virkja snjallskrar
- Fyrir alla flutninga an virks DPF eda fullnaegjandi verndar nytir Vezpa ESB SCC 2021/914 og, thar sem vid a, skjalfestan Transfer Impact Assessment (TIA)
7.3 Dreifing
Personuupplysingar eru ekki dreifdar (ekki midladar til oakvedinna adila) og eru ekki seldar.
8. Rettindi skrads einstaklings
Samkvaemt greinum 15-22 GDPR hafid their rett til:
- ๐ง Adgangs (gr. 15): fa stadfestingu a tilvist gagna ykkar og afrit
- โ๏ธ Leidrettingar (gr. 16): leidretta ranga eda oloknar upplysingar
- ๐๏ธ Eydingar (gr. 17): fa gogn eydd (rettur til ad gleymast) thegar forsendur eru fyrir hendi
- โธ๏ธ Takmarkanir (gr. 18): takmarka vinnslu vid akvednar adstaedur
- ๐ค Flytjanleika (gr. 20): fa gogn i skipulogdu formi og flytja til annars abyrgdaradila
- ๐ซ Mottmaela (gr. 21): mottmaela vinnslu af logmaetum astaedum
- โ Afturkoldum samthykkis: afturkalla samthykki fyrir markadssetningu hvenaer sem er
โ ๏ธ Mikilvaeg athugasemd: Fyrir gogn gesta skal beita thessum rettindum hja gististadnum (sem er Abyrgdaradili vinnslunnar), ekki beint hja Vezpa. Vezpa, sem Vinnsluadili, adstodar Abyrgdaradila vid afgreidslu beidna samkvaemt gr. 28.3.e GDPR.
Markadssetning og frettabref
Askrift af vidskiptatilkynningum krefst skyrs samthykkis med tvofoldu opt-in (stadfesting i gegnum tolvupostshlekk). Hver tilkynning inniheldur hnapp til tafarlausrar afskraningar. Fyrir nuverandi vidskiptavini getur Vezpa sent tilkynningar um samsvarandi vorur og thjonustu samkvaemt gr. 130.4 D.Lgs. 196/2003 ("soft opt-in"), med sifellt virkum moguleika a ad mottmaela.
Hvernig a ad nyta rettindi
Thu getur nytt rettindi thin med thvi ad skrifa til:
Vid svorum innan 30 daga fra beidni.
Kvortunarrettur
Ef thu telur ad vinnsla gagna thinna brjoti i baga vid GDPR, hefurdu rett til ad leggja fram kvortun til eftirlitsyfirvalds:
Garante per la Protezione dei Dati Personali (italska personuverndarstofnunin)
Piazza Venezia, 11 - 00187 Roma
Tolvupostur: [email protected]
PEC: [email protected]
Simi: +39 06.696771
Vefur: www.garanteprivacy.it
Notendur a Islandi geta einnig haft samband vid Personuvernd (www.personuvernd.is).
9. Ungmenni
Vezpa PMS thjonustan er adeins aetlud einstaklingum eldri en 18 ara. Vid sofnum ekki vitandi gognum um ungmenni. Ef foreldri eda forsjaradili telur ad ungmenni hafi latid i te personuupplysingar getur hann haft samband vid okkur til tafarlausrar eydingar.
10. Breytingar a personuverndarstefnu
Thessi personuverndarstefna kann ad breytast med timanum. Efnislegar breytingar verda tilkynntar med fullnaegjandi fyrirvara i gegnum:
- Birtingu nyjustu utgafu a vefsidunni
- Tilkynningu i tolvuposti til skradra notenda
- Upplysingaborda a einkasvaedi
Dagsetning sidustu uppfaerslu er alltaf skraa efst i skjalinu.
ยฉ 2022-2026 Vezpa - Oll rettindi askilin |
Personuverndarstefna |
Thjonustuskilmalar |
Smakokustefna |
GDPR |
DPA |
Undirvinnsluadilar