Personvernerklaering

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysningene er:

Vezpa di Paolo Vezzola
Forretningsadresse: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
MVA-nr.: 04449070988
Skattekode: VZZPLA84C10D284C
E-post: [email protected]
Sertifisert e-post (PEC): [email protected]

2. Virkeomraade

Denne personvernerklaeringen gjelder for Vezpa PMS-plattformen (web, desktop og mobil) og for de sidene paa nettstedet hvor denne erklaeringen er publisert.

3. Innsamlede personopplysninger

3.1 Data om tjenestens brukere (driftsansvarlige for innkvarteringssteder)

Naar De registrerer Dem hos Vezpa som driftsansvarlig for et innkvarteringssted, samler vi inn:

Personopplysninger: fornavn, etternavn, e-post, telefonnummer
Opplysninger om virksomheten: navn, adresse, type, MVA-nr.
Faktureringsopplysninger: fakturaadresse, skattekode/MVA-nr., unik kode/PEC
Tilgangslegitimasjon: e-post og passord (kryptert)
Betalingsopplysninger: behandles gjennom eksterne PCI-DSS-sertifiserte leverandoerer (vi lagrer ikke direkte kredittkortdata)

3.2 Data om gjestene paa innkvarteringsstedene

Paa vegne av de driftsansvarlige for innkvarteringsstedene (som Databehandler i henhold til art. 28 GDPR, regulert av DPA) samler systemet inn:

Identifikasjonsdata: fornavn, etternavn, foedested og foedselsdato, statsborgerskap, kjoenn
Legitimasjonsdokumenter: type, nummer, utstedelsessted og -dato, skanning eller fotografi av dokumentet. Slike bilder kan behandles med automatisk OCR for uttrekk av tekstdata, uten lagring av avledede biometriske data.
Kontaktopplysninger: e-post, telefonnummer
Bestillingsopplysninger: oppholdsdatoer, antall gjester, priser, pensjon
Betalingsopplysninger: kun hvis betalingen skjer gjennom Vezpas booking engine eller Stripe-lenke; kortdata lagres aldri paa Vezpas servere

            ⚠️ Legitimasjonsdokumenter og saerlige kategorier (art. 9 GDPR): legitimasjonsdokumenter kan inneholde data som kan kvalifisere som "saerlige kategorier" (f.eks. foedested som kan avsloere etnisk opprinnelse). Vezpa behandler slike data kun i den grad det er strengt noedvendig for den driftsansvarliges lovpaalagte forpliktelser overfor offentlige myndigheter, foretar ikke profilering paa grunnlag av dem og meddeler dem ikke til andre enn myndighetene og underdatabehandlerne oppfoert i §7.
        

3.3 Navigasjonsdata

IP-adresse
Type nettleser og enhet
Besoekte sider og oppholdstid
Operativsystem
Referrer (henvisningskilde)

3.4 Informasjonskapsler

Vi bruker tekniske informasjonskapsler som er noedvendige for tjenestens funksjon. For mer informasjon, se vaar Erklaering om informasjonskapsler.

4. Formaal med behandlingen og rettslig grunnlag

4.1 For driftsansvarlige for innkvarteringssteder

Formaal	Rettslig grunnlag
Levering av PMS-tjenesten	Oppfyllelse av avtale (art. 6.1.b GDPR)
Fakturering og skatterettslige forpliktelser	Rettslig forpliktelse (art. 6.1.c GDPR)
Kundestoette	Oppfyllelse av avtale (art. 6.1.b GDPR)
Sikkerhet, svindelforebygging, tjenestens paalitelighet	Berettiget interesse (art. 6.1.f GDPR)
Utsendelse av markedsfoeringskommunikasjon	Samtykke (art. 6.1.a GDPR) - kun dersom tillatt

4.2 For gjestene paa innkvarteringsstedene

Viktig: For gjestenes data er innkvarteringsstedet behandlingsansvarlig. Vezpa opptrer som Databehandler etter dokumenterte instruksjoner fra den driftsansvarlige, i henhold til Databehandleravtalen.

Innsjekk og gjesteregistrering: rettslig forpliktelse (italienske TULPS-loven, art. 109, D.Lgs. 159/2011) for Italia; tilsvarende regelverk for de oevrige stoettede statene
Obligatorisk myndighetskommunikasjon: AlloggiatiWeb (IT-politiet), ISTAT (IT), PayTourist (IT-kommuner), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — hver aktiveres kun dersom innkvarteringsstedet er hjemmehoerende i tilsvarende stat
Administrasjon av bestilling og opphold: oppfyllelse av avtale (art. 6.1.b)
Kommunikasjon til OTA og channel manager: oppfyllelse av bestillingsavtalen (art. 6.1.b), kun kanaler aktivert av innkvarteringsstedet

5. Behandlingsmaate

Personopplysninger behandles med elektroniske verktoey, med logikk strengt knyttet til formaalene, og ved bruk av egnede sikkerhetstiltak (art. 32 GDPR):

🔐 Kryptering under overfoering: alle data overfoeres via HTTPS/TLS 1.2+-protokollen
🔐 Passord: lagres med sikre hash-algoritmer (PBKDF2 Django standard)
🔐 Tokens: JWT access 15 minutter, refresh med rotasjon og svarteliste, 2FA TOTP tilgjengelig
🔐 Tilgangskontroll: rollebaserte tillatelser (direktoer/assistent/husholderske/observatoer), prinsippet om minste privilegium
🔐 Sikkerhetskopier: utfoeres jevnlig av infrastrukturleverandoeren (DigitalOcean), plassering i EU (Frankfurt)
🔐 Hosting: DigitalOcean-servere plassert i Den europeiske union (region FRA1), lagring DigitalOcean Spaces Frankfurt
🔐 Overvaakning: tilgangs- og applikasjonslogger, automatisk avviksdeteksjon, blokkering av bots og skannere

6. Oppbevaring av data

Personopplysninger oppbevares kun saa lenge det er strengt noedvendig:

Data om driftsansvarlige (kunder): kontraktens varighet + 10 aar for skatte- og regnskapsmessige forpliktelser
Faktureringsdata: 10 aar (art. 2220 italiensk sivillov, skatterettslig forpliktelse)
Data om gjester (behandlet av Vezpa som Databehandler):
- Kommunikasjon med AlloggiatiWeb: oppbevaringsperioden fastsettes av den Behandlingsansvarlige (innkvarteringsstedet) etter gjeldende regelverk
- ISTAT-kommunikasjon: i henhold til ISTAT-regelverk
- Oevrige bestillingsdata: etter den Behandlingsansvarliges instruksjoner i DPA (typisk 10 aar av skattemessige grunner)
- Ved opphoer av avtalen med den Behandlingsansvarlige sletter eller returnerer Vezpa gjestedata innen 30 dager, med mindre det foreligger selvstendige oppbevaringsforpliktelser (f.eks. fakturering)
Tilgangs- og applikasjonslogger: opptil 24 maaneder av sikkerhetsmessige og rettsforsvarsmessige grunner (berettiget interesse)
Autentiseringstokens og betrodde enheter: 90 dager fra siste bruk
Data for markedsfoering (nyhetsbrev, kampanjer): inntil samtykket trekkes tilbake, med toaarlig gjennomgang
Kundestoette-billetter: kontraktens varighet + 2 aar

7. Formidling og utlevering av data

7.1 Mottakere av data

Deres data kan formidles til foelgende kategorier av mottakere. Den alltid oppdaterte navnelisten over underdatabehandlere er publisert paa vezpa.it/subprocessors.

Offentlige myndigheter (selvstendige behandlingsansvarlige, rettslig forpliktelse)

Italia: Politiet / AlloggiatiWeb, ISTAT, Kommuner (via PayTourist for turistskatt), Skatteetaten (Agenzia delle Entrate)
OEsterrike: Feratel/Meldeamt
Spania: SES.HOSPEDAJES (Ministerio del Interior)
Ungarn: NTAK
Kroatia: eVisitor
Portugal: SEF
Tsjekkia: UbyPort
Slovenia: eTurizem / AJPES

Hver myndighetskonnektor aktiveres kun dersom innkvarteringsstedet er hjemmehoerende i tilsvarende stat. Legitimasjonen konfigureres av innkvarteringsstedet selv.

Underdatabehandlere (art. 28.4 GDPR)

Infrastruktur: DigitalOcean LLC (Frankfurt-servere, database, Spaces/CDN, Redis) — USA/EU med DPF og SCC
Betalinger: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) — PCI-DSS, DPF-sertifisert
Transaksjonell e-post og PEC: IONOS SE (DE)
Push-varsler mobil: Google LLC — Firebase Cloud Messaging (USA, DPF-sertifisert)
Channel Manager OTA: STAAH Limited (New Zealand) — land med EU-tilstrekkelighetsbeslutning (2012)
In-app purchase og abonnementer:
- Apple Distribution International Ltd (IE) — EU-enhet; eventuelle overfoeringer til Apple Inc. (USA) reguleres av SCC 2021/914 (Apple deltar ikke i DPF)
- Google Ireland Ltd / Google LLC (USA, aktiv DPF-sertifisering)
- Microsoft Ireland / Microsoft Corp. (USA, aktiv DPF-sertifisering)
Smartlaaser (valgfritt, dersom aktivert): Tuya Smart (CN) — EU SCC og supplerende tiltak
Profesjonelle raadgivere: regnskapsfoerer, advokat, IT-konsulenter, utnevnt som Databehandlere eller selvstendige Behandlingsansvarlige etter behov

OTA (selvstendige behandlingsansvarlige for forholdet til den reisende)

Booking.com, Airbnb, Expedia, VRBO, Agoda og ca. 55 andre kanaler tilkoblet via STAAH: bestillingsdata formidles i henhold til avtalen mellom innkvarteringsstedet og OTA-en

7.2 Overfoering av data utenfor EU

Enkelte behandlinger medfoerer overfoering av personopplysninger utenfor Den europeiske union. I alle tilfeller er det iverksatt garantier i henhold til GDPR kapittel V:

USA — EU-U.S. Data Privacy Framework (Beslutning (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktive sertifiseringer i rammeverket (kontrolleres paa dataprivacyframework.gov/list)
USA — Standardkontraktklausuler (SCC) 2021/914: Apple Inc. — Apple deltar ikke i DPF; kontraktsforholdet for EU-brukere er med Apple Distribution International Ltd (Irland), og eventuelle overfoeringer til Apple Inc. (USA) skjer ved bruk av SCC og Apples interne mekanismer
New Zealand — Tilstrekkelighetsbeslutning (EU-beslutning 2013/65): STAAH Limited
Kina (valgfritt) — Standardkontraktklausuler (SCC) 2021/914 + supplerende tiltak: Tuya Smart, kun for innkvarteringssteder som aktiverer smartlaaser
For hver overfoering uten aktiv DPF eller tilstrekkelighet anvender Vezpa EU SCC 2021/914 og, naar aktuelt, dokumentert Transfer Impact Assessment (TIA)

7.3 Utlevering

Personopplysninger er ikke gjenstand for utlevering (formidling til ubestemte subjekter) og blir ikke solgt.

8. De registrertes rettigheter

I henhold til GDPR-artiklene 15-22 har De rett til:

📧 Innsyn (art. 15): faa bekreftelse paa at Deres data eksisterer og motta kopi av dem
✏️ Retting (art. 16): rette uriktige eller ufullstendige data
🗑️ Sletting (art. 17): faa slettet data (retten til a bli glemt) naar forutsetningene foreligger
⏸️ Begrensning (art. 18): begrense behandlingen paa visse vilkaar
📤 Dataportabilitet (art. 20): motta data i et strukturert format og overfoere dem til en annen behandlingsansvarlig
🚫 Innsigelse (art. 21): motsette Dem behandlingen av legitime grunner
❌ Trekke samtykke: naar som helst trekke tilbake samtykke til markedsfoering

            ⚠️ Viktig merknad: For gjestenes data skal disse rettighetene utoeves overfor innkvarteringsstedet (som er Behandlingsansvarlig), ikke direkte overfor Vezpa. Vezpa bistaar som Databehandler den Behandlingsansvarlige med behandling av henvendelsene i henhold til art. 28.3.e GDPR.
        

Markedsfoering og nyhetsbrev

Paamelding til markedsfoeringskommunikasjon krever uttrykkelig samtykke med dobbelt opt-in (bekreftelse via e-postlenke). Hver melding inneholder en lenke for umiddelbar avmelding. Overfor eksisterende kunder kan Vezpa sende meldinger om tilsvarende produkter og tjenester i henhold til art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), med alltid aktiv mulighet til a motsette seg dette.

Hvordan utoeve rettighetene

De kan utoeve Deres rettigheter ved a skrive til:

📧 E-post: [email protected]
✉️ PEC: [email protected]
📮 Rekommandert brev til adressen oevst paa siden

Vi svarer innen 30 dager fra forespoerselen mottas.

Klageadgang

Dersom De mener at behandlingen av Deres data bryter med GDPR, har De rett til a klage til tilsynsmyndigheten:

Italiensk datatilsynsmyndighet (Garante per la Protezione dei Dati Personali)
Piazza Venezia, 11 - 00187 Roma
E-post: [email protected]
PEC: [email protected]
Tlf.: +39 06.696771
Web: www.garanteprivacy.it

Brukere i Norge kan ogsaa henvende seg til Datatilsynet (www.datatilsynet.no).

9. Mindreaarige

Vezpa PMS-tjenesten er utelukkende rettet mot personer over 18 aar. Vi samler ikke bevisst inn data om mindreaarige. Dersom en forelder eller verge mener at en mindreaarig har oppgitt personopplysninger, kan de kontakte oss for umiddelbar sletting.

10. Endringer i personvernerklaeringen

Denne personvernerklaeringen kan endres over tid. Enhver vesentlig endring vil bli meddelt med passende varsel gjennom:

Publisering av den nye versjonen paa nettstedet
E-postvarsel til registrerte brukere
Informasjonsbanner i det private omraadet

Dato for siste oppdatering er alltid angitt oevst i dokumentet.

PERSONVERNERKLAERING