Polityka prywatnosci

1. Administrator danych

Administratorem danych osobowych jest:

Vezpa di Paolo Vezzola
Siedziba: Via San Zeno 67, 25015 Desenzano del Garda (BS), Wlochy
NIP (P.IVA): 04449070988
Kod podatkowy (C.F.): VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]

2. Zakres zastosowania

Niniejsza Polityka prywatnosci ma zastosowanie do platformy Vezpa PMS (wersja webowa, desktopowa i mobilna) oraz do stron serwisu internetowego, na ktorych opublikowano niniejsza informacje.

3. Gromadzone dane osobowe

3.1 Dane uzytkownikow uslugi (zarzadcy obiektow)

Gdy rejestruja sie Panstwo w Vezpa jako zarzadcy obiektow noclegowych, gromadzimy:

Dane osobowe: imie, nazwisko, email, numer telefonu
Dane obiektu: nazwa, adres, typ, numer NIP
Dane do fakturowania: adres rozliczeniowy, kod podatkowy/NIP, kod unikalny/PEC
Dane dostepowe: email i haslo (zaszyfrowane)
Dane platnicze: obslugiwane przez zewnetrznych dostawcow certyfikowanych PCI-DSS (nie przechowujemy bezposrednio danych kart kredytowych)

3.2 Dane gosci obiektow

W imieniu zarzadcow obiektow (jako Podmiot przetwarzajacy w rozumieniu art. 28 RODO, regulowane przez DPA) system gromadzi:

Dane identyfikacyjne: imie, nazwisko, miejsce i data urodzenia, obywatelstwo, plec
Dokumenty tozsamosci: rodzaj, numer, miejsce i data wydania, skan lub zdjecie dokumentu. Obrazy te moga byc przetwarzane za pomoca automatycznego OCR w celu wyodrebnienia danych tekstowych, bez przechowywania pochodnych danych biometrycznych.
Dane kontaktowe: email, numer telefonu
Dane rezerwacji: daty pobytu, liczba gosci, stawki, wyzywienie
Dane platnicze: wylacznie gdy platnosc odbywa sie za posrednictwem silnika rezerwacyjnego lub linku Stripe Vezpa; dane karty nigdy nie sa przechowywane na serwerach Vezpa

            ⚠️ Dokumenty tozsamosci i szczegolne kategorie danych (art. 9 RODO): dokumenty tozsamosci moga zawierac dane kwalifikowane jako "szczegolne" (np. miejsce urodzenia, z ktorego mozna wywnioskowac pochodzenie etniczne). Vezpa przetwarza takie dane wylacznie w zakresie scisle niezbednym do obowiazkow prawnych zarzadcy wobec organow publicznych, nie prowadzi na ich podstawie profilowania i nie udostepnia ich podmiotom innym niz organy oraz dalsze podmioty przetwarzajace wymienione w §7.
        

3.3 Dane nawigacyjne

Adres IP
Typ przegladarki i urzadzenia
Odwiedzone strony i czas spedzony na nich
System operacyjny
Referrer (zrodlo odwiedzin)

3.4 Pliki cookie

Korzystamy z technicznych plikow cookie niezbednych do funkcjonowania uslugi. Wiecej informacji w naszej Polityce plikow cookie.

4. Cele przetwarzania i podstawa prawna

4.1 Dla zarzadcow obiektow

Cel	Podstawa prawna
Swiadczenie uslugi PMS	Wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Fakturowanie i obowiazki podatkowe	Obowiazek prawny (art. 6 ust. 1 lit. c RODO)
Obsluga klienta	Wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Bezpieczenstwo, zapobieganie oszustwom, niezawodnosc uslugi	Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)
Wysylka komunikatow marketingowych	Zgoda (art. 6 ust. 1 lit. a RODO) - tylko gdy upowazniono

4.2 Dla gosci obiektow

Wazne: W odniesieniu do danych gosci Administratorem danych jest obiekt noclegowy. Vezpa dziala jako Podmiot przetwarzajacy na podstawie udokumentowanych polecen zarzadcy obiektu, zgodnie z Umowa powierzenia przetwarzania danych (DPA).

Zameldowanie i rejestracja gosci: obowiazek prawny (wloska ustawa TULPS, art. 109, D.Lgs. 159/2011) dla Wloch; rownowazne przepisy dla innych obslugiwanych panstw
Obowiazkowa komunikacja rzadowa: AlloggiatiWeb (IT-Policja), ISTAT (IT), PayTourist (IT-Gminy), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — kazdy uruchamiany wylacznie wtedy, gdy obiekt znajduje sie w odpowiednim panstwie
Zarzadzanie rezerwacja i pobytem: wykonanie umowy (art. 6 ust. 1 lit. b)
Komunikacja z OTA i channel managerem: wykonanie umowy rezerwacji (art. 6 ust. 1 lit. b), wylacznie kanalami aktywowanymi przez obiekt

5. Sposob przetwarzania

Dane osobowe sa przetwarzane za pomoca narzedzi elektronicznych, zgodnie z logika scisle zwiazana z celami i z zastosowaniem odpowiednich srodkow bezpieczenstwa (art. 32 RODO):

🔐 Szyfrowanie w tranzycie: wszystkie dane sa przesylane za posrednictwem protokolu HTTPS/TLS 1.2+
🔐 Hasla: przechowywane z wykorzystaniem bezpiecznych algorytmow haszowania (domyslnie Django PBKDF2)
🔐 Tokeny: JWT access 15 minut, refresh z rotacja i czarna lista, dostepne 2FA TOTP
🔐 Kontrola dostepu: uprawnienia na podstawie roli (dyrektor/asystent/pokojowa/obserwator), zasada najmniejszych uprawnien
🔐 Kopie zapasowe: wykonywane regularnie przez dostawce infrastruktury (DigitalOcean), lokalizacja UE (Frankfurt)
🔐 Hosting: serwery DigitalOcean zlokalizowane w Unii Europejskiej (region FRA1), storage DigitalOcean Spaces Frankfurt
🔐 Monitorowanie: logi dostepu i aplikacji, automatyczne wykrywanie anomalii, blokowanie botow i skanerow

6. Przechowywanie danych

Dane osobowe sa przechowywane przez okres scisle niezbedny:

Dane zarzadcow (klientow): okres trwania umowy + 10 lat na cele podatkowe i ksiegowe
Dane fakturowania: 10 lat (art. 2220 wloskiego kodeksu cywilnego, obowiazek podatkowy)
Dane gosci (przetwarzane przez Vezpa jako Podmiot przetwarzajacy):
- Zgloszenia AlloggiatiWeb: okres przechowywania ustala Administrator (obiekt) zgodnie z obowiazujacymi przepisami
- Zgloszenia ISTAT: zgodnie z przepisami ISTAT
- Pozostale dane rezerwacji: zgodnie z poleceniami Administratora w DPA (zwykle 10 lat dla celow podatkowych)
- Po rozwiazaniu umowy z Administratorem Vezpa usuwa lub zwraca dane gosci w ciagu 30 dni, z wyjatkiem samodzielnych obowiazkow przechowywania (np. fakturowanie)
Logi dostepu i aplikacji: do 24 miesiecy dla celow bezpieczenstwa i obrony w postepowaniach sadowych (prawnie uzasadniony interes)
Tokeny uwierzytelniajace i zaufane urzadzenia: 90 dni od ostatniego uzycia
Dane marketingowe (newsletter, kampanie): do odwolania zgody, z dwuletnia weryfikacja
Zgloszenia wsparcia: okres trwania umowy + 2 lata

7. Komunikacja i udostepnianie danych

7.1 Odbiorcy danych

Panstwa dane moga byc przekazywane nastepujacym kategoriom odbiorcow. Zawsze aktualizowana lista imienna dalszych podmiotow przetwarzajacych jest publikowana pod adresem vezpa.it/subprocessors.

Organy publiczne (Administratorzy samodzielni, obowiazek prawny)

Wlochy: Policja / AlloggiatiWeb, ISTAT, Gminy (przez PayTourist dla oplaty turystycznej), Agencja Przychodow
Austria: Feratel/Meldeamt
Hiszpania: SES.HOSPEDAJES (Ministerio del Interior)
Wegry: NTAK
Chorwacja: eVisitor
Portugalia: SEF
Republika Czeska: UbyPort
Slowenia: eTurizem / AJPES

Kazdy lacznik rzadowy jest uruchamiany wylacznie wtedy, gdy obiekt znajduje sie w odpowiednim panstwie. Dane uwierzytelniajace konfiguruje sam obiekt.

Dalsze podmioty przetwarzajace (art. 28 ust. 4 RODO)

Infrastruktura: DigitalOcean LLC (serwery Frankfurt, baza danych, Spaces/CDN, Redis) — USA/UE z DPF i SCC
Platnosci: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) — PCI-DSS, certyfikowany DPF
Email transakcyjny i PEC: IONOS SE (DE)
Powiadomienia push na urzadzeniach mobilnych: Google LLC — Firebase Cloud Messaging (USA, certyfikowany DPF)
Channel Manager OTA: STAAH Limited (Nowa Zelandia) — panstwo objete decyzja o adekwatnosci UE (2012)
Zakupy w aplikacji i subskrypcje:
- Apple Distribution International Ltd (IE) — podmiot UE; ewentualne przekazywanie do Apple Inc. (USA) regulowane przez SCC 2021/914 (Apple nie przystepuje do DPF)
- Google Ireland Ltd / Google LLC (USA, aktywna certyfikacja DPF)
- Microsoft Ireland / Microsoft Corp. (USA, aktywna certyfikacja DPF)
Inteligentne zamki (opcjonalnie, jesli aktywowane): Tuya Smart (CN) — SCC UE i srodki uzupelniajace
Doradcy zawodowi: ksiegowy, adwokat, doradcy IT, wyznaczeni jako Podmioty przetwarzajace lub Administratorzy samodzielni w zaleznosci od potrzeb

OTA (Administratorzy samodzielni w relacji z podroznym)

Booking.com, Airbnb, Expedia, VRBO, Agoda i okolo 55 innych kanalow polaczonych przez STAAH: dane rezerwacji sa przekazywane na podstawie umowy miedzy obiektem a OTA

7.2 Przekazywanie danych poza UE

Niektore operacje przetwarzania obejmuja przekazywanie danych osobowych poza Unie Europejska. We wszystkich przypadkach stosowane sa zabezpieczenia zgodnie z rozdzialem V RODO:

USA — EU-U.S. Data Privacy Framework (Decyzja (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktywne certyfikacje w Framework (weryfikacja na dataprivacyframework.gov/list)
USA — Standardowe Klauzule Umowne (SCC 2021/914): Apple Inc. — Apple nie przystepuje do DPF; relacja umowna dla uzytkownikow UE jest z Apple Distribution International Ltd (Irlandia), a ewentualne przekazywanie do Apple Inc. (USA) odbywa sie za posrednictwem SCC i wewnetrznych mechanizmow Apple
Nowa Zelandia — Decyzja o adekwatnosci (Decyzja (UE) 2013/65): STAAH Limited
Chiny (opcjonalnie) — Standardowe Klauzule Umowne (SCC) 2021/914 + srodki uzupelniajace: Tuya Smart, wylacznie dla obiektow, ktore aktywuja inteligentne zamki
Dla kazdego przekazania przy braku aktywnego DPF lub adekwatnosci Vezpa stosuje SCC UE 2021/914 oraz, gdy ma to zastosowanie, udokumentowany Transfer Impact Assessment (TIA)

7.3 Udostepnianie publiczne

Dane osobowe nie sa przedmiotem udostepniania publicznego (przekazywania nieokreslonym odbiorcom) i nie sa sprzedawane.

8. Prawa osoby, ktorej dane dotycza

Zgodnie z art. 15-22 RODO przysluguja Panstwu prawa do:

📧 Dostepu (art. 15): uzyskania potwierdzenia istnienia Panstwa danych i otrzymania ich kopii
✏️ Sprostowania (art. 16): poprawienia nieprawidlowych lub niekompletnych danych
🗑️ Usuniecia (art. 17): uzyskania usuniecia danych (prawo do bycia zapomnianym) w sytuacjach tego wymagajacych
⏸️ Ograniczenia (art. 18): ograniczenia przetwarzania w okreslonych warunkach
📤 Przenoszenia (art. 20): otrzymania danych w ustrukturyzowanym formacie i przekazania ich innemu administratorowi
🚫 Sprzeciwu (art. 21): wniesienia sprzeciwu wobec przetwarzania z uzasadnionych przyczyn
❌ Odwolania zgody: wycofania w kazdej chwili zgody na marketing

            ⚠️ Wazna uwaga: W odniesieniu do danych gosci prawa te nalezy wykonywac wobec obiektu noclegowego (ktory jest Administratorem danych), a nie bezposrednio wobec Vezpa. Vezpa jako Podmiot przetwarzajacy wspiera Administratora w realizacji wnioskow zgodnie z art. 28 ust. 3 lit. e RODO.
        

Marketing i newsletter

Zapis na komunikacje handlowe wymaga wyraznej zgody z podwojnym opt-in (potwierdzenie przez link email). Kazda wiadomosc zawiera natychmiastowy link do rezygnacji. W stosunku do istniejacych klientow Vezpa moze wysylac komunikaty o produktach i uslugach podobnych zgodnie z art. 130 ust. 4 wloskiego D.Lgs. 196/2003 ("soft opt-in"), z zawsze aktywna mozliwoscia sprzeciwu.

Jak wykonywac prawa

Moga Panstwo wykonac swoje prawa, piszac na:

📧 Email: [email protected]
✉️ PEC: [email protected]
📮 List polecony za potwierdzeniem odbioru na adres podany w naglowku

Odpowiemy w ciagu 30 dni od otrzymania wniosku.

Prawo do skargi

Jesli uwazaja Panstwo, ze przetwarzanie Panstwa danych narusza RODO, przysluguje Panstwu prawo do wniesienia skargi do organu nadzorczego:

Wloski organ ochrony danych (Garante per la Protezione dei Dati Personali)
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

Uzytkownicy w Polsce moga rowniez zwrocic sie do Prezesa Urzedu Ochrony Danych Osobowych - UODO (www.uodo.gov.pl).

9. Maloletni

Usluga Vezpa PMS jest skierowana wylacznie do osob powyzej 18 roku zycia. Nie zbieramy swiadomie danych maloletnich. Jesli rodzic lub opiekun uwaza, ze maloletni podal dane osobowe, moze skontaktowac sie z nami w celu ich natychmiastowego usuniecia.

10. Zmiany Polityki prywatnosci

Niniejsza Polityka prywatnosci moze byc z czasem modyfikowana. Kazda istotna zmiana bedzie zakomunikowana z odpowiednim wyprzedzeniem poprzez:

Opublikowanie nowej wersji na stronie internetowej
Powiadomienie email do zarejestrowanych uzytkownikow
Banner informacyjny w strefie zastrzezonej

Data ostatniej aktualizacji jest zawsze wskazana na gorze dokumentu.

POLITYKA PRYWATNOSCI