Уведомление: Это любезный перевод с итальянского оригинала. В случае противоречия или двусмысленности преимущество имеет итальянская версия. Итальянский оригинал доступен по адресу:
https://vezpa.it/privacy/
📌 Кратко: Vezpa уважает Вашу конфиденциальность. Мы собираем только данные, необходимые для предоставления услуги управления гостиницей, защищаем их соответствующими мерами безопасности и никогда не продаём третьим сторонам. При обработке данных
гостей Vezpa выступает в роли
Обработчика данных (ст. 28 GDPR): соответствующим договором является
DPA.
1. Контролёр данных
Контролёром данных является:
Vezpa di Paolo Vezzola
Юридический адрес: Via San Zeno 67, 25015 Desenzano del Garda (BS), Италия
НДС №: 04449070988
Налоговый код: VZZPLA84C10D284C
Электронная почта: [email protected]
PEC: [email protected]
2. Сфера применения
Настоящая Политика конфиденциальности применяется к платформе Vezpa PMS (веб, десктоп и мобильная) и к страницам сайта, на которых опубликована данная информация.
3. Собираемые персональные данные
3.1 Данные пользователей услуги (управляющих объектами размещения)
Когда Вы регистрируетесь в Vezpa в качестве управляющего объектом размещения, мы собираем:
- Идентификационные данные: имя, фамилия, электронная почта, номер телефона
- Данные об объекте: название, адрес, тип, номер НДС
- Платёжные реквизиты для счёта-фактуры: адрес для выставления счёта, налоговый код / НДС №, уникальный код / PEC
- Учётные данные для доступа: электронная почта и пароль (зашифрованный)
- Платёжные данные: обрабатываются через внешних поставщиков, сертифицированных по PCI-DSS (мы не храним напрямую данные кредитных карт)
3.2 Данные гостей объектов размещения
От имени управляющих объектами (в качестве Обработчика данных согласно ст. 28 GDPR, регулируемого DPA) система собирает:
- Идентификационные данные: имя, фамилия, место и дата рождения, гражданство, пол
- Документы, удостоверяющие личность: тип, номер, место и дата выдачи, отсканированное или сфотографированное изображение документа. Эти изображения могут быть обработаны с помощью автоматического OCR для извлечения текстовых данных без сохранения биометрических производных данных.
- Контактные данные: электронная почта, номер телефона
- Данные о бронировании: даты проживания, количество гостей, тарифы, режим питания
- Платёжные данные: только если оплата производится через модуль бронирования или Stripe-соединение Vezpa; данные карты никогда не хранятся на серверах Vezpa
⚠️ Документы, удостоверяющие личность, и специальные категории (ст. 9 GDPR): документы, удостоверяющие личность, могут содержать данные, определяемые как «специальные» (например, место рождения, из которого можно вывести этническое происхождение). Vezpa обрабатывает такие данные только в той мере, в какой это строго необходимо для выполнения управляющим установленных законом обязательств перед государственными органами, не осуществляет на их основе профилирование и не передаёт их лицам, отличным от органов и субподрядных обработчиков, перечисленных в §7.
3.3 Навигационные данные
- IP-адрес
- Тип браузера и устройства
- Посещённые страницы и время пребывания
- Операционная система
- Referrer (источник перехода)
3.4 Файлы cookie
Мы используем технические файлы cookie, необходимые для работы услуги. Подробнее см. нашу Политику в отношении файлов cookie.
4. Цели обработки и правовое основание
4.1 Для управляющих объектами размещения
| Цель |
Правовое основание |
| Предоставление услуги PMS |
Исполнение договора (ст. 6.1.b GDPR) |
| Выставление счетов и налоговые обязательства |
Юридическая обязанность (ст. 6.1.c GDPR) |
| Клиентская поддержка |
Исполнение договора (ст. 6.1.b GDPR) |
| Безопасность, предотвращение мошенничества, надёжность услуги |
Законный интерес (ст. 6.1.f GDPR) |
| Отправка маркетинговых сообщений |
Согласие (ст. 6.1.a GDPR) - только при наличии разрешения |
4.2 Для гостей объектов размещения
Важно: В отношении данных гостей Контролёром данных является объект размещения. Vezpa выступает в роли Обработчика данных на основании задокументированных инструкций управляющего объектом, согласно Договору об обработке персональных данных (DPA).
- Регистрация гостей и заезд: юридическая обязанность (итальянский закон TULPS, ст. 109, Законодательный декрет 159/2011) для Италии; эквивалентное законодательство для других поддерживаемых стран
- Обязательная отчётность перед государственными органами: AlloggiatiWeb (IT-Полиция), ISTAT (IT), PayTourist (IT-муниципалитеты), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — каждая активируется только если объект размещения находится в соответствующей стране
- Управление бронированием и пребыванием: исполнение договора (ст. 6.1.b)
- Передача данных в OTA и channel manager: исполнение договора о бронировании (ст. 6.1.b), только для каналов, активированных объектом размещения
5. Способ обработки
Персональные данные обрабатываются электронными средствами по логике, строго связанной с целями, и с применением соответствующих мер безопасности (ст. 32 GDPR):
- 🔐 Шифрование при передаче: все данные передаются по протоколу HTTPS/TLS 1.2+
- 🔐 Пароли: хранятся с использованием безопасных алгоритмов хеширования (PBKDF2 по умолчанию в Django)
- 🔐 Токены: JWT access 15 минут, refresh с ротацией и чёрным списком, доступна 2FA TOTP
- 🔐 Контроль доступа: авторизация на основе ролей (директор/ассистент/горничная/наблюдатель), принцип наименьших привилегий
- 🔐 Резервные копии: регулярно создаются поставщиком инфраструктуры (DigitalOcean), местоположение ЕС (Франкфурт)
- 🔐 Хостинг: серверы DigitalOcean, расположенные в Европейском союзе (регион FRA1), хранилище DigitalOcean Spaces Франкфурт
- 🔐 Мониторинг: логи доступа и приложения, автоматическое обнаружение аномалий, блокировка ботов и сканеров
6. Хранение данных
Персональные данные хранятся в течение строго необходимого времени:
- Данные управляющих (клиентов): срок действия договора + 10 лет для налоговых и бухгалтерских обязательств
- Данные для выставления счетов: 10 лет (ст. 2220 Гражданского кодекса Италии, налоговая обязанность)
- Данные гостей (обрабатываемые Vezpa в качестве Обработчика):
- Передача в AlloggiatiWeb: срок хранения определяется Контролёром (объектом размещения) на основании применимого законодательства
- Передача в ISTAT: согласно нормативным требованиям ISTAT
- Прочие данные о бронировании: согласно инструкциям Контролёра в DPA (обычно 10 лет для налоговых целей)
- В случае расторжения договора с Контролёром Vezpa удаляет или возвращает данные гостей в течение 30 дней, за исключением случаев самостоятельных обязательств по хранению (например, выставление счетов)
- Логи доступа и приложения: до 24 месяцев в целях безопасности и защиты в судебных разбирательствах (законный интерес)
- Токены аутентификации и доверенные устройства: 90 дней с момента последнего использования
- Маркетинговые данные (рассылки, кампании): до отзыва согласия, с двухлетним пересмотром
- Тикеты поддержки: срок действия договора + 2 года
7. Передача и распространение данных
7.1 Получатели данных
Ваши данные могут передаваться следующим категориям получателей. Поимённый и постоянно обновляемый список субподрядных обработчиков персональных данных опубликован по адресу vezpa.it/subprocessors.
Государственные органы (самостоятельные контролёры, юридическая обязанность)
- Италия: Полиция (Questura) / AlloggiatiWeb, ISTAT, муниципалитеты (через PayTourist для туристического налога), Налоговое управление
- Австрия: Feratel/Meldeamt
- Испания: SES.HOSPEDAJES (Министерство внутренних дел)
- Венгрия: NTAK
- Хорватия: eVisitor
- Португалия: SEF
- Чехия: UbyPort
- Словения: eTurizem / AJPES
Каждый государственный коннектор активируется только если объект размещения находится в соответствующей стране. Учётные данные настраиваются самим объектом размещения.
Субподрядные обработчики персональных данных (ст. 28.4 GDPR)
- Инфраструктура: DigitalOcean LLC (серверы Франкфурт, база данных, Spaces/CDN, Redis) — США/ЕС с DPF и SCC
- Платежи: Stripe Payments Europe Ltd (ЕС) / Stripe Inc. (США) — PCI-DSS, сертифицированы по DPF
- Транзакционная электронная почта и PEC: IONOS SE (DE)
- Push-уведомления для мобильных устройств: Google LLC — Firebase Cloud Messaging (США, сертифицированы по DPF)
- Channel Manager OTA: STAAH Limited (Новая Зеландия) — страна с решением ЕС об адекватности (2012)
- In-app purchase и подписки:
- Apple Distribution International Ltd (IE) — субъект в ЕС; возможные передачи данных в Apple Inc. (США) регулируются SCC 2021/914 (Apple не участвует в DPF)
- Google Ireland Ltd / Google LLC (США, активная сертификация по DPF)
- Microsoft Ireland / Microsoft Corp. (США, активная сертификация по DPF)
- Умные замки (опционально, если активированы): Tuya Smart (CN) — SCC ЕС и дополнительные меры
- Профессиональные консультанты: бухгалтер, адвокат, IT-консультанты, назначаемые в качестве Обработчиков или самостоятельных Контролёров по мере необходимости
OTA (самостоятельные контролёры в отношении взаимоотношений с путешественником)
- Booking.com, Airbnb, Expedia, VRBO, Agoda и около 55 других каналов, подключённых через STAAH: данные о бронировании передаются на основании договора между объектом размещения и OTA
7.2 Передача данных за пределы ЕС
Некоторые виды обработки предполагают передачу персональных данных за пределы Европейского союза. Во всех случаях применяются гарантии в соответствии с Главой V GDPR:
- США — EU-U.S. Data Privacy Framework (Решение (ЕС) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, активные сертификации в Framework (проверка на dataprivacyframework.gov/list)
- США — Стандартные договорные положения (SCC) (SCC 2021/914): Apple Inc. — Apple не участвует в DPF; договорные отношения с пользователями ЕС поддерживаются с Apple Distribution International Ltd (Ирландия), а возможные передачи данных в Apple Inc. (США) осуществляются посредством SCC и внутренних механизмов Apple
- Новая Зеландия — Решение об адекватности (Решение (ЕС) 2013/65): STAAH Limited
- Китай (опционально) — Стандартные договорные положения (SCC) 2021/914 + дополнительные меры: Tuya Smart, только для объектов размещения, активирующих умные замки
- Для любой передачи при отсутствии действующего DPF или адекватности Vezpa применяет SCC ЕС 2021/914 и, при необходимости, задокументированную Transfer Impact Assessment (TIA)
7.3 Распространение
Персональные данные не распространяются (передача неопределённому кругу лиц) и не продаются.
8. Права субъекта данных
Согласно статьям 15-22 GDPR Вы имеете право на:
- 📧 Доступ (ст. 15): получить подтверждение существования Ваших данных и получить их копию
- ✏️ Исправление (ст. 16): исправить неточные или неполные данные
- 🗑️ Удаление (ст. 17): добиться удаления данных (право «быть забытым») при наличии условий
- ⏸️ Ограничение (ст. 18): ограничить обработку при определённых условиях
- 📤 Переносимость (ст. 20): получить данные в структурированном формате и передать их другому контролёру
- 🚫 Возражение (ст. 21): возразить против обработки по законным мотивам
- ❌ Отзыв согласия: в любой момент отозвать своё согласие на маркетинг
⚠️ Важное примечание: В отношении данных гостей эти права должны осуществляться перед объектом размещения (который является Контролёром данных), а не напрямую перед Vezpa. Vezpa в качестве Обработчика оказывает содействие Контролёру в выполнении запросов согласно ст. 28.3.e GDPR.
Маркетинг и рассылка
Подписка на коммерческие сообщения требует явного согласия с двойным opt-in (подтверждение через ссылку в электронном письме). Каждое сообщение содержит ссылку для немедленной отписки. Для существующих клиентов Vezpa может отправлять сообщения об аналогичных продуктах и услугах в соответствии со ст. 130.4 итальянского Законодательного декрета 196/2003 («soft opt-in»), с всегда активной возможностью возражения.
Как осуществить свои права
Вы можете осуществить свои права, написав на:
Мы ответим Вам в течение 30 дней с момента получения запроса.
Право на жалобу
Если Вы считаете, что обработка Ваших данных нарушает GDPR, Вы имеете право подать жалобу в надзорный орган:
Итальянский орган по защите данных (Garante)
Piazza Venezia, 11 - 00187 Рим
Электронная почта: [email protected]
PEC: [email protected]
Тел.: +39 06.696771
Веб: www.garanteprivacy.it
Пользователи в России могут также обратиться в Роскомнадзор — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (www.rkn.gov.ru).
9. Несовершеннолетние
Услуга Vezpa PMS предназначена исключительно для лиц старше 18 лет. Мы не собираем сознательно данные несовершеннолетних. Если родитель или опекун считает, что несовершеннолетний предоставил персональные данные, он может связаться с нами для их незамедлительного удаления.
10. Изменения в Политике конфиденциальности
Настоящая Политика конфиденциальности может изменяться со временем. О любом существенном изменении будет сообщено с надлежащим уведомлением посредством:
- Публикации новой версии на сайте
- Уведомления по электронной почте зарегистрированных пользователей
- Информационного баннера в защищённой зоне
Дата последнего обновления всегда указана в начале документа.
© 2022-2026 Vezpa - Все права защищены |
Политика конфиденциальности |
Условия использования |
Политика в отношении файлов cookie |
GDPR |
DPA |
Субподрядные обработчики