Obvestilo: To je prevod izvirnika v italijanscini iz ljubeznivosti. V primeru spora ali dvoumnosti prevlada italijanska razlicica.
Na kratko: Vezpa spostuje vaso zasebnost. Zbiramo le podatke, ki so potrebni za zagotavljanje storitve upravljanja nastanitvenih objektov, jih zascitimo z ustreznimi varnostnimi ukrepi in jih nikoli ne prodajamo tretjim osebam. Pri obdelavi podatkov
gostov Vezpa deluje kot
Obdelovalec (28. clen GDPR): namenska pogodba je
DPA.
1. Upravljavec osebnih podatkov
Upravljavec obdelave osebnih podatkov je:
Vezpa di Paolo Vezzola
Sedez: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italija
P.IVA: 04449070988
C.F.: VZZPLA84C10D284C
E-posta: [email protected]
PEC: [email protected]
2. Podrocje uporabe
Ta politika zasebnosti velja za platformo Vezpa PMS (splet, namizje in mobilne naprave) ter za strani spletnega mesta, na katerih je objavljeno to obvestilo.
3. Zbrani osebni podatki
3.1 Podatki uporabnikov storitve (upravljavci nastanitvenih objektov)
Ko se registrirate v Vezpa kot upravljavec nastanitvenega objekta, zbiramo:
- Osnovni osebni podatki: ime, priimek, e-posta, telefonska stevilka
- Podatki o objektu: naziv, naslov, vrsta, davcna stevilka
- Podatki za izdajo racunov: naslov za racun, davcna/identifikacijska stevilka, enolicna koda/PEC
- Podatki za dostop: e-posta in geslo (sifrirano)
- Podatki o placilu: obdelani prek zunanjih ponudnikov s certifikatom PCI-DSS (podatkov o kreditnih karticah ne shranjujemo neposredno)
3.2 Podatki gostov nastanitvenih objektov
V imenu upravljavcev nastanitvenih objektov (kot Obdelovalec v skladu z 28. clenom GDPR, urejeno s DPA) sistem zbira:
- Identifikacijski podatki: ime, priimek, kraj in datum rojstva, drzavljanstvo, spol
- Osebni dokumenti: vrsta, stevilka, kraj in datum izdaje, skeniranje ali fotografija dokumenta. Te slike se lahko obdelujejo z avtomatskim OCR za izlusčenje tekstovnih podatkov, brez shranjevanja izpeljanih biometricnih podatkov.
- Kontaktni podatki: e-posta, telefonska stevilka
- Podatki o rezervaciji: datumi bivanja, stevilo gostov, cene, storitve
- Podatki o placilu: samo ce placilo poteka prek Vezpa Booking Engine ali Stripe povezave; podatki o karticah niso nikoli shranjeni na streznikih Vezpa
Osebni dokumenti in posebne vrste podatkov (9. clen GDPR): osebni dokumenti lahko vsebujejo podatke, ki se stejejo za "posebne" (npr. kraj rojstva, iz katerega je mogoce sklepati na etnicno poreklo). Vezpa take podatke obdeluje le v obsegu, ki je nujno potreben za zakonske obveznosti upravljavca do javnih organov, nad njimi ne izvaja profiliranja in jih ne posreduje drugim subjektom razen organom in dodatnim obdelovalcem, navedenim v §7.
3.3 Podatki o brskanju
- IP naslov
- Vrsta brskalnika in naprave
- Obiskane strani in cas zadrzevanja
- Operacijski sistem
- Referrer (izvor)
3.4 Piskotki
Uporabljamo tehnicne piskotke, ki so potrebni za delovanje storitve. Vec podrobnosti najdete v nasi Politiki piskotkov.
4. Nameni obdelave in pravna podlaga
4.1 Za upravljavce nastanitvenih objektov
| Namen |
Pravna podlaga |
| Zagotavljanje storitve PMS |
Izvajanje pogodbe (cl. 6.1.b GDPR) |
| Izdaja racunov in davcne obveznosti |
Zakonska obveznost (cl. 6.1.c GDPR) |
| Podpora strankam |
Izvajanje pogodbe (cl. 6.1.b GDPR) |
| Varnost, preprecevanje goljufij, zanesljivost storitve |
Zakoniti interes (cl. 6.1.f GDPR) |
| Posiljanje trzenjskih sporocil |
Privolitev (cl. 6.1.a GDPR) - samo ce je dovoljeno |
4.2 Za goste nastanitvenih objektov
Pomembno: Za podatke gostov je Upravljavec obdelave nastanitveni objekt. Vezpa deluje kot Obdelovalec na podlagi dokumentiranih navodil upravljavca objekta v skladu s Pogodbo o obdelavi osebnih podatkov (DPA).
- Prijava gostov: zakonska obveznost (italijanski zakon TULPS, 109. clen, D.Lgs. 159/2011) za Italijo; enakovredni predpisi za druge podprte drzave
- Obvezne sporocilne obveznosti organom: AlloggiatiWeb (IT-Policija), ISTAT (IT), PayTourist (IT-obcine), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - vsak se aktivira le, ce ima objekt sedez v ustrezni drzavi
- Upravljanje rezervacije in bivanja: izvajanje pogodbe (cl. 6.1.b)
- Sporocanje podatkov OTA in channel managerjem: izvajanje pogodbe o rezervaciji (cl. 6.1.b), samo kanali, ki jih je objekt aktiviral
5. Nacin obdelave
Osebni podatki se obdelujejo z elektronskimi orodji, s postopki, ki so strogo povezani z nameni, in z ustreznimi varnostnimi ukrepi (32. clen GDPR):
- Sifriranje pri prenosu: vsi podatki se prenasajo prek protokola HTTPS/TLS 1.2+
- Gesla: shranjena z varnimi algoritmi za zgosčevanje (privzeto PBKDF2 Django)
- Zetoni: JWT access 15 minut, refresh z rotacijo in crno listo, na voljo 2FA TOTP
- Nadzor dostopa: pooblastila na podlagi vloge (direktor/pomocnik/gospodinja/opazovalec), nacelo najmanjsega privilegija
- Varnostne kopije: redno izvaja ponudnik infrastrukture (DigitalOcean), lokacija EU (Frankfurt)
- Gostovanje: strezniki DigitalOcean v Evropski uniji (regija FRA1), shramba DigitalOcean Spaces Frankfurt
- Spremljanje: dnevniki dostopa in aplikacij, avtomatizirano zaznavanje nepravilnosti, blokiranje botov in optikov
6. Hramba podatkov
Osebni podatki se hranijo le toliko casa, kolikor je nujno potrebno:
- Podatki upravljavcev (strank): trajanje pogodbe + 10 let za davcne in racunovodske obveznosti
- Podatki za izdajo racunov: 10 let (cl. 2220 italijanskega civilnega zakonika, davcna obveznost)
- Podatki gostov (Vezpa jih obdeluje kot Obdelovalec):
- Sporocila AlloggiatiWeb: obdobje hrambe doloca Upravljavec (objekt) v skladu z veljavnimi predpisi
- Sporocila ISTAT: skladno s predpisi ISTAT
- Drugi podatki o rezervaciji: v skladu z navodili Upravljavca v DPA (obicajno 10 let za davcne namene)
- Ob prekinitvi pogodbe z Upravljavcem Vezpa izbrise ali vrne podatke gostov v 30 dneh, razen ce obstajajo samostojne obveznosti hrambe (npr. racuni)
- Dnevniki dostopa in aplikacij: do 24 mesecev za namene varnosti in obrambe v pravnih postopkih (zakoniti interes)
- Avtentikacijski zetoni in zaupanja vredne naprave: 90 dni od zadnje uporabe
- Podatki za trzenje (novice, kampanje): do preklica privolitve, z dvoletnim pregledom
- Podporni zahtevki: trajanje pogodbe + 2 leti
7. Sporocanje in razsirjanje podatkov
7.1 Prejemniki podatkov
Vasi podatki se lahko sporocajo naslednjim kategorijam prejemnikov. Vedno posodobljen imenski seznam dodatnih obdelovalcev je objavljen na naslovu vezpa.it/subprocessors.
Javni organi (samostojni upravljavci, zakonska obveznost)
- Italija: Policija / AlloggiatiWeb, ISTAT, Obcine (prek PayTourist za turisticno takso), Davcna agencija
- Avstrija: Feratel/Meldeamt
- Spanija: SES.HOSPEDAJES (Ministerio del Interior)
- Madzarska: NTAK
- Hrvaska: eVisitor
- Portugalska: SEF
- Ceska: UbyPort
- Slovenija: eTurizem / AJPES
Vsak vladni konektor se aktivira le, ce ima objekt sedez v ustrezni drzavi. Poverilnice nastavi objekt sam.
Dodatni obdelovalci (cl. 28.4 GDPR)
- Infrastruktura: DigitalOcean LLC (strezniki Frankfurt, baza podatkov, Spaces/CDN, Redis) - ZDA/EU z DPF in SCC
- Placila: Stripe Payments Europe Ltd (EU) / Stripe Inc. (ZDA) - PCI-DSS, DPF potrjen
- Transakcijska e-posta in PEC: IONOS SE (DE)
- Mobilna push obvestila: Google LLC - Firebase Cloud Messaging (ZDA, DPF potrjen)
- Channel Manager OTA: STAAH Limited (Nova Zelandija) - drzava s sklepom EU o ustreznosti (2012)
- Nakupi in narocnine v aplikaciji:
- Apple Distribution International Ltd (IE) - subjekt EU; morebitni prenosi k Apple Inc. (ZDA) urejeni s SCC 2021/914 (Apple ne sodeluje pri DPF)
- Google Ireland Ltd / Google LLC (ZDA, aktivna certifikacija DPF)
- Microsoft Ireland / Microsoft Corp. (ZDA, aktivna certifikacija DPF)
- Pametne kljucavnice (neobvezno, ce so aktivirane): Tuya Smart (CN) - EU SCC in dopolnilni ukrepi
- Profesionalni svetovalci: davcni svetovalec, odvetnik, IT svetovalci, imenovani kot Obdelovalci ali samostojni Upravljavci po potrebi
OTA (samostojni upravljavci za razmerje s potnikom)
- Booking.com, Airbnb, Expedia, VRBO, Agoda in priblizno 55 drugih kanalov, povezanih prek STAAH: podatki o rezervaciji se prenasajo v skladu s pogodbo med objektom in OTA
7.2 Prenos podatkov izven EU
Nekatere obdelave vkljucujejo prenose osebnih podatkov izven Evropske unije. V vseh primerih so sprejeta jamstva v skladu s poglavjem V GDPR:
- ZDA - EU-U.S. Data Privacy Framework (Sklep (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktivne certifikacije v Frameworku (preverite na dataprivacyframework.gov/list)
- ZDA - Standardne pogodbene klavzule (SCC) 2021/914: Apple Inc. - Apple ne sodeluje pri DPF; pogodbeno razmerje za uporabnike EU je sklenjeno z Apple Distribution International Ltd (Irska), morebitni prenosi k Apple Inc. (ZDA) pa potekajo prek SCC in internih mehanizmov Apple
- Nova Zelandija - Sklep o ustreznosti (Sklep (EU) 2013/65): STAAH Limited
- Kitajska (neobvezno) - Standardne pogodbene klavzule (SCC) 2021/914 + dopolnilni ukrepi: Tuya Smart, samo za objekte, ki aktivirajo pametne kljucavnice
- Za vsak prenos brez aktivnega DPF ali ustreznosti Vezpa uporablja EU SCC 2021/914 in, ce je primerno, dokumentirano Transfer Impact Assessment (TIA)
7.3 Razsirjanje
Osebni podatki niso predmet razsirjanja (sporocanja nedolocenim subjektom) in se ne prodajajo.
8. Pravice posameznika
V skladu s cleni 15-22 GDPR imate pravico do:
- Dostopa (cl. 15): pridobiti potrditev o obstoju vasih podatkov in prejeti kopijo
- Popravka (cl. 16): popraviti netocne ali nepopolne podatke
- Izbrisa (cl. 17): doseci izbris podatkov (pravica do pozabe), kadar so izpolnjeni pogoji
- Omejitve (cl. 18): omejiti obdelavo pod dolocenimi pogoji
- Prenosljivosti (cl. 20): prejeti podatke v strukturirani obliki in jih prenesti drugemu upravljavcu
- Ugovora (cl. 21): ugovarjati obdelavi iz zakonitih razlogov
- Preklica privolitve: kadar koli preklicati privolitev za trzenje
Pomembno obvestilo: Za podatke gostov morate te pravice uveljavljati pri nastanitvenem objektu (ki je Upravljavec obdelave), ne neposredno pri Vezpi. Vezpa kot Obdelovalec pomaga Upravljavcu pri izpolnjevanju zahtevkov v skladu s clenom 28.3.e GDPR.
Trzenje in novice
Prijava na komercialna sporocila zahteva izrecno privolitev z dvojnim opt-in (potrditev prek e-povezave). Vsako sporocilo vsebuje takojsnjo odjavno povezavo. Za obstojece stranke lahko Vezpa posilja sporocila o podobnih izdelkih in storitvah v skladu s clenom 130.4 D.Lgs. 196/2003 ("soft opt-in"), pri cemer je vedno mogoce ugovarjati.
Kako uveljaviti pravice
Svoje pravice lahko uveljavite tako, da pisete na:
Odgovorili bomo v 30 dneh od prejema zahtevka.
Pravica do pritozbe
Ce menite, da obdelava vasih podatkov krsi GDPR, imate pravico vloziti pritozbo pri nadzornem organu:
Garante per la Protezione dei Dati Personali (italijanski organ za varstvo podatkov (Garante))
Piazza Venezia, 11 - 00187 Roma
E-posta: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Splet: www.garanteprivacy.it
Uporabniki v Sloveniji se lahko obrnejo tudi na Informacijskega pooblascenca (www.ip-rs.si).
9. Mladoletniki
Storitev Vezpa PMS je namenjena izkljucno osebam, starim vec kot 18 let. Zavestno ne zbiramo podatkov mladoletnikov. Ce stars ali skrbnik meni, da je mladoletnik posredoval osebne podatke, nas lahko kontaktira za takojsnji izbris.
10. Spremembe politike zasebnosti
To politiko zasebnosti lahko spremenimo scasoma. O vsaki bistveni spremembi bomo z ustreznim predhodnim obvestilom obvestili prek:
- Objave nove razlicice na spletnem mestu
- Obvestila po e-posti registriranim uporabnikom
- Informativne pasice v zasebnem obmocju
Datum zadnje posodobitve je vedno naveden na vrhu dokumenta.
© 2022-2026 Vezpa - Vse pravice pridrzane |
Politika zasebnosti |
Pogoji storitve |
Politika piskotkov |
GDPR |
DPA |
Dodatni obdelovalci