Upozornenie: Toto je zdvorilostny preklad talianskeho originalu. V pripade rozporu alebo nejasnosti ma prednost talianska verzia.
๐ Zhrnutie: Vezpa respektuje Vase sukromie. Zhromazdujeme iba udaje potrebne na poskytovanie sluzby spravy ubytovacich zariadeni, chranime ich primeranymi bezpecnostnymi opatreniami a nikdy ich nepredavame tretim stranam. Pri spracuvani udajov
hosti Vezpa vystupuje ako
Sprostredkovatel (cl. 28 GDPR): specificka zmluva je
DPA.
1. Prevadzkovatel
Prevadzkovatelom spracuvania osobnych udajov je:
Vezpa di Paolo Vezzola
Sidlo: Via San Zeno 67, 25015 Desenzano del Garda (BS), Taliansko
DIC: 04449070988
C.F.: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]
2. Rozsah posobnosti
Tieto Zasady ochrany osobnych udajov sa vztahuju na platformu Vezpa PMS (web, desktop a mobil) a na webove stranky, na ktorych je toto oznamenie zverejnene.
3. Zhromazdovane osobne udaje
3.1 Udaje Pouzivatelov sluzby (prevadzkovatelov ubytovacich zariadeni)
Pri registracii vo Vezpa ako prevadzkovatel ubytovacieho zariadenia zhromazdujeme:
- Identifikacne udaje: meno, priezvisko, email, telefonne cislo
- Udaje zariadenia: nazov, adresa, typ, DIC
- Fakturacne udaje: fakturacna adresa, danove identifikacne cislo/DIC, unikatny kod/PEC
- Prihlasovacie udaje: email a heslo (sifrovane)
- Platobne udaje: spravovane prostrednictvom externych poskytovatelov certifikovanych PCI-DSS (priamo neuchovavame udaje o platobnych kartach)
3.2 Udaje hosti zariadeni
V mene prevadzkovatelov zariadeni (ako Sprostredkovatel v zmysle cl. 28 GDPR, riadene DPA) system zhromazduje:
- Identifikacne udaje: meno, priezvisko, miesto a datum narodenia, statna prislusnost, pohlavie
- Doklady totoznosti: typ, cislo, miesto a datum vydania, skenovanie alebo fotografia dokladu. Tieto obrazy mozu byt spracovane automatickym OCR na extrakciu textovych udajov, bez uchovavania odvodenych biometrickych udajov.
- Kontaktne udaje: email, telefonne cislo
- Udaje rezervacie: datumy pobytu, pocet hosti, tarify, stravovanie
- Platobne udaje: iba ak platba prebieha cez booking engine alebo Stripe odkaz Vezpa; udaje kariet nie su nikdy uchovavane na serveroch Vezpa
โ ๏ธ Doklady totoznosti a osobitne kategorie (cl. 9 GDPR): doklady totoznosti mozu obsahovat udaje kvalifikovatelne ako "osobitne" (napr. miesto narodenia, z ktoreho mozno odvodit etnicky povod). Vezpa spracuva tieto udaje iba v miere striktne potrebnej na zakonne povinnosti prevadzkovatela voci verejnym organom, nevykonava profilovanie a neoznamuje ich inym subjektom okrem organov a dalsich sprostredkovatelov uvedenych v ยง7.
3.3 Udaje o prezeranรญ
- IP adresa
- Typ prehliadaca a zariadenia
- Navstivene stranky a cas stravany
- Operacny system
- Referrer (zdroj)
3.4 Cookies
Pouzivame technicke cookies potrebne na fungovanie sluzby. Viac podrobnosti v nasich Cookie zasadach.
4. Ucel spracuvania a pravny zaklad
4.1 Pre prevadzkovatelov zariadeni
| Ucel |
Pravny zaklad |
| Poskytovanie sluzby PMS |
Plnenie zmluvy (cl. 6.1.b GDPR) |
| Fakturacia a danove povinnosti |
Zakonna povinnost (cl. 6.1.c GDPR) |
| Zakaznicka podpora |
Plnenie zmluvy (cl. 6.1.b GDPR) |
| Bezpecnost, prevencia podvodov, spolahlivost sluzby |
Opravneny zaujem (cl. 6.1.f GDPR) |
| Marketingove oznamenia |
Suhlas (cl. 6.1.a GDPR) - len ak autorizovane |
4.2 Pre hosti zariadeni
Dolezite: Pre udaje hosti je Prevadzkovatelom spracuvania ubytovacie zariadenie. Vezpa vystupuje ako Sprostredkovatel na zaklade dokumentovanych pokynov prevadzkovatela zariadenia, v zmysle Data Processing Agreement.
- Check-in a registracia hosti: zakonna povinnost (taliansky zakon TULPS, cl. 109, D.Lgs. 159/2011) pre Taliansko; rovnocenna legislativa pre ostatne podporovane staty
- Povinne oznamenia verejnym organom: AlloggiatiWeb (IT-Policia), ISTAT (IT), PayTourist (IT-Obce), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) โ kazda aktivovana iba ak zariadenie sidli v prislusnom state
- Sprava rezervacie a pobytu: plnenie zmluvy (cl. 6.1.b)
- Oznamenia OTA a channel managerom: plnenie zmluvy o rezervacii (cl. 6.1.b), iba kanaly aktivovane zariadenim
5. Sposob spracuvania
Osobne udaje su spracuvane elektronickymi prostriedkami, s logikou striktne suvisiacou s ucelmi a prijatim primeranych bezpecnostnych opatreni (cl. 32 GDPR):
- ๐ Sifrovanie pri prenose: vsetky udaje sa prenasaju cez HTTPS/TLS 1.2+ protokol
- ๐ Hesla: ukladane pomocou bezpecnych hashing algoritmov (PBKDF2 Django default)
- ๐ Tokeny: JWT access 15 minut, refresh s rotaciou a blacklistom, dostupne 2FA TOTP
- ๐ Kontrola pristupu: opravnenia zalozene na ulohe (riaditel/asistent/upratovacka/pozorovatel), princip minimalneho opravnenia
- ๐ Zaloha: pravidelne vykonavana poskytovatelom infrastruktury (DigitalOcean), lokalizacia EU (Frankfurt)
- ๐ Hosting: servery DigitalOcean v EU (region FRA1), uloziska DigitalOcean Spaces Frankfurt
- ๐ Monitoring: aplikacne a pristupove logy, automatizovane zistovanie anomalii, blokovanie botov a skenerov
6. Uchovavanie udajov
Osobne udaje su uchovavane po dobu striktne potrebnu:
- Udaje prevadzkovatelov (klientov): trvanie zmluvy + 10 rokov pre danove a uctovnicke povinnosti
- Fakturacne udaje: 10 rokov (cl. 2220 ObcZ, danova povinnost)
- Udaje hosti (spracuvane Vezpa ako Sprostredkovatelom):
- Oznamenia AlloggiatiWeb: doba uchovavania je stanovena Prevadzkovatelom (zariadenim) podla platnej legislativy
- Oznamenia ISTAT: podla legislativy ISTAT
- Ine udaje rezervacie: podla pokynov Prevadzkovatela v DPA (typicky 10 rokov pre danove ucely)
- Po ukonceni zmluvy s Prevadzkovatelom Vezpa vymaze alebo vrati udaje hosti do 30 dni, okrem samostatnych povinnosti uchovavania (napr. fakturacia)
- Aplikacne a pristupove logy: do 24 mesiacov pre ucely bezpecnosti a obrany pred sudom (opravneny zaujem)
- Autentifikacne tokeny a dovryhodne zariadenia: 90 dni od posledneho pouzitia
- Udaje pre marketing (newsletter, kampane): do odvolania suhlasu, s dvojrocnou revizou
- Tikety podpory: trvanie zmluvy + 2 roky
7. Oznamovanie a sirenie udajov
7.1 Prijemcovia udajov
Vase udaje mozu byt oznamene nasledujucim kategoriam prijemcov. Vzdy aktualny menovity zoznam dalsich sprostredkovatelov spracuvania je zverejneny na vezpa.it/subprocessors.
Verejne organy (nezavisli prevadzkovatelia, zakonna povinnost)
- Taliansko: Policia / AlloggiatiWeb, ISTAT, Obce (cez PayTourist pre miestnu dan), Financna sprava
- Rakusko: Feratel/Meldeamt
- Spanielsko: SES.HOSPEDAJES (Ministerio del Interior)
- Madarsko: NTAK
- Chorvatsko: eVisitor
- Portugalsko: SEF
- Ceska republika: UbyPort
- Slovinsko: eTurizem / AJPES
Kazdy vladny konektor sa aktivuje iba ak zariadenie sidli v prislusnom state. Pristupove udaje nastavuje same zariadenie.
Dalsi sprostredkovatelia spracuvania (cl. 28.4 GDPR)
- Infrastruktura: DigitalOcean LLC (server Frankfurt, databaza, Spaces/CDN, Redis) โ USA/EU s DPF a SCC
- Platby: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) โ PCI-DSS, certifikovany DPF
- Transakcny email a PEC: IONOS SE (DE)
- Push notifikacie mobilne: Google LLC โ Firebase Cloud Messaging (USA, certifikovany DPF)
- Channel Manager OTA: STAAH Limited (Novy Zeland) โ krajina s rozhodnutim EU o primeranosti (2012)
- In-app purchase a subscription:
- Apple Distribution International Ltd (IE) โ subjekt EU; pripadne prenosy voci Apple Inc. (USA) regulovane SCC 2021/914 (Apple sa nezucastnuje DPF)
- Google Ireland Ltd / Google LLC (USA, aktivna certifikacia DPF)
- Microsoft Ireland / Microsoft Corp. (USA, aktivna certifikacia DPF)
- Smart zamky (volitelne, ak su aktivovane): Tuya Smart (CN) โ SCC EU a doplnkove opatrenia
- Profesionalni konzultanti: uctovnik, advokat, IT konzultanti, urceni ako Sprostredkovatelia alebo nezavisli Prevadzkovatelia podla potreby
OTA (nezavisli prevadzkovatelia pre vztah s cestovatelom)
- Booking.com, Airbnb, Expedia, VRBO, Agoda a priblizne 55 dalsich kanalov pripojenych cez STAAH: udaje rezervacie prechadzaju na zaklade zmluvy medzi zariadenim a OTA
7.2 Prenos udajov mimo EU
Niektore spracuvania zahrnaju prenosy osobnych udajov mimo Europskej unie. Vo vsetkych pripadoch su prijate zaruky v zmysle Kapitoly V GDPR:
- USA โ EU-U.S. Data Privacy Framework (Rozhodnutie (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktivne certifikacie v ramci (overenie na dataprivacyframework.gov/list)
- USA โ Standardne zmluvne dolozky (SCC) 2021/914: Apple Inc. โ Apple sa nezucastnuje DPF; zmluvny vztah pre pouzivatelov EU je s Apple Distribution International Ltd (Irsko), a pripadne prenosy voci Apple Inc. (USA) prebiehaju prostrednictvom SCC a internych mechanizmov Apple
- Novy Zeland โ Rozhodnutie o primeranosti (Rozhodnutie EU 2013/65): STAAH Limited
- Cina (volitelne) โ Standardne zmluvne dolozky (SCC) 2021/914 + doplnkove opatrenia: Tuya Smart, iba pre zariadenia, ktore aktivuju smart zamky
- Pre kazdy prenos v pripade absencie aktivneho DPF alebo primeranosti Vezpa prijima SCC EU 2021/914 a, ak je to aplikovatelne, dokumentovane Transfer Impact Assessment (TIA)
7.3 Sirenie
Osobne udaje nie su predmetom sirenia (oznamenie neurcitym subjektom) a nie su predavane.
8. Prava dotknutej osoby
V zmysle clankov 15-22 GDPR mate pravo na:
- ๐ง Pristup (cl. 15): ziskat potvrdenie o existencii Vasich udajov a dostat ich kopiu
- โ๏ธ Oprava (cl. 16): opravit nepresne alebo nekompletne udaje
- ๐๏ธ Vymazanie (cl. 17): ziskat vymazanie udajov (pravo na zabudnutie) pri splneni podmienok
- โธ๏ธ Obmedzenie (cl. 18): obmedzit spracuvanie za urcitych podmienok
- ๐ค Prenositelnost (cl. 20): dostat udaje v strukturovanom formate a preniest ich inemu prevadzkovatelovi
- ๐ซ Namietka (cl. 21): namietat proti spracuvaniu z opravnenych dovodov
- โ Odvolanie suhlasu: kedykolvek odvolat suhlas s marketingom
โ ๏ธ Dolezita poznamka: Pre udaje hosti musia byt tieto prava uplatnovane u ubytovacieho zariadenia (ktore je Prevadzkovatelom spracuvania), nie priamo voci Vezpa. Vezpa ako Sprostredkovatel asistuje Prevadzkovatelovi pri vybavovani ziadosti v zmysle cl. 28.3.e GDPR.
Marketing a newsletter
Registracia na obchodne oznamenia vyzaduje vyslovny suhlas s double opt-in (potvrdenie cez email link). Kazde oznamenie obsahuje okamzity odhlasovaci link. Pre existujucich klientov moze Vezpa zasielat oznamenia o podobnych produktoch a sluzbach v zmysle cl. 130.4 D.Lgs. 196/2003 ("soft opt-in"), s moznostou vzdy aktivnej namietky.
Ako uplatnit prava
Vase prava mozete uplatnit napisanim na:
Odpovieme Vam do 30 dni od ziadosti.
Pravo na podanie staznosti
Ak sa domnievate, ze spracuvanie Vasich udajov porusuje GDPR, mate pravo podat staznost dozornemu organu:
taliansky urad na ochranu osobnych udajov (Garante)
Piazza Venezia, 11 - 00187 Rim
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it
Pouzivatelia na Slovensku sa mozu obratit aj na Urad na ochranu osobnych udajov SR (www.dataprotection.gov.sk).
9. Maloleti
Sluzba Vezpa PMS je urcena vyhradne pre osoby starsie ako 18 rokov. Vedome nezhromazdujeme udaje maloletych. Ak rodic alebo opatrovnik zisti, ze maloleta osoba poskytla osobne udaje, moze nas kontaktovat za ucelom ich okamziteho vymazania.
10. Zmeny v Zasadach ochrany osobnych udajov
Tieto Zasady ochrany osobnych udajov mozu byt v case upravene. Kazda podstatna zmena bude oznamena s primeranym predstihom prostrednictvom:
- Zverejnenia novej verzie na webstranke
- Emailovej notifikacie registrovanym pouzivatelom
- Informacneho banneru v rezervovanej oblasti
Datum poslednej aktualizacie je vzdy uvedeny v zahlavi dokumentu.
ยฉ 2022-2026 Vezpa - Vsetky prava vyhradene |
Zasady ochrany osobnych udajov |
Podmienky sluzby |
Cookie zasady |
GDPR |
DPA |
Dalsi sprostredkovatelia