Integritetspolicy

1. Personuppgiftsansvarig

Personuppgiftsansvarig for behandlingen av personuppgifter ar:

Vezpa di Paolo Vezzola
Registrerat sate: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italien
Momsregistreringsnummer: 04449070988
Skatteregistreringsnummer: VZZPLA84C10D284C
E-post: [email protected]
PEC: [email protected]

2. Tillampningsomrade

Denna integritetspolicy galler for plattformen Vezpa PMS (webb, dator och mobil) samt for de webbplatsens sidor dar detta meddelande publiceras.

3. Insamlade personuppgifter

3.1 Tjansteanvandarnas uppgifter (anlaggningsforvaltare)

Nar ni registrerar er hos Vezpa som forvaltare av logianlaggning samlar vi in:

Personuppgifter: fornamn, efternamn, e-post, telefonnummer
Anlaggningens uppgifter: namn, adress, typ, momsregistreringsnummer
Faktureringsuppgifter: faktureringsadress, skatte-/momsnummer, elektronisk fakturakod/PEC
Inloggningsuppgifter: e-post och losenord (krypterat)
Betalningsuppgifter: hanteras av externa PCI-DSS-certifierade leverantorer (vi lagrar inte direkt kreditkortsuppgifter)

3.2 Anlaggningarnas gasters uppgifter

For anlaggningsforvaltarnas rakning (i egenskap av personuppgiftsbitrade enligt art. 28 GDPR, reglerat av DPA) samlar systemet in:

Identifieringsuppgifter: fornamn, efternamn, fodelseort och -datum, medborgarskap, kon
Identitetshandlingar: typ, nummer, utfardandeort och -datum, skannad eller fotograferad bild av handlingen. Dessa bilder kan bearbetas med automatisk OCR for extraktion av textuppgifter, utan lagring av harledda biometriska uppgifter.
Kontaktuppgifter: e-post, telefonnummer
Bokningsuppgifter: vistelsedatum, antal gaster, priser, maltidsarrangemang
Betalningsuppgifter: endast om betalningen sker via Vezpas bokningsmotor eller Stripe-lank; kortuppgifter lagras aldrig pa Vezpas servrar

            ⚠️ Identitetshandlingar och sarskilda kategorier (art. 9 GDPR): identitetshandlingar kan innehalla uppgifter som kan klassificeras som "sarskilda" (t.ex. fodelseort fran vilken etniskt ursprung kan harledas). Vezpa behandlar sadana uppgifter endast i den utstrackning som strikt kravs av forvaltarens rattsliga skyldigheter gentemot offentliga myndigheter, utfor ingen profilering pa dem och delar dem inte med andra an de myndigheter och underbitraden som anges i §7.
        

3.3 Navigationsdata

IP-adress
Webblasar- och enhetstyp
Besokta sidor och vistelsetid
Operativsystem
Referrer (ursprung)

3.4 Kakor

Vi anvander tekniska kakor som ar nodvandiga for tjanstens funktion. For mer detaljer, se var Cookiepolicy.

4. Andamal med behandlingen och rattslig grund

4.1 For anlaggningsforvaltare

Andamal	Rattslig grund
Tillhandahallande av PMS-tjansten	Fullgorande av avtal (art. 6.1.b GDPR)
Fakturering och skattemassiga skyldigheter	Rattslig forpliktelse (art. 6.1.c GDPR)
Kundtjanst	Fullgorande av avtal (art. 6.1.b GDPR)
Sakerhet, bedragerifoebyggande, tjansteleverans	Berattigat intresse (art. 6.1.f GDPR)
Utskick av marknadsforingsmeddelanden	Samtycke (art. 6.1.a GDPR) - endast om godkant

4.2 For anlaggningarnas gaster

Viktigt: For gasternas uppgifter ar logianlaggningen personuppgiftsansvarig. Vezpa agerar som personuppgiftsbitrade enligt dokumenterade instruktioner fran anlaggningsforvaltaren, i enlighet med personuppgiftsbitradesavtalet.

Incheckning och gastregistrering: rattslig forpliktelse (italienska TULPS-lagen, art. 109, D.Lgs. 159/2011) for Italien; motsvarande lagstiftning for andra medlemsstater som stods
Obligatoriska statliga rapporteringar: AlloggiatiWeb (IT-Polis), ISTAT (IT), PayTourist (IT-kommuner), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - var och en aktiveras endast om anlaggningen finns i motsvarande stat
Hantering av bokning och vistelse: fullgorande av avtal (art. 6.1.b)
Kommunikation till OTA och channel manager: fullgorande av bokningsavtalet (art. 6.1.b), endast kanaler som aktiverats av anlaggningen

5. Behandlingsmetoder

Personuppgifter behandlas med elektroniska verktyg, med logik som ar strikt kopplad till andamalen och genom tillampning av lampliga sakerhetsatgarder (art. 32 GDPR):

🔐 Kryptering vid overforing: alla uppgifter overfors via HTTPS/TLS 1.2+-protokoll
🔐 Losenord: lagras med sakra hash-algoritmer (PBKDF2 Django default)
🔐 Tokens: JWT access 15 minuter, refresh med rotation och svartlistning, 2FA TOTP tillgangligt
🔐 Atkomstkontroll: rollbaserade behorigheter (direktor/assistent/stadare/observator), principen om minsta behorighet
🔐 Backup: utfors regelbundet av infrastrukturleverantoren (DigitalOcean), placering inom EU (Frankfurt)
🔐 Hosting: DigitalOcean-servrar placerade i Europeiska unionen (region FRA1), lagring DigitalOcean Spaces Frankfurt
🔐 Overvakning: atkomst- och tillampningsloggar, automatiserad avvikelsedetektering, blockering av bottar och skannrar

6. Lagring av uppgifter

Personuppgifterna lagras endast sa lange som strikt nodvandigt:

Forvaltaruppgifter (kunder): avtalets varaktighet + 10 ar for skatte- och redovisningsmassiga skyldigheter
Faktureringsuppgifter: 10 ar (art. 2220 c.c., skatteplikt)
Gasternas uppgifter (behandlade av Vezpa som personuppgiftsbitrade):
- AlloggiatiWeb-rapporteringar: lagringstiden faststalls av den personuppgiftsansvarige (anlaggningen) baserat pa tillamplig lagstiftning
- ISTAT-rapporteringar: enligt ISTAT-regler
- Ovriga bokningsuppgifter: enligt den personuppgiftsansvariges instruktioner i DPA (vanligtvis 10 ar for skattemassiga andamal)
- Vid avtalets upphorande med den personuppgiftsansvarige raderar eller aterlamnar Vezpa gasternas uppgifter inom 30 dagar, med forbehall for egna lagringsskyldigheter (t.ex. fakturering)
Atkomst- och tillampningsloggar: upp till 24 manader for sakerhet och rattsligt forsvar (berattigat intresse)
Autentiseringstokens och betrodda enheter: 90 dagar fran senaste anvandning
Marknadsforingsuppgifter (nyhetsbrev, kampanjer): till atertagande av samtycke, med tvaarig granskning
Supportarenden: avtalets varaktighet + 2 ar

7. Kommunikation och spridning av uppgifter

7.1 Mottagare av uppgifter

Era uppgifter kan delas med foljande kategorier av mottagare. Den alltid uppdaterade namngivna listan over underbitraden publiceras pa vezpa.it/subprocessors.

Offentliga myndigheter (sjalvstandiga personuppgiftsansvariga, rattslig forpliktelse)

Italien: Polis / AlloggiatiWeb, ISTAT, kommuner (via PayTourist for turistskatt), Skatteverket
Osterrike: Feratel/Meldeamt
Spanien: SES.HOSPEDAJES (Ministerio del Interior)
Ungern: NTAK
Kroatien: eVisitor
Portugal: SEF
Tjeckien: UbyPort
Slovenien: eTurizem / AJPES

Varje statlig anslutning aktiveras endast om anlaggningen finns i motsvarande stat. Uppgifterna konfigureras av anlaggningen sjalv.

Underbitraden (art. 28.4 GDPR)

Infrastruktur: DigitalOcean LLC (server Frankfurt, databas, Spaces/CDN, Redis) - USA/EU med DPF och SCC
Betalningar: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) - PCI-DSS, DPF-certifierat
Transaktionell e-post och PEC: IONOS SE (DE)
Mobila push-notiser: Google LLC - Firebase Cloud Messaging (USA, DPF-certifierat)
Channel Manager OTA: STAAH Limited (Nya Zeeland) - land med EU-beslut om adekvat skyddsniva (2012)
In-app purchase och abonnemang:
- Apple Distribution International Ltd (IE) - EU-enhet; eventuella overforingar till Apple Inc. (USA) regleras av SCC 2021/914 (Apple deltar inte i DPF)
- Google Ireland Ltd / Google LLC (USA, aktiv DPF-certifiering)
- Microsoft Ireland / Microsoft Corp. (USA, aktiv DPF-certifiering)
Smarta las (valfritt, om aktiverat): Tuya Smart (CN) - EU-SCC och kompletterande atgarder
Professionella radgivare: revisor, advokat, IT-konsulter, utsedda som personuppgiftsbitraden eller sjalvstandiga personuppgiftsansvariga efter behov

OTA (sjalvstandiga personuppgiftsansvariga for relationen med resenaren)

Booking.com, Airbnb, Expedia, VRBO, Agoda och cirka 55 andra kanaler anslutna via STAAH: bokningsuppgifter overfors enligt avtalet mellan anlaggningen och OTA

7.2 Overforing av uppgifter utanfor EU

Vissa behandlingar innebar overforing av personuppgifter utanfor Europeiska unionen. I samtliga fall tillampas garantier enligt kapitel V GDPR:

USA — EU-U.S. Data Privacy Framework (Beslut (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, aktiva certifieringar i ramverket (kontrollera pa dataprivacyframework.gov/list)
USA — Standardavtalsklausuler (SCC 2021/914): Apple Inc. - Apple deltar inte i DPF; avtalsforhallandet for EU-anvandare ar med Apple Distribution International Ltd (Irland), och eventuella overforingar till Apple Inc. (USA) sker via SCC och Apples interna mekanismer
Nya Zeeland — Beslut om adekvat skyddsniva (Beslut (EU) 2013/65): STAAH Limited
Kina (valfritt) — Standardavtalsklausuler (SCC) 2021/914 + kompletterande atgarder: Tuya Smart, endast for anlaggningar som aktiverar smarta las
For varje overforing utan aktiv DPF eller adekvat skyddsniva tillampar Vezpa EU-SCC 2021/914 och, nar tillampligt, dokumenterad Transfer Impact Assessment (TIA)

7.3 Spridning

Personuppgifter ar inte foremal for spridning (kommunikation till obestamda mottagare) och saljs inte.

8. Den registrerades rattigheter

Enligt artiklarna 15-22 i GDPR har ni ratt att:

📧 Tillgang (art. 15): erhalla bekraftelse pa att era uppgifter finns och fa en kopia
✏️ Rattelse (art. 16): korrigera felaktiga eller ofullstandiga uppgifter
🗑️ Radering (art. 17): fa uppgifter raderade (ratten att bli bortglomd) nar forutsattningarna foreligger
⏸️ Begransning (art. 18): begransa behandlingen under vissa omstandigheter
📤 Dataportabilitet (art. 20): ta emot uppgifterna i strukturerat format och overfora dem till en annan personuppgiftsansvarig
🚫 Invandning (art. 21): invanda mot behandlingen av legitima skal
❌ Atertagande av samtycke: nar som helst ateta samtycke till marknadsforing

            ⚠️ Viktig notering: For gasternas uppgifter ska dessa rattigheter utovas gentemot logianlaggningen (som ar personuppgiftsansvarig), inte direkt gentemot Vezpa. Vezpa, som personuppgiftsbitrade, bistar den personuppgiftsansvarige i hanteringen av forfragningar enligt art. 28.3.e GDPR.
        

Marknadsforing och nyhetsbrev

Registrering for kommersiella meddelanden kraver uttryckligt samtycke med dubbel opt-in (bekraftelse via e-postlank). Varje meddelande innehaller en omedelbar avregistreringslank. For befintliga kunder kan Vezpa skicka meddelanden om liknande produkter och tjanster enligt art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), med standigt aktiv mojlighet att invanda.

Hur man utovar rattigheterna

Ni kan utova era rattigheter genom att skriva till:

📧 E-post: [email protected]
✉️ PEC: [email protected]
📮 Rekommenderat brev till adressen i sidhuvudet

Vi svarar inom 30 dagar fran forfragan.

Klagoratt

Om ni anser att behandlingen av era uppgifter strider mot GDPR har ni ratt att lamna in klagomal till tillsynsmyndigheten:

Italienska dataskyddsmyndigheten (Garante)
Piazza Venezia, 11 - 00187 Rom
E-post: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Webb: www.garanteprivacy.it

Anvandare i Sverige kan ocksa kontakta Integritetsskyddsmyndigheten - IMY (www.imy.se).

9. Minderariga

Tjansten Vezpa PMS ar uteslutande avsedd for personer over 18 ar. Vi samlar inte medvetet in uppgifter om minderariga. Om en foralder eller vardnadshavare anser att en minderarig har lamnat personuppgifter kan de kontakta oss for omedelbar radering.

10. Andringar av integritetspolicyn

Denna integritetspolicy kan andras over tid. Varje vasentlig andring kommer att meddelas med lampligt varsel via:

Publicering av den nya versionen pa webbplatsen
E-postnotiser till registrerade anvandare
Informationsbanner i det skyddade omradet

Datumet for senaste uppdatering anges alltid overst i dokumentet.