📌 Правен приоритет: настоящият документ е любезен превод от италианския оригинал. В случай на несъответствие между този превод и италианската версия,
италианската версия има предимство като правно обвързваща референция. Италианският оригинал е достъпен тук:
https://vezpa.it/dpa/.
📌 Цел на настоящия документ: настоящият Договор за обработване на лични данни (
DPA) регулира обработването на лични данни на
гостите на обектите за настаняване, които използват платформата Vezpa. Обектът (
Администратор) възлага на Vezpa (
Обработващ) обработването на такива данни. DPA е неразделна част от
Общите условия за услугата и се приема едновременно с регистрацията на обекта.
За кого се прилага: настоящият DPA се прилага всеки път, когато обектът използва Vezpa за обработване на лични данни на лица, различни от самия обект (обикновено: гости, техните придружители, контакти на резервацията).
Не се прилага за обработването на данни на професионалните потребители на обекта, за които Vezpa действа като самостоятелен Администратор (вижте
Политика за поверителност).
1. Страни
| Администратор на лични данни („Администратор") |
Обектът за настаняване, който сключва абонамента Vezpa, както е посочено в собствения си акаунт (наименование, ДДС №, седалище, законен представител). |
| Обработващ лични данни („Обработващ" / „Vezpa") |
Vezpa di Paolo Vezzola, ДДС № 04449070988, със седалище в via San Zeno 67, 25015 Desenzano del Garda (BS), Италия. PEC: [email protected] · Имейл: [email protected] |
2. Предмет и срок (чл. 28.3 ОРЗД)
Администраторът възлага на Обработващия да обработва лични данни от негово име чрез платформата Vezpa. Обработването има срок на абонаментния договор между страните и приключва с неговото прекратяване, при условията на §14.
3. Естество, цели и вид на обработваните данни
3.1 Цели
- Управление на резервациите, престоя и чекин/чекаут
- Изпълнение на законовите задължения на Администратора към публичните органи (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Съобщаване на резервационни данни на OTA каналите и channel manager, активирани от обекта
- Издаване на съобщения до госта (потвърждения, pre-check-in, плащания)
- Обработване на плащания чрез Booking Engine или Stripe връзка
- Изготвяне на отчети и статистики за Администратора
3.2 Категории субекти на данни
- Гости на обектите и техните придружители
- Лица, резервиращи от името на други
- Аварийни контакти, евентуално предоставени от госта
3.3 Вид обработвани лични данни
- Идентификационни и лични данни (име, фамилия, дата и място на раждане, гражданство, пол)
- Документи за самоличност (вид, номер, дата на издаване, издаващ орган, сканирано или фотографирано изображение)
- Текстови данни, извлечени от документа чрез автоматичен OCR
- Данни за контакт (имейл, телефон, адрес)
- Данни за резервация и престой
- Платежни данни (обработвани от Stripe, не се съхраняват в Vezpa)
⚠️ Специални данни (чл. 9 ОРЗД): документът за самоличност може да съдържа специални данни (напр. място на раждане). Администраторът декларира, че разполага с подходящо правно основание по чл. 9.2 ОРЗД (обикновено б. б, е или ж) и инструктира Обработващия да ограничи обработването на такива данни до съобщенията, изисквани от закона, към публичните органи и до съхранението в предвидените срокове.
4. Инструкции на Администратора (чл. 28.3.а ОРЗД)
Обработващият обработва личните данни изключително въз основа на документирани инструкции на Администратора. Общите инструкции се съдържат в настоящия DPA, в Политиката за поверителност, в Информацията по ОРЗД и в Общите условия за услугата. Специфични инструкции могат да бъдат дадени от Администратора чрез:
- Конфигурации в собствения си акаунт (активиране/деактивиране на държавни конектори, OTA, retention)
- Писмено съобщение до [email protected] или чрез PEC до [email protected]
Ако Обработващият счита, че дадена инструкция нарушава ОРЗД или други приложими разпоредби, информира незабавно Администратора.
5. Задължения на Обработващия (чл. 28.3.б-з ОРЗД)
Обработващият се задължава да:
- Поверителност: да обработва данните поверително и да осигури, че оторизираните за обработване лица са обвързани със задължение за поверителност;
- Сигурност: да приеме техническите и организационни мерки по Приложение Б, съобразени с риска;
- Подобработващи: да спазва условията на §6;
- Съдействие на Администратора: да подпомага Администратора при изпълнение на неговите задължения, по-специално:
- Отговор на исканията на субектите на данни (чл. 15-22 ОРЗД) в срокове, които позволяват на Администратора да отговори в законовите 30 дни;
- Уведомяване за data breach към Администратора в рамките на 24 часа от откриването (§7);
- Съдействие за DPIA (чл. 35) и предварителни консултации (чл. 36);
- Доказване на съответствие чрез документация и, при поискване, одит (§9).
- Връщане / заличаване на данните в края, както е предвидено в §14;
- Информация: да предоставя на Администратора цялата информация, необходима за доказване на съответствието с настоящия DPA.
6. Подобработващи (чл. 28.2 и 28.4 ОРЗД)
6.1 Общо разрешение
Администраторът оторизира Обработващия да назначава подобработващите, изброени на vezpa.it/subprocessors и тези, които ще бъдат добавени впоследствие съгласно описаната тук процедура.
6.2 Предизвестие за промяна
Обработващият съобщава на Администратора намерението си да добави или замени подобработващ с предизвестие от поне 30 дни, чрез имейл до регистрирания адрес и/или съобщение в таблото. В рамките на този срок Администраторът може мотивирано да възрази. В случай на неразрешимо възражение всяка страна може да прекрати договора с прекратяване на засегнатото обработване.
6.3 Задължения към подобработващите
Обработващият налага на подобработващите писмено задължения за защита на данните, еквивалентни на предвидените тук, и отговаря пред Администратора за действията на подобработващите.
7. Нарушение на данните (чл. 33 ОРЗД)
В случай на нарушение на личните данни, което засяга данни, обработвани от името на Администратора, Обработващият:
- Уведомява Администратора без ненужно забавяне и във всички случаи в рамките на 24 часа от откриването;
- Предоставя информацията по чл. 33.3 ОРЗД (естество, категории и приблизителен брой на засегнатите субекти и данни, вероятни последствия, приети или предложени мерки);
- Сътрудничи на Администратора при съобщенията до субектите и надзорния орган;
- Документира инцидента и предприетите действия.
Уведомяването до Администратора се извършва по имейл до регистрирания адрес и PEC, ако е наличен. Администраторът остава отговорен за външните уведомявания (Garante, субекти) съгласно чл. 33-34 ОРЗД.
8. Права на субектите на данни (чл. 28.3.д ОРЗД)
Ако субект се обърне директно към Обработващия, за да упражни права, свързани с данни, обработвани от името на Администратора, Обработващият препраща искането към Администратора без забавяне и не отговаря от името на Администратора, освен при различни инструкции.
Обработващият предоставя на Администратора в таблото и чрез API функционалности за:
- Експорт на данните на субект (достъп и преносимост)
- Коригиране
- Заличаване или анонимизация
- Ограничаване на обработването
За искания, изискващи ръчна техническа намеса, Обработващият отговаря в рамките на 10 работни дни от получаване на инструкцията на Администратора.
9. Одит (чл. 28.3.з ОРЗД)
Обработващият предоставя на Администратора при поискване информация и документация, доказващи съответствието с настоящия DPA, включително:
- Резюме на приложените мерки за сигурност
- Списък на подобработващите със седалища и основания за прехвърляне
- Регистър на обработванията (релевантни извлечения)
- Сертификации на подобработващите (ISO 27001, SOC 2, DPF), където са налични
Администраторът може да проведе одит (директно или чрез независими трети страни, обвързани с поверителност) с предизвестие поне 30 дни, през работно време, без да прекъсва дейностите и с честота не повече от веднъж годишно (освен при data breach). Всяка страна поема собствените си разходи.
10. Прехвърляния извън ЕС (Глава V ОРЗД)
Списъкът на подобработващите с посочване на седалището и правното основание на прехвърлянето е публикуван на vezpa.it/subprocessors. За прехвърляния, непокрити от решение за адекватност, Обработващият приема:
- Стандартни договорни клаузи 2021/914 и допълнителни мерки, където са необходими (документирана Transfer Impact Assessment);
- Или други подходящи гаранции, предвидени в чл. 46 ОРЗД.
11. Роля на Администратора
Администраторът декларира и гарантира, че:
- Е предоставил на субектите информацията, предвидена в чл. 13-14 ОРЗД;
- Е получил евентуалните правни основания (съгласие, договор, законово задължение), необходими за обработването;
- Дава законосъобразни инструкции на Обработващия;
- Гарантира правилното съхранение и заличаване на данните след оттегляне от платформата Vezpa.
12. Поверителност
Всяка страна запазва строго поверителна цялата информация, получена от другата страна при изпълнение на настоящия DPA, за целия срок на договора и за 5 години след това.
13. Отговорност
Отговорността на всяка страна по чл. 82 ОРЗД към субектите остава регулирана от закона. В отношенията между страните режимът на договорна отговорност е установен в Общите условия за услугата (§9-10), при запазване на неотменимото разпределение, предвидено в чл. 82 ОРЗД.
14. Прекратяване на обработването
При прекратяване на договора по каквато и да е причина, Обработващият:
- Предоставя на Администратора инструментите за експорт на неговите данни в структуриран формат (CSV/JSON) за 30 дни от прекратяването;
- След изтичане на 30 дни заличава или анонимизира данните, обработвани от името на Администратора, от производствените системи;
- Заличава данните от резервните копия в рамките на следващия ротационен цикъл (обикновено в рамките на 90 дни);
- Запазва данните, които Vezpa е задължена да съхранява по закон (обикновено: данни за фактуриране и логове за сигурност), само за сроковете, наложени от приложимата нормативна уредба, като поддържа върху тях подходящи мерки за сигурност.
15. Промени
Обработващият може да променя настоящия DPA, за да отразява нормативни еволюции (напр. нови SCC, мерки на Garante) или организационни изменения. Съществените промени се съобщават на Администратора с предизвестие поне 30 дни. Ако Администраторът не приема, той може да прекрати без неустойки за неизползваната част от абонамента.
16. Приложимо право
Настоящият DPA се регулира от италианското право. За споровете се прилага §16 от Общите условия за услугата.
Приложение A - Обобщено описание на обработването
| Елемент |
Описание |
| Естество на обработването |
Събиране, записване, организиране, структуриране, съхранение, адаптиране, извличане, справка, употреба, съобщаване, предаване към OTA канали и публични органи, заличаване |
| Цели |
Вижте §3.1 |
| Категории субекти |
Вижте §3.2 |
| Категории данни |
Вижте §3.3 |
| Срок |
За целия срок на договора. Специфичен retention за категории данни съгласно Политиката за поверителност §6 |
Приложение Б - Технически и организационни мерки за сигурност (чл. 32 ОРЗД)
Технически мерки
- Криптиране при пренос: HTTPS/TLS 1.2+, HSTS
- Криптиране при съхранение: чувствителни полета с django-cryptography, томове и снимки, криптирани от страна на инфраструктурата (DigitalOcean)
- Хеширане на пароли с PBKDF2 със salt (по подразбиране на Django)
- Автентикация: JWT с ротация (access 15 мин., refresh 180 дни с черен списък), опционално 2FA TOTP
- Bot blocker и rate limiting за предотвратяване на автоматизирани атаки
- Контрол на достъпа на базата на роли (директор/асистент/камериерка/наблюдател)
- Резервни копия, управлявани от доставчика на инфраструктурата в ЕС
- Логове на приложение и достъп за откриване на аномалии
- Secure Storage от страна на приложението: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Организационни мерки
- Vezpa понастоящем действа като едноличен търговец без служители; евентуални външни сътрудници се определят писмено като Обработващи или Оправомощени лица със задължения за поверителност
- Документирана процедура за incident response
- Актуализиран регистър на обработванията (чл. 30)
- DPA с основните подобработващи
- Privacy by Design and by Default в етапите на разработка
- Разделяне на средите производство / staging / разработка
Приложение В - Оторизирани подобработващи
Действащият списък е публикуван и поддържан актуализиран на vezpa.it/subprocessors. При влизане в договора списъкът включва (наред с другото):
- DigitalOcean LLC - инфраструктура (ЕС Франкфурт + САЩ DPF)
- Stripe - плащания (ЕС/САЩ DPF)
- Google LLC - Firebase Cloud Messaging (САЩ DPF)
- IONOS SE - имейл (DE)
- STAAH Limited - channel manager OTA (NZ, адекватност)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple не участва в DPF, прехвърлянията към САЩ чрез SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app purchase (САЩ, активна сертификация по DPF)
- Tuya Smart - интелигентни брави (CN, само ако е активирано от обекта, SCC)
© 2022-2026 Vezpa - Всички права запазени |
Политика за поверителност |
Условия за услугата |
Политика за бисквитки |
GDPR |
DPA |
Подобработващи