SMLOUVA O ZPRACOVANI OSOBNICH UDAJU (DPA)

1. Strany

2. Predmet a doba trvani (cl. 28.3 GDPR)

Spravce poveruje Zpracovatele zpracovanim osobnich udaju sve jmenem prostrednictvim platformy Vezpa. Zpracovani ma dobu trvani smlouvy o predplatnem mezi stranami a konci jeji ukoncenim, s vyhradou ustanoveni §14.

3. Povaha, ucely a typ zpracovanych udaju

3.1 Ucely

• Sprava rezervaci, pobytu a check-in/check-out
• Plneni pravnich povinnosti Spravce vuci verejnym organum (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
• Sdeleni udaju o rezervaci OTA kanalum a channel manageru aktivovanym zarizenim
• Zasilani sdeleni hostu (potvrzeni, pre-check-in, platby)
• Zpracovani plateb pres Booking Engine nebo Stripe odkaz
• Vytvareni reportu a statistik pro Spravce

3.2 Kategorie subjektu udaju

• Hoste zarizeni a jejich doprovod
• Osoby, ktere rezervuji jmenem druhych
• Kontakty v pripade nouze pripadne poskytnute hostem

3.3 Typ zpracovanych osobnich udaju

• Identifikacni udaje (jmeno, prijmeni, datum a misto narozeni, statni obcanstvi, pohlavi)
• Doklady totoznosti (typ, cislo, datum vydani, vydavajici organ, naskenovany nebo vyfotografovany obraz)
• Textove udaje extrahovane z dokladu pres automaticke OCR
• Kontaktni udaje (e-mail, telefon, adresa)
• Udaje o rezervaci a pobytu
• Platebni udaje (spravovane Stripe, neulozene na Vezpa)

4. Pokyny Spravce (cl. 28.3.a GDPR)

Zpracovatel zpracovava osobni udaje vyhradne na zaklade dokumentovanych pokynu Spravce. Obecne pokyny jsou obsazeny v teto DPA, v Zasadach ochrany osobnich udaju, v GDPR informaci a v Podminkach sluzby. Specificke pokyny muze Spravce udelit pres:

• Konfigurace ve vlastnim uctu (aktivace/deaktivace vladnich konektoru, OTA, retence)
• Pisemne sdeleni na [email protected] nebo PEC na [email protected]

Pokud se Zpracovatel domniva, ze pokyn porusuje GDPR nebo jine platne predpisy, okamzite o tom informuje Spravce.

5. Povinnosti Zpracovatele (cl. 28.3.b-h GDPR)

Zpracovatel se zavazuje:

1. Duvernost: zpracovavat udaje duverne a zajistit, ze osoby opravnene ke zpracovani jsou vazany povinnosti mlcenlivosti;
2. Bezpecnost: prijmout technicka a organizacni opatreni uvedena v Priloze B, odpovidajici riziku;
3. Dalsi zpracovatele: dodrzovat podminky §6;
4. Pomoc Spravci: pomahat Spravci pri plneni jeho povinnosti, zejmena:
   • Odpoved na zadosti subjektu udaju (cl. 15-22 GDPR) v case umoznujicim Spravci odpovedet v 30denni zakonne lhute;
   • Oznameni data breach Spravci do 24 hodin od zjisteni (§7);
   • Podpora pro DPIA (cl. 35) a predchozi konzultace (cl. 36);
   • Prokazovani souladu prostrednictvim dokumentace a, pokud je vyzadovano, auditu (§9).
5. Vraceni / vymaz udaju po ukonceni, jak je uvedeno v §14;
6. Informace: zpristupnit Spravci vsechny informace nezbytne k prokazani souladu s touto DPA.

6. Dalsi zpracovatele (cl. 28.2 a 28.4 GDPR)

6.1 Obecne povoleni

Spravce povoluje Zpracovateli jmenovat dalsi zpracovatele uvedene na vezpa.it/subprocessors a ty, kteri budou pozdeji doplneni podle zde popsane procedury.

6.2 Predchozi oznameni o zmene

Zpracovatel sdeluje Spravci zamer pridat nebo nahradit dalsiho zpracovatele alespon 30 dni predem, e-mailem na registrovanou adresu a/nebo oznamenim v dashboardu. V teto lhute muze Spravce vznest oduvodnenou namitku. V pripade neresitelne namitky muze kazda strana odstoupit od smlouvy s ukoncenim dotceneho zpracovani.

6.3 Povinnosti vuci dalsim zpracovatelum

Zpracovatel uklada dalsim zpracovatelum pisemne povinnosti ochrany udaju rovnocenne tem zde stanovenym a odpovida Spravci za jednani dalsich zpracovatelu.

7. Data breach (cl. 33 GDPR)

V pripade poruseni osobnich udaju, ktere se tyka udaju zpracovavanych jmenem Spravce, Zpracovatel:

• Oznami Spravci bez zbytecneho odkladu a v kazdem pripade do 24 hodin od zjisteni;
• Poskytne informace podle cl. 33.3 GDPR (povaha, kategorie a priblizny pocet subjektu a udaju, pravdepodobne nasledky, prijata nebo navrzena opatreni);
• Spolupracuje se Spravcem pri komunikaci se subjekty udaju a dozorcim organem;
• Dokumentuje incident a podniknute akce.

Oznameni Spravci probiha e-mailem na registrovanou adresu a PEC, pokud je k dispozici. Spravce zustava odpovedny za externi oznameni (italsky urad pro ochranu osobnich udaju Garante, subjekty udaju) podle cl. 33-34 GDPR.

8. Prava subjektu udaju (cl. 28.3.e GDPR)

Pokud se subjekt udaju obrati primo na Zpracovatele za ucelem uplatneni prav tykajicich se udaju zpracovavanych jmenem Spravce, Zpracovatel predava zadost Spravci bez odkladu a neodpovida jmenem Spravce, pokud neni stanoveno jinak.

Zpracovatel zpristupnuje Spravci v dashboardu a pres API funkce pro:

• Export dat subjektu udaju (pristup a prenositelnost)
• Opravu
• Vymaz nebo anonymizaci
• Omezeni zpracovani

Pro zadosti vyzadujici manualni technicky zasah Zpracovatel odpovida do 10 pracovnich dnu od obdrzeni pokynu Spravce.

9. Audit (cl. 28.3.h GDPR)

Zpracovatel poskytuje Spravci na zadost informace a dokumentaci prokazujici soulad s touto DPA, vcetne:

• Souhrnu implementovanych bezpecnostnich opatreni
• Seznamu dalsich zpracovatelu s sidly a pravnimi zaklady prenosu
• Registru zpracovani (relevantni vytahy)
• Certifikaci dalsich zpracovatelu (ISO 27001, SOC 2, DPF), pokud jsou k dispozici

Spravce muze provest audit (primo nebo prostrednictvim nezavislych tretich stran vazanych povinnosti mlcenlivosti) s predstihem alespon 30 dnu, behem pracovni doby, bez preruseni operaci a s frekvenci nejvyse jednou rocne (s vyhradou data breach). Kazda strana nese sve naklady.

10. Prenosy mimo EU (kapitola V GDPR)

Seznam dalsich zpracovatelu s uvedenim sidla a pravniho zakladu prenosu je zverejnen na vezpa.it/subprocessors. Pro prenosy nekryte rozhodnutim o adekvatnosti Zpracovatel prijima:

• Standardni smluvni dolozky 2021/914 a doplnujici opatreni tam, kde je to nezbytne (dokumentovany Transfer Impact Assessment);
• Nebo jine vhodne zaruky stanovene cl. 46 GDPR.

11. Role Spravce

Spravce prohlasuje a zarucuje, ze:

• Poskytl subjektum udaju informace pozadovane cl. 13-14 GDPR;
• Ziskal pripadne pravni zaklady (souhlas, smlouva, pravni povinnost) nezbytne pro zpracovani;
• Udeluje zakonne pokyny Zpracovateli;
• Zarucuje spravne uchovavani a vymaz udaju po odchodu z platformy Vezpa.

12. Duvernost

Kazda strana striktne zachovava duvernost vsech informaci ziskanych od druhe strany pri plneni teto DPA, po celou dobu trvani smlouvy a po nasledujicich 5 let.

13. Odpovednost

Odpovednost kazde strany podle cl. 82 GDPR vuci subjektum udaju zustava upravena zakonem. Ve vztazich mezi stranami je rezim smluvni odpovednosti ten stanoveny v Podminkach sluzby (§9-10), zustavajice zachovane nedotknutelne rozdeleni stanovene cl. 82 GDPR.

14. Ukonceni zpracovani

Pri ukonceni smlouvy z jakehokoli duvodu Zpracovatel:

1. Zpristupni Spravci nastroje pro export vlastnich dat ve strukturovanem formatu (CSV/JSON) po dobu 30 dnu od ukonceni;
2. Po uplynuti 30 dnu vymaze nebo anonymizuje udaje zpracovavane jmenem Spravce z produkcnich systemu;
3. Vymaze udaje ze zaloh v nasledujicim rotacnim cyklu (typicky do 90 dnu);
4. Uchova udaje, ktere je Vezpa povinna uchovavat ze zakona (typicky: fakturacni udaje a bezpecnostni logy) pouze po dobu ulozenou platnymi predpisy, udrzujice na nich odpovidajici bezpecnostni opatreni.

15. Zmeny

Zpracovatel muze tuto DPA zmenit k odrazeni regulatornich zmen (napr. nove SCC, opatreni italskeho uradu pro ochranu osobnich udaju Garante) nebo organizacnich zmen. Podstatne zmeny jsou oznameny Spravci alespon 30 dni predem. Pokud Spravce neprijme, muze odstoupit bez sankci za nevyuzitou cast predplatneho.

16. Rozhodne pravo

Tato DPA se ridi italskym pravem. Pro spory plati §16 Podminek sluzby.

© 2022-2026 Vezpa - Vsechna prava vyhrazena | Zasady ochrany osobnich udaju | Podminky sluzby | Zasady cookies | GDPR | DPA | Dalsi zpracovatele