📌 Juridisk forrang: dette dokument er en høflig oversættelse af det italienske original. I tilfælde af uoverensstemmelser mellem denne oversættelse og den italienske version
har den italienske version forrang som juridisk bindende reference. Italiensk original tilgængelig her:
https://vezpa.it/dpa/.
📌 Formalet med dette dokument: denne Databehandleraftale (
DPA) regulerer behandlingen af personoplysninger om
gæster pa de indkvarteringssteder, der anvender Vezpa-platformen. Indkvarteringsstedet (
Dataansvarlig) betror Vezpa (
Databehandler) behandlingen af disse data. DPA'en er en integrerende del af
Servicevilkarene og accepteres samtidig med registrering af indkvarteringsstedet.
Hvem den gælder for: denne DPA gælder, hver gang indkvarteringsstedet anvender Vezpa til at behandle personoplysninger om andre personer end indkvarteringsstedet selv (typisk: gæster, deres ledsagere, reservationskontakter).
Den gælder ikke for behandling af indkvarteringsstedets professionelle brugeres data, hvor Vezpa optræder som selvstændig Dataansvarlig (se
Privatlivspolitik).
1. Parter
| Dataansvarlig ("Dataansvarlig") |
Indkvarteringsstedet, der tegner Vezpa-abonnementet, som identificeret i sin egen konto (firmanavn, moms-nr., hjemsted, retlig repræsentant). |
| Databehandler ("Databehandler" / "Vezpa") |
Vezpa di Paolo Vezzola, moms-nr. 04449070988, hjemsted i via San Zeno 67, 25015 Desenzano del Garda (BS), Italien. PEC: [email protected] · E-mail: [email protected] |
2. Genstand og varighed (art. 28.3 GDPR)
Den Dataansvarlige giver Databehandleren opgaven at behandle personoplysninger pa egne vegne via Vezpa-platformen. Behandlingen har varigheden af abonnementskontrakten mellem parterne og ophorer ved dens opsigelse, medmindre andet er fastsat i §14.
3. Behandlingens art, formal og type af behandlede data
3.1 Formal
- Administration af reservationer, ophold og check-in/check-out
- Opfyldelse af den Dataansvarliges retlige forpligtelser over for offentlige myndigheder (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Videregivelse af reservationsdata til OTA-kanaler og channel manager aktiveret af indkvarteringsstedet
- Udstedelse af meddelelser til gæsten (bekræftelser, pre-check-in, betalinger)
- Behandling af betalinger via Booking Engine eller Stripe-link
- Produktion af rapporter og statistik til den Dataansvarlige
3.2 Kategorier af registrerede
- Gæster pa indkvarteringsstederne og deres ledsagere
- Personer, der reserverer pa vegne af andre
- Nodkontakter eventuelt oplyst af gæsten
3.3 Type af behandlede personoplysninger
- Identifikations- og persondata (fornavn, efternavn, fodselsdato og -sted, statsborgerskab, kon)
- Identitetsdokumenter (type, nummer, udstedelsesdato, udstedende myndighed, scannet eller fotograferet billede)
- Tekstdata udtrukket fra dokumentet via automatisk OCR
- Kontaktoplysninger (e-mail, telefon, adresse)
- Reservations- og opholdsdata
- Betalingsoplysninger (handteret af Stripe, ikke lagret hos Vezpa)
⚠️ Særlige data (art. 9 GDPR): identitetsdokumentet kan indeholde særlige data (f.eks. fodested). Den Dataansvarlige erklærer at have et passende retsgrundlag i henhold til art. 9.2 GDPR (typisk litra b, f eller g) og instruerer Databehandleren til at begrænse behandlingen af sadanne data til de meddelelser, der er pakrævet ved lov over for offentlige myndigheder, og til opbevaring inden for de foreskrevne frister.
4. Den Dataansvarliges instrukser (art. 28.3.a GDPR)
Databehandleren behandler personoplysninger udelukkende pa grundlag af dokumenterede instrukser fra den Dataansvarlige. De generelle instrukser er indeholdt i denne DPA, i Privatlivspolitikken, i GDPR-meddelelsen og i Servicevilkarene. Specifikke instrukser kan gives af den Dataansvarlige via:
- Konfigurationer i egen konto (aktivering/deaktivering af regeringskonnektorer, OTA, opbevaring)
- Skriftlig kommunikation til [email protected] eller via PEC til [email protected]
Hvis Databehandleren finder, at en instruks overtræder GDPR eller andre gældende bestemmelser, underretter han straks den Dataansvarlige.
5. Databehandlerens forpligtelser (art. 28.3.b-h GDPR)
Databehandleren forpligter sig til at:
- Fortrolighed: behandle data fortroligt og sikre, at de personer, der er autoriseret til behandlingen, er underlagt fortrolighedspligt;
- Sikkerhed: vedtage de tekniske og organisatoriske foranstaltninger anfort i Bilag B, der er passende i forhold til risikoen;
- Underdatabehandlere: overholde betingelserne i §6;
- Assistance til den Dataansvarlige: bista den Dataansvarlige i opfyldelsen af dennes forpligtelser, navnlig:
- Besvarelse af registreredes anmodninger (art. 15-22 GDPR) inden for frister, der gor det muligt for den Dataansvarlige at svare inden for lovens 30 dage;
- Meddelelse om data breach til den Dataansvarlige inden for 24 timer efter opdagelsen (§7);
- Stotte til DPIA (art. 35) og forudgaende konsultationer (art. 36);
- Dokumentation af overholdelse gennem dokumentation og, hvor det kræves, audit (§9).
- Tilbagelevering / sletning af data ved ophor, som fastsat i §14;
- Oplysning: stille alle oplysninger til radighed for den Dataansvarlige, der er nodvendige for at dokumentere overholdelsen af denne DPA.
6. Underdatabehandlere (art. 28.2 og 28.4 GDPR)
6.1 Generel tilladelse
Den Dataansvarlige autoriserer Databehandleren til at udpege de underdatabehandlere, der er anfort pa vezpa.it/subprocessors, og dem, der senere vil blive tilfojet efter den her beskrevne procedure.
6.2 Varsel om ændring
Databehandleren meddeler den Dataansvarlige sin hensigt om at tilfoje eller udskifte en underdatabehandler med mindst 30 dages varsel via e-mail til den registrerede adresse og/eller meddelelse i dashboardet. Inden for denne frist kan den Dataansvarlige gore begrundet indsigelse. I tilfælde af uloselig indsigelse kan hver part opsige kontrakten med ophor af den palagte behandling.
6.3 Forpligtelser over for underdatabehandlerne
Databehandleren palægger underdatabehandlerne skriftligt databeskyttelsesforpligtelser svarende til dem, der er fastsat her, og er ansvarlig over for den Dataansvarlige for underdatabehandlernes handlinger.
7. Data breach (art. 33 GDPR)
I tilfælde af brud pa persondatasikkerheden vedrorende data behandlet pa vegne af den Dataansvarlige skal Databehandleren:
- Underrette den Dataansvarlige uden ugrundet ophold og under alle omstændigheder inden for 24 timer efter opdagelsen;
- Give oplysningerne i art. 33.3 GDPR (art, kategorier og omtrentligt antal registrerede og data, sandsynlige konsekvenser, vedtagne eller foreslaede foranstaltninger);
- Samarbejde med den Dataansvarlige om meddelelser til de registrerede og til tilsynsmyndigheden;
- Dokumentere hændelsen og de trufne handlinger.
Underretning af den Dataansvarlige sker via e-mail til den registrerede adresse og PEC, hvis tilgængelig. Den Dataansvarlige forbliver ansvarlig for eksterne meddelelser (Garante, registrerede) i henhold til art. 33-34 GDPR.
8. Registreredes rettigheder (art. 28.3.e GDPR)
Hvis en registreret henvender sig direkte til Databehandleren for at udove rettigheder vedrorende data behandlet pa vegne af den Dataansvarlige, videresender Databehandleren anmodningen til den Dataansvarlige uden ophold og svarer ikke pa den Dataansvarliges vegne, medmindre der foreligger andre instrukser.
Databehandleren stiller i dashboardet og via API funktionalitet til radighed for den Dataansvarlige til:
- Eksport af en registrerets data (indsigt og dataportabilitet)
- Berigtigelse
- Sletning eller anonymisering
- Begrænsning af behandlingen
For anmodninger, der kræver manuel teknisk indgriben, svarer Databehandleren inden for 10 arbejdsdage efter modtagelse af den Dataansvarliges instruks.
9. Audit (art. 28.3.h GDPR)
Databehandleren leverer efter anmodning til den Dataansvarlige oplysninger og dokumentation, der dokumenterer overholdelse af denne DPA, herunder:
- Sammendrag af de implementerede sikkerhedsforanstaltninger
- Liste over underdatabehandlere med hjemsteder og overforselsgrundlag
- Fortegnelse over behandlingsaktiviteter (relevante uddrag)
- Certificeringer af underdatabehandlerne (ISO 27001, SOC 2, DPF), hvor tilgængelige
Den Dataansvarlige kan udfore audit (direkte eller gennem uafhængige tredjeparter underlagt fortrolighed) med mindst 30 dages varsel, i arbejdstiden, uden at afbryde driften og med en hyppighed pa hojst en gang om aret (undtagen i tilfælde af data breach). Hver part baerer sine egne omkostninger.
10. Overforsler uden for EU (GDPR's kapitel V)
Listen over underdatabehandlere med angivelse af hjemsted og retsgrundlag for overforsel er offentliggjort pa vezpa.it/subprocessors. For overforsler, der ikke er omfattet af en tilstrækkelighedsafgorelse, vedtager Databehandleren:
- Standardkontraktklausuler 2021/914 og supplerende foranstaltninger, hvor det er nodvendigt (dokumenteret Transfer Impact Assessment);
- Eller andre passende garantier fastsat i art. 46 GDPR.
11. Den Dataansvarliges rolle
Den Dataansvarlige erklærer og garanterer at:
- Have forsynet de registrerede med oplysningerne fastsat i art. 13-14 GDPR;
- Have erhvervet eventuelle retsgrundlag (samtykke, kontrakt, retlig forpligtelse), der er nodvendige for behandlingen;
- Give lovlige instrukser til Databehandleren;
- Sikre korrekt opbevaring og sletning af data efter udtrædelse af Vezpa-platformen.
12. Fortrolighed
Hver part holder strengt fortrolige alle oplysninger modtaget fra den anden part i forbindelse med udforelsen af denne DPA i hele kontraktens varighed og de efterfolgende 5 ar.
13. Ansvar
Hver parts ansvar i henhold til art. 82 GDPR over for de registrerede forbliver reguleret af loven. I forholdet mellem parterne er kontraktansvarsregimet det, der er fastsat i Servicevilkarene (§9-10), med forbehold for den ufravigelige fordeling fastsat i art. 82 GDPR.
14. Ophor af behandlingen
Ved kontraktens ophor af enhver arsag skal Databehandleren:
- Stille værktojer til radighed for den Dataansvarlige til eksport af egne data i struktureret format (CSV/JSON) i 30 dage efter ophoret;
- Efter 30 dage slette eller anonymisere data behandlet pa vegne af den Dataansvarlige fra produktionssystemerne;
- Slette data fra backup inden for den efterfolgende rotationscyklus (typisk inden for 90 dage);
- Opbevare de data, som Vezpa ved lov er forpligtet til at opbevare (typisk: faktureringsoplysninger og sikkerhedslogs) kun i de perioder, der er palagt af gældende lovgivning, med passende sikkerhedsforanstaltninger pa disse.
15. Ændringer
Databehandleren kan ændre denne DPA for at afspejle lovgivningsmæssige ændringer (f.eks. nye SCC, foranstaltninger fra Garante) eller organisatoriske ændringer. Væsentlige ændringer meddeles den Dataansvarlige med mindst 30 dages varsel. Hvis den Dataansvarlige ikke accepterer, kan den opsige uden boder for den ikke-udnyttede del af abonnementet.
16. Gældende lovgivning
Denne DPA er underlagt italiensk ret. For tvister gælder §16 i Servicevilkarene.
Bilag A - Sammenfattende beskrivelse af behandlingen
| Emne |
Beskrivelse |
| Behandlingens art |
Indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, udtrækning, konsultation, brug, videregivelse, transmission til OTA-kanaler og offentlige myndigheder, sletning |
| Formal |
Se §3.1 |
| Kategorier af registrerede |
Se §3.2 |
| Kategorier af data |
Se §3.3 |
| Varighed |
Hele kontraktens varighed. Specifik opbevaring for datakategorier som anfort i Privatlivspolitikken §6 |
Bilag B - Tekniske og organisatoriske sikkerhedsforanstaltninger (art. 32 GDPR)
Tekniske foranstaltninger
- Kryptering under overforsel: HTTPS/TLS 1.2+, HSTS
- At-rest-kryptering: folsomme felter med django-cryptography, volumener og snapshots krypteret pa infrastrukturniveau (DigitalOcean)
- Adgangskode-hashing med saltet PBKDF2 (Django default)
- Autentifikation: roterende JWT (access 15 min, refresh 180 dage med blacklist), valgfri 2FA TOTP
- Bot blocker og rate limiting for at forhindre automatiserede angreb
- Rollebaseret adgangskontrol (direktor/assistent/rengoringsansvarlig/observator)
- Backup administreret af infrastrukturudbyder i EU
- Applikations- og adgangslogs til anomaliregistrering
- Secure Storage pa app-niveau: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organisatoriske foranstaltninger
- Vezpa opererer i ojeblikket som en enkeltmandsvirksomhed uden ansatte; eventuelle eksterne samarbejdspartnere udpeges skriftligt som Databehandlere eller autoriserede personer med fortrolighedspligt
- Dokumenteret incident response-procedure
- Fortegnelse over behandlingsaktiviteter (art. 30) opdateret
- DPA med de væsentligste underdatabehandlere
- Privacy by Design and by Default i udviklingsfaserne
- Adskillelse af produktions-/staging-/udviklingsmiljoer
Bilag C - Autoriserede underdatabehandlere
Den aktuelle liste er offentliggjort og holdt opdateret pa vezpa.it/subprocessors. Pa tidspunktet for kontraktens indgaelse omfatter listen (blandt andre):
- DigitalOcean LLC - infrastruktur (EU Frankfurt + USA DPF)
- Stripe - betalinger (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - e-mail (DE)
- STAAH Limited - OTA channel manager (NZ, tilstrækkelighed)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app-kob (Apple deltager ikke i DPF, overforsler til USA via SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app-kob (USA, aktiv DPF-certificering)
- Tuya Smart - smartlase (CN, kun hvis aktiveret af indkvarteringsstedet, SCC)
© 2022-2026 Vezpa - Alle rettigheder forbeholdes |
Privatlivspolitik |
Servicevilkar |
Cookiepolitik |
GDPR |
DPA |
Underdatabehandlere