đ Oikeudellinen ensisijaisuus: tĂ€mĂ€ asiakirja on kohteliaisuuskÀÀnnös italialaisesta alkuperĂ€isestĂ€. Ristiriidan sattuessa tĂ€mĂ€n kÀÀnnöksen ja italialaisen version vĂ€lillĂ€
italialainen versio on mÀÀrÀÀvÀ oikeudellisesti sitovana viitteenÀ. Italialainen alkuperÀinen saatavilla tÀÀltÀ:
https://vezpa.it/dpa/.
Taman asiakirjan tarkoitus: Tama tietojenkasittelysopimus (
DPA) saantelee Vezpa-alustaa kayttavien majoituskohteiden
asiakkaiden henkilotietojen kasittelya. Majoituskohde (
rekisterinpitaja) uskoo Vezpalle (
henkilotietojen kasittelija) tallaisten tietojen kasittelyn. DPA on
kayttoehtojen olennainen osa ja se hyvaksytaan majoituskohteen rekisteroinnin yhteydessa.
Kenelle sovelletaan: Tata DPA:ta sovelletaan aina, kun majoituskohde kayttaa Vezpaa kasitelemaan henkilotietoja muista henkiloista kuin itse majoituskohteesta (tyypillisesti: asiakkaat, heidan mukanaan olevat, varausyhteyshenkilot).
Ei sovelleta majoituskohteen ammattikayttajien tietojen kasittelyyn, jossa Vezpa toimii itsenaisena rekisterinpitajana (katso
tietosuojaseloste).
1. Osapuolet
| Rekisterinpitaja ("rekisterinpitaja") |
Majoituskohde, joka allekirjoittaa Vezpa-tilauksen, tunnistettuna omassa tilissaan (yrityksen nimi, ALV-numero, toimipaikka, laillinen edustaja). |
| Henkilotietojen kasittelija ("kasittelija" / "Vezpa") |
Vezpa di Paolo Vezzola, ALV 04449070988, toimipaikka via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] - Sahkoposti: [email protected] |
2. Kohde ja kesto (GDPR art. 28.3)
Rekisterinpitaja valtuuttaa henkilotietojen kasittelijan kasittelemaan henkilotietoja puolestaan Vezpa-alustan kautta. Kasittelyn kesto on osapuolten valisen tilaussopimuksen kesto ja se paattyy sen irtisanomiseen, lukuun ottamatta §14:n maarayksia.
3. Kasittelyn luonne, tarkoitukset ja kasiteltavien tietojen tyypit
3.1 Tarkoitukset
- Varausten, oleskelun ja sisaan-/uloskirjautumisen hallinta
- Rekisterinpitajan lakisaateisten velvoitteiden tayttaminen viranomaisia kohtaan (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Varaustietojen luovutus majoituskohteen aktivoimille OTA-kanaville ja channel managerille
- Viestinnan lahetys asiakkaalle (vahvistukset, esitarkistukset, maksut)
- Maksujen kasittely Booking Enginen tai Stripe-linkkien kautta
- Raporttien ja tilastojen tuottaminen rekisterinpitajalle
3.2 Rekisteroityjen kategoriat
- Majoituskohteiden asiakkaat ja heidan mukana olevat henkilot
- Toisten puolesta varaavat henkilot
- Asiakkaan mahdollisesti antamat hatayhteyshenkilot
3.3 Kasiteltavien henkilotietojen tyypit
- Tunniste- ja henkilotiedot (etunimi, sukunimi, syntymaaika ja -paikka, kansalaisuus, sukupuoli)
- Henkilollisyystodistukset (tyyppi, numero, myontamispaiva, myontava viranomainen, skannattu tai valokuvattu kuva)
- Asiakirjasta automaattisella OCR:lla poimitut tekstitiedot
- Yhteystiedot (sahkoposti, puhelin, osoite)
- Varaus- ja oleskelutiedot
- Maksutiedot (kasittelee Stripe, ei tallenneta Vezpaan)
Erityiset henkilotiedot (GDPR art. 9): henkilollisyystodistus voi sisaltaa erityisia henkilotietoja (esim. syntymapaikka). Rekisterinpitaja ilmoittaa, etta hanella on sopiva oikeusperuste GDPR art. 9.2 mukaisesti (tyypillisesti kohta b, f tai g), ja ohjeistaa henkilotietojen kasittelijaa rajoittamaan tallaisten tietojen kasittely laissa vaadittuihin ilmoituksiin viranomaisille ja saadettyjen maaraaikojen mukaiseen sailyttamiseen.
4. Rekisterinpitajan ohjeet (GDPR art. 28.3.a)
Henkilotietojen kasittelija kasittelee henkilotietoja yksinomaan rekisterinpitajan dokumentoitujen ohjeiden perusteella. Yleiset ohjeet sisaltyvat tahan DPA:han, tietosuojaselosteeseen, GDPR-ilmoitukseen ja kayttoehtoihin. Erityiset ohjeet voivat olla rekisterinpitajan antamia seuraavien kautta:
- Konfiguraatiot omassa tilissa (viranomaisliittymien, OTA:iden, sailyttamisen aktivointi/deaktivointi)
- Kirjallinen viestinta osoitteeseen [email protected] tai PEC:n kautta osoitteeseen [email protected]
Mikali henkilotietojen kasittelija katsoo ohjeen rikkovan GDPR:aa tai muita sovellettavia saannoksia, hanen tulee ilmoittaa siita valittomasti rekisterinpitajalle.
5. Henkilotietojen kasittelijan velvoitteet (GDPR art. 28.3.b-h)
Henkilotietojen kasittelija sitoutuu:
- Luottamuksellisuuteen: kasittelemaan tietoja luottamuksellisesti ja varmistamaan, etta kasittelyyn valtuutetut henkilot ovat sidottuja luottamuksellisuusvelvoitteeseen;
- Turvallisuuteen: ottamaan kayttoon liitteen B mukaiset tekniset ja organisatoriset toimet, riskiin sopivat;
- Alihenkilotietojen kasittelijat: noudattamaan §6:n ehtoja;
- Apu rekisterinpitajalle: auttamaan rekisterinpitajaa tayttamaan velvoitteensa, erityisesti:
- Vastaus rekisteroityjen pyyntoihin (GDPR art. 15-22) aikataulussa, joka sallii rekisterinpitajan vastata 30 paivan lakisaateisessa ajassa;
- Ilmoitus data breachista rekisterinpitajalle 24 tunnin kuluessa havaitsemisesta (§7);
- Tuki DPIA:lle (art. 35) ja ennakkokuulemisille (art. 36);
- Osoitus vaatimustenmukaisuudesta dokumentaation ja tarvittaessa auditoinnin kautta (§9).
- Palauttaminen / poistaminen tietojen osalta paattymisessa, kuten §14:ssa on saadetty;
- Tiedottaminen: antamaan rekisterinpitajan kayttoon kaikki tiedot, jotka ovat tarpeen taman DPA:n noudattamisen osoittamiseksi.
6. Alihenkilotietojen kasittelijat (GDPR art. 28.2 ja 28.4)
6.1 Yleinen valtuutus
Rekisterinpitaja valtuuttaa henkilotietojen kasittelijan nimeamaan osoitteessa vezpa.it/subprocessors luetellut alihenkilotietojen kasittelijat seka ne, jotka myohemmin lisataan taman menettelyn mukaisesti.
6.2 Muutosilmoitus
Henkilotietojen kasittelija ilmoittaa rekisterinpitajalle aikomuksesta lisata tai vaihtaa alihenkilotietojen kasittelijaa vahintaan 30 paivan ennakkoilmoituksella sahkopostin kautta rekisteroityyn osoitteeseen ja/tai dashboard-ilmoituksen kautta. Taman maaraajan sisalla rekisterinpitaja voi vastustaa perustellusti. Mikali vastustuksen ratkaiseminen ei ole mahdollista, kumpi tahansa osapuoli voi irtisanoa sopimuksen kyseessa olevan kasittelyn lopettamiseksi.
6.3 Velvoitteet alihenkilotietojen kasittelijoita kohtaan
Henkilotietojen kasittelija asettaa alihenkilotietojen kasittelijoille kirjallisesti tietosuojavelvoitteita, jotka vastaavat tassa maarattyja, ja vastaa rekisterinpitajan edessa alihenkilotietojen kasittelijoiden toiminnasta.
7. Data breach (GDPR art. 33)
Tapauksessa, jossa rekisterinpitajan puolesta kasiteltyihin tietoihin kohdistuu henkilotietojen loukkaus, henkilotietojen kasittelija:
- Ilmoittaa rekisterinpitajalle ilman perusteetonta viivytysta ja joka tapauksessa 24 tunnin kuluessa havaitsemisesta;
- Antaa GDPR art. 33.3 mukaiset tiedot (luonne, kategoriat ja likimaarainen rekisteroityjen ja tietojen maara, todennakoiset seuraukset, otetut tai ehdotetut toimet);
- Tekee yhteistyota rekisterinpitajan kanssa viestinnassa rekisteroidyille ja valvontaviranomaiselle;
- Dokumentoi tapauksen ja toteutetut toimet.
Ilmoitus rekisterinpitajalle tapahtuu sahkopostitse rekisteroityyn osoitteeseen ja PEC:lla, jos saatavilla. Rekisterinpitaja on edelleen vastuussa ulkoisista ilmoituksista (Italian tietosuojaviranomainen, rekisteroidyt) GDPR art. 33-34 mukaisesti.
8. Rekisteroityjen oikeudet (GDPR art. 28.3.e)
Jos rekisteroity kaantyy suoraan henkilotietojen kasittelijan puoleen kayttaakseen oikeuksiaan rekisterinpitajan puolesta kasiteltyihin tietoihin, henkilotietojen kasittelija valittaa pyynnon rekisterinpitajalle ilman viivytysta eika vastaa rekisterinpitajan puolesta paitsi toisenlaisten ohjeiden mukaisesti.
Henkilotietojen kasittelija antaa rekisterinpitajan kayttoon dashboardilla ja APIn kautta toiminnot:
- Rekisteroidyn tietojen vienti (paasy ja siirrettavyys)
- Oikaisu
- Poisto tai anonymisointi
- Kasittelyn rajoittaminen
Pyyntoihin, jotka edellyttavat manuaalista teknista toimenpidetta, henkilotietojen kasittelija vastaa 10 tyopaivan kuluessa rekisterinpitajan ohjeistuksen vastaanotosta.
9. Auditointi (GDPR art. 28.3.h)
Henkilotietojen kasittelija antaa rekisterinpitajalle pyynnosta tiedot ja dokumentaation, jotka osoittavat taman DPA:n noudattamisen, mukaan lukien:
- Yhteenveto toteutetuista turvatoimista
- Luettelo alihenkilotietojen kasittelijoista toimipaikkoineen ja siirtoperusteineen
- Kasittelytoimien luettelo (asiaankuuluvat otteet)
- Alihenkilotietojen kasittelijoiden sertifikaatit (ISO 27001, SOC 2, DPF), kun saatavilla
Rekisterinpitaja voi suorittaa auditointeja (suoraan tai luottamuksellisuuden alaisten itsenaisten kolmansien osapuolten kautta) vahintaan 30 paivan ennakkoilmoituksella, tyoaikana, keskeyttamatta toimintoja ja korkeintaan kerran vuodessa (paitsi data breachin tapauksessa). Kukin osapuoli vastaa omista kustannuksistaan.
10. Siirrot EU:n ulkopuolelle (GDPR V luku)
Alihenkilotietojen kasittelijoiden luettelo, jossa on ilmoitettu toimipaikka ja siirron oikeusperuste, on julkaistu osoitteessa vezpa.it/subprocessors. Riittavyyspaatoksen kattamattomille siirroille henkilotietojen kasittelija ottaa kayttoon:
- Vakiosopimuslausekkeet 2021/914 ja lisatoimet tarvittaessa (dokumentoitu Transfer Impact Assessment);
- Tai muut GDPR art. 46 mukaiset sopivat suojatoimet.
11. Rekisterinpitajan rooli
Rekisterinpitaja ilmoittaa ja takaa, etta:
- On antanut rekisteroidyille GDPR art. 13-14 mukaisen ilmoituksen;
- On hankkinut mahdollisesti tarvittavat oikeusperusteet (suostumus, sopimus, lakisaateinen velvoite) kasittelylle;
- Antaa laillisia ohjeita henkilotietojen kasittelijalle;
- Takaa tietojen asianmukaisen sailyttamisen ja poistamisen Vezpa-alustalta vetaytymisen jalkeen.
12. Luottamuksellisuus
Kumpikin osapuoli pitaa tiukasti luottamuksellisina kaikki toiselta osapuolelta taman DPA:n tayttamisessa saadut tiedot koko sopimuksen keston ja 5 vuoden ajan sen jalkeen.
13. Vastuu
Kummankin osapuolen GDPR art. 82 mukaisen vastuun rekisteroidyille osalta lakia noudatetaan edelleen. Osapuolten valisissa suhteissa sopimusvastuun jarjestelma on kayttoehtojen (§9-10) mukainen, muuttamattomana GDPR art. 82:n mukaisena pakottavana jaolla.
14. Kasittelyn paattyminen
Sopimuksen paattyessa mista tahansa syysta henkilotietojen kasittelija:
- Antaa rekisterinpitajan kayttoon tyokalut omien tietojensa vientiin jasennetyssa muodossa (CSV/JSON) 30 paivaksi paattymisesta;
- 30 paivan kuluttua poistaa tai anonymisoi rekisterinpitajan puolesta kasitellyt tiedot tuotantojarjestelmista;
- Poistaa tiedot varmuuskopioista seuraavan kiertojakson aikana (tyypillisesti 90 paivan kuluessa);
- Sailyttaa tiedot, jotka Vezpa on velvollinen sailyttamaan lain nojalla (tyypillisesti: laskutustiedot ja turvallisuusloki), vain sovellettavan lainsaadannon maaraamien aikojen ajan, pitaen niita asianmukaisten turvatoimien alaisina.
15. Muutokset
Henkilotietojen kasittelija voi muuttaa tata DPA:ta mukauttaakseen saannollisia muutoksia (esim. uudet SCC:t, Italian tietosuojaviranomaisen maaraykset) tai organisatorisia muutoksia. Merkittavat muutokset ilmoitetaan rekisterinpitajalle vahintaan 30 paivan ennakkoilmoituksella. Jos rekisterinpitaja ei hyvaksy, han voi irtisanoa ilman sanktioita tilauksen kayttamattomalta osalta.
16. Sovellettava laki
Tama DPA on Italian lain alainen. Riita-asioihin sovelletaan kayttoehtojen §16:ta.
Liite A - Kasittelyn yhteenvedon kuvaus
| Kohta |
Kuvaus |
| Kasittelyn luonne |
Kerays, tallennus, jarjestaminen, jasentely, sailyttaminen, mukauttaminen, poiminta, katselu, kaytto, luovutus, lahetys OTA-kanaville ja viranomaisille, poisto |
| Tarkoitukset |
Katso §3.1 |
| Rekisteroityjen kategoriat |
Katso §3.2 |
| Tietojen kategoriat |
Katso §3.3 |
| Kesto |
Koko sopimuksen keston ajan. Tietokategorioiden erityinen sailytys on tietosuojaselosteen §6 mukainen |
Liite B - Tekniset ja organisatoriset turvatoimet (GDPR art. 32)
Tekniset toimet
- Salaus siirron aikana: HTTPS/TLS 1.2+, HSTS
- Salaus lepotilassa: arkaluonteiset kentat django-cryptography:lla, levyt ja snapshotit salataan infrastruktuurin puolella (DigitalOcean)
- Salasanan tiivistys PBKDF2:lla suolalla (Djangon oletus)
- Todennus: kiertava JWT (access 15 min, refresh 180 paivaa mustalla listalla), valinnainen 2FA TOTP
- Bot blocker ja rate limiting automatisoitujen hyokkaysten estamiseksi
- Rooliin perustuva paasynhallinta (johtaja/avustaja/siivooja/tarkkailija)
- Infrastruktuurin tarjoajan hallinnoimat varmuuskopiot EU:ssa
- Sovellus- ja paasyloki poikkeavuuksien havaitsemiseksi
- Secure Storage sovellus-puolella: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organisatoriset toimet
- Vezpa toimii tallÀ hetkella yksittaisena yrityksena ilman tyontekijoita; ulkoiset yhteistyokumppanit nimetaan kirjallisesti henkilotietojen kasittelijoiksi tai valtuutetuiksi henkiloiksi, joilla on luottamuksellisuusvelvoitteet
- Dokumentoitu incident response -menettely
- Paivitetty kasittelytoimien luettelo (art. 30)
- DPA paaalihenkilotietojen kasittelijoiden kanssa
- Privacy by Design and by Default kehitysvaiheissa
- Tuotanto- / staging- / kehitysymparistojen erottaminen
Liite C - Valtuutetut alihenkilotietojen kasittelijat
Voimassa oleva luettelo on julkaistu ja pidetty paivitettyna osoitteessa vezpa.it/subprocessors. Sopimukseen astumisen hetkella luettelo kasittaa (muun muassa):
- DigitalOcean LLC - infrastruktuuri (EU Frankfurt + USA DPF)
- Stripe - maksut (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - sahkoposti (DE)
- STAAH Limited - channel manager OTA (NZ, riittavyys)
- Apple Distribution International Ltd (IE) / Apple Inc. - sovelluksensisaiset ostot (Apple ei kuulu DPF-jarjestelmaan, USA-siirrot SCC 2021/914 -lausekkeilla)
- Google LLC / Microsoft Corp. - sovelluksensisaiset ostot (USA, aktiivinen DPF-sertifiointi)
- Tuya Smart - alyoven lukot (CN, vain jos majoituskohde aktivoi, SCC)
© 2022-2026 Vezpa - Kaikki oikeudet pidatetaan |
Tietosuojaseloste |
Kayttoehdot |
Evastekaytanto |
GDPR |
DPA |
Alihenkilotietojen kasittelijat