TIETOJENKASITTELYSOPIMUS (DPA)

Vezpa - Property Management System

Sopimus EU:n asetuksen 2016/679 (GDPR) 28 artiklan mukaisesti

Versio 1.0 - Voimassa 19. huhtikuuta 2026 alkaen

📌 Oikeudellinen ensisijaisuus: tĂ€mĂ€ asiakirja on kohteliaisuuskÀÀnnös italialaisesta alkuperĂ€isestĂ€. Ristiriidan sattuessa tĂ€mĂ€n kÀÀnnöksen ja italialaisen version vĂ€lillĂ€ italialainen versio on mÀÀrÀÀvĂ€ oikeudellisesti sitovana viitteenĂ€. Italialainen alkuperĂ€inen saatavilla tÀÀltĂ€: https://vezpa.it/dpa/.
Taman asiakirjan tarkoitus: Tama tietojenkasittelysopimus (DPA) saantelee Vezpa-alustaa kayttavien majoituskohteiden asiakkaiden henkilotietojen kasittelya. Majoituskohde (rekisterinpitaja) uskoo Vezpalle (henkilotietojen kasittelija) tallaisten tietojen kasittelyn. DPA on kayttoehtojen olennainen osa ja se hyvaksytaan majoituskohteen rekisteroinnin yhteydessa.
Kenelle sovelletaan: Tata DPA:ta sovelletaan aina, kun majoituskohde kayttaa Vezpaa kasitelemaan henkilotietoja muista henkiloista kuin itse majoituskohteesta (tyypillisesti: asiakkaat, heidan mukanaan olevat, varausyhteyshenkilot). Ei sovelleta majoituskohteen ammattikayttajien tietojen kasittelyyn, jossa Vezpa toimii itsenaisena rekisterinpitajana (katso tietosuojaseloste).

1. Osapuolet

Rekisterinpitaja ("rekisterinpitaja") Majoituskohde, joka allekirjoittaa Vezpa-tilauksen, tunnistettuna omassa tilissaan (yrityksen nimi, ALV-numero, toimipaikka, laillinen edustaja).
Henkilotietojen kasittelija ("kasittelija" / "Vezpa") Vezpa di Paolo Vezzola, ALV 04449070988, toimipaikka via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] - Sahkoposti: [email protected]

2. Kohde ja kesto (GDPR art. 28.3)

Rekisterinpitaja valtuuttaa henkilotietojen kasittelijan kasittelemaan henkilotietoja puolestaan Vezpa-alustan kautta. Kasittelyn kesto on osapuolten valisen tilaussopimuksen kesto ja se paattyy sen irtisanomiseen, lukuun ottamatta §14:n maarayksia.

3. Kasittelyn luonne, tarkoitukset ja kasiteltavien tietojen tyypit

3.1 Tarkoitukset

3.2 Rekisteroityjen kategoriat

3.3 Kasiteltavien henkilotietojen tyypit

Erityiset henkilotiedot (GDPR art. 9): henkilollisyystodistus voi sisaltaa erityisia henkilotietoja (esim. syntymapaikka). Rekisterinpitaja ilmoittaa, etta hanella on sopiva oikeusperuste GDPR art. 9.2 mukaisesti (tyypillisesti kohta b, f tai g), ja ohjeistaa henkilotietojen kasittelijaa rajoittamaan tallaisten tietojen kasittely laissa vaadittuihin ilmoituksiin viranomaisille ja saadettyjen maaraaikojen mukaiseen sailyttamiseen.

4. Rekisterinpitajan ohjeet (GDPR art. 28.3.a)

Henkilotietojen kasittelija kasittelee henkilotietoja yksinomaan rekisterinpitajan dokumentoitujen ohjeiden perusteella. Yleiset ohjeet sisaltyvat tahan DPA:han, tietosuojaselosteeseen, GDPR-ilmoitukseen ja kayttoehtoihin. Erityiset ohjeet voivat olla rekisterinpitajan antamia seuraavien kautta:

Mikali henkilotietojen kasittelija katsoo ohjeen rikkovan GDPR:aa tai muita sovellettavia saannoksia, hanen tulee ilmoittaa siita valittomasti rekisterinpitajalle.

5. Henkilotietojen kasittelijan velvoitteet (GDPR art. 28.3.b-h)

Henkilotietojen kasittelija sitoutuu:

  1. Luottamuksellisuuteen: kasittelemaan tietoja luottamuksellisesti ja varmistamaan, etta kasittelyyn valtuutetut henkilot ovat sidottuja luottamuksellisuusvelvoitteeseen;
  2. Turvallisuuteen: ottamaan kayttoon liitteen B mukaiset tekniset ja organisatoriset toimet, riskiin sopivat;
  3. Alihenkilotietojen kasittelijat: noudattamaan §6:n ehtoja;
  4. Apu rekisterinpitajalle: auttamaan rekisterinpitajaa tayttamaan velvoitteensa, erityisesti:
  5. Palauttaminen / poistaminen tietojen osalta paattymisessa, kuten §14:ssa on saadetty;
  6. Tiedottaminen: antamaan rekisterinpitajan kayttoon kaikki tiedot, jotka ovat tarpeen taman DPA:n noudattamisen osoittamiseksi.

6. Alihenkilotietojen kasittelijat (GDPR art. 28.2 ja 28.4)

6.1 Yleinen valtuutus

Rekisterinpitaja valtuuttaa henkilotietojen kasittelijan nimeamaan osoitteessa vezpa.it/subprocessors luetellut alihenkilotietojen kasittelijat seka ne, jotka myohemmin lisataan taman menettelyn mukaisesti.

6.2 Muutosilmoitus

Henkilotietojen kasittelija ilmoittaa rekisterinpitajalle aikomuksesta lisata tai vaihtaa alihenkilotietojen kasittelijaa vahintaan 30 paivan ennakkoilmoituksella sahkopostin kautta rekisteroityyn osoitteeseen ja/tai dashboard-ilmoituksen kautta. Taman maaraajan sisalla rekisterinpitaja voi vastustaa perustellusti. Mikali vastustuksen ratkaiseminen ei ole mahdollista, kumpi tahansa osapuoli voi irtisanoa sopimuksen kyseessa olevan kasittelyn lopettamiseksi.

6.3 Velvoitteet alihenkilotietojen kasittelijoita kohtaan

Henkilotietojen kasittelija asettaa alihenkilotietojen kasittelijoille kirjallisesti tietosuojavelvoitteita, jotka vastaavat tassa maarattyja, ja vastaa rekisterinpitajan edessa alihenkilotietojen kasittelijoiden toiminnasta.

7. Data breach (GDPR art. 33)

Tapauksessa, jossa rekisterinpitajan puolesta kasiteltyihin tietoihin kohdistuu henkilotietojen loukkaus, henkilotietojen kasittelija:

Ilmoitus rekisterinpitajalle tapahtuu sahkopostitse rekisteroityyn osoitteeseen ja PEC:lla, jos saatavilla. Rekisterinpitaja on edelleen vastuussa ulkoisista ilmoituksista (Italian tietosuojaviranomainen, rekisteroidyt) GDPR art. 33-34 mukaisesti.

8. Rekisteroityjen oikeudet (GDPR art. 28.3.e)

Jos rekisteroity kaantyy suoraan henkilotietojen kasittelijan puoleen kayttaakseen oikeuksiaan rekisterinpitajan puolesta kasiteltyihin tietoihin, henkilotietojen kasittelija valittaa pyynnon rekisterinpitajalle ilman viivytysta eika vastaa rekisterinpitajan puolesta paitsi toisenlaisten ohjeiden mukaisesti.

Henkilotietojen kasittelija antaa rekisterinpitajan kayttoon dashboardilla ja APIn kautta toiminnot:

Pyyntoihin, jotka edellyttavat manuaalista teknista toimenpidetta, henkilotietojen kasittelija vastaa 10 tyopaivan kuluessa rekisterinpitajan ohjeistuksen vastaanotosta.

9. Auditointi (GDPR art. 28.3.h)

Henkilotietojen kasittelija antaa rekisterinpitajalle pyynnosta tiedot ja dokumentaation, jotka osoittavat taman DPA:n noudattamisen, mukaan lukien:

Rekisterinpitaja voi suorittaa auditointeja (suoraan tai luottamuksellisuuden alaisten itsenaisten kolmansien osapuolten kautta) vahintaan 30 paivan ennakkoilmoituksella, tyoaikana, keskeyttamatta toimintoja ja korkeintaan kerran vuodessa (paitsi data breachin tapauksessa). Kukin osapuoli vastaa omista kustannuksistaan.

10. Siirrot EU:n ulkopuolelle (GDPR V luku)

Alihenkilotietojen kasittelijoiden luettelo, jossa on ilmoitettu toimipaikka ja siirron oikeusperuste, on julkaistu osoitteessa vezpa.it/subprocessors. Riittavyyspaatoksen kattamattomille siirroille henkilotietojen kasittelija ottaa kayttoon:

11. Rekisterinpitajan rooli

Rekisterinpitaja ilmoittaa ja takaa, etta:

12. Luottamuksellisuus

Kumpikin osapuoli pitaa tiukasti luottamuksellisina kaikki toiselta osapuolelta taman DPA:n tayttamisessa saadut tiedot koko sopimuksen keston ja 5 vuoden ajan sen jalkeen.

13. Vastuu

Kummankin osapuolen GDPR art. 82 mukaisen vastuun rekisteroidyille osalta lakia noudatetaan edelleen. Osapuolten valisissa suhteissa sopimusvastuun jarjestelma on kayttoehtojen (§9-10) mukainen, muuttamattomana GDPR art. 82:n mukaisena pakottavana jaolla.

14. Kasittelyn paattyminen

Sopimuksen paattyessa mista tahansa syysta henkilotietojen kasittelija:

  1. Antaa rekisterinpitajan kayttoon tyokalut omien tietojensa vientiin jasennetyssa muodossa (CSV/JSON) 30 paivaksi paattymisesta;
  2. 30 paivan kuluttua poistaa tai anonymisoi rekisterinpitajan puolesta kasitellyt tiedot tuotantojarjestelmista;
  3. Poistaa tiedot varmuuskopioista seuraavan kiertojakson aikana (tyypillisesti 90 paivan kuluessa);
  4. Sailyttaa tiedot, jotka Vezpa on velvollinen sailyttamaan lain nojalla (tyypillisesti: laskutustiedot ja turvallisuusloki), vain sovellettavan lainsaadannon maaraamien aikojen ajan, pitaen niita asianmukaisten turvatoimien alaisina.

15. Muutokset

Henkilotietojen kasittelija voi muuttaa tata DPA:ta mukauttaakseen saannollisia muutoksia (esim. uudet SCC:t, Italian tietosuojaviranomaisen maaraykset) tai organisatorisia muutoksia. Merkittavat muutokset ilmoitetaan rekisterinpitajalle vahintaan 30 paivan ennakkoilmoituksella. Jos rekisterinpitaja ei hyvaksy, han voi irtisanoa ilman sanktioita tilauksen kayttamattomalta osalta.

16. Sovellettava laki

Tama DPA on Italian lain alainen. Riita-asioihin sovelletaan kayttoehtojen §16:ta.

Liite A - Kasittelyn yhteenvedon kuvaus

Kohta Kuvaus
Kasittelyn luonne Kerays, tallennus, jarjestaminen, jasentely, sailyttaminen, mukauttaminen, poiminta, katselu, kaytto, luovutus, lahetys OTA-kanaville ja viranomaisille, poisto
Tarkoitukset Katso §3.1
Rekisteroityjen kategoriat Katso §3.2
Tietojen kategoriat Katso §3.3
Kesto Koko sopimuksen keston ajan. Tietokategorioiden erityinen sailytys on tietosuojaselosteen §6 mukainen

Liite B - Tekniset ja organisatoriset turvatoimet (GDPR art. 32)

Tekniset toimet

Organisatoriset toimet

Liite C - Valtuutetut alihenkilotietojen kasittelijat

Voimassa oleva luettelo on julkaistu ja pidetty paivitettyna osoitteessa vezpa.it/subprocessors. Sopimukseen astumisen hetkella luettelo kasittaa (muun muassa):

Yhteystiedot DPA-asioissa

Henkilotietojen kasittelija:
Vezpa di Paolo Vezzola
Sahkoposti: [email protected]
PEC: [email protected]
Desenzano del Garda, via San Zeno 67


© 2022-2026 Vezpa - Kaikki oikeudet pidatetaan | Tietosuojaseloste | Kayttoehdot | Evastekaytanto | GDPR | DPA | Alihenkilotietojen kasittelijat