📌 Pravna prednost: ovaj dokument je ljubazni prijevod talijanskog izvornika. U slučaju neslaganja između ovog prijevoda i talijanske verzije,
talijanska verzija ima prednost kao pravno obvezujuća referenca. Talijanski izvornik dostupan ovdje:
https://vezpa.it/dpa/.
Svrha ovog dokumenta: ovaj Ugovor o obradi osobnih podataka (
DPA) regulira obradu osobnih podataka
gostiju smjestajnih objekata koji koriste platformu Vezpa. Objekt (
Voditelj obrade) povjerava Vezpi (
Izvrsitelju obrade) obradu tih podataka. DPA je sastavni dio
Uvjeta usluge i prihvaca se istovremeno s registracijom objekta.
Na koga se primjenjuje: ovaj DPA primjenjuje se svaki put kada objekt koristi Vezpu za obradu osobnih podataka subjekata razlicitih od samog objekta (tipicno: gosti, njihovi pratitelji, kontakti za rezervaciju).
Ne primjenjuje se na obradu podataka profesionalnih korisnika objekta, za koju Vezpa djeluje kao samostalni Voditelj obrade (vidi
Pravila privatnosti).
1. Strane
| Voditelj obrade ("Voditelj") |
Smjestajni objekt koji sklapa pretplatu Vezpa, kako je identificiran u vlastitom racunu (naziv tvrtke, PDV broj, sjediste, zakonski zastupnik). |
| Izvrsitelj obrade ("Izvrsitelj" / "Vezpa") |
Vezpa di Paolo Vezzola, PDV broj 04449070988, sjediste u via San Zeno 67, 25015 Desenzano del Garda (BS), Italija. PEC: [email protected] · Email: [email protected] |
2. Predmet i trajanje (cl. 28.3 GDPR-a)
Voditelj obrade ovlascuje Izvrsitelja da obraduje osobne podatke u njegovo ime putem platforme Vezpa. Obrada traje za vrijeme trajanja ugovora o pretplati izmedu strana i prestaje njegovim raskidom, osim kako je predvideno u §14.
3. Priroda, svrhe i vrsta obradenih podataka
3.1 Svrhe
- Upravljanje rezervacijama, boravkom i prijavom/odjavom
- Ispunjavanje zakonskih obveza Voditelja obrade prema javnim tijelima (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Priopcavanje podataka o rezervaciji OTA kanalima i channel managerima koje je objekt aktivirao
- Slanje komunikacija gostu (potvrde, pre-check-in, placanja)
- Obrada placanja putem Booking Enginea ili Stripe linka
- Izrada izvjestaja i statistika za Voditelja obrade
3.2 Kategorije ispitanika
- Gosti objekata i njihovi pratitelji
- Osobe koje rezerviraju u ime drugih
- Eventualno dostavljeni kontakti za hitne slucajeve
3.3 Vrsta obradenih osobnih podataka
- Identifikacijski i osobni podaci (ime, prezime, datum i mjesto rodenja, drzavljanstvo, spol)
- Identifikacijske isprave (vrsta, broj, datum izdavanja, tijelo izdavanja, skenirana ili fotografirana slika)
- Tekstualni podaci izvuceni iz isprave automatskim OCR-om
- Podaci za kontakt (email, telefon, adresa)
- Podaci o rezervaciji i boravku
- Podaci o placanju (upravlja Stripe, ne pohranjuju se na Vezpi)
Posebni podaci (cl. 9. GDPR-a): identifikacijska isprava moze sadrzavati posebne podatke (npr. mjesto rodenja). Voditelj obrade izjavljuje da ima odgovarajucu pravnu osnovu iz cl. 9.2 GDPR-a (tipicno slovo b, f ili g) i uputuje Izvrsitelja da obradu takvih podataka ogranici na komunikacije trazene zakonom prema javnim tijelima i na cuvanje u predvidenim rokovima.
4. Upute Voditelja obrade (cl. 28.3.a GDPR-a)
Izvrsitelj osobne podatke obraduje iskljucivo na temelju dokumentiranih uputa Voditelja obrade. Opce upute sadrzane su u ovom DPA-u, u Pravilima privatnosti, u GDPR obavijesti i u Uvjetima usluge. Specificne upute Voditelj obrade moze izdati putem:
- Konfiguracija na vlastitom racunu (aktivacija/deaktivacija vladinih konektora, OTA, retention)
- Pisanih komunikacija na [email protected] ili putem PEC-a na [email protected]
Ako Izvrsitelj smatra da neka uputa krsi GDPR ili druge primjenjive propise, odmah o tome obavjestava Voditelja obrade.
5. Obveze Izvrsitelja (cl. 28.3.b-h GDPR-a)
Izvrsitelj se obvezuje:
- Povjerljivost: obraditi podatke povjerljivo i osigurati da su osobe ovlastene za obradu vezane obvezom povjerljivosti;
- Sigurnost: primijeniti tehnicke i organizacijske mjere iz Priloga B, prilagodene riziku;
- Podizvrsitelji: postovati uvjete iz §6;
- Pomoc Voditelju obrade: pomagati Voditelju obrade u ispunjavanju njegovih obveza, posebno:
- Odgovor na zahtjeve ispitanika (cl. 15.-22. GDPR-a) u rokovima koji omogucuju Voditelju obrade odgovor u zakonskih 30 dana;
- Obavijest o data breachu Voditelju obrade u roku od 24 sata od otkrica (§7);
- Podrska za DPIA (cl. 35.) i prethodne konzultacije (cl. 36.);
- Dokazivanje uskladenosti putem dokumentacije i, gdje je zatrazeno, audita (§9).
- Povrat / brisanje podataka po zavrsetku, kako je predvideno u §14;
- Informiranje: staviti na raspolaganje Voditelju obrade sve informacije potrebne za dokazivanje uskladenosti s ovim DPA-om.
6. Podizvrsitelji (cl. 28.2 i 28.4 GDPR-a)
6.1 Opca autorizacija
Voditelj obrade ovlascuje Izvrsitelja da imenuje podizvrsitelje navedene na vezpa.it/subprocessors i one koji ce naknadno biti dodani postupkom ovdje opisanim.
6.2 Najava izmjene
Izvrsitelj obavjestava Voditelja obrade o namjeri dodavanja ili zamjene podizvrsitelja najmanje 30 dana unaprijed, putem emaila na registriranu adresu i/ili obavijesti na nadzornoj ploci. Unutar tog roka Voditelj obrade moze obrazlozeno uloziti prigovor. U slucaju neotklonjivog prigovora, svaka strana moze raskinuti ugovor uz prestanak dotice obrade.
6.3 Obveze prema podizvrsiteljima
Izvrsitelj pisanim putem namece podizvrsiteljima obveze zastite podataka ekvivalentne ovdje predvidenima, i odgovara Voditelju obrade za postupanje podizvrsitelja.
7. Data breach (cl. 33. GDPR-a)
U slucaju povrede osobnih podataka koja se tice podataka obradenih u ime Voditelja obrade, Izvrsitelj:
- Obavjestava Voditelja obrade bez neopravdanog kasnjenja i u svakom slucaju u roku od 24 sata od otkrica;
- Pruza informacije iz cl. 33.3 GDPR-a (priroda, kategorije i priblizan broj ispitanika i podataka, vjerojatne posljedice, poduzete ili predlozene mjere);
- Suraduje s Voditeljem obrade u komunikacijama prema ispitanicima i nadzornom tijelu;
- Dokumentira incident i poduzete radnje.
Obavijest Voditelju obrade odvija se putem emaila na registriranu adresu i PEC, ako je dostupan. Voditelj obrade ostaje odgovoran za vanjske obavijesti (talijansko tijelo za zastitu podataka - Garante, ispitanici) sukladno cl. 33.-34. GDPR-a.
8. Prava ispitanika (cl. 28.3.e GDPR-a)
Ako se ispitanik obrati izravno Izvrsitelju radi ostvarivanja prava vezanih uz podatke obradene u ime Voditelja obrade, Izvrsitelj bez kasnjenja prosljeduje zahtjev Voditelju obrade i ne odgovara u ime Voditelja obrade osim ako nije drugacije uputeno.
Izvrsitelj stavlja Voditelju obrade na raspolaganje, na nadzornoj ploci i putem API-ja, funkcionalnosti za:
- Izvoz podataka ispitanika (pristup i prenosivost)
- Ispravak
- Brisanje ili anonimizacija
- Ogranicenje obrade
Za zahtjeve koji zahtijevaju rucnu tehnicku intervenciju, Izvrsitelj odgovara u roku od 10 radnih dana od primitka upute Voditelja obrade.
9. Audit (cl. 28.3.h GDPR-a)
Izvrsitelj na zahtjev Voditelja obrade pruza informacije i dokumentaciju koja dokazuje uskladenost s ovim DPA-om, medu kojima:
- Sazetak primijenjenih sigurnosnih mjera
- Popis podizvrsitelja sa sjedistima i osnovama prijenosa
- Registar obrade (relevantni izvatci)
- Certifikati podizvrsitelja (ISO 27001, SOC 2, DPF) gdje su dostupni
Voditelj obrade moze provoditi audite (izravno ili putem neovisnih trecih strana obveznih na povjerljivost) uz najavu od najmanje 30 dana, tijekom radnog vremena, bez prekidanja operacija i frekvencijom ne vecom od jednom godisnje (osim data breacha). Svaka strana snosi vlastite troskove.
10. Prijenosi izvan EU (Poglavlje V. GDPR-a)
Popis podizvrsitelja s naznakom sjedista i pravne osnove prijenosa objavljen je na vezpa.it/subprocessors. Za prijenose koji nisu pokriveni odlukom o primjerenosti, Izvrsitelj primjenjuje:
- Standardne ugovorne klauzule 2021/914 i dopunske mjere gdje je potrebno (dokumentirani Transfer Impact Assessment);
- Ili druga odgovarajuca jamstva predvidena cl. 46. GDPR-a.
11. Uloga Voditelja obrade
Voditelj obrade izjavljuje i jamci da je:
- Ispitanicima pruzio obavijest predvidenu cl. 13.-14. GDPR-a;
- Pribavio eventualne pravne osnove (privola, ugovor, zakonska obveza) potrebne za obradu;
- Izdao zakonite upute Izvrsitelju;
- Osigurao ispravno cuvanje i brisanje podataka nakon napustanja platforme Vezpa.
12. Povjerljivost
Svaka strana odrzava strogo povjerljivima sve informacije primljene od druge strane u izvrsavanju ovog DPA, za cijelo trajanje ugovora i 5 godina nakon toga.
13. Odgovornost
Odgovornost svake strane iz cl. 82. GDPR-a prema ispitanicima ostaje regulirana zakonom. U odnosima izmedu strana, rezim ugovorne odgovornosti je onaj utvrden u Uvjetima usluge (§9-10), pri cemu ostaje neotudiva podjela predvidena cl. 82. GDPR-a.
14. Prestanak obrade
Po prestanku ugovora iz bilo kojeg razloga, Izvrsitelj:
- Stavlja Voditelju obrade na raspolaganje alate za izvoz vlastitih podataka u strukturiranom obliku (CSV/JSON) 30 dana od prestanka;
- Po isteku 30 dana, brise ili anonimizira podatke obradene u ime Voditelja obrade iz produkcijskih sustava;
- Brise podatke iz sigurnosnih kopija u sljedecem ciklusu rotacije (tipicno u roku od 90 dana);
- Cuva podatke koje je Vezpa zakonom obvezna cuvati (tipicno: podaci o fakturiranju i sigurnosni dnevnici) samo u rokovima nametnutim primjenjivim propisima, odrzavajuci na njima odgovarajuce sigurnosne mjere.
15. Izmjene
Izvrsitelj moze izmijeniti ovaj DPA radi provedbe razvoja propisa (npr. nove SCC, odluke talijanskog tijela za zastitu podataka) ili organizacijskih izmjena. Bitne izmjene priopcuju se Voditelju obrade uz najmanje 30 dana najave. Ako Voditelj obrade ne prihvati, moze raskinuti bez kazne za neiskoristen dio pretplate.
16. Mjerodavno pravo
Ovaj DPA reguliran je talijanskim pravom. Za sporove se primjenjuje §16 Uvjeta usluge.
Prilog A - Sazeti opis obrade
| Stavka |
Opis |
| Priroda obrade |
Prikupljanje, registracija, organizacija, strukturiranje, pohrana, prilagodba, ekstrakcija, konzultacija, uporaba, priopcavanje, prijenos OTA kanalima i javnim tijelima, brisanje |
| Svrhe |
Vidi §3.1 |
| Kategorije ispitanika |
Vidi §3.2 |
| Kategorije podataka |
Vidi §3.3 |
| Trajanje |
Za cijelo trajanje ugovora. Specificni retention za kategorije podataka prema Pravilima privatnosti §6 |
Prilog B - Tehnicke i organizacijske sigurnosne mjere (cl. 32. GDPR-a)
Tehnicke mjere
- Enkripcija u prijenosu: HTTPS/TLS 1.2+, HSTS
- Enkripcija at-rest: osjetljiva polja s django-cryptography, volumeni i snapshots kriptirani na strani infrastrukture (DigitalOcean)
- Hashing lozinki s PBKDF2 sa soli (Django default)
- Autentifikacija: JWT u rotaciji (access 15 min, refresh 180 dana s blacklistom), opcionalni 2FA TOTP
- Bot blocker i rate limiting za sprjecavanje automatiziranih napada
- Kontrola pristupa temeljena na ulogama (direktor/asistent/domacica/promatrac)
- Sigurnosne kopije upravljane od strane pruzatelja infrastrukture u EU
- Aplikacijski i pristupni dnevnici za otkrivanje anomalija
- Secure Storage na strani aplikacije: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organizacijske mjere
- Vezpa trenutno djeluje kao obrt bez zaposlenika; eventualni vanjski suradnici pisanim putem se imenuju kao Izvrsitelji ili Ovlastene osobe s obvezama povjerljivosti
- Dokumentirani postupak incident responsea
- Azuriran registar obrade (cl. 30.)
- DPA s glavnim podizvrsiteljima
- Privacy by Design and by Default u fazama razvoja
- Odvajanje produkcijskog / staging / razvojnog okruzenja
Prilog C - Ovlasteni podizvrsitelji
Vazeci popis objavljen je i azuriran na vezpa.it/subprocessors. U trenutku sklapanja ugovora, popis obuhvaca (medu ostalim):
- DigitalOcean LLC - infrastruktura (EU Frankfurt + SAD DPF)
- Stripe - placanja (EU/SAD DPF)
- Google LLC - Firebase Cloud Messaging (SAD DPF)
- IONOS SE - email (DE)
- STAAH Limited - channel manager OTA (NZ, primjerenost)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app kupnje (Apple ne sudjeluje u DPF-u, prijenosi prema SAD-u putem SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app kupnje (SAD, aktivna DPF certifikacija)
- Tuya Smart - pametne brave (CN, samo ako ih aktivira objekt, SCC)
© 2022-2026 Vezpa - Sva prava pridrzana |
Pravila privatnosti |
Uvjeti usluge |
Pravila o kolacicima |
GDPR |
DPA |
Podizvrsitelji