📌 Juridisk forrang: dette dokumentet er en høflig oversettelse av den italienske originalen. Ved uoverensstemmelser mellom denne oversettelsen og den italienske versjonen
har den italienske versjonen forrang som juridisk bindende referanse. Italiensk original tilgjengelig her:
https://vezpa.it/dpa/.
📌 Dokumentets formaal: denne Databehandleravtalen (
DPA) regulerer behandlingen av personopplysningene til
gjestene ved innkvarteringsstedene som bruker Vezpa-plattformen. Innkvarteringsstedet (
Behandlingsansvarlig) betror Vezpa (
Databehandler) behandlingen av slike data. DPA-en er en integrert del av
Tjenestevilkaarene og aksepteres samtidig med registrering av innkvarteringsstedet.
Hvem det gjelder for: denne DPA-en gjelder hver gang innkvarteringsstedet bruker Vezpa til a behandle personopplysninger om andre enn innkvarteringsstedet selv (typisk: gjester, deres foelgesvenner, bestillingskontakter).
Gjelder ikke for behandling av data om innkvarteringsstedets profesjonelle brukere, som Vezpa opptrer som selvstendig Behandlingsansvarlig for (se
Personvernerklaering).
1. Parter
| Behandlingsansvarlig ("Behandlingsansvarlig") |
Innkvarteringsstedet som tegner Vezpa-abonnement, som identifisert paa sin konto (firmanavn, MVA-nr., adresse, juridisk representant). |
| Databehandler ("Databehandler" / "Vezpa") |
Vezpa di Paolo Vezzola, MVA-nr. 04449070988, adresse via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] · E-post: [email protected] |
2. Gjenstand og varighet (art. 28.3 GDPR)
Behandlingsansvarlig paalegger Databehandleren a behandle personopplysninger paa egne vegne gjennom Vezpa-plattformen. Behandlingen har varighet som abonnementsavtalen mellom partene, og opphoerer ved dens opphoer, med forbehold for det som er fastsatt i §14.
3. Art, formaal og type behandlede data
3.1 Formaal
- Administrasjon av bestillinger, opphold og innsjekk/utsjekk
- Oppfyllelse av Behandlingsansvarliges rettslige forpliktelser overfor offentlige myndigheter (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Kommunikasjon av bestillingsdata til OTA-kanaler og channel manager aktivert av innkvarteringsstedet
- Utsending av meldinger til gjesten (bekreftelser, pre-check-in, betalinger)
- Behandling av betalinger via Booking Engine eller Stripe-lenke
- Utarbeidelse av rapporter og statistikk for Behandlingsansvarlig
3.2 Kategorier av registrerte
- Gjester paa innkvarteringsstedene og deres foelgesvenner
- Personer som bestiller paa vegne av andre
- Noedkontakter eventuelt oppgitt av gjesten
3.3 Type behandlede personopplysninger
- Identifikasjons- og personopplysninger (fornavn, etternavn, foedselsdato og -sted, statsborgerskap, kjoenn)
- Legitimasjonsdokumenter (type, nummer, utstedelsesdato, utsteder, skannet eller fotografert bilde)
- Tekstdata hentet fra dokumentet via automatisk OCR
- Kontaktopplysninger (e-post, telefon, adresse)
- Bestillings- og oppholdsdata
- Betalingsopplysninger (behandlet av Stripe, ikke lagret hos Vezpa)
⚠️ Saerlige kategorier (art. 9 GDPR): legitimasjonsdokumentet kan inneholde saerlige kategorier (f.eks. foedested). Behandlingsansvarlig erklaerer a ha egnet rettslig grunnlag etter art. 9.2 GDPR (typisk bokstav b, f eller g) og instruerer Databehandler om a begrense behandlingen av slike data til kommunikasjon som kreves ved lov overfor offentlige myndigheter og oppbevaring innenfor de fastsatte fristene.
4. Behandlingsansvarliges instrukser (art. 28.3.a GDPR)
Databehandler behandler personopplysninger utelukkende paa grunnlag av dokumenterte instrukser fra Behandlingsansvarlig. Generelle instrukser finnes i denne DPA-en, i Personvernerklaeringen, i GDPR-erklaeringen og i Tjenestevilkaarene. Spesifikke instrukser kan gis av Behandlingsansvarlig gjennom:
- Konfigurasjoner paa egen konto (aktivering/deaktivering av myndighetskonnektorer, OTA, retention)
- Skriftlig meldling til [email protected] eller via PEC til [email protected]
Dersom Databehandler mener at en instruks bryter med GDPR eller andre anvendelige bestemmelser, informerer den Behandlingsansvarlig umiddelbart.
5. Databehandlerens forpliktelser (art. 28.3.b-h GDPR)
Databehandler forplikter seg til a:
- Fortrolighet: behandle data konfidensielt og sikre at personer som er autorisert til behandlingen er underlagt taushetsplikt;
- Sikkerhet: iverksette de tekniske og organisatoriske tiltakene i Vedlegg B, egnet i forhold til risikoen;
- Underdatabehandlere: overholde vilkaarene i §6;
- Bistand til Behandlingsansvarlig: bistaa Behandlingsansvarlig i oppfyllelsen av dennes forpliktelser, spesielt:
- Svar paa registrertes henvendelser (art. 15-22 GDPR) innen frister som lar Behandlingsansvarlig svare innen lovens 30 dager;
- Varsling av data breach til Behandlingsansvarlig innen 24 timer fra oppdagelse (§7);
- Stoette til DPIA (art. 35) og forhaandskonsultasjoner (art. 36);
- Demonstrasjon av samsvar gjennom dokumentasjon og, der det kreves, revisjon (§9).
- Tilbakelevering / sletting av data ved opphoer, som fastsatt i §14;
- Informasjon: stille til raadighet for Behandlingsansvarlig all informasjon som er noedvendig for a demonstrere samsvar med denne DPA-en.
6. Underdatabehandlere (art. 28.2 og 28.4 GDPR)
6.1 Generell autorisasjon
Behandlingsansvarlig autoriserer Databehandler til a utnevne underdatabehandlerne oppfoert paa vezpa.it/subprocessors og de som senere legges til etter prosedyren beskrevet her.
6.2 Endringsvarsel
Databehandler varsler Behandlingsansvarlig om intensjonen om a legge til eller erstatte en underdatabehandler med minst 30 dagers varsel, via e-post til registrert adresse og/eller melding i dashbordet. Innen denne fristen kan Behandlingsansvarlig motsette seg med begrunnelse. Ved uloeselig motstand kan hver part heve avtalen med opphoer av den berorte behandlingen.
6.3 Forpliktelser overfor underdatabehandlere
Databehandler paalegger skriftlig underdatabehandlerne forpliktelser om databeskyttelse tilsvarende de her fastsatte, og er ansvarlig overfor Behandlingsansvarlig for underdatabehandlernes virksomhet.
7. Data breach (art. 33 GDPR)
Ved brudd paa personopplysninger som beroerer data behandlet paa vegne av Behandlingsansvarlig, skal Databehandler:
- Varsle Behandlingsansvarlig uten ubegrunnet forsinkelse og uansett innen 24 timer fra oppdagelse;
- Gi informasjonen i art. 33.3 GDPR (bruddets art, kategorier og omtrentlig antall registrerte og data, sannsynlige konsekvenser, iverksatte eller foreslaatte tiltak);
- Samarbeide med Behandlingsansvarlig i kommunikasjonen til de registrerte og til tilsynsmyndigheten;
- Dokumentere hendelsen og de iverksatte tiltakene.
Varsel til Behandlingsansvarlig skjer via e-post til registrert adresse og PEC, hvis tilgjengelig. Behandlingsansvarlig forblir ansvarlig for eksterne varsler (tilsynsmyndigheten, registrerte) i henhold til art. 33-34 GDPR.
8. De registrertes rettigheter (art. 28.3.e GDPR)
Dersom en registrert henvender seg direkte til Databehandler for a utoeve rettigheter knyttet til data behandlet paa vegne av Behandlingsansvarlig, videresender Databehandler henvendelsen til Behandlingsansvarlig uten forsinkelse og svarer ikke paa vegne av Behandlingsansvarlig med mindre annet er instruert.
Databehandler stiller til Behandlingsansvarliges raadighet, i dashbordet og via API, funksjoner for:
- Eksport av en registrerts data (innsyn og portabilitet)
- Retting
- Sletting eller anonymisering
- Begrensning av behandlingen
For henvendelser som krever manuell teknisk behandling, svarer Databehandler innen 10 arbeidsdager fra mottak av Behandlingsansvarliges instruks.
9. Revisjon (art. 28.3.h GDPR)
Databehandler gir Behandlingsansvarlig, paa forespoersel, informasjon og dokumentasjon som viser samsvar med denne DPA-en, herunder:
- Sammendrag av iverksatte sikkerhetstiltak
- Liste over underdatabehandlere med adresser og grunnlag for overfoering
- Register over behandlingsaktiviteter (relevante utdrag)
- Underdatabehandlernes sertifiseringer (ISO 27001, SOC 2, DPF) der tilgjengelig
Behandlingsansvarlig kan gjennomfoere revisjoner (direkte eller gjennom uavhengige tredjeparter underlagt taushetsplikt) med minst 30 dagers varsel, i arbeidstiden, uten a avbryte driften og med frekvens ikke hoeyere enn en gang i aaret (unntatt ved data breach). Hver part dekker sine egne kostnader.
10. Overfoering utenfor EU (GDPR kapittel V)
Listen over underdatabehandlere med angivelse av adresse og rettslig grunnlag for overfoeringen er publisert paa vezpa.it/subprocessors. For overfoeringer som ikke dekkes av tilstrekkelighetsbeslutning, iverksetter Databehandler:
- Standard kontraktsbestemmelser 2021/914 og supplerende tiltak der det er noedvendig (dokumentert Transfer Impact Assessment);
- Eller andre egnede garantier fastsatt i art. 46 GDPR.
11. Behandlingsansvarliges rolle
Behandlingsansvarlig erklaerer og garanterer a ha:
- Gitt de registrerte informasjonen etter art. 13-14 GDPR;
- Innhentet eventuelle rettslige grunnlag (samtykke, avtale, rettslig forpliktelse) som er noedvendige for behandlingen;
- Gitt lovlige instrukser til Databehandler;
- Sikret korrekt oppbevaring og sletting av data etter uttak fra Vezpa-plattformen.
12. Konfidensialitet
Hver part opprettholder streng konfidensialitet om all informasjon mottatt fra den andre parten i utfoerelsen av denne DPA-en, for hele kontraktens varighet og de 5 paafoelgende aarene.
13. Ansvar
Hver parts ansvar etter art. 82 GDPR overfor de registrerte forblir regulert av loven. I forholdet mellom partene er kontraktsrettslig ansvar det som er fastsatt i Tjenestevilkaarene (§9-10), med forbehold for den ufravikelige fordelingen fastsatt i art. 82 GDPR.
14. Opphoer av behandlingen
Ved opphoer av avtalen av enhver grunn skal Databehandler:
- Stille til Behandlingsansvarliges raadighet verktoey for eksport av egne data i strukturert format (CSV/JSON) i 30 dager fra opphoeret;
- Etter 30 dager slette eller anonymisere data behandlet paa vegne av Behandlingsansvarlig fra produksjonssystemene;
- Slette data fra sikkerhetskopiene innen neste rotasjonssyklus (typisk innen 90 dager);
- Oppbevare data som Vezpa er forpliktet til a oppbevare ved lov (typisk: faktureringsdata og sikkerhetslogger) kun saa lenge det kreves av gjeldende regelverk, og opprettholde egnede sikkerhetstiltak for disse.
15. Endringer
Databehandler kan endre denne DPA-en for a ta hoeyde for regelverksendringer (f.eks. nye SCC, vedtak fra tilsynsmyndigheten) eller organisatoriske endringer. Vesentlige endringer meddeles Behandlingsansvarlig med minst 30 dagers varsel. Dersom Behandlingsansvarlig ikke aksepterer, kan vedkommende heve uten mulkt for den ubrukte delen av abonnementet.
16. Gjeldende lov
Denne DPA-en er regulert av italiensk lov. For tvister gjelder §16 i Tjenestevilkaarene.
Vedlegg A - Kort beskrivelse av behandlingen
| Element |
Beskrivelse |
| Behandlingens art |
Innsamling, registrering, organisering, strukturering, oppbevaring, tilpasning, uthenting, konsultasjon, bruk, kommunikasjon, overfoering til OTA-kanaler og offentlige myndigheter, sletting |
| Formaal |
Se §3.1 |
| Kategorier av registrerte |
Se §3.2 |
| Kategorier av data |
Se §3.3 |
| Varighet |
For hele kontraktens varighet. Spesifikk retention for kategorier av data i henhold til Personvernerklaering §6 |
Vedlegg B - Tekniske og organisatoriske sikkerhetstiltak (art. 32 GDPR)
Tekniske tiltak
- Kryptering under overfoering: HTTPS/TLS 1.2+, HSTS
- Kryptering at-rest: sensitive felter med django-cryptography, volumer og snapshots kryptert paa infrastruktursiden (DigitalOcean)
- Passord-hashing med saltet PBKDF2 (Django standard)
- Autentisering: JWT med rotasjon (access 15 min, refresh 180 dager med svarteliste), valgfri 2FA TOTP
- Bot blocker og rate limiting for a forhindre automatiserte angrep
- Rollebasert tilgangskontroll (direktoer/assistent/husholderske/observatoer)
- Sikkerhetskopier administrert av infrastrukturleverandoeren i EU
- Applikasjons- og tilgangslogger for avviksdeteksjon
- Secure Storage paa app-siden: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organisatoriske tiltak
- Vezpa driver for tiden som enkeltpersonforetak uten ansatte; eventuelle eksterne medarbeidere utnevnes skriftlig som Databehandlere eller Autoriserte personer med taushetsplikt
- Dokumentert incident response-prosedyre
- Oppdatert register over behandlingsaktiviteter (art. 30)
- DPA med de viktigste underdatabehandlerne
- Privacy by Design and by Default i utviklingsfasene
- Separasjon av produksjons-/staging-/utviklingsmiljoeer
Vedlegg C - Autoriserte underdatabehandlere
Gjeldende liste er publisert og holdes oppdatert paa vezpa.it/subprocessors. Ved inngaaelse av avtalen omfatter listen (blant andre):
- DigitalOcean LLC - infrastruktur (EU Frankfurt + USA DPF)
- Stripe - betalinger (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - e-post (DE)
- STAAH Limited - channel manager OTA (NZ, tilstrekkelighet)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple deltar ikke i DPF, USA-overfoeringer via SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app purchase (USA, aktiv DPF-sertifisering)
- Tuya Smart - smartlaaser (CN, kun hvis aktivert av innkvarteringsstedet, SCC)
© 2022-2026 Vezpa - Alle rettigheter forbeholdt |
Personvernerklaering |
Tjenestevilkaar |
Informasjonskapsler |
GDPR |
DPA |
Underdatabehandlere