📌 Pierwszeństwo prawne: niniejszy dokument jest grzecznościowym tłumaczeniem włoskiego oryginału. W przypadku rozbieżności między tym tłumaczeniem a wersją włoską,
wersja włoska ma pierwszeństwo jako prawnie wiążąca. Włoski oryginał dostępny tutaj:
https://vezpa.it/dpa/.
📌 Cel niniejszego dokumentu: niniejsza Umowa powierzenia przetwarzania danych (
DPA) reguluje przetwarzanie danych osobowych
gosci obiektow noclegowych korzystajacych z platformy Vezpa. Obiekt (
Administrator) powierza Vezpie (
Podmiot przetwarzajacy) przetwarzanie tych danych. DPA jest integralna czescia
Regulaminu i jest akceptowana jednoczesnie z rejestracja obiektu.
Do kogo ma zastosowanie: niniejsza DPA ma zastosowanie za kazdym razem, gdy obiekt uzywa Vezpa do przetwarzania danych osobowych osob innych niz sam obiekt (zazwyczaj: goscie, ich towarzysze, kontakty rezerwacyjne).
Nie ma zastosowania do przetwarzania danych profesjonalnych uzytkownikow obiektu, dla ktorych Vezpa dziala jako Administrator samodzielny (zob.
Polityka prywatnosci).
1. Strony
| Administrator danych ("Administrator") |
Obiekt noclegowy, ktory zawiera subskrypcje Vezpa, zidentyfikowany we wlasnym koncie (nazwa spolki, NIP, siedziba, przedstawiciel prawny). |
| Podmiot przetwarzajacy ("Podmiot przetwarzajacy" / "Vezpa") |
Vezpa di Paolo Vezzola, NIP (P.IVA) 04449070988, siedziba w via San Zeno 67, 25015 Desenzano del Garda (BS), Wlochy. PEC: [email protected] · Email: [email protected] |
2. Przedmiot i okres (art. 28 ust. 3 RODO)
Administrator powierza Podmiotowi przetwarzajacemu przetwarzanie danych osobowych we wlasnym imieniu za posrednictwem platformy Vezpa. Przetwarzanie trwa przez okres obowiazywania umowy subskrypcji miedzy stronami i konczy sie wraz z jej rozwiazaniem, z zastrzezeniem §14.
3. Natura, cele i rodzaj przetwarzanych danych
3.1 Cele
- Zarzadzanie rezerwacjami, pobytem i zameldowaniem/wymeldowaniem
- Wypelnianie obowiazkow prawnych Administratora wobec organow publicznych (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Przekazywanie danych rezerwacji do kanalow OTA i channel managera aktywowanych przez obiekt
- Wysylka komunikacji do gosci (potwierdzenia, pre-check-in, platnosci)
- Przetwarzanie platnosci przez silnik rezerwacyjny lub link Stripe
- Generowanie raportow i statystyk dla Administratora
3.2 Kategorie osob, ktorych dane dotycza
- Goscie obiektow i ich towarzysze
- Osoby rezerwujace w imieniu innych
- Kontakty awaryjne ewentualnie podane przez goscia
3.3 Rodzaj przetwarzanych danych osobowych
- Dane identyfikacyjne i osobowe (imie, nazwisko, data i miejsce urodzenia, obywatelstwo, plec)
- Dokumenty tozsamosci (rodzaj, numer, data wydania, organ wydajacy, obraz skanowany lub fotografowany)
- Dane tekstowe wyodrebnione z dokumentu poprzez automatyczny OCR
- Dane kontaktowe (email, telefon, adres)
- Dane rezerwacji i pobytu
- Dane platnicze (obslugiwane przez Stripe, nieprzechowywane przez Vezpa)
⚠️ Dane szczegolne (art. 9 RODO): dokument tozsamosci moze zawierac dane szczegolne (np. miejsce urodzenia). Administrator oswiadcza, ze posiada odpowiednia podstawe prawna zgodnie z art. 9 ust. 2 RODO (zazwyczaj lit. b, f lub g) i poleca Podmiotowi przetwarzajacemu ograniczenie przetwarzania takich danych do komunikacji wymaganej prawem wobec organow publicznych oraz do przechowywania w przewidzianych terminach.
4. Polecenia Administratora (art. 28 ust. 3 lit. a RODO)
Podmiot przetwarzajacy przetwarza dane osobowe wylacznie na podstawie udokumentowanych polecen Administratora. Ogolne polecenia zawarte sa w niniejszej DPA, w Polityce prywatnosci, w Informacji RODO oraz w Regulaminie. Szczegolowe polecenia moga byc wydawane przez Administratora poprzez:
Jesli Podmiot przetwarzajacy uzna, ze polecenie narusza RODO lub inne obowiazujace przepisy, niezwlocznie informuje o tym Administratora.
5. Obowiazki Podmiotu przetwarzajacego (art. 28 ust. 3 lit. b-h RODO)
Podmiot przetwarzajacy zobowiazuje sie do:
- Poufnosc: przetwarzac dane w sposob poufny i zapewnic, ze osoby upowaznione do przetwarzania sa zobowiazane do zachowania poufnosci;
- Bezpieczenstwo: przyjac srodki techniczne i organizacyjne wymienione w Zalaczniku B, adekwatne do ryzyka;
- Dalsze podmioty przetwarzajace: przestrzegac warunkow §6;
- Pomoc Administratorowi: pomagac Administratorowi w wypelnianiu jego obowiazkow, w szczegolnosci:
- Odpowiedz na wnioski osob (art. 15-22 RODO) w czasie umozliwiajacym Administratorowi odpowiedz w ustawowych 30 dniach;
- Powiadomienie Administratora o data breach w ciagu 24 godzin od wykrycia (§7);
- Wsparcie DPIA (art. 35) i uprzednich konsultacji (art. 36);
- Wykazanie zgodnosci poprzez dokumentacje i, gdy wymagane, audyt (§9).
- Zwrot / usuniecie danych po zakonczeniu, zgodnie z §14;
- Informacja: udostepnic Administratorowi wszystkie informacje niezbedne do wykazania zgodnosci z niniejsza DPA.
6. Dalsze podmioty przetwarzajace (art. 28 ust. 2 i 4 RODO)
6.1 Ogolne upowaznienie
Administrator upowaznia Podmiot przetwarzajacy do powolania dalszych podmiotow przetwarzajacych wymienionych na vezpa.it/subprocessors oraz tych, ktorzy zostana nastepnie dodani zgodnie z opisana tu procedura.
6.2 Zawiadomienie o zmianie
Podmiot przetwarzajacy komunikuje Administratorowi zamiar dodania lub zastapienia dalszego podmiotu przetwarzajacego z co najmniej 30-dniowym wyprzedzeniem, emailem na zarejestrowany adres i/lub komunikatem w panelu. W tym terminie Administrator moze zglosic uzasadniony sprzeciw. W przypadku nierozwiazywalnego sprzeciwu kazda ze stron moze rozwiazac umowe z zakonczeniem przetwarzania objetego sprzeciwem.
6.3 Obowiazki wobec dalszych podmiotow przetwarzajacych
Podmiot przetwarzajacy naklada na dalsze podmioty przetwarzajace na pismie obowiazki ochrony danych rownowazne tym tu przewidzianym i odpowiada wobec Administratora za dzialania dalszych podmiotow przetwarzajacych.
7. Data breach (art. 33 RODO)
W przypadku naruszenia danych osobowych dotyczacego danych przetwarzanych w imieniu Administratora, Podmiot przetwarzajacy:
- Powiadamia Administratora bez nieuzasadnionej zwloki, a w kazdym razie w ciagu 24 godzin od wykrycia;
- Dostarcza informacje z art. 33 ust. 3 RODO (natura, kategorie i przyblizona liczba osob i danych, prawdopodobne konsekwencje, srodki podjete lub proponowane);
- Wspolpracuje z Administratorem w komunikacji do osob i organu nadzorczego;
- Dokumentuje incydent i podjete dzialania.
Powiadomienie Administratora nastepuje emailem na zarejestrowany adres i PEC, jesli dostepny. Administrator pozostaje odpowiedzialny za powiadomienia zewnetrzne (organ ochrony danych, osoby) zgodnie z art. 33-34 RODO.
8. Prawa osob, ktorych dane dotycza (art. 28 ust. 3 lit. e RODO)
Jesli osoba zwraca sie bezposrednio do Podmiotu przetwarzajacego w celu wykonania praw dotyczacych danych przetwarzanych w imieniu Administratora, Podmiot przetwarzajacy przekazuje wniosek Administratorowi bez zwloki i nie odpowiada w imieniu Administratora, chyba ze wydano inne polecenia.
Podmiot przetwarzajacy udostepnia Administratorowi w panelu i przez API funkcjonalnosci do:
- Eksportu danych osoby (dostep i przenoszenie)
- Sprostowania
- Usuniecia lub anonimizacji
- Ograniczenia przetwarzania
Dla wnioskow wymagajacych recznej interwencji technicznej Podmiot przetwarzajacy odpowiada w ciagu 10 dni roboczych od otrzymania polecenia Administratora.
9. Audyt (art. 28 ust. 3 lit. h RODO)
Podmiot przetwarzajacy dostarcza Administratorowi na zadanie informacje i dokumentacje potwierdzajaca zgodnosc z niniejsza DPA, w tym:
- Podsumowanie wdrozonych srodkow bezpieczenstwa
- Lista dalszych podmiotow przetwarzajacych z siedzibami i podstawami przekazywania
- Rejestr czynnosci przetwarzania (istotne wyciagi)
- Certyfikaty dalszych podmiotow przetwarzajacych (ISO 27001, SOC 2, DPF) gdzie dostepne
Administrator moze przeprowadzic audyt (bezposrednio lub przez niezalezne strony trzecie objete obowiazkiem poufnosci) z wyprzedzeniem co najmniej 30 dni, w godzinach pracy, bez przerywania operacji i z czestotliwoscia nie wieksza niz raz w roku (z wyjatkiem data breach). Kazda strona ponosi wlasne koszty.
10. Przekazywanie poza UE (Rozdzial V RODO)
Lista dalszych podmiotow przetwarzajacych ze wskazaniem siedziby i podstawy prawnej przekazywania jest publikowana na vezpa.it/subprocessors. W przypadku przekazywania nieobjetego decyzja o adekwatnosci, Podmiot przetwarzajacy stosuje:
- Standardowe Klauzule Umowne 2021/914 i srodki uzupelniajace, gdy sa konieczne (udokumentowany Transfer Impact Assessment);
- Lub inne odpowiednie zabezpieczenia przewidziane w art. 46 RODO.
11. Rola Administratora
Administrator oswiadcza i zapewnia, ze:
- Dostarczyl osobom informacje przewidziana w art. 13-14 RODO;
- Uzyskal ewentualne podstawy prawne (zgoda, umowa, obowiazek prawny) niezbedne do przetwarzania;
- Wydaje Podmiotowi przetwarzajacemu legalne polecenia;
- Zapewnia prawidlowe przechowywanie i usuwanie danych po wycofaniu z platformy Vezpa.
12. Poufnosc
Kazda ze stron utrzymuje w scislej tajemnicy wszystkie informacje otrzymane od drugiej strony w wykonaniu niniejszej DPA, przez caly okres obowiazywania umowy i przez kolejne 5 lat.
13. Odpowiedzialnosc
Odpowiedzialnosc kazdej strony zgodnie z art. 82 RODO wobec osob, ktorych dane dotycza, pozostaje regulowana przez prawo. W relacjach miedzy stronami system odpowiedzialnosci umownej jest ustalony w Regulaminie (§9-10), przy zachowaniu nienaruszalnego podzialu przewidzianego w art. 82 RODO.
14. Zakonczenie przetwarzania
Z chwila zakonczenia umowy z jakiejkolwiek przyczyny Podmiot przetwarzajacy:
- Udostepnia Administratorowi narzedzia do eksportu wlasnych danych w ustrukturyzowanym formacie (CSV/JSON) przez 30 dni od zakonczenia;
- Po uplywie 30 dni usuwa lub anonimizuje dane przetwarzane w imieniu Administratora z systemow produkcyjnych;
- Usuwa dane z kopii zapasowych w nastepnym cyklu rotacji (zazwyczaj w ciagu 90 dni);
- Przechowuje dane, ktore Vezpa jest zobowiazana przechowywac na mocy prawa (zazwyczaj: dane fakturowania i logi bezpieczenstwa) wylacznie przez okresy narzucone obowiazujacymi przepisami, zachowujac nad nimi odpowiednie srodki bezpieczenstwa.
15. Zmiany
Podmiot przetwarzajacy moze modyfikowac niniejsza DPA w celu uwzglednienia zmian prawnych (np. nowych SCC, decyzji organu ochrony danych) lub zmian organizacyjnych. Istotne zmiany sa komunikowane Administratorowi z co najmniej 30-dniowym wyprzedzeniem. Jesli Administrator nie akceptuje, moze wypowiedziec umowe bez kar za niewykorzystany okres subskrypcji.
16. Prawo wlasciwe
Niniejsza DPA podlega prawu wloskiemu. W sprawach spornych stosuje sie §16 Regulaminu.
Zalacznik A - Zwiezly opis przetwarzania
| Pozycja |
Opis |
| Natura przetwarzania |
Zbieranie, utrwalanie, organizowanie, strukturyzowanie, przechowywanie, adaptacja, wyodrebnianie, konsultacja, uzywanie, komunikacja, transmisja do kanalow OTA i organow publicznych, usuwanie |
| Cele |
Zob. §3.1 |
| Kategorie osob, ktorych dane dotycza |
Zob. §3.2 |
| Kategorie danych |
Zob. §3.3 |
| Okres |
Przez caly okres obowiazywania umowy. Specyficzna retencja dla kategorii danych zgodnie z Polityka prywatnosci §6 |
Zalacznik B - Techniczne i organizacyjne srodki bezpieczenstwa (art. 32 RODO)
Srodki techniczne
- Szyfrowanie w tranzycie: HTTPS/TLS 1.2+, HSTS
- Szyfrowanie at-rest: pola wrazliwe z django-cryptography, woluminy i snapshoty szyfrowane po stronie infrastruktury (DigitalOcean)
- Hashowanie hasel z PBKDF2 z sola (domyslnie Django)
- Uwierzytelnianie: JWT z rotacja (access 15 min, refresh 180 dni z czarna lista), opcjonalne 2FA TOTP
- Bot blocker i rate limiting w celu zapobiegania zautomatyzowanym atakom
- Kontrola dostepu oparta na rolach (dyrektor/asystent/pokojowa/obserwator)
- Kopie zapasowe zarzadzane przez dostawce infrastruktury w UE
- Logi aplikacyjne i dostepu do wykrywania anomalii
- Secure Storage po stronie aplikacji: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Srodki organizacyjne
- Vezpa dziala obecnie jako jednoosobowa dzialalnosc gospodarcza bez pracownikow; ewentualni wspolpracownicy zewnetrzni sa wyznaczani na pismie jako Podmioty przetwarzajace lub Osoby upowaznione z obowiazkami poufnosci
- Udokumentowana procedura reakcji na incydenty
- Rejestr czynnosci przetwarzania (art. 30) aktualizowany
- DPA z glownymi dalszymi podmiotami przetwarzajacymi
- Privacy by Design and by Default w fazach rozwoju
- Oddzielenie srodowisk produkcja / staging / rozwoj
Zalacznik C - Upowaznione dalsze podmioty przetwarzajace
Obowiazujaca lista jest publikowana i utrzymywana aktualna na vezpa.it/subprocessors. Na moment zawarcia umowy lista obejmuje (miedzy innymi):
- DigitalOcean LLC - infrastruktura (UE Frankfurt + USA DPF)
- Stripe - platnosci (UE/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - email (DE)
- STAAH Limited - channel manager OTA (NZ, adekwatnosc)
- Apple Distribution International Ltd (IE) / Apple Inc. - zakupy w aplikacji (Apple nie przystepuje do DPF, przekazywanie do USA przez SCC 2021/914)
- Google LLC / Microsoft Corp. - zakupy w aplikacji (USA, aktywna certyfikacja DPF)
- Tuya Smart - inteligentne zamki (CN, tylko gdy aktywowane przez obiekt, SCC)
© 2022-2026 Vezpa - Wszelkie prawa zastrzezone |
Polityka prywatnosci |
Regulamin |
Polityka plikow cookie |
RODO |
DPA |
Dalsze podmioty przetwarzajace