Acord de prelucrare a datelor (DPA)

📌 Preeminență juridică: acest document este o traducere de curtoazie a originalului italian. În caz de divergență între această traducere și versiunea italiană, versiunea italiană prevalează ca referință obligatorie din punct de vedere juridic. Original italian disponibil aici: https://vezpa.it/dpa/.

Scopul acestui document: prezentul Acord de prelucrare a datelor (DPA) reglementeaza prelucrarea datelor cu caracter personal ale oaspetilor din structurile de cazare care utilizeaza platforma Vezpa. Structura (Operator) incredinteaza Vezpa (Imputernicit) prelucrarea acestor date. DPA este parte integranta a Termenilor si conditiilor si este acceptat in acelasi timp cu inregistrarea structurii.

Cui se aplica: acest DPA se aplica de fiecare data cand structura utilizeaza Vezpa pentru a prelucra date cu caracter personal ale unor subiecti diferiti de structura insasi (tipic: oaspeti, insotitori ai acestora, contacte de rezervare). Nu se aplica prelucrarii datelor utilizatorilor profesionali ai structurii, pentru care Vezpa opereaza ca Operator autonom (vezi Politica de confidentialitate).

1. Partile

Operatorul de date ("Operator")	Structura de cazare care subscrie abonamentul Vezpa, asa cum este identificata in propriul cont (denumire sociala, P.IVA, sediu, reprezentant legal).
Imputernicit al operatorului ("Imputernicit" / "Vezpa")	Vezpa di Paolo Vezzola, P.IVA 04449070988, sediu in via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] · Email: [email protected]

2. Obiect si durata (art. 28.3 GDPR)

Operatorul il insarcineaza pe Imputernicit sa prelucreze date cu caracter personal in nume propriu prin intermediul platformei Vezpa. Prelucrarea are durata contractului de abonament dintre parti si inceteaza odata cu rezilierea acestuia, cu exceptia celor prevazute la §14.

3. Natura, scopul si tipul datelor prelucrate

3.1 Scop

Gestionarea rezervarilor, sederii si check-in/check-out
Indeplinirea obligatiilor legale ale Operatorului fata de autoritatile publice (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
Comunicarea datelor de rezervare catre canalele OTA si channel manager activate de structura
Emiterea de comunicari catre oaspete (confirmari, pre-check-in, plati)
Procesare plati prin Booking Engine sau link Stripe
Producere rapoarte si statistici pentru Operator

3.2 Categorii de persoane vizate

Oaspetii structurilor si insotitorii acestora
Persoane care rezerva in numele altora
Contacte de urgenta eventual furnizate de oaspete

3.3 Tipul de date cu caracter personal prelucrate

Date de identificare si anagrafice (nume, prenume, data si locul nasterii, cetatenie, gen)
Documente de identitate (tip, numar, data eliberarii, autoritate emitenta, imagine scanata sau fotografica)
Date textuale extrase din document prin OCR automat
Date de contact (email, telefon, adresa)
Date de rezervare si sedere
Date de plata (gestionate de Stripe, nememorate pe Vezpa)

    Date speciale (art. 9 GDPR): documentul de identitate poate contine date speciale (ex. locul nasterii). Operatorul declara ca are temei juridic adecvat conform art. 9.2 GDPR (tipic lit. b, f sau g) si il instruieste pe Imputernicit sa limiteze prelucrarea acestor date la comunicarile solicitate de lege fata de autoritatile publice si la pastrarea in termenele prevazute.

4. Instructiunile Operatorului (art. 28.3.a GDPR)

Imputernicitul prelucreaza datele cu caracter personal exclusiv pe baza instructiunilor documentate ale Operatorului. Instructiunile generale sunt continute in prezentul DPA, in Politica de confidentialitate, in Informarea GDPR si in Termenii si conditiile. Instructiuni specifice pot fi date de Operator prin:

Configurari in propriul cont (activare/dezactivare conectori guvernamentali, OTA, retention)
Comunicare scrisa la [email protected] sau prin PEC la [email protected]

Daca Imputernicitul considera ca o instructiune incalca GDPR sau alte dispozitii aplicabile, il informeaza imediat pe Operator.

5. Obligatiile Imputernicitului (art. 28.3.b-h GDPR)

Imputernicitul se angajeaza sa:

Confidentialitate: sa prelucreze datele in mod confidential si sa se asigure ca persoanele autorizate sa prelucreze sunt obligate sa respecte confidentialitatea;
Securitate: sa adopte masurile tehnice si organizatorice din Anexa B, adecvate riscului;
Subimputerniciti: sa respecte conditiile de la §6;
Asistenta Operatorului: sa asiste Operatorul in indeplinirea obligatiilor sale, in special:
- Raspunsul la cererile persoanelor vizate (art. 15-22 GDPR) in termene care sa permita Operatorului sa raspunda in cele 30 de zile legale;
- Notificarea data breach catre Operator in 24 de ore de la descoperire (§7);
- Sprijin pentru DPIA (art. 35) si consultari preventive (art. 36);
- Demonstrarea conformitatii prin documentatie si, acolo unde se solicita, audit (§9).
Restituirea / stergerea datelor la incheiere, conform §14;
Informare: sa puna la dispozitia Operatorului toate informatiile necesare pentru a demonstra conformitatea cu prezentul DPA.

6. Subimputerniciti (art. 28.2 si 28.4 GDPR)

6.1 Autorizare generala

Operatorul autorizeaza Imputernicitul sa numeasca subimputernicitii enumerati la vezpa.it/subprocessors si pe cei care vor fi adaugati ulterior conform procedurii descrise aici.

6.2 Preaviz de modificare

Imputernicitul ii comunica Operatorului intentia de a adauga sau substitui un subimputernicit cu cel putin 30 de zile preaviz, prin email la adresa inregistrata si/sau anunt in dashboard. In acest termen, Operatorul se poate opune motivat. In caz de opozitie nesolutionabila, fiecare parte poate rezilia contractul cu incetarea prelucrarii in cauza.

6.3 Obligatii fata de subimputerniciti

Imputernicitul impune subimputernicitilor in scris obligatii de protectie a datelor echivalente cu cele prevazute aici si raspunde fata de Operator pentru activitatea subimputernicitilor.

7. Data breach (art. 33 GDPR)

In caz de incalcare a datelor cu caracter personal care afecteaza datele prelucrate in numele Operatorului, Imputernicitul:

Notifica Operatorul fara intarziere nejustificata si in orice caz in 24 de ore de la descoperire;
Furnizeaza informatiile de la art. 33.3 GDPR (natura, categoriile si numarul aproximativ al persoanelor vizate si datelor, consecinte probabile, masuri adoptate sau propuse);
Colaboreaza cu Operatorul in comunicarile catre persoanele vizate si Autoritatea de supraveghere;
Documenteaza incidentul si actiunile intreprinse.

Notificarea catre Operator are loc prin email la adresa inregistrata si PEC, daca este disponibila. Operatorul ramane responsabil pentru notificarile externe (Garante, persoane vizate) conform art. 33-34 GDPR.

8. Drepturile persoanelor vizate (art. 28.3.e GDPR)

Daca o persoana vizata se adreseaza direct Imputernicitului pentru a-si exercita drepturile privind datele prelucrate in numele Operatorului, Imputernicitul transmite cererea Operatorului fara intarziere si nu raspunde in numele Operatorului cu exceptia unor instructiuni diferite.

Imputernicitul pune la dispozitia Operatorului, in dashboard si prin API, functionalitati pentru:

Exportul datelor unei persoane vizate (acces si portabilitate)
Rectificare
Stergere sau anonimizare
Restrictionarea prelucrarii

Pentru cererile care necesita interventie tehnica manuala, Imputernicitul raspunde in 10 zile lucratoare de la primirea instructiunii Operatorului.

9. Audit (art. 28.3.h GDPR)

Imputernicitul furnizeaza Operatorului, la cerere, informatii si documentatie care sa demonstreze conformitatea cu prezentul DPA, inclusiv:

Rezumat al masurilor de securitate implementate
Lista subimputernicitilor cu sedii si temei de transfer
Registrul prelucrarilor (extrase relevante)
Certificari ale subimputernicitilor (ISO 27001, SOC 2, DPF) cand sunt disponibile

Operatorul poate efectua audit (direct sau prin terti independenti supusi confidentialitatii) cu preaviz de cel putin 30 de zile, in timpul orelor de lucru, fara a intrerupe operatiunile si cu frecventa de cel mult o data pe an (cu exceptia data breach). Fiecare parte isi suporta propriile costuri.

10. Transferuri in afara UE (Capitolul V GDPR)

Lista subimputernicitilor cu indicarea sediului si temeiul juridic al transferului este publicata la vezpa.it/subprocessors. Pentru transferurile neacoperite de o decizie de adecvare, Imputernicitul adopta:

Clauze Contractuale Standard 2021/914 si masuri suplimentare acolo unde este necesar (Transfer Impact Assessment documentat);
Sau alte garantii adecvate prevazute de art. 46 GDPR.

11. Rolul Operatorului

Operatorul declara si garanteaza ca:

A furnizat persoanelor vizate informarea prevazuta de art. 13-14 GDPR;
A dobandit temeiurile juridice necesare pentru prelucrare (consimtamant, contract, obligatie legala);
Va da instructiuni legale Imputernicitului;
Garanteaza pastrarea si stergerea corecta a datelor dupa retragerea de pe platforma Vezpa.

12. Confidentialitate

Fiecare parte pastreaza strict confidentiale toate informatiile primite de la cealalta parte in executarea prezentului DPA, pe toata durata contractului si pentru cei 5 ani urmatori.

13. Raspundere

Raspunderea fiecarei parti conform art. 82 GDPR fata de persoanele vizate ramane reglementata de lege. In raporturile dintre parti, regimul raspunderii contractuale este cel stabilit in Termenii si conditiile (§9-10), cu mentinerea repartizarii inderogabile prevazute de art. 82 GDPR.

14. Incetarea prelucrarii

La incetarea contractului din orice motiv, Imputernicitul:

Pune la dispozitia Operatorului instrumentele pentru a-si exporta datele in format structurat (CSV/JSON) pentru 30 de zile de la incetare;
Dupa cele 30 de zile, sterge sau anonimizeaza datele prelucrate in numele Operatorului din sistemele de productie;
Sterge datele din backup-uri in cadrul ciclului de rotatie urmator (tipic in 90 de zile);
Pastreaza datele pe care Vezpa este obligata sa le pastreze prin lege (tipic: date de facturare si log-uri de securitate) doar pe termenele impuse de reglementarea aplicabila, mentinand asupra acestora masuri de securitate adecvate.

15. Modificari

Imputernicitul poate modifica prezentul DPA pentru a prelua evolutiile reglementare (ex. noi SCC, decizii ale autoritatii italiene Garante) sau variatii organizatorice. Modificarile substantiale sunt comunicate Operatorului cu cel putin 30 de zile preaviz. Daca Operatorul nu accepta, poate rezilia fara penalizari pentru partea nebeneficiata din abonament.

16. Legea aplicabila

Prezentul DPA este reglementat de legea italiana. Pentru litigii se aplica §16 din Termenii si conditiile.

Anexa A - Descriere sintetica a prelucrarii

Element	Descriere
Natura prelucrarii	Colectare, inregistrare, organizare, structurare, pastrare, adaptare, extragere, consultare, utilizare, comunicare, transmitere catre canale OTA si autoritati publice, stergere
Scop	Vezi §3.1
Categorii de persoane vizate	Vezi §3.2
Categorii de date	Vezi §3.3
Durata	Pentru toata durata contractului. Retention specifica pentru categoriile de date conform Politicii de confidentialitate §6

Anexa B - Masuri tehnice si organizatorice de securitate (art. 32 GDPR)

Masuri tehnice

Criptare in tranzit: HTTPS/TLS 1.2+, HSTS
Cifrare at-rest: campuri sensibile cu django-cryptography, volume si snapshot-uri cifrate la nivel de infrastructura (DigitalOcean)
Hashing parole cu PBKDF2 salted (default Django)
Autentificare: JWT cu rotatie (access 15 min, refresh 180 zile cu blacklist), 2FA TOTP optional
Bot blocker si rate limiting pentru a preveni atacurile automatizate
Controlul accesului bazat pe roluri (director/asistent/camerista/observator)
Backup gestionate de furnizorul de infrastructura in UE
Log-uri aplicative si de acces pentru detectarea anomaliilor
Secure Storage la nivel de aplicatie: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows

Masuri organizatorice

Vezpa opereaza in prezent ca intreprindere individuala fara angajati; eventualii colaboratori externi sunt desemnati in scris ca Imputerniciti sau Persoane autorizate cu obligatii de confidentialitate
Procedura documentata de incident response
Registrul prelucrarilor (art. 30) actualizat
DPA cu subimputernicitii principali
Privacy by Design and by Default in fazele de dezvoltare
Separare medii productie / staging / dezvoltare

Anexa C - Subimputerniciti autorizati

Lista in vigoare este publicata si mentinuta actualizata la vezpa.it/subprocessors. La momentul intrarii in contract, lista cuprinde (printre altele):

DigitalOcean LLC - infrastructura (UE Frankfurt + SUA DPF)
Stripe - plati (UE/SUA DPF)
Google LLC - Firebase Cloud Messaging (SUA DPF)
IONOS SE - email (DE)
STAAH Limited - channel manager OTA (NZ, adecvare)
Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple nu adera la DPF, transferuri SUA prin SCC 2021/914)
Google LLC / Microsoft Corp. - in-app purchase (SUA DPF certificat activ)
Tuya Smart - broaste smart (CN, numai daca este activat de structura, SCC)

Contacte pentru chestiuni DPA

Imputernicitul operatorului:
Vezpa di Paolo Vezzola
Email: [email protected]
PEC: [email protected]
Desenzano del Garda, via San Zeno 67

ACORD DE PRELUCRARE A DATELOR (DPA)

1. Partile

2. Obiect si durata (art. 28.3 GDPR)

3. Natura, scopul si tipul datelor prelucrate

3.1 Scop

3.2 Categorii de persoane vizate

3.3 Tipul de date cu caracter personal prelucrate

4. Instructiunile Operatorului (art. 28.3.a GDPR)

5. Obligatiile Imputernicitului (art. 28.3.b-h GDPR)

6. Subimputerniciti (art. 28.2 si 28.4 GDPR)

6.1 Autorizare generala

6.2 Preaviz de modificare

6.3 Obligatii fata de subimputerniciti

7. Data breach (art. 33 GDPR)

8. Drepturile persoanelor vizate (art. 28.3.e GDPR)

9. Audit (art. 28.3.h GDPR)

10. Transferuri in afara UE (Capitolul V GDPR)

11. Rolul Operatorului

12. Confidentialitate

13. Raspundere

14. Incetarea prelucrarii

15. Modificari

16. Legea aplicabila

Anexa A - Descriere sintetica a prelucrarii

Anexa B - Masuri tehnice si organizatorice de securitate (art. 32 GDPR)

Masuri tehnice

Masuri organizatorice

Anexa C - Subimputerniciti autorizati

Contacte pentru chestiuni DPA