Уведомление: Это любезный перевод с итальянского оригинала. В случае противоречий или двусмысленности приоритет имеет итальянская версия. Итальянский оригинал доступен по адресу:
https://vezpa.it/dpa/
📌 Цель настоящего документа: настоящее Соглашение об обработке данных (
DPA) регулирует обработку персональных данных
гостей объектов размещения, использующих платформу Vezpa. Объект размещения (
Контролёр) поручает Vezpa (
Обработчику) обработку таких данных. DPA является неотъемлемой частью
Общих условий обслуживания и принимается одновременно с регистрацией объекта размещения.
Сфера применения: настоящее DPA применяется каждый раз, когда объект размещения использует Vezpa для обработки персональных данных лиц, отличных от самого объекта размещения (обычно: гостей, их сопровождающих, контактных лиц по бронированию).
Не применяется к обработке данных профессиональных пользователей объекта размещения, в отношении которых Vezpa действует как самостоятельный Контролёр (см.
Политика конфиденциальности).
1. Стороны
| Контролёр персональных данных («Контролёр») |
Объект размещения, заключающий подписку Vezpa, как указано в его собственной учётной записи (наименование, номер НДС, юридический адрес, законный представитель). |
| Обработчик персональных данных («Обработчик» / «Vezpa») |
Vezpa di Paolo Vezzola, номер НДС 04449070988, юридический адрес: via San Zeno 67, 25015 Desenzano del Garda (BS), Италия. PEC: [email protected] · Электронная почта: [email protected] |
2. Предмет и срок (ст. 28.3 GDPR)
Контролёр поручает Обработчику обрабатывать персональные данные от его имени через платформу Vezpa. Обработка имеет срок действия договора подписки между сторонами и прекращается с его расторжением, на условиях §14.
3. Характер, цели и виды обрабатываемых данных
3.1 Цели
- Управление бронированиями, проживанием и заездом/выездом
- Выполнение правовых обязательств Контролёра перед публичными органами (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Передача данных бронирования OTA-каналам и менеджерам каналов, активированным объектом размещения
- Отправка сообщений гостю (подтверждения, pre-check-in, платежи)
- Обработка платежей через Систему бронирования или подключение Stripe
- Подготовка отчётов и статистики для Контролёра
3.2 Категории субъектов данных
- Гости объектов размещения и их сопровождающие
- Лица, бронирующие от имени других
- Контактные лица для экстренных случаев, при необходимости предоставленные гостем
3.3 Виды обрабатываемых персональных данных
- Идентификационные и личные данные (имя, фамилия, дата и место рождения, гражданство, пол)
- Документы, удостоверяющие личность (тип, номер, дата выдачи, выдающий орган, отсканированное или сфотографированное изображение)
- Текстовые данные, извлечённые из документа автоматическим OCR
- Контактные данные (электронная почта, телефон, адрес)
- Данные о бронировании и проживании
- Платёжные данные (обрабатываются Stripe, не хранятся в Vezpa)
⚠️ Особые категории данных (ст. 9 GDPR): документ, удостоверяющий личность, может содержать особые категории данных (например, место рождения). Контролёр заявляет, что располагает надлежащим правовым основанием в соответствии со ст. 9.2 GDPR (обычно подп. b, e или g) и поручает Обработчику ограничить обработку таких данных передачами, требуемыми законом, публичным органам и хранением в течение предусмотренных сроков.
4. Инструкции Контролёра (ст. 28.3.а GDPR)
Обработчик обрабатывает персональные данные исключительно на основании задокументированных инструкций Контролёра. Общие инструкции содержатся в настоящем DPA, в Политике конфиденциальности, в Информации согласно GDPR и в Общих условиях обслуживания. Специальные инструкции могут быть даны Контролёром посредством:
- Настроек в собственной учётной записи (активация/деактивация государственных коннекторов, OTA, сроки хранения)
- Письменного сообщения на [email protected] или через PEC на [email protected]
Если Обработчик считает, что какая-либо инструкция нарушает GDPR или иные применимые нормы, он незамедлительно информирует Контролёра.
5. Обязанности Обработчика (ст. 28.3.б-з GDPR)
Обработчик обязуется:
- Конфиденциальность: обрабатывать данные конфиденциально и обеспечить, чтобы лица, уполномоченные на обработку, были связаны обязательством о конфиденциальности;
- Безопасность: принимать технические и организационные меры согласно Приложению Б, соразмерные риску;
- Субобработчики: соблюдать условия §6;
- Содействие Контролёру: оказывать Контролёру содействие в выполнении его обязанностей, в частности:
- Ответ на запросы субъектов данных (ст. 15-22 GDPR) в сроки, позволяющие Контролёру ответить в установленные законом 30 дней;
- Уведомление о нарушении безопасности данных Контролёру в течение 24 часов с момента обнаружения (§7);
- Содействие в DPIA (ст. 35) и предварительных консультациях (ст. 36);
- Подтверждение соответствия посредством документации и, по запросу, права на аудит (§9).
- Возврат / удаление данных по окончании, как предусмотрено в §14;
- Информирование: предоставлять Контролёру всю информацию, необходимую для подтверждения соответствия настоящему DPA.
6. Субобработчики (ст. 28.2 и 28.4 GDPR)
6.1 Общее разрешение
Контролёр разрешает Обработчику привлекать субобработчиков, перечисленных на vezpa.it/subprocessors, и тех, которые будут добавлены впоследствии в соответствии с описанной здесь процедурой.
6.2 Предварительное уведомление об изменениях
Обработчик уведомляет Контролёра о намерении добавить или заменить субобработчика с предварительным уведомлением не менее чем за 30 дней, по электронной почте на зарегистрированный адрес и/или сообщением в панели управления. В течение этого срока Контролёр может мотивированно возразить. В случае неразрешимого возражения каждая сторона может расторгнуть договор с прекращением затронутой обработки.
6.3 Обязательства в отношении субобработчиков
Обработчик возлагает на субобработчиков письменные обязательства по защите данных, эквивалентные предусмотренным здесь, и несёт ответственность перед Контролёром за действия субобработчиков.
7. Нарушение безопасности данных (ст. 33 GDPR)
В случае нарушения безопасности персональных данных, затрагивающего данные, обрабатываемые от имени Контролёра, Обработчик:
- Уведомляет Контролёра без неоправданной задержки и в любом случае в течение 24 часов с момента обнаружения;
- Предоставляет информацию, предусмотренную ст. 33.3 GDPR (характер, категории и приблизительное количество затронутых субъектов и данных, вероятные последствия, принятые или предложенные меры);
- Сотрудничает с Контролёром при уведомлении субъектов и надзорного органа;
- Документирует инцидент и принятые меры.
Уведомление Контролёра осуществляется по электронной почте на зарегистрированный адрес и PEC, при его наличии. Контролёр остаётся ответственным за внешние уведомления (Garante, субъекты данных) в соответствии со ст. 33-34 GDPR.
8. Права субъектов данных (ст. 28.3.е GDPR)
Если субъект данных обращается непосредственно к Обработчику для реализации прав, связанных с данными, обрабатываемыми от имени Контролёра, Обработчик без задержки перенаправляет запрос Контролёру и не отвечает от имени Контролёра, если иное не предусмотрено инструкциями.
Обработчик предоставляет Контролёру в панели управления и через API функции для:
- Экспорта данных субъекта (доступ и переносимость)
- Исправления
- Удаления или анонимизации
- Ограничения обработки
Для запросов, требующих ручного технического вмешательства, Обработчик отвечает в течение 10 рабочих дней с момента получения инструкции Контролёра.
9. Аудит (ст. 28.3.з GDPR)
По запросу Обработчик предоставляет Контролёру информацию и документацию, подтверждающие соответствие настоящему DPA, в том числе:
- Краткое описание применённых мер безопасности
- Список субобработчиков с указанием юридических адресов и оснований передачи
- Реестр операций обработки (соответствующие выписки)
- Сертификации субобработчиков (ISO 27001, SOC 2, DPF), где доступно
Контролёр может проводить аудит (непосредственно или через независимых третьих лиц, связанных конфиденциальностью) с предварительным уведомлением не менее чем за 30 дней, в рабочее время, не прерывая деятельности и с периодичностью не более одного раза в год (за исключением случаев нарушения безопасности данных). Каждая сторона несёт свои собственные расходы.
10. Трансграничные передачи за пределы ЕС (Глава V GDPR)
Список субобработчиков с указанием юридических адресов и правового основания передачи опубликован на vezpa.it/subprocessors. Для международных передач данных, не охваченных решением об адекватности, Обработчик применяет:
- Стандартные договорные условия 2021/914 и дополнительные меры, где это необходимо (задокументированная Transfer Impact Assessment);
- Или иные надлежащие гарантии, предусмотренные ст. 46 GDPR.
11. Роль Контролёра
Контролёр заявляет и гарантирует, что:
- Предоставил субъектам информацию, предусмотренную ст. 13-14 GDPR;
- Получил необходимые правовые основания (согласие, договор, правовое обязательство), требуемые для обработки;
- Даёт законные инструкции Обработчику;
- Гарантирует надлежащее хранение и удаление данных после отказа от платформы Vezpa.
12. Конфиденциальность
Каждая сторона сохраняет строгую конфиденциальность всей информации, полученной от другой стороны при исполнении настоящего DPA, в течение всего срока действия договора и в течение 5 лет после.
13. Ответственность
Ответственность каждой стороны в соответствии со ст. 82 GDPR перед субъектами данных продолжает регулироваться законом. В отношениях между сторонами режим договорной ответственности установлен в Общих условиях обслуживания (§9-10), с сохранением неотменяемого распределения, предусмотренного ст. 82 GDPR.
14. Прекращение обработки
При расторжении договора по любой причине Обработчик:
- Предоставляет Контролёру инструменты для экспорта его данных в структурированном формате (CSV/JSON) в течение 30 дней с момента расторжения;
- По истечении 30 дней удаляет или анонимизирует данные, обрабатываемые от имени Контролёра, из производственных систем;
- Удаляет данные из резервных копий в рамках следующего ротационного цикла (обычно в течение 90 дней);
- Сохраняет данные, которые Vezpa обязана хранить в силу закона (обычно: данные о выставлении счетов и журналы безопасности), только в течение сроков, предписанных применимым законодательством, поддерживая в отношении них надлежащие меры безопасности.
15. Изменения
Обработчик может изменять настоящее DPA для отражения нормативных изменений (например, новые SCC, меры Garante) или организационных изменений. О существенных изменениях сообщается Контролёру с предварительным уведомлением не менее чем за 30 дней. Если Контролёр не принимает изменения, он может расторгнуть договор без штрафов в отношении неиспользованной части подписки.
16. Применимое право
Настоящее DPA регулируется итальянским правом. К спорам применяется §16 Общих условий обслуживания.
Приложение A - Сводное описание обработки
| Элемент |
Описание |
| Характер обработки |
Сбор, запись, систематизация, структурирование, хранение, адаптация, извлечение, ознакомление, использование, передача, передача OTA-каналам и публичным органам, удаление |
| Цели |
См. §3.1 |
| Категории субъектов |
См. §3.2 |
| Категории данных |
См. §3.3 |
| Срок |
В течение всего срока действия договора. Конкретные сроки хранения для категорий данных согласно Политике конфиденциальности §6 |
Приложение Б - Технические и организационные меры безопасности (ст. 32 GDPR)
Технические меры
- Шифрование при передаче: HTTPS/TLS 1.2+, HSTS
- Шифрование при хранении: чувствительные поля с django-cryptography, тома и снимки, зашифрованные на уровне инфраструктуры (DigitalOcean)
- Хеширование паролей с PBKDF2 с солью (по умолчанию Django)
- Аутентификация: JWT с ротацией (access 15 мин., refresh 180 дней с чёрным списком), опционально 2FA TOTP
- Bot blocker и rate limiting для предотвращения автоматизированных атак
- Контроль доступа на основе ролей (директор/ассистент/горничная/наблюдатель)
- Резервные копии, управляемые поставщиком инфраструктуры в ЕС
- Журналы приложения и доступа для обнаружения аномалий
- Защищённое хранилище на стороне приложения: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Организационные меры
- В настоящее время Vezpa действует как индивидуальный предприниматель без сотрудников; возможные внешние сотрудники назначаются в письменной форме как Обработчики или Уполномоченные лица с обязательствами по конфиденциальности
- Задокументированная процедура реагирования на инциденты
- Актуальный реестр операций обработки (ст. 30)
- DPA с основными субобработчиками
- Privacy by Design and by Default на этапах разработки
- Разделение сред: production / staging / разработка
Приложение В - Уполномоченные субобработчики
Действующий список опубликован и поддерживается в актуальном состоянии на vezpa.it/subprocessors. На момент заключения договора список включает (среди прочих):
- DigitalOcean LLC - инфраструктура (ЕС Франкфурт + США DPF)
- Stripe - платежи (ЕС/США DPF)
- Google LLC - Firebase Cloud Messaging (США DPF)
- IONOS SE - электронная почта (DE)
- STAAH Limited - менеджер каналов OTA (NZ, адекватность)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple не участвует в DPF, передачи в США осуществляются через SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app purchase (США, активная сертификация по DPF)
- Tuya Smart - умные замки (CN, только если активировано объектом размещения, SCC)
© 2022-2026 Vezpa - Все права защищены |
Политика конфиденциальности |
Условия использования |
Политика Cookie |
GDPR |
DPA |
Субобработчики