Obvestilo: To je prevod izvirnika v italijanscini iz ljubeznivosti. V primeru spora ali dvoumnosti prevlada italijanska razlicica.
Namen tega dokumenta: ta Pogodba o obdelavi osebnih podatkov (
DPA) ureja obdelavo osebnih podatkov
gostov nastanitvenih objektov, ki uporabljajo platformo Vezpa. Objekt (
Upravljavec) Vezpi (
Obdelovalcu) zaupa obdelavo teh podatkov. DPA je sestavni del
Pogojev storitve in se sprejme hkrati z registracijo objekta.
Za koga velja: ta DPA velja vsakic, ko objekt uporablja Vezpo za obdelavo osebnih podatkov oseb, ki niso objekt sam (obicajno: gosti, njihovi spremljevalci, kontakti rezervacij).
Ne velja za obdelavo podatkov profesionalnih uporabnikov objekta, za katere Vezpa deluje kot samostojni Upravljavec (glej
Politika zasebnosti).
1. Stranki
| Upravljavec obdelave ("Upravljavec") |
Nastanitveni objekt, ki sklene narocnino Vezpa, kot je identificiran v svojem racunu (firma, ID za DDV, sedez, zakoniti zastopnik). |
| Obdelovalec obdelave ("Obdelovalec" / "Vezpa") |
Vezpa di Paolo Vezzola, P.IVA 04449070988, sedez v via San Zeno 67, 25015 Desenzano del Garda (BS), Italija. PEC: [email protected] - E-posta: [email protected] |
2. Predmet in trajanje (cl. 28.3 GDPR)
Upravljavec pooblasti Obdelovalca za obdelavo osebnih podatkov v svojem imenu prek platforme Vezpa. Obdelava traja toliko casa, kolikor traja pogodba o narocnini med strankama, in se zakljuci z njenim prenehanjem, razen dolocb iz §14.
3. Narava, nameni in vrsta obdelanih podatkov
3.1 Nameni
- Upravljanje rezervacij, bivanja in prijav/odjav
- Izpolnjevanje zakonskih obveznosti Upravljavca do javnih organov (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Sporocanje podatkov o rezervaciji OTA kanalom in channel managerju, ki jih je aktiviral objekt
- Posiljanje sporocil gostu (potrditve, predprijava, placila)
- Obdelava placil prek Booking Engine ali Stripe povezav
- Izdelava porocil in statistik za Upravljavca
3.2 Kategorije posameznikov
- Gosti objektov in njihovi spremljevalci
- Osebe, ki rezervirajo v imenu drugih
- Kontaktne osebe v sili, ki jih je morebiti posredoval gost
3.3 Vrste obdelanih osebnih podatkov
- Identifikacijski in osnovni osebni podatki (ime, priimek, datum in kraj rojstva, drzavljanstvo, spol)
- Osebni dokumenti (vrsta, stevilka, datum izdaje, izdajatelj, skenirana ali fotografirana slika)
- Tekstovni podatki, izlusčeni iz dokumenta s samodejnim OCR
- Kontaktni podatki (e-posta, telefon, naslov)
- Podatki o rezervaciji in bivanju
- Podatki o placilu (upravlja Stripe, niso shranjeni pri Vezpi)
Posebne vrste podatkov (9. clen GDPR): osebni dokument lahko vsebuje posebne vrste podatkov (npr. kraj rojstva). Upravljavec izjavlja, da ima ustrezno pravno podlago po cl. 9.2 GDPR (obicajno tocka b, f ali g) in Obdelovalcu nalozi, da obdelavo teh podatkov omeji na sporocila, ki jih zakon zahteva do javnih organov, in na hrambo v predpisanih rokih.
4. Navodila Upravljavca (cl. 28.3.a GDPR)
Obdelovalec osebne podatke obdeluje izkljucno na podlagi dokumentiranih navodil Upravljavca. Splosna navodila so vsebovana v tej DPA, v Politiki zasebnosti, v GDPR obvestilu in v Pogojih storitve. Posebna navodila lahko Upravljavec izda prek:
Ce Obdelovalec meni, da neko navodilo krsi GDPR ali druge veljavne predpise, o tem takoj obvesti Upravljavca.
5. Obveznosti Obdelovalca (cl. 28.3.b-h GDPR)
Obdelovalec se zavezuje:
- Zaupnost: podatke obdelovati zaupno in zagotoviti, da so osebe, pooblascene za obdelavo, zavezane k zaupnosti;
- Varnost: sprejemati tehnicne in organizacijske ukrepe iz Priloge B, ki so sorazmerni tveganju;
- Dodatni obdelovalci: upostevati pogoje iz §6;
- Pomoc Upravljavcu: pomagati Upravljavcu pri izpolnjevanju njegovih obveznosti, zlasti:
- Odziv na zahtevke posameznikov (cl. 15-22 GDPR) v rokih, ki omogocajo Upravljavcu odgovor v zakonskih 30 dneh;
- Obvescanje Upravljavca o krsitvi podatkov v 24 urah od odkritja (§7);
- Podpora pri DPIA (35. clen) in predhodnih posvetovanjih (36. clen);
- Dokazovanje skladnosti z dokumentacijo in, kjer je zahtevano, revizijami (§9).
- Vracilo / izbris podatkov ob zakljucku, kot je doloceno v §14;
- Obvescanje: Upravljavcu dati na voljo vse informacije, potrebne za dokazovanje skladnosti s to DPA.
6. Dodatni obdelovalci (cl. 28.2 in 28.4 GDPR)
6.1 Splosno pooblastilo
Upravljavec pooblasča Obdelovalca, da imenuje dodatne obdelovalce, navedene na vezpa.it/subprocessors, in tiste, ki bodo naknadno dodani po postopku, ki je tukaj opisan.
6.2 Predhodno obvestilo o spremembi
Obdelovalec Upravljavca obvesti o nameri dodati ali zamenjati dodatnega obdelovalca najmanj 30 dni vnaprej, po e-posti na registrirani naslov in/ali z obvestilom v nadzorni plosci. V tem roku lahko Upravljavec obrazlozeno ugovarja. V primeru nerazresenega ugovora lahko vsaka stranka odstopi od pogodbe s prenehanjem obdelave.
6.3 Obveznosti do dodatnih obdelovalcev
Obdelovalec dodatnim obdelovalcem pisno nalozi obveznosti varstva podatkov, ki so enakovredne tukaj dolocenim, in Upravljavcu odgovarja za delovanje dodatnih obdelovalcev.
7. Krsitev podatkov (33. clen GDPR)
V primeru krsitve osebnih podatkov, ki zadeva podatke, obdelane v imenu Upravljavca, Obdelovalec:
- Obvesti Upravljavca brez nepotrebnega odlasanja in v vsakem primeru v 24 urah od odkritja;
- Posreduje informacije iz cl. 33.3 GDPR (naravo, kategorije in priblizno stevilo posameznikov in podatkov, verjetne posledice, sprejete ali predlagane ukrepe);
- Sodeluje z Upravljavcem pri sporocilih posameznikom in Nadzornemu organu;
- Dokumentira incident in sprejete ukrepe.
Obvestilo Upravljavcu poteka po e-posti na registrirani naslov in PEC, ce je na voljo. Upravljavec ostaja odgovoren za zunanja obvestila (italijanski organ za varstvo podatkov (Garante), posamezniki) v skladu s cl. 33-34 GDPR.
8. Pravice posameznikov (cl. 28.3.e GDPR)
Ce se posameznik obrne neposredno na Obdelovalca za uveljavljanje pravic v zvezi s podatki, obdelanimi v imenu Upravljavca, Obdelovalec zahtevek brez odlasanja posreduje Upravljavcu in ne odgovarja v imenu Upravljavca, razen ce obstajajo drugacna navodila.
Obdelovalec daje Upravljavcu v nadzorni plosci in prek API na voljo funkcionalnosti za:
- Izvoz podatkov posameznika (dostop in prenosljivost)
- Popravek
- Izbris ali anonimizacijo
- Omejitev obdelave
Za zahtevke, ki zahtevajo rocno tehnicno intervencijo, Obdelovalec odgovori v 10 delovnih dneh od prejema navodila Upravljavca.
9. Revizija (cl. 28.3.h GDPR)
Obdelovalec Upravljavcu na zahtevo zagotovi informacije in dokumentacijo, ki dokazujejo skladnost s to DPA, med drugim:
- Povzetek izvedenih varnostnih ukrepov
- Seznam dodatnih obdelovalcev s sedezi in podlagami prenosa
- Evidence obdelave (ustrezni izvlecki)
- Certifikati dodatnih obdelovalcev (ISO 27001, SOC 2, DPF), kjer so na voljo
Upravljavec lahko izvaja revizije (neposredno ali prek neodvisnih tretjih oseb, zavezanih k zaupnosti) s predhodnim obvestilom vsaj 30 dni, v delovnem casu, brez prekinitev operacij in ne pogosteje kot enkrat letno (razen krsitve podatkov). Vsaka stranka krije svoje stroske.
10. Prenosi izven EU (Pogl. V GDPR)
Seznam dodatnih obdelovalcev z navedbo sedeza in pravne podlage prenosa je objavljen na vezpa.it/subprocessors. Za prenose, ki niso pokriti s sklepom o ustreznosti, Obdelovalec sprejme:
- Standardne pogodbene klavzule 2021/914 in dopolnilne ukrepe, kjer je potrebno (dokumentirano Transfer Impact Assessment);
- Ali druga ustrezna jamstva, predvidena v 46. clenu GDPR.
11. Vloga Upravljavca
Upravljavec izjavlja in jamci, da:
- Je posameznikom posredoval obvestilo v skladu s cl. 13-14 GDPR;
- Je pridobil morebitne pravne podlage (privolitev, pogodba, zakonska obveznost), potrebne za obdelavo;
- Obdelovalcu daje zakonita navodila;
- Zagotavlja pravilno hrambo in izbris podatkov po umiku s platforme Vezpa.
12. Zaupnost
Vsaka stranka strogo zaupno hrani vse informacije, prejete od druge stranke pri izvrsevanju te DPA, v celotnem trajanju pogodbe in se 5 let po tem.
13. Odgovornost
Odgovornost vsake stranke po 82. clenu GDPR do posameznikov ostaja urejena z zakonom. V razmerju med strankami je rezim pogodbene odgovornosti dolocen v Pogojih storitve (§9-10), pri cemer neodtujljiva porazdelitev iz 82. clena GDPR ostaja v veljavi.
14. Prenehanje obdelave
Ob prenehanju pogodbe iz katerega koli razloga Obdelovalec:
- Upravljavcu da na voljo orodja za izvoz lastnih podatkov v strukturirani obliki (CSV/JSON) v 30 dneh od prenehanja;
- Po 30 dneh izbrise ali anonimizira podatke, obdelane v imenu Upravljavca, iz produkcijskih sistemov;
- Izbrise podatke iz varnostnih kopij v naslednjem ciklu rotacije (obicajno v 90 dneh);
- Hrani podatke, ki jih je Vezpa dolzna hraniti po zakonu (obicajno: podatki za izdajo racunov in varnostni dnevniki) samo v rokih, ki jih doloca veljavna zakonodaja, pri cemer ohranja ustrezne varnostne ukrepe.
15. Spremembe
Obdelovalec lahko to DPA spremeni zaradi razvoja zakonodaje (npr. novi SCC, odlocbe italijanskega organa za varstvo podatkov (Garante)) ali organizacijskih sprememb. Bistvene spremembe se Upravljavcu sporocijo najmanj 30 dni vnaprej. Ce Upravljavec ne sprejme, lahko odstopi brez kazni za neizkorisceni del narocnine.
16. Veljavno pravo
Ta DPA se uravnava po italijanskem pravu. Za spore velja §16 Pogojev storitve.
Priloga A - Kratki opis obdelave
| Postavka |
Opis |
| Narava obdelave |
Zbiranje, zapisovanje, organizacija, strukturiranje, hramba, prilagoditev, izvlecek, vpogled, uporaba, sporocanje, prenos OTA kanalom in javnim organom, izbris |
| Nameni |
Glej §3.1 |
| Kategorije posameznikov |
Glej §3.2 |
| Kategorije podatkov |
Glej §3.3 |
| Trajanje |
Za vse trajanje pogodbe. Posebna retention za kategorije podatkov v skladu s Politiko zasebnosti §6 |
Priloga B - Tehnicni in organizacijski varnostni ukrepi (32. clen GDPR)
Tehnicni ukrepi
- Sifriranje pri prenosu: HTTPS/TLS 1.2+, HSTS
- Sifriranje v mirovanju: obcutljiva polja prek django-cryptography, nosilci in snapshot sifrirani na infrastrukturi (DigitalOcean)
- Zgoscanje gesel z PBKDF2 s soljo (privzeto Django)
- Avtentikacija: JWT z rotacijo (access 15 min, refresh 180 dni s crno listo), neobvezno 2FA TOTP
- Bot blocker in rate limiting za preprecevanje avtomatiziranih napadov
- Nadzor dostopa na podlagi vlog (direktor/pomocnik/gospodinja/opazovalec)
- Varnostne kopije upravlja ponudnik infrastrukture v EU
- Aplikacijski in dostopni dnevniki za zaznavanje anomalij
- Secure Storage na strani aplikacije: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organizacijski ukrepi
- Vezpa trenutno deluje kot samostojni podjetnik brez zaposlenih; morebitni zunanji sodelavci so pisno doloceni kot Obdelovalci ali Pooblascene osebe z obveznostmi zaupnosti
- Dokumentiran postopek odzivanja na incidente
- Evidenca obdelave (30. clen) posodobljena
- DPA z glavnimi dodatnimi obdelovalci
- Privacy by Design and by Default v razvojnih fazah
- Locitev produkcijskega / testnega / razvojnega okolja
Priloga C - Pooblasceni dodatni obdelovalci
Veljavni seznam je objavljen in posodobljen na vezpa.it/subprocessors. Ob zacetku pogodbe seznam vkljucuje (med drugim):
- DigitalOcean LLC - infrastruktura (EU Frankfurt + ZDA DPF)
- Stripe - placila (EU/ZDA DPF)
- Google LLC - Firebase Cloud Messaging (ZDA DPF)
- IONOS SE - e-posta (DE)
- STAAH Limited - channel manager OTA (NZ, ustreznost)
- Apple Distribution International Ltd (IE) / Apple Inc. - nakupi v aplikaciji (Apple ne sodeluje pri DPF, prenosi v ZDA prek SCC 2021/914)
- Google LLC / Microsoft Corp. - nakupi v aplikaciji (ZDA, aktivna certifikacija DPF)
- Tuya Smart - pametne kljucavnice (CN, samo ce je aktivirano s strani objekta, SCC)
© 2022-2026 Vezpa - Vse pravice pridrzane |
Politika zasebnosti |
Pogoji storitve |
Politika piskotkov |
GDPR |
DPA |
Dodatni obdelovalci