Upozornenie: Toto je zdvorilostny preklad talianskeho originalu. V pripade rozporu alebo nejasnosti ma prednost talianska verzia.
📌 Ucel tohto dokumentu: tato Zmluva o spracuvani osobnych udajov (
DPA) reguluje spracuvanie osobnych udajov
hosti ubytovacich zariadeni pouzivajucich platformu Vezpa. Zariadenie (
Prevadzkovatel) zverí Vezpa (
Sprostredkovatelovi) spracuvanie tychto udajov. DPA je suvisiacou castou
Podmienok sluzby a je akceptovana sucasne s registraciou zariadenia.
Pre koho sa aplikuje: tato DPA sa aplikuje vzdy, ked zariadenie pouziva Vezpa na spracuvanie osobnych udajov subjektov inych ako samotne zariadenie (typicky: hostia, ich sprievodcovia, kontakty na rezervacie).
Nezasa aplikuje na spracuvanie udajov profesionalnych pouzivatelov zariadenia, pre ktorych Vezpa vystupuje ako nezavisly Prevadzkovatel (pozri
Zasady ochrany osobnych udajov).
1. Strany
| Prevadzkovatel spracuvania ("Prevadzkovatel") |
Ubytovacie zariadenie, ktore uzaviera predplatne Vezpa, identifikovane v jeho ucte (obchodne meno, DIC, sidlo, pravny zastupca). |
| Sprostredkovatel spracuvania ("Sprostredkovatel" / "Vezpa") |
Vezpa di Paolo Vezzola, DIC 04449070988, sidlo via San Zeno 67, 25015 Desenzano del Garda (BS), Taliansko. PEC: [email protected] · Email: [email protected] |
2. Predmet a trvanie (cl. 28.3 GDPR)
Prevadzkovatel poveruje Sprostredkovatela spracuvat osobne udaje v jeho mene prostrednictvom platformy Vezpa. Spracuvanie ma trvanie zmluvy o predplatnom medzi stranami a konci jej ukoncenim, s vynimkou toho, co stanovuje §14.
3. Povaha, ucel a typ spracuvanych udajov
3.1 Ucel
- Sprava rezervacii, pobytu a check-in/check-out
- Plnenie zakonnych povinnosti Prevadzkovatela voci verejnym organom (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Oznamenie rezervacnych udajov OTA kanalom a channel managerom aktivovanym zariadenim
- Emisia oznameni hostom (potvrdenia, pre-check-in, platby)
- Spracuvanie platieb cez Booking Engine alebo Stripe odkaz
- Vytvaranie reportov a statistik pre Prevadzkovatela
3.2 Kategorie dotknutych osob
- Hostia zariadeni a ich sprievodcovia
- Osoby rezervujuce v mene inych
- Nudzove kontakty pripadne poskytnute hostom
3.3 Typ spracuvanych osobnych udajov
- Identifikacne a obsahove udaje (meno, priezvisko, datum a miesto narodenia, statna prislusnost, pohlavie)
- Doklady totoznosti (typ, cislo, datum vydania, vydavajuci organ, skenovany alebo fotografovany obraz)
- Textove udaje extrahovane z dokladu automatickym OCR
- Kontaktne udaje (email, telefon, adresa)
- Udaje rezervacie a pobytu
- Platobne udaje (spravovane Stripe, neukladane na Vezpa)
⚠️ Osobitne udaje (cl. 9 GDPR): doklad totoznosti moze obsahovat osobitne udaje (napr. miesto narodenia). Prevadzkovatel vyhlasuje, ze ma vhodny pravny zaklad podla cl. 9.2 GDPR (typicky pism. b, f alebo g) a pokynuje Sprostredkovatelovi obmedzit spracuvanie tychto udajov na oznamenia pozadovane zakonom voci verejnym organom a na uchovavanie v stanovenych lehotach.
4. Pokyny Prevadzkovatela (cl. 28.3.a GDPR)
Sprostredkovatel spracuva osobne udaje vyhradne na zaklade dokumentovanych pokynov Prevadzkovatela. Vseobecne pokyny su obsiahnute v tejto DPA, v Zasadach ochrany osobnych udajov, v GDPR oznameni a v Podmienkach sluzby. Specificke pokyny moze Prevadzkovatel vydavat prostrednictvom:
Ak Sprostredkovatel povazuje pokyn za poruseny GDPR alebo inych platnych predpisov, okamzite informuje Prevadzkovatela.
5. Povinnosti Sprostredkovatela (cl. 28.3.b-h GDPR)
Sprostredkovatel sa zavazuje:
- Dovernost: spracuvat udaje dovernym sposobom a zabezpecit, aby osoby autorizovane na spracuvanie boli viazane povinnostou mlcanlivosti;
- Bezpecnost: prijat technicke a organizacne opatrenia uvedene v Prilohe B, adekvatne k riziku;
- Dalsi sprostredkovatelia: respektovat podmienky §6;
- Asistencia Prevadzkovatelovi: asistovat Prevadzkovatelovi pri plneni jeho povinnosti, najma:
- Odpoved na ziadosti dotknutych osob (cl. 15-22 GDPR) v casoch umoznujucich Prevadzkovatelovi odpovedat v zakonnych 30 dnoch;
- Oznamenie data breach Prevadzkovatelovi do 24 hodin od objavenia (§7);
- Podpora DPIA (cl. 35) a predchadzajucim konzultaciam (cl. 36);
- Preukazanie suladu prostrednictvom dokumentacie a, ak je pozadovane, auditu (§9).
- Vratenie / vymazanie udajov po skonceni, ako je stanovene v §14;
- Informacie: poskytnut Prevadzkovatelovi vsetky potrebne informacie na preukazanie suladu s touto DPA.
6. Dalsi sprostredkovatelia (cl. 28.2 a 28.4 GDPR)
6.1 Vseobecne povolenie
Prevadzkovatel opravnuje Sprostredkovatela vymenovat dalsich sprostredkovatelov uvedenych na vezpa.it/subprocessors a tych, ktori budu nasledne pridani podla tu popisanej procedury.
6.2 Predstih zmien
Sprostredkovatel oznamuje Prevadzkovatelovi zamer pridat alebo nahradit dalsieho sprostredkovatela s predstihom aspon 30 dni, prostrednictvom emailu na registrovanu adresu a/alebo oznamenia v dashboarde. V tejto lehote moze Prevadzkovatel odovodnene namietat. V pripade neriesitelnej namietky moze kazda strana odstupit od zmluvy s ukoncenim dotknuteho spracuvania.
6.3 Povinnosti voci dalsim sprostredkovatelom
Sprostredkovatel ulozi dalsim sprostredkovatelom pisomne povinnosti ochrany udajov ekvivalentne tym tu stanovenym, a zodpoveda voci Prevadzkovatelovi za konanie dalsich sprostredkovatelov.
7. Data breach (cl. 33 GDPR)
V pripade porusenia osobnych udajov, ktore zasahuje udaje spracuvane v mene Prevadzkovatela, Sprostredkovatel:
- Oznamuje Prevadzkovatelovi bez neopodstatneneho oneskorenia a najneskor do 24 hodin od objavenia;
- Poskytuje informacie uvedene v cl. 33.3 GDPR (povaha, kategorie a priblizny pocet dotknutych osob a udajov, pravdepodobne dosledky, prijate alebo navrhnute opatrenia);
- Spolupracuje s Prevadzkovatelom pri oznameniach dotknutym osobam a dozornemu organu;
- Zdokumentuje incident a prijate kroky.
Oznamenie Prevadzkovatelovi prebieha emailom na registrovanu adresu a PEC, ak je dostupna. Prevadzkovatel zostava zodpovedny za externe oznamenia (Garante, dotknute osoby) v zmysle cl. 33-34 GDPR.
8. Prava dotknutych osob (cl. 28.3.e GDPR)
Ak sa dotknuta osoba obrati priamo na Sprostredkovatela za ucelom uplatnenia prav tykajucich sa udajov spracuvanych v mene Prevadzkovatela, Sprostredkovatel posunie ziadost Prevadzkovatelovi bez oneskorenia a neodpoveda v mene Prevadzkovatela okrem inych pokynov.
Sprostredkovatel sprístupňuje Prevadzkovatelovi v dashboarde a cez API funkcionality pre:
- Export udajov dotknutej osoby (pristup a prenositelnost)
- Opravu
- Vymazanie alebo anonymizaciu
- Obmedzenie spracuvania
Pre ziadosti vyzadujuce manualny technicky zasah Sprostredkovatel odpoveda do 10 pracovnych dni od prijatia pokynu Prevadzkovatela.
9. Audit (cl. 28.3.h GDPR)
Sprostredkovatel poskytuje Prevadzkovatelovi na poziadanie informacie a dokumentaciu preukazujucu sulad s touto DPA, vratane:
- Suhrn implementovanych bezpecnostnych opatreni
- Zoznam dalsich sprostredkovatelov so sidlami a zakladmi prenosu
- Register spracuvani (relevantne vytahy)
- Certifikaty dalsich sprostredkovatelov (ISO 27001, SOC 2, DPF) ak su dostupne
9.1 Sposob a obmedzenia auditu
- Predvoleny sposob — vzdialeny dokumentarny audit: Prevadzkovatel moze pozadovat, s pisomnym predstihom aspon 30 dni a maximalnou frekvenciou raz rocne, zdielanie bezpecnostnej dokumentacie, certifikatov, registrov a odpovedi na dotaznik. Toto je standardny sposob.
- On-site audit v sidle Vezpa: pripustny vyhradne v pripade preukazaneho zmluvneho porusenia alebo potvrdeneho data breach pripisovaneho Sprostredkovatelovi, s pisomnym predstihom aspon 30 dni.
- Trvanie: kazdy audit nesmie presiahnut 2 pracovne dni, vykonavane pocas pracovnej doby a bez prerusenia bezneho prevadzkovania.
- Treti auditori: pripustni len ak su viazani NDA s Vezpa a bez konfliktu zaujmov (nie priami konkurenti Sprostredkovatela).
- Naklady: v plnom rozsahu na tarchu Prevadzkovatela (vratane primeranych internych nakladov Sprostredkovatela), okrem auditu, ktory zisti porusenie pripisovane Sprostredkovatelovi, v takom pripade naklady zostavaju na tarchu Sprostredkovatela.
- Dovernost: informacie ziskane pocas auditu su pokryte povinnostou mlcanlivosti rozsirenou nad ramec trvania zmluvy aspon na 5 rokov.
10. Prenosy mimo EU (Kapitola V GDPR)
Zoznam dalsich sprostredkovatelov s oznacenim sidla a pravneho zakladu prenosu je zverejneny na vezpa.it/subprocessors. Pre prenosy nepokryte rozhodnutim o primeranosti Sprostredkovatel prijima:
- Standardne zmluvne dolozky 2021/914 a dodatocne opatrenia ak su potrebne (dokumentovane Transfer Impact Assessment);
- Alebo ine vhodne zaruky predpisane cl. 46 GDPR.
11. Rola Prevadzkovatela
Prevadzkovatel vyhlasuje a zarucuje, ze:
- Poskytol dotknutym osobam oznamenie podla cl. 13-14 GDPR;
- Ziskal pripadne pravne zaklady (suhlas, zmluva, zakonna povinnost) potrebne na spracuvanie;
- Vydava legitimne pokyny Sprostredkovatelovi;
- Zarucuje spravne uchovavanie a vymazanie udajov po odstupeni z platformy Vezpa.
12. Dovernost
Kazda strana uchovava striktne dovernou vsetky informacie prijate od druhej strany pri vykonavani tejto DPA, pocas trvania zmluvy a 5 nasledujucich rokov.
13. Zodpovednost
Zodpovednost kazdej strany podla cl. 82 GDPR voci dotknutym osobam zostava regulovana zakonom. Vo vztahu medzi stranami je rezim zmluvnej zodpovednosti ten stanoveny v Podmienkach sluzby (§9-10), pri ponechaní v platnosti nezcudzitelneho rozdelenia stanoveneho cl. 82 GDPR.
14. Ukoncenie spracuvania
Po ukonceni zmluvy z akejkolvek priciny Sprostredkovatel:
- Sprístupňuje Prevadzkovatelovi nastroje na export vlastnych udajov v strukturovanom formate (CSV/JSON) na 30 dni od ukoncenia;
- Po uplynuti 30 dni, vymaze alebo anonymizuje udaje spracuvane v mene Prevadzkovatela z produkcnych systemov;
- Vymaze udaje zo zaloh v ramci nasledujuceho rotacneho cyklu (typicky do 90 dni);
- Uchovava udaje, ktore Vezpa je povinna uchovavat zakonom (typicky: fakturacne udaje a bezpecnostne logy) iba po dobu ulozenu platnou legislativou, pri zachovani adekvatnych bezpecnostnych opatreni.
15. Zmeny
Sprostredkovatel moze upravit tuto DPA na zachytenie normativnych zmien (napr. nove SCC, opatrenia Garante) alebo organizacnych zmien. Podstatne zmeny su oznamene Prevadzkovatelovi s predstihom aspon 30 dni. Ak Prevadzkovatel neakceptuje, moze odstupit bez sankcii za nevyuzitu cast predplatneho.
16. Rozhodne pravo
Tato DPA je regulovana talianskym pravom. Pre spory sa aplikuje §16 Podmienok sluzby.
Priloha A - Strucny popis spracuvania
| Polozka |
Popis |
| Povaha spracuvania |
Zhromazdenie, registracia, organizacia, strukturovanie, uchovavanie, adaptacia, extrakcia, konzultacia, pouzitie, oznamenie, prenos OTA kanalom a verejnym organom, vymazanie |
| Ucel |
Pozri §3.1 |
| Kategorie dotknutych osob |
Pozri §3.2 |
| Kategorie udajov |
Pozri §3.3 |
| Trvanie |
Pocas trvania zmluvy. Specificka retention pre kategorie udajov podla Zasad ochrany osobnych udajov §6 |
Priloha B - Technicke a organizacne bezpecnostne opatrenia (cl. 32 GDPR)
Technicke opatrenia
- Sifrovanie pri prenose: HTTPS/TLS 1.2+, HSTS
- Sifrovanie at-rest: citlive polia s django-cryptography, disky a snapshots sifrovane na urovni infrastruktury (DigitalOcean)
- Hashing hesiel s PBKDF2 salted (Django default)
- Autentifikacia: rotujuce JWT (access 15 min, refresh 180 dni s blacklistom), volitelne 2FA TOTP
- Bot blocker a rate limiting na prevenciu automatizovanych utokov
- Kontrola pristupu zalozena na ulohach (riaditel/asistent/upratovacka/pozorovatel)
- Zalohy spravovane poskytovatelom infrastruktury v EU
- Aplikacne a pristupove logy na detekciu anomalii
- Secure Storage na strane aplikacie: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organizacne opatrenia
- Vezpa v sucasnosti vystupuje ako zivnostnik bez zamestnancov; pripadni externi spolupracovnici su pisomne urceni ako Sprostredkovatelia alebo Autorizovane osoby s povinnostami mlcanlivosti
- Dokumentovana procedura incident response
- Aktualizovany register spracuvani (cl. 30)
- DPA s hlavnymi dalsimi sprostredkovatelmi
- Privacy by Design and by Default vo fazach vyvoja
- Oddelenie prostredi produkcia / staging / vyvoj
Priloha C - Autorizovani dalsi sprostredkovatelia
Aktualny zoznam je zverejneny a udrziavany aktualny na vezpa.it/subprocessors. V momente vstupu do zmluvy zoznam zahrnuje (okrem inych):
- DigitalOcean LLC - infrastruktura (EU Frankfurt + USA DPF)
- Stripe - platby (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - email (DE)
- STAAH Limited - channel manager OTA (NZ, primeranost)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple sa nezucastnuje DPF, prenosy do USA cez SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app purchase (USA, aktivna certifikacia DPF)
- Tuya Smart - smart zamky (CN, iba ak je aktivovana zariadenim, SCC)
© 2022-2026 Vezpa - Vsetky prava vyhradene |
Zasady ochrany osobnych udajov |
Podmienky sluzby |
Cookie zasady |
GDPR |
DPA |
Dalsi sprostredkovatelia