📌 Juridiskt företräde: detta dokument är en hövlig översättning av det italienska originalet. Vid avvikelser mellan denna översättning och den italienska versionen
gäller den italienska versionen som juridiskt bindande referens. Italienskt original tillgängligt här:
https://vezpa.it/dpa/.
📌 Syftet med detta dokument: detta personuppgiftsbitradesavtal (
DPA) reglerar behandlingen av
gasters personuppgifter hos logianlaggningarna som anvander Vezpa-plattformen. Anlaggningen (
personuppgiftsansvarig) anfortror Vezpa (
personuppgiftsbitrade) behandlingen av dessa uppgifter. DPA utgor en integrerad del av
anvandarvillkoren och accepteras samtidigt med anlaggningens registrering.
Till vem det galler: detta DPA galler varje gang anlaggningen anvander Vezpa for att behandla personuppgifter om personer andra an anlaggningen sjalv (vanligtvis: gaster, deras medfoljande, bokningskontakter).
Det galler inte behandlingen av data fran anlaggningens professionella anvandare, for vilka Vezpa agerar som sjalvstandig personuppgiftsansvarig (se
Integritetspolicy).
1. Parter
| Personuppgiftsansvarig ("Personuppgiftsansvarig") |
Den logianlaggning som tecknar Vezpa-abonnemanget, som identifierats i sitt konto (firmanamn, momsreg.nr, sate, legal representant). |
| Personuppgiftsbitrade ("Personuppgiftsbitrade" / "Vezpa") |
Vezpa di Paolo Vezzola, momsreg.nr 04449070988, sate pa via San Zeno 67, 25015 Desenzano del Garda (BS), Italien. PEC: [email protected] · E-post: [email protected] |
2. Foremal och varaktighet (art. 28.3 GDPR)
Personuppgiftsansvarig uppdrar personuppgiftsbitradet att behandla personuppgifter for dennas rakning via Vezpa-plattformen. Behandlingen har samma varaktighet som abonnemangsavtalet mellan parterna och upphor vid dess upphorande, med forbehall for §14.
3. Behandlingens art, andamal och typ av data
3.1 Andamal
- Hantering av bokningar, vistelse och in-/utcheckning
- Fullgorande av personuppgiftsansvariges rattsliga skyldigheter gentemot offentliga myndigheter (AlloggiatiWeb, ISTAT, PayTourist, Feratel/Meldeamt, SES.HOSPEDAJES, NTAK, eVisitor, SEF, UbyPort, eTurizem)
- Kommunikation av bokningsdata till OTA-kanaler och channel manager som aktiverats av anlaggningen
- Utskick av meddelanden till gasten (bekraftelser, pre-check-in, betalningar)
- Betalningshantering via bokningsmotor eller Stripe-lank
- Framstallning av rapporter och statistik for personuppgiftsansvarige
3.2 Kategorier av registrerade
- Anlaggningarnas gaster och deras medfoljande
- Personer som bokar for andras rakning
- Nodkontakter eventuellt tillhandahallna av gasten
3.3 Typ av behandlade personuppgifter
- Identifierings- och personuppgifter (fornamn, efternamn, fodelsedatum och -ort, medborgarskap, kon)
- Identitetshandlingar (typ, nummer, utfardandedatum, utfardande myndighet, skannad eller fotograferad bild)
- Textuppgifter extraherade fran handlingen via automatisk OCR
- Kontaktuppgifter (e-post, telefon, adress)
- Bokning och vistelsedata
- Betalningsuppgifter (hanterade av Stripe, inte lagrade pa Vezpa)
⚠️ Sarskilda kategorier (art. 9 GDPR): identitetshandlingen kan innehalla sarskilda data (t.ex. fodelseort). Personuppgiftsansvarig forklarar sig ha lamplig rattslig grund enligt art. 9.2 GDPR (vanligtvis led b, f eller g) och instruerar personuppgiftsbitradet att begransa behandlingen av sadana data till de kommunikationer som kravs enligt lag gentemot offentliga myndigheter och till lagring inom de faststallda tidsramarna.
4. Personuppgiftsansvariges instruktioner (art. 28.3.a GDPR)
Personuppgiftsbitradet behandlar personuppgifter uteslutande pa grundval av dokumenterade instruktioner fran personuppgiftsansvarig. De allmanna instruktionerna finns i detta DPA, i Integritetspolicyn, i GDPR-informationen och i Anvandarvillkoren. Specifika instruktioner kan ges av personuppgiftsansvarige via:
- Konfigurationer i sitt konto (aktivering/inaktivering av statliga anslutningar, OTA, retention)
- Skriftlig kommunikation till [email protected] eller via PEC till [email protected]
Om personuppgiftsbitradet anser att en instruktion strider mot GDPR eller andra tillampliga bestammelser ska det omedelbart informera personuppgiftsansvarige.
5. Personuppgiftsbitradets skyldigheter (art. 28.3.b-h GDPR)
Personuppgiftsbitradet forbinder sig att:
- Konfidentialitet: behandla uppgifterna konfidentiellt och sakerstalla att personer som ar behoriga for behandlingen ar bundna av konfidentialitetsskyldighet;
- Sakerhet: vidta de tekniska och organisatoriska atgarder som anges i Bilaga B, lampliga i forhallande till risken;
- Underbitraden: respektera villkoren i §6;
- Bistand till personuppgiftsansvarige: bista personuppgiftsansvarige i fullgorandet av dennes skyldigheter, sarskilt:
- Svar pa registrerades forfragningar (art. 15-22 GDPR) inom tider som tillater personuppgiftsansvarige att svara inom de lagstadgade 30 dagarna;
- Underrattelse om data breach till personuppgiftsansvarige inom 24 timmar fran upptackten (§7);
- Stod till DPIA (art. 35) och forhandssamrad (art. 36);
- Efterlevnadsbevis via dokumentation och, dar det kravs, audit (§9).
- Aterlamning / radering av uppgifter vid upphorande, enligt §14;
- Information: tillhandahalla personuppgiftsansvarige all nodvandig information for att visa efterlevnad av detta DPA.
6. Underbitraden (art. 28.2 och 28.4 GDPR)
6.1 Allmant tillstand
Personuppgiftsansvarige godkanner att personuppgiftsbitradet utser de underbitraden som anges pa vezpa.it/subprocessors och de som senare tillkommer enligt den har beskrivna proceduren.
6.2 Andringsvarsel
Personuppgiftsbitradet meddelar personuppgiftsansvarige om sin avsikt att lagga till eller ersatta en underbitrade med minst 30 dagars varsel, via e-post till den registrerade adressen och/eller meddelande i dashboarden. Inom denna period kan personuppgiftsansvarige invanda med motivering. Vid olosbar invandning kan vardera part saga upp avtalet med upphorande av berord behandling.
6.3 Skyldigheter gentemot underbitraden
Personuppgiftsbitradet alagger underbitradena skriftligt dataskyddsskyldigheter motsvarande de har angivna, och ar ansvarigt gentemot personuppgiftsansvarige for underbitradernas handlingar.
7. Data breach (art. 33 GDPR)
Vid en personuppgiftsincident som beror data som behandlas for personuppgiftsansvariges rakning ska personuppgiftsbitradet:
- Underratta personuppgiftsansvarige utan oskalig forsening och i varje fall inom 24 timmar fran upptackten;
- Lamna information enligt art. 33.3 GDPR (art, kategorier och ungefarligt antal registrerade och data, sannolika konsekvenser, vidtagna eller foreslagna atgarder);
- Samarbeta med personuppgiftsansvarige i meddelanden till registrerade och till tillsynsmyndigheten;
- Dokumentera incidenten och vidtagna atgarder.
Underrattelsen till personuppgiftsansvarige sker via e-post till den registrerade adressen och PEC, om tillgangligt. Personuppgiftsansvarige ar fortsatt ansvarig for externa underrattelser (tillsynsmyndigheten, registrerade) enligt art. 33-34 GDPR.
8. Registrerades rattigheter (art. 28.3.e GDPR)
Om en registrerad vander sig direkt till personuppgiftsbitradet for att utova rattigheter rorande data som behandlas for personuppgiftsansvariges rakning vidarebefordrar personuppgiftsbitradet forfragan till personuppgiftsansvarige utan forsening och svarar inte for personuppgiftsansvariges rakning om inte andra instruktioner ges.
Personuppgiftsbitradet tillhandahaller personuppgiftsansvarige i dashboarden och via API funktioner for:
- Export av en registrerads uppgifter (tillgang och dataportabilitet)
- Rattelse
- Radering eller anonymisering
- Begransning av behandlingen
For forfragningar som kraver manuell teknisk intervention svarar personuppgiftsbitradet inom 10 arbetsdagar fran mottagandet av personuppgiftsansvariges instruktion.
9. Audit (art. 28.3.h GDPR)
Personuppgiftsbitradet tillhandahaller personuppgiftsansvarige, pa begaran, information och dokumentation som visar efterlevnad av detta DPA, daribland:
- Sammanfattning av implementerade sakerhetsatgarder
- Lista over underbitraden med sate och overforingsgrund
- Behandlingsregister (relevanta utdrag)
- Certifieringar av underbitraden (ISO 27001, SOC 2, DPF) dar tillgangliga
Personuppgiftsansvarige kan utfora audit (direkt eller via oberoende tredje parter som omfattas av konfidentialitet) med minst 30 dagars varsel, under kontorstid, utan att avbryta verksamheten och med en frekvens som inte overstiger en gang per ar (med undantag for data breach). Varje part bar sina egna kostnader.
10. Overforingar utanfor EU (kapitel V GDPR)
Listan over underbitraden med angivelse av sate och rattslig grund for overforingen publiceras pa vezpa.it/subprocessors. For overforingar som inte omfattas av ett beslut om adekvat skyddsniva vidtar personuppgiftsbitradet:
- Standardavtalsklausuler 2021/914 och kompletterande atgarder dar det ar nodvandigt (dokumenterad Transfer Impact Assessment);
- Eller andra lampliga garantier enligt art. 46 GDPR.
11. Personuppgiftsansvariges roll
Personuppgiftsansvarige forklarar och garanterar att:
- Ha tillhandahallit de registrerade den information som foreskrivs i art. 13-14 GDPR;
- Ha inhamtat de eventuella rattsliga grunderna (samtycke, avtal, rattslig forpliktelse) som kravs for behandlingen;
- Ge lagliga instruktioner till personuppgiftsbitradet;
- Garantera korrekt lagring och radering av uppgifter efter tillbakadragande fran Vezpa-plattformen.
12. Konfidentialitet
Varje part halller stranga forbehall om all information som mottas fran den andra parten vid utforandet av detta DPA, under hela avtalstiden och de foljande 5 aren.
13. Ansvar
Varje parts ansvar enligt art. 82 GDPR gentemot de registrerade regleras av lagen. I forhallandet mellan parterna ar det avtalsenliga ansvarsregimen den som anges i anvandarvillkoren (§9-10), med forbehall for den tvingande fordelning som foreskrivs av art. 82 GDPR.
14. Upphorande av behandlingen
Vid avtalets upphorande av nagon orsak ska personuppgiftsbitradet:
- Tillhandahalla personuppgiftsansvarige verktyg for att exportera sina data i strukturerat format (CSV/JSON) i 30 dagar fran upphorandet;
- Efter 30 dagar, radera eller anonymisera de data som behandlats for personuppgiftsansvariges rakning fran produktionssystemen;
- Radera data fran backupper inom nasta rotationscykel (vanligtvis inom 90 dagar);
- Lagra de data som Vezpa ar skyldigt att lagra enligt lag (vanligtvis: faktureringsdata och sakerhetsloggar) endast under de tider som kravs enligt tillamplig lagstiftning, och upprattahalla lampliga sakerhetsatgarder pa dessa.
15. Andringar
Personuppgiftsbitradet kan andra detta DPA for att inforliva regulatoriska andringar (t.ex. nya SCC, beslut fran dataskyddsmyndigheten) eller organisatoriska forandringar. Vasentliga andringar meddelas till personuppgiftsansvarige med minst 30 dagars varsel. Om personuppgiftsansvarige inte accepterar kan denne saga upp avtalet utan avgifter for den outnyttjade delen av abonnemanget.
16. Tillamplig lag
Detta DPA regleras av italiensk lag. For tvister galler §16 i Anvandarvillkoren.
Bilaga A - Sammanfattande beskrivning av behandlingen
| Post |
Beskrivning |
| Behandlingens art |
Insamling, registrering, organisering, strukturering, lagring, anpassning, extraktion, konsultation, anvandning, kommunikation, overforing till OTA-kanaler och offentliga myndigheter, radering |
| Andamal |
Se §3.1 |
| Kategorier av registrerade |
Se §3.2 |
| Datakategorier |
Se §3.3 |
| Varaktighet |
For hela avtalets varaktighet. Specifik retention for datakategorier enligt Integritetspolicy §6 |
Bilaga B - Tekniska och organisatoriska sakerhetsatgarder (art. 32 GDPR)
Tekniska atgarder
- Kryptering vid overforing: HTTPS/TLS 1.2+, HSTS
- Kryptering i vila: kansliga falt med django-cryptography, volymer och snapshots krypterade pa infrastruktursidan (DigitalOcean)
- Losenordshashing med saltad PBKDF2 (Django default)
- Autentisering: roterande JWT (access 15 min, refresh 180 dagar med svartlistning), 2FA TOTP valfritt
- Bot blocker och rate limiting for att forhindra automatiserade attacker
- Rollbaserad atkomstkontroll (direktor/assistent/stadare/observator)
- Backupper hanterade av infrastrukturleverantoren inom EU
- Tillampnings- och atkomstloggar for avvikelsedetektering
- Secure Storage pa app-sidan: Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows
Organisatoriska atgarder
- Vezpa verkar for narvarande som enskild firma utan anstallda; eventuella externa medarbetare utses skriftligen som personuppgiftsbitraden eller behoriga personer med konfidentialitetsskyldighet
- Dokumenterad incident response-procedur
- Behandlingsregister (art. 30) uppdaterat
- DPA med huvudsakliga underbitraden
- Privacy by Design and by Default i utvecklingsfaserna
- Separation av produktions-/staging-/utvecklingsmiljoer
Bilaga C - Behoriga underbitraden
Den gallande listan publiceras och uppdateras pa vezpa.it/subprocessors. Vid avtalets intrade omfattar listan (bland andra):
- DigitalOcean LLC - infrastruktur (EU Frankfurt + USA DPF)
- Stripe - betalningar (EU/USA DPF)
- Google LLC - Firebase Cloud Messaging (USA DPF)
- IONOS SE - e-post (DE)
- STAAH Limited - channel manager OTA (NZ, adekvat skyddsniva)
- Apple Distribution International Ltd (IE) / Apple Inc. - in-app purchase (Apple deltar inte i DPF, USA-overforingar via SCC 2021/914)
- Google LLC / Microsoft Corp. - in-app purchase (USA, aktiv DPF-certifiering)
- Tuya Smart - smarta las (CN, endast om aktiverat av anlaggningen, SCC)
© 2022-2026 Vezpa - Alla rattigheter forbehallna |
Integritetspolicy |
Anvandarvillkor |
Cookiepolicy |
GDPR |
DPA |
Underbitraden