Kompletni informace GDPR

1. Uvod a oblast pusobnosti

Tyto informace popisuji, jak Vezpa di Paolo Vezzola (dale jen "Vezpa" nebo "My") zpracovava osobni udaje v souladu s:

Narizenim EU 2016/679 (GDPR)
Italskym legislativnim dekretem 196/2003 (italsky Zakon o ochrane osobnich udaju) ve zneni italskeho D.Lgs. 101/2018
Opatrenimi a smernicemi italskeho uradu pro ochranu osobnich udaju (Garante)

1.1 Pro koho plati

Tyto informace se vztahuji na:

👤 Provozovatele ubytovacich zarizeni, kteri pouzivaji Vezpa (primi zakaznici)
🏨 Hosty, kteri pobyvaji v zarizenich pouzivajicich Vezpa
👔 Obchodni partnery a dodavatele
🌐 Navstevniky webu vezpa.it

1.2 Dvoji role Vezpa

Vezpa pusobi ve dvou odlisnych rolich:

SPRAVCE Pro udaje provozovatelu zarizeni (zakazniku)
ZPRACOVATEL Pro udaje hostu (zpracovavame udaje na pokyn provozovatele zarizeni)

2. Identita a kontaktni udaje Spravce

Spravce udaju:

Vezpa di Paolo Vezzola
Sidlo: Desenzano del Garda (BS), 25015, via San Zeno 67
DIC: 04449070988
Danove ID: VZZPLA84C10D284C
PEC: [email protected]
E-mail: [email protected]

3. Kategorie zpracovanych osobnich udaju

3.1 Udaje provozovatelu (zakazniku)

Kategorie	Typ udaju	Povinnost
Identifikacni udaje	Jmeno, prijmeni, datum narozeni, danove ID	✅ Povinne
Kontaktni udaje	E-mail, telefon, adresa	✅ Povinne
Firemni udaje	Obchodni nazev, DIC, udaje o zarizeni	✅ Povinne
Platebni udaje	IBAN, kreditni karta (pres Stripe)	✅ Povinne pro predplatne
Udaje o pouziti	Logy pristupu, IP, aktivity na platforme	⚙️ Automaticke
Udaje komunikace	E-maily, chat podpora, tikety	📝 Dobrovolne

3.2 Udaje hostu (jako Zpracovatel)

Kategorie	Typ udaju	Pravni zaklad (Spravce)
Identifikacni udaje	Jmeno, prijmeni, datum a misto narozeni, statni obcanstvi, pohlavi	Pravni povinnost (italsky zakon TULPS, cl. 109 a obdobne predpisy EU)
Doklad totoznosti	Typ, cislo, datum vydani, organ, naskenovany nebo vyfotografovany obraz	Pravni povinnost
Extrakce OCR	Textove udaje automaticky extrahovane z dokumentu (jmeno, datum, cislo)	Plneni smlouvy (cl. 6.1.b) - pouze pro usnadneni data entry
Kontaktni udaje	E-mail, telefon, adresa	Plneni smlouvy
Udaje o rezervaci	Data pobytu, pocet hostu, pokoj, sazby, stravovani	Plneni smlouvy
Platebni udaje	Transakce, uctenky (udaje karet spravovane Stripe, neulozene na Vezpa)	Plneni smlouvy + danova povinnost

⚠️ Zvlastni udaje (cl. 9 GDPR):

Ziskane doklady totoznosti mohou obsahovat prvky kvalifikovatelne jako "zvlastni" podle cl. 9 GDPR, typicky:

Misto narozeni (z nejz lze odvodit etnicky puvod)
Fotografie obliceje (nepouzita pro automatizovane biometricke rozpoznavani)

Zakonnost zpracovani: cl. 9.2.b (plneni povinnosti v oblasti pracovniho prava, bezpecnosti a socialni ochrany), 9.2.g (dulezite duvody verejneho zajmu - registrace verejne bezpecnosti) a 9.2.f (uplatnovani prav). Ucely omezeny na plneni ulozene zakonem vuci verejnym organum.

Dodatecna opatreni: pristup omezen pouze na opravnene role (reditel, asistent), zadne profilovani na techto udajich, zadne sdeleni tretim stranam mimo cilove verejne organy.

Vezpa zamerne neshromazduje jine zvlastni udaje (politicke/nabozenske nazory, zdravotni udaje, geneticke udaje, sexualni orientace). Pokud takove udaje uzivatel omylem vlozi, musi byt okamzite odstraneny.

4. Ucely a pravni zaklad zpracovani

4.1 Pro provozovatele (zakazniky)

Ucel	Pravni zaklad (cl. 6 GDPR)	Uchovavani
Poskytovani sluzby PMS	cl. 6.1.b - Plneni smlouvy	Doba trvani smlouvy + 10 let
Fakturace a ucetnictvi	cl. 6.1.c - Pravni povinnost	10 let (danova povinnost)
Zakaznicka podpora	cl. 6.1.b - Plneni smlouvy	Doba trvani smlouvy + 2 roky
Bezpecnost a prevence podvodu	cl. 6.1.f - Opravneny zajem	5 let
Zlepseni sluzby	cl. 6.1.f - Opravneny zajem	2 roky (agregovana anonymni data)
Primy marketing	cl. 6.1.a - Souhlas	Do odvolani souhlasu
Obhajoba prav v rizeni	cl. 6.1.f - Opravneny zajem	10 let

4.2 Pro hosty (na pokyn provozovatele)

Ucel	Pravni zaklad	Uchovavani
Registrace hostu a komunikace s Questura	cl. 6.1.c - Pravni povinnost (italsky zakon TULPS, cl. 109, D.Lgs. 159/2011)	Minimalne 2 roky
Oznameni ISTAT	cl. 6.1.c - Pravni povinnost	Podle predpisu ISTAT
Pobytova dan (Paytourist)	cl. 6.1.c - Pravni povinnost	Podle obecnich predpisu
Sprava rezervace a pobytu	cl. 6.1.b - Plneni smlouvy	10 let (danove ucely)
Online check-in a komunikace	cl. 6.1.b - Plneni smlouvy	Doba pobytu + doba uchovavani zarizeni

📌 Poznamka k souhlasu:

Pro mnohe aktivity NENI nutny souhlas, protoze jsou zalozeny na:

✅ Plneni smlouvy (Vy jste si sluzbu vyzadali)
✅ Pravnich povinnostech (povinna komunikace s organy)
✅ Opravnenem zajmu (bezpecnost, zlepseni sluzby)

Souhlas je vyzadovan POUZE pro marketing a profilovani.

5. Zpusob zpracovani

5.1 Zasady zpracovani (cl. 5 GDPR)

Vezpa zpracovava osobni udaje v souladu s nasledujicimi zasadami:

✅ Zakonnost, spravedlnost, transparentnost: zpracovavame udaje zakonne a jasne Vas informujeme
✅ Omezeni ucelu: pouzivame udaje pouze pro deklarovane ucely
✅ Minimalizace udaju: shromazdujeme pouze striktne nezbytne udaje
✅ Presnost: udrzujeme udaje aktualni a presne
✅ Omezeni uchovavani: uchovavame udaje pouze po nezbytnou dobu
✅ Integrita a duvernost: chranime udaje odpovidajicimi bezpecnostnimi opatrenimi
✅ Odpovednost (accountability): muzeme prokazat soulad s GDPR

5.2 Prostredky zpracovani

Udaje jsou zpracovavany pomoci:

💻 IT nastroju: servery, databaze, webove/mobilni aplikace
📄 Papirovych: pouze pro nutne dokumenty (smlouvy, faktury)

5.3 Zpusob pristupu

Udaje jsou pristupne:

👥 Opravnenemu personalu Vezpa (s osobnimi pristupovymi udaji)
🔐 Pristup zalozeny na principu "need to know" (minimalni opravneni)
📝 Pristupove logy sledovany a monitorovany

6. Bezpecnostni opatreni (cl. 32 GDPR)

6.1 Technicka opatreni

✅ Sifrovani pri prenosu: HTTPS/TLS 1.2+ pro vsechna spojeni, HSTS

✅ Sifrovani at-rest: specificke citlive udaje sifrovane pres django-cryptography; spravovane volumy a snapshoty sifrovane na strane infrastruktury (DigitalOcean)

✅ Hashovani hesel: PBKDF2 (default Django) s nahodnym salt

✅ Tokeny: JWT access token TTL 15 minut, refresh s rotaci a blacklistem, TTL 180 dnu

✅ 2FA TOTP k dispozici na uctu (django-otp)

✅ Bot blocker a rate limiting: specializovany middleware blokujici skenery a zname utocne cesty

✅ Zalohovani: snapshoty databaze spravovane poskytovatelem infrastruktury, umisteni EU

✅ Role-based access control (RBAC): reditel, asistent, pokojska, pozorovatel

✅ Aplikacni logy: sledovani pristupu, kritickych akci a anomalii

✅ Aktualizace zavislosti: monitorovani zranitelnosti balicku Python a Flutter

6.2 Organizacni opatreni

✅ Administrativni pristupy omezene na Spravce (Vezpa je v soucasnosti individualni firma bez zamestnancu); pripadni externi spolupracovnici jsou pisemne jmenovani jako Zpracovatele nebo Opravnene osoby

✅ Dokumentovana procedura incident response (§9 dale)

✅ Privacy by Design and by Default integrovana do vyvojovych faz

✅ Registr zpracovani (cl. 30 GDPR) udrzovany a aktualizovany

✅ DPA uzavrene se vsemi hlavnimi dalsimi zpracovateli

✅ Verejny seznam dalsich zpracovatelu a aktualni na vezpa.it/subprocessors

6.3 Referencni standardy

🏆 EU servery: primarni infrastruktura DigitalOcean region Frankfurt (FRA1)
🏆 PCI-DSS: platby spravovane pres Stripe, certifikovano PCI-DSS Level 1 (Vezpa neuklada udaje karet)
🏆 Certifikovani subdodavatele: kde je to relevantni (ISO 27001, SOC 2, DPF) — viz strana dalsi zpracovatele

7. Prijemci udaju (cl. 13.1.e GDPR)

7.1 Kategorie prijemcu

Udaje mohou byt sdeleny nasledujicim kategoriim prijemcu. Jmenovity seznam a vzdy aktualizovany je zverejnen na vezpa.it/subprocessors.

Kategorie	Prijemci	Role	Ucel
Verejne organy IT	AlloggiatiWeb (Questura), ISTAT, obce (PayTourist), Agenzia Entrate	Samostatni spravci	Pravni povinnost
Verejne organy EU	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Samostatni spravci	Pravni povinnost Spravce (zarizeni)
Hosting / Storage / CDN	DigitalOcean LLC (server Frankfurt, Spaces, Redis)	Zpracovatel	IT infrastruktura
Platby	Stripe Payments Europe Ltd / Stripe Inc.	Zpracovatel	Zpracovani plateb
E-mail	IONOS SE (DE)	Zpracovatel	Zasilani transakcnich e-mailu a PEC
Push notifikace mobilni	Google LLC (Firebase Cloud Messaging)	Zpracovatel	Zasilani push notifikaci na mobilni zarizeni
Channel Manager OTA	STAAH Limited (Novy Zeland)	Zpracovatel	Synchronizace rezervaci s OTA
In-app nakup — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Samostatny spravce (store)	Sprava predplatnych App Store. Apple se neucastni DPF: prenosy do USA upraveny SCC 2021/914
In-app nakup — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Samostatni spravci (store)	Sprava predplatnych Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda a asi 55 dalsich kanalu	Samostatni spravci	Sprava rezervaci vuci cestujicimu
Smart zamky (volitelne)	Tuya Smart (CN)	Zpracovatel	Sprava domotickych pristupu, pouze pokud aktivovano zarizenim
Profesionalove	Ucetni, pravnici, IT konzultanti	Zpracovatele / Samostatni spravci	Specialisticke konzultace, pouze kde je to nezbytne

7.2 Seznam dalsich zpracovatelu (cl. 28.4 GDPR)

Aktualni seznam je zverejnen a vzdy dostupny na vezpa.it/subprocessors. Pripadne zmeny (noví dalsi zpracovatele, nahrady) jsou oznameny Spravcum (zarizenim) s predstihem alespon 30 dnu, aby bylo mozne vznest namitku (cl. 28.2 GDPR).

7.3 Prenosy mimo EU

Pravni zaklad prenosu (kapitola V GDPR):

USA — EU-U.S. Data Privacy Framework (Rozhodnuti (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — aktivni certifikace DPF (overeni na dataprivacyframework.gov/list)
USA — Standardni smluvni dolozky (SCC 2021/914): Apple Inc. se neucastni DPF; smluvni vztah pro uzivatele EU je s Apple Distribution International Ltd (Irsko) a pripadne prenosy v ramci skupiny Apple do USA jsou upraveny SCC a internimi mechanismy adekvatnosti
Novy Zeland — Rozhodnuti o adekvatnosti (Rozhodnuti 2013/65/EU): STAAH Limited
Cina (volitelne): Tuya Smart — Standardni smluvni dolozky (SCC) 2021/914 + doplnujici opatreni (minimalizace a pseudonymizace). Prenos provadeny pouze pro zarizeni, ktera aktivuji smart zamky.

Pro kazdeho dalsiho zpracovatele mimo EU je dokumentovan aplikovatelny mechanismus prenosu. SCC a pripadne Transfer Impact Assessment jsou k dispozici Spravci na vyzadani.

8. Prava subjektu udaju (cl. 15-22 GDPR)

8.1 Uplatnitelna prava

Pravo	cl. GDPR	Popis
Pristup	cl. 15	Ziskat potvrzeni o existenci Vasich udaju a obdrzet jejich kopii
Oprava	cl. 16	Oprava nespravnych udaju nebo jejich doplneni
Vymaz ("zapomneni")	cl. 17	Ziskat vymaz udaju (s vyjimkami pro pravni povinnosti)
Omezeni	cl. 18	Omezit zpracovani za urcitych podminek
Prenositelnost	cl. 20	Obdrzet udaje ve strukturovanem formatu (CSV, JSON) a prevest je jinemu spravci
Namitka	cl. 21	Vznest namitku proti zpracovani zalozenem na opravnenem zajmu
Odvolani souhlasu	cl. 7.3	Kdykoli odvolat souhlas s marketingem
Stiznost	cl. 77	Podat stiznost u italskeho uradu pro ochranu osobnich udaju (Garante)
Bez automatizovaneho profilovani	cl. 22	Nepodlehat rozhodnutim zalozenym vyhradne na automatizovanem zpracovani

8.2 Jak uplatnit prava

Sva prava muzete uplatnit prostrednictvim:

📧 E-mail: [email protected]
📧 PEC: [email protected]
📮 Doporuceneho dopisu: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
💻 Vyhrazena oblast: Sekce "Soukromi a udaje" v dashboardu (pro nektera prava)

8.3 Doba odpovedi

Vezpa odpovida na zadosti do 30 dnu od obdrzeni (prodluzitelne o dalsich 60 dnu ve slozitych pripadech s oduvodnenym sdelenim).

8.4 Omezeni prav

Nektera prava (vymaz, omezeni) nemusi byt uplatnitelna, kdyz:

⚖️ Existuji pravni povinnosti, ktere nas nuti uchovavat udaje
⚖️ Udaje jsou nezbytne pro obhajobu prav v rizeni
⚖️ Prevazuje verejny zajem

9. Data breach a notifikace (cl. 33-34 GDPR)

9.1 Procedura v pripade poruseni dat

V pripade data breach (poruseni osobnich udaju) Vezpa:

📊 Vyhodnoti incident do 24 hodin od zjisteni
📢 Oznami to italskemu uradu pro ochranu osobnich udaju (Garante) do 72 hodin (pokud je riziko pro prava subjektu)
📧 Sdeli to subjektum udaju bez zbytecneho odkladu (pokud je vysoke riziko)
📝 Dokumentuje incident v registru poruseni
🔧 Prijme napravna opatreni pro prevenci budoucich poruseni

9.2 Transparentnost

V pripade data breach, ktery se Vas tyka, obdrzite sdeleni obsahujici:

Povahu poruseni
Zasazena data
Mozne nasledky
Prijata a doporucena opatreni
Kontakty uradu pro ochranu osobnich udaju

10. Data Protection Impact Assessment (DPIA)

Vezpa zahajila Posouzeni vlivu na ochranu osobnich udaju (DPIA) podle cl. 35 GDPR, s ohledem na systematicke zpracovani dokladu totoznosti subjektu udaju z vice clenskych statu EU a prenosu dalsim zpracovatelum mimo EU.

Rozsah DPIA:

Zpracovani identifikacnich udaju a dokladu totoznosti hostu pres vice vladnich konektoru
Toky do channel manageru OTA a prenosy mimo EU
Automaticke OCR na obrazich dokumentu
Integrace se sluzbami biometricke autentizace na strane zarizeni

DPIA a pripadna dodatecna zmirnujici opatreni jsou periodicky aktualizovany. V pripade vysokeho zbytkoveho rizika Vezpa pristoupi k predchozi konzultaci s italskym uradem pro ochranu osobnich udaju (Garante) podle cl. 36 GDPR. Spravce (zarizeni) muze vyzadat souhrn DPIA napsanim na [email protected].

11. Zpracovatel (cl. 28 GDPR)

11.1 Smlouvy se zakazniky (pro udaje hostu)

Kdyz provozovatel zarizeni pouziva Vezpa pro zpracovani udaju hostu:

Provozovatel je Spravcem zpracovani
Vezpa je Zpracovatelem
Je uzavrena Smlouva o zpracovani osobnich udaju (DPA) podle cl. 28 GDPR

11.2 Obsah DPA

Smlouva o zpracovani osobnich udaju obsahuje, podle cl. 28.3 GDPR:

📋 Predmet a dobu trvani zpracovani
📋 Povahu a ucel zpracovani
📋 Typ osobnich udaju a kategorie subjektu udaju
📋 Povinnosti a prava Spravce
📋 Dokumentovane pokyny ke zpracovani
📋 Implementovana bezpecnostni opatreni
📋 Opravnene dalsi zpracovatele s predstihem pri nahrazovani
📋 Pomoc Spravci pro prava subjektu udaju, DPIA a data breach
📋 Povinnosti vymazu nebo vraceni po ukonceni

DPA je nedilnou soucasti Podminek sluzby a je prijimana pri registraci zarizeni.

12. Privacy by Design a by Default (cl. 25 GDPR)

12.1 Privacy by Design

Vezpa integruje ochranu udaju jiz od navrhu:

🔒 Nativni sifrovani ve vsech komunikacich
🔒 Pseudonymizace tam, kde je to mozne
🔒 Minimalizace shromazdenych udaju
🔒 Granularni rizeni pristupu
🔒 Kompletni audit trail vsech operaci

12.2 Privacy by Default

Vychozi nastaveni maximalizuji soukromi:

✅ Povinne jsou pouze striktne nezbytne udaje
✅ Automaticke uchovavani po minimalni zakonne obdobi
✅ Marketing opt-in (nikoli opt-out)
✅ Viditelnost udaju omezena na minimalni nutnou miru

13. Registr zpracovani (cl. 30 GDPR)

Vezpa udrzuje kompletni registr vsech zpracovatelskych cinnosti, obsahujici:

Nazev a kontaktni udaje spravce a DPO
Ucely zpracovani
Popis kategorii subjektu a udaju
Kategorie prijemcu
Prenosy do tretich zemi
Predpokladane doby uchovavani
Popis bezpecnostnich opatreni

Registr je k dispozici na vyzadani italskeho uradu pro ochranu osobnich udaju (Garante).

14. Zmeny informaci

Tyto informace mohou byt zmeneny z duvodu:

Regulatorniho vyvoje
Novych funkci sluzby
Organizacnich zmen

Vyznamne zmeny budou sdeleny e-mailem alespon 30 dnu predem.

Datum posledni aktualizace je vzdy uvedeno v zahlavi dokumentu.