KOMPLETNI INFORMACE GDPR

Vezpa - Property Management System

Soulad s Narizenim EU 2016/679

Posledni aktualizace: 19. dubna 2026

๐Ÿ“Œ Prรกvnรญ pล™ednost: tento dokument je zdvoล™ilรฝm pล™ekladem italskรฉho originรกlu. V pล™รญpadฤ› rozporu mezi tรญmto pล™ekladem a italskou verzรญ mรก pล™ednost italskรก verze jako prรกvnฤ› zรกvaznรฝ referenฤnรญ text. Italskรฝ originรกl k dispozici zde: https://vezpa.it/gdpr/.
โœ… Pristup GDPR: Vezpa prijima technicka a organizacni opatreni odpovidajici Narizeni EU 2016/679. Tento dokument podrobne popisuje, jak zpracovavame osobni udaje, jaka bezpecnostni opatreni prijimame a jak pusobime jako Zpracovatel jmenem zarizeni.

1. Uvod a oblast pusobnosti

Tyto informace popisuji, jak Vezpa di Paolo Vezzola (dale jen "Vezpa" nebo "My") zpracovava osobni udaje v souladu s:

1.1 Pro koho plati

Tyto informace se vztahuji na:

1.2 Dvoji role Vezpa

Vezpa pusobi ve dvou odlisnych rolich:

2. Identita a kontaktni udaje Spravce

Spravce udaju:

Vezpa di Paolo Vezzola
Sidlo: Desenzano del Garda (BS), 25015, via San Zeno 67
DIC: 04449070988
Danove ID: VZZPLA84C10D284C
PEC: [email protected]
E-mail: [email protected]

3. Kategorie zpracovanych osobnich udaju

3.1 Udaje provozovatelu (zakazniku)

Kategorie Typ udaju Povinnost
Identifikacni udaje Jmeno, prijmeni, datum narozeni, danove ID โœ… Povinne
Kontaktni udaje E-mail, telefon, adresa โœ… Povinne
Firemni udaje Obchodni nazev, DIC, udaje o zarizeni โœ… Povinne
Platebni udaje IBAN, kreditni karta (pres Stripe) โœ… Povinne pro predplatne
Udaje o pouziti Logy pristupu, IP, aktivity na platforme โš™๏ธ Automaticke
Udaje komunikace E-maily, chat podpora, tikety ๐Ÿ“ Dobrovolne

3.2 Udaje hostu (jako Zpracovatel)

Kategorie Typ udaju Pravni zaklad (Spravce)
Identifikacni udaje Jmeno, prijmeni, datum a misto narozeni, statni obcanstvi, pohlavi Pravni povinnost (italsky zakon TULPS, cl. 109 a obdobne predpisy EU)
Doklad totoznosti Typ, cislo, datum vydani, organ, naskenovany nebo vyfotografovany obraz Pravni povinnost
Extrakce OCR Textove udaje automaticky extrahovane z dokumentu (jmeno, datum, cislo) Plneni smlouvy (cl. 6.1.b) - pouze pro usnadneni data entry
Kontaktni udaje E-mail, telefon, adresa Plneni smlouvy
Udaje o rezervaci Data pobytu, pocet hostu, pokoj, sazby, stravovani Plneni smlouvy
Platebni udaje Transakce, uctenky (udaje karet spravovane Stripe, neulozene na Vezpa) Plneni smlouvy + danova povinnost
โš ๏ธ Zvlastni udaje (cl. 9 GDPR):

Ziskane doklady totoznosti mohou obsahovat prvky kvalifikovatelne jako "zvlastni" podle cl. 9 GDPR, typicky:

Zakonnost zpracovani: cl. 9.2.b (plneni povinnosti v oblasti pracovniho prava, bezpecnosti a socialni ochrany), 9.2.g (dulezite duvody verejneho zajmu - registrace verejne bezpecnosti) a 9.2.f (uplatnovani prav). Ucely omezeny na plneni ulozene zakonem vuci verejnym organum.

Dodatecna opatreni: pristup omezen pouze na opravnene role (reditel, asistent), zadne profilovani na techto udajich, zadne sdeleni tretim stranam mimo cilove verejne organy.

Vezpa zamerne neshromazduje jine zvlastni udaje (politicke/nabozenske nazory, zdravotni udaje, geneticke udaje, sexualni orientace). Pokud takove udaje uzivatel omylem vlozi, musi byt okamzite odstraneny.

4. Ucely a pravni zaklad zpracovani

4.1 Pro provozovatele (zakazniky)

Ucel Pravni zaklad (cl. 6 GDPR) Uchovavani
Poskytovani sluzby PMS cl. 6.1.b - Plneni smlouvy Doba trvani smlouvy + 10 let
Fakturace a ucetnictvi cl. 6.1.c - Pravni povinnost 10 let (danova povinnost)
Zakaznicka podpora cl. 6.1.b - Plneni smlouvy Doba trvani smlouvy + 2 roky
Bezpecnost a prevence podvodu cl. 6.1.f - Opravneny zajem 5 let
Zlepseni sluzby cl. 6.1.f - Opravneny zajem 2 roky (agregovana anonymni data)
Primy marketing cl. 6.1.a - Souhlas Do odvolani souhlasu
Obhajoba prav v rizeni cl. 6.1.f - Opravneny zajem 10 let

4.2 Pro hosty (na pokyn provozovatele)

Ucel Pravni zaklad Uchovavani
Registrace hostu a komunikace s Questura cl. 6.1.c - Pravni povinnost (italsky zakon TULPS, cl. 109, D.Lgs. 159/2011) Minimalne 2 roky
Oznameni ISTAT cl. 6.1.c - Pravni povinnost Podle predpisu ISTAT
Pobytova dan (Paytourist) cl. 6.1.c - Pravni povinnost Podle obecnich predpisu
Sprava rezervace a pobytu cl. 6.1.b - Plneni smlouvy 10 let (danove ucely)
Online check-in a komunikace cl. 6.1.b - Plneni smlouvy Doba pobytu + doba uchovavani zarizeni
๐Ÿ“Œ Poznamka k souhlasu:

Pro mnohe aktivity NENI nutny souhlas, protoze jsou zalozeny na:

Souhlas je vyzadovan POUZE pro marketing a profilovani.

5. Zpusob zpracovani

5.1 Zasady zpracovani (cl. 5 GDPR)

Vezpa zpracovava osobni udaje v souladu s nasledujicimi zasadami:

5.2 Prostredky zpracovani

Udaje jsou zpracovavany pomoci:

5.3 Zpusob pristupu

Udaje jsou pristupne:

6. Bezpecnostni opatreni (cl. 32 GDPR)

6.1 Technicka opatreni

โœ… Sifrovani pri prenosu: HTTPS/TLS 1.2+ pro vsechna spojeni, HSTS
โœ… Sifrovani at-rest: specificke citlive udaje sifrovane pres django-cryptography; spravovane volumy a snapshoty sifrovane na strane infrastruktury (DigitalOcean)
โœ… Hashovani hesel: PBKDF2 (default Django) s nahodnym salt
โœ… Tokeny: JWT access token TTL 15 minut, refresh s rotaci a blacklistem, TTL 180 dnu
โœ… 2FA TOTP k dispozici na uctu (django-otp)
โœ… Bot blocker a rate limiting: specializovany middleware blokujici skenery a zname utocne cesty
โœ… Zalohovani: snapshoty databaze spravovane poskytovatelem infrastruktury, umisteni EU
โœ… Role-based access control (RBAC): reditel, asistent, pokojska, pozorovatel
โœ… Aplikacni logy: sledovani pristupu, kritickych akci a anomalii
โœ… Aktualizace zavislosti: monitorovani zranitelnosti balicku Python a Flutter

6.2 Organizacni opatreni

โœ… Administrativni pristupy omezene na Spravce (Vezpa je v soucasnosti individualni firma bez zamestnancu); pripadni externi spolupracovnici jsou pisemne jmenovani jako Zpracovatele nebo Opravnene osoby
โœ… Dokumentovana procedura incident response (ยง9 dale)
โœ… Privacy by Design and by Default integrovana do vyvojovych faz
โœ… Registr zpracovani (cl. 30 GDPR) udrzovany a aktualizovany
โœ… DPA uzavrene se vsemi hlavnimi dalsimi zpracovateli
โœ… Verejny seznam dalsich zpracovatelu a aktualni na vezpa.it/subprocessors

6.3 Referencni standardy

7. Prijemci udaju (cl. 13.1.e GDPR)

7.1 Kategorie prijemcu

Udaje mohou byt sdeleny nasledujicim kategoriim prijemcu. Jmenovity seznam a vzdy aktualizovany je zverejnen na vezpa.it/subprocessors.

Kategorie Prijemci Role Ucel
Verejne organy IT AlloggiatiWeb (Questura), ISTAT, obce (PayTourist), Agenzia Entrate Samostatni spravci Pravni povinnost
Verejne organy EU Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) Samostatni spravci Pravni povinnost Spravce (zarizeni)
Hosting / Storage / CDN DigitalOcean LLC (server Frankfurt, Spaces, Redis) Zpracovatel IT infrastruktura
Platby Stripe Payments Europe Ltd / Stripe Inc. Zpracovatel Zpracovani plateb
E-mail IONOS SE (DE) Zpracovatel Zasilani transakcnich e-mailu a PEC
Push notifikace mobilni Google LLC (Firebase Cloud Messaging) Zpracovatel Zasilani push notifikaci na mobilni zarizeni
Channel Manager OTA STAAH Limited (Novy Zeland) Zpracovatel Synchronizace rezervaci s OTA
In-app nakup โ€” Apple Apple Distribution International Ltd (IE) / Apple Inc. (USA) Samostatny spravce (store) Sprava predplatnych App Store. Apple se neucastni DPF: prenosy do USA upraveny SCC 2021/914
In-app nakup โ€” Google / Microsoft Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF) Samostatni spravci (store) Sprava predplatnych Play Store / Microsoft Store
OTA Booking.com, Airbnb, Expedia, VRBO, Agoda a asi 55 dalsich kanalu Samostatni spravci Sprava rezervaci vuci cestujicimu
Smart zamky (volitelne) Tuya Smart (CN) Zpracovatel Sprava domotickych pristupu, pouze pokud aktivovano zarizenim
Profesionalove Ucetni, pravnici, IT konzultanti Zpracovatele / Samostatni spravci Specialisticke konzultace, pouze kde je to nezbytne

7.2 Seznam dalsich zpracovatelu (cl. 28.4 GDPR)

Aktualni seznam je zverejnen a vzdy dostupny na vezpa.it/subprocessors. Pripadne zmeny (novรญ dalsi zpracovatele, nahrady) jsou oznameny Spravcum (zarizenim) s predstihem alespon 30 dnu, aby bylo mozne vznest namitku (cl. 28.2 GDPR).

7.3 Prenosy mimo EU

Pravni zaklad prenosu (kapitola V GDPR):

Pro kazdeho dalsiho zpracovatele mimo EU je dokumentovan aplikovatelny mechanismus prenosu. SCC a pripadne Transfer Impact Assessment jsou k dispozici Spravci na vyzadani.

8. Prava subjektu udaju (cl. 15-22 GDPR)

8.1 Uplatnitelna prava

Pravo cl. GDPR Popis
Pristup cl. 15 Ziskat potvrzeni o existenci Vasich udaju a obdrzet jejich kopii
Oprava cl. 16 Oprava nespravnych udaju nebo jejich doplneni
Vymaz ("zapomneni") cl. 17 Ziskat vymaz udaju (s vyjimkami pro pravni povinnosti)
Omezeni cl. 18 Omezit zpracovani za urcitych podminek
Prenositelnost cl. 20 Obdrzet udaje ve strukturovanem formatu (CSV, JSON) a prevest je jinemu spravci
Namitka cl. 21 Vznest namitku proti zpracovani zalozenem na opravnenem zajmu
Odvolani souhlasu cl. 7.3 Kdykoli odvolat souhlas s marketingem
Stiznost cl. 77 Podat stiznost u italskeho uradu pro ochranu osobnich udaju (Garante)
Bez automatizovaneho profilovani cl. 22 Nepodlehat rozhodnutim zalozenym vyhradne na automatizovanem zpracovani

8.2 Jak uplatnit prava

Sva prava muzete uplatnit prostrednictvim:

8.3 Doba odpovedi

Vezpa odpovida na zadosti do 30 dnu od obdrzeni (prodluzitelne o dalsich 60 dnu ve slozitych pripadech s oduvodnenym sdelenim).

8.4 Omezeni prav

Nektera prava (vymaz, omezeni) nemusi byt uplatnitelna, kdyz:

9. Data breach a notifikace (cl. 33-34 GDPR)

9.1 Procedura v pripade poruseni dat

V pripade data breach (poruseni osobnich udaju) Vezpa:

  1. ๐Ÿ“Š Vyhodnoti incident do 24 hodin od zjisteni
  2. ๐Ÿ“ข Oznami to italskemu uradu pro ochranu osobnich udaju (Garante) do 72 hodin (pokud je riziko pro prava subjektu)
  3. ๐Ÿ“ง Sdeli to subjektum udaju bez zbytecneho odkladu (pokud je vysoke riziko)
  4. ๐Ÿ“ Dokumentuje incident v registru poruseni
  5. ๐Ÿ”ง Prijme napravna opatreni pro prevenci budoucich poruseni

9.2 Transparentnost

V pripade data breach, ktery se Vas tyka, obdrzite sdeleni obsahujici:

10. Data Protection Impact Assessment (DPIA)

Vezpa zahajila Posouzeni vlivu na ochranu osobnich udaju (DPIA) podle cl. 35 GDPR, s ohledem na systematicke zpracovani dokladu totoznosti subjektu udaju z vice clenskych statu EU a prenosu dalsim zpracovatelum mimo EU.

Rozsah DPIA:

DPIA a pripadna dodatecna zmirnujici opatreni jsou periodicky aktualizovany. V pripade vysokeho zbytkoveho rizika Vezpa pristoupi k predchozi konzultaci s italskym uradem pro ochranu osobnich udaju (Garante) podle cl. 36 GDPR. Spravce (zarizeni) muze vyzadat souhrn DPIA napsanim na [email protected].

11. Zpracovatel (cl. 28 GDPR)

11.1 Smlouvy se zakazniky (pro udaje hostu)

Kdyz provozovatel zarizeni pouziva Vezpa pro zpracovani udaju hostu:

11.2 Obsah DPA

Smlouva o zpracovani osobnich udaju obsahuje, podle cl. 28.3 GDPR:

DPA je nedilnou soucasti Podminek sluzby a je prijimana pri registraci zarizeni.

12. Privacy by Design a by Default (cl. 25 GDPR)

12.1 Privacy by Design

Vezpa integruje ochranu udaju jiz od navrhu:

12.2 Privacy by Default

Vychozi nastaveni maximalizuji soukromi:

13. Registr zpracovani (cl. 30 GDPR)

Vezpa udrzuje kompletni registr vsech zpracovatelskych cinnosti, obsahujici:

Registr je k dispozici na vyzadani italskeho uradu pro ochranu osobnich udaju (Garante).

14. Zmeny informaci

Tyto informace mohou byt zmeneny z duvodu:

Vyznamne zmeny budou sdeleny e-mailem alespon 30 dnu predem.

Datum posledni aktualizace je vzdy uvedeno v zahlavi dokumentu.

๐Ÿ“ž Kontakty pro soukromi a GDPR

Urad pro soukromi:
๐Ÿ“ง E-mail: [email protected]
๐Ÿ“ง PEC: [email protected]
๐Ÿ“ฎ Adresa: Desenzano del Garda, via San Zeno 67

italsky urad pro ochranu osobnich udaju (Garante):
Piazza Venezia, 11 - 00187 Roma
๐Ÿ“ง E-mail: [email protected]
๐Ÿ“ง PEC: [email protected]
๐Ÿ“ž Tel: +39 06.696771
๐ŸŒ Web: www.garanteprivacy.it

Uzivatele v Ceske republice se mohou obratit i na UOOU (www.uoou.cz).


ยฉ 2022-2026 Vezpa - Vsechna prava vyhrazena | Zasady ochrany osobnich udaju | Podminky sluzby | Zasady cookies | GDPR | DPA | Dalsi zpracovatele

Dokument zpracovan v souladu s Narizenim EU 2016/679 (GDPR)
a italskym D.Lgs. 196/2003 ve zneni italskeho D.Lgs. 101/2018