Политика за поверителност

1. Администратор на лични данни

Vezpa di Paolo Vezzola
Седалище: Via San Zeno 67, 25015 Desenzano del Garda (BS), Италия
ДДС №: 04449070988 · Данъчен код: VZZPLA84C10D284C
Имейл: [email protected] · PEC: [email protected]

2. Обхват на приложение

Настоящата информация се прилага за Приложението Vezpa, разпространявано чрез:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Директен sideload (APK Android, подписан Windows installer) за употреба, разпространявана директно от Администратора

Използването на приложението изисква създаване на специален акаунт за обекта за настаняване. Приложението е предназначено за професионални потребители над 18 години (управители на обекти за настаняване и техният оторизиран персонал).

3. Данни, събирани от приложението

3.1 Данни на потребителите (управители и персонал)

Идентификационни данни: име, фамилия, имейл, телефонен номер
Данни за обекта за настаняване
Идентификационни данни (парола хеширана от backend, никога не се предава в чист вид)
Идентификатори на акаунта (User ID)
Присвоена роля (директор, асистент, камериерка, наблюдател)

3.2 Данни на гостите (Vezpa действа като Обработващ)

Важно: данните на гостите са собственост на обекта. Vezpa действа като Обработващ лични данни съгласно чл. 28 ОРЗД, регулирано от DPA.

Идентификационни и контактни данни
Документи за самоличност, сканирани или фотографирани чрез камерата на устройството, с OCR извличане на текстови данни за улесняване на регистрацията
Данни за престоя и резервацията

3.3 Технически данни и данни за употреба

Идентификатори на устройството: модел, операционна система, версия на приложението
Токени за push уведомления (FCM): уникален идентификатор, управляван от Google Firebase за изпращане на уведомления
SHA-256 хеш на довереното устройство: генериран локално, за да позволи последващ биометричен достъп, изтича 90 дни от последната употреба
Логове на приложение и диагностика: предават се в групи към backend чрез RemoteLogger за цели на стабилност и сигурност; не съдържат чувствително лично съдържание
IP адрес: събиран от backend за цели на сигурността

4. Разрешения, изисквани от приложението

Разрешение	Цел	Задължително
Камера	Заснемане на изображения на документите за самоличност на гостите за OCR и за изпращане до властите	Опционално (алтернатива: ръчно въвеждане)
Push уведомления	Получаване на уведомления за нови резервации, чекин, искания от гости	Опционално (приложението функционира и без него)
Биометрична автентикация (Face ID / Touch ID / отпечатък / Windows Hello)	Бърз вход след първа автентикация с парола. Биометричните данни никога не напускат устройството и не се съобщават на Vezpa.	Опционално
Съхранение / файлове	Локално запазване на PDF отчети, фактури, Alloggiati схеми, генерирани от приложението	Опционално
Интернет	Комуникация със сървърите на Vezpa	Задължително
REQUEST_INSTALL_PACKAGES (само Android sideload)	Автоматична инсталация на актуализации чрез APK, изтеглен от сървърите на Vezpa. Не присъства във версията от Google Play.	Изисква се само за flavour sideload

5. SDK и услуги, интегрирани в приложението

SDK / Услуга	Доставчик	Цел	Обработвани данни
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Изпращане на push уведомления	Токен на устройството, технически идентификатори
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Управление на in-app покупки и абонаменти	Токен за покупка, статус на абонамента, ID на акаунта в магазина
Stripe SDK (само плащания на страницата за гости)	Stripe Payments Europe Ltd	Обработване на плащания с карта	Данните от картата се обработват от Stripe, не се предават на Vezpa
local_auth (биометрия)	Операционна система (Apple / Google / Microsoft)	Локално биометрично отключване	Никакви биометрични данни не се предават на Vezpa
Flutter Secure Storage	Платформа (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Локално съхранение на JWT токени и идентификационни данни	Refresh токени, криптирани от операционната система
share_plus	Open Source	Споделяне на файлове (PDF, отчети) с приложения на системата	Файлове, избрани от потребителя

Vezpa не интегрира SDK за поведенчески analytics (напр. AppsFlyer, Mixpanel, Facebook SDK), рекламни SDK, нито SDK за профилиране. Никакво cross-app проследяване съгласно Apple App Tracking Transparency (ATT).

6. Цели на обработването

Предоставяне на функционалностите на Приложението Vezpa (чл. 6.1.б ОРЗД)
Изпълнение на законови задължения, свързани с регистрацията на гостите, делегирани от обекта (чл. 6.1.в)
Сигурност, предотвратяване на измами, стабилност на услугата (чл. 6.1.е, легитимен интерес)
Управление на абонаменти и плащания (чл. 6.1.б и 6.1.в)

Данните не се използват за рекламни цели, за профилиране или проследяване.

7. Начин на обработване и сигурност

Предаване чрез HTTPS/TLS 1.2+
Автентикация с JWT с ротация (access 15 мин., refresh 180 дни с черен списък)
Secure Storage на системата (Keychain / EncryptedSharedPreferences / DPAPI)
Опционално 2FA TOTP
Backend сървъри, разположени в ЕС (Франкфурт) в DigitalOcean
Логове на приложението, наблюдавани за откриване на аномален достъп

8. Съхранение и заличаване

Данните на потребителите се съхраняват за срока на договора + данъчни задължения (10 години за фактуриране).

Потребителят може да поиска заличаване на акаунта чрез специалната функция в приложението или като пише на Администратора. Някои данни могат да бъдат съхранявани за законови задължения (фактуриране, логове за сигурност).

Данните на гостите (за които Vezpa е Обработващ) следват инструкциите на Администратора съгласно регулираното в DPA.

9. Съобщаване на данните

Данните не се продават, нито се разпространяват. Те могат да бъдат съобщавани на подобработващите, изброени на vezpa.it/subprocessors, и ограничено до резервационните данни, на OTA каналите, активирани от обекта.

За данните, предавани на публичните органи (Questura, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem), се препраща към Общата политика за поверителност.

10. Прехвърляния извън ЕС

Комуникациите с доставчиците от САЩ (Apple, Google/Firebase, Stripe, Microsoft, DigitalOcean) се извършват въз основа на EU-U.S. Data Privacy Framework (Решение на ЕС 2023/1795). Комуникациите със STAAH (channel manager) се извършват въз основа на Решението на ЕС за адекватност за Нова Зеландия (2013/65/ЕС). Tuya (Китай, опционално) е регулирана от SCC 2021/914.

11. Права на потребителя

Съгласно чл. 15-22 ОРЗД потребителят може да упражни права на достъп, коригиране, заличаване, ограничаване, преносимост и възражение. Исканията могат да бъдат подавани чрез приложението или на [email protected].

Жалби до надзорния орган: италиански орган за защита на данните (Garante). Потребителите в България могат да се обърнат и към Комисията за защита на личните данни - КЗЛД (www.cpdp.bg).

12. Непълнолетни

Приложението е предназначено изключително за пълнолетни потребители (професионални управители). Не събира съзнателно данни на непълнолетни.

13. Промени в Политиката за поверителност

Настоящата информация може да бъде актуализирана. Промените ще бъдат публикувани на тази страница и ако са съществени, ще бъдат съобщавани по имейл и в таблото с поне 15 дни предизвестие.

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ – ПРИЛОЖЕНИЕ VEZPA