Zasady ochrany osobnich udaju

1. Spravce udaju

Vezpa di Paolo Vezzola
Sidlo: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italie
DIC: 04449070988 · Danove ID: VZZPLA84C10D284C
E-mail: [email protected] · PEC: [email protected]

2. Oblast pusobnosti

Tyto informace se vztahuji na Aplikaci Vezpa distribuovanou prostrednictvim:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Primy sideload (APK Android, podepsany Windows installer) pro pouziti distribuovane primo Spravcem

Pouziti aplikace vyzaduje vytvoreni uctu venovaneho ubytovacimu zarizeni. Aplikace je urcena profesionalnim uzivatelum starsim 18 let (provozovatele ubytovacich zarizeni a jejich opravneny personal).

3. Udaje shromazdene aplikaci

3.1 Udaje uzivatelu (provozovatele a personal)

Identifikacni udaje: jmeno, prijmeni, e-mail, telefonni cislo
Udaje o ubytovacim zarizeni
Prihlasovaci udaje (heslo hashovane na strane backendu, nikdy neprenesene v cisteni)
Identifikatory uctu (User ID)
Prirazena role (reditel, asistent, pokojska, pozorovatel)

3.2 Udaje hostu (Vezpa jedna jako Zpracovatel)

Dulezite: udaje hostu patri ubytovacimu zarizeni. Vezpa jedna jako Zpracovatel podle cl. 28 GDPR, upraveno DPA.

Identifikacni a kontaktni udaje
Doklady totoznosti naskenovane nebo vyfotografovane kamerou zarizeni, s OCR extrakci textovych udaju pro usnadneni registrace
Udaje o pobytu a rezervaci

3.3 Technicke a provozni udaje

Identifikatory zarizeni: model, operacni system, verze aplikace
Token push notifikaci (FCM): unikatni identifikator spravovany Google Firebase pro zasilani notifikaci
SHA-256 hash duveryhodneho zarizeni: generovany lokalne pro umozneni nasledneho biometrickeho pristupu, platnost 90 dni od posledniho pouziti
Aplikacni a diagnosticke logy: prenesene v davkach na backend pres RemoteLogger pro ucely stability a bezpecnosti; neobsahuji citlivy osobni obsah
IP adresa: shromazdena backendem pro bezpecnostni ucely

4. Opravneni vyzadovana aplikaci

Opravneni	Ucel	Povinne
Kamera	Porizeni obrazu dokladu totoznosti hostu pro OCR a pro zasilani organum	Volitelne (alternativa: rucni zadani)
Push notifikace	Prijem notifikaci o novych rezervacich, check-in, zadostech hostu	Volitelne (aplikace funguje i bez nich)
Biometricka autentizace (Face ID / Touch ID / otisk / Windows Hello)	Rychle prihlaseni po prvni autentizaci heslem. Biometricke udaje nikdy neopousti zarizeni a nejsou sdeleny Vezpa.	Volitelne
Uloziste / Soubory	Lokalni ukladani PDF reportu, faktur, formularu Alloggiati generovanych aplikaci	Volitelne
Internet	Komunikace se servery Vezpa	Povinne
REQUEST_INSTALL_PACKAGES (pouze Android sideload)	Automaticka instalace aktualizaci pres APK stazenou ze serveru Vezpa. Neni pritomne ve verzi Google Play.	Vyzadovano pouze pro flavour sideload

5. SDK a sluzby integrovane v aplikaci

SDK / Sluzba	Dodavatel	Ucel	Zpracovavane udaje
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Zasilani push notifikaci	Token zarizeni, technicke identifikatory
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Sprava in-app nakupu a predplatnych	Token nakupu, stav predplatneho, ID uctu store
Stripe SDK (pouze platby strana hosta)	Stripe Payments Europe Ltd	Zpracovani plateb kartou	Udaje karty spravovane Stripe, nepredavane Vezpa
local_auth (biometrie)	Operacni system (Apple / Google / Microsoft)	Lokalni biometricke odemceni	Zadne biometricke udaje neprenesene na Vezpa
Flutter Secure Storage	Platforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Lokalni uchovavani JWT tokenu a prihlasovacich udaju	Refresh tokeny, sifrovane operacnim systemem
share_plus	Open Source	Sdileni souboru (PDF, reporty) se systemovymi aplikacemi	Soubory zvolene uzivatelem

Vezpa neintegruje SDK pro behavioralni analytiku (napr. AppsFlyer, Mixpanel, Facebook SDK), reklamni SDK ani profilovaci SDK. Zadne cross-app sledovani podle Apple App Tracking Transparency (ATT).

6. Ucely zpracovani

Poskytovani funkci aplikace Vezpa (cl. 6.1.b GDPR)
Plneni pravnich povinnosti souvisejicich s registraci hostu, delegovane zarizenim (cl. 6.1.c)
Bezpecnost, prevence podvodu, stabilita sluzby (cl. 6.1.f, opravneny zajem)
Sprava predplatnych a plateb (cl. 6.1.b a 6.1.c)

Udaje nejsou pouzivany pro reklamni, profilovaci nebo sledovaci ucely.

7. Zpusob zpracovani a bezpecnost

Prenos pres HTTPS/TLS 1.2+
Autentizace JWT s rotaci (access 15 min, refresh 180 dni s blacklistem)
Secure Storage systemu (Keychain / EncryptedSharedPreferences / DPAPI)
Volitelne 2FA TOTP
Backend servery umistene v EU (Frankfurt) na DigitalOcean
Aplikacni logy monitorovany pro detekci anomalnich pristupu

8. Uchovavani a vymaz

Udaje uzivatelu jsou uchovavany po dobu trvani smlouvy + danove povinnosti (10 let pro fakturaci).

Uzivatel muze pozadat o vymaz uctu pres vyhrazenou funkci v aplikaci nebo napsanim Spravci. Nektere udaje mohou byt uchovany pro pravni povinnosti (fakturace, bezpecnostni logy).

Udaje hostu (u nichz je Vezpa Zpracovatelem) se ridi pokyny Spravce dle DPA.

9. Sdeleni udaju

Udaje nejsou prodavany ani sireny. Mohou byt sdeleny dalsim zpracovatelum uvedenym na vezpa.it/subprocessors a, omezene na udaje rezervace, OTA kanalum aktivovanym zarizenim.

Pro udaje prenesene verejnym organum (Questura, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) odkazujeme na obecne Zasady ochrany osobnich udaju.

10. Prenosy mimo EU

Komunikace s dodavateli USA certifikovanymi DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) probiha na zaklade EU-U.S. Data Privacy Framework (Rozhodnuti (EU) 2023/1795). Apple se neucastni DPF: smluvni vztah pro uzivatele EU je s Apple Distribution International Ltd (Irsko) a pripadne prenosy do Apple Inc. (USA) jsou upraveny SCC 2021/914. Komunikace se STAAH (channel manager) probiha na zaklade Rozhodnuti EU o adekvatnosti pro Novy Zeland (2013/65/EU). Tuya (Cina, volitelne) je upravena SCC 2021/914.

11. Prava uzivatele

Podle cl. 15-22 GDPR muze uzivatel uplatnit prava pristupu, opravy, vymazu, omezeni, prenositelnosti a namitky. Zadosti lze zasilat prostrednictvim aplikace nebo na [email protected].

Stiznosti u dozorciho uradu: italsky urad pro ochranu osobnich udaju (Garante). Uzivatele v Ceske republice se mohou obratit i na UOOU (www.uoou.cz).

12. Nezletili

Aplikace je urcena vyhradne plnoletym uzivatelum (profesionalni provozovatele). Vedome neshromazduje udaje nezletilych.

13. Zmeny zasad ochrany osobnich udaju

Tyto informace mohou byt aktualizovany. Zmeny budou zverejneny na teto strance a, pokud budou podstatne, sdeleny e-mailem a v dashboardu alespon 15 dni predem.

ZASADY OCHRANY OSOBNICH UDAJU – APLIKACE VEZPA