Personvernerklaering - Vezpa-appen

1. Behandlingsansvarlig

Vezpa di Paolo Vezzola
Forretningsadresse: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
MVA-nr.: 04449070988 · Skattekode: VZZPLA84C10D284C
E-post: [email protected] · PEC: [email protected]

2. Virkeomraade

Denne erklaeringen gjelder for Vezpa-appen distribuert via:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Direkte sideload (APK Android, signert Windows-installasjonsprogram) for bruk distribuert direkte av Behandlingsansvarlig

Bruk av appen krever opprettelse av en dedikert konto for innkvarteringsstedet. Appen er rettet mot profesjonelle brukere over 18 aar (driftsansvarlige for innkvarteringssteder og deres autoriserte personell).

3. Data som samles inn av appen

3.1 Brukernes data (driftsansvarlige og personell)

Personopplysninger: fornavn, etternavn, e-post, telefonnummer
Data om innkvarteringsstedet
Legitimasjon (passord hashet paa backend-siden, aldri overfoert i klartekst)
Konto-identifikatorer (User ID)
Tildelt rolle (direktoer, assistent, husholderske, observatoer)

3.2 Gjestenes data (Vezpa opptrer som Databehandler)

Viktig: gjestenes data eies av innkvarteringsstedet. Vezpa opptrer som Databehandler i henhold til art. 28 GDPR, regulert av DPA.

Person- og kontaktopplysninger
Legitimasjonsdokumenter skannet eller fotografert via enhetens kamera, med OCR-uttrekk av tekstdata for a forenkle registreringen
Oppholds- og bestillingsdata

3.3 Tekniske og bruksdata

Enhetsidentifikatorer: modell, operativsystem, app-versjon
Push-varsel-token (FCM): unik identifikator administrert av Google Firebase for varselutsending
SHA-256-hash av betrodd enhet: generert lokalt for a tillate etterfoelgende biometrisk tilgang, utloper 90 dager fra siste bruk
Applikasjons- og diagnoselogger: sendes i batch til backend via RemoteLogger for stabilitets- og sikkerhetsformaal; inneholder ikke sensitive personopplysninger
IP-adresse: innsamlet av backend for sikkerhetsformaal

4. Tillatelser som kreves av appen

Tillatelse	Formaal	Obligatorisk
Kamera	Innhenting av bilder av gjesters legitimasjonsdokumenter for OCR og oversendelse til myndighetene	Valgfritt (alternativ: manuell inntasting)
Push-varsler	Mottak av varsler om nye bestillinger, innsjekk, gjesteforespoersler	Valgfritt (appen fungerer uten)
Biometrisk autentisering (Face ID / Touch ID / fingeravtrykk / Windows Hello)	Rask innlogging etter foerste autentisering med passord. Biometriske data forlater aldri enheten og blir ikke delt med Vezpa.	Valgfritt
Lagring / Filer	Lokal lagring av PDF-rapporter, fakturaer, AlloggiatiWeb-skjemaer generert av appen	Valgfritt
Internett	Kommunikasjon med Vezpa-serverne	Obligatorisk
REQUEST_INSTALL_PACKAGES (kun Android sideload)	Automatisk installasjon av oppdateringer via APK lastet ned fra Vezpa-serverne. Ikke tilstede i Google Play-versjonen.	Kreves kun for sideload-flavour

5. SDK og integrerte tjenester i appen

SDK / Tjeneste	Leverandoer	Formaal	Behandlede data
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Utsendelse av push-varsler	Enhets-token, tekniske identifikatorer
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Administrasjon av in-app-kjoep og -abonnementer	Kjoeps-token, abonnementsstatus, store-konto-ID
Stripe SDK (kun betalinger paa gjesteside)	Stripe Payments Europe Ltd	Behandling av kortbetalinger	Kortdata behandlet av Stripe, ikke overfoert til Vezpa
local_auth (biometri)	Operativsystemet (Apple / Google / Microsoft)	Lokal biometrisk opplaasing	Ingen biometriske data overfoert til Vezpa
Flutter Secure Storage	Plattform (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Lokal lagring av JWT-tokens og legitimasjon	Refresh-tokens, kryptert av operativsystemet
share_plus	Open Source	Deling av filer (PDF, rapporter) med systemapper	Filer valgt av brukeren

Vezpa integrerer ikke SDK-er for atferdsanalyse (f.eks. AppsFlyer, Mixpanel, Facebook SDK), reklame-SDK-er eller profilerings-SDK-er. Ingen tverrapp-sporing i henhold til Apple App Tracking Transparency (ATT).

6. Formaal med behandlingen

Levering av Vezpa-appens funksjoner (art. 6.1.b GDPR)
Rettslige forpliktelser knyttet til gjesteregistrering, delegert fra innkvarteringsstedet (art. 6.1.c)
Sikkerhet, svindelforebygging, tjenestens stabilitet (art. 6.1.f, berettiget interesse)
Administrasjon av abonnementer og betalinger (art. 6.1.b og 6.1.c)

Dataene brukes ikke til reklame-, profilerings- eller sporingsformaal.

7. Behandlingsmaate og sikkerhet

Overfoering via HTTPS/TLS 1.2+
Autentisering med JWT med rotasjon (access 15 min, refresh 180 dager med svarteliste)
System Secure Storage (Keychain / EncryptedSharedPreferences / DPAPI)
Valgfri 2FA TOTP
Backend-servere plassert i EU (Frankfurt) paa DigitalOcean
Applikasjonslogger overvaakes for a oppdage avvikende tilgang

8. Oppbevaring og sletting

Brukerdata oppbevares i kontraktens varighet + skatterettslige forpliktelser (10 aar for fakturering).

Brukeren kan be om sletting av kontoen via den dedikerte funksjonen i appen eller ved a skrive til Behandlingsansvarlig. Enkelte data kan oppbevares for rettslige forpliktelser (fakturering, sikkerhetslogger).

Gjestenes data (som Vezpa er Databehandler for) foelger Behandlingsansvarliges instruksjoner etter DPA.

9. Formidling av data

Dataene selges ikke og spres ikke. De kan formidles til underdatabehandlerne oppfoert paa vezpa.it/subprocessors og, begrenset til bestillingsdata, til OTA-kanaler aktivert av innkvarteringsstedet.

For data oversendt til offentlige myndigheter (politiet, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) vises det til den generelle Personvernerklaeringen.

10. Overfoering utenfor EU

Kommunikasjon med amerikanske leverandoerer som er DPF-sertifisert (Google/Firebase, Stripe, Microsoft, DigitalOcean) skjer paa grunnlag av EU-U.S. Data Privacy Framework (Beslutning (EU) 2023/1795). Apple deltar ikke i DPF: kontraktsforholdet for EU-brukere er med Apple Distribution International Ltd (Irland), og eventuelle overfoeringer til Apple Inc. (USA) reguleres av SCC 2021/914. Kommunikasjon med STAAH (channel manager) skjer paa grunnlag av EUs tilstrekkelighetsbeslutning for New Zealand (2013/65/EU). Tuya (Kina, valgfritt) er regulert av SCC 2021/914.

11. Brukerens rettigheter

I henhold til art. 15-22 GDPR kan brukeren utoeve rettigheter til innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse. Henvendelser kan sendes gjennom appen eller til [email protected].

Klager til tilsynsmyndigheten: Italiensk datatilsynsmyndighet (Garante per la Protezione dei Dati Personali). Brukere i Norge kan ogsaa henvende seg til Datatilsynet (www.datatilsynet.no).

12. Mindreaarige

Appen er utelukkende rettet mot myndige brukere (profesjonelle driftsansvarlige). Den samler ikke bevisst inn data om mindreaarige.

13. Endringer i personvernerklaeringen

Denne erklaeringen kan oppdateres. Endringene vil bli publisert paa denne siden og, hvis vesentlige, meddelt via e-post og dashbord med minst 15 dagers varsel.

PERSONVERNERKLAERING – VEZPA-APPEN