Polityka prywatnosci - Aplikacja Vezpa

1. Administrator danych

Vezpa di Paolo Vezzola
Siedziba: Via San Zeno 67, 25015 Desenzano del Garda (BS), Wlochy
NIP (P.IVA): 04449070988 · Kod podatkowy (C.F.): VZZPLA84C10D284C
Email: [email protected] · PEC: [email protected]

2. Zakres zastosowania

Niniejsza informacja ma zastosowanie do Aplikacji Vezpa dystrybuowanej za posrednictwem:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Sideload bezposredni (APK Android, podpisany installer Windows) do uzytku dystrybuowanego bezposrednio przez Administratora

Korzystanie z aplikacji wymaga utworzenia konta dedykowanego dla obiektu noclegowego. Aplikacja jest skierowana do uzytkownikow profesjonalnych powyzej 18 roku zycia (zarzadcy obiektow noclegowych i ich upowazniony personel).

3. Dane zbierane przez aplikacje

3.1 Dane uzytkownikow (zarzadcy i personel)

Dane osobowe: imie, nazwisko, email, numer telefonu
Dane obiektu noclegowego
Dane uwierzytelniajace (haslo haszowane po stronie backendu, nigdy przekazywane w postaci jawnej)
Identyfikatory konta (User ID)
Przypisana rola (dyrektor, asystent, pokojowa, obserwator)

3.2 Dane gosci (Vezpa dziala jako Podmiot przetwarzajacy)

Wazne: dane gosci sa wlasnoscia obiektu. Vezpa dziala jako Podmiot przetwarzajacy w rozumieniu art. 28 RODO, regulowany przez DPA.

Dane osobowe i kontaktowe
Dokumenty tozsamosci skanowane lub fotografowane za pomoca aparatu urzadzenia, z ekstrakcja OCR danych tekstowych w celu ulatwienia rejestracji
Dane pobytu i rezerwacji

3.3 Dane techniczne i uzytkowania

Identyfikatory urzadzenia: model, system operacyjny, wersja aplikacji
Token powiadomien push (FCM): unikalny identyfikator zarzadzany przez Google Firebase do wysylania powiadomien
Hash SHA-256 zaufanego urzadzenia: generowany lokalnie w celu umozliwienia pozniejszego dostepu biometrycznego, wygasa 90 dni od ostatniego uzycia
Logi aplikacyjne i diagnostyczne: przekazywane partiami do backendu przez RemoteLogger do celow stabilnosci i bezpieczenstwa; nie zawieraja wrazliwych tresci osobowych
Adres IP: zbierany przez backend do celow bezpieczenstwa

4. Uprawnienia wymagane przez aplikacje

Uprawnienie	Cel	Obowiazkowe
Aparat	Pozyskiwanie obrazow dokumentow tozsamosci gosci do OCR i wysylki do organow	Opcjonalne (alternatywa: wprowadzanie reczne)
Powiadomienia push	Odbior powiadomien o nowych rezerwacjach, zameldowaniach, zadaniach gosci	Opcjonalne (aplikacja dziala bez tego)
Uwierzytelnianie biometryczne (Face ID / Touch ID / odcisk palca / Windows Hello)	Szybkie logowanie po pierwszym uwierzytelnieniu haslem. Dane biometryczne nigdy nie opuszczaja urzadzenia i nie sa przekazywane do Vezpa.	Opcjonalne
Archiwizacja / Pliki	Lokalne zapisywanie raportow PDF, faktur, zgloszen Alloggiati generowanych przez aplikacje	Opcjonalne
Internet	Komunikacja z serwerami Vezpa	Obowiazkowe
REQUEST_INSTALL_PACKAGES (tylko Android sideload)	Automatyczna instalacja aktualizacji przez APK pobrany z serwerow Vezpa. Nie wystepuje w wersji Google Play.	Wymagane wylacznie dla flavour sideload

5. SDK i uslugi zintegrowane w aplikacji

SDK / Usluga	Dostawca	Cel	Przetwarzane dane
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Wysylka powiadomien push	Token urzadzenia, identyfikatory techniczne
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Zarzadzanie zakupami i subskrypcjami w aplikacji	Token zakupu, stan subskrypcji, ID konta store
Stripe SDK (wylacznie platnosci strona gosci)	Stripe Payments Europe Ltd	Przetwarzanie platnosci karta	Dane karty obslugiwane przez Stripe, nieprzekazywane do Vezpa
local_auth (biometria)	System operacyjny (Apple / Google / Microsoft)	Odblokowanie biometryczne lokalne	Zadne dane biometryczne nie sa przekazywane do Vezpa
Flutter Secure Storage	Platforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Lokalne przechowywanie tokenow JWT i danych uwierzytelniajacych	Token refresh, szyfrowany przez system operacyjny
share_plus	Open Source	Udostepnianie plikow (PDF, raporty) aplikacjom systemowym	Pliki wybrane przez uzytkownika

Vezpa nie integruje SDK analityki zachowan (np. AppsFlyer, Mixpanel, Facebook SDK), SDK reklamowych ani SDK profilowania. Zadne sledzenie cross-app zgodnie z Apple App Tracking Transparency (ATT).

6. Cele przetwarzania

Swiadczenie funkcjonalnosci aplikacji Vezpa (art. 6 ust. 1 lit. b RODO)
Wypelnianie obowiazkow prawnych dotyczacych rejestracji gosci, delegowanych przez obiekt (art. 6 ust. 1 lit. c)
Bezpieczenstwo, zapobieganie oszustwom, stabilnosc uslugi (art. 6 ust. 1 lit. f, prawnie uzasadniony interes)
Zarzadzanie subskrypcjami i platnosciami (art. 6 ust. 1 lit. b i lit. c)

Dane nie sa wykorzystywane do celow reklamowych, profilowania ani sledzenia.

7. Sposob przetwarzania i bezpieczenstwo

Transmisja przez HTTPS/TLS 1.2+
Uwierzytelnianie z rotacja JWT (access 15 min, refresh 180 dni z czarna lista)
Secure Storage systemu (Keychain / EncryptedSharedPreferences / DPAPI)
Opcjonalne 2FA TOTP
Serwery backend zlokalizowane w UE (Frankfurt) na DigitalOcean
Logi aplikacyjne monitorowane w celu wykrywania nietypowych dostepow

8. Przechowywanie i usuwanie

Dane uzytkownikow sa przechowywane przez okres trwania umowy + obowiazki podatkowe (10 lat dla fakturowania).

Uzytkownik moze zazadac usuniecia konta poprzez dedykowana funkcje w aplikacji lub pisemnie do Administratora. Niektore dane moga byc przechowywane ze wzgledu na obowiazki prawne (fakturowanie, logi bezpieczenstwa).

Dane gosci (dla ktorych Vezpa jest Podmiotem przetwarzajacym) podlegaja instrukcjom Administratora zgodnie z regulacja DPA.

9. Udostepnianie danych

Dane nie sa sprzedawane ani udostepniane publicznie. Moga byc przekazywane dalszym podmiotom przetwarzajacym wymienionym na vezpa.it/subprocessors, a w zakresie danych rezerwacji — kanalom OTA aktywowanym przez obiekt.

W odniesieniu do danych przekazywanych organom publicznym (Policja, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) odsylamy do ogolnej Polityki prywatnosci.

10. Przekazywanie poza UE

Komunikacja z dostawcami z USA certyfikowanymi DPF (Google/Firebase, Stripe, Microsoft, DigitalOcean) odbywa sie na podstawie EU-U.S. Data Privacy Framework (Decyzja (UE) 2023/1795). Apple nie przystepuje do DPF: relacja umowna dla uzytkownikow UE jest z Apple Distribution International Ltd (Irlandia), a ewentualne przekazywanie do Apple Inc. (USA) jest regulowane przez SCC 2021/914. Komunikacja ze STAAH (channel manager) odbywa sie na podstawie Decyzji o adekwatnosci UE dla Nowej Zelandii (2013/65/UE). Tuya (Chiny, opcjonalnie) jest regulowana przez SCC 2021/914.

11. Prawa uzytkownika

Zgodnie z art. 15-22 RODO uzytkownik moze wykonywac prawa dostepu, sprostowania, usuniecia, ograniczenia, przenoszenia i sprzeciwu. Wnioski mozna przesylac za posrednictwem aplikacji lub na [email protected].

Skargi do organu nadzorczego: wloski organ ochrony danych (Garante). Uzytkownicy w Polsce moga rowniez zwrocic sie do Prezesa Urzedu Ochrony Danych Osobowych - UODO (www.uodo.gov.pl).

12. Maloletni

Aplikacja jest skierowana wylacznie do uzytkownikow pelnoletnich (zarzadcow profesjonalnych). Nie zbiera swiadomie danych maloletnich.

13. Zmiany Polityki prywatnosci

Niniejsza informacja moze byc aktualizowana. Zmiany beda publikowane na tej stronie, a w przypadku istotnych zmian komunikowane emailem i w panelu sterowania z co najmniej 15-dniowym wyprzedzeniem.

POLITYKA PRYWATNOSCI – APLIKACJA VEZPA