Politika zasebnosti - Aplikacija Vezpa

1. Upravljavec osebnih podatkov

Vezpa di Paolo Vezzola
Sedez: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italija
P.IVA: 04449070988 - C.F.: VZZPLA84C10D284C
E-posta: [email protected] - PEC: [email protected]

2. Podrocje uporabe

To obvestilo velja za aplikacijo Vezpa, distribuirano prek:

Apple App Store (iOS, macOS) - Bundle ID: it.vezpa.pms
Google Play Store (Android) - flavour googleplay
Microsoft Store (Windows) - MSIX
Neposredni sideload (Android APK, podpisan Windows namestitveni program), ki ga neposredno distribuira Upravljavec

Uporaba aplikacije zahteva izdelavo namenskega racuna za nastanitveni objekt. Aplikacija je namenjena profesionalnim uporabnikom, starim vec kot 18 let (upravljavci nastanitvenih objektov in njihovo pooblasceno osebje).

3. Podatki, ki jih zbira aplikacija

3.1 Podatki uporabnikov (upravljavci in osebje)

Osnovni osebni podatki: ime, priimek, e-posta, telefonska stevilka
Podatki o nastanitvenem objektu
Poverilnice (gesla hashirana na strani backenda, nikoli prenesena v jasnem besedilu)
Identifikatorji racuna (User ID)
Dodeljena vloga (direktor, pomocnik, gospodinja, opazovalec)

3.2 Podatki gostov (Vezpa deluje kot Obdelovalec)

Pomembno: podatki gostov so v lasti objekta. Vezpa deluje kot Obdelovalec v skladu z 28. clenom GDPR, urejen s DPA.

Osnovni osebni in kontaktni podatki
Osebni dokumenti, skenirani ali fotografirani s kamero naprave, z OCR izvajanjem tekstovnih podatkov za lazjo prijavo
Podatki o bivanju in rezervaciji

3.3 Tehnicni in uporabniski podatki

Identifikatorji naprave: model, operacijski sistem, razlicica aplikacije
Zeton push obvestil (FCM): enolicni identifikator, ki ga upravlja Google Firebase za posiljanje obvestil
Hash SHA-256 zaupanja vredne naprave: ustvarjen lokalno za omogocanje naslednjega biometricnega dostopa, poteceo 90 dni od zadnje uporabe
Dnevniki aplikacije in diagnostike: prenaseni v paketih na backend prek RemoteLogger za stabilnost in varnost; ne vsebujejo obcutljivih osebnih vsebin
IP naslov: zbran s strani backenda za varnostne namene

4. Dovoljenja, ki jih zahteva aplikacija

Dovoljenje	Namen	Obvezno
Kamera	Zajem slik osebnih dokumentov gostov za OCR in posiljanje organom	Neobvezno (alternativa: rocni vnos)
Push obvestila	Prejemanje obvestil o novih rezervacijah, prijavah, zahtevkih gostov	Neobvezno (aplikacija deluje brez)
Biometricna avtentikacija (Face ID / Touch ID / prstni odtis / Windows Hello)	Hitra prijava po prvi avtentikaciji z geslom. Biometricni podatki nikoli ne zapustijo naprave in se ne sporocajo Vezpi.	Neobvezno
Shramba / Datoteke	Lokalno shranjevanje PDF porocil, racunov, prijavnih obrazcev, ki jih generira aplikacija	Neobvezno
Internet	Komunikacija s strezniki Vezpa	Obvezno
REQUEST_INSTALL_PACKAGES (samo Android sideload)	Samodejna namestitev posodobitev prek APK, prenesenih s streznikov Vezpa. Ni prisotno v razlicici Google Play.	Potrebno samo za flavour sideload

5. SDK in storitve, integrirane v aplikacijo

SDK / Storitev	Ponudnik	Namen	Obdelani podatki
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Posiljanje push obvestil	Zeton naprave, tehnicni identifikatorji
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Upravljanje nakupov in narocnin v aplikaciji	Zeton nakupa, stanje narocnine, ID racuna trgovine
Stripe SDK (samo placila na strani gosta)	Stripe Payments Europe Ltd	Obdelava placil s kartico	Podatki o kartici upravlja Stripe, niso preneseni Vezpi
local_auth (biometrija)	Operacijski sistem (Apple / Google / Microsoft)	Lokalno biometricno odklepanje	Noben biometricni podatek ni prenesen Vezpi
Flutter Secure Storage	Platforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Lokalna hramba JWT zetonov in poverilnic	Refresh zetoni, sifrirani s strani operacijskega sistema
share_plus	Odprtokodno	Deljenje datotek (PDF, porocila) z aplikacijami sistema	Datoteke, ki jih izbere uporabnik

Vezpa ne integrira SDK za vedenjske analitike (npr. AppsFlyer, Mixpanel, Facebook SDK), oglasevalskih SDK ali SDK za profiliranje. Nobenega navzkriznega sledenja med aplikacijami v skladu z Apple App Tracking Transparency (ATT).

6. Nameni obdelave

Zagotavljanje funkcionalnosti aplikacije Vezpa (cl. 6.1.b GDPR)
Zakonske obveznosti v zvezi s prijavo gostov, prenesene s strani objekta (cl. 6.1.c)
Varnost, preprecevanje goljufij, stabilnost storitve (cl. 6.1.f, zakoniti interes)
Upravljanje narocnin in placil (cl. 6.1.b in 6.1.c)

Podatki niso uporabljeni za oglasevalne, profilirne ali sledilne namene.

7. Nacin obdelave in varnost

Prenos prek HTTPS/TLS 1.2+
Avtentikacija z JWT z rotacijo (access 15 min, refresh 180 dni s crno listo)
Secure Storage sistema (Keychain / EncryptedSharedPreferences / DPAPI)
Neobvezno 2FA TOTP
Strezniki backenda v EU (Frankfurt) na DigitalOcean
Aplikacijski dnevniki spremljani za zaznavanje anomaliskih dostopov

8. Hramba in izbris

Podatki uporabnikov se hranijo za trajanje pogodbe + davcne obveznosti (10 let za izdajo racunov).

Uporabnik lahko zahteva izbris racuna prek namenske funkcije v aplikaciji ali tako, da pise Upravljavcu. Nekatere podatke bo morda treba hraniti zaradi zakonskih obveznosti (izdaja racunov, varnostni dnevniki).

Podatki gostov (za katere je Vezpa Obdelovalec) sledijo navodilom Upravljavca v skladu s DPA.

9. Sporocanje podatkov

Podatki se ne prodajajo niti ne razsirjajo. Lahko se sporocajo dodatnim obdelovalcem, navedenim na vezpa.it/subprocessors, in omejeno na podatke o rezervaciji, OTA kanalom, ki jih je aktiviral objekt.

Za podatke, posredovane javnim organom (Policija, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem), glejte splosno Politiko zasebnosti.

10. Prenosi izven EU

Komunikacije s ponudniki iz ZDA (Apple, Google/Firebase, Stripe, Microsoft, DigitalOcean) potekajo na podlagi EU-U.S. Data Privacy Framework (Sklep EU 2023/1795). Komunikacije s STAAH (channel manager) potekajo na podlagi sklepa EU o ustreznosti za Novo Zelandijo (2013/65/EU). Tuya (Kitajska, neobvezno) je urejen z SCC 2021/914.

11. Pravice uporabnika

V skladu s cl. 15-22 GDPR lahko uporabnik uveljavlja pravice do dostopa, popravka, izbrisa, omejitve, prenosljivosti in ugovora. Zahtevke lahko posljete prek aplikacije ali na [email protected].

Pritozbe nadzornemu organu: italijanski organ za varstvo podatkov (Garante). Uporabniki v Sloveniji se lahko obrnejo tudi na Informacijskega pooblascenca (www.ip-rs.si).

12. Mladoletniki

Aplikacija je namenjena izkljucno polnoletnim uporabnikom (profesionalni upravljavci). Zavestno ne zbira podatkov mladoletnikov.

13. Spremembe politike zasebnosti

To obvestilo se lahko posodobi. Spremembe bodo objavljene na tej strani in, ce so bistvene, sporocene po e-posti in nadzorni plosci vsaj 15 dni vnaprej.

POLITIKA ZASEBNOSTI - APLIKACIJA VEZPA