Zasady ochrany osobnych udajov

1. Prevadzkovatel

Vezpa di Paolo Vezzola
Sidlo: Via San Zeno 67, 25015 Desenzano del Garda (BS), Taliansko
DIC: 04449070988 · C.F.: VZZPLA84C10D284C
Email: [email protected] · PEC: [email protected]

2. Rozsah posobnosti

Toto oznamenie sa aplikuje na App Vezpa distribuovanu cez:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — flavour googleplay
Microsoft Store (Windows) — MSIX
Priamy sideload (APK Android, podpisany Windows installer) na pouzitie distribuovanom priamo Prevadzkovatelom

Pouzivanie aplikacie vyzaduje vytvorenie uctu specifickeho pre ubytovacie zariadenie. Aplikacia je urcena pre profesionalnych pouzivatelov starsich ako 18 rokov (prevadzkovatelia ubytovacich zariadeni a ich autorizovany personal).

3. Udaje zhromazdovane aplikaciou

3.1 Udaje pouzivatelov (Prevadzkovatelia a personal)

Identifikacne udaje: meno, priezvisko, email, telefonne cislo
Udaje ubytovacieho zariadenia
Prihlasovacie udaje (heslo hashed na strane backendu, nikdy neprenasane v otvorenej forme)
Identifikatory uctu (User ID)
Pridelena rola (riaditel, asistent, upratovacka, pozorovatel)

3.2 Udaje hosti (Vezpa vystupuje ako Sprostredkovatel)

Dolezite: udaje hosti su vlastnictvom zariadenia. Vezpa vystupuje ako Sprostredkovatel v zmysle cl. 28 GDPR, regulovane DPA.

Identifikacne a kontaktne udaje
Doklady totoznosti skenovane alebo fotografovane kamerou zariadenia, s OCR extrakciou textovych udajov pre ulahcenie registracie
Udaje pobytu a rezervacie

3.3 Technicke a pouzivatelske udaje

Identifikatory zariadenia: model, operacny system, verzia aplikacie
Push notification tokeny (FCM): unikatny identifikator spravovany Google Firebase na odosielanie notifikacii
Hash SHA-256 dovryhodneho zariadenia: vygenerovany lokalne na umoznenie nasledneho biometrickeho pristupu, platnost 90 dni od posledneho pouzitia
Aplikacne a diagnosticke logy: prenasane v davkach na backend cez RemoteLogger pre ucely stability a bezpecnosti; neobsahuju citlivy osobny obsah
IP adresa: zhromazdena backendom na bezpecnostne ucely

4. Povolenia pozadovane aplikaciou

Povolenie	Ucel	Povinne
Kamera	Ziskanie obrazov dokladov totoznosti hosti pre OCR a pre zaslanie organom	Volitelne (alternativa: manualne vkladanie)
Push notifikacie	Prijem notifikacii o novych rezervaciach, check-in, ziadostiach hosti	Volitelne (aplikacia funguje aj bez)
Biometricka autentifikacia (Face ID / Touch ID / odtlacok / Windows Hello)	Rychle prihlasenie po prvej autentifikacii s heslom. Biometricke udaje nikdy neopustia zariadenie a nie su oznamene Vezpa.	Volitelne
Archivacia / Subory	Lokalne ulozenie PDF reportov, faktur, hostovskych schedov generovanych aplikaciou	Volitelne
Internet	Komunikacia so servermi Vezpa	Povinne
REQUEST_INSTALL_PACKAGES (iba Android sideload)	Automaticka instalacia aktualizacii cez APK stiahnuty zo serverov Vezpa. Neprítomne vo verzii Google Play.	Pozadovane iba pre flavour sideload

5. SDK a sluzby integrovane v aplikacii

SDK / Sluzba	Dodavatel	Ucel	Spracuvane udaje
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Odosielanie push notifikacii	Token zariadenia, technicke identifikatory
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Sprava in-app nakupov a predplatneho	Purchase token, stav subscription, ID uctu store
Stripe SDK (iba platby pre hostovsku stranku)	Stripe Payments Europe Ltd	Spracuvanie platieb kartou	Udaje karty spravovane Stripe, neprenasane na Vezpa
local_auth (biometria)	Operacny system (Apple / Google / Microsoft)	Lokalny biometricky unlock	Ziadny biometricky udaj neprenasany na Vezpa
Flutter Secure Storage	Platforma (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Lokalne ulozenie JWT tokenov a prihlasovacich udajov	Refresh tokeny, sifrovane operacnym systemom
share_plus	Open Source	Zdielanie suborov (PDF, reporty) so systemovymi aplikaciami	Subory zvolene pouzivatelom

Vezpa neintegruje SDK pre analytiku spravania (napr. AppsFlyer, Mixpanel, Facebook SDK), reklamne SDK ani profilovacie SDK. Ziadne cross-app trackovanie v zmysle Apple App Tracking Transparency (ATT).

6. Ucel spracuvania

Poskytovanie funkcionalit App Vezpa (cl. 6.1.b GDPR)
Zakonne povinnosti tykajuce sa registracie hosti, delegovane zo zariadenia (cl. 6.1.c)
Bezpecnost, prevencia podvodov, stabilita sluzby (cl. 6.1.f, opravneny zaujem)
Sprava predplatneho a platieb (cl. 6.1.b a 6.1.c)

Udaje nie su pouzivane na reklamne, profilovacie alebo trackingove ucely.

7. Sposob spracuvania a bezpecnost

Prenos cez HTTPS/TLS 1.2+
Autentifikacia s rotujucim JWT (access 15 min, refresh 180 dni s blacklistom)
Secure Storage operacneho systemu (Keychain / EncryptedSharedPreferences / DPAPI)
Volitelne 2FA TOTP
Backend servery v EU (Frankfurt) na DigitalOcean
Aplikacne logy monitorovane na detekciu anomalneho pristupu

8. Uchovavanie a vymazanie

Udaje pouzivatelov su uchovavane po dobu zmluvy + danove povinnosti (10 rokov pre fakturaciu).

Pouzivatel moze ziadat o vymazanie uctu prostrednictvom specifickej funkcie v aplikacii alebo napisanim na Prevadzkovatela. Niektore udaje mozu byt uchovane pre zakonne povinnosti (fakturacia, bezpecnostne logy).

Udaje hosti (pre ktore je Vezpa Sprostredkovatelom) sleduju pokyny Prevadzkovatela podla toho, co reguluje DPA.

9. Oznamovanie udajov

Udaje nie su predavane ani sirene. Mozu byt oznamene dalsim sprostredkovatelom uvedenym na vezpa.it/subprocessors a, obmedzene na rezervacne udaje, OTA kanalom aktivovanym zariadenim.

Pre udaje prenasane verejnym organom (Policia, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) sa odkazuje na vseobecne Zasady ochrany osobnych udajov.

10. Prenosy mimo EU

Komunikacia s USA dodavatelmi (Apple, Google/Firebase, Stripe, Microsoft, DigitalOcean) prebieha na zaklade EU-U.S. Data Privacy Framework (Rozhodnutie EU 2023/1795). Komunikacia so STAAH (channel manager) prebieha na zaklade Rozhodnutia EU o primeranosti pre Novy Zeland (2013/65/EU). Tuya (Cina, volitelne) je regulovana SCC 2021/914.

11. Prava pouzivatela

V zmysle cl. 15-22 GDPR moze pouzivatel uplatnit prava na pristup, opravu, vymazanie, obmedzenie, prenositelnost a namietku. Ziadosti mozu byt podane prostrednictvom aplikacie alebo na [email protected].

Staznosti dozornemu organu: taliansky urad na ochranu osobnych udajov (Garante). Pouzivatelia na Slovensku sa mozu obratit aj na Urad na ochranu osobnych udajov SR (www.dataprotection.gov.sk).

12. Maloleti

Aplikacia je urcena vyhradne pre plnoletych pouzivatelov (profesionalni prevadzkovatelia). Nevedome nezhromazduje udaje maloletych.

13. Zmeny v Zasadach ochrany osobnych udajov

Toto oznamenie moze byt aktualizovane. Zmeny budu zverejnene na tejto stranke a, ak su podstatne, oznamene emailom a dashboardom s predstihom aspon 15 dni.

ZASADY OCHRANY OSOBNYCH UDAJOV – APP VEZPA