Maytabi — Data Processing Agreement (DPA)

Maytabi acts as processor for the personal data a team enters about its crew; the team is the controller. This DPA forms part of the Terms. Effective date: 28 June 2026.

1. Roles & scope

The Customer (team) is the controller; Maytabi, operated by its founder, is the processor (contact hello@travelcoordination.com). Maytabi processes personal data only to provide the service and only on the Customer's documented instructions (the Terms, the product configuration, and any written instruction). Maytabi is controller for account/ billing data (covered by the Privacy Policy).

2. Subject-matter, duration, nature & purpose

• Subject-matter / purpose: coordinating team travel (flight matching, grouping, cars, accommodation, validation).
• Duration: for the term of the Customer's licence and until data is deleted.
• Categories of data subjects: the Customer's crew/travellers and staff.
• Categories of personal data: name, date of birth, passport / national-ID / driving-licence number and expiry, home airport(s), role, preferences, notes, booking references; uploaded confirmation files.
• Special-category data: none required by the service. Customers should not enter special-category data in free-text fields.

3. Maytabi's obligations

1. Process only on documented instructions; notify the Customer if an instruction appears unlawful.
2. Ensure persons authorised to process are bound by confidentiality.
3. Implement appropriate technical & organisational measures (Annex A), including AES-256 encryption at rest for passport/ID/licence numbers, DOB and booking references; EU-jurisdiction storage for confirmation files; role-based access; audited admin actions; and no AI/LLM processing of personal data (travel plans are produced by deterministic software; no personal data is sent to any AI).
4. Engage sub-processors only under written terms no less protective than this DPA, and maintain a current sub-processor list (Annex B); give the Customer notice of changes and a right to object.
5. Assist the Customer, taking into account the nature of processing, with data-subject requests and with security, breach-notification and DPIA obligations.
6. Notify the Customer without undue delay after becoming aware of a personal-data breach.
7. At the Customer's choice, delete or return all personal data at the end of the service, and delete existing copies (save where legally required to retain). The product provides one-click export and erasure to effect this.
8. Make available information necessary to demonstrate compliance and allow for audits. On reasonable written request (no more than once per year, with at least 30 days' notice), Maytabi will provide the Customer with the information reasonably necessary to demonstrate compliance with this DPA. Where the Customer reasonably requires further audit, this may be satisfied by Maytabi providing existing documentation or a written response to a security questionnaire; any on-site audit is by prior written agreement, at the Customer's cost, during business hours, and without disrupting the service.

4. International transfers

Where processing occurs outside the EEA, transfers rely on an adequacy decision or the EU Standard Contractual Clauses. No personal data is sent to any AI service.

5. Honest statement on storage location

The application database (Cloudflare KV) is globally replicated and not region-restricted; Maytabi mitigates this by encrypting sensitive personal data at rest so that replicated bytes are unreadable without the key. Confirmation files use EU-jurisdiction storage. Customers whose own obligations require strict data residency should contact us to discuss options.

---

Annex A — Technical & organisational measures

Encryption at rest (AES-256-GCM) for sensitive identifiers, DOB and PNRs · EU-jurisdiction file storage · per-team data isolation · role-based access control · audited admin/"view-as" actions · no AI/LLM in the processing path (no personal data sent to any AI) · secret-managed keys, never stored with the data · least-data collection · export & erasure tooling.

Annex B — Sub-processors

Cloudflare (hosting/KV/R2-EU — sensitive fields encrypted) · LetsFG (flight search — route+date only) · AeroDataBox (schedule — route+date+flight numbers) · Resend (email — address only). Current list on request. No AI/LLM provider is used — flight matching is deterministic software.

Maytabi — Acuerdo de Tratamiento de Datos (DPA)

Maytabi actúa como encargado del tratamiento de los datos personales que un equipo introduce sobre su personal; el equipo es el responsable del tratamiento. Este DPA forma parte de los Términos. Fecha de entrada en vigor: 28 de junio de 2026.

1. Roles y ámbito

El Cliente (equipo) es el responsable del tratamiento; Maytabi, gestionado por su fundador, es el encargado del tratamiento (contacto hello@travelcoordination.com). Maytabi trata los datos personales únicamente para prestar el servicio y solo siguiendo las instrucciones documentadas del Cliente (los Términos, la configuración del producto y cualquier instrucción por escrito). Maytabi es responsable de los datos de cuenta/facturación (cubiertos por la Política de Privacidad).

2. Objeto, duración, naturaleza y finalidad

• Objeto / finalidad: coordinación de los viajes del equipo (emparejamiento de vuelos, agrupación, coches, alojamiento, validación).
• Duración: durante la vigencia de la licencia del Cliente y hasta que se eliminen los datos.
• Categorías de interesados: el personal/viajeros y empleados del Cliente.
• Categorías de datos personales: nombre, fecha de nacimiento, número y caducidad de pasaporte / DNI / permiso de conducir, aeropuerto(s) de origen, rol, preferencias, notas, localizaciones de reserva; archivos de confirmación subidos.
• Categorías especiales de datos: ninguna requerida por el servicio. Los Clientes no deben introducir datos de categorías especiales en los campos de texto libre.

3. Obligaciones de Maytabi

1. Tratar únicamente siguiendo instrucciones documentadas; notificar al Cliente si una instrucción parece ilícita.
2. Garantizar que las personas autorizadas a tratar los datos estén sujetas a confidencialidad.
3. Aplicar medidas técnicas y organizativas apropiadas (Anexo A), incluido el cifrado AES-256 en reposo de los números de pasaporte/DNI/permiso de conducir, fecha de nacimiento y localizaciones de reserva; almacenamiento con jurisdicción de la UE para los archivos de confirmación; control de acceso por roles; acciones de administración auditadas; y ningún tratamiento de datos personales por IA/LLM (los planes de viaje se generan mediante software determinista; ningún dato personal se envía a IA alguna).
4. Recurrir a subencargados únicamente con condiciones escritas no menos protectoras que este DPA, y mantener una lista actualizada de subencargados (Anexo B); avisar al Cliente de los cambios y de su derecho de oposición.
5. Asistir al Cliente, teniendo en cuenta la naturaleza del tratamiento, con las solicitudes de los interesados y con las obligaciones de seguridad, notificación de violaciones y evaluaciones de impacto.
6. Notificar al Cliente sin dilación indebida tras tener conocimiento de una violación de datos personales.
7. A elección del Cliente, suprimir o devolver todos los datos personales al finalizar el servicio y eliminar las copias existentes (salvo obligación legal de conservación). El producto ofrece exportación y borrado con un clic para ello.
8. Poner a disposición la información necesaria para demostrar el cumplimiento y permitir auditorías. Previa solicitud razonable por escrito (no más de una vez al año, con al menos 30 días de preaviso), Maytabi facilitará al Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA. Cuando el Cliente requiera razonablemente una auditoría adicional, esta podrá satisfacerse mediante la entrega por Maytabi de la documentación existente o una respuesta por escrito a un cuestionario de seguridad; cualquier auditoría in situ se realizará previo acuerdo por escrito, a costa del Cliente, en horario laboral y sin perturbar el servicio.

4. Transferencias internacionales

Cuando el tratamiento se realice fuera del EEE, las transferencias se basarán en una decisión de adecuación o en las Cláusulas Contractuales Tipo de la UE. Ningún dato personal se envía a ningún servicio de IA.

5. Declaración honesta sobre la ubicación del almacenamiento

La base de datos de aplicación (Cloudflare KV) está replicada globalmente y no está restringida por región; Maytabi lo mitiga cifrando los datos personales sensibles en reposo, de modo que los bytes replicados sean ilegibles sin la clave. Los archivos de confirmación usan almacenamiento con jurisdicción de la UE. Los Clientes cuyas obligaciones exijan una localización estricta de datos pueden contactarnos para analizar las opciones.

---

Anexo A — Medidas técnicas y organizativas

Cifrado en reposo (AES-256-GCM) de identificadores sensibles, fecha de nacimiento y PNR · almacenamiento de archivos con jurisdicción de la UE · aislamiento de datos por equipo · control de acceso por roles · acciones de administración/«ver como» auditadas · sin IA/LLM en la cadena de tratamiento (ningún dato personal se envía a IA) · claves gestionadas como secretos, nunca almacenadas con los datos · recogida de datos mínima · herramientas de exportación y borrado.

Anexo B — Subencargados

Cloudflare (alojamiento/KV/R2-UE — campos sensibles cifrados) · LetsFG (búsqueda de vuelos — solo ruta y fecha) · AeroDataBox (horarios — ruta+fecha+números de vuelo) · Resend (correo — solo dirección). Lista actualizada bajo petición. No se usa ningún proveedor de IA/LLM — el emparejamiento de vuelos es software determinista.

Maytabi — Accordo sul Trattamento dei Dati (DPA)

Maytabi agisce come responsabile del trattamento dei dati personali che un team inserisce sul proprio personale; il team è il titolare del trattamento. Questo DPA forma parte dei Termini. Data di entrata in vigore: 28 giugno 2026.

1. Ruoli e ambito

Il Cliente (team) è il titolare del trattamento; Maytabi, gestito dal suo fondatore, è il responsabile del trattamento (contatto hello@travelcoordination.com). Maytabi tratta i dati personali solo per fornire il servizio e solo secondo le istruzioni documentate del Cliente (i Termini, la configurazione del prodotto e qualsiasi istruzione scritta). Maytabi è titolare dei dati di account/fatturazione (coperti dall'Informativa sulla Privacy).

2. Oggetto, durata, natura e finalità

• Oggetto / finalità: coordinamento dei viaggi del team (abbinamento voli, raggruppamento, auto, alloggio, validazione).
• Durata: per la durata della licenza del Cliente e fino alla cancellazione dei dati.
• Categorie di interessati: il personale/viaggiatori e i dipendenti del Cliente.
• Categorie di dati personali: nome, data di nascita, numero e scadenza di passaporto / carta d'identità / patente, aeroporto/i di origine, ruolo, preferenze, note, codici di prenotazione; file di conferma caricati.
• Categorie particolari di dati: nessuna richiesta dal servizio. I Clienti non devono inserire dati di categorie particolari nei campi a testo libero.

3. Obblighi di Maytabi

1. Trattare solo secondo istruzioni documentate; notificare al Cliente se un'istruzione appare illecita.
2. Garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza.
3. Attuare misure tecniche e organizzative appropriate (Allegato A), inclusa la cifratura AES-256 a riposo di numeri di passaporto/carta d'identità/patente, data di nascita e codici di prenotazione; archiviazione in giurisdizione UE per i file di conferma; controllo di accesso per ruoli; azioni amministrative auditate; e nessun trattamento di dati personali tramite IA/LLM (i piani di viaggio sono generati da software deterministico; nessun dato personale è inviato ad alcuna IA).
4. Avvalersi di sub-responsabili solo con condizioni scritte non meno protettive del presente DPA, e mantenere un elenco aggiornato dei sub-responsabili (Allegato B); informare il Cliente delle modifiche e del diritto di opposizione.
5. Assistere il Cliente, tenuto conto della natura del trattamento, con le richieste degli interessati e con gli obblighi di sicurezza, notifica delle violazioni e valutazioni d'impatto.
6. Notificare al Cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione di dati personali.
7. A scelta del Cliente, cancellare o restituire tutti i dati personali al termine del servizio ed eliminare le copie esistenti (salvo obbligo legale di conservazione). Il prodotto fornisce esportazione e cancellazione con un clic a tal fine.
8. Mettere a disposizione le informazioni necessarie a dimostrare la conformità e consentire audit. Su ragionevole richiesta scritta (non più di una volta all'anno, con almeno 30 giorni di preavviso), Maytabi fornirà al Cliente le informazioni ragionevolmente necessarie a dimostrare la conformità al presente DPA. Qualora il Cliente richieda ragionevolmente un ulteriore audit, ciò potrà essere soddisfatto mediante la messa a disposizione da parte di Maytabi della documentazione esistente o di una risposta scritta a un questionario di sicurezza; qualsiasi audit in loco è soggetto a previo accordo scritto, a spese del Cliente, durante l'orario lavorativo e senza interrompere il servizio.

4. Trasferimenti internazionali

Quando il trattamento avviene fuori dal SEE, i trasferimenti si basano su una decisione di adeguatezza o sulle Clausole Contrattuali Standard dell'UE. Nessun dato personale è inviato ad alcun servizio di IA.

5. Dichiarazione onesta sull'ubicazione dell'archiviazione

Il database applicativo (Cloudflare KV) è replicato a livello globale e non è limitato per regione; Maytabi lo mitiga cifrando i dati personali sensibili a riposo, così che i byte replicati siano illeggibili senza la chiave. I file di conferma usano archiviazione in giurisdizione UE. I Clienti i cui obblighi richiedano una residenza rigorosa dei dati possono contattarci per discutere le opzioni.

---

Allegato A — Misure tecniche e organizzative

Cifratura a riposo (AES-256-GCM) di identificativi sensibili, data di nascita e PNR · archiviazione file in giurisdizione UE · isolamento dei dati per team · controllo di accesso per ruoli · azioni amministrative/ «visualizza come» auditate · nessuna IA/LLM nella catena di trattamento (nessun dato personale inviato ad alcuna IA) · chiavi gestite come segreti, mai archiviate con i dati · raccolta minima dei dati · strumenti di esportazione e cancellazione.

Allegato B — Sub-responsabili

Cloudflare (hosting/KV/R2-UE — campi sensibili cifrati) · LetsFG (ricerca voli — solo rotta e data) · AeroDataBox (orari — rotta+data+numeri di volo) · Resend (e-mail — solo indirizzo). Elenco aggiornato su richiesta. Non viene usato alcun fornitore di IA/LLM — l'abbinamento dei voli è software deterministico.

Maytabi — Accord de Traitement des Données (DPA)

Maytabi agit comme sous-traitant des données personnelles qu'une équipe saisit au sujet de son personnel ; l'équipe est le responsable du traitement. Le présent DPA fait partie des Conditions Générales. Date d'entrée en vigueur : 28 juin 2026.

1. Rôles et périmètre

Le Client (équipe) est le responsable du traitement ; Maytabi, exploité par son fondateur, est le sous-traitant (contact hello@travelcoordination.com). Maytabi ne traite les données personnelles que pour fournir le service et uniquement selon les instructions documentées du Client (les Conditions Générales, la configuration du produit et toute instruction écrite). Maytabi est responsable du traitement des données de compte/facturation (couvertes par la Politique de Confidentialité).

2. Objet, durée, nature et finalité

• Objet / finalité : coordination des voyages de l'équipe (appariement des vols, regroupement, voitures, hébergement, validation).
• Durée : pendant la durée de la licence du Client et jusqu'à la suppression des données.
• Catégories de personnes concernées : le personnel/les voyageurs et les salariés du Client.
• Catégories de données personnelles : nom, date de naissance, numéro et expiration de passeport / carte d'identité / permis de conduire, aéroport(s) de départ, rôle, préférences, notes, références de réservation ; fichiers de confirmation téléversés.
• Catégories particulières de données : aucune requise par le service. Les Clients ne doivent pas saisir de données de catégories particulières dans les champs en texte libre.

3. Obligations de Maytabi

1. Ne traiter que sur instructions documentées ; informer le Client si une instruction paraît illicite.
2. Veiller à ce que les personnes autorisées à traiter soient soumises à la confidentialité.
3. Mettre en œuvre des mesures techniques et organisationnelles appropriées (Annexe A), y compris le chiffrement AES-256 au repos des numéros de passeport/carte d'identité/permis, date de naissance et références de réservation ; un stockage sous juridiction de l'UE pour les fichiers de confirmation ; un contrôle d'accès par rôle ; des actions d'administration auditées ; et aucun traitement de données personnelles par IA/LLM (les plans de voyage sont produits par un logiciel déterministe ; aucune donnée personnelle n'est envoyée à une IA).
4. Ne recourir à des sous-traitants ultérieurs que sous des conditions écrites au moins aussi protectrices que le présent DPA, et tenir une liste à jour des sous-traitants (Annexe B) ; informer le Client des changements et de son droit d'opposition.
5. Aider le Client, compte tenu de la nature du traitement, pour les demandes des personnes concernées et pour les obligations de sécurité, de notification des violations et d'analyses d'impact.
6. Notifier le Client sans retard injustifié après avoir eu connaissance d'une violation de données personnelles.
7. Au choix du Client, supprimer ou restituer toutes les données personnelles à la fin du service et supprimer les copies existantes (sauf obligation légale de conservation). Le produit fournit l'exportation et l'effacement en un clic à cette fin.
8. Mettre à disposition les informations nécessaires pour démontrer la conformité et permettre des audits. Sur demande écrite raisonnable (au plus une fois par an, avec un préavis d'au moins 30 jours), Maytabi fournira au Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA. Lorsque le Client requiert raisonnablement un audit complémentaire, celui-ci peut être satisfait par la fourniture par Maytabi de la documentation existante ou d'une réponse écrite à un questionnaire de sécurité ; tout audit sur site est soumis à un accord écrit préalable, aux frais du Client, pendant les heures ouvrables et sans perturber le service.

4. Transferts internationaux

Lorsque le traitement a lieu hors de l'EEE, les transferts reposent sur une décision d'adéquation ou sur les Clauses Contractuelles Types de l'UE. Aucune donnée personnelle n'est envoyée à un quelconque service d'IA.

5. Déclaration honnête sur la localisation du stockage

La base de données applicative (Cloudflare KV) est répliquée mondialement et n'est pas restreinte par région ; Maytabi atténue cela en chiffrant les données personnelles sensibles au repos, de sorte que les octets répliqués soient illisibles sans la clé. Les fichiers de confirmation utilisent un stockage sous juridiction de l'UE. Les Clients dont les obligations exigent une résidence stricte des données peuvent nous contacter pour examiner les options.

---

Annexe A — Mesures techniques et organisationnelles

Chiffrement au repos (AES-256-GCM) des identifiants sensibles, de la date de naissance et des PNR · stockage des fichiers sous juridiction de l'UE · cloisonnement des données par équipe · contrôle d'accès par rôle · actions d'administration/« voir en tant que » auditées · aucune IA/LLM dans la chaîne de traitement (aucune donnée personnelle envoyée à une IA) · clés gérées comme des secrets, jamais stockées avec les données · collecte minimale des données · outils d'exportation et d'effacement.

Annexe B — Sous-traitants ultérieurs

Cloudflare (hébergement/KV/R2-UE — champs sensibles chiffrés) · LetsFG (recherche de vols — trajet et date uniquement) · AeroDataBox (horaires — trajet+date+numéros de vol) · Resend (e-mail — adresse uniquement). Liste à jour sur demande. Aucun fournisseur d'IA/LLM n'est utilisé — l'appariement des vols est un logiciel déterministe.

Maytabi — データ処理契約（DPA）

Maytabi は、チームが自社スタッフについて入力する個人データの処理者（データ処理者）として行為し、 チームが管理者（データ管理者）となります。本 DPA は利用規約の一部を構成 します。発効日：2026年6月28日。

1. 役割および範囲

顧客（チーム）が管理者であり、Maytabi（創業者が運営）が処理者です（お問い合わせ： hello@travelcoordination.com）。Maytabi は、サービス提供のためにのみ、かつ顧客の文書化された指示（本規約、 製品設定、書面による指示）に従ってのみ、個人データを処理します。Maytabi は、アカウント／請求データについては 管理者となります（プライバシーポリシーで扱います）。

2. 対象、期間、性質および目的

• 対象／目的： チームの旅行調整（フライトのマッチング、グループ編成、車、宿泊、検証）。
• 期間： 顧客のライセンス期間中およびデータが削除されるまで。
• データ主体のカテゴリー： 顧客のスタッフ／旅行者および従業員。
• 個人データのカテゴリー： 氏名、生年月日、パスポート／身分証明書／運転免許証の番号および有効期限、出発 空港、役割、希望、メモ、予約照会番号、アップロードされた確認ファイル。
• 特別カテゴリーのデータ： 本サービスでは不要です。顧客は、自由記述フィールドに特別カテゴリーのデータを 入力しないでください。

3. Maytabi の義務

1. 文書化された指示に従ってのみ処理し、指示が違法と思われる場合は顧客に通知すること。
2. 処理を行う権限を有する者が秘密保持義務を負うことを確保すること。
3. 適切な技術的および組織的措置（附属書 A）を講じること。これには、パスポート／身分証明書／運転免許証番号、 生年月日、予約照会番号の保存時 AES-256 暗号化、確認ファイルのEU 管轄での保存、役割ベースのアクセス 制御、監査される管理操作、および AI／LLM による個人データ処理を行わないこと（旅行プランは決定論的 ソフトウェアで生成され、個人データは AI に一切送信されません）を含みます。
4. 本 DPA と同等以上の保護を定める書面による条件の下でのみ再処理者を起用し、最新の再処理者リスト（附属書 B）を 維持すること。変更および異議申立権について顧客に通知すること。
5. 処理の性質を考慮し、データ主体の請求ならびにセキュリティ、侵害通知および影響評価（DPIA）の義務について顧客 を支援すること。
6. 個人データ侵害を認識した後、不当な遅滞なく顧客に通知すること。
7. 顧客の選択により、サービス終了時にすべての個人データを削除または返却し、既存の複製を削除すること（法律で 保持が要求される場合を除く）。製品は、これを実行するためのワンクリックのエクスポートおよび消去機能を 提供します。
8. 遵守を実証するために必要な情報を提供し、監査を可能にすること。合理的な書面による請求（年 1 回を上限とし、 30 日以上前の予告を伴う）に応じて、Maytabi は、本 DPA の遵守を実証するために合理的に必要な情報を顧客に提供 します。顧客が合理的にさらなる監査を必要とする場合、Maytabi が既存の文書またはセキュリティ質問票への書面に よる回答を提供することによって、これを満たすことができます。現地監査は、事前の書面による合意により、顧客の 費用負担で、営業時間内に、本サービスを妨げない範囲で行うものとします。

4. 国際移転

処理が EEA 外で行われる場合、移転は十分性認定または EU 標準契約条項（SCC）に依拠します。個人データが いかなる AI サービスにも送信されることはありません。

5. 保存場所に関する誠実な記述

アプリケーションデータベース（Cloudflare KV）はグローバルに複製され、地域制限はされていません。Maytabi は、 機微な個人データを保存時に暗号化することでこれを緩和し、複製されたバイトが鍵なしでは判読できないように します。確認ファイルは EU 管轄のストレージを使用します。厳格なデータ所在地が義務付けられる顧客は、選択肢に ついてご相談いただくため当社までご連絡ください。

---

附属書 A — 技術的および組織的措置

機微識別子、生年月日、PNR の保存時暗号化（AES-256-GCM）・EU 管轄でのファイル保存・チームごとのデータ分離・ 役割ベースのアクセス制御・管理／「代理表示」操作の監査・処理経路に AI／LLM を用いない（個人データを AI に送信しない）・ 鍵はシークレットとして管理しデータとは別に保管・最小限のデータ収集・エクスポートおよび消去ツール。

附属書 B — 再処理者

Cloudflare（ホスティング／KV／R2-EU — 機微フィールドは暗号化）・LetsFG（フライト検索 — 区間と日付のみ）・ AeroDataBox（時刻 — 区間＋日付＋便名）・ Resend（メール — アドレスのみ）。最新のリストはご要望に応じて提供します。AI／LLM プロバイダーは 一切使用しません — フライトのマッチングは決定論的ソフトウェアです。