Bokrez

Bokrez

Data Processing Agreement

Poslední aktualizováno: Může 27, 2026. | Applicable pursuant do GDPR Article 28

Poznámka: Tento Data Processing Agreement ("DPA") automaticky používá mezi každý Podnik Uživatel ("Controller") a 360 Tour obrt ("Processor", operator z Bokrez) z moment z registrace a acceptance z Podmínky z Služba. Ne separate signature je povinný.

Status poskytovatele

Při úvodním nastavení nebo v nastavení podniku zvolte Registrovaný poskytovatel nebo Soukromý poskytovatel. Tento status je Vaším vlastním prohlášením, slouží pouze pro informaci a nepředstavuje ověření ani doporučení Bokrez. Samostatně můžete řídit viditelnost firemního e-mailu a adresy a telefonu každého místa. Skryté údaje zůstávají dostupné pro provozní účely.

1. Strany a definice

Tato Dohoda o zpracování osobních údajů je uzavřena mezi:

Správce osobních údajů:

Podnik registrovaný na platformě Bokrez, který zpracovává osobní údaje svých koncových klientů prostřednictvím Platformy.

Zpracovatel:

360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Záhřeb, Chorvatsko, OIB: 59456273095 — provozovatel platformy Bokrez (bokrez.com).

V této Dohodě:

  • „GDPR“ znamená nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016.
  • „Osobní údaje“ má význam uveden v čl. 4 odst. 1 GDPR.
  • „Zpracování“ má význam uveden v čl. 4 odst. 2 GDPR.
  • „Platforma“ znamená službu SaaS Bokrez dostupnou na bokrez.com.
  • „Subjekty údajů“ znamená koncové klienty Správce, jejichž osobní údaje jsou zpracovávány prostřednictvím Platformy.
  • „Subzpracovatelé“ znamená třetí osoby, které Zpracovatel pověřuje zpracováním osobních údajů jménem Správce.

2. Předmět a doba trvání zpracování

Zpracovatel zpracovává osobní údaje jménem Správce výhradně za účelem poskytování služby Bokrez, jak je popsáno v Podmínkách používání.

Předmět zpracováníSpráva rezervací termínů, klientských údajů (CRM), komunikace a souvisejících funkcí v rámci platformy Bokrez
Doba trváníPo celou dobu aktivního předplatného Správce u Bokrez
Povaha zpracováníUkládání, organizace, vyhledávání, zobrazování, rozesílání oznámení, zálohování
Účel zpracováníPoskytování funkcí platformy Bokrez Správci a jeho koncovým uživatelům

3. Typy osobních údajů a kategorie subjektů údajů

3.1 Typy zpracovávaných osobních údajů

  • Identifikační údaje: jméno, příjmení
  • Kontaktní údaje: e-mailová adresa, mobilní číslo
  • Údaje o rezervacích: data, služby, poznámky k termínům
  • CRM poznámky a štítky zadané Správcem o Subjektech údajů
  • Údaje o věrnostním programu: zůstatek bodů/razítek, historie transakcí
  • Údaje o recenzích a hodnocení
  • Zprávy v rámci platformy mezi Subjekty údajů a Správcem

Bokrez v rámci standardní služby nezpracovává zvláštní kategorie osobních údajů (čl. 9 GDPR), pokud Správce výslovně nezadá takové údaje do polí s volným textem, za což nese plnou odpovědnost.

3.2 Kategorie subjektů údajů

Koncoví klienti Správce (fyzické osoby, které rezervují termíny nebo komunikují se Správcem prostřednictvím Platformy).

4. Povinnosti Zpracovatele

Zpracovatel (Bokrez) se zavazuje:

Zpracování pouze na základě pokynů: Zpracovávat osobní údaje výhradně na základě dokumentovaných pokynů Správce, jak je stanoveno v této Dohodě a Podmínkách používání, a okamžitě informovat Správce, pokud jakýkoli pokyn porušuje GDPR nebo příslušné právo.
Důvěrnost: Zajistit, že všechen personál a subzpracovatelé zpracovávající osobní údaje převzali přiměřené závazky důvěrnosti.
Zabezpečení: Zavádět technická a organizační opatření v souladu s čl. 32 GDPR s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a k rizikům pro práva a svobody fyzických osob.
Subzpracovatelé: Pověřit subzpracovatele pouze s předchozím písemným povolením (obecným nebo konkrétním) Správce, jak upravuje článek 6 této Dohody.
Asistence při výkonu práv: S přihlédnutím k povaze zpracování pomáhat Správci přiměřenými technickými a organizačními opatřeními, pokud je to přiměřeně možné, při plnění povinnosti odpovídat na žádosti subjektů údajů o výkon jejich práv.
Asistence při dodržování předpisů: Pomáhat Správci při plnění povinností podle čl. 32–36 GDPR (zabezpečení, porušení údajů, posouzení dopadů, předběžné konzultace).
Výmaz nebo vrácení údajů: Po ukončení služby na žádost Správce smazat nebo vrátit všechny osobní údaje a zajistit, aby subzpracovatelé učinili totéž.
Spolupráce a audit: Správci poskytnout veškeré informace nezbytné prokázání shody s tímto článkem a umožnit audity nebo inspekce prováděné Správcem nebo jeho auditorem.

5. Bezpečnostní opatření

Bokrez zavádí následující technická a organizační opatření na ochranu osobních údajů Subjektů údajů:

OpatřeníDetail implementace
Šifrování při přenosuTLS 1.2+ pro veškerou komunikaci mezi klientem a serverem
Šifrování v kliduŠifrovaný disk pro databázi a souborový systém
Správa přístupuŘízení přístupu na základě rolí (RBAC); veškerý přístup je autentizován a zaznamenáván
HeslaNikdy neuložena v čitelné podobě; bcrypt hashování s nákladovým faktorem 12
ZálohyDenní automatizované šifrované zálohy databáze
Sledování a protokolováníAuditní protokoly přístupů a změn; uchovávány po dobu 90 dnů
Správa subzpracovatelůVšechny třetí strany s přístupem k údajům jsou vázány dohodami o zpracování údajů
Reakce na incidentyZdokumentovaný postup reakce na porušení zabezpečení údajů s 72hodinovou lhůtou oznámení AZOP

6. Subzpracovatelé

Správce tímto obecně opravňuje Bokrez k pověřování subzpracovatelů. Bokrez zajišťuje, že všichni subzpracovatelé jsou vázáni smluvními závazky rovnocennými těm v této Dohodě.

Stávající subzpracovatelé:

SubzpracovatelÚčelLokalitaZáklad předání
ZeptoMail (Zoho Corporation)Posílání transakčních e-mailůIndieSCC
Poskytovatel hostingu (server v EU)Ukládání údajůEUV rámci EHP
Google LLCAutentizace (Google Sign-In), Mapy a služby určování polohyUSAEU-US DPF
Apple Inc.Autentizace (Sign in with Apple)USAEU-US DPF
Expo (650 Industries, Inc.)Doručování push oznámeníUSASCC

Bokrez informuje Správce o plánovaných změnách subzpracovatelů nejméně 14 dnů předem. Správce může vznést námitku do 10 dnů. Pokud námitku nelze vyřešit, má Správce právo vypovědět dohodu bez sankce.

7. Oznámení o porušení zabezpečení osobních údajů

Bokrez bez zbytečného odkladu, v každém případě však do 48 hodin od zjištění porušení zabezpečení osobních údajů zahrnujícího údaje zpracovávané jménem Správce, informuje Správce.

Oznámení bude minimálně obsahovat:

  • Popis povahy porušení, včetně kategorií a přibližného počtu dotčených Subjektů údajů a záznamů
  • Kontaktní údaje osoby dostupné pro další informace
  • Popis pravděpodobných důsledků porušení
  • Popis přijatých nebo navrhovaných opatření k nápravě porušení

Správce si ponechává odpovědnost za vlastní povinnosti oznámit AZOP do 72 hodin (čl. 33 GDPR) a informovat Subjekty údajů (čl. 34 GDPR).

8. Práva subjektů údajů

Bokrez se s přihlédnutím k povaze zpracování zavazuje pomáhat Správci přiměřenými technickými opatřeními, pokud je to možné, při plnění jeho povinností odpovídat na žádosti subjektů údajů o výkon práv (přístup, oprava, výmaz, omezení, přenositelnost, námitka).

Bokrez je povinen bez zbytečného odkladu, nejpozději však do 5 pracovních dnů, předat Správci veškeré žádosti subjektů údajů, které obdrží přímo a které se týkají údajů, které Bokrez zpracovává jménem Správce.

9. Povinnosti Správce

Správce prohlašuje a zaručuje, že:

  • Má platný právní základ pro shromažďování a zpracování osobních údajů Subjektů údajů prostřednictvím Platformy
  • Informoval Subjekty údajů o zpracování jejich údajů v souladu s čl. 13 a 14 GDPR (např. prostřednictvím vlastních zásad ochrany osobních údajů)
  • Bude Platformu používat výhradně pro zákonné účely
  • Okamžitě informuje Bokrez o jakýchkoli žádostech nebo stížnostech Subjektů údajů týkajících se zpracování prostřednictvím Platformy
  • Má oprávnění udělovat Bokrez pokyny týkající se zpracování, včetně pokynů ke smazání nebo úpravě údajů

10. Audit a inspekce

Správce má právo ověřit shodu Bokrez s touto Dohodou. Bokrez:

  • Na žádost poskytne příslušnou dokumentaci týkající se bezpečnostních opatření a dodržování předpisů
  • Jednou ročně s 30denním předchozím oznámením umožní Správci nebo oprávněnému nezávislému auditorovi provést audit, pokud audit nenaruší provoz Bokrez a náklady auditu nese Správce

11. Vrácení a výmaz údajů

Po vypršení nebo zrušení předplatného:

  • Správci bude umožněno exportovat údaje ve strojově čitelném formátu (CSV, JSON) do 30 dnů
  • Po uplynutí této lhůty Bokrez smaže všechny osobní údaje Subjektů údajů zpracovávané jménem Správce, s výjimkou případů, kdy se uplatňuje zákonná povinnost uchovávání
  • Na žádost Bokrez poskytne písemné potvrzení o výmazu

12. Odpovědnost

Bokrez je vůči Správci odpovědný za přímé škody vyplývající z porušení této Dohody nebo příslušných předpisů o ochraně údajů ze strany Bokrez, s výhradou omezení stanovených v Podmínkách používání.

Každá strana nese vůči dohledovému orgánu nezávisle odpovědnost za vlastní porušení předpisů o ochraně osobních údajů.

13. Příslušné právo

Tato Dohoda se řídí a vykládá v souladu s právem Republiky Chorvatsko a příslušným právem EU, zejména GDPR. Obchodní soud v Záhřebu má jurisdikci nad jakýmikoli spory.

14. Změny

Bokrez může tuto Dohodu měnit s nejméně 30denním písemným předchozím oznámením. Pokračování v používání Platformy po datu změny znamená souhlas. Pokud Správce nesouhlasí, může zrušit předplatné bez sankce.

Kontakt pro ochranu údajů

360 Tour — Obrt za virtualne zapise — Bokrez ochrana údajů

Zagrebačka cesta 81, 10000 Záhřeb

OIB: 59456273095

E-mail: [email protected]

Web: bokrez.com