Data Processing Agreement

1. Partes y definiciones

Este Acuerdo de procesamiento de datos se celebra entre:

Responsable:

El Usuario comercial registrado en la plataforma Bokrez que procesa datos personales de sus clientes finales a través de la Plataforma.

Encargado:

360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Croacia, OIB: 59456273095 — operador de la plataforma Bokrez (bokrez.com).

En este Acuerdo:

“RGPD” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
“Datos personales” tiene el significado del Artículo 4(1) del RGPD.
“Procesamiento” tiene el significado del Artículo 4(2) del RGPD.
“Plataforma” significa el servicio SaaS de Bokrez disponible en bokrez.com.
“Interesados” significa los clientes finales del Responsable cuyos datos personales se procesan a través de la Plataforma.
“Subencargados” significa terceros contratados por el Encargado para procesar datos personales en nombre del Responsable.

2. Objeto y duración del procesamiento

El Encargado procesa datos personales en nombre del Responsable únicamente con el fin de prestar el servicio Bokrez según lo descrito en los Términos de servicio.

Objeto del procesamiento	Gestión de reservas de citas, datos de clientes (CRM), comunicaciones y funciones relacionadas dentro de la plataforma Bokrez
Duración	Durante todo el período de suscripción activa del Responsable en Bokrez
Naturaleza del procesamiento	Almacenamiento, organización, recuperación, visualización, envío de notificaciones, copias de seguridad
Finalidad	Proporcionar las funciones de la plataforma Bokrez al Responsable y sus usuarios finales

3. Tipos de datos personales y categorías de interesados

3.1 Tipos de datos personales procesados

Datos de identidad: nombre, apellidos
Datos de contacto: correo electrónico, número de móvil
Datos de reservas: fechas, servicios, notas de citas
Notas CRM y etiquetas ingresadas por el Responsable sobre los Interesados
Datos del programa de fidelización: saldo de puntos/sellos, historial de transacciones
Datos de reseñas y calificaciones
Mensajes dentro de la plataforma entre los Interesados y el Responsable

Bokrez no procesa categorías especiales de datos personales (Art. 9 RGPD) en el marco del servicio estándar, a menos que el Responsable introduzca explícitamente dichos datos en campos de texto libre, de lo cual el Responsable asume total responsabilidad.

3.2 Categorías de Interesados

Clientes finales del Responsable (personas físicas que reservan citas o se comunican con el Responsable a través de la Plataforma).

4. Obligaciones del Encargado

El Encargado (Bokrez) se compromete a:

→

Procesar solo según instrucciones: Procesar datos personales únicamente según las instrucciones documentadas del Responsable, según lo establecido en este Acuerdo y los Términos de servicio, e informar inmediatamente al Responsable si alguna instrucción infringe el RGPD o la ley aplicable.

→

Confidencialidad: Garantizar que todo el personal y subencargados que procesen datos personales hayan asumido obligaciones de confidencialidad apropiadas.

→

Seguridad: Implementar medidas técnicas y organizativas de acuerdo con el Artículo 32 del RGPD, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del procesamiento, así como los riesgos para los derechos y libertades de las personas físicas.

→

Subencargados: Contratar subencargados solo con autorización escrita previa (general o específica) del Responsable, según lo regulado en el Artículo 6 de este Acuerdo.

→

Asistencia con derechos: Teniendo en cuenta la naturaleza del procesamiento, asistir al Responsable con medidas técnicas y organizativas apropiadas, en la medida de lo razonablemente posible, en el cumplimiento de las obligaciones de respuesta a solicitudes de derechos de los Interesados.

→

Asistencia de cumplimiento: Asistir al Responsable en el cumplimiento de las obligaciones de los Art. 32–36 del RGPD (seguridad, brechas de datos, evaluaciones de impacto, consultas previas).

→

Eliminación o devolución de datos: Tras la finalización del servicio, a elección del Responsable, eliminar o devolver todos los datos personales y garantizar que los subencargados hagan lo mismo.

→

Cooperación y auditoría: Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de este Artículo y permitir auditorías o inspecciones realizadas por el Responsable o su auditor.

5. Medidas de seguridad

Bokrez implementa las siguientes medidas técnicas y organizativas para proteger los datos personales de los Interesados:

Medida	Detalle de implementación
Cifrado en tránsito	TLS 1.2+ para todo el tráfico entre cliente y servidor
Cifrado en reposo	Disco cifrado para base de datos y sistema de archivos
Gestión de accesos	Control de acceso basado en roles (RBAC); todos los accesos son autenticados y registrados
Contraseñas	Nunca almacenadas en forma legible; hash bcrypt con factor de costo 12
Copias de seguridad	Copias de seguridad automáticas diarias cifradas de la base de datos
Monitoreo y registro	Registros de auditoría de accesos y cambios; conservados durante 90 días
Gestión de subencargados	Todos los terceros con acceso a datos están vinculados por acuerdos DPA
Respuesta a incidentes	Procedimiento documentado de respuesta a brechas de datos con plazo de notificación a AZOP de 72 horas

6. Subencargados

El Responsable autoriza generalmente a Bokrez a contratar subencargados. Bokrez garantiza que todos los subencargados están vinculados por obligaciones contractuales equivalentes a las de este Acuerdo.

Subencargados actuales:

Subencargado	Finalidad	Ubicación	Base de transferencia
Resend Inc.	Envío de correos transaccionales	EE.UU.	EU-US DPF + SCC
Proveedor de hosting (servidor UE)	Almacenamiento de datos	UE	Dentro del EEE

Bokrez notificará al Responsable sobre cambios planificados de subencargados con al menos 14 días de antelación. El Responsable puede oponerse dentro de 10 días. Si la objeción no puede resolverse, el Responsable tiene derecho a rescindir el acuerdo sin penalización.

7. Notificación de brecha de datos personales

Bokrez, sin demora indebida y en cualquier caso dentro de las 48 horas desde el conocimiento de una brecha de datos personales que involucre datos procesados en nombre del Responsable, notificará al Responsable.

La notificación contendrá como mínimo:

Una descripción de la naturaleza de la brecha, incluidas las categorías y el número aproximado de Interesados y registros afectados
Datos de contacto de la persona disponible para más información
Una descripción de las probables consecuencias de la brecha
Una descripción de las medidas adoptadas o propuestas para abordar la brecha

El Responsable conserva la responsabilidad de sus propias obligaciones de notificación a AZOP dentro de las 72 horas (Art. 33 RGPD) y de comunicación a los Interesados (Art. 34 RGPD).

8. Derechos de los Interesados

Bokrez, teniendo en cuenta la naturaleza del procesamiento, asistirá al Responsable con medidas técnicas apropiadas en la medida de lo posible para cumplir con sus obligaciones de respuesta a solicitudes de derechos de los Interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición).

Bokrez debe, sin demora indebida y dentro de los 5 días hábiles, reenviar al Responsable cualquier solicitud de Interesados que reciba directamente y que se refiera a datos procesados en nombre del Responsable.

9. Obligaciones del Responsable

El Responsable declara y garantiza que:

Tiene una base legal válida para la recopilación y procesamiento de datos personales de los Interesados a través de la Plataforma
Ha informado a los Interesados sobre el procesamiento de sus datos de acuerdo con los Art. 13 y 14 del RGPD (por ejemplo, a través de su propia política de privacidad)
Utilizará la Plataforma únicamente con fines legales
Informará inmediatamente a Bokrez de cualquier solicitud o reclamación de los Interesados relacionada con el procesamiento a través de la Plataforma
Tiene la autoridad para dar instrucciones a Bokrez respecto al procesamiento, incluidas las instrucciones de eliminación o modificación de datos

10. Auditoría e inspección

El Responsable tiene derecho a verificar el cumplimiento de Bokrez con este Acuerdo. Bokrez:

A solicitud, pondrá a disposición la documentación relevante sobre medidas de seguridad y cumplimiento
Una vez al año, con 30 días de preaviso, permitirá al Responsable o a un auditor independiente autorizado realizar una auditoría, siempre que la auditoría no perturbe las operaciones de Bokrez y los costos sean asumidos por el Responsable

11. Devolución y eliminación de datos

Tras el vencimiento o resolución de la suscripción:

Se dará al Responsable la posibilidad de exportar datos en formato legible por máquina (CSV, JSON) dentro de los 30 días
Tras ese plazo, Bokrez eliminará todos los datos personales de los Interesados procesados en nombre del Responsable, excepto cuando se aplique una obligación legal de conservación
A solicitud, Bokrez proporcionará confirmación por escrito de la eliminación

12. Responsabilidad

Bokrez es responsable ante el Responsable de los daños directos derivados del incumplimiento de este Acuerdo por parte de Bokrez o de la legislación de protección de datos aplicable, sujeto a las limitaciones establecidas en los Términos de servicio.

Cada parte es responsable ante la autoridad de control de sus propias infracciones de la normativa de protección de datos.

13. Ley aplicable

Este Acuerdo se rige por y se interpreta de conformidad con la ley de la República de Croacia y la legislación de la UE aplicable, en particular el RGPD. El Tribunal Comercial de Zagreb tendrá jurisdicción sobre cualquier disputa.

14. Modificaciones

Bokrez puede modificar este Acuerdo con al menos 30 días de preaviso por escrito. El uso continuado de la Plataforma después de la fecha de modificación constituye aceptación. Si el Responsable no está de acuerdo, puede rescindir la suscripción sin penalización.

Contacto de protección de datos

360 Tour — Obrt za virtualne zapise — Bokrez Protección de Datos

Zagrebačka cesta 81, 10000 Zagreb

OIB: 59456273095

Correo electrónico: privacy@bokrez.com

Web: bokrez.com