Bokrez

Bokrez

Ugovor o obradi podataka

Posljednje ažuriranje: 1. travnja 2026. | Primjenjivo na temelju čl. 28 GDPR-a

Napomena: Ovaj Ugovor o obradi podataka (“UOP” ili “DPA”) automatski se primjenjuje između svakog Poslovnog korisnika (“Voditelja obrade”) i 360 tour obrt (“Izvršitelja obrade” koji upravlja Bokezom) od trenutka registracije i prihvaćanja Uvjeta korištenja. Nije potreban poseban potpis.

1. Stranke i definicije

Ovaj Ugovor o obradi podataka sklapaju:

Voditelj obrade:

Poslovni korisnik koji je registriran na platformi Bokrez i koji obrađuje osobne podatke svojih krajnjih klijenata putem Platforme.

Izvršitelj obrade:

360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Hrvatska, OIB: 59456273095 — operater platforme Bokrez (bokrez.com).

U ovom Ugovoru:

  • “GDPR” označava Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016.
  • “Osobni podaci” ima značenje iz članka 4. stavka 1. GDPR-a.
  • “Obrada” ima značenje iz članka 4. stavka 2. GDPR-a.
  • “Platforma” označava SaaS uslugu Bokrez dostupnu na bokrez.com.
  • “Ispitanici” označava krajnje klijente Voditelja obrade čiji se osobni podaci obrađuju putem Platforme.
  • “Podugovaratelji obrade” označava treće strane koje Izvršitelj obrade angažira za obradu osobnih podataka u ime Voditelja obrade.

2. Predmet i trajanje obrade

Izvršitelj obrade obrađuje osobne podatke u ime Voditelja obrade isključivo u svrhu pružanja usluge Bokrez kako je opisano u Uvjetima korištenja.

Predmet obradeUpravljanje rezervacijama termina, klijentskim podacima (CRM), komunikacijom i pratećim funkcijama unutar platforme Bokrez
TrajanjeZa cijelo razdoblje aktivne pretplate Voditelja obrade na platformi Bokrez
Priroda obradePohrana, organizacija, pretraživanje, prikaz, slanje obavijesti, sigurnosno kopiranje
Svrha obradePružanje funkcionalnosti platforme Bokrez Voditelju obrade i njegovim krajnjim korisnicima

3. Vrste osobnih podataka i kategorije ispitanika

3.1 Vrste osobnih podataka koji se obrađuju

  • Identifikacijski podaci: ime, prezime
  • Kontaktni podaci: e-pošta, broj mobitela
  • Podaci o rezervacijama: datumi, usluge, bilješke uz termin
  • CRM bilješke i oznake koje Voditelj obrade bilježi o ispitanicima
  • Podaci o programima lojalnosti: broj bodova/pečata, povijest transakcija
  • Podaci o recenzijama i ocjenama
  • Poruke unutar platforme između ispitanika i Voditelja obrade

Bokrez ne obrađuje posebne kategorije osobnih podataka (čl. 9 GDPR-a) u okviru standardne usluge, osim ako Voditelj obrade izričito ne unese takve podatke u polja slobodnog teksta, za što snosi punu odgovornost.

3.2 Kategorije ispitanika

Krajnji klijenti Voditelja obrade (fizičke osobe koje rezerviraju termine ili komuniciraju s Voditeljem obrade putem Platforme).

4. Obveze Izvršitelja obrade

Izvršitelj obrade (Bokrez) obvezuje se:

Obrada samo prema uputama: Osobne podatke obrađivati isključivo prema dokumentiranim uputama Voditelja obrade, kako je određeno ovim Ugovorom i Uvjetima korištenja, te odmah obavijestiti Voditelja obrade ako smatra da neka uputa krši GDPR ili primjenjivo pravo.
Povjerljivost: Osigurati da svo osoblje i podugovaratelji koji obrađuju osobne podatke preuzmu odgovarajuće obveze povjerljivosti.
Sigurnost: Primjenjivati tehničke i organizacijske mjere iz članka 32. GDPR-a, uzimajući u obzir prirodu, opseg, kontekst i svrhu obrade, kao i rizike za prava i slobode fizičkih osoba.
Podugovaratelji: Angažirati podugovaratelje obrade samo uz prethodno pisano odobrenje (opće ili posebno) Voditelja obrade, kako je regulirano člankom 6. ovog Ugovora.
Pomoć pri ostvarivanju prava: Uzimajući u obzir prirodu obrade, pomoći Voditelju obrade odgovarajućim tehničkim i organizacijskim mjerama u mjeri u kojoj je to moguće, kako bi ispunio svoju obvezu odgovaranja na zahtjeve za ostvarivanje prava ispitanika.
Pomoć pri usklađenosti: Pomoći Voditelju obrade u osiguravanju usklađenosti s obvezama iz čl. 32-36. GDPR-a (sigurnost, povreda podataka, procjena učinka, prethodne konzultacije).
Brisanje ili povrat podataka: Na zahtjev Voditelja obrade, po završetku usluge, izbrisati ili vratiti sve osobne podatke, a podugovaratelji obrade učinit će isto.
Suradnja i revizija: Staviti Voditelju obrade na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s ovim člankom i dopustiti revizije ili inspekcije koje provodi Voditelj obrade ili njegov revizor.

5. Sigurnosne mjere

Bokrez provodi sljedeće tehničke i organizacijske mjere zaštite osobnih podataka ispitanika:

MjeraOpis implementacije
Enkripcija u prijenosuTLS 1.2+ za sav promet između klijenta i servera
Enkripcija u pohraniŠifrirani disk za bazu podataka i datotečni sustav
Upravljanje pristupomKontrola pristupa zasnovana na ulogama (RBAC); svi pristupi su autentificirani i loggirani
LozinkeNikada se ne pohranjuju u čitljivom obliku; bcrypt hash s faktorom 12
Sigurnosne kopijeDnevne automatske sigurnosne kopije baze podataka s enkripcijom
Nadzor i bilježenjeAudit logovi pristupa i promjena u sustavu; čuvaju se 90 dana
Upravljanje podugovarateljimaSve treće strane s pristupom podacima vezane su DPA ugovorima
Odgovor na incidenteDokumentiran postupak odgovora na povrede podataka s rokom obavještavanja od 72 sata prema AZOP-u

6. Podugovaratelji obrade

Voditelj obrade ovim općenito ovlašćuje Bokrez da angažira podugovaratelje obrade. Bokrez osigurava da su svi podugovaratelji vezani ugovornim obvezama jednakovrijednim onima iz ovog Ugovora.

Trenutni podugovaratelji obrade:

PodugovarateljSvrhaLokacijaOsnova prijenosa
Resend Inc.Slanje transakcijskih e-porukaSADEU-US DPF + SCC
Davatelj hosting usluge (EU poslužitelj)Pohrana podatakaEUUnutar EGP-a

Bokrez će obavijestiti Voditelja obrade o planiranim promjenama podugovaratelja najmanje 14 dana unaprijed. Voditelj obrade može uložiti prigovor u roku od 10 dana. Ako prigovor ne može biti riješen, Voditelj obrade ima pravo raskinuti ugovor bez penala.

7. Obavještavanje o povredi osobnih podataka

Bokrez će, bez nepotrebne odgode, a u svakom slučaju unutar 48 sati od saznanja za povredu osobnih podataka, obavijestiti Voditelja obrade o povredi koja uključuje osobne podatke koje obrađuje u njegovo ime.

Obavijest će sadržavati najmanje:

  • Opis prirode povrede, uključujući kategorije i okvirni broj pogođenih ispitanika i zapisa
  • Kontakt podatke osobe za daljnje informacije
  • Opis vjerojatnih posljedica povrede
  • Opis mjera koje su poduzete ili se planiraju poduzeti

Voditelj obrade zadržava odgovornost za vlastite obveze prijave povreda AZOP-u (u roku 72 sata prema čl. 33 GDPR-a) i obavještavanja ispitanika (prema čl. 34 GDPR-a).

8. Prava ispitanika

Bokrez će, uzimajući u obzir prirodu obrade, pomoći Voditelju obrade odgovarajućim tehničkim mjerama u mjeri mogućeg pri ispunjavanju zahtjeva ispitanika za ostvarivanje prava (pristup, ispravak, brisanje, ograničenje, prenosivost, prigovor).

Bokrez je dužan bez odgode, a najkasnije u roku od 5 radnih dana, proslijediti Voditelju obrade sve zahtjeve ispitanika koje primi izravno, a odnose se na podatke koje Bokrez obrađuje u ime Voditelja obrade.

9. Obveze Voditelja obrade

Voditelj obrade izjavljuje i jamči da:

  • Ima valjanu pravnu osnovu za prikupljanje i obradu osobnih podataka ispitanika putem Platforme
  • Ispitanike je informirao o obradi njihovih podataka u skladu s čl. 13. i 14. GDPR-a (npr. putem vlastite politike privatnosti)
  • Koristit će Platformu isključivo u zakonite svrhe
  • Odmah će obavijestiti Bokrez o svim zahtjevima ili pritužbama ispitanika koji se odnose na obradu putem Platforme
  • Ima pravo davati upute Bokrzu u pogledu obrade, uključujući upute za brisanje ili izmjenu podataka

10. Revizija i inspekcija

Voditelj obrade ima pravo provjeriti Bokrezovu usklađenost s ovim Ugovorom. Bokrez će:

  • Na zahtjev staviti na raspolaganje relevantnu dokumentaciju o sigurnosnim mjerama i usklađenosti
  • Jednom godišnje, uz prethodnu najavu od 30 dana, dopustiti Voditelju obrade ili ovlaštenom neovisnom revizoru provođenje revizije, pod uvjetom da revizija ne ometa operativno poslovanje Bokreza i da su troškovi revizije na teret Voditelja obrade

11. Povrat i brisanje podataka

Po isteku ili raskidu pretplate:

  • Voditelju obrade bit će omogućen izvoz podataka u strojno čitljivom formatu (CSV, JSON) u roku od 30 dana
  • Nakon isteka tog roka, Bokrez će izbrisati sve osobne podatke ispitanika koje je obrađivao u ime Voditelja obrade, osim onih za koje postoji zakonska obveza čuvanja
  • Na zahtjev, Bokrez će dostaviti pisanu potvrdu brisanja podataka

12. Odgovornost

Bokrez je odgovoran Voditelju obrade za izravne štete koje nastanu zbog kršenja ovog Ugovora ili primjenjivog prava o zaštiti podataka od strane Bokreza, sukladno ograničenjima iz Uvjeta korištenja.

Svaka stranka odgovorna je regulatornom tijelu za vlastito kršenje propisa o zaštiti osobnih podataka.

13. Mjerodavno pravo

Ovaj Ugovor uređuje se i tumači u skladu s pravom Republike Hrvatske i primjenjivim pravom EU, posebno GDPR-om. Za sve sporove nadležan je Trgovački sud u Zagrebu.

14. Izmjene Ugovora

Bokrez može izmijeniti ovaj Ugovor uz prethodnu pisanu obavijest od najmanje 30 dana. Nastavak korištenja Platforme nakon datuma izmjene smatra se prihvaćanjem izmijenjenog Ugovora. Ako se Voditelj obrade ne slaže s izmjenama, može raskinuti pretplatu bez penala.

Kontakt za pitanja o zaštiti podataka

360 Tour — Obrt za virtualne zapise — Bokrez zaštita podataka

Zagrebačka cesta 81, 10000 Zagreb

OIB: 59456273095

E-pošta: privacy@bokrez.com

Web: bokrez.com