Bokrez
Accordo sul Trattamento dei Dati
Ultimo aggiornamento: 27 maggio 2026. | Ai sensi dell'Articolo 28 del GDPR
<strong>Nota:</strong> Il presente Accordo sul Trattamento dei Dati (“DPA”) si applica automaticamente tra ciascun Utente Business (“Titolare”) e 360 tour obrt (“Responsabile del Trattamento”, operante come Bokrez) dal momento della registrazione e dell'accettazione dei Termini di Servizio. Non è richiesta una firma separata.
1. Parti e definizioni
Il presente Accordo sul trattamento dei dati è concluso tra:
Titolare del trattamento:
L'Utente commerciale registrato sulla piattaforma Bokrez che tratta i dati personali dei propri clienti finali tramite la Piattaforma.
Responsabile del trattamento:
360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagabria, Croazia, OIB: 59456273095 — operatore della piattaforma Bokrez (bokrez.com).
Nel presente Accordo:
- “GDPR” indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.
- “Dati personali” ha il significato di cui all'articolo 4, paragrafo 1, del GDPR.
- “Trattamento” ha il significato di cui all'articolo 4, paragrafo 2, del GDPR.
- “Piattaforma” indica il servizio SaaS Bokrez disponibile all'indirizzo bokrez.com.
- “Interessati” indica i clienti finali del Titolare del trattamento i cui dati personali sono trattati tramite la Piattaforma.
- “Sub-responsabili del trattamento” indica terzi incaricati dal Responsabile del trattamento di trattare dati personali per conto del Titolare del trattamento.
2. Oggetto e durata del trattamento
Il Responsabile del trattamento tratta i dati personali per conto del Titolare del trattamento esclusivamente al fine di fornire il servizio Bokrez come descritto nei Termini di servizio.
| Oggetto del trattamento | Gestione delle prenotazioni di appuntamenti, dati dei clienti (CRM), comunicazioni e funzionalità correlate all'interno della piattaforma Bokrez |
| Durata | Per l'intero periodo di abbonamento attivo del Titolare del trattamento a Bokrez |
| Natura del trattamento | Conservazione, organizzazione, ricerca, visualizzazione, invio di notifiche, backup |
| Finalità del trattamento | Fornitura delle funzionalità della piattaforma Bokrez al Titolare del trattamento e ai suoi utenti finali |
3. Tipi di dati personali e categorie di interessati
3.1 Tipi di dati personali trattati
- Dati identificativi: nome, cognome
- Dati di contatto: indirizzo e-mail, numero di cellulare
- Dati di prenotazione: date, servizi, note agli appuntamenti
- Note CRM e tag inseriti dal Titolare del trattamento sugli Interessati
- Dati dei programmi fedeltà: saldo punti/timbri, storico delle transazioni
- Dati di recensioni e valutazioni
- Messaggi all'interno della piattaforma tra Interessati e Titolare del trattamento
Bokrez non tratta categorie speciali di dati personali (art. 9 GDPR) nell'ambito del servizio standard, salvo che il Titolare del trattamento inserisca esplicitamente tali dati in campi a testo libero, per i quali assume piena responsabilità.
3.2 Categorie di Interessati
Clienti finali del Titolare del trattamento (persone fisiche che prenotano appuntamenti o comunicano con il Titolare del trattamento tramite la Piattaforma).
4. Obblighi del Responsabile del trattamento
Il Responsabile del trattamento (Bokrez) si impegna a:
5. Misure di sicurezza
Bokrez implementa le seguenti misure tecniche e organizzative per proteggere i dati personali degli Interessati:
| Misura | Dettaglio di implementazione |
|---|---|
| Crittografia in transito | TLS 1.2+ per tutto il traffico tra client e server |
| Crittografia a riposo | Disco crittografato per database e file system |
| Gestione degli accessi | Controllo degli accessi basato sui ruoli (RBAC); tutti gli accessi sono autenticati e registrati |
| Password | Mai memorizzate in forma leggibile; hash bcrypt con fattore di costo 12 |
| Backup | Backup automatici giornalieri crittografati del database |
| Monitoraggio e registrazione | Log di audit degli accessi e delle modifiche; conservati per 90 giorni |
| Gestione dei sub-responsabili | Tutti i terzi con accesso ai dati sono vincolati da accordi DPA |
| Risposta agli incidenti | Procedura documentata di risposta alle violazioni dei dati con termine di notifica ad AZOP di 72 ore |
6. Sub-responsabili del trattamento
Il Titolare del trattamento autorizza con la presente Bokrez ad incaricare sub-responsabili del trattamento. Bokrez garantisce che tutti i sub-responsabili sono vincolati da obblighi contrattuali equivalenti a quelli del presente Accordo.
Sub-responsabili attuali:
| Sub-responsabile | Finalità | Sede | Base del trasferimento |
|---|---|---|---|
| ZeptoMail (Zoho Corporation) | Invio di e-mail transazionali | India | SCC |
| Provider di hosting (server UE) | Archiviazione dei dati | UE | All'interno dello SEE |
| Google LLC | Autenticazione (Google Sign-In), Mappe e servizi di localizzazione | USA | EU-US DPF |
| Apple Inc. | Autenticazione (Sign in with Apple) | USA | EU-US DPF |
| Expo (650 Industries, Inc.) | Consegna notifiche push | USA | SCC |
Bokrez informerà il Titolare del trattamento delle modifiche pianificate ai sub-responsabili almeno 14 giorni in anticipo. Il Titolare del trattamento può presentare obiezione entro 10 giorni. Qualora l'obiezione non possa essere risolta, il Titolare del trattamento ha il diritto di recedere dall'accordo senza penalità.
7. Notifica di violazione dei dati personali
Bokrez, senza ingiustificato ritardo e in ogni caso entro 48 ore dalla conoscenza di una violazione dei dati personali che coinvolga dati trattati per conto del Titolare del trattamento, notificherà al Titolare del trattamento la violazione.
La notifica conterrà almeno:
- Una descrizione della natura della violazione, incluse le categorie e il numero approssimativo di Interessati e registrazioni interessati
- I dati di contatto della persona disponibile per ulteriori informazioni
- Una descrizione delle probabili conseguenze della violazione
- Una descrizione delle misure adottate o proposte per porre rimedio alla violazione
Il Titolare del trattamento mantiene la responsabilità per i propri obblighi di notifica ad AZOP entro 72 ore (art. 33 GDPR) e di comunicazione agli Interessati (art. 34 GDPR).
8. Diritti degli Interessati
Bokrez, tenuto conto della natura del trattamento, assisterà il Titolare del trattamento con adeguate misure tecniche nella misura del possibile per adempiere agli obblighi di risposta alle richieste di diritti degli Interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
Bokrez è tenuto a inoltrare senza ritardo, e comunque entro 5 giorni lavorativi, al Titolare del trattamento tutte le richieste degli Interessati ricevute direttamente che riguardano dati trattati per conto del Titolare del trattamento.
9. Obblighi del Titolare del trattamento
Il Titolare del trattamento dichiara e garantisce di:
- Disporre di una valida base giuridica per la raccolta e il trattamento dei dati personali degli Interessati tramite la Piattaforma
- Aver informato gli Interessati sul trattamento dei loro dati conformemente agli artt. 13 e 14 del GDPR (ad es. tramite la propria informativa sulla privacy)
- Utilizzare la Piattaforma esclusivamente per scopi leciti
- Informare immediatamente Bokrez di qualsiasi richiesta o reclamo degli Interessati relativo al trattamento tramite la Piattaforma
- Avere l'autorità di fornire istruzioni a Bokrez in merito al trattamento, incluse le istruzioni per la cancellazione o la modifica dei dati
10. Audit e ispezione
Il Titolare del trattamento ha il diritto di verificare la conformità di Bokrez al presente Accordo. Bokrez:
- Su richiesta, metterà a disposizione la documentazione pertinente sulle misure di sicurezza e conformità
- Una volta all'anno, con un preavviso di 30 giorni, consentirà al Titolare del trattamento o a un revisore indipendente autorizzato di effettuare un audit, a condizione che l'audit non comprometta le operazioni di Bokrez e che i costi siano a carico del Titolare del trattamento
11. Restituzione e cancellazione dei dati
Alla scadenza o risoluzione dell'abbonamento:
- Sarà data al Titolare del trattamento la possibilità di esportare i dati in formato leggibile automaticamente (CSV, JSON) entro 30 giorni
- Trascorso tale termine, Bokrez cancellerà tutti i dati personali degli Interessati trattati per conto del Titolare del trattamento, salvo obblighi di conservazione previsti dalla legge
- Su richiesta, Bokrez fornirà conferma scritta della cancellazione
12. Responsabilità
Bokrez è responsabile nei confronti del Titolare del trattamento per i danni diretti derivanti dalla violazione del presente Accordo o della normativa applicabile in materia di protezione dei dati da parte di Bokrez, fatte salve le limitazioni stabilite nei Termini di servizio.
Ciascuna parte è responsabile nei confronti dell'autorità di controllo per le proprie violazioni della normativa sulla protezione dei dati personali.
13. Legge applicabile
Il presente Accordo è regolato e interpretato in conformità alla legge della Repubblica di Croazia e alla normativa UE applicabile, in particolare al GDPR. Per qualsiasi controversia è competente il Tribunale Commerciale di Zagabria.
14. Modifiche
Bokrez può modificare il presente Accordo con un preavviso scritto di almeno 30 giorni. L'uso continuato della Piattaforma dopo la data di modifica costituisce accettazione. Se il Titolare del trattamento non è d'accordo, può recedere dall'abbonamento senza penalità.
Contatto per la protezione dei dati
360 Tour — Obrt za virtualne zapise — Bokrez Protezione dei Dati
Zagrebačka cesta 81, 10000 Zagabria
OIB: 59456273095
E-mail: [email protected]
Web: bokrez.com