Bokrez

Bokrez

Tratamento de dados Agreement

Última atualização: Maio 27, 2026. | Applicable pursuant to GDPR Article 28

Nota: Este Acordo de Tratamento de Dados ("DPA") aplica-se automaticamente entre cada Utilizador de Negócio ("Responsável pelo tratamento") e 360 Tour obrt ("Subcontratante", operador do Bokrez) a partir do momento do registo e aceitação dos Termos de Serviço. Não é necessária assinatura separada.

Estatuto do prestador

Na configuração inicial ou nas definições da empresa, selecione Prestador registado ou Prestador privado. Este estatuto é autodeclarado, serve apenas para informação e não constitui verificação ou recomendação da Bokrez. Pode controlar separadamente a visibilidade do e-mail da empresa e da morada e do telefone de cada localização. Os dados ocultos continuam disponíveis para as operações da empresa.

1. Partes e Definições

O presente Acordo de Tratamento de Dados é celebrado entre:

Responsável pelo tratamento:

O Utilizador comercial registado na plataforma Bokrez que trata os dados pessoais dos seus clientes finais através da Plataforma.

Subcontratante:

360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Croácia, OIB: 59456273095 — operador da plataforma Bokrez (bokrez.com).

No presente Acordo:

  • “RGPD” designa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
  • “Dados pessoais” tem o significado previsto no artigo 4.º, n.º 1, do RGPD.
  • “Tratamento” tem o significado previsto no artigo 4.º, n.º 2, do RGPD.
  • “Plataforma” designa o serviço SaaS Bokrez disponível em bokrez.com.
  • “Titulares dos dados” designa os clientes finais do Responsável pelo tratamento cujos dados pessoais são tratados através da Plataforma.
  • “Subcontratantes” designa terceiros contratados pelo Subcontratante para tratar dados pessoais por conta do Responsável pelo tratamento.

2. Objeto e Duração do Tratamento

O Subcontratante trata dados pessoais por conta do Responsável pelo tratamento exclusivamente para o fim de prestação do serviço Bokrez, conforme descrito nos Termos de Serviço.

Objeto do tratamentoGestão de reservas de marcações, dados de clientes (CRM), comunicações e funcionalidades relacionadas na plataforma Bokrez
DuraçãoDurante todo o período de subscrição ativa do Responsável pelo tratamento no Bokrez
Natureza do tratamentoArmazenamento, organização, recuperação, apresentação, envio de notificações, cópias de segurança
FinalidadePrestação das funcionalidades da plataforma Bokrez ao Responsável pelo tratamento e aos seus utilizadores finais

3. Tipos de Dados Pessoais e Categorias de Titulares dos Dados

3.1 Tipos de dados pessoais tratados

  • Dados de identidade: nome, apelido
  • Dados de contacto: endereço de e-mail, número de telemóvel
  • Dados de reservas: datas, serviços, notas de marcações
  • Notas de CRM e etiquetas introduzidas pelo Responsável pelo tratamento sobre os Titulares dos dados
  • Dados do programa de fidelização: saldo de pontos/carimbos, histórico de transações
  • Dados de avaliações e classificações
  • Mensagens dentro da plataforma entre os Titulares dos dados e o Responsável pelo tratamento

O Bokrez não trata categorias especiais de dados pessoais (art. 9.º do RGPD) no âmbito do serviço padrão, exceto se o Responsável pelo tratamento introduzir expressamente tais dados em campos de texto livre, pelos quais assume total responsabilidade.

3.2 Categorias de Titulares dos dados

Clientes finais do Responsável pelo tratamento (pessoas singulares que reservam marcações ou comunicam com o Responsável pelo tratamento através da Plataforma).

4. Obrigações do Subcontratante

O Subcontratante (Bokrez) compromete-se a:

Tratamento apenas mediante instruções: Tratar dados pessoais apenas com base em instruções documentadas do Responsável pelo tratamento, conforme estabelecido no presente Acordo e nos Termos de Serviço, e informar imediatamente o Responsável pelo tratamento se qualquer instrução infringir o RGPD ou a lei aplicável.
Confidencialidade: Garantir que todo o pessoal e os subcontratantes que tratem dados pessoais tenham assumido obrigações de confidencialidade adequadas.
Segurança: Aplicar medidas técnicas e organizativas nos termos do artigo 32.º do RGPD, tendo em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.
Subcontratantes: Contratar subcontratantes apenas com autorização prévia e por escrito (geral ou específica) do Responsável pelo tratamento, conforme regulado no artigo 6.º do presente Acordo.
Assistência no exercício de direitos: Tendo em conta a natureza do tratamento, assistir o Responsável pelo tratamento com medidas técnicas e organizativas adequadas, na medida do razoavelmente possível, para cumprir a obrigação de responder a pedidos de exercício de direitos dos Titulares dos dados.
Assistência de conformidade: Assistir o Responsável pelo tratamento no cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD (segurança, violações de dados, avaliações de impacto, consultas prévias).
Eliminação ou devolução de dados: Após a cessação do serviço, a pedido do Responsável pelo tratamento, eliminar ou devolver todos os dados pessoais e garantir que os subcontratantes procedam do mesmo modo.
Cooperação e auditoria: Disponibilizar ao Responsável pelo tratamento todas as informações necessárias para demonstrar a conformidade com o presente artigo e permitir auditorias ou inspeções conduzidas pelo Responsável pelo tratamento ou pelo seu auditor.

5. Medidas de Segurança

O Bokrez aplica as seguintes medidas técnicas e organizativas para proteger os dados pessoais dos Titulares dos dados:

MedidaDetalhe de implementação
Encriptação em trânsitoTLS 1.2+ para todo o tráfego entre cliente e servidor
Encriptação em repousoDisco encriptado para a base de dados e o sistema de ficheiros
Gestão de acessosControlo de acessos baseado em funções (RBAC); todos os acessos são autenticados e registados
Palavras-passeNunca armazenadas em formato legível; hash bcrypt com fator de custo 12
Cópias de segurançaCópias de segurança automáticas diárias e encriptadas da base de dados
Monitorização e registosRegistos de auditoria de acessos e alterações; conservados durante 90 dias
Gestão de subcontratantesTodas as terceiras partes com acesso a dados estão vinculadas por acordos de tratamento de dados
Resposta a incidentesProcedimento documentado de resposta a violações de dados com prazo de notificação à AZOP de 72 horas

6. Subcontratantes

O Responsável pelo tratamento autoriza, de modo geral, o Bokrez a contratar subcontratantes. O Bokrez garante que todos os subcontratantes estão vinculados por obrigações contratuais equivalentes às do presente Acordo.

Subcontratantes atuais:

SubcontratanteFinalidadeLocalizaçãoBase de transferência
ZeptoMail (Zoho Corporation)Envio de e-mails transacionaisÍndiaCCS
Fornecedor de alojamento (servidor UE)Armazenamento de dadosUENo interior do EEE
Google LLCAutenticação (Google Sign-In), Mapas e serviços de localizaçãoEUAEU-US DPF
Apple Inc.Autenticação (Sign in with Apple)EUAEU-US DPF
Expo (650 Industries, Inc.)Entrega de notificações pushEUACCS

O Bokrez notificará o Responsável pelo tratamento das alterações previstas nos subcontratantes com, pelo menos, 14 dias de antecedência. O Responsável pelo tratamento pode opor-se no prazo de 10 dias. Se a oposição não puder ser resolvida, o Responsável pelo tratamento tem o direito de rescindir o acordo sem penalização.

7. Notificação de Violação de Dados Pessoais

O Bokrez, sem demora indevida e, em qualquer caso, no prazo de 48 horas a contar do conhecimento de uma violação de dados pessoais que envolva dados tratados por conta do Responsável pelo tratamento, notificará o Responsável pelo tratamento.

A notificação conterá, no mínimo:

  • Uma descrição da natureza da violação, incluindo as categorias e o número aproximado de Titulares dos dados e de registos afetados
  • Os dados de contacto da pessoa disponível para mais informações
  • Uma descrição das prováveis consequências da violação
  • Uma descrição das medidas tomadas ou propostas para resolver a violação

O Responsável pelo tratamento mantém a responsabilidade pelas suas próprias obrigações de notificação à AZOP no prazo de 72 horas (art. 33.º do RGPD) e de comunicação aos Titulares dos dados (art. 34.º do RGPD).

8. Direitos dos Titulares dos Dados

O Bokrez, tendo em conta a natureza do tratamento, assistirá o Responsável pelo tratamento com medidas técnicas adequadas, na medida do possível, para cumprir as suas obrigações de resposta a pedidos de exercício de direitos dos Titulares dos dados (acesso, retificação, apagamento, limitação, portabilidade, oposição).

O Bokrez deve, sem demora indevida e no prazo de 5 dias úteis, reencaminhar ao Responsável pelo tratamento quaisquer pedidos de Titulares dos dados recebidos diretamente que digam respeito a dados tratados por conta do Responsável pelo tratamento.

9. Obrigações do Responsável pelo Tratamento

O Responsável pelo tratamento declara e garante que:

  • Dispõe de uma base jurídica válida para a recolha e o tratamento dos dados pessoais dos Titulares dos dados através da Plataforma
  • Informou os Titulares dos dados sobre o tratamento dos seus dados em conformidade com os artigos 13.º e 14.º do RGPD (por exemplo, através da sua própria política de privacidade)
  • Utilizará a Plataforma apenas para fins lícitos
  • Informará imediatamente o Bokrez de quaisquer pedidos ou reclamações dos Titulares dos dados relacionados com o tratamento através da Plataforma
  • Tem a autoridade para dar instruções ao Bokrez relativas ao tratamento, incluindo instruções de eliminação ou modificação de dados

10. Auditoria e Inspeção

O Responsável pelo tratamento tem o direito de verificar a conformidade do Bokrez com o presente Acordo. O Bokrez:

  • Mediante pedido, disponibilizará documentação relevante sobre as medidas de segurança e de conformidade
  • Uma vez por ano, com um pré-aviso de 30 dias, permitirá ao Responsável pelo tratamento ou a um auditor independente autorizado realizar uma auditoria, desde que a auditoria não perturbe as operações do Bokrez e os custos da auditoria sejam suportados pelo Responsável pelo tratamento

11. Restituição e Eliminação de Dados

Após a expiração ou resolução da subscrição:

  • Será dada ao Responsável pelo tratamento a possibilidade de exportar os dados em formato legível por máquina (CSV, JSON) no prazo de 30 dias
  • Após esse período, o Bokrez eliminará todos os dados pessoais dos Titulares dos dados tratados por conta do Responsável pelo tratamento, exceto quando se aplique uma obrigação legal de conservação
  • Mediante pedido, o Bokrez fornecerá confirmação por escrito da eliminação

12. Responsabilidade

O Bokrez é responsável perante o Responsável pelo tratamento pelos danos diretos resultantes da violação do presente Acordo ou da legislação aplicável em matéria de proteção de dados por parte do Bokrez, sujeito às limitações estabelecidas nos Termos de Serviço.

Cada parte é responsável perante a autoridade de controlo pelas suas próprias infrações aos regulamentos de proteção de dados.

13. Lei Aplicável

O presente Acordo rege-se e interpreta-se em conformidade com a lei da República da Croácia e a legislação aplicável da UE, em particular o RGPD. O Tribunal Comercial de Zagreb tem jurisdição sobre quaisquer litígios.

14. Alterações

O Bokrez pode alterar o presente Acordo com, pelo menos, 30 dias de pré-aviso por escrito. A utilização continuada da Plataforma após a data de alteração constitui aceitação. Se o Responsável pelo tratamento não concordar, pode rescindir a subscrição sem penalização.

Contacto para Proteção de Dados

360 Tour — Obrt za virtualne zapise — Bokrez Proteção de Dados

Zagrebačka cesta 81, 10000 Zagreb

OIB: 59456273095

E-mail: [email protected]

Web: bokrez.com