Bokrez
Tratamento de dados Agreement
Última atualização: Maio 27, 2026. | Applicable pursuant to GDPR Article 28
Nota: Este Acordo de Tratamento de Dados ("DPA") aplica-se automaticamente entre cada Utilizador de Negócio ("Responsável pelo tratamento") e 360 Tour obrt ("Subcontratante", operador do Bokrez) a partir do momento do registo e aceitação dos Termos de Serviço. Não é necessária assinatura separada.
Estatuto do prestador
Na configuração inicial ou nas definições da empresa, selecione Prestador registado ou Prestador privado. Este estatuto é autodeclarado, serve apenas para informação e não constitui verificação ou recomendação da Bokrez. Pode controlar separadamente a visibilidade do e-mail da empresa e da morada e do telefone de cada localização. Os dados ocultos continuam disponíveis para as operações da empresa.
1. Partes e Definições
O presente Acordo de Tratamento de Dados é celebrado entre:
Responsável pelo tratamento:
O Utilizador comercial registado na plataforma Bokrez que trata os dados pessoais dos seus clientes finais através da Plataforma.
Subcontratante:
360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Croácia, OIB: 59456273095 — operador da plataforma Bokrez (bokrez.com).
No presente Acordo:
- “RGPD” designa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
- “Dados pessoais” tem o significado previsto no artigo 4.º, n.º 1, do RGPD.
- “Tratamento” tem o significado previsto no artigo 4.º, n.º 2, do RGPD.
- “Plataforma” designa o serviço SaaS Bokrez disponível em bokrez.com.
- “Titulares dos dados” designa os clientes finais do Responsável pelo tratamento cujos dados pessoais são tratados através da Plataforma.
- “Subcontratantes” designa terceiros contratados pelo Subcontratante para tratar dados pessoais por conta do Responsável pelo tratamento.
2. Objeto e Duração do Tratamento
O Subcontratante trata dados pessoais por conta do Responsável pelo tratamento exclusivamente para o fim de prestação do serviço Bokrez, conforme descrito nos Termos de Serviço.
| Objeto do tratamento | Gestão de reservas de marcações, dados de clientes (CRM), comunicações e funcionalidades relacionadas na plataforma Bokrez |
| Duração | Durante todo o período de subscrição ativa do Responsável pelo tratamento no Bokrez |
| Natureza do tratamento | Armazenamento, organização, recuperação, apresentação, envio de notificações, cópias de segurança |
| Finalidade | Prestação das funcionalidades da plataforma Bokrez ao Responsável pelo tratamento e aos seus utilizadores finais |
3. Tipos de Dados Pessoais e Categorias de Titulares dos Dados
3.1 Tipos de dados pessoais tratados
- Dados de identidade: nome, apelido
- Dados de contacto: endereço de e-mail, número de telemóvel
- Dados de reservas: datas, serviços, notas de marcações
- Notas de CRM e etiquetas introduzidas pelo Responsável pelo tratamento sobre os Titulares dos dados
- Dados do programa de fidelização: saldo de pontos/carimbos, histórico de transações
- Dados de avaliações e classificações
- Mensagens dentro da plataforma entre os Titulares dos dados e o Responsável pelo tratamento
O Bokrez não trata categorias especiais de dados pessoais (art. 9.º do RGPD) no âmbito do serviço padrão, exceto se o Responsável pelo tratamento introduzir expressamente tais dados em campos de texto livre, pelos quais assume total responsabilidade.
3.2 Categorias de Titulares dos dados
Clientes finais do Responsável pelo tratamento (pessoas singulares que reservam marcações ou comunicam com o Responsável pelo tratamento através da Plataforma).
4. Obrigações do Subcontratante
O Subcontratante (Bokrez) compromete-se a:
5. Medidas de Segurança
O Bokrez aplica as seguintes medidas técnicas e organizativas para proteger os dados pessoais dos Titulares dos dados:
| Medida | Detalhe de implementação |
|---|---|
| Encriptação em trânsito | TLS 1.2+ para todo o tráfego entre cliente e servidor |
| Encriptação em repouso | Disco encriptado para a base de dados e o sistema de ficheiros |
| Gestão de acessos | Controlo de acessos baseado em funções (RBAC); todos os acessos são autenticados e registados |
| Palavras-passe | Nunca armazenadas em formato legível; hash bcrypt com fator de custo 12 |
| Cópias de segurança | Cópias de segurança automáticas diárias e encriptadas da base de dados |
| Monitorização e registos | Registos de auditoria de acessos e alterações; conservados durante 90 dias |
| Gestão de subcontratantes | Todas as terceiras partes com acesso a dados estão vinculadas por acordos de tratamento de dados |
| Resposta a incidentes | Procedimento documentado de resposta a violações de dados com prazo de notificação à AZOP de 72 horas |
6. Subcontratantes
O Responsável pelo tratamento autoriza, de modo geral, o Bokrez a contratar subcontratantes. O Bokrez garante que todos os subcontratantes estão vinculados por obrigações contratuais equivalentes às do presente Acordo.
Subcontratantes atuais:
| Subcontratante | Finalidade | Localização | Base de transferência |
|---|---|---|---|
| ZeptoMail (Zoho Corporation) | Envio de e-mails transacionais | Índia | CCS |
| Fornecedor de alojamento (servidor UE) | Armazenamento de dados | UE | No interior do EEE |
| Google LLC | Autenticação (Google Sign-In), Mapas e serviços de localização | EUA | EU-US DPF |
| Apple Inc. | Autenticação (Sign in with Apple) | EUA | EU-US DPF |
| Expo (650 Industries, Inc.) | Entrega de notificações push | EUA | CCS |
O Bokrez notificará o Responsável pelo tratamento das alterações previstas nos subcontratantes com, pelo menos, 14 dias de antecedência. O Responsável pelo tratamento pode opor-se no prazo de 10 dias. Se a oposição não puder ser resolvida, o Responsável pelo tratamento tem o direito de rescindir o acordo sem penalização.
7. Notificação de Violação de Dados Pessoais
O Bokrez, sem demora indevida e, em qualquer caso, no prazo de 48 horas a contar do conhecimento de uma violação de dados pessoais que envolva dados tratados por conta do Responsável pelo tratamento, notificará o Responsável pelo tratamento.
A notificação conterá, no mínimo:
- Uma descrição da natureza da violação, incluindo as categorias e o número aproximado de Titulares dos dados e de registos afetados
- Os dados de contacto da pessoa disponível para mais informações
- Uma descrição das prováveis consequências da violação
- Uma descrição das medidas tomadas ou propostas para resolver a violação
O Responsável pelo tratamento mantém a responsabilidade pelas suas próprias obrigações de notificação à AZOP no prazo de 72 horas (art. 33.º do RGPD) e de comunicação aos Titulares dos dados (art. 34.º do RGPD).
8. Direitos dos Titulares dos Dados
O Bokrez, tendo em conta a natureza do tratamento, assistirá o Responsável pelo tratamento com medidas técnicas adequadas, na medida do possível, para cumprir as suas obrigações de resposta a pedidos de exercício de direitos dos Titulares dos dados (acesso, retificação, apagamento, limitação, portabilidade, oposição).
O Bokrez deve, sem demora indevida e no prazo de 5 dias úteis, reencaminhar ao Responsável pelo tratamento quaisquer pedidos de Titulares dos dados recebidos diretamente que digam respeito a dados tratados por conta do Responsável pelo tratamento.
9. Obrigações do Responsável pelo Tratamento
O Responsável pelo tratamento declara e garante que:
- Dispõe de uma base jurídica válida para a recolha e o tratamento dos dados pessoais dos Titulares dos dados através da Plataforma
- Informou os Titulares dos dados sobre o tratamento dos seus dados em conformidade com os artigos 13.º e 14.º do RGPD (por exemplo, através da sua própria política de privacidade)
- Utilizará a Plataforma apenas para fins lícitos
- Informará imediatamente o Bokrez de quaisquer pedidos ou reclamações dos Titulares dos dados relacionados com o tratamento através da Plataforma
- Tem a autoridade para dar instruções ao Bokrez relativas ao tratamento, incluindo instruções de eliminação ou modificação de dados
10. Auditoria e Inspeção
O Responsável pelo tratamento tem o direito de verificar a conformidade do Bokrez com o presente Acordo. O Bokrez:
- Mediante pedido, disponibilizará documentação relevante sobre as medidas de segurança e de conformidade
- Uma vez por ano, com um pré-aviso de 30 dias, permitirá ao Responsável pelo tratamento ou a um auditor independente autorizado realizar uma auditoria, desde que a auditoria não perturbe as operações do Bokrez e os custos da auditoria sejam suportados pelo Responsável pelo tratamento
11. Restituição e Eliminação de Dados
Após a expiração ou resolução da subscrição:
- Será dada ao Responsável pelo tratamento a possibilidade de exportar os dados em formato legível por máquina (CSV, JSON) no prazo de 30 dias
- Após esse período, o Bokrez eliminará todos os dados pessoais dos Titulares dos dados tratados por conta do Responsável pelo tratamento, exceto quando se aplique uma obrigação legal de conservação
- Mediante pedido, o Bokrez fornecerá confirmação por escrito da eliminação
12. Responsabilidade
O Bokrez é responsável perante o Responsável pelo tratamento pelos danos diretos resultantes da violação do presente Acordo ou da legislação aplicável em matéria de proteção de dados por parte do Bokrez, sujeito às limitações estabelecidas nos Termos de Serviço.
Cada parte é responsável perante a autoridade de controlo pelas suas próprias infrações aos regulamentos de proteção de dados.
13. Lei Aplicável
O presente Acordo rege-se e interpreta-se em conformidade com a lei da República da Croácia e a legislação aplicável da UE, em particular o RGPD. O Tribunal Comercial de Zagreb tem jurisdição sobre quaisquer litígios.
14. Alterações
O Bokrez pode alterar o presente Acordo com, pelo menos, 30 dias de pré-aviso por escrito. A utilização continuada da Plataforma após a data de alteração constitui aceitação. Se o Responsável pelo tratamento não concordar, pode rescindir a subscrição sem penalização.
Contacto para Proteção de Dados
360 Tour — Obrt za virtualne zapise — Bokrez Proteção de Dados
Zagrebačka cesta 81, 10000 Zagreb
OIB: 59456273095
E-mail: [email protected]
Web: bokrez.com