Bokrez

Bokrez

Соглашение об обработке данных

Последнее обновление: 27 мая 2026 г. | Действует согласно статье 28 GDPR

Примечание: Настоящее Соглашение об обработке данных («DPA») автоматически применяется между каждым Бизнес-пользователем («Контролёр») и 360 Tour obrt («Обработчик», оператор Bokrez) с момента регистрации и принятия Условий использования. Отдельная подпись не требуется.

Статус поставщика услуг

При первоначальной настройке или в настройках организации выберите Зарегистрированный поставщик или Частный поставщик. Этот статус указывается Вами самостоятельно, носит информационный характер и не является проверкой или рекомендацией Bokrez. Вы можете отдельно управлять видимостью рабочего адреса электронной почты, а также адреса и телефона каждой точки. Скрытые данные остаются доступными для рабочих процессов.

1. Стороны и определения

Настоящее Соглашение об обработке данных заключается между:

Контролёр данных:

Бизнес, зарегистрированный на платформе Bokrez, который обрабатывает персональные данные своих конечных клиентов через Платформу.

Обработчик:

360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Загреб, Хорватия, OIB: 59456273095 — оператор платформы Bokrez (bokrez.com).

В настоящем Соглашении:

  • «GDPR» означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года.
  • «Персональные данные» имеет значение, указанное в ст. 4 п. 1 GDPR.
  • «Обработка» имеет значение, указанное в ст. 4 п. 2 GDPR.
  • «Платформа» означает SaaS-службу Bokrez, доступную на bokrez.com.
  • «Субъекты данных» означает конечных клиентов Контролёра, чьи персональные данные обрабатываются через Платформу.
  • «Субобработчики» означает третьих лиц, которых Обработчик привлекает для обработки персональных данных от имени Контролёра.

2. Предмет и срок обработки

Обработчик обрабатывает персональные данные от имени Контролёра исключительно в целях предоставления услуги Bokrez, как описано в Условиях использования.

Предмет обработкиУправление бронированием записей, данными клиентов (CRM), коммуникацией и сопутствующими функциями в рамках платформы Bokrez
СрокВ течение всего периода активной подписки Контролёра у Bokrez
Характер обработкиХранение, организация, поиск, отображение, отправка уведомлений, резервное копирование
Цель обработкиПредоставление функций платформы Bokrez Контролёру и его конечным пользователям

3. Типы персональных данных и категории субъектов данных

3.1 Типы обрабатываемых персональных данных

  • Идентификационные данные: имя, фамилия
  • Контактные данные: адрес эл. почты, номер мобильного телефона
  • Данные о бронированиях: даты, услуги, заметки к приёмам
  • CRM-заметки и метки, введённые Контролёром о Субъектах данных
  • Данные программы лояльности: остаток баллов/печатей, история транзакций
  • Данные об отзывах и оценках
  • Сообщения внутри платформы между Субъектами данных и Контролёром

Bokrez в рамках стандартной услуги не обрабатывает специальные категории персональных данных (ст. 9 GDPR), за исключением случаев, когда Контролёр явно вводит такие данные в свободные текстовые поля, за что несёт полную ответственность.

3.2 Категории субъектов данных

Конечные клиенты Контролёра (физические лица, которые записываются на приём или общаются с Контролёром через Платформу).

4. Обязанности Обработчика

Обработчик (Bokrez) обязуется:

Обработка только по инструкциям: Обрабатывать персональные данные исключительно на основании документированных инструкций Контролёра, как установлено в настоящем Соглашении и Условиях использования, и немедленно уведомлять Контролёра, если какая-либо инструкция нарушает GDPR или применимое право.
Конфиденциальность: Обеспечить, чтобы весь персонал и субобработчики, обрабатывающие персональные данные, приняли надлежащие обязательства о конфиденциальности.
Безопасность: Применять технические и организационные меры в соответствии со ст. 32 GDPR с учётом характера, объёма, контекста и цели обработки, а также рисков для прав и свобод физических лиц.
Субобработчики: Привлекать субобработчиков только с предварительного письменного разрешения (общего или конкретного) Контролёра, как регулируется статьёй 6 настоящего Соглашения.
Содействие в реализации прав: С учётом характера обработки помогать Контролёру надлежащими техническими и организационными мерами, насколько это разумно возможно, в выполнении обязанности отвечать на запросы субъектов данных о реализации их прав.
Содействие в соблюдении нормативных требований: Помогать Контролёру в выполнении обязанностей согласно ст. 32–36 GDPR (безопасность, нарушение данных, оценка воздействия, предварительные консультации).
Удаление или возврат данных: После прекращения услуги по запросу Контролёра удалить или вернуть все персональные данные и обеспечить, чтобы субобработчики сделали то же самое.
Сотрудничество и аудит: Предоставить Контролёру всю информацию, необходимую для подтверждения соблюдения настоящей статьи, и разрешить аудиты или инспекции, проводимые Контролёром или его аудитором.

5. Меры безопасности

Bokrez применяет следующие технические и организационные меры для защиты персональных данных Субъектов данных:

МераДеталь реализации
Шифрование при передачеTLS 1.2+ для всего трафика между клиентом и сервером
Шифрование при храненииЗашифрованный диск для базы данных и файловой системы
Управление доступомУправление доступом на основе ролей (RBAC); весь доступ аутентифицируется и фиксируется
ПаролиНикогда не хранятся в открытом виде; bcrypt-хеширование с фактором стоимости 12
Резервные копииЕжедневное автоматическое зашифрованное резервное копирование базы данных
Мониторинг и журналированиеАудиторские журналы доступа и изменений; хранятся 90 дней
Управление субобработчикамиВсе третьи стороны с доступом к данным связаны соглашениями об обработке данных
Реагирование на инцидентыЗадокументированная процедура реагирования на нарушения защиты данных с 72-часовым сроком уведомления AZOP

6. Субобработчики

Контролёр настоящим в общем порядке уполномочивает Bokrez привлекать субобработчиков. Bokrez обеспечивает, чтобы все субобработчики были связаны договорными обязательствами, эквивалентными тем, что в настоящем Соглашении.

Текущие субобработчики:

СубобработчикЦельМестоположениеОснование передачи
ZeptoMail (Zoho Corporation)Отправка транзакционных писемИндияSCC
Хостинг-провайдер (сервер в ЕС)Хранение данныхЕСВ пределах ЕЭП
Google LLCАутентификация (Google Sign-In), Карты и службы определения местоположенияСШАEU-US DPF
Apple Inc.Аутентификация (Sign in with Apple)СШАEU-US DPF
Expo (650 Industries, Inc.)Доставка push-уведомленийСШАSCC

Bokrez уведомляет Контролёра о планируемых изменениях субобработчиков не менее чем за 14 дней до их внесения. Контролёр может возразить в течение 10 дней. Если возражение не может быть разрешено, Контролёр имеет право расторгнуть соглашение без штрафов.

7. Уведомление о нарушении защиты персональных данных

Bokrez без неоправданной задержки, в любом случае в течение 48 часов с момента обнаружения нарушения защиты персональных данных, затрагивающего данные, обрабатываемые от имени Контролёра, уведомит Контролёра.

Уведомление будет как минимум содержать:

  • Описание характера нарушения, включая категории и примерное количество затронутых Субъектов данных и записей
  • Контактные данные лица, доступного для получения дополнительной информации
  • Описание вероятных последствий нарушения
  • Описание принятых или предлагаемых мер по устранению нарушения

Контролёр сохраняет ответственность за собственные обязательства по уведомлению AZOP в течение 72 часов (ст. 33 GDPR) и информированию Субъектов данных (ст. 34 GDPR).

8. Права субъектов данных

Bokrez с учётом характера обработки обязуется помогать Контролёру надлежащими техническими мерами, насколько это возможно, в выполнении его обязанности отвечать на запросы субъектов данных о реализации прав (доступ, исправление, удаление, ограничение, переносимость, возражение).

Bokrez обязан без неоправданной задержки, но не позднее 5 рабочих дней, передать Контролёру все запросы субъектов данных, полученные им напрямую и касающиеся данных, которые Bokrez обрабатывает от имени Контролёра.

9. Обязанности Контролёра

Контролёр заявляет и гарантирует, что:

  • Имеет действующее правовое основание для сбора и обработки персональных данных Субъектов данных через Платформу
  • Информировал Субъектов данных об обработке их данных в соответствии со ст. 13 и 14 GDPR (например, через собственную политику конфиденциальности)
  • Будет использовать Платформу исключительно в законных целях
  • Незамедлительно уведомит Bokrez о любых запросах или жалобах Субъектов данных, касающихся обработки через Платформу
  • Имеет полномочия давать Bokrez инструкции по обработке, включая инструкции по удалению или изменению данных

10. Аудит и инспекция

Контролёр имеет право проверить соблюдение Bokrez настоящего Соглашения. Bokrez:

  • По запросу предоставит соответствующую документацию по мерам безопасности и соблюдению нормативных требований
  • Раз в год с предварительным уведомлением за 30 дней разрешит Контролёру или уполномоченному независимому аудитору провести аудит, если аудит не нарушает работу Bokrez, а расходы на аудит несёт Контролёр

11. Возврат и удаление данных

После истечения или отмены подписки:

  • Контролёру будет предоставлена возможность экспортировать данные в машиночитаемом формате (CSV, JSON) в течение 30 дней
  • По истечении этого срока Bokrez удалит все персональные данные Субъектов данных, обрабатываемые от имени Контролёра, за исключением случаев, когда применяется законное обязательство по хранению
  • По запросу Bokrez предоставит письменное подтверждение удаления

12. Ответственность

Bokrez несёт перед Контролёром ответственность за прямой ущерб, возникший в результате нарушения настоящего Соглашения или применимого законодательства о защите данных со стороны Bokrez, с учётом ограничений, установленных в Условиях использования.

Каждая сторона несёт перед надзорным органом независимую ответственность за собственные нарушения нормативных актов о защите персональных данных.

13. Применимое право

Настоящее Соглашение регулируется и толкуется в соответствии с правом Республики Хорватия и применимым правом ЕС, в частности GDPR. Коммерческий суд в Загребе имеет юрисдикцию по любым спорам.

14. Изменения

Bokrez может изменять настоящее Соглашение с предварительным письменным уведомлением не менее чем за 30 дней. Продолжение использования Платформы после даты изменения означает согласие. Если Контролёр не согласен, он может отменить подписку без штрафов.

Контакт для защиты данных

360 Tour — Obrt za virtualne zapise — Bokrez защита данных

Zagrebačka cesta 81, 10000 Загреб

OIB: 59456273095

Эл. почта: [email protected]

Веб-сайт: bokrez.com