Bokrez
Соглашение об обработке данных
Последнее обновление: 27 мая 2026 г. | Действует согласно статье 28 GDPR
Примечание: Настоящее Соглашение об обработке данных («DPA») автоматически применяется между каждым Бизнес-пользователем («Контролёр») и 360 Tour obrt («Обработчик», оператор Bokrez) с момента регистрации и принятия Условий использования. Отдельная подпись не требуется.
Статус поставщика услуг
При первоначальной настройке или в настройках организации выберите Зарегистрированный поставщик или Частный поставщик. Этот статус указывается Вами самостоятельно, носит информационный характер и не является проверкой или рекомендацией Bokrez. Вы можете отдельно управлять видимостью рабочего адреса электронной почты, а также адреса и телефона каждой точки. Скрытые данные остаются доступными для рабочих процессов.
1. Стороны и определения
Настоящее Соглашение об обработке данных заключается между:
Контролёр данных:
Бизнес, зарегистрированный на платформе Bokrez, который обрабатывает персональные данные своих конечных клиентов через Платформу.
Обработчик:
360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Загреб, Хорватия, OIB: 59456273095 — оператор платформы Bokrez (bokrez.com).
В настоящем Соглашении:
- «GDPR» означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года.
- «Персональные данные» имеет значение, указанное в ст. 4 п. 1 GDPR.
- «Обработка» имеет значение, указанное в ст. 4 п. 2 GDPR.
- «Платформа» означает SaaS-службу Bokrez, доступную на bokrez.com.
- «Субъекты данных» означает конечных клиентов Контролёра, чьи персональные данные обрабатываются через Платформу.
- «Субобработчики» означает третьих лиц, которых Обработчик привлекает для обработки персональных данных от имени Контролёра.
2. Предмет и срок обработки
Обработчик обрабатывает персональные данные от имени Контролёра исключительно в целях предоставления услуги Bokrez, как описано в Условиях использования.
| Предмет обработки | Управление бронированием записей, данными клиентов (CRM), коммуникацией и сопутствующими функциями в рамках платформы Bokrez |
| Срок | В течение всего периода активной подписки Контролёра у Bokrez |
| Характер обработки | Хранение, организация, поиск, отображение, отправка уведомлений, резервное копирование |
| Цель обработки | Предоставление функций платформы Bokrez Контролёру и его конечным пользователям |
3. Типы персональных данных и категории субъектов данных
3.1 Типы обрабатываемых персональных данных
- Идентификационные данные: имя, фамилия
- Контактные данные: адрес эл. почты, номер мобильного телефона
- Данные о бронированиях: даты, услуги, заметки к приёмам
- CRM-заметки и метки, введённые Контролёром о Субъектах данных
- Данные программы лояльности: остаток баллов/печатей, история транзакций
- Данные об отзывах и оценках
- Сообщения внутри платформы между Субъектами данных и Контролёром
Bokrez в рамках стандартной услуги не обрабатывает специальные категории персональных данных (ст. 9 GDPR), за исключением случаев, когда Контролёр явно вводит такие данные в свободные текстовые поля, за что несёт полную ответственность.
3.2 Категории субъектов данных
Конечные клиенты Контролёра (физические лица, которые записываются на приём или общаются с Контролёром через Платформу).
4. Обязанности Обработчика
Обработчик (Bokrez) обязуется:
5. Меры безопасности
Bokrez применяет следующие технические и организационные меры для защиты персональных данных Субъектов данных:
| Мера | Деталь реализации |
|---|---|
| Шифрование при передаче | TLS 1.2+ для всего трафика между клиентом и сервером |
| Шифрование при хранении | Зашифрованный диск для базы данных и файловой системы |
| Управление доступом | Управление доступом на основе ролей (RBAC); весь доступ аутентифицируется и фиксируется |
| Пароли | Никогда не хранятся в открытом виде; bcrypt-хеширование с фактором стоимости 12 |
| Резервные копии | Ежедневное автоматическое зашифрованное резервное копирование базы данных |
| Мониторинг и журналирование | Аудиторские журналы доступа и изменений; хранятся 90 дней |
| Управление субобработчиками | Все третьи стороны с доступом к данным связаны соглашениями об обработке данных |
| Реагирование на инциденты | Задокументированная процедура реагирования на нарушения защиты данных с 72-часовым сроком уведомления AZOP |
6. Субобработчики
Контролёр настоящим в общем порядке уполномочивает Bokrez привлекать субобработчиков. Bokrez обеспечивает, чтобы все субобработчики были связаны договорными обязательствами, эквивалентными тем, что в настоящем Соглашении.
Текущие субобработчики:
| Субобработчик | Цель | Местоположение | Основание передачи |
|---|---|---|---|
| ZeptoMail (Zoho Corporation) | Отправка транзакционных писем | Индия | SCC |
| Хостинг-провайдер (сервер в ЕС) | Хранение данных | ЕС | В пределах ЕЭП |
| Google LLC | Аутентификация (Google Sign-In), Карты и службы определения местоположения | США | EU-US DPF |
| Apple Inc. | Аутентификация (Sign in with Apple) | США | EU-US DPF |
| Expo (650 Industries, Inc.) | Доставка push-уведомлений | США | SCC |
Bokrez уведомляет Контролёра о планируемых изменениях субобработчиков не менее чем за 14 дней до их внесения. Контролёр может возразить в течение 10 дней. Если возражение не может быть разрешено, Контролёр имеет право расторгнуть соглашение без штрафов.
7. Уведомление о нарушении защиты персональных данных
Bokrez без неоправданной задержки, в любом случае в течение 48 часов с момента обнаружения нарушения защиты персональных данных, затрагивающего данные, обрабатываемые от имени Контролёра, уведомит Контролёра.
Уведомление будет как минимум содержать:
- Описание характера нарушения, включая категории и примерное количество затронутых Субъектов данных и записей
- Контактные данные лица, доступного для получения дополнительной информации
- Описание вероятных последствий нарушения
- Описание принятых или предлагаемых мер по устранению нарушения
Контролёр сохраняет ответственность за собственные обязательства по уведомлению AZOP в течение 72 часов (ст. 33 GDPR) и информированию Субъектов данных (ст. 34 GDPR).
8. Права субъектов данных
Bokrez с учётом характера обработки обязуется помогать Контролёру надлежащими техническими мерами, насколько это возможно, в выполнении его обязанности отвечать на запросы субъектов данных о реализации прав (доступ, исправление, удаление, ограничение, переносимость, возражение).
Bokrez обязан без неоправданной задержки, но не позднее 5 рабочих дней, передать Контролёру все запросы субъектов данных, полученные им напрямую и касающиеся данных, которые Bokrez обрабатывает от имени Контролёра.
9. Обязанности Контролёра
Контролёр заявляет и гарантирует, что:
- Имеет действующее правовое основание для сбора и обработки персональных данных Субъектов данных через Платформу
- Информировал Субъектов данных об обработке их данных в соответствии со ст. 13 и 14 GDPR (например, через собственную политику конфиденциальности)
- Будет использовать Платформу исключительно в законных целях
- Незамедлительно уведомит Bokrez о любых запросах или жалобах Субъектов данных, касающихся обработки через Платформу
- Имеет полномочия давать Bokrez инструкции по обработке, включая инструкции по удалению или изменению данных
10. Аудит и инспекция
Контролёр имеет право проверить соблюдение Bokrez настоящего Соглашения. Bokrez:
- По запросу предоставит соответствующую документацию по мерам безопасности и соблюдению нормативных требований
- Раз в год с предварительным уведомлением за 30 дней разрешит Контролёру или уполномоченному независимому аудитору провести аудит, если аудит не нарушает работу Bokrez, а расходы на аудит несёт Контролёр
11. Возврат и удаление данных
После истечения или отмены подписки:
- Контролёру будет предоставлена возможность экспортировать данные в машиночитаемом формате (CSV, JSON) в течение 30 дней
- По истечении этого срока Bokrez удалит все персональные данные Субъектов данных, обрабатываемые от имени Контролёра, за исключением случаев, когда применяется законное обязательство по хранению
- По запросу Bokrez предоставит письменное подтверждение удаления
12. Ответственность
Bokrez несёт перед Контролёром ответственность за прямой ущерб, возникший в результате нарушения настоящего Соглашения или применимого законодательства о защите данных со стороны Bokrez, с учётом ограничений, установленных в Условиях использования.
Каждая сторона несёт перед надзорным органом независимую ответственность за собственные нарушения нормативных актов о защите персональных данных.
13. Применимое право
Настоящее Соглашение регулируется и толкуется в соответствии с правом Республики Хорватия и применимым правом ЕС, в частности GDPR. Коммерческий суд в Загребе имеет юрисдикцию по любым спорам.
14. Изменения
Bokrez может изменять настоящее Соглашение с предварительным письменным уведомлением не менее чем за 30 дней. Продолжение использования Платформы после даты изменения означает согласие. Если Контролёр не согласен, он может отменить подписку без штрафов.
Контакт для защиты данных
360 Tour — Obrt za virtualne zapise — Bokrez защита данных
Zagrebačka cesta 81, 10000 Загреб
OIB: 59456273095
Эл. почта: [email protected]
Веб-сайт: bokrez.com