Bokrez

Bokrez

Pogodba o obdelava podatkov

Zadnje posodabljanje: 1. aprila 2026. | Primjenjivo na podlagi čl. 28 GDPR-a

Opomba: Ta Pogodba o obdelava podatkov ("UOP" ali "DPA") samodejno se uporablja med vsakega Poslovnega uporabnikov ("Vodje obdelave") in 360 Tour obrt ("Izvršitelja obdelave" kateri upravlja Bokrezom) od trenutka registracije in prihvačanja Pogojev uporab. Ni potreben poseban potpis.

Status ponudnika

Med uvajanjem ali v nastavitvah podjetja izberite Registrirani ponudnik ali Zasebni ponudnik. Status je Vaša lastna izjava, je zgolj informativen in ne pomeni preverjanja ali priporočila Bokreza. Ločeno lahko upravljate javno vidnost poslovnega e-naslova ter naslova in telefona posamezne lokacije. Skriti podatki ostanejo na voljo za poslovne postopke.

1. Stranki in definicije

Ta Sporazum o obdelavi podatkov sklepata:

Upravljalec:

Poslovni uporabnik, ki je registriran na platformi Bokrez in obdeluje osebne podatke svojih končnih strank prek Platforme.

Obdelovalec:

360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Hrvaška, OIB: 59456273095 — operater platforme Bokrez (bokrez.com).

V tem Sporazumu:

  • »GDPR« pomeni Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016.
  • »Osebni podatki« ima pomen iz člena 4 odstavka 1 GDPR.
  • »Obdelava« ima pomen iz člena 4 odstavka 2 GDPR.
  • »Platforma« pomeni SaaS storitev Bokrez, dostopno na bokrez.com.
  • »Posamezniki« pomeni končne stranke Upravljavca, katerih osebni podatki se obdelujejo prek Platforme.
  • »Podizvajalci obdelovalci« pomeni tretje osebe, ki jih Obdelovalec angažira za obdelavo osebnih podatkov v imenu Upravljavca.

2. Predmet in trajanje obdelave

Obdelovalec obdeluje osebne podatke v imenu Upravljavca izključno v namene zagotavljanja storitve Bokrez, kot je opisano v Pogojih uporabe.

Predmet obdelaveUpravljanje rezervacij terminov, podatkov o strankah (CRM), komunikacije in spremljajočih funkcij znotraj platforme Bokrez
TrajanjeZa celotno obdobje aktivne naročnine Upravljavca na platformi Bokrez
Narava obdelaveHramba, organizacija, iskanje, prikaz, pošiljanje obvestil, varnostno kopiranje
Namen obdelaveZagotavljanje funkcionalnosti platforme Bokrez Upravljalcu in njegovim končnim uporabnikom

3. Vrste osebnih podatkov in kategorije posameznikov

3.1 Vrste osebnih podatkov, ki se obdelujejo

  • Identifikacijski podatki: ime, priimek
  • Kontaktni podatki: e-pošta, številka mobilnega telefona
  • Podatki o rezervacijah: datumi, storitve, opombe ob terminu
  • CRM opombe in oznake, ki jih Upravljalec beleži o posameznikih
  • Podatki o programih zvestobe: število točk/žigov, zgodovina transakcij
  • Podatki o recenzijah in ocenah
  • Sporočila znotraj platforme med posamezniki in Upravljalcem

Bokrez v okviru standardne storitve ne obdeluje posebnih kategorij osebnih podatkov (čl. 9 GDPR), razen če Upravljalec izrecno vnese take podatke v polja prostega besedila, za kar nosi polno odgovornost.

3.2 Kategorije posameznikov

Končne stranke Upravljavca (fizične osebe, ki rezervirajo termine ali komunicirajo z Upravljalcem prek Platforme).

4. Obveznosti Obdelovalca

Obdelovalec (Bokrez) se zavezuje, da bo:

Obdelava le po navodilih: Osebne podatke obdeloval izključno po dokumentiranih navodilih Upravljavca, kot je določeno v tem Sporazumu in Pogojih uporabe, ter takoj obvestil Upravljavca, če meni, da neko navodilo krši GDPR ali uporabno pravo.
Zaupnost: Zagotovil, da bo vso osebje in podizvajalci, ki obdelujejo osebne podatke, prevzeli ustrezne obveznosti zaupnosti.
Varnost: Uporabljal tehnične in organizacijske ukrepe iz člena 32 GDPR, ob upoštevanju narave, obsega, konteksta in namena obdelave ter tveganj za pravice in svoboščine fizičnih oseb.
Podizvajalci: Angažiral podizvajalce obdelovalce samo s predhodnim pisnim odobrenjem (splošnim ali posebnim) Upravljavca, kot je urejeno v členu 6 tega Sporazuma.
Pomoč pri uveljavljanju pravic: Ob upoštevanju narave obdelave pomagal Upravljalcu z ustreznimi tehničnimi in organizacijskimi ukrepi v možni meri, da bi izpolnil svojo obveznost odgovarjanja na zahteve za uveljavljanje pravic posameznikov.
Pomoč pri skladnosti: Pomagal Upravljalcu pri zagotavljanju skladnosti z obveznostmi iz čl. 32–36 GDPR (varnost, kršitev podatkov, ocena učinka, predhodne konzultacije).
Izbris ali vračilo podatkov: Na zahtevo Upravljavca, po koncu storitve, izbrisal ali vrnil vse osebne podatke, podizvajalci obdelovalci pa bodo storili enako.
Sodelovanje in revizija: Dal Upravljalcu na razpolago vse informacije, potrebne za dokazovanje skladnosti s tem členom, in dovolil revizije ali inšpekcijske preglede, ki jih izvaja Upravljalec ali njegov revizor.

5. Varnostni ukrepi

Bokrez izvaja naslednje tehnične in organizacijske ukrepe za varstvo osebnih podatkov posameznikov:

UkrepOpis implementacije
Šifriranje v prenosuTLS 1.2+ za ves promet med odjemalcem in strežnikom
Šifriranje v hrambiŠifriran disk za bazo podatkov in datotečni sistem
Upravljanje dostopaNadzor dostopa na podlagi vlog (RBAC); vsi dostopi so avtenticirani in beleženi
GeslaNikoli se ne shranjujejo v berljivi obliki; bcrypt zgoščena vrednost s faktorjem 12
Varnostne kopijeDnevne samodejne varnostne kopije baze podatkov s šifriranjem
Nadzor in beleženjeRevizijski zapisi dostopov in sprememb v sistemu; hranijo se 90 dni
Upravljanje podizvajalcevVse tretje osebe z dostopom do podatkov so vezane s sporazumi o obdelavi podatkov
Odgovor na incidenteDokumentiran postopek odziva na kršitve podatkov z rokom obveščanja 72 ur pri AZOP

6. Podizvajalci obdelovalci

Upravljalec s tem splošno pooblašča Bokrez, da angažira podizvajalce obdelovalce. Bokrez zagotavlja, da so vsi podizvajalci vezani s pogodbenimi obveznostmi, enakovrednimi tistim iz tega Sporazuma.

Trenutni podizvajalci obdelovalci:

PodizvajalecNamenLokacijaPodlaga prenosa
ZeptoMail (Zoho Corporation)Pošiljanje transakcijskih e-poštnih sporočilIndijaSCC
Ponudnik gostovanja (strežnik v EU)Hramba podatkovEUZnotraj EGP
Google LLCAvtentikacija (Google Sign-In), Zemljevidi in lokacijske storitveZDAEU-US DPF
Apple Inc.Avtentikacija (Sign in with Apple)ZDAEU-US DPF
Expo (650 Industries, Inc.)Dostava potisnih obvestilZDASCC

Bokrez bo obvestil Upravljavca o načrtovanih spremembah podizvajalcev najmanj 14 dni vnaprej. Upravljalec lahko vloži ugovor v roku 10 dni. Če ugovora ni mogoče rešiti, ima Upravljalec pravico razdrati pogodbo brez kazni.

7. Obveščanje o kršitvi osebnih podatkov

Bokrez bo brez nepotrebne zamude, v vsakem primeru pa v roku 48 ur od izvedbe za kršitev osebnih podatkov, obvestil Upravljavca o kršitvi, ki vključuje osebne podatke, ki jih obdeluje v njegovem imenu.

Obvestilo bo vsebovalo vsaj:

  • Opis narave kršitve, vključno s kategorijami in okvirnim številom prizadetih posameznikov in zapisov
  • Kontaktne podatke osebe za nadaljnje informacije
  • Opis verjetnih posledic kršitve
  • Opis ukrepov, ki so bili sprejeti ali se načrtujejo

Upravljalec ohranja odgovornost za lastne obveznosti prijave kršitev AZOP (v roku 72 ur glede na čl. 33 GDPR) in obveščanja posameznikov (glede na čl. 34 GDPR).

8. Pravice posameznikov

Bokrez bo, ob upoštevanju narave obdelave, pomagal Upravljalcu z ustreznimi tehničnimi ukrepi v možni meri pri izpolnjevanju zahtev posameznikov za uveljavljanje pravic (dostop, popravek, izbris, omejitev, prenosljivost, ugovor).

Bokrez je dolžan brez zamude, najpozneje pa v roku 5 delovnih dni, posredovati Upravljalcu vse zahteve posameznikov, ki jih prejme neposredno in se nanašajo na podatke, ki jih Bokrez obdeluje v imenu Upravljavca.

9. Obveznosti Upravljavca

Upravljalec izjavlja in zagotavlja, da:

  • Ima veljavno pravno podlago za zbiranje in obdelavo osebnih podatkov posameznikov prek Platforme
  • Je posameznike obvestil o obdelavi njihovih podatkov v skladu s čl. 13 in 14 GDPR (npr. prek lastnega pravilnika o zasebnosti)
  • Bo Platformo uporabljal izključno za zakonite namene
  • Bo takoj obvestil Bokrez o vseh zahtevah ali pritožbah posameznikov, ki se nanašajo na obdelavo prek Platforme
  • Ima pravico dajati navodila Bokrezu glede obdelave, vključno z navodili za izbris ali spremembo podatkov

10. Revizija in inšpekcijski pregled

Upravljalec ima pravico preveriti skladnost Bokreza s tem Sporazumom. Bokrez bo:

  • Na zahtevo na razpolago dal relevantno dokumentacijo o varnostnih ukrepih in skladnosti
  • Enkrat letno, s predhodno najavo 30 dni, dovolil Upravljalcu ali pooblaščenemu neodvisnemu revizorju izvedbo revizije, pod pogojem, da revizija ne ovira operativnega poslovanja Bokreza in da so stroški revizije na teret Upravljavca

11. Vračilo in izbris podatkov

Po poteku ali razdrtju naročnine:

  • Upravljalcu bo omogočen izvoz podatkov v strojno berljivi obliki (CSV, JSON) v roku 30 dni
  • Po poteku tega roka bo Bokrez izbrisal vse osebne podatke posameznikov, ki jih je obdeloval v imenu Upravljavca, razen tistih, za katere obstaja zakonska obveznost hrambe
  • Na zahtevo bo Bokrez dostavil pisno potrdilo o izbrisu podatkov

12. Odgovornost

Bokrez je odgovoren Upravljalcu za neposredne škode, ki nastanejo zaradi kršitve tega Sporazuma ali uporabnega prava o varstvu podatkov s strani Bokreza, v skladu z omejitvami iz Pogojev uporabe.

Vsaka stranka je odgovorna regulatornemu organu za lastno kršitev predpisov o varstvu osebnih podatkov.

13. Veljavno pravo

Ta Sporazum se ureja in razlaga v skladu s pravom Republike Hrvaške in uporabnim pravom EU, zlasti s Splošno uredbo o varstvu podatkov. Za vse spore je pristojno Trgovinsko sodišče v Zagrebu.

14. Spremembe Sporazuma

Bokrez lahko spremeni ta Sporazum s predhodnim pisnim obvestilom najmanj 30 dni. Nadaljevanje uporabe Platforme po datumu spremembe se šteje kot sprejetje spremenjenega Sporazuma. Če se Upravljalec ne strinja s spremembami, lahko razdre naročnino brez kazni.

Kontakt za vprašanja o varstvu podatkov

360 Tour — Obrt za virtualne zapise — Bokrez varstvo podatkov

Zagrebačka cesta 81, 10000 Zagreb

OIB: 59456273095

E-pošta: [email protected]

Spletna stran: bokrez.com