Bokrez
Pogodba o obdelava podatkov
Zadnje posodabljanje: 1. aprila 2026. | Primjenjivo na podlagi čl. 28 GDPR-a
Opomba: Ta Pogodba o obdelava podatkov ("UOP" ali "DPA") samodejno se uporablja med vsakega Poslovnega uporabnikov ("Vodje obdelave") in 360 Tour obrt ("Izvršitelja obdelave" kateri upravlja Bokrezom) od trenutka registracije in prihvačanja Pogojev uporab. Ni potreben poseban potpis.
Status ponudnika
Med uvajanjem ali v nastavitvah podjetja izberite Registrirani ponudnik ali Zasebni ponudnik. Status je Vaša lastna izjava, je zgolj informativen in ne pomeni preverjanja ali priporočila Bokreza. Ločeno lahko upravljate javno vidnost poslovnega e-naslova ter naslova in telefona posamezne lokacije. Skriti podatki ostanejo na voljo za poslovne postopke.
1. Stranki in definicije
Ta Sporazum o obdelavi podatkov sklepata:
Upravljalec:
Poslovni uporabnik, ki je registriran na platformi Bokrez in obdeluje osebne podatke svojih končnih strank prek Platforme.
Obdelovalec:
360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Hrvaška, OIB: 59456273095 — operater platforme Bokrez (bokrez.com).
V tem Sporazumu:
- »GDPR« pomeni Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016.
- »Osebni podatki« ima pomen iz člena 4 odstavka 1 GDPR.
- »Obdelava« ima pomen iz člena 4 odstavka 2 GDPR.
- »Platforma« pomeni SaaS storitev Bokrez, dostopno na bokrez.com.
- »Posamezniki« pomeni končne stranke Upravljavca, katerih osebni podatki se obdelujejo prek Platforme.
- »Podizvajalci obdelovalci« pomeni tretje osebe, ki jih Obdelovalec angažira za obdelavo osebnih podatkov v imenu Upravljavca.
2. Predmet in trajanje obdelave
Obdelovalec obdeluje osebne podatke v imenu Upravljavca izključno v namene zagotavljanja storitve Bokrez, kot je opisano v Pogojih uporabe.
| Predmet obdelave | Upravljanje rezervacij terminov, podatkov o strankah (CRM), komunikacije in spremljajočih funkcij znotraj platforme Bokrez |
| Trajanje | Za celotno obdobje aktivne naročnine Upravljavca na platformi Bokrez |
| Narava obdelave | Hramba, organizacija, iskanje, prikaz, pošiljanje obvestil, varnostno kopiranje |
| Namen obdelave | Zagotavljanje funkcionalnosti platforme Bokrez Upravljalcu in njegovim končnim uporabnikom |
3. Vrste osebnih podatkov in kategorije posameznikov
3.1 Vrste osebnih podatkov, ki se obdelujejo
- Identifikacijski podatki: ime, priimek
- Kontaktni podatki: e-pošta, številka mobilnega telefona
- Podatki o rezervacijah: datumi, storitve, opombe ob terminu
- CRM opombe in oznake, ki jih Upravljalec beleži o posameznikih
- Podatki o programih zvestobe: število točk/žigov, zgodovina transakcij
- Podatki o recenzijah in ocenah
- Sporočila znotraj platforme med posamezniki in Upravljalcem
Bokrez v okviru standardne storitve ne obdeluje posebnih kategorij osebnih podatkov (čl. 9 GDPR), razen če Upravljalec izrecno vnese take podatke v polja prostega besedila, za kar nosi polno odgovornost.
3.2 Kategorije posameznikov
Končne stranke Upravljavca (fizične osebe, ki rezervirajo termine ali komunicirajo z Upravljalcem prek Platforme).
4. Obveznosti Obdelovalca
Obdelovalec (Bokrez) se zavezuje, da bo:
5. Varnostni ukrepi
Bokrez izvaja naslednje tehnične in organizacijske ukrepe za varstvo osebnih podatkov posameznikov:
| Ukrep | Opis implementacije |
|---|---|
| Šifriranje v prenosu | TLS 1.2+ za ves promet med odjemalcem in strežnikom |
| Šifriranje v hrambi | Šifriran disk za bazo podatkov in datotečni sistem |
| Upravljanje dostopa | Nadzor dostopa na podlagi vlog (RBAC); vsi dostopi so avtenticirani in beleženi |
| Gesla | Nikoli se ne shranjujejo v berljivi obliki; bcrypt zgoščena vrednost s faktorjem 12 |
| Varnostne kopije | Dnevne samodejne varnostne kopije baze podatkov s šifriranjem |
| Nadzor in beleženje | Revizijski zapisi dostopov in sprememb v sistemu; hranijo se 90 dni |
| Upravljanje podizvajalcev | Vse tretje osebe z dostopom do podatkov so vezane s sporazumi o obdelavi podatkov |
| Odgovor na incidente | Dokumentiran postopek odziva na kršitve podatkov z rokom obveščanja 72 ur pri AZOP |
6. Podizvajalci obdelovalci
Upravljalec s tem splošno pooblašča Bokrez, da angažira podizvajalce obdelovalce. Bokrez zagotavlja, da so vsi podizvajalci vezani s pogodbenimi obveznostmi, enakovrednimi tistim iz tega Sporazuma.
Trenutni podizvajalci obdelovalci:
| Podizvajalec | Namen | Lokacija | Podlaga prenosa |
|---|---|---|---|
| ZeptoMail (Zoho Corporation) | Pošiljanje transakcijskih e-poštnih sporočil | Indija | SCC |
| Ponudnik gostovanja (strežnik v EU) | Hramba podatkov | EU | Znotraj EGP |
| Google LLC | Avtentikacija (Google Sign-In), Zemljevidi in lokacijske storitve | ZDA | EU-US DPF |
| Apple Inc. | Avtentikacija (Sign in with Apple) | ZDA | EU-US DPF |
| Expo (650 Industries, Inc.) | Dostava potisnih obvestil | ZDA | SCC |
Bokrez bo obvestil Upravljavca o načrtovanih spremembah podizvajalcev najmanj 14 dni vnaprej. Upravljalec lahko vloži ugovor v roku 10 dni. Če ugovora ni mogoče rešiti, ima Upravljalec pravico razdrati pogodbo brez kazni.
7. Obveščanje o kršitvi osebnih podatkov
Bokrez bo brez nepotrebne zamude, v vsakem primeru pa v roku 48 ur od izvedbe za kršitev osebnih podatkov, obvestil Upravljavca o kršitvi, ki vključuje osebne podatke, ki jih obdeluje v njegovem imenu.
Obvestilo bo vsebovalo vsaj:
- Opis narave kršitve, vključno s kategorijami in okvirnim številom prizadetih posameznikov in zapisov
- Kontaktne podatke osebe za nadaljnje informacije
- Opis verjetnih posledic kršitve
- Opis ukrepov, ki so bili sprejeti ali se načrtujejo
Upravljalec ohranja odgovornost za lastne obveznosti prijave kršitev AZOP (v roku 72 ur glede na čl. 33 GDPR) in obveščanja posameznikov (glede na čl. 34 GDPR).
8. Pravice posameznikov
Bokrez bo, ob upoštevanju narave obdelave, pomagal Upravljalcu z ustreznimi tehničnimi ukrepi v možni meri pri izpolnjevanju zahtev posameznikov za uveljavljanje pravic (dostop, popravek, izbris, omejitev, prenosljivost, ugovor).
Bokrez je dolžan brez zamude, najpozneje pa v roku 5 delovnih dni, posredovati Upravljalcu vse zahteve posameznikov, ki jih prejme neposredno in se nanašajo na podatke, ki jih Bokrez obdeluje v imenu Upravljavca.
9. Obveznosti Upravljavca
Upravljalec izjavlja in zagotavlja, da:
- Ima veljavno pravno podlago za zbiranje in obdelavo osebnih podatkov posameznikov prek Platforme
- Je posameznike obvestil o obdelavi njihovih podatkov v skladu s čl. 13 in 14 GDPR (npr. prek lastnega pravilnika o zasebnosti)
- Bo Platformo uporabljal izključno za zakonite namene
- Bo takoj obvestil Bokrez o vseh zahtevah ali pritožbah posameznikov, ki se nanašajo na obdelavo prek Platforme
- Ima pravico dajati navodila Bokrezu glede obdelave, vključno z navodili za izbris ali spremembo podatkov
10. Revizija in inšpekcijski pregled
Upravljalec ima pravico preveriti skladnost Bokreza s tem Sporazumom. Bokrez bo:
- Na zahtevo na razpolago dal relevantno dokumentacijo o varnostnih ukrepih in skladnosti
- Enkrat letno, s predhodno najavo 30 dni, dovolil Upravljalcu ali pooblaščenemu neodvisnemu revizorju izvedbo revizije, pod pogojem, da revizija ne ovira operativnega poslovanja Bokreza in da so stroški revizije na teret Upravljavca
11. Vračilo in izbris podatkov
Po poteku ali razdrtju naročnine:
- Upravljalcu bo omogočen izvoz podatkov v strojno berljivi obliki (CSV, JSON) v roku 30 dni
- Po poteku tega roka bo Bokrez izbrisal vse osebne podatke posameznikov, ki jih je obdeloval v imenu Upravljavca, razen tistih, za katere obstaja zakonska obveznost hrambe
- Na zahtevo bo Bokrez dostavil pisno potrdilo o izbrisu podatkov
12. Odgovornost
Bokrez je odgovoren Upravljalcu za neposredne škode, ki nastanejo zaradi kršitve tega Sporazuma ali uporabnega prava o varstvu podatkov s strani Bokreza, v skladu z omejitvami iz Pogojev uporabe.
Vsaka stranka je odgovorna regulatornemu organu za lastno kršitev predpisov o varstvu osebnih podatkov.
13. Veljavno pravo
Ta Sporazum se ureja in razlaga v skladu s pravom Republike Hrvaške in uporabnim pravom EU, zlasti s Splošno uredbo o varstvu podatkov. Za vse spore je pristojno Trgovinsko sodišče v Zagrebu.
14. Spremembe Sporazuma
Bokrez lahko spremeni ta Sporazum s predhodnim pisnim obvestilom najmanj 30 dni. Nadaljevanje uporabe Platforme po datumu spremembe se šteje kot sprejetje spremenjenega Sporazuma. Če se Upravljalec ne strinja s spremembami, lahko razdre naročnino brez kazni.
Kontakt za vprašanja o varstvu podatkov
360 Tour — Obrt za virtualne zapise — Bokrez varstvo podatkov
Zagrebačka cesta 81, 10000 Zagreb
OIB: 59456273095
E-pošta: [email protected]
Spletna stran: bokrez.com