Pogodba o obdelavi podatkov
Ta pogodba (DPA) ureja obdelavo osebnih podatkov, ki jih Booqr kot obdelovalec obdeluje v imenu uporabnika kot upravljavca pri uporabi storitve.
Zadnja posodobitev: 7. julij 2026
1. Pogodbeni stranki in vloge
Ta pogodba o obdelavi podatkov (v nadaljevanju »Pogodba«) je sestavni del Pogojev uporabe in se sklene med:
- Uporabnikom storitve Booqr, ki v razmerju do podatkov o svojih strankah nastopa kot upravljavec; in
- ponudnikom storitve, ki nastopa kot obdelovalec:
- Y7 s.p.
- Kotnikova ulica 5, 1000 Ljubljana, Slovenija
- Matična številka: 7542810000
- E-pošta: info@booqr.co
Uporabnik sprejme to Pogodbo z registracijo oziroma uporabo storitve. Kadar je uporabnik za določene podatke sam upravljavec (npr. podatki o svojem računu), velja Izjava o zasebnosti.
2. Predmet, trajanje, narava in namen obdelave
- Predmet: obdelava osebnih podatkov, ki jih uporabnik vnese ali ustvari v storitvi Booqr pri upravljanju rezervacij in poslovanja.
- Trajanje: za čas trajanja naročniškega razmerja med uporabnikom in ponudnikom ter do izbrisa ali vrnitve podatkov skladno s 7. točko te Pogodbe.
- Narava in namen: gostovanje, shranjevanje in obdelava podatkov za zagotavljanje funkcij storitve – sprejemanje in upravljanje rezervacij, koledar terminov, pošiljanje SMS in e-poštnih obvestil ter opomnikov, vodenje lokacij in poslovna analitika.
3. Vrste podatkov in kategorije posameznikov
- Kategorije posameznikov: stranke uporabnika (naročniki terminov) in po potrebi zaposleni oziroma sodelavci uporabnika.
- Vrste osebnih podatkov: ime in priimek, kontaktni podatki (telefonska številka, e-naslov), podatki o terminih in rezervacijah ter morebitne opombe, ki jih vnese uporabnik. Uporabnik se zavezuje, da prek storitve ne bo obdeloval posebnih vrst osebnih podatkov (čl. 9 GDPR), razen če je to izrecno dogovorjeno in zakonito.
4. Obveznosti obdelovalca
Ponudnik kot obdelovalec se zavezuje, da bo:
- osebne podatke obdeloval izključno na podlagi dokumentiranih navodil upravljavca, vključno s temi pogoji in uporabo funkcij storitve, razen kadar obdelavo zahteva pravo EU ali RS;
- zagotovil, da so osebe, pooblaščene za obdelavo, zavezane k zaupnosti;
- izvajal ustrezne tehnične in organizacijske ukrepe za varnost obdelave skladno s čl. 32 GDPR (npr. šifriranje prenosa, nadzor dostopa, varnostno kopiranje);
- upravljavcu v razumni meri pomagal pri izpolnjevanju obveznosti glede odgovorov na zahteve posameznikov za uveljavljanje njihovih pravic (dostop, popravek, izbris, omejitev, prenosljivost, ugovor);
- upravljavcu pomagal pri zagotavljanju skladnosti s čl. 32–36 GDPR (varnost, obveščanje o kršitvah, ocene učinka);
- upravljavca brez nepotrebnega odlašanja obvestil o kršitvi varstva osebnih podatkov, ki jo zazna;
- upravljavcu dal na voljo vse informacije, potrebne za dokazovanje skladnosti s čl. 28 GDPR, ter omogočil in prispeval k revizijam v razumnem obsegu.
5. Podobdelovalci
Upravljavec s to Pogodbo daje splošno pisno pooblastilo, da obdelovalec za izvajanje storitve vključi podobdelovalce. Obdelovalec z vsakim podobdelovalcem sklene pogodbo z enakovrednimi obveznostmi varstva podatkov, kot izhajajo iz te Pogodbe, in ostaja v celoti odgovoren za njihovo delovanje. Aktualni seznam podobdelovalcev:
| Podobdelovalec | Namen | Lokacija obdelave |
|---|---|---|
| Hetzner Online GmbH | Gostovanje aplikacije in shramba podatkov | Nemčija (EU) |
| Cloudflare, Inc. | Omrežna infrastruktura, CDN in varnostna zaščita | EU regija (po potrebi ZDA s standardnimi pogodbenimi klavzulami) |
| BulkGate s.r.o. | Pošiljanje SMS opomnikov | Češka (EU) |
| Stripe Payments Europe, Ltd. | Obdelava spletnih plačil naročnine | Irska (EU) (po potrebi ZDA s standardnimi pogodbenimi klavzulami) |
| Resend, Inc. | Pošiljanje transakcijskih e-poštnih sporočil | EU regija (po potrebi ZDA s standardnimi pogodbenimi klavzulami) |
| Functional Software, Inc. (Sentry) | Spremljanje napak in stabilnosti aplikacije | EU regija (po potrebi ZDA s standardnimi pogodbenimi klavzulami) |
O načrtovanih spremembah seznama podobdelovalcev (dodajanje ali zamenjava) bo obdelovalec upravljavca obvestil in mu omogočil, da spremembi ugovarja.
6. Prenos podatkov v tretje države
Podatki se obdelujejo pretežno znotraj EU/EGP. Kadar posamezen podobdelovalec podatke obdeluje zunaj EU/EGP, to poteka na podlagi ustreznih zaščitnih ukrepov skladno s poglavjem V GDPR, zlasti standardnih pogodbenih klavzul Evropske komisije.
7. Izbris ali vrnitev podatkov
Po prenehanju opravljanja storitev obdelovalec po izbiri upravljavca izbriše ali vrne vse osebne podatke ter uniči obstoječe kopije, razen če pravo EU ali RS zahteva hrambo podatkov. Upravljavec lahko izvoz podatkov zahteva pred prenehanjem razmerja.
8. Odgovornost in končne določbe
Vsaka pogodbena stranka odgovarja za škodo, ki jo povzroči s kršitvijo svojih obveznosti iz te Pogodbe in veljavne zakonodaje o varstvu podatkov. Za vprašanja, ki v tej Pogodbi niso posebej urejena, se uporabljajo Pogoji uporabe, Izjava o zasebnosti, GDPR ter veljavno pravo Republike Slovenije. V primeru neskladja med to Pogodbo in Pogoji uporabe glede obdelave osebnih podatkov prevlada ta Pogodba.