1. Tárgy és időtartam
A jelen melléklet tárgya a Bokko platform által végzett vendégfoglalási adatfeldolgozás az előfizető nevében, a Szolgáltatói szerződésben meghatározott platformszolgáltatás keretein belül.
A megállapodás a Szolgáltatói szerződéssel egyidejűleg lép hatályba, és a szerződéses jogviszony fennállásáig tart. A jogviszony megszűnésekor az adatok kezelésére a 10. pont rendelkezései irányadók.
2. A feldolgozás jellege és célja
A Bokko az előfizető nevében az alábbi adatkezelési műveleteket végzi:
- vendégfoglalási kérések fogadása, tárolása és kezelése,
- foglalási státuszok kezelése és frissítése,
- tranzakciós SMS és email értesítések küldése az előfizető értesítési beállításai alapján,
- vendégprofil és foglalási előzmény tárolása az előfizető számára,
- hozzáférés-kezelés az előfizető dashboard felhasználói számára.
A Bokko az adatokat kizárólag az előfizető dokumentált utasításai szerint és a platformszolgáltatás céljára kezeli — kivéve ahol kötelező jogszabály ettől eltérő feldolgozást ír elő, amely esetben a Bokko az előfizetőt erről (a jogszabály által megengedett mértékben) tájékoztatja.
3. Adatkategóriák és érintetti körök
| Érintetti kör | Adatkategóriák |
|---|---|
| Vendégek (az előfizető ügyfelei) | Név, telefonszám (normalizált formában), email cím (opcionális), kért időpont és szolgáltatás, foglalási megjegyzés, foglalási előzmények |
| Az előfizető felhasználói (dashboard hozzáférés) | Email cím, hitelesítési azonosító, hozzáférési napló |
Különleges adatkategóriát (GDPR 9. cikk) a Bokko rendszere alapértelmezés szerint nem kezel és nem tárol. Az előfizető felelőssége gondoskodni arról, hogy a platformra ilyen adatot ne rögzítsen.
4. Utasítási jog és dokumentáció
Az előfizető az adatkezelő; az utasítási jog az előfizetőt illeti meg. A Bokko kizárólag az előfizető dokumentált utasításai, a jelen melléklet és a Szolgáltatói szerződés alapján végez adatfeldolgozást.
Ha a Bokko megítélése szerint valamely utasítás a GDPR-t vagy más alkalmazandó adatvédelmi jogszabályt sértene, erről haladéktalanul tájékoztatja az előfizetőt, és az utasítás végrehajtását felfüggesztheti.
5. Titoktartás
A Bokko gondoskodik arról, hogy az adatfeldolgozásban részt vevő személyek megfelelő titoktartási kötelezettség — jogszabályi vagy szerződéses — hatálya alatt álljanak. A titoktartási kötelezettség a jogviszony megszűnése után is fennmarad.
6. Technikai és szervezési intézkedések
A Bokko a GDPR 32. cikke alapján megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok biztonságának garantálásához, figyelembe véve a kockázat jellegét, valószínűségét és súlyát. Az intézkedések különösen az alábbiakat foglalják magukban:
- jogosultságalapú hozzáférés-kezelés és RBAC (szerepalapú hozzáférés-szabályozás),
- Firestore biztonsági szabályok — közvetlen kliens oldali írás tiltva,
- titkosított átvitel (HTTPS/TLS) minden kommunikációs csatornán,
- token alapú vendégművelet-hitelesítés (egyszer használatos, időkorlátozott tokenek),
- rate limiting és visszaélés-megelőző mechanizmusok,
- hozzáférési naplózás és folyamatos felülvizsgálat,
- titkos kulcsok és hitelesítési adatok Secret Manager alapú kezelése.
A részletes technikai és szervezési intézkedések dokumentációja az előfizető kérésére rendelkezésre bocsátható.
7. Al-adatfeldolgozók
A Bokko az előfizető általános előzetes felhatalmazása alapján al-adatfeldolgozókat vehet igénybe. A jelenleg igénybe vett al-adatfeldolgozók listája és az alkalmazott adattovábbítási garanciák az Al-adatfeldolgozók oldalon érhetők el.
Ha a Bokko új al-adatfeldolgozót kíván bevonni vagy meglévőt lecserélni, az előfizetőt a változás hatálybalépése előtt legalább 14 nappal értesíti. Az előfizető a változással szemben indokolt kifogást emelhet; ha az előfizető a határidőn belül nem emel kifogást, a jóváhagyást megadottnak kell tekinteni.
A Bokko az al-adatfeldolgozókra a jelen melléklettel legalább azonos szintű adatvédelmi kötelezettségeket ró ki, és felelős az al-adatfeldolgozók kötelezettségeinek teljesítéséért.
8. Érintetti jogok támogatása
A Bokko a technikai és szervezési lehetőségek keretein belül segíti az előfizetőt az érintetti joggyakorlási kérelmek (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság) teljesítésében.
Ha az érintett közvetlenül a Bokkohoz fordul vendégfoglalási adataival kapcsolatos kérelemmel, a Bokko a kérelmet haladéktalanul továbbítja az előfizető felé, és szükség esetén technikai segítséget nyújt a teljesítéshez.
A Bokko szükség esetén támogatja az előfizetőt a személyes adatok megsértésével kapcsolatos incidensek kezelésében, kivizsgálásában és dokumentálásában is.
9. Audit és megfelelési együttműködés
A Bokko az előfizető kérésére rendelkezésre bocsátja a GDPR 28. cikk szerinti megfelelés igazolásához szükséges információkat, beleértve különösen a jelen mellékletben vállalt kötelezettségek teljesítésének dokumentációját.
A Bokko ésszerű keretek között együttműködik az előfizető vagy az előfizető által megbízott auditor által végzett ellenőrzésekben és auditokban, feltéve hogy az ellenőrzésről az előfizető legalább 30 nappal előre értesít, az nem okoz aránytalan terhet a Bokko működésére nézve, és az auditor megfelelő titoktartási kötelezettséget vállal.
10. Törlés és visszaszolgáltatás a jogviszony végén
A Szolgáltatói szerződés megszűnésével a Bokko:
- az előfizető választása szerint az exportfunkción keresztül rendelkezésre bocsátja az adatokat a megszűnéstől számított 30 napon belül,
- az exportablak lejártát követően a személyes adatokat törli vagy anonimizálja a Megőrzési és törlési rend szerint, kivéve ahol jogszabály — különösen számviteli és adójogi kötelezettség — eltérő megőrzést ír elő.
A törlés elvégzéséről a Bokko az előfizető kérésére írásos megerősítést ad.