чл. 1.Дефиниции
1.1. Hotel.One — търговска марка на Хоспиталити Ин Битс ООД. Когато в настоящото Споразумение се употребяват изразите „ние" или „Hotel.One", те се отнасят до Хоспиталити Ин Битс ООД, ЕИК 207902884, със седалище и адрес на управление: гр. София, р-н Лозенец, „Червена стена", бл. 4.
1.2. SaaS — Software as a Service. Включва всички софтуерни продукти, разработени от Hotel.One, в т.ч. HotelOne BI, HotelOne Documents AI и HotelOne Sync, освен когато изрично е посочен конкретен продукт или услуга.
1.3. Клиент — юридическото лице (хотел/верига, туроператор и др.), което използва услугите на Hotel.One.
1.4. Термините „лични данни", „обработване", „администратор", „обработващ" и „субект на данни" имат значенията, дадени им в чл. 4 от Регламент (ЕС) 2016/679 (GDPR).
1.5. „Субпроцесор" — трето лице, упълномощено от Hotel.One да има достъп до лични данни до степента, необходима за предоставяне на част от услугата на Hotel.One или техническа поддръжка.
1.6. Администратор на данни — Клиентът е администратор на данните във връзка с използването на услугите на Hotel.One за целите на собствената си търговска дейност. Клиентът определя категориите данни, целите, сроковете за съхранение и правните основания за обработване. Личните данни, обработвани чрез услугите на Доставчика, са собственост на Клиента.
1.7. Обработващ — Hotel.One действа като обработващ от името на Клиента за предоставяне на услугата Hotel.One. Обработването се извършва единствено за целите на предоставяне на услугите по Главния договор и/или техническа поддръжка на Клиента.
1.8. Субекти на данни — крайните клиенти, служители, подизпълнители и други лица, чиито данни Клиентът обработва чрез услугите на Доставчика.
чл. 2.Въведение
Настоящото Споразумение за обработване на лични данни („Споразумението") урежда начина, по който Hotel.One обработва лични данни от името на своя Клиент (администратор на данни) във връзка с предоставяните SaaS услуги, както и условията за техническа поддръжка и сигурност. Сключването на главен договор между страните („Главен договор / Абонамент") включва приемане на настоящото Споразумение; използването на която и да е от услугите на Hotel.One също представлява съгласие с неговите условия.
чл. 3.Обхват на обработването
3.1. Категории данни
В зависимост от конфигурацията на Клиента и интегрираните с платформата източници, могат да се обработват следните типове данни: пълно име, националност, дата на раждане, идентификатори на резервации, дати на check-in/check-out, тип стая, контактна информация и други данни, включени от Клиента в рамките на конфигурацията на интеграциите. Hotel.One не изисква и не възнамерява да обработва специални категории данни по чл. 9 GDPR.
3.2. Цели на обработването
- Hotel.One BI: консолидация, моделиране и визуализация на оперативните и финансови данни на Клиента, отчети и анализи за планиране и вземане на решения (вкл. приходи, заетост/ефективност, бюджети и др.).
- Hotel.One Documents AI: автоматизирано приемане, извличане (OCR/AI), структуриране и прехвърляне на данни от входящи документи към системите на Клиента (BI, счетоводство, ERP и др.).
- Hotel.One Sync: прехвърляне на хотелски резервации от името и за сметка на Администратора към хотелския софтуер, посочен в Главния договор, предоставяне на информация за наличност и специални оферти.
- Интеграции и оперативна автоматизация: синхронизация с PMS, POS и други системи по указания на Клиента.
- Поддръжка, качество и сигурност: мониторинг на производителност и сигурност, диагностика на проблеми и подобряване на точността на извличане — само до степента, необходима за предоставяне на услугата.
3.3. Продължителност на обработването
Данните, предоставени от Клиента, се обработват за срока на Главния договор. При неговото прекратяване Hotel.One изтрива данните от системите си не по-късно от 3 месеца след изтичането му (освен ако закон или писмено споразумение с Клиента не предвижда друго).
чл. 4.Задължение за неразкриване
4.1. Без предварително писмено одобрение от Клиента, Hotel.One няма да: (а) разкрива информация за обработваните лични данни на трети страни; (б) използва данните за цели, различни от предоставянето на услугата, освен ако разкриването не се изисква от компетентен орган по закон.
4.2. Данните могат да бъдат разкривани на субпроцесори, консултанти и доставчици, при условие че те са обвързани с адекватни политики за защита на данните и договорни задължения.
4.3. Независимо от клауза 4.2, Hotel.One не може да разкрива лични данни на субпроцесори, чиито сървъри не се намират в рамките на Европейското икономическо пространство или в държави, признати от Европейската комисия като осигуряващи адекватно ниво на защита.
чл. 5.Мерки за сигурност
5.1. Инфраструктура и центрове за данни: Hotel.One поддържа всички клиентски данни на сървъри в Amazon Web Services (AWS). AWS прилага международни стандарти за сигурност (ISO 27001/27017/27018, SOC 1/2/3, PCI DSS и др.). Данните на клиенти от ЕС се обработват и съхраняват в рамките на ЕС или в държави с адекватно ниво на защита.
5.2. Персонал: Hotel.One има разработени вътрешни политики и обучения; достъпът до данни е разрешен само на оторизирани служители съгласно техните задължения; прилагат се договорни клаузи за поверителност; функционира екип за мониторинг на сигурността и реакция при инциденти.
5.3. Физически контроли: контролиран достъп до помещения/хардуер; електронни ключове; видеонаблюдение; идентификация на посетители.
5.4. Криптиране и предаване на данни: достъпът до записите става само през GUI/API след валидни идентификационни данни (потребителско име/парола, PIN, MFA, API ключ); предаването е криптирано. Hotel.One прилага силни криптографски стандарти и управление на ключове.
5.5. Данни за платежни карти: Hotel.One не е платежен процесор и не изисква въвеждане или обработване на данни за карти в услугите си. Ако Клиентът избере да въведе или прехвърли такива данни (напр. в документи), Клиентът е отговорен за спазване на всички приложими стандарти/договори.
5.6. Контрол на достъпа и администраторски функции: ролеви модели и нива на достъп, администраторска/потребителска автентикация, възможности за анонимизация/маскиране на полета в интерфейси и отчети, до степента, в която е приложимо за Hotel.One SaaS модулите.
чл. 6.Изтриване на данни
6.1. Освен ако не е писмено договорено друго, Hotel.One изтрива всички клиентски лични данни от системите си не по-късно от 3 (три) месеца след изтичане на Главния договор.
6.2. По време на договора Клиентът има възможност да трие и изтрива/анонимизира данни в платформата, без да засяга свързаните записи, когато това е технически възможно.
6.3. При изрично писмено искане от Клиента Hotel.One може да извърши предсрочно изтриване на данни в разумен срок (до 1 месец от получаване на искането).
6.4. Запазване след този период е допустимо само до степента, изисквана от правото на ЕС или България, или по разпореждане на компетентен държавен орган.
чл. 7.Инциденти с данни
7.1. Ако Hotel.One узнае за инцидент с данните, уведомява Клиента незабавно и без излишно забавяне и предприема разумни мерки за минимизиране на вредата.
7.2. Клиентът е единствено отговорен за законовите уведомления към надзорните органи и/или субектите на данни; Hotel.One оказва съдействие в разумни граници.
чл. 8.Задължения на Клиента (Администратор)
8.1. Настоящото Споразумение не освобождава Клиента от задълженията му като администратор: да поддържа вътрешни политики, правни основания, срокове за съхранение и минимизиране на риска при инциденти с данни.
8.2. Клиентът прилага общи мерки за IT сигурност (антивирусна защита, политики за мрежова сигурност, периодична смяна на пароли и др.).
8.3. Клиентът е отговорен за: (а) определяне на характера на данните; (б) подходящо използване на функциите за сигурност; (в) опазване на идентификационните данни/устройства за достъп; (г) поддържане на резервни копия на данни, съхранявани извън системите на Hotel.One; (д) преценка на адекватността на мерките на Hotel.One спрямо собствените му задължения.
чл. 9.Искания от субекти на данни
При получаване на искане от субект на данни, Hotel.One насочва лицето към Клиента. Клиентът носи отговорност за отговора към субекта на данни, а Hotel.One оказва съдействие до степента, възможна и практична за конкретния случай.
чл. 10.Субпроцесори
10.1. Клиентът предоставя общо упълномощаване на Hotel.One да ангажира субпроцесори. Актуална информация за субпроцесорите се поддържа в настоящото Споразумение (Приложение 1) и/или на уебсайта/портала на Hotel.One.
10.2. Hotel.One осигурява чрез договор, че всеки субпроцесор осъществява достъп до и използва лични данни само до степента, необходима за възложените дейности и при еквивалентни задължения за защита на данните.
10.3. При обосновано възражение от Клиента срещу нов субпроцесор, страните обсъждат разумни алтернативи; при липса на решение Клиентът може да прекрати съответната услуга с предизвестие до 3 (три) месеца без разходи или санкции.
чл. 11.Техническа поддръжка
Рутинната техническа поддръжка обикновено не изисква обработване на лични данни. Hotel.One не започва дейност по поддръжка без заявка от Клиента. Ако лични данни станат видими по време на поддръжка, те не се копират/съхраняват/модифицират/предават от Hotel.One. Само оторизиран персонал участва в поддръжката.
чл. 12.Временен достъп до системи на Клиента
Ако Клиентът предостави временен достъп до база данни/файл/устройство, съдържащо лични данни (напр. чрез инструменти за отдалечен достъп), Hotel.One се счита за обработващ за срока на достъпа/съхранението и разпоредбите на Част II се прилагат автоматично.
чл. 13.Отговорност
Отговорността на Hotel.One по настоящото Споразумение следва клаузите за отговорност на Договора за услуги.
чл. 14.Уведомления
Уведомленията по настоящото Споразумение се изпращат на официалните адреси за кореспонденция/имейл на страните, посочени в Договора за услуги. Всяка страна носи отговорност за поддържане на актуални адреси и писмено уведомяване на другата при промени.
чл. 15.Приложимо право
Настоящото Споразумение се урежда от Регламент (ЕС) 2016/679 (GDPR) и законите на Република България. Всички спорове се разрешават по взаимно съгласие, а при невъзможност — от компетентния съд в гр. София.
В съответствие с чл. 10.1 от настоящото Споразумение, Хоспиталити Ин Битс ООД поддържа актуален регистър на субпроцесорите, упълномощени да обработват лични данни от името на Клиента. Всички субпроцесори са договорно обвързани с еквивалентни задължения за защита на данните по GDPR. За субпроцесори извън ЕИП трансферите се осъществяват въз основа на Стандартни договорни клаузи (SCC).
| Субпроцесор | Роля | Локация | Категории данни | Цел на обработването | DPA |
|---|---|---|---|---|---|
| Amazon Web Services | Облачна инфраструктура | EU · Ирландия / Франкфурт | Всички клиентски данни, включително лични данни на гости и резервации | Хостинг, съхранение и обработване на всички данни в платформата Hotel.One | Виж DPA → |
| Hotel2Sejour (Paximum) | Интеграция Sejour | EU | Данни за резервации от туроператорски канали, използващи система Sejour | Синхронизация на резервации от ТО канали към Hotel.One Sync | По заявка |
| Anthropic PBC | AI модел (Claude API) | USA · SCC (чл. 46) | Текстово съдържание на резервации и документи — имена, идентификатори, дати, контакти, данни за доставчици/контрагенти и служители | Автоматизирано разпознаване и извличане на структурирана информация с data minimisation | Виж DPA → |
| OpenAI LLC | AI модел (OpenAI API) | USA · SCC (чл. 46) | Текстово съдържание на резервации и документи — имена, идентификатори, дати, контакти, данни за доставчици/контрагенти и служители | Автоматизирано разпознаване и извличане на структурирана информация с data minimisation | Виж DPA → |
Всички AI субпроцесори са ангажирани с data minimisation и no-training policy — подадените данни не се използват за обучение на моделите. За актуална информация проверявайте този регистър редовно.
—Контакт
ЕИК 207902884
гр. София, р-н Лозенец, „Червена стена", бл. 4
Имейл: office@hotel.one