Data Processing Agreement (DPA)
Version 1.0 · Last updated: 18 May 2026
1. Purpose
This Data Processing Agreement (“DPA”) forms an integral part of the Terms and Conditions entered into between the customer of Tour Tracker (the “Controller”) and [LEGAL_NAME], Y-tunnus [BUSINESS_ID], with registered office at [ADDRESS], Finland (the “Processor”). It governs the processing of personal data by the Processor on behalf of the Controller in connection with the Tour Tracker SaaS service, in accordance with Article 28 of Regulation (EU) 2016/679 (“GDPR”).
2. Roles
For personal data of the Controller's end-customers (reservation data) processed through Tour Tracker, the Controller is the data controller and the Processor is the data processor. The Processor will process such personal data only on documented instructions from the Controller, including with regard to international transfers, unless required to do so by EU or Member State law.
3. Subject-matter and details of processing
| Subject-matter | Provision of the Tour Tracker SaaS: import of reservations, guide management, splitting of tours, earnings tracking and reporting. |
|---|
| Duration | Term of the subscription, plus the deletion/return period set out in Section 9. |
|---|
| Nature and purpose | Storage, extraction, organisation, structuring, retrieval, display, consultation, transmission and erasure of personal data necessary to provide the service. |
|---|
| Type of personal data | End-customer identification (name, email, phone), language, group size, booking reference, tour date/time, internal notes added by the Controller. |
|---|
| Categories of data subjects | The Controller's end-customers (tour bookers and participants), the Controller's staff (admin, operators, guides). |
|---|
4. Obligations of the Processor
The Processor shall:
- Process personal data only on documented instructions from the Controller and as necessary to provide the service.
- Ensure that persons authorised to process personal data are bound by confidentiality.
- Implement appropriate technical and organisational measures pursuant to Article 32 GDPR (see Annex II).
- Assist the Controller in responding to data subject requests and in fulfilling its obligations under Articles 32–36 GDPR.
- Notify the Controller without undue delay (and, where feasible, within 48 hours) after becoming aware of a personal data breach affecting Controller Data.
- Make available all information necessary to demonstrate compliance and allow for audits, including inspections, conducted by the Controller or another auditor mandated by the Controller, subject to reasonable confidentiality and notice obligations.
- Immediately inform the Controller if an instruction infringes the GDPR or other Union or Member State data protection provisions.
5. Obligations of the Controller
- The Controller warrants that it has a valid legal basis to process the personal data uploaded to or generated within the service and to entrust such processing to the Processor.
- The Controller is responsible for providing the relevant information notices to data subjects and for handling data subject rights as required by the GDPR.
- The Controller shall not upload special categories of personal data (Article 9 GDPR) unless previously agreed in writing.
6. Sub-processors
The Controller hereby grants the Processor general authorisation to engage the sub-processors listed in Annex I. The Processor shall inform the Controller of any intended changes concerning the addition or replacement of sub-processors at least 30 days in advance, giving the Controller the opportunity to object. The Processor shall impose data protection obligations on its sub-processors that are no less protective than those set out in this DPA.
7. International transfers
Where a sub-processor is located outside the European Economic Area, the Processor shall ensure that the transfer is governed by an adequacy decision of the European Commission, the EU Standard Contractual Clauses (Commission Decision 2021/914) or another lawful transfer mechanism, supplemented by additional technical and organisational measures where necessary (e.g. encryption, minimisation, contractual restrictions). For transfers to the People's Republic of China (DeepSeek), the Processor has carried out a Transfer Impact Assessment, the result of which is available to the Controller on request.
8. Security (Annex II — summary)
- Encryption in transit (TLS) and at rest where supported by the underlying infrastructure.
- Hashing of passwords with industry-standard algorithms.
- Logical separation of customer instances by subdomain.
- Role-based access control and least-privilege principles for staff.
- Daily backups with documented retention.
- Logging and monitoring of administrative actions and security events.
- Regular review of vendor security and contracts.
- Personnel bound by written confidentiality obligations.
9. Return and deletion of personal data
Upon termination of the service, the Processor shall, at the choice of the Controller, return or delete all personal data within 30 days, unless EU or Member State law requires storage. The Controller may request export of its data at any time during the subscription, in a standard format (e.g. CSV).
10. Liability and limitation
The liability of the parties under this DPA shall be subject to the limitations of liability set out in the Terms and Conditions, except where such limitation is prohibited by applicable data protection law.
11. Governing law
This DPA is governed by the laws of Finland and is supplementary to the Terms and Conditions. In case of conflict between this DPA and the Terms and Conditions concerning the processing of personal data, this DPA shall prevail.
Annex I — List of sub-processors (current)
| Sub-processor | Activity | Location | Transfer mechanism |
|---|
| Hostinger International Ltd. | Hosting and storage | European Union | EEA — no transfer |
| Stripe Payments Europe Ltd. | Subscription payments | Ireland (EU) | EEA — no transfer (Stripe may sub-process in the US under DPF/SCCs) |
| OpenAI, L.L.C. | AI realtime assistant (optional) | United States | EU SCCs; EU–US Data Privacy Framework where applicable |
| Hangzhou DeepSeek Artificial Intelligence Co., Ltd. | AI parsing of reservation emails | People's Republic of China | EU SCCs + Transfer Impact Assessment + technical safeguards |
| SMTP provider configured by [LEGAL_NAME] | Transactional email delivery | European Union | EEA — no transfer |
Acuerdo de Tratamiento de Datos (DPA)
Versión 1.0 · Última actualización: 18 de mayo de 2026
1. Objeto
El presente Acuerdo de Tratamiento de Datos (“DPA”) forma parte integral de los Términos y Condiciones suscritos entre el cliente de Tour Tracker (el “Responsable”) y [LEGAL_NAME], Y-tunnus [BUSINESS_ID], con domicilio en [ADDRESS], Finlandia (el “Encargado”). Regula el tratamiento de datos personales por el Encargado por cuenta del Responsable en relación con el servicio SaaS Tour Tracker, conforme al artículo 28 del Reglamento (UE) 2016/679 (“RGPD”).
2. Roles
Respecto a los datos personales de los clientes finales del Responsable (datos de reservas) tratados a través de Tour Tracker, el Responsable actúa como responsable del tratamiento y el Encargado como encargado del tratamiento. El Encargado tratará dichos datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales, salvo obligación legal de la UE o de un Estado miembro.
3. Objeto y detalles del tratamiento
| Objeto | Prestación del SaaS Tour Tracker: importación de reservas, gestión de guías, división de tours, seguimiento de ingresos y elaboración de informes. |
|---|
| Duración | Vigencia de la suscripción más el período de borrado/devolución indicado en la sección 9. |
|---|
| Naturaleza y finalidad | Almacenamiento, extracción, organización, estructuración, consulta, visualización, comunicación y supresión de datos personales necesarios para prestar el servicio. |
|---|
| Tipo de datos personales | Identificación del cliente final (nombre, email, teléfono), idioma, tamaño del grupo, referencia de reserva, fecha y hora del tour, notas internas añadidas por el Responsable. |
|---|
| Categorías de interesados | Clientes finales del Responsable (reservadores y participantes de tours), personal del Responsable (administradores, operadores, guías). |
|---|
4. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable y según sea necesario para prestar el servicio.
- Garantizar que las personas autorizadas para tratar datos personales estén obligadas a confidencialidad.
- Implementar medidas técnicas y organizativas adecuadas conforme al artículo 32 del RGPD (ver Anexo II).
- Asistir al Responsable a responder solicitudes de los interesados y a cumplir sus obligaciones de los artículos 32 a 36 del RGPD.
- Notificar al Responsable sin dilación indebida (y, cuando sea posible, en un plazo de 48 horas) tras tener conocimiento de una violación de datos personales que afecte a los Datos del Responsable.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento y permitir auditorías, incluidas inspecciones, realizadas por el Responsable u otro auditor designado por éste, con sujeción a obligaciones razonables de confidencialidad y preaviso.
- Informar inmediatamente al Responsable si considera que una instrucción infringe el RGPD u otras disposiciones de protección de datos.
5. Obligaciones del Responsable
- El Responsable garantiza disponer de base jurídica válida para tratar los datos personales que sube o que se generan en el servicio y para encomendar dicho tratamiento al Encargado.
- El Responsable es responsable de facilitar las cláusulas informativas pertinentes a los interesados y de gestionar los derechos de los interesados conforme al RGPD.
- El Responsable no subirá categorías especiales de datos personales (art. 9 RGPD) salvo acuerdo previo por escrito.
6. Subencargados
El Responsable otorga al Encargado autorización general para contratar a los subencargados enumerados en el Anexo I. El Encargado informará al Responsable de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados con al menos 30 días de antelación, dando al Responsable la oportunidad de oponerse. El Encargado impondrá a sus subencargados obligaciones de protección de datos no menos exigentes que las del presente DPA.
7. Transferencias internacionales
Cuando un subencargado esté ubicado fuera del Espacio Económico Europeo, el Encargado garantizará que la transferencia esté regulada por una decisión de adecuación de la Comisión Europea, por las Cláusulas Contractuales Tipo de la UE (Decisión 2021/914) u otro mecanismo de transferencia lícito, complementado con medidas técnicas y organizativas adicionales cuando sea necesario (p. ej. cifrado, minimización, restricciones contractuales). Para las transferencias a la República Popular China (DeepSeek), el Encargado ha realizado una Evaluación de Impacto de Transferencia cuyo resultado está disponible para el Responsable bajo solicitud.
8. Seguridad (Anexo II — resumen)
- Cifrado en tránsito (TLS) y en reposo cuando lo soporte la infraestructura.
- Hashing de contraseñas con algoritmos estándar de la industria.
- Separación lógica de instancias de cliente por subdominio.
- Control de accesos basado en roles y principio de mínimo privilegio para el personal.
- Copias de seguridad diarias con período de retención documentado.
- Logging y monitorización de acciones administrativas y eventos de seguridad.
- Revisión periódica de la seguridad y los contratos de proveedores.
- Personal vinculado por obligaciones de confidencialidad por escrito.
9. Devolución y supresión de datos personales
Al finalizar el servicio, el Encargado, a elección del Responsable, devolverá o suprimirá todos los datos personales en un plazo de 30 días, salvo obligación legal de conservación. El Responsable podrá solicitar la exportación de sus datos en cualquier momento durante la suscripción, en un formato estándar (p. ej. CSV).
10. Responsabilidad y limitación
La responsabilidad de las partes en virtud del presente DPA estará sujeta a las limitaciones de responsabilidad de los Términos y Condiciones, salvo que dicha limitación esté prohibida por la normativa de protección de datos aplicable.
11. Ley aplicable
Este DPA se rige por la ley de Finlandia y es complementario a los Términos y Condiciones. En caso de conflicto entre este DPA y los Términos y Condiciones en lo relativo al tratamiento de datos personales, prevalecerá el presente DPA.
Anexo I — Lista de subencargados (actual)
| Subencargado | Actividad | Ubicación | Mecanismo de transferencia |
|---|
| Hostinger International Ltd. | Hosting y almacenamiento | Unión Europea | EEE — sin transferencia |
| Stripe Payments Europe Ltd. | Pagos de suscripción | Irlanda (UE) | EEE — sin transferencia (Stripe puede subcontratar en EE. UU. bajo DPF/CCT) |
| OpenAI, L.L.C. | Asistente IA en tiempo real (opcional) | Estados Unidos | CCT UE; EU–US Data Privacy Framework cuando proceda |
| Hangzhou DeepSeek Artificial Intelligence Co., Ltd. | Análisis IA de correos de reserva | República Popular China | CCT UE + Evaluación de Impacto de Transferencia + medidas técnicas |
| Proveedor SMTP configurado por [LEGAL_NAME] | Envío de correos transaccionales | Unión Europea | EEE — sin transferencia |