Politika privatnosti

Voditelj obrade osobnih podataka u smislu Opće uredbe o zaštiti podataka (GDPR) je PoratDEV obrt za računalne djelatnosti, OIB [POPUNITI], sa sjedištem na adresi [POPUNITI — Sesvete / Koprivnica].

Za sva pitanja vezana uz obradu osobnih podataka i ostvarivanje prava iz GDPR-a možete nas kontaktirati e-poštom na [POPUNITI E-MAIL].

Voditelj obrade nema imenovanog službenika za zaštitu podataka jer po opsegu i prirodi obrade ne ispunjava uvjete iz članka 37. GDPR-a, ali se odgovornost za zaštitu podataka u potpunosti nalazi na voditelju obrade.

U sklopu pružanja usluge Strankomat obrađujemo tri kategorije podataka.

(a) Podaci o korisniku usluge (odvjetnik ili pravni stručnjak): e-pošta, ime i prezime, OIB obrta ili društva korisnika (po potrebi za izdavanje računa), Telegram chat ID (radi dostave obavijesti), IP adresa kod prijave u svrhu sigurnosti.

(b) Podaci o predmetima nadzora (stranke korisnika): OIB pravne ili fizičke osobe, naziv društva ili ime i prezime, te podaci preuzeti iz javnih objava na e-Oglasnoj ploči (npr. naziv spisa, datum objave, sud, vrsta objave, adresa stranke ako je objavljena).

(c) Tehnički podaci: log podaci o pristupu (vrijeme zahtjeva, korišteni endpoint, status odgovora) i kolačići potrebni za rad prijave.

Za korisničke podatke iz kategorije (a) pravna osnova obrade je čl. 6. st. 1. t. (b) GDPR-a — obrada je nužna za izvršenje ugovora o pružanju usluge u kojem je korisnik stranka, odnosno za poduzimanje radnji prije sklapanja ugovora.

Za podatke o predmetima nadzora iz kategorije (b) pravna osnova je čl. 6. st. 1. t. (f) GDPR-a — legitimni interes korisnika (odvjetnika) da prati objave na e-Oglasnoj ploči koje se odnose na njegove klijente i predmete. Korisnik je u tom odnosu voditelj obrade, a Strankomat djeluje kao izvršitelj obrade.

Međusobni odnos voditelja i izvršitelja obrade uređuje se Ugovorom o obradi (Data Processing Agreement) koji se sklapa prilikom aktivacije računa, u skladu s čl. 28. GDPR-a.

Osobne podatke obrađujemo isključivo u svrhe za koje su prikupljeni. Te svrhe su sljedeće:

• Pružanje usluge automatiziranog nadzora e-Oglasne ploče za sve stranke koje je korisnik unio u svoj račun.
• Slanje obavijesti putem Telegrama u dogovorenim intervalima (jutarnji, podnevni i poslijepodnevni digest).
• Izdavanje računa i naplata pretplate (kad funkcionalnost naplate bude aktivirana).
• Pružanje tehničke podrške, otklanjanje grešaka i sigurnosno praćenje pristupa.
• Komuniciranje bitnih izmjena usluge (najave radova, izmjene uvjeta, sigurnosna upozorenja).

Različite kategorije podataka čuvamo različito dugo, u skladu s načelom ograničenja pohrane iz čl. 5. st. 1. t. (e) GDPR-a.

Korisnički podaci. Čuvaju se za vrijeme trajanja korisničkog računa te dodatnih 12 mjeseci nakon raskida — radi rješavanja eventualnih reklamacija i ispunjavanja zakonskih obveza vezanih uz izdane račune.

Podaci o objavama s e-Oglasne. Čuvaju se 12 mjeseci od datuma objave (datePublished), nakon čega se automatski brišu iz aktivne baze. Korisnik može u svakom trenutku zatražiti raniji izvoz ili brisanje konkretnih predmeta.

Log podaci. Čuvaju se 90 dana radi sigurnosnog nadzora, nakon čega se rotiraju i brišu.

Za pružanje usluge koristimo provjerene podizvršitelje obrade. Sa svakim od njih imamo sklopljen ugovor koji jamči razinu zaštite u skladu s GDPR-om.

• Hetzner Online GmbH (Njemačka, EU) — hosting aplikacije i baze podataka. Podaci ostaju unutar Europskog gospodarskog prostora.
• Telegram Messenger Inc. (cloud-based) — dostava obavijesti. Telegramu prosljeđujemo isključivo identifikator chata i tekst obavijesti; ne dijelimo OIB-e ni druge identifikatore stranaka u sirovom obliku.
• Stripe Payments Europe Ltd. (Irska, EU) — obrada plaćanja (planirano, postaje aktivno kad uključimo naplatu). Stripe prikuplja podatke o kartici i o iznosu transakcije; mi tim podacima ne pristupamo izravno.

Aktualna lista podizvršitelja može se izmijeniti uz prethodnu obavijest e-poštom najmanje 14 dana prije promjene.

Sav korisnički sadržaj i baza podataka pohranjuju se na poslužiteljima unutar Europskog gospodarskog prostora (Njemačka). Ne prenosimo osobne podatke u zemlje izvan EGP-a u svrhu redovne obrade.

Iznimno, kod dostave obavijesti putem Telegrama, neki metapodaci (npr. internetski usmjerni put paketa) mogu prolaziti kroz poslužitelje izvan EGP-a u skladu s tehnologijom kojom Telegram isporučuje poruke. Tekst obavijesti koji šaljemo Telegramu obrađuje se u skladu s njihovim uvjetima i smatra se prijenosom na temelju standardnih ugovornih klauzula iz Provedbene odluke Komisije (EU) 2021/914.

U slučaju buduće izmjene podizvršitelja koja bi uključivala prijenos podataka izvan EGP-a, primijenit ćemo odgovarajuće zaštitne mjere u skladu s Poglavljem V. GDPR-a.

U skladu s Poglavljem III. GDPR-a, u svakom trenutku imate sljedeća prava u odnosu na svoje osobne podatke:

• pravo na pristup podacima i informaciju o obradi;
• pravo na ispravak netočnih ili nepotpunih podataka;
• pravo na brisanje ("pravo na zaborav") u uvjetima propisanima zakonom;
• pravo na ograničavanje obrade;
• pravo na prenosivost podataka u strukturiranom strojno čitljivom formatu;
• pravo na prigovor u odnosu na obradu koja se temelji na legitimnom interesu;
• pravo podnijeti pritužbu nadzornom tijelu — Agenciji za zaštitu osobnih podataka (AZOP).

Za ostvarivanje navedenih prava obratite nam se na [POPUNITI E-MAIL]. Odgovor šaljemo bez odgađanja, a najkasnije u roku od mjesec dana od zaprimanja zahtjeva.

Primjenjujemo tehničke i organizacijske mjere koje su razmjerne riziku obrade.

• Šifriranje prometa između klijenta i poslužitelja (TLS 1.2+).
• Lozinke korisnika pohranjuju se isključivo u obliku otpornom na obrnuti izračun (bcrypt s individualnim sol-vrijednostima).
• Pristup bazi podataka ograničen je na servisne račune i kontrolira se preko interne mreže poslužitelja.
• Redovne sigurnosne kopije baze s enkripcijom u mirovanju i testiranjem oporavka.
• Fizička sigurnost podatkovnih centara provodi se kroz Hetzner (certificirano prema ISO 27001).
• Monitoring pristupa i automatsko upozoravanje na anomalije (neobične IP adrese, neuspjeli pokušaji prijave).

Strankomat koristi isključivo tehnički nužne kolačiće. Glavni kolačić sadrži JWT sesijski žeton i postavljen je kao HttpOnly i Secure kako bi se spriječio pristup iz JavaScripta odnosno prijenos preko nekriptiranih kanala.

U inicijalnoj verziji usluge ne koristimo kolačiće za oglašavanje, marketinšku analitiku trećih strana ni ponašajno praćenje.

Ako u budućoj verziji uvedemo neki oblik agregirane analitike koji obrađuje osobne podatke izvan tehničke nužnosti, prethodno ćemo tražiti vaš pristanak i ažurirati ovu politiku.

Strankomat je namijenjen isključivo poslovnim korisnicima — odvjetnicima, javnim bilježnicima, pravnim uredima i srodnim pravnim stručnjacima. Ne obrađujemo svjesno osobne podatke maloljetnika niti je usluga namijenjena osobama mlađima od 18 godina.

U slučaju saznanja da je u sustavu pohranjen podatak o maloljetnoj osobi koji ne pripada predmetu pravnog postupka, takav podatak uklonit ćemo bez odgađanja.

Ovu politiku privatnosti možemo izmijeniti kako bismo je uskladili s promjenama u načinu obrade podataka, novim funkcionalnostima usluge ili regulatornim zahtjevima.

Svaka izmjena objavljuje se na ovoj stranici uz datum stupanja na snagu. Bitne izmjene — one koje mijenjaju opseg obrade, kategorije podataka ili podizvršitelje — dodatno komuniciramo svim aktivnim korisnicima putem e-pošte, najmanje 14 dana prije primjene.

Preporučujemo povremeni pregled ove stranice radi praćenja mogućih izmjena.

Za sva pitanja, prigovore ili zahtjeve vezane uz obradu osobnih podataka pišite nam na [POPUNITI E-MAIL]. U predmetu navedite da se zahtjev odnosi na osobne podatke kako bismo ga što brže usmjerili.