Politika privatnosti

1. Uvod

Ova Politika privatnosti opisuje kako tvrtka Extreme Cloud d.o.o., OIB: 28624383698, sa sjedištem u Zagreb (u daljnjem tekstu: "Voditelj obrade" ili "mi") prikuplja, koristi, pohranjuje i štiti osobne podatke korisnika platforme ShopKit.hr.

Ova politika je usklađena s:

• Općom uredbom o zaštiti podataka (GDPR) — Uredba (EU) 2016/679
• Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18)
• Zakonom o elektroničkim komunikacijama (NN 73/08) — u dijelu koji se odnosi na kolačiće

2. Voditelj obrade podataka

3. Koje osobne podatke prikupljamo

3.1 Podaci koje nam izravno pružate

• Podaci o računu — ime, prezime, email adresa, naziv tvrtke, OIB, telefon, adresa
• Podaci o pretplati — odabrani plan, povijest narudžbi, fakture
• Komunikacija — poruke putem kontakt forme, emailovi podrške

3.2 Podaci koje prikupljamo automatski

• Tehnički podaci — IP adresa, tip preglednika, operacijski sustav, razlučivost ekrana
• Podaci o korištenju — stranice koje posjećujete, vrijeme pristupa, klikovi, prijave u sustav
• Kolačići — podaci prikupljeni putem kolačića (vidi odjeljak 9)

3.3 Podaci o plaćanju

Plaćanja se obrađuju putem certificiranih platnih procesora (Stripe, CorvusPay). Ne pohranjujemo brojeve kreditnih kartica niti druge osjetljive podatke o plaćanju na našim serverima. Platni procesori su PCI DSS certificirani.

4. Svrha i pravna osnova za obradu

Svrha	Pravna osnova (GDPR čl.)	Rok čuvanja
Pružanje usluge (račun, pretplata)	Izvršenje ugovora (čl. 6.1.b)	Trajanje pretplate + 30 dana
Fakturiranje i računovodstvo	Zakonska obveza (čl. 6.1.c)	11 godina (Zakon o računovodstvu)
Fiskalizacija računa	Zakonska obveza (čl. 6.1.c)	11 godina
Marketing komunikacija	Privola (čl. 6.1.a)	Do povlačenja privole
Sigurnost platforme	Legitimni interes (čl. 6.1.f)	90 dana (logovi)
Poboljšanje usluge (analitika)	Legitimni interes (čl. 6.1.f)	26 mjeseci (anonimizirano)
Odgovaranje na upite	Legitimni interes (čl. 6.1.f)	12 mjeseci

5. Dijeljenje podataka s trećim stranama

Ne prodajemo vaše osobne podatke. Podatke dijelimo isključivo s trećim stranama koje su nužne za pružanje usluge:

• Platni procesori (Stripe Inc., CorvusPay d.o.o.) — obrada plaćanja
• Dostavne službe (GLS, DPD, Hrvatska pošta) — isporuka paketa za korisnike koji koriste te integracije
• Hosting i infrastruktura (serveri unutar EU) — pohrana podataka
• Email usluge — slanje transakcijskih emailova (potvrde, računi)
• Fiskalizacija — komunikacija s Poreznom upravom RH putem CIS sustava

Sve treće strane obvezane su ugovorima o obradi podataka (DPA) sukladno čl. 28. GDPR-a.

6. Prijenos podataka izvan EU/EEA

Vaši podaci se pohranjuju na serverima unutar Europske unije. U slučaju da neki od naših podizvođača prenosi podatke izvan EU/EEA (npr. Stripe ima sjedište u SAD-u), takav prijenos se temelji na:

• EU-US Data Privacy Framework (za SAD)
• Standardnim ugovornim klauzulama (SCC) koje je odobrila Europska komisija

7. Pohrana podataka i rokovi čuvanja

• Osobni podaci računa — čuvamo dok traje korisnički račun + 30 dana nakon brisanja za export podataka
• Financijski podaci (fakture, transakcije) — 11 godina sukladno Zakonu o računovodstvu i Općem poreznom zakonu
• Logovi pristupa — 90 dana za sigurnosne svrhe
• Podaci kontakt forme — 12 mjeseci
• Marketing privole — do povlačenja privole
• GDPR privole — 5 godina od davanja privole (kao dokaz)

Nakon isteka roka čuvanja, podaci se trajno brišu ili anonimiziraju.

8. Vaša prava prema GDPR-u

Kao ispitanik imate sljedeća prava:

Za ostvarivanje prava pošaljite zahtjev na info@shopkit.hr. Odgovorit ćemo u roku od 30 dana. Zahtjev može biti produljen za dodatnih 60 dana uz obavijest ako je zahtjev složen.

Za povlačenje privole za marketing, koristite link za odjavu u emailu ili nas kontaktirajte.

9. Kolačići (Cookies)

9.1 Nužni kolačići

Ovi kolačići su neophodni za funkcioniranje Platforme i ne mogu se isključiti:

• Sesijski kolačić — održava prijavu (trajanje: do zatvaranja preglednika)
• CSRF token — zaštita od cross-site napada (trajanje: sesija)
• Cookie consent — pamti vaš odabir o kolačićima (trajanje: 1 godina)

9.2 Analitički kolačići

Koristimo analitičke kolačiće za razumijevanje kako posjetitelji koriste stranicu. Ovi kolačići se aktiviraju samo uz vašu privolu.

9.3 Upravljanje kolačićima

Možete upravljati kolačićima putem:

• Bannera za pristanak na kolačiće pri prvom posjetu
• Postavki vašeg preglednika (Chrome, Firefox, Safari, Edge)

Napomena: blokiranje nužnih kolačića može onemogućiti funkcioniranje Platforme.

10. Sigurnost podataka

Primjenjujemo tehničke i organizacijske mjere za zaštitu vaših podataka:

• Enkripcija — SSL/TLS enkripcija za sve komunikacije, enkripcija osjetljivih podataka u bazi
• Kontrola pristupa — pristup podacima imaju samo ovlašteni zaposlenici prema principu najmanje privilegije
• Redovite sigurnosne provjere — penetracijsko testiranje, revizija koda
• Sigurnosne kopije — dnevne automatizirane backup-e s enkripcijom
• Monitoring — 24/7 nadzor sustava za detekciju anomalija
• Rate limiting — zaštita od brute-force napada na korisničke račune

11. Zaštita maloljetnika

Platforma nije namijenjena osobama mlađim od 18 godina. Ne prikupljamo svjesno osobne podatke maloljetnika. Ako saznamo da smo prikupili podatke maloljetnika bez pristanka roditelja/skrbnika, odmah ćemo ih obrisati.

12. Pravo na pritužbu

Ako smatrate da su vaša prava na zaštitu podataka povrijeđena, imate pravo podnijeti pritužbu nadzornom tijelu:

Preporučujemo da nas najprije kontaktirate kako bismo pokušali riješiti vaš zahtjev direktno.

13. Izmjene ove politike

Ovu Politiku privatnosti možemo povremeno ažurirati. O značajnim promjenama ćemo vas obavijestiti emailom minimalno 30 dana unaprijed. Manje izmjene (pravopisne, pojašnjenja) stupaju na snagu objavom na ovoj stranici.

Datum zadnje izmjene prikazan je na vrhu ove stranice.

14. Kontakt za pitanja o privatnosti

Za sva pitanja, zahtjeve ili pritužbe vezane uz zaštitu vaših osobnih podataka: