Politika privatnostiobrada osobnih podataka u Datadot uslugama.

1. Tko smo mi

Usluge iz ove Politike pruža:

• Naziv: datadot
• Pravni oblik: Obrt (paušalni / dohodak)
• OIB: 57809542839
• Sjedište: Zagreb, Republika Hrvatska
• Sve javne kontakte (uključujući zaštitu podataka): alwayshere@datadot.hr

U svrhu ove Politike, mi smo voditelj obrade osobnih podataka koje obrađujemo putem usluga dostupnih na našim mrežnim mjestima (uključujući datadot.hr, registar.datadot.hr, e-drazba.com, termino.datadot.hr i app.termino.datadot.hr).

2. Što ova Politika opisuje

Politika opisuje kako prikupljamo, koristimo i štitimo:

• podatke o korisnicima B2C pretplatničkih usluga (pojedinci koji se registriraju ili pretplate);
• podatke o poslovnim korisnicima koji koriste B2B usluge (banke, agencije za nekretnine, odvjetnici, fintech i drugi pravni subjekti);
• osobne podatke trećih osoba koji se pojavljuju u javnim objavama sudova i drugih državnih tijela, a koje agregiramo i prikazujemo u sklopu usluga.

Politika je usklađena s Uredbom (EU) 2016/679 (Opća uredba o zaštiti podataka — GDPR) i Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018).

3. Podaci koje prikupljamo o korisnicima

Kada se registrirate ili koristite naše usluge, prikupljamo:

• podatke koje ste sami unijeli: adresu elektroničke pošte, ime i prezime (opcionalno), kriterije za personalizirane obavijesti (županije, vrste nekretnina, vrijednosni razred);
• za plaćene pretplate: podatke o naplati koje obrađuje vanjski pružatelj platnih usluga (vidi točku 13 — naplatu ne procesuiramo izravno, samo primamo potvrdu o uspješnoj transakciji);
• za B2B klijente: naziv tvrtke, OIB, adresa sjedišta, kontaktna osoba, podaci za izdavanje računa;
• tehničke podatke: IP adresa, podaci o pregledniku, vrijeme pristupa, stranice koje ste posjetili;
• podatke o korištenju: pretrage koje ste izvršili, kriteriji koje ste označili kao praćene, povijest otvaranja primljenih obavijesti.

Pravna osnova: ugovor (čl. 6(1)(b) GDPR — pružanje usluge) i legitimni interes (čl. 6(1)(f) — sigurnost sustava i sprječavanje zlouporabe).

Termino — specifični podaci

U sklopu usluge Termino (termino.datadot.hr) prikupljamo i obrađujemo sljedeće kategorije podataka:

• Pacijentski podaci (primljeni putem WhatsApp poruka klijentu ordinacije): ime i prezime, broj mobitela (WhatsApp ID), izborno adresa elektroničke pošte, datum i vrijeme zakazanog termina.
• Podaci administratora ordinacije: adresa elektroničke pošte, ime i prezime, hash lozinke (bcrypt), opcijski TOTP tajni ključ za dvofaktorsku autentifikaciju (enkriptiran XChaCha20-Poly1305, pohranjuje se isključivo u enkriptiranom obliku).
• Audit log administrativnih akcija: IP adresa, User-Agent zaglavlje, vrsta akcije (npr. login, promjena termina, ažuriranje tenanta), vremenska oznaka i before/after JSON snimka stanja zapisa.

Pravna osnova: ugovor (čl. 6(1)(b) GDPR) za pružanje usluge rezervacije termina; legitimni interes (čl. 6(1)(f)) za audit log i sigurnost sustava.

4. Podaci o trećim osobama iz javnih objava

Naša usluga agregira i strukturirano prikazuje informacije iz dvanaest (12) javno dostupnih izvora kojima upravljaju nadležna državna tijela Republike Hrvatske, Europske unije i njezinih agencija:

Domaći izvori (RH)

• Sudski registar (sudreg.pravosudje.hr) — Ministarstvo pravosuđa i uprave
• e-Oglasna ploča sudova (e-oglasna.pravosudje.hr) — Ministarstvo pravosuđa i uprave
• e-Predmet (e-predmet.pravosudje.hr) — Ministarstvo pravosuđa i uprave; stranke u objavama na izvoru su anonimizirane na inicijale
• FINA PONIP (Portal javnih nadmetanja) — Financijska agencija
• DZS RPS (Registar poslovnih subjekata) — Državni zavod za statistiku
• DGU — Državna geodetska uprava (katastarski podaci)

Izvori EU i agencija

• TED (Tenders Electronic Daily, ted.europa.eu) — službeni portal EU za javnu nabavu
• EU FSF (Financial Sanctions Files) — javna konsolidirana lista subjekata pod EU sankcijama, koristi se isključivo za AML compliance signal u B2B sloju
• Eurostat HCSI — harmonizirani indikatori cijena nekretnina (agregirana statistika, bez osobnih podataka)
• Eurostat NUTS — klasifikacija teritorijalnih jedinica (bez osobnih podataka)
• BRIS (Business Registers Interconnection System) — međupovezani registri trgovačkih društava EU
• IRI — interni javno dostupan indeks registriranih interesa (bez osobnih podataka izvan već javno objavljenih)

U sklopu ovih javnih objava mogu se pojaviti osobni podaci fizičkih osoba. Konkretno možemo obrađivati:

• ime i prezime;
• OIB;
• adresu (ako je sadržana u izvornoj objavi);
• podatke o predmetu postupka (broj spisa, sud, datum, status);
• podatke o imovini koja je predmet nadmetanja (opis nekretnine ili pokretnine, lokacija, procjembena vrijednost).

5. Pravna osnova za obradu podataka iz javnih objava

Obradu osobnih podataka koji se pojavljuju u javnim objavama temeljimo na legitimnom interesu (čl. 6(1)(f) GDPR):

• podaci su već javno objavljeni od strane nadležnih državnih tijela u svrhu transparentnosti i pravne sigurnosti;
• naša obrada slijedi istu primarnu svrhu — informiranje tržišnih sudionika;
• legitimni interes je dokumentiran u internom dokumentu Procjena legitimnog interesa (LIA) koji možete zatražiti na alwayshere@datadot.hr;
• primjenjujemo niz tehničkih i organizacijskih mjera koje smanjuju utjecaj obrade na ispitanike (vidi točku 7).

6. Kako koristimo podatke

Vaše korisničke podatke koristimo za:

• pružanje i održavanje usluge (pretraga, personalizirane obavijesti, popisi za praćenje);
• autentifikaciju i upravljanje vašim računom;
• naplatu pretplate (kroz vanjskog pružatelja platnih usluga);
• slanje obavijesti i operativne komunikacije vezane uz uslugu;
• statističku analizu korištenja usluge (kroz vlastiti, samostalno hostani analitički sustav prve strane);
• zaštitu od zlouporabe i sigurnost sustava.

Ne koristimo vaše podatke za:

• oglašavanje trećih strana;
• prodaju ili dijeljenje s neovlaštenim trećim osobama;
• automatizirano donošenje odluka koje proizvode pravne učinke za vas (čl. 22. GDPR);
• profiliranje u svrhu marketinga.

6a. Sankcijski signal (EU FSF) — automatizirana provjera podudaranja

U B2B sloju (za poslovne klijente kao što su banke, fintech i obveznici sprječavanja pranja novca) Pružatelj na temelju javno objavljene konsolidirane liste EU financijskih sankcija (EU FSF, EEAS) automatski izračunava signal o mogućem podudaranju između upita poslovnog klijenta i sankcionirane osobe ili subjekta.

Što ovo znači za ispitanika:

• Pružatelj nije voditelj obrade za odluku koju donosi poslovni klijent — Pružatelj isporučuje samo tehnički signal podudaranja (true / false / similarity score);
• Poslovni klijent (banka, fintech) je samostalan voditelj obrade za svoju krajnju odluku i sukladno čl. 22(3) GDPR-a dužan je osigurati pravo na ljudski pregled, izražavanje stajališta i osporavanje odluke;
• Pružatelj poslovnom klijentu ugovorno nalaže (Posebni B2B uvjeti čl. 6 i DPA) da signal koristi isključivo kao pomoćni mehanizam, ne kao isključivu osnovu odluke;
• Ispitanik koji smatra da je podudaranje pogrešno može uputiti zahtjev na /legal/zahtjev/; Pružatelj će u suradnji s poslovnim klijentom provjeriti zapis u izvoru (EEAS).

Izvor sankcijske liste: EU Sanctions Map (EEAS).

7. Mjere zaštite

Mjere zaštite za podatke iz javnih objava:

• Slojeviti pristup — javnost vidi samo metapodatke (datum, lokacija, vrsta nekretnine, početna cijena); identifikacijski podaci (ime, OIB, adresa) prikazuju se samo registriranim plaćenim korisnicima i B2B klijentima koji su prihvatili Uvjete korištenja s ograničenjima upotrebe.
• Ograničenje broja upita (ograničavanje broja upita) sprječava masovno preuzimanje baze.
• Evidencija pristupa — bilježi se pristup pojedinim zapisima.
• Šifriranje podataka u prijenosu (HTTPS sa suvremenim TLS-om) i u mirovanju (na razini diska poslužitelja).
• Politika retencije — podaci se brišu ili anonimiziraju nakon definiranih razdoblja (vidi točku 9).

Tehničke i organizacijske mjere za korisničke podatke:

• Lozinke se pohranjuju u hashed obliku (industrijski standard), nikad u jasnom tekstu.
• Pristup bazi podataka razdvojen je na ovlasti čitanja i pisanja.
• Administrativni pristup ograničen je na voditelja obrade s centralnim upravljanjem tajnama.
• Redovito se prati sustav i ažurira softver.

8. Pružatelji tehničkih usluga (izvršitelji obrade)

Za pružanje usluge koristimo vanjske pružatelje koji djeluju kao izvršitelji obrade. Sukladno sigurnosnoj politici (smanjenje rizika ciljanih napada na infrastrukturu) javno objavljujemo kategorije pružatelja, lokacije obrade i mehanizme prijenosa, dok se konkretni tržišni nazivi dostavljaju nadležnim tijelima i poslovnim klijentima na pisani zahtjev.

Ažurirani sažetak kategorija sub-procesora objavljen je na listi sub-procesora. Lista uključuje i WhatsApp Cloud API (Meta) koji se koristi za pacijentsku komunikaciju u sklopu Termino usluge, te hrvatski sustav za izdavanje računa i fiskalizaciju koji se koristi za generiranje R1 računa i prijavu u CIS Porezne uprave. Konkretni tržišni nazivi i potpisani DPA-ovi dostavljaju se nadležnim tijelima i poslovnim klijentima na pisani zahtjev. Obavještavamo registrirane korisnike o značajnim promjenama popisa najmanje 30 dana unaprijed.

9. Koliko dugo čuvamo podatke

Korisnički podaci:

• aktivni računi: dok god je račun aktivan + 12 mjeseci nakon prestanka korištenja;
• podaci o izdavanju računa: 5 godina (čl. 87 Općeg poreznog zakona — paušalni obrt). Ako Pružatelj uđe u sustav PDV-a, primjenjuje se 11 godina (čl. 45 Zakona o PDV-u);
• zapisi evidencije pristupa: 12 mjeseci;
• podaci o pretragama: 6 mjeseci u identificiranom obliku, dalje anonimno.

Termino — specifična retencija:

• WhatsApp chat poruke: 6 mjeseci (180 dana) od primitka — konfigurabilno parametrom CHAT_RETENTION_DAYS; po isteku automatski brišu cron skriptom.
• Termini (bookings): 24 mjeseca od obavljenog termina; po isteku anonimiziraju se identifikacijski podaci (ime, telefon), statistički podaci ostaju.
• Audit log administrativnih akcija: 12 mjeseci od datuma akcije.
• Izdani R1 računi (Solo + lokalni log): trajno — zakonska obveza sukladno Zakonu o porezu na dohodak (čl. 51) i Zakonu o računovodstvu — minimalno 11 godina.

Podaci iz javnih objava:

• dok je postupak aktivan: aktivno prikazujemo i obrađujemo;
• jedna godina nakon zaključenja: arhivski sloj, dostupan samo plaćenim i B2B korisnicima;
• 3 i više godina nakon zaključenja: brišu se identifikacijski podaci, zadržavaju se isključivo statistički neidentifikatorski podaci.

10. Vaša prava (čl. 15–22 GDPR)

Imate sljedeća prava:

• Pravo na pristup vašim podacima (čl. 15);
• Pravo na ispravak netočnih ili nepotpunih podataka (čl. 16);
• Pravo na brisanje („pravo na zaborav", čl. 17);
• Pravo na ograničenje obrade (čl. 18);
• Pravo na prenosivost podataka (čl. 20);
• Pravo na prigovor (čl. 21) — posebno važno za podatke iz javnih objava koje obrađujemo na temelju legitimnog interesa;
• Pravo na povlačenje privole (gdje obrada počiva na privoli);
• Pravo na pritužbu nadzornom tijelu — Agencija za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, azop@azop.hr.

Sva prava ostvarujete slanjem zahtjeva na alwayshere@datadot.hr ili putem online obrasca na /legal/zahtjev/. Odgovaramo u roku od 30 dana (interni cilj 24–72 sata). Ostvarivanje vaših prava je besplatno, osim u slučaju očito neutemeljenih ili pretjeranih zahtjeva.

11. Postupak uklanjanja vaših podataka iz javnih objava na našoj usluzi

Ako se vaše ime ili drugi osobni podaci pojavljuju u našoj bazi kao dio podataka iz javnih objava i želite uložiti prigovor:

• pošaljite zahtjev na alwayshere@datadot.hr ili putem obrasca na /legal/zahtjev/;
• navedite ime i OIB (potrebno za identifikaciju vaših podataka);
• po mogućnosti, navedite poveznicu na konkretnu objavu ili zapis u našoj bazi;
• kratko obrazložite razlog prigovora (detaljno obrazloženje nije obvezno).

U roku od 30 dana:

• provjeravamo zahtjev i razmatramo opravdanost;
• u slučaju opravdanog prigovora, uklanjamo podatak iz indeksa pretrage i prikaza;
• dodajemo zapis u internu listu zabrane (interna lista zabrane) kako bismo spriječili ponovno automatsko prikupljanje istog podatka;
• obavještavamo vas o ishodu zahtjeva elektroničkom poštom.

Napomena: uklanjanje iz naše baze ne briše izvornu objavu na portalima nadležnih državnih tijela. Za uklanjanje iz izvornih izvora morate se obratiti predmetnom tijelu (Ministarstvo pravosuđa i uprave, FINA, DZS).

12. Kolačići

Politika kolačića objavljena je kao zaseban dokument na /legal/cookies/. Naša mrežna mjesta koriste samo nužne kolačiće (sesija, autentifikacija) i vlastiti, samostalno hostani analitički sustav prve strane bez praćenja korisnika kroz druge stranice. Ne koristimo Google Analytics, Meta Pixel ni druge sustave praćenja trećih strana.

13. Naplata pretplate

Naplata pretplate procesirana je putem licenciranog pružatelja platnih usluga unutar Europske unije. Pružatelj naplate djeluje kao samostalan voditelj obrade za podatke o naplati. Podatke o kartici nikad ne pohranjujemo na našim poslužiteljima; obrađuju se izravno kod pružatelja platnih usluga sukladno PCI-DSS standardu.

Termino pretplate: Termino pretplate naplaćuje datadot s pomoću Stripe-a (pružatelj platnih usluga). Nakon svake uspješne naplate, datadot automatski generira i dostavlja R1 račun putem Solo aplikacije s fiskalizacijom — odnosno prijavom u CIS Porezne uprave RH, kako nalaže Zakon o fiskalizaciji u prometu gotovinom. Klijent račun prima na kontaktnu adresu elektroničke pošte.

14. Prijenos podataka izvan EU-a

Glavna obrada vrši se u Europskoj uniji. Pojedini pružatelji tehničkih usluga, posebice za dostavu transakcijske e-pošte, mogu obrađivati podatke izvan EU/EEA-a. U tom slučaju primjenjujemo:

• Standardne ugovorne klauzule (SCC) odobrene od strane Europske komisije;
• dodatne tehničke i organizacijske mjere zaštite gdje je potrebno;
• redovito praćenje razvoja sudske prakse (Schrems II i naredne odluke) i prilagođavanje postupanja.

15. Sigurnosni incidenti

Imamo pisani plan reakcije na sigurnosni incident. U slučaju povrede osobnih podataka koja može dovesti do rizika za prava i slobode ispitanika:

• obavještavamo AZOP u roku od 72 sata od saznanja o povredi;
• obavještavamo izravno pogođene ispitanike kada povreda predstavlja visok rizik;
• interno evidentiramo sve incidente bez obzira na razinu rizika.

16. Maloljetnici

Naše usluge nisu namijenjene maloljetnim osobama mlađim od 16 godina i ne prikupljamo svjesno njihove osobne podatke kao korisnike.

17. Promjene ove Politike

Politiku ažuriramo s vremena na vrijeme. Datum posljednje izmjene i broj verzije navedeni su na vrhu dokumenta. Značajne promjene komuniciramo registriranim korisnicima elektroničkom poštom najmanje 30 dana prije stupanja na snagu. Prethodne verzije čuvamo i dostavljamo na zahtjev.

18. Mjerodavno pravo i nadležnost

Primjenjuje se hrvatsko pravo, posebno GDPR i Zakon o provedbi Opće uredbe o zaštiti podataka. Za sve sporove nadležni su sudovi u Republici Hrvatskoj prema sjedištu voditelja obrade.

19. Kontakt

• Elektronička pošta: alwayshere@datadot.hr
• Online obrazac: /legal/zahtjev/
• Poštanska adresa: dostupna je na zahtjev putem alwayshere@datadot.hr
• Nadzorno tijelo: Agencija za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, www.azop.hr, azop@azop.hr.