Evidencija aktivnosti obradeRoPA — javni sažetak.

Sukladno čl. 30 Opće uredbe o zaštiti podataka (GDPR), Datadot kao voditelj obrade vodi internu evidenciju svih aktivnosti obrade osobnih podataka. Niže navodimo javni sažetak kategorija obrada koje provodimo. Cjelovita interna evidencija dostavlja se AZOP-u (Hrvatska agencija za zaštitu osobnih podataka) na zahtjev tijekom inspekcijskog nadzora i poslovnim klijentima u sklopu predugovornih provjera.

1. Voditelj obrade

Obrt datadot · OIB 57809542839 · Zagreb, Republika Hrvatska
Kontakt za zaštitu podataka: alwayshere@datadot.hr

2. Aktivnosti obrade

2.1 Pretplata na FINA PONIP digest (B2C)

• Svrha: isporuka dnevnog digesta javnih nadmetanja, naplata pretplate, podrška
• Pravna osnova: čl. 6(1)(b) GDPR (ugovor) + čl. 6(1)(a) za marketing podsjetnike
• Kategorije ispitanika: registrirani pretplatnici (besplatni i plaćeni)
• Kategorije podataka: e-pošta, ime, prezime, adresa za fakturu, OIB (za plaćeni paket), IP adresa, podaci preglednika, identifikator kupca kod pružatelja naplate
• Primatelji: sub-procesori (pružatelji naplate, dostave e-pošte, hosting infrastrukture) — vidi listu sub-procesora
• Prijenosi izvan EU: pojedini pružatelj dostave e-pošte (SAD) — pokriveno EU SCC + DPA
• Rok pohrane: 5 godina (čl. 87 Općeg poreznog zakona — paušalni obrt; 11 godina ako Pružatelj uđe u sustav PDV-a)

2.2 B2B pilot / zahtjev forma

• Svrha: zaprimanje upita poslovnih klijenata, predugovorni razgovori
• Pravna osnova: čl. 6(1)(b) GDPR (predugovorne mjere)
• Kategorije podataka: e-pošta, ime, naziv tvrtke, OIB, opis potrebe
• Rok pohrane: 3 godine od posljednje komunikacije

2.3 Web analitika prve strane (self-hosted)

• Svrha: razumijevanje korisničkog ponašanja, optimizacija web stranica
• Pravna osnova: čl. 6(1)(f) GDPR (legitimni interes — LIA proveden)
• Kategorije podataka: anonimizirana IP adresa, posjećena stranica, podaci preglednika, referrer
• Primatelji: nitko izvan Datadot-a (analitika je samostalno hostana unutar EU)
• Rok pohrane: 13 mjeseci

2.4 OIB pretraga (/oib-provjera + javni API)

• Svrha: javni informacijski servis o pravnim osobama na temelju javnih podataka iz Sudskog registra
• Pravna osnova: čl. 6(1)(f) GDPR (legitimni interes) + javno dostupnost izvora
• Kategorije podataka: IP adresa korisnika (za rate-limit), upit OIB (ne pohranjuje se osobni podatak ispitanog subjekta)
• Rok pohrane: 24 sata (rate-limit cache)

2.5 Obrada zahtjeva za ostvarivanje GDPR prava

• Svrha: ispunjavanje obveza prema čl. 15-22 GDPR
• Pravna osnova: čl. 6(1)(c) GDPR (pravna obveza)
• Kategorije podataka: e-pošta podnositelja, OIB, ime, opis zahtjeva, IP adresa, podaci preglednika
• Rok pohrane: 3 godine nakon zatvaranja zahtjeva (audit trail)

2.6 Retention save flow (pauza, popust, otkaz)

• Svrha: upravljanje pretplatama, retention analitika
• Pravna osnova: čl. 6(1)(b) GDPR (ugovor)
• Kategorije podataka: status pretplate, razlog otkaza, primijenjeni popust
• Rok pohrane: 7 godina za financijske evidencije

2.7 Sustavni monitoring

• Svrha: operativni nadzor infrastrukture i pipeline-ova
• Pravna osnova: nije obrada osobnih podataka — samo metrike sustava (CPU, RAM, disk, broj zapisa)
• Kategorije podataka: server metrike, brojači, log-ovi bez PII

3. Tehničke i organizacijske mjere (TOM)

Vidi Sigurnosni profil za sažeti pregled. Visoka razina:

• Šifrirani promet (suvremeni TLS) za sve javne servise
• Relacijska baza na vlastitoj infrastrukturi unutar EU, šifrirane sigurnosne kopije
• Role-based pristup, 2FA na svim administrativnim računima
• Zaštita od brute-force napada, automatske sigurnosne nadogradnje, redovito CVE skeniranje
• Dnevne sigurnosne kopije s off-site replikacijom
• Plan reakcije na incident (interni dokument, NDA na zahtjev)

4. Prava ispitanika

Sva prava iz čl. 15–22 GDPR (pristup, ispravak, brisanje, prenosivost, prigovor) možete ostvariti kroz obrazac za zahtjev. Odgovaramo u zakonskom roku od 30 dana.

5. Cjelovita evidencija

Interna RoPA verzija sadrži dodatne tehničke detalje koji nisu javno objavljeni iz sigurnosnih razloga. Dostupna je na pisani zahtjev:

• AZOP (Hrvatska agencija za zaštitu osobnih podataka) — dostavlja se odmah na zahtjev tijekom inspekcije
• Poslovni klijenti — dostavlja se uz potpisan NDA
• Pravni zastupnici ispitanika — dostavlja se uz dokaz zastupanja