Buksort
HrvatskiEnglish|Preuzmi PDF

Ugovor o obradi podataka

Zadnje ažuriranje: 12. ožujka 2026.

Ovaj Ugovor o obradi podataka ("Ugovor") sastavljen je u skladu s člankom 28. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (Opća uredba o zaštiti podataka — GDPR) te Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18). Ovaj Ugovor regulira obradu osobnih podataka koju Izvršitelj obrade provodi u ime Voditelja obrade prilikom pružanja usluge Buksort.

1. Ugovorne strane

Voditelj obrade: Korisnik koji se registrira na platformu Buksort i kreira organizaciju ("Voditelj obrade" ili "Korisnik").

Izvršitelj obrade:

Design for people d.o.o.
Koludrovac 24, 21217 Kaštel Štafilić, Republika Hrvatska
OIB: 61866718443
E-pošta: hello@designforpeople.agency

Voditelj obrade i Izvršitelj obrade zajednički se nazivaju "Strane", a pojedinačno "Strana".

2. Predmet i trajanje obrade

Predmet ovog Ugovora je obrada osobnih podataka koju Izvršitelj obrade provodi u ime Voditelja obrade u svrhu pružanja usluge Buksort — platforme za usporedbu bankovnih transakcija s računima i upravljanje financijskom dokumentacijom.

Obrada osobnih podataka traje za vrijeme korištenja usluge Buksort od strane Voditelja obrade, odnosno do prestanka ugovornog odnosa između Strana, osim ako dulji rok čuvanja nije propisan primjenjivim zakonima (npr. porezni propisi — 7 godina).

3. Priroda i svrha obrade

Izvršitelj obrade obrađuje osobne podatke isključivo u svrhu pružanja usluge Buksort, koja uključuje:

  • Autentifikaciju i upravljanje korisničkim računima
  • Pohranu i obradu bankovnih izvoda (camt.053 XML format)
  • Automatsku kategorizaciju transakcija
  • Usporedbu transakcija s računima i fakturama
  • Pohranu i prikaz računa i faktura (PDF datoteke)
  • Normalizaciju naziva trgovca putem umjetne inteligencije (isključivo nazivi trgovca, bez financijskih podataka)
  • Skeniranje označene e-pošte putem Gmail integracije (samo metapodaci, uz izričitu privolu korisnika)
  • Slanje transakcijskih obavijesti putem e-pošte
  • Pozadinsku obradu podataka (zakazani poslovi)

4. Vrste osobnih podataka

Izvršitelj obrade obrađuje sljedeće kategorije osobnih podataka u ime Voditelja obrade:

  • Identifikacijski podaci: ime, adresa e-pošte, Google profil (ako se koristi OAuth prijava)
  • Organizacijski podaci: naziv tvrtke, OIB, IBAN, naziv banke
  • Financijski podaci: podaci o transakcijama iz bankovnih izvoda (datum, iznos, valuta, smjer, naziv trgovca, IBAN trgovca, referenca transakcije, maskirani broj kartice)
  • Dokumentacija: PDF datoteke računa i faktura
  • Komunikacijski podaci: metapodaci e-pošte iz Gmail integracije (pošiljatelj, predmet, datum, nazivi privitaka)
  • Tehnički podaci: IP adrese, HTTP zaglavlja, kolačići autentifikacijske sesije

5. Kategorije ispitanika

Osobni podaci koji se obrađuju odnose se na sljedeće kategorije ispitanika:

  • Korisnici platforme: vlasnici organizacija i računovođe koji koriste uslugu Buksort
  • Zaposlenici i suradnici Voditelja obrade: osobe čiji se podaci pojavljuju u bankovnim izvodima i računima
  • Poslovni partneri Voditelja obrade: dobavljači, kupci i druge treće strane čiji se podaci pojavljuju u financijskoj dokumentaciji

6. Obveze izvršitelja obrade

Izvršitelj obrade se obvezuje:

  • Obrađivati osobne podatke isključivo prema dokumentiranim uputama Voditelja obrade, uključujući prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, osim ako to zahtijeva pravo EU ili pravo države članice kojem podliježe Izvršitelj obrade
  • Osigurati da se osobe ovlaštene za obradu osobnih podataka obvežu na povjerljivost ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti
  • Poduzeti sve mjere propisane člankom 32. GDPR-a (sigurnost obrade)
  • Poštovati uvjete iz stavaka 2. i 4. članka 28. GDPR-a za angažiranje drugog izvršitelja obrade (podizvršitelja)
  • Uzimajući u obzir prirodu obrade, pomagati Voditelju obrade odgovarajućim tehničkim i organizacijskim mjerama u ispunjavanju obveze odgovaranja na zahtjeve za ostvarivanje prava ispitanika
  • Pomagati Voditelju obrade u osiguravanju ispunjavanja obveza iz članaka 32. do 36. GDPR-a
  • Po izboru Voditelja obrade, izbrisati ili vratiti sve osobne podatke Voditelju obrade nakon završetka pružanja usluga obrade te izbrisati postojeće kopije, osim ako pravo EU ili pravo države članice zahtijeva pohranu osobnih podataka
  • Staviti na raspolaganje Voditelju obrade sve informacije potrebne za dokazivanje ispunjavanja obveza iz članka 28. GDPR-a te omogućiti i pridonijeti revizijama, uključujući inspekcije

7. Podizvršitelji obrade

Voditelj obrade daje opću pisanu suglasnost Izvršitelju obrade za angažiranje podizvršitelja obrade navedenih u donjoj tablici. Izvršitelj obrade će obavijestiti Voditelja obrade o svim planiranim promjenama u vezi s dodavanjem ili zamjenom podizvršitelja obrade, čime se Voditelju obrade daje mogućnost prigovora na takve promjene.

PodizvršiteljSvrhaObrađeni podaciLokacijaOsnova prijenosa
Supabase Inc.Baza podataka, autentifikacija, pohrana datotekaSvi korisnički podaci, računi, transakcijeEU (Frankfurt)Unutar EGP-a; SCC
Vercel Inc.Hosting aplikacijeHTTP zahtjevi, kolačići, IP adreseSAD + globalne edge lokacijeEU SCC + DPF
Google LLC (Gemini API)Normalizacija naziva trgovcaIsključivo nazivi trgovcaSAD/EUEU SCC + DPF
Resend Inc.Transakcijska e-poštaAdrese e-pošte, sadržaj obavijestiSADEU SCC
Trigger.dev Ltd.Pozadinska obrada poslovaIdentifikatori i reference poslovaCloudSCC prema uvjetima korištenja
Cloudflare Inc.DNS, e-mail workerIP adrese, DNS upiti, metapodaci e-pošteGlobalne edge lokacijeUnutar EGP-a + SCC

8. Međunarodni prijenosi

Prijenos osobnih podataka u treće zemlje (izvan EU/EGP-a) provodi se isključivo na temelju:

  • Odluke o primjerenosti Europske komisije (EU-U.S. Data Privacy Framework, 10. srpnja 2023.)
  • Standardnih ugovornih klauzula (SCC) Europske komisije, usvojenih Provedbenom odlukom (EU) 2021/914

Primarna baza podataka (Supabase) smještena je u EU regiji (eu-central-1, Frankfurt). Izvršitelj obrade osigurava da svi podizvršitelji obrade koji obrađuju podatke izvan EGP-a imaju odgovarajuće mehanizme zaštite sukladno poglavlju V. GDPR-a.

9. Sigurnosne mjere

Izvršitelj obrade primjenjuje sljedeće tehničke i organizacijske mjere za zaštitu osobnih podataka sukladno članku 32. GDPR-a:

  • Šifriranje: TLS/HTTPS za prijenos podataka; AES-256 za podatke u mirovanju u bazi podataka
  • Kontrola pristupa: Row Level Security (RLS) na razini baze podataka — korisnici mogu pristupiti samo podacima vlastitih organizacija
  • Autentifikacija: Magic link ili Google OAuth — lozinke se ne pohranjuju
  • Pristup datotekama: Vremenski ograničeni potpisani URL-ovi (istek nakon 1 sata)
  • AI ograničenja: Stroga separacija — financijski podaci (iznosi, datumi, IBAN-ovi, OIB-ovi, sadržaj računa) nikad se ne šalju vanjskim AI servisima
  • Autorizacija: Provjera autentifikacije i članstva u organizaciji za svaku serversku akciju
  • OAuth tokeni: Gmail OAuth tokeni pohranjuju se šifrirano u bazi podataka
  • Zapisivanje pristupa: Sustav bilježi pristup osobnim podacima u svrhu revizije

10. Prava ispitanika

Izvršitelj obrade pomaže Voditelju obrade u ispunjavanju obveza odgovaranja na zahtjeve ispitanika za ostvarivanje njihovih prava sukladno poglavlju III. GDPR-a, uključujući:

  • Pravo na pristup (čl. 15.)
  • Pravo na ispravak (čl. 16.)
  • Pravo na brisanje (čl. 17.)
  • Pravo na ograničenje obrade (čl. 18.)
  • Pravo na prenosivost podataka (čl. 20.)
  • Pravo na prigovor (čl. 21.)

Izvršitelj obrade će bez nepotrebnog odgađanja obavijestiti Voditelja obrade o svakom zahtjevu koji zaprimi izravno od ispitanika, bez da sam odgovori na zahtjev, osim ako je na to ovlašten od strane Voditelja obrade.

11. Obavijest o povredi osobnih podataka

Izvršitelj obrade će bez nepotrebnog odgađanja, a najkasnije u roku od 48 sati od saznanja, obavijestiti Voditelja obrade o svakoj povredi osobnih podataka. Obavijest će sadržavati:

  • Opis prirode povrede osobnih podataka
  • Kategorije i približni broj ispitanika na koje se povreda odnosi
  • Kategorije i približni broj zapisa osobnih podataka na koje se povreda odnosi
  • Ime i kontakt podatke službenika za zaštitu podataka ili druge kontaktne točke
  • Opis vjerojatnih posljedica povrede
  • Opis poduzetih ili predloženih mjera za rješavanje povrede, uključujući mjere za ublažavanje njezinih mogućih štetnih posljedica

Izvršitelj obrade će surađivati s Voditeljem obrade i poduzeti razumne komercijalne korake za pomoć u istrazi, ublažavanju i sanaciji svake povrede osobnih podataka.

12. Povrat i brisanje podataka

Po prestanku pružanja usluge obrade, Izvršitelj obrade će, prema izboru Voditelja obrade:

  • Vratiti sve osobne podatke Voditelju obrade u strojno čitljivom formatu (JSON/CSV) i izbrisati postojeće kopije, ili
  • Izbrisati sve osobne podatke i potvrditi brisanje Voditelju obrade

Iznimka: Izvršitelj obrade može zadržati osobne podatke u mjeri u kojoj to zahtijeva primjenjivo pravo EU ili pravo države članice (npr. porezni propisi — rok čuvanja 7 godina sukladno Zakonu o računovodstvu, NN 78/15). U tom slučaju, Izvršitelj obrade će osigurati povjerljivost zadržanih podataka i obrađivati ih isključivo u svrhu ispunjavanja zakonske obveze.

13. Revizija

Izvršitelj obrade stavlja na raspolaganje Voditelju obrade sve informacije potrebne za dokazivanje ispunjavanja obveza iz članka 28. GDPR-a te omogućuje i pridonosi revizijama, uključujući inspekcije, koje provodi Voditelj obrade ili drugi revizor kojeg je ovlastio Voditelj obrade.

Revizije se provode uz prethodnu pisanu obavijest od najmanje 30 dana, tijekom redovnog radnog vremena, i ne smiju nepotrebno ometati poslovanje Izvršitelja obrade. Voditelj obrade snosi troškove revizije, osim ako revizija otkrije materijalni propust Izvršitelja obrade.

14. Odgovornost

Svaka Strana odgovorna je za štetu nastalu obradom koja krši GDPR u skladu s člankom 82. GDPR-a. Izvršitelj obrade odgovara za štetu uzrokovanu obradom samo ako nije ispunio obveze iz GDPR-a koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa Voditelja obrade ili protivno njima.

Odgovornost Izvršitelja obrade prema ovom Ugovoru ograničena je na izravnu štetu i ne prelazi ukupni iznos naknada plaćenih Izvršitelju obrade od strane Voditelja obrade u posljednjih 12 mjeseci prije nastanka događaja koji je doveo do odgovornosti.

15. Završne odredbe

  • Ovaj Ugovor sastavni je dio Uvjeta korištenja usluge Buksort i stupa na snagu registracijom Voditelja obrade na platformu Buksort.
  • U slučaju proturječnosti između ovog Ugovora i Uvjeta korištenja, u pogledu obrade osobnih podataka primjenjuju se odredbe ovog Ugovora.
  • Izvršitelj obrade će obavijestiti Voditelja obrade o svim značajnim izmjenama ovog Ugovora najmanje 30 dana prije njihova stupanja na snagu.
  • Na ovaj Ugovor primjenjuje se pravo Republike Hrvatske. Za sve sporove nadležan je stvarno nadležan sud u Splitu.
  • Kontakt za sva pitanja vezana uz ovaj Ugovor: hello@designforpeople.agency