Politika privatnosti
Zadnje ažuriranje: 5. ožujka 2026.
Ova Politika privatnosti opisuje kako Design for people d.o.o. ("mi", "nas" ili "Voditelj obrade") prikuplja, koristi, obrađuje i štiti osobne podatke korisnika aplikacije Buksort ("Usluga"), u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (Opća uredba o zaštiti podataka — GDPR) te Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18).
1. Voditelj obrade podataka
Voditelj obrade osobnih podataka je:
Design for people d.o.o.Koludrovac 24, 21217 Kaštel Štafilić, Republika Hrvatska
OIB: 61866718443
E-pošta: hello@designforpeople.agency
2. Kategorije osobnih podataka koje prikupljamo
2.1. Podaci o računu
Prilikom registracije prikupljamo vašu adresu e-pošte i ime (ako ga navedete). Ako se prijavite putem Google OAuth-a, primamo vaše ime i adresu e-pošte iz vašeg Google profila.
2.2. Financijski podaci
Kada učitate bankovni izvod (camt.053 XML), Usluga obrađuje podatke o transakcijama koji uključuju: datum knjiženja, iznos, valutu, smjer (zaduženje/odobrenje), naziv trgovca, IBAN trgovca, referencu transakcije i maskirani broj kartice (ako postoji). Ovi podaci pohranjuju se u našoj bazi podataka.
2.3. Računi i fakture
PDF datoteke ili slike računa koje priložite pohranjuju se u privatnom spremištu datoteka. Pristup je omogućen isključivo putem vremenski ograničenih potpisanih URL-ova (1 sat).
2.4. Podaci iz Gmail integracije
Ako povežete svoj Gmail račun, Usluga čita isključivo e-poštu iz oznake koju sami stvorite (npr. "Invoices"). Pohranjujemo samo metapodatke: pošiljatelj, domena pošiljatelja, predmet, datum, nazive privitaka i izvučeni iznos. Nikad ne pohranjujemo tijelo e-pošte niti preuzimamo privitke automatski. OAuth tokeni za pristup Gmail-u pohranjuju se šifrirano u bazi podataka.
2.5. Organizacijski podaci
Podaci o vašoj organizaciji (naziv tvrtke, OIB, IBAN, banka) prikupljaju se kada stvorite organizaciju ili učitate bankovni izvod.
3. Svrhe i pravne osnove obrade
Osobne podatke obrađujemo na temelju sljedećih pravnih osnova sukladno članku 6. GDPR-a:
| Svrha obrade | Pravna osnova |
|---|---|
| Pružanje Usluge (učitavanje izvoda, usporedba transakcija s računima, nadzorna ploča) | Izvršenje ugovora (čl. 6. st. 1. t. b) |
| Kreiranje i upravljanje korisničkim računom | Izvršenje ugovora (čl. 6. st. 1. t. b) |
| Normalizacija naziva trgovca putem umjetne inteligencije (Gemini) | Legitimni interes (čl. 6. st. 1. t. f) — poboljšanje kategorizacije transakcija |
| Gmail skeniranje za automatsko pronalaženje računa | Privola (čl. 6. st. 1. t. a) — korisnik izričito povezuje Gmail račun |
| Slanje obavijesti e-poštom (tjedni podsjetnici, obavijesti o usporedbi) | Izvršenje ugovora (čl. 6. st. 1. t. b) |
| Pohrana financijskih podataka za porezne svrhe | Zakonska obveza (čl. 6. st. 1. t. c) — hrvatski porezni propisi zahtijevaju čuvanje 7 godina |
4. Primatelji osobnih podataka
Vaše osobne podatke možemo podijeliti sa sljedećim kategorijama primatelja, isključivo u mjeri potrebnoj za pružanje Usluge:
| Primatelj | Svrha | Podaci koji se dijele |
|---|---|---|
| Supabase Inc. (baza podataka i autentifikacija) | Pohrana podataka, upravljanje korisnicima | Svi korisnički i transakcijski podaci (šifrirano, u EU regiji) |
| Vercel Inc. (hosting) | Posluživanje web aplikacije | IP adresa, HTTP zaglavlja (u EU edge lokacijama) |
| Google LLC (Gemini AI) | Normalizacija naziva trgovca | Isključivo neobrađeni nazivi trgovca (npr. "FACEBK*ADS"). Nikad se ne šalju iznosi, datumi, IBAN-ovi, OIB-ovi, sadržaj računa, podaci e-pošte niti bilo koji drugi osobni podaci. |
| Google LLC (Gmail API) | Skeniranje označene e-pošte za račune | Pristup samo čitanju e-pošte u korisnikovoj oznaci, putem OAuth tokena |
| Resend Inc. (e-pošta) | Slanje transakcijskih e-poruka | Adresa e-pošte primatelja, sadržaj obavijesti |
| Trigger.dev Ltd. (pozadinski poslovi) | Zakazane obrade (Gmail skeniranje, podsjetnici) | Identifikatori poslova, nema izravnih osobnih podataka |
| Cloudflare Inc. (DNS, e-mail worker) | Usmjeravanje e-pošte, CDN | IP adresa, metapodaci e-pošte |
Ne prodajemo vaše osobne podatke trećim stranama. Ne koristimo vaše podatke u reklamne svrhe. Ne izrađujemo korisničke profile niti provodimo automatsko donošenje odluka ili profiliranje u smislu članka 22. GDPR-a.
5. Prijenos podataka izvan EU/EGP
Neki od naših pružatelja usluga (Google, Vercel, Resend, Cloudflare) imaju sjedište u Sjedinjenim Američkim Državama. Prijenos osobnih podataka u SAD temelji se na:
- EU-U.S. Data Privacy Framework (Odluka o primjerenosti Europske komisije od 10. srpnja 2023.)
- Standardnim ugovornim klauzulama (SCC) Europske komisije, gdje je primjenjivo
Baza podataka (Supabase) smještena je u EU regiji (eu-central-1, Frankfurt).
6. Rokovi čuvanja podataka
| Vrsta podataka | Rok čuvanja |
|---|---|
| Podaci o korisničkom računu (e-pošta, ime) | Do brisanja računa |
| Podaci o transakcijama iz bankovnih izvoda | 7 godina (sukladno čl. 10. Zakona o računovodstvu, NN 78/15) |
| Računi i fakture (PDF datoteke) | 7 godina |
| Metapodaci Gmail e-pošte | Do prekida veze s Gmailom ili brisanja računa |
| Gmail OAuth tokeni | Do prekida veze s Gmailom |
7. Vaša prava kao ispitanika
Sukladno GDPR-u imate sljedeća prava u odnosu na vaše osobne podatke:
- Pravo na pristup (čl. 15.) — možete zatražiti kopiju svih osobnih podataka koje obrađujemo o vama.
- Pravo na ispravak (čl. 16.) — možete zatražiti ispravak netočnih podataka.
- Pravo na brisanje (čl. 17.) — možete zatražiti brisanje svojih podataka, osim kada ih moramo zadržati radi ispunjenja zakonskih obveza (npr. porezni propisi — 7 godina).
- Pravo na ograničenje obrade (čl. 18.) — možete zatražiti ograničenje obrade u određenim okolnostima.
- Pravo na prenosivost (čl. 20.) — možete zatražiti izvoz vaših podataka u strojno čitljivom formatu (JSON/CSV).
- Pravo na prigovor (čl. 21.) — možete uložiti prigovor na obradu koja se temelji na legitimnom interesu.
- Pravo na povlačenje privole (čl. 7. st. 3.) — možete u bilo kojem trenutku povući privolu za Gmail integraciju putem postavki u aplikaciji, bez utjecaja na zakonitost obrade prije povlačenja.
Za ostvarivanje svojih prava obratite se na hello@designforpeople.agency. Na vaš zahtjev odgovorit ćemo u roku od 30 dana. Ako niste zadovoljni našim odgovorom, imate pravo podnijeti pritužbu nadležnom nadzornom tijelu:
Agencija za zaštitu osobnih podataka (AZOP)Selska cesta 136, 10000 Zagreb
https://azop.hr
E-pošta: azop@azop.hr
8. Sigurnost podataka
Primjenjujemo sljedeće tehničke i organizacijske mjere zaštite:
- Šifriranje podataka u prijenosu (TLS/HTTPS) i u mirovanju (AES-256 za bazu podataka)
- Sigurnost na razini redaka baze podataka (Row Level Security) — korisnici mogu pristupiti samo podacima vlastitih organizacija
- Autentifikacija putem magic link-a ili Google OAuth-a — lozinke se ne pohranjuju
- Vremenski ograničeni potpisani URL-ovi za pristup datotekama (1 sat)
- Stroga AI ograničenja — financijski podaci (iznosi, datumi, IBAN-ovi, OIB-ovi) nikad se ne šalju vanjskim AI servisima
- Provjera autentifikacije i članstva u organizaciji za svaku serversku akciju
9. Kolačići
Usluga koristi isključivo nužne tehničke kolačiće za održavanje autentifikacijske sesije (Supabase auth kolačić). Ne koristimo kolačiće za praćenje, analitiku ili oglašavanje. Budući da se radi o strogo nužnim kolačićima za funkcioniranje Usluge, privola za kolačiće nije potrebna sukladno Zakonu o elektroničkim komunikacijama (NN 73/08).
10. Zaštita podataka maloljetnika
Usluga nije namijenjena osobama mlađim od 18 godina. Ne prikupljamo svjesno osobne podatke maloljetnika. Ako saznamo da smo prikupili podatke maloljetne osobe, odmah ćemo ih izbrisati.
11. Obveza pružanja podataka
Pružanje adrese e-pošte nužno je za stvaranje korisničkog računa i korištenje Usluge (ugovorna obveza). Učitavanje bankovnih izvoda dobrovoljno je, ali bez toga temeljna funkcionalnost Usluge nije dostupna. Povezivanje Gmail računa u potpunosti je dobrovoljno i možete ga prekinuti u bilo kojem trenutku.
12. Izmjene politike privatnosti
Zadržavamo pravo izmjene ove Politike privatnosti. O svim značajnim izmjenama obavijestit ćemo vas putem e-pošte ili obavijesti u aplikaciji najmanje 30 dana prije stupanja na snagu. Nastavkom korištenja Usluge nakon stupanja izmjena na snagu smatrat će se da ste suglasni s izmjenama.
13. Kontakt
Za sva pitanja u vezi sa zaštitom osobnih podataka obratite se na:
Design for people d.o.o.Koludrovac 24, 21217 Kaštel Štafilić
E-pošta: hello@designforpeople.agency