Politika privatnosti

Local Development d.o.o. ("PoDi", "mi", "nas", "naš") upravlja PoDi platformom na domeni podi.hr. PoDi povezuje osobe koje traže auto dijelove s nezavisnim dobavljačima auto dijelova. PoDi je u pravilu voditelj obrade za lične podatke koje obrađujemo radi rada platforme, upravljanja računima, usmjeravanja upita, podrške, sigurnosti i naplate dobavljačkih pretplata.

Kada dobavljač samostalno koristi podatke kupca nakon prihvatanja ponude, taj dobavljač je odgovoran za vlastitu obradu podataka, obavještenja o privatnosti, račune, garancije i komunikaciju s kupcem.

2.1 Podaci kupaca i upita

• Kontakt podaci: email adresa, broj telefona, država ili regija kada ih navedete.
• Podaci o vozilu: marka, model, godište/generacija, varijanta, motor, gorivo, karoserija, boja, VIN ako ga unesete ili se očita iz tehničkog dijela saobraćajne/prometne. Ako koristite skeniranje saobraćajne/prometne, slika se koristi samo za OCR očitanje i ne sprema se uz upit; uz upit spremamo samo očitane tehničke podatke. Fotografiju VIN pločice spremamo samo ako je zasebno učitate.
• Podaci o upitu: opis traženog dijela, učitane fotografije vozila/dijela, broj za praćenje, sigurnosni token, historija statusa, prihvaćene ponude i recenzije ako ih ostavite.
• Komunikacija: emailovi, odgovori, poruke podršci, poruke u ponudama i metapodaci aktivnosti. Sadržaj emailova proslijeđenih kroz platformu može se evidentirati radi dostave, podrške, sprječavanja zloupotrebe i dokazivanja u slučaju spora.

2.2 Podaci dobavljača i poslovni podaci

• Podaci računa: naziv firme/obrta, email, hash lozinke, telefon, adresa, porezni/VAT broj, verifikacija i status računa.
• Postavke dobavljača: podržane ili isključene marke vozila, email za obavještenja, komunikacijske postavke, aktivnost na kontrolnoj ploči, historija ponuda, status odgovora, ocjene i recenzije.
• Podaci naplate: Stripe customer ID, subscription ID, plan, obračunski period, broj iskorištenih upita, korištenje promo koda, metapodaci računa/plaćanja, linkovi na račune i status plaćanja. Ne pohranjujemo puni broj kartice ni sigurnosni kod kartice.
• Dodatni poslovni podaci: naziv banke, IBAN, SWIFT i adresa kada ih koristite za PDF ponude ili postavke računa.

2.3 Tehnički i sigurnosni podaci

• Podaci uređaja i zapisi: IP adresa, preglednik i uređaj, URL, vremenske oznake, zapisi grešaka, podaci za ograničavanje učestalosti zahtjeva, autentifikacijski/sesijski podaci i sigurnosni događaji.
• Kolačići i lokalna pohrana: izbor jezika, izbor kolačića, autentifikacijsko stanje dobavljača/administratora i druga nužna pohrana opisana u Politici kolačića.
• Procjena lokacije: pri prvom posjetu možemo koristiti Cloudflare oznaku države ili serverski IP geolokacijski upit kako bismo predložili regionalni jezik. To se koristi za lokalizaciju, ne za precizno praćenje.

• Vi: kada pošaljete upit, registrujete se, učitate slike, pošaljete odgovor, ostavite recenziju, kontaktirate podršku ili mijenjate postavke.
• Drugi korisnici platforme: dobavljači mogu navesti podatke u ponudi vezanoj za vaš upit; kupci mogu ostaviti recenzije dobavljača.
• Pružatelji usluga: Stripe, email pružatelji, hosting/pohrana, sigurnosni sistemi i lokalizacijska/geolokacijska infrastruktura mogu nam dostaviti metapodatke obrade.
• Automatsko prikupljanje: zapisi, kolačići, lokalna pohrana, zaglavlja zahtjeva i sigurnosni događaji nastaju korištenjem usluge.

• Pružanje usluge (ugovor/radnje prije ugovora): izrada i usmjeravanje upita, slanje ponuda, prikaz kontrolnih ploča, autentifikacija, linkovi za praćenje, operativni emailovi i upravljanje pretplatama dobavljača.
• Sigurnost tržišta (legitimni interes): sprječavanje prevara, spama, zloupotrebe, neovlaštenog pristupa, duplih računa, lažnih recenzija, nezakonitih ponuda i sigurnosnih incidenata.
• Komunikacija (ugovor/legitimni interes): potvrde, obavještenja o upitima, obavještenja o ponudama, obavještenja o prihvatanju ponude, zahtjevi za recenziju, servisna obavještenja i podrška.
• Naplata i evidencije (ugovor/pravna obaveza): naplata dobavljačkih pretplata, računi, porezne i računovodstvene evidencije, neuspjela plaćanja, povrati gdje su primjenjivi i zakonske obaveze.
• Poboljšanje bez oglašivačkog praćenja (legitimni interes): razumijevanje agregiranih performansi platforme, stope odgovora dobavljača, pokrivenosti upita, grešaka i korištenja funkcija iz operativnih podataka.
• Privola: neobavezne kolačiće ili marketing koristit ćemo samo kada imamo potrebnu privolu. Trenutno ne koristimo oglašivačke kolačiće ni analitičke kolačiće trećih strana.
• Pravni zahtjevi i usklađenost (pravna obaveza/legitimni interes): odgovor na zakonite zahtjeve, provedba uslova, čuvanje dokaza, odbrana zahtjeva i zaštita prava i sigurnosti.

• Prije odgovora dobavljača: aktivni upareni dobavljači mogu dobiti podatke potrebne za procjenu dijela, uključujući podatke o vozilu, opis dijela, fotografije, VIN tekst/fotografiju ako su dati i telefon kupca kada je potreban za pojašnjenje.
• Kada se ponude prikazuju: kupci mogu vidjeti naziv dobavljača, poruku ponude, cijenu, dostupnost, procjenu isporuke, fotografije, ocjenu i status verifikacije.
• Nakon prihvatanja ponude: relevantni kontakt podaci kupca i dobavljača mogu se podijeliti kako bi strane direktno dovršile plaćanje, isporuku, ugradnju, garanciju, povrat ili spor.
• Stranice za praćenje: osoba koja ima broj za praćenje može vidjeti osnovne podatke upita i ponuda. Sigurnosni token kupca otključava radnje kupca i kontakt podatke. Linkove za praćenje čuvajte privatnima.
• Recenzije: ocjene i komentari mogu se prikazati uz dobavljača. Ne unosite privatne lične podatke u tekst javne recenzije.

• Stripe: dobavljačka pretplata, checkout, postavljanje načina plaćanja, računi, korisnički zapisi i status plaćanja.
• Resend: slanje transakcijskih i operativnih emailova.
• Resend: zaprimanje email odgovora koji se usmjeravaju preko platformskih reply-to adresa.
• Hosting, baza podataka i pohrana datoteka: hosting aplikacije, baza podataka, sigurnosne kopije, zapisi, učitane fotografije i isporuka učitanih datoteka.
• IP geolokacija/lokalizacija: prijedlog jezika na nivou države kada Cloudflare zaglavlja nisu dostupna.
• Stručni savjetnici i tijela: računovođe, advokati, sudovi, regulatori, policija, platne mreže i porezna tijela kada je to potrebno ili razumno.
• Poslovni prijenosi: pravni sljednik može dobiti relevantne podatke u slučaju spajanja, finansiranja, reorganizacije, prodaje imovine ili slične transakcije, uz odgovarajuće mjere povjerljivosti i zakonske zaštite.

Nastojimo koristiti hosting i pohranu u EGP-u kada je praktično. Neki pružatelji, uključujući pružatelje plaćanja, emaila, sigurnosti, podrške ili infrastrukture, mogu obrađivati podatke izvan EGP-a. Kada je potrebno, oslanjamo se na odluke o primjerenosti, standardne ugovorne klauzule, zaštitne mjere pružatelja i dodatne tehničke i organizacijske mjere.

U skladu s čl. 5. st. 1. tačka (e) GDPR-a (ograničenje pohrane), podatke čuvamo samo koliko je potrebno za svrhe iz tačke 4. Konkretni rokovi po kategoriji navedeni su niže i automatski se primjenjuju kroz zakazane sistemske zadatke.

• Razgovori (chat) između kupca i dobavljača: 90 dana nakon isteka upita kada ponuda nije prihvaćena. Ako je ponuda prihvaćena, razgovor se čuva 365 dana od prihvatanja zbog mogućih sporova o izvršenoj transakciji.
• Slike saobraćajne/prometne za OCR: koriste se samo privremeno tokom očitanja tehničkih podataka vozila i ne spremaju se uz upit.
• Učitane slike (fotografije upita, fotografije VIN pločice, fotografije ponuda): brišu se 90 dana nakon isteka pripadnog upita. Ako je ponuda prihvaćena, slike se čuvaju 365 dana od prihvatanja zbog mogućih pitanja isporuke, garancije ili spora. Datoteke koje nisu povezane ni s jednim upitom brišu se nakon 24 sata.
• Kontakt podaci kupca u upitu (email, telefon, VIN, hashirani identifikatori): 90 dana nakon isteka upita ako nijedna ponuda nije prihvaćena, podaci se anonimiziraju dok agregirana statistika ostaje. Ako je ponuda prihvaćena, podaci se čuvaju 3 godine od prihvatanja, što odgovara opštem zastarnom roku iz hrvatskog Zakona o obligacionim odnosima (čl. 225.), nakon čega se anonimiziraju.
• Sadržaj poslanih emailova (Email log): sadržaj poruka briše se 90 dana nakon slanja, a cijeli zapis 2 godine nakon slanja. Metapodaci o dostavi čuvaju se tijekom tog perioda radi dokazivanja dostave.
• Sigurnosni i administrativni revizijski zapisi (audit log): 2 godine, što odgovara periodu potrebnom za detekciju i istragu sigurnosnih incidenata.
• Tokeni za reset lozinke i potvrdu emaila: brišu se 7 dana nakon isteka. Sirovi tokeni postoje samo u email linku; u bazi se čuva samo hash.
• Push pretplate (browser obavještenja): brišu se nakon 180 dana neaktivnosti.
• Dobavljački računi koji ne potvrde email: brišu se nakon 90 dana ako vlasnik ne klikne na potvrdni link.
• Dobavljački računi koji ne dovrše Stripe postavljanje: brišu se nakon 7 dana zajedno s pripadnim Stripe customer zapisom.
• Računovodstvene i porezne evidencije, fiskalizirani računi i transakcije plaćanja: čuvaju se najmanje 11 godina sukladno čl. 8. hrvatskog Zakona o računovodstvu i propisima o PDV-u. Ovo je zakonska obaveza i ima prednost nad pravom na zaborav u dijelu u kojem je čuvanje obavezno (GDPR čl. 17. st. 3. tačka (b)).
• Računi zatvoreni na zahtjev vlasnika: lični podaci dobavljača se brišu odmah nakon potvrde brisanja; finansijski podaci ostaju koliko nalaže zakon.
• Privole i pohrana u pregledniku: čuvaju se do isteka, odjave, brisanja pohrane u pregledniku ili promjene postavke, ovisno o stavci opisanoj u Politici kolačića.

• TLS/HTTPS za podatke u prijenosu.
• Hashiranje lozinki umjesto pohrane lozinki u čitljivom obliku.
• Autentifikacijski tokeni, rate limit, provjere izvora, potpisani webhookovi i kontrole pristupa za osjetljive rute.
• Validacija i provjere tipa datoteka kod učitavanja.
• Ograničen pristup produkcijskim sistemima i operativnim zapisima.
• Nadzor, sigurnosne kopije i odgovor na incidente primjereni riziku platforme.

Ovisno o zakonskim uslovima i izuzecima, možete imati pravo:

• zatražiti pristup svojim ličnim podacima,
• zatražiti ispravku netačnih ili nepotpunih podataka,
• zatražiti brisanje podataka,
• zatražiti ograničenje obrade,
• uložiti prigovor na obradu temeljenu na legitimnom interesu ili direktnom marketingu,
• zatražiti prenosivost podataka gdje je primjenjivo,
• povući privolu kada se obrada temelji na privoli,
• podnijeti pritužbu nadzornom tijelu, uključujući Agenciju za zaštitu ličnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, Hrvatska, [email protected].

Za ostvarivanje prava javite se na [email protected]. Na zahtjev odgovaramo bez nepotrebnog odgađanja, a u svakom slučaju u roku od mjesec dana od zaprimanja, sukladno čl. 12. st. 3. GDPR-a. Rok se može produžiti za dodatna dva mjeseca s obzirom na složenost i broj zahtjeva, o čemu ćemo vas obavijestiti u prvom roku. Možemo trebati potvrditi vaš identitet i možemo odbiti ili ograničiti zahtjev kada je to propisano ili dopušteno zakonom, npr. radi zaštite druge osobe, čuvanja dokaza, računovodstvenih obaveza ili sprječavanja prevara.

Dobavljači registrirani na platformi mogu izvoz ličnih podataka (GDPR čl. 15.) i brisanje računa (GDPR čl. 17.) inicirati izravno iz Postavki dobavljačkog računa. Brisanje računa zahtijeva email potvrdu i nepovratno briše lične podatke odmah po potvrdi, osim podataka koje zakon nalaže čuvati (tačka 8.).

Platforma nije namijenjena osobama mlađim od 18 godina. Ne prikupljamo svjesno podatke djece. Ako smatrate da je dijete poslalo lične podatke, kontaktirajte nas kako bismo ih pregledali i izbrisali gdje je primjereno.

Koristimo pravila za uparivanje upita s dobavljačima, npr. prema marki vozila, preferencijama dobavljača, verifikaciji, statusu pretplate i postavkama obavještenja. To samo po sebi ne proizvodi pravne ili slično značajne učinke. Ne koristimo automatizovano odlučivanje za kreditnu sposobnost, osiguranje, zaposlenje ili prava iz javnih sistema.

Ovu Politiku privatnosti možemo ažurirati kada se promijene platforma, pružatelji usluga, pravni zahtjevi ili prakse obrade podataka. Bitne izmjene objavit ćemo na platformi i, gdje je primjereno, obavijestiti emailom ili obavještenjem u proizvodu.