Politika privatnosti
Posljednja izmjena: 2026-05-15
1. Voditelj obrade osobnih podataka
Voditelj obrade osobnih podataka je MALI UMJETNICI, obrt za usluge, vl. Natalija Špehar, sa sjedištem na adresi II Odvojak Ulice Purgarija 4, 10431 Kerestinec. OIB: 21996469347, MBO: 98561774.
Vlasnik obrta: Natalija Špehar.
Kontakt e-mail: natalijaspehar@gmail.com
Telefon: 091 531 5495
2. Koje podatke prikupljamo
Prikupljamo sljedeće osobne podatke samo kada to izričito unesete sami:
- Pri narudžbi u shopu: ime i prezime, e-mail adresa, adresa dostave (ili napomena o osobnom preuzimanju), mjesto, poštanski broj, telefon (obavezan za osobno preuzimanje, inače opcionalan).
- Pri otvaranju korisničkog računa: e-mail adresa, lozinka (pohranjena u kriptiranom obliku, bcrypt) — opcionalno i Google profil ako se prijavljujete preko Googlea.
- Pri slanju kontakt poruke: ime, e-mail, predmet i tekst poruke.
- Tehnički podaci o pristupu: IP adresa privremeno (u radnoj memoriji servera do 60 minuta) za ograničenje broja zahtjeva (rate limit) i otkrivanje zlouporabe.
- IP adresa s narudžbom: kod uspješno poslane narudžbe trajno bilježimo IP adresu uz zapis narudžbe radi sprečavanja prijevara i zlouporabe rezervacijskog sustava (više rezervacija iz iste lokacije bez uplate). IP se čuva onoliko dugo koliko i sama narudžba (vidi razdoblje čuvanja).
- Privola na uvjete: točan trenutak (timestamp) kada ste pri narudžbi potvrdili Opće uvjete poslovanja i Politiku privatnosti — kao dokaz suglasnosti (GDPR čl. 7).
3. Svrha i pravna osnova obrade
| Svrha | Pravna osnova (čl. 6. GDPR) |
|---|---|
| Ispunjenje narudžbe i dostava | Izvršenje ugovora (st. 1. b) |
| Slanje potvrde narudžbe i podataka za uplatu | Izvršenje ugovora (st. 1. b) |
| Vođenje korisničkog računa | Izvršenje ugovora (st. 1. b) |
| Odgovor na kontakt poruke | Legitimni interes (st. 1. f) |
| Sprečavanje zlouporabe (rate limit, antibot, IP-cap rezervacija) | Legitimni interes (st. 1. f) |
| Ispunjavanje zakonskih obveza (porez, računovodstvo) | Zakonska obveza (st. 1. c) |
4. Razdoblje čuvanja
- Podaci o narudžbama (uključujući IP s narudžbom): najmanje 6 godina sukladno propisima o porezu na dohodak (za obrte izvan PDV sustava), odnosno do 11 godina ako se primijene odredbe Zakona o računovodstvu (NN 78/15). Dulje razdoblje primjenjujemo radi pravne sigurnosti.
- Podaci o korisničkom računu: dok ne zatražite brisanje računa (poslati zahtjev na natalijaspehar@gmail.com).
- Kontakt poruke: do 12 mjeseci od posljednje korespondencije.
- Privremeni tehnički zapisi (rate-limit IP u memoriji): do 60 minuta — automatski se brišu.
- Server logovi (Vercel): u skladu s Vercelovom politikom čuvanja — tipično do 30 dana za hosting providere.
5. Primatelji osobnih podataka (obrađivači)
Vaše podatke dijelimo isključivo s pouzdanim trećim stranama koje ih obrađuju u naše ime, na temelju ugovora o obradi (DPA) ili standardnih ugovornih klauzula:
- Supabase Inc. (sjedište SAD; podaci se pohranjuju u regiji EU konfiguriranoj za projekt) — pohrana baze podataka i autentikacija. Politika privatnosti · DPA
- Vercel Inc. (sjedište SAD; hostanje aktivno iz EU regije — Frankfurt/fra1) — hosting i isporuka web aplikacije. Politika privatnosti · DPA
- Resend Inc. (sjedište SAD) — slanje transakcijskih e-mailova (potvrda narudžbe, reset lozinke). Politika privatnosti · DPA
- Google LLC (sjedište SAD) — autentikacija putem Googlea (samo ako koristite tu opciju) te embed Google Maps (samo nakon vaše akcije). Politika privatnosti
- Cloudflare, Inc. (sjedište SAD; EU obrada) — opcionalna antibot zaštita (Cloudflare Turnstile). Trenutno nije aktivna; aktivacijom će se dijeliti IP adresa i meta-podaci preglednika isključivo radi sigurnosti. Politika privatnosti · DPA
Za prijenose u treće zemlje (npr. SAD), oslanjamo se na EU-US Data Privacy Framework (Odluka Komisije 2023/1795) i/ili standardne ugovorne klauzule (SCC) — sve u skladu s čl. 44–49 GDPR-a.
6. Vaša prava
Sukladno GDPR-u (čl. 15–22), imate sljedeća prava:
- Pravo na pristup — saznati koje podatke o vama imamo
- Pravo na ispravak — zatražiti ispravak netočnih podataka
- Pravo na brisanje ("pravo na zaborav") — u skladu s propisima o čuvanju računovodstvene dokumentacije
- Pravo na ograničenje obrade
- Pravo na prenosivost podataka u strojno čitljivom formatu
- Pravo na prigovor na obradu temeljenu na legitimnom interesu
- Pravo na povlačenje privole (gdje je obrada na privoli)
Sva prava ostvarujete slanjem zahtjeva na natalijaspehar@gmail.com. Na zahtjev odgovaramo u roku od 30 dana. Zahtjev je besplatan, osim u slučaju očito neutemeljenih ili pretjeranih zahtjeva (čl. 12. st. 5. GDPR).
7. Pravo na podnošenje pritužbe nadzornom tijelu
Ako smatrate da je obrada vaših podataka u suprotnosti s GDPR-om, imate pravo podnijeti pritužbu nadzornom tijelu — Agenciji za zaštitu osobnih podataka (AZOP): Selska cesta 136, 10000 Zagreb, e-mail: azop@azop.hr, web: azop.hr.
8. Sigurnost podataka
Sve komunikacije idu preko HTTPS-a (TLS 1.3) s HSTS preload-om. Lozinke se pohranjuju isključivo u kriptiranom obliku (bcrypt). Pristup administracijskom panelu zaštićen je prijavom (e-mail + lozinka ili Google račun) uz dodatnu provjeru ovlaštenja na razini baze (Row-Level Security). Aktivirani su rate limit, anti-CSRF, HTML escape u email tijelima, security headers (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy), atomska rezervacija proizvoda te automatski sigurnosni backup baze (Supabase).
9. Kolačići
Detaljnije informacije o kolačićima koje koristimo nalaze se u našoj Politici kolačića.
10. Maloljetnici
Ova web stranica nije namijenjena djeci mlađoj od 16 godina. Ne prikupljamo svjesno osobne podatke djece bez privole roditelja ili skrbnika. Ako saznamo da smo prikupili podatke od djeteta bez privole, te podatke ćemo bez odgađanja obrisati. Kontaktirajte nas na natalijaspehar@gmail.com ako sumnjate da smo prikupili podatke od djeteta.
11. Izmjene ove politike
Ovu politiku ažuriramo prema potrebi. Datum posljednje izmjene naveden je na vrhu dokumenta. Bitne izmjene komuniciramo putem e-maila ili istaknute obavijesti na sajtu.