Politika privatnosti

Local Development d.o.o. ("PoDi", "mi", "nas", "naš") upravlja PoDi platformom na domeni podi.hr. PoDi povezuje osobe koje traže auto dijelove s neovisnim dobavljačima auto dijelova. PoDi je u pravilu voditelj obrade za osobne podatke koje obrađujemo radi rada platforme, upravljanja računima, usmjeravanja upita, podrške, sigurnosti i naplate dobavljačkih pretplata.

Kada dobavljač samostalno koristi podatke kupca nakon prihvaćanja ponude, taj dobavljač odgovoran je za vlastitu obradu podataka, obavijesti o privatnosti, račune, jamstva i komunikaciju s kupcem.

2.1 Podaci kupaca i upita

• Kontakt podaci: email adresa, broj telefona, država ili regija kada ih navedete.
• Podaci o vozilu: marka, model, godište/generacija, varijanta, motor, gorivo, karoserija, boja, VIN ako ga unesete ili se očita iz tehničkog dijela prometne. Ako koristite skeniranje prometne, slika se koristi samo za OCR očitanje i ne sprema se uz upit; uz upit spremamo samo očitane tehničke podatke. Fotografiju VIN pločice spremamo samo ako je zasebno učitate.
• Podaci o upitu: opis traženog dijela, učitane fotografije vozila/dijela, broj za praćenje, sigurnosni token, povijest statusa, prihvaćene ponude i recenzije ako ih ostavite.
• Komunikacija: emailovi, odgovori, poruke podršci, poruke u ponudama i metapodaci aktivnosti. Sadržaj emailova proslijeđenih kroz platformu može se evidentirati radi dostave, podrške, sprječavanja zlouporabe i dokazivanja u slučaju spora.

2.2 Podaci dobavljača i poslovni podaci

• Podaci računa: naziv tvrtke/obrta, email, hash lozinke, telefon, adresa, OIB/PDV broj, verifikacija i status računa.
• Postavke dobavljača: podržane ili isključene marke vozila, email za obavijesti, komunikacijske postavke, aktivnost na nadzornoj ploči, povijest ponuda, status odgovora, ocjene i recenzije.
• Podaci naplate: Stripe customer ID, subscription ID, plan, obračunsko razdoblje, broj iskorištenih upita, korištenje promo koda, metapodaci računa/plaćanja, poveznice na račune i status plaćanja. Ne pohranjujemo puni broj kartice ni sigurnosni kod kartice.
• Dodatni poslovni podaci: naziv banke, IBAN, SWIFT i adresa kada ih koristite za PDF ponude ili postavke računa.

2.3 Tehnički i sigurnosni podaci

• Podaci uređaja i zapisi: IP adresa, preglednik i uređaj, URL, vremenske oznake, zapisi grešaka, podaci za ograničavanje učestalosti zahtjeva, autentifikacijski/sesijski podaci i sigurnosni događaji.
• Kolačići i lokalna pohrana: izbor jezika, izbor kolačića, autentifikacijsko stanje dobavljača/administratora i druga nužna pohrana opisana u Politici kolačića.
• Procjena lokacije: pri prvom posjetu možemo koristiti Cloudflare oznaku države ili poslužiteljski IP geolokacijski upit kako bismo predložili regionalni jezik. To se koristi za lokalizaciju, ne za precizno praćenje.

• Vi: kada pošaljete upit, registrirate se, učitate slike, pošaljete odgovor, ostavite recenziju, kontaktirate podršku ili mijenjate postavke.
• Drugi korisnici platforme: dobavljači mogu navesti podatke u ponudi vezanoj uz vaš upit; kupci mogu ostaviti recenzije dobavljača.
• Pružatelji usluga: Stripe, email pružatelji, hosting/pohrana, sigurnosni sustavi i lokalizacijska/geolokacijska infrastruktura mogu nam dostaviti metapodatke obrade.
• Automatsko prikupljanje: zapisi, kolačići, lokalna pohrana, zaglavlja zahtjeva i sigurnosni događaji nastaju korištenjem usluge.

• Pružanje usluge (ugovor/radnje prije ugovora): izrada i usmjeravanje upita, slanje ponuda, prikaz nadzornih ploča, autentifikacija, poveznice za praćenje, operativni emailovi i upravljanje pretplatama dobavljača.
• Sigurnost tržišta (legitimni interes): sprječavanje prijevara, spama, zlouporabe, neovlaštenog pristupa, duplih računa, lažnih recenzija, nezakonitih ponuda i sigurnosnih incidenata.
• Komunikacija (ugovor/legitimni interes): potvrde, obavijesti o upitima, obavijesti o ponudama, obavijesti o prihvaćanju ponude, zahtjevi za recenziju, servisne obavijesti i podrška.
• Naplata i evidencije (ugovor/pravna obveza): naplata dobavljačkih pretplata, računi, porezne i računovodstvene evidencije, neuspjela plaćanja, povrati gdje su primjenjivi i zakonske obveze.
• Poboljšanje bez oglašivačkog praćenja (legitimni interes): razumijevanje agregiranih performansi platforme, stope odgovora dobavljača, pokrivenosti upita, grešaka i korištenja funkcionalnosti iz operativnih podataka.
• Privola: neobavezne kolačiće ili marketing koristit ćemo samo kada imamo potrebnu privolu. Trenutačno ne koristimo oglašivačke kolačiće ni analitičke kolačiće trećih strana.
• Pravni zahtjevi i usklađenost (pravna obveza/legitimni interes): odgovor na zakonite zahtjeve, provedba uvjeta, čuvanje dokaza, obrana zahtjeva i zaštita prava i sigurnosti.

• Prije odgovora dobavljača: aktivni upareni dobavljači mogu dobiti podatke potrebne za procjenu dijela, uključujući podatke o vozilu, opis dijela, fotografije, VIN tekst/fotografiju ako su dani i telefon kupca kada je potreban za pojašnjenje.
• Kada se ponude prikazuju: kupci mogu vidjeti naziv dobavljača, poruku ponude, cijenu, dostupnost, procjenu isporuke, fotografije, ocjenu i status verifikacije.
• Nakon prihvaćanja ponude: relevantni kontakt podaci kupca i dobavljača mogu se podijeliti kako bi strane izravno dovršile plaćanje, isporuku, ugradnju, jamstvo, povrat ili spor.
• Stranice za praćenje: osoba koja ima broj za praćenje može vidjeti osnovne podatke upita i ponuda. Sigurnosni token kupca otključava radnje kupca i kontakt podatke. Poveznice za praćenje čuvajte privatnima.
• Recenzije: ocjene i komentari mogu se prikazati uz dobavljača. Ne unosite privatne osobne podatke u tekst javne recenzije.

• Stripe: dobavljačka pretplata, checkout, postavljanje načina plaćanja, računi, korisnički zapisi i status plaćanja.
• Resend: slanje transakcijskih i operativnih emailova.
• Resend: zaprimanje email odgovora koji se usmjeravaju preko platformskih reply-to adresa.
• Hosting, baza podataka i pohrana datoteka: hosting aplikacije, baza podataka, sigurnosne kopije, zapisi, učitane fotografije i isporuka učitanih datoteka.
• IP geolokacija/lokalizacija: prijedlog jezika na razini države kada Cloudflare zaglavlja nisu dostupna.
• Stručni savjetnici i tijela: računovođe, odvjetnici, sudovi, regulatorna tijela, policija, platne mreže i porezna tijela kada je to potrebno ili razumno.
• Poslovni prijenosi: pravni slijednik može dobiti relevantne podatke u slučaju spajanja, financiranja, reorganizacije, prodaje imovine ili slične transakcije, uz odgovarajuće mjere povjerljivosti i zakonske zaštite.

Nastojimo koristiti hosting i pohranu u EGP-u kada je to praktično. Neki pružatelji, uključujući pružatelje plaćanja, emaila, sigurnosti, podrške ili infrastrukture, mogu obrađivati podatke izvan EGP-a. Kada je potrebno, oslanjamo se na odluke o primjerenosti, standardne ugovorne klauzule, zaštitne mjere pružatelja i dodatne tehničke i organizacijske mjere.

Sukladno čl. 5. st. 1. točka (e) GDPR-a (ograničenje pohrane), podatke čuvamo samo koliko je potrebno za svrhe iz točke 4. Konkretni rokovi po kategoriji navedeni su niže i automatski se primjenjuju kroz zakazane sustavske zadatke.

• Razgovori (chat) između kupca i dobavljača: 90 dana nakon isteka upita kada ponuda nije prihvaćena. Ako je ponuda prihvaćena, razgovor se čuva 365 dana od prihvaćanja zbog mogućih sporova oko izvršene transakcije.
• Slike prometne za OCR: koriste se samo privremeno tijekom očitanja tehničkih podataka vozila i ne spremaju se uz upit.
• Učitane slike (fotografije upita, VIN pločice, fotografije ponuda): brišu se 90 dana nakon isteka pripadnog upita. Ako je ponuda prihvaćena, slike se čuvaju 365 dana od prihvaćanja zbog mogućih pitanja isporuke, jamstva ili spora. Datoteke koje nisu povezane ni s jednim upitom brišu se nakon 24 sata.
• Kontakt podaci kupca u upitu (email, telefon, VIN, hashirani identifikatori): 90 dana nakon isteka upita ako nijedna ponuda nije prihvaćena, podaci se anonimiziraju dok agregirana statistika ostaje. Ako je ponuda prihvaćena, podaci se čuvaju 3 godine od prihvaćanja, što odgovara općem zastarnom roku iz Zakona o obveznim odnosima (čl. 225.), nakon čega se anonimiziraju.
• Sadržaj poslanih emailova (Email log): sadržaj poruka briše se 90 dana nakon slanja, a cijeli zapis 2 godine nakon slanja. Metapodaci o dostavi čuvaju se tijekom tog razdoblja radi dokazivanja dostave.
• Sigurnosni i administrativni revizijski zapisi (audit log): 2 godine, što odgovara razdoblju potrebnom za detekciju i istragu sigurnosnih incidenata.
• Tokeni za reset lozinke i potvrdu emaila: brišu se 7 dana nakon isteka. Sirovi tokeni postoje samo u email poveznici; u bazi se čuva samo hash.
• Push pretplate (browser obavijesti): brišu se nakon 180 dana neaktivnosti.
• Dobavljački računi koji ne potvrde email: brišu se nakon 90 dana ako vlasnik ne klikne na potvrdnu poveznicu.
• Dobavljački računi koji ne dovrše Stripe postavljanje: brišu se nakon 7 dana zajedno s pripadnim Stripe customer zapisom.
• Računovodstvene i porezne evidencije, fiskalizirani računi i transakcije plaćanja: čuvaju se najmanje 11 godina sukladno čl. 8. Zakona o računovodstvu i propisima o PDV-u. Ovo je zakonska obveza i ima prednost nad pravom na zaborav u dijelu u kojem je čuvanje obvezno (GDPR čl. 17. st. 3. točka (b)).
• Računi zatvoreni na zahtjev vlasnika: osobni podaci dobavljača se brišu odmah nakon potvrde brisanja; financijski podaci ostaju koliko nalaže zakon.
• Privole i pohrana u pregledniku: čuvaju se do isteka, odjave, brisanja pohrane u pregledniku ili promjene postavke, ovisno o stavci opisanoj u Politici kolačića.

• TLS/HTTPS za podatke u prijenosu.
• Hashiranje lozinki umjesto pohrane lozinki u čitljivom obliku.
• Autentifikacijski tokeni, rate limit, provjere izvora, potpisani webhookovi i kontrole pristupa za osjetljive rute.
• Validacija i provjere tipa datoteka kod učitavanja.
• Ograničen pristup produkcijskim sustavima i operativnim zapisima.
• Nadzor, sigurnosne kopije i odgovor na incidente primjereni riziku platforme.

Ovisno o zakonskim uvjetima i iznimkama, možete imati pravo:

• zatražiti pristup svojim osobnim podacima,
• zatražiti ispravak netočnih ili nepotpunih podataka,
• zatražiti brisanje podataka,
• zatražiti ograničenje obrade,
• uložiti prigovor na obradu temeljenu na legitimnom interesu ili izravnom marketingu,
• zatražiti prenosivost podataka gdje je primjenjivo,
• povući privolu kada se obrada temelji na privoli,
• podnijeti pritužbu nadzornom tijelu, uključujući Agenciju za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, Hrvatska, [email protected].

Za ostvarivanje prava javite se na [email protected]. Na zahtjev odgovaramo bez nepotrebnog odgađanja, a u svakom slučaju u roku od mjesec dana od zaprimanja, sukladno čl. 12. st. 3. GDPR-a. Rok se može produžiti za dodatna dva mjeseca s obzirom na složenost i broj zahtjeva, o čemu ćemo vas obavijestiti u prvom roku. Možemo trebati potvrditi vaš identitet i možemo odbiti ili ograničiti zahtjev kada je to propisano ili dopušteno zakonom, primjerice radi zaštite druge osobe, čuvanja dokaza, računovodstvenih obveza ili sprječavanja prijevara.

Dobavljači registrirani na platformi mogu izvoz osobnih podataka (GDPR čl. 15.) i brisanje računa (GDPR čl. 17.) inicirati izravno iz Postavki dobavljačkog računa. Brisanje računa zahtijeva email potvrdu i nepovratno briše osobne podatke odmah po potvrdi, osim podataka koje zakon nalaže čuvati (točka 8.).

Platforma nije namijenjena osobama mlađima od 18 godina. Ne prikupljamo svjesno podatke djece. Ako smatrate da je dijete poslalo osobne podatke, kontaktirajte nas kako bismo ih pregledali i izbrisali gdje je primjereno.

Koristimo pravila za uparivanje upita s dobavljačima, primjerice prema marki vozila, preferencijama dobavljača, verifikaciji, statusu pretplate i postavkama obavijesti. To samo po sebi ne proizvodi pravne ili slično značajne učinke. Ne koristimo automatizirano odlučivanje za kreditnu sposobnost, osiguranje, zaposlenje ili prava iz javnih sustava.

Ovu Politiku privatnosti možemo ažurirati kada se promijene platforma, pružatelji usluga, pravni zahtjevi ili prakse obrade podataka. Bitne izmjene objavit ćemo na platformi i, gdje je primjereno, obavijestiti emailom ili obavijesti u proizvodu.