Politika zasebnosti

Local Development d.o.o. ("PoDi", "mi", "nas", "naš") upravlja platformo PoDi na domeni podi.hr. PoDi povezuje osebe, ki iščejo avtomobilske dele, z neodvisnimi dobavitelji. PoDi je praviloma upravljavec osebnih podatkov, ki jih obdelujemo za delovanje platforme, upravljanje računov, usmerjanje zahtevkov, podporo, varnost in obračun dobaviteljskih naročnin.

Kadar dobavitelj po sprejetju ponudbe samostojno uporablja podatke kupca, je ta dobavitelj odgovoren za svojo obdelavo podatkov, obvestila o zasebnosti, račune, garancije in komunikacijo s kupcem.

2.1 Podatki kupcev in zahtevkov

• Kontaktni podatki: e-poštni naslov, telefonska številka, država ali regija, kadar jih navedete.
• Podatki o vozilu: znamka, model, letnik/generacija, različica, motor, gorivo, karoserija, barva, VIN, če ga vnesete ali se prebere iz tehničnega dela prometnega dovoljenja. Če uporabite skeniranje prometnega dovoljenja, se slika uporabi samo za OCR branje in se ne shrani ob zahtevku; ob zahtevku shranimo samo prebrane tehnične podatke. Fotografijo VIN ploščice shranimo samo, če jo naložite posebej.
• Podatki o zahtevku: opis iskanega dela, naložene fotografije vozila/dela, številka za sledenje, varnostni žeton, zgodovina statusov, sprejete ponudbe in ocene, če jih oddate.
• Komunikacija: e-pošta, odgovori, sporočila podpori, sporočila v ponudbah in metapodatki aktivnosti. Vsebina e-pošte, posredovane prek platforme, se lahko beleži zaradi dostave, podpore, preprečevanja zlorab in dokazovanja v sporu.

2.2 Podatki dobaviteljev in poslovni podatki

• Podatki računa: naziv podjetja ali obrti, e-pošta, zgoščena vrednost gesla, telefon, naslov, davčna/VAT številka, verifikacija in status računa.
• Nastavitve dobavitelja: podprte ali izključene znamke vozil, e-pošta za obvestila, komunikacijske nastavitve, dejavnost na nadzorni plošči, zgodovina ponudb, status odgovorov, ocene in mnenja.
• Obračunski podatki: Stripe customer ID, subscription ID, načrt, obračunsko obdobje, število porabljenih zahtevkov, uporaba promocijske kode, metapodatki računov/plačil, povezave do računov in status plačila. Polnih številk kartic in varnostnih kod ne shranjujemo.
• Neobvezni poslovni podatki: ime banke, IBAN, SWIFT in naslov, kadar jih uporabljate za PDF ponudbe ali nastavitve računa.

2.3 Tehnični in varnostni podatki

• Podatki naprave in dnevniki: IP naslov, brskalnik in naprava, URL, časovne oznake, zapisi napak, podatki za omejevanje pogostosti zahtev, avtentikacijski/sejni podatki in varnostni dogodki.
• Piškotki in lokalna shramba: izbira jezika, izbira piškotkov, avtentikacijsko stanje dobavitelja/administratorja in druga nujna shramba, opisana v Politiki piškotkov.
• Ocena lokacije: ob prvem obisku lahko uporabimo Cloudflare oznako države ali strežniško IP geolokacijo za predlog regionalnega jezika. To uporabljamo za lokalizacijo, ne za natančno sledenje.

• Vi: ko oddate zahtevek, se registrirate, naložite slike, pošljete odgovor, pustite oceno, kontaktirate podporo ali spreminjate nastavitve.
• Drugi uporabniki platforme: dobavitelji lahko navedejo podatke v ponudbi, povezani z vašim zahtevkom; kupci lahko pustijo ocene dobaviteljev.
• Ponudniki storitev: Stripe, ponudniki e-pošte, gostovanja/shrambe, varnostni sistemi in lokalizacijska/geolokacijska infrastruktura nam lahko posredujejo metapodatke obdelave.
• Samodejno zbiranje: dnevniki, piškotki, lokalna shramba, glave zahtevkov in varnostni dogodki nastanejo pri uporabi storitve.

• Zagotavljanje storitve (pogodba/ukrepi pred pogodbo): ustvarjanje in usmerjanje zahtevkov, pošiljanje ponudb, prikaz nadzornih plošč, avtentikacija, povezave za sledenje, operativna e-pošta in upravljanje dobaviteljskih naročnin.
• Varnost tržnice (zakoniti interes): preprečevanje prevar, neželene pošte, zlorab, nepooblaščenega dostopa, podvojenih računov, lažnih ocen, nezakonitih ponudb in varnostnih incidentov.
• Komunikacija (pogodba/zakoniti interes): potrditve, obvestila o zahtevkih, obvestila o ponudbah, obvestila o sprejetju ponudbe, prošnje za oceno, servisna obvestila in podpora.
• Obračun in evidence (pogodba/pravna obveznost): obračun naročnin dobaviteljev, računi, davčne in računovodske evidence, neuspešna plačila, vračila, kadar so primerna, in zakonske obveznosti.
• Izboljšanje brez oglaševalskega sledenja (zakoniti interes): razumevanje agregirane uspešnosti platforme, stopenj odgovorov dobaviteljev, pokritosti zahtevkov, napak in uporabe funkcij iz operativnih podatkov.
• Privolitev: neobvezne piškotke ali marketing bomo uporabljali samo, kadar imamo potrebno privolitev. Trenutno ne uporabljamo oglaševalskih piškotkov ali analitičnih piškotkov tretjih oseb.
• Pravni zahtevki in skladnost (pravna obveznost/zakoniti interes): odgovori na zakonite zahteve, uveljavljanje pogojev, hranjenje dokazov, obramba zahtevkov ter varovanje pravic in varnosti.

• Pred odgovorom dobavitelja: ujemajoči se aktivni dobavitelji lahko prejmejo podatke, potrebne za oceno dela, vključno s podatki o vozilu, opisom dela, fotografijami, VIN besedilom/fotografijo, če so navedeni, in telefonom kupca, kadar je potreben za pojasnilo.
• Ko so ponudbe prikazane: kupci lahko vidijo naziv dobavitelja, sporočilo ponudbe, ceno, razpoložljivost, oceno dostave, fotografije, oceno in status verifikacije.
• Po sprejetju ponudbe: relevantni kontaktni podatki kupca in dobavitelja se lahko delijo, da strani neposredno uredita plačilo, dostavo, vgradnjo, garancijo, vračilo ali spor.
• Strani za sledenje: oseba s številko za sledenje lahko vidi osnovne podatke zahtevka in ponudb. Varnostni žeton kupca odklene dejanja kupca in kontaktne podatke. Povezave za sledenje hranite zasebno.
• Ocene: ocene in komentarji so lahko prikazani ob dobavitelju. V besedilo javne ocene ne vključujte zasebnih osebnih podatkov.

• Stripe: dobaviteljska naročnina, checkout, nastavitev plačilne metode, računi, zapisi strank in status plačila.
• Resend: pošiljanje transakcijske in operativne e-pošte.
• Resend: prejemanje e-poštnih odgovorov, ki se usmerjajo prek platformskih reply-to naslovov.
• Gostovanje, baza podatkov in shramba datotek: gostovanje aplikacije, baza podatkov, varnostne kopije, dnevniki, naložene fotografije in dostava naloženih datotek.
• IP geolokacija/lokalizacija: predlog jezika na ravni države, kadar Cloudflare glave niso na voljo.
• Strokovni svetovalci in organi: računovodje, odvetniki, sodišča, regulatorji, policija, plačilne mreže in davčni organi, kadar je to potrebno ali razumno.
• Prenosi poslovanja: pravni naslednik lahko prejme relevantne podatke pri združitvi, financiranju, reorganizaciji, prodaji sredstev ali podobni transakciji, ob ustreznih ukrepih zaupnosti in pravnega varstva.

Kadar je praktično, skušamo uporabljati gostovanje in shrambo v EGP. Nekateri ponudniki, vključno s ponudniki plačil, e-pošte, varnosti, podpore ali infrastrukture, lahko podatke obdelujejo zunaj EGP. Kadar je potrebno, se opiramo na sklepe o ustreznosti, standardne pogodbene klavzule, varovalne ukrepe ponudnikov in dodatne tehnične ter organizacijske ukrepe.

V skladu s členom 5(1)(e) GDPR (omejitev hrambe) osebne podatke hranimo le toliko časa, kolikor je potrebno za namene iz točke 4. Konkretni roki po kategoriji so navedeni spodaj in se samodejno izvajajo prek načrtovanih sistemskih opravil.

• Klepeti med kupcem in dobaviteljem: 90 dni po izteku osnovnega zahtevka, če nobena ponudba ni bila sprejeta. Če je bila ponudba sprejeta, se klepet hrani 365 dni od sprejema zaradi morebitnih sporov o izvedeni transakciji.
• Slike prometnega dovoljenja za OCR: uporabljajo se samo začasno med branjem tehničnih podatkov vozila in se ne shranijo ob zahtevku.
• Naložene slike (fotografije zahtevkov, fotografije VIN tablice, fotografije ponudb): izbrišejo se 90 dni po izteku nadrejenega zahtevka. Če je bila ponudba sprejeta, se slike hranijo 365 dni od sprejema zaradi morebitnih vprašanj dostave, garancije ali spora. Datoteke, ki niso povezane z nobenim zahtevkom, se izbrišejo po 24 urah.
• Kontaktni podatki kupca v zahtevku (e-pošta, telefon, VIN, zgoščeni identifikatorji): 90 dni po izteku zahtevka brez sprejete ponudbe se kontaktna polja anonimizirajo, agregatna statistika pa ostane. Če je bila ponudba sprejeta, se kontaktni podatki hranijo 3 leta od sprejema, kar ustreza splošnemu zastaralnemu roku po hrvaškem Zakonu o obligacijskih razmerjih (čl. 225.), nato pa se anonimizirajo.
• Vsebina poslanih e-poštnih sporočil (Email log): vsebina sporočil se 90 dni po pošiljanju nadomesti z oznako o redakciji, celoten zapis pa se izbriše 2 leti po pošiljanju. Metapodatki o dostavi se v tem obdobju hranijo za dokaz dostave.
• Administrativni/varnostni revizijski dnevniki (audit log): 2 leti, kar ustreza obdobju za zaznavo in preiskavo varnostnih incidentov.
• Žetoni za ponastavitev gesla in potrditev e-pošte: se 7 dni po izteku odstranijo. Surovi žeton obstaja le znotraj e-poštne povezave; v bazi hranimo le njegov hash.
• Naročnine na push obvestila: odstranijo se po 180 dneh neaktivnosti.
• Dobaviteljski računi, ki ne potrdijo e-pošte: izbrišejo se 90 dni po registraciji, če lastnik nikoli ne klikne potrditvene povezave.
• Dobaviteljski računi, ki ne zaključijo Stripe postopka: izbrišejo se po 7 dneh skupaj z ustreznim Stripe customer zapisom.
• Računovodske in davčne evidence, fiskalizirani računi in plačilne transakcije: hranijo se vsaj 11 let v skladu s čl. 8 hrvaškega Zakona o računovodstvu in predpisi o DDV. To je zakonska obveznost, ki ima prednost pred pravico do izbrisa, kjer je hramba obvezna (GDPR čl. 17(3)(b)).
• Računi, zaprti na zahtevo lastnika: osebni podatki dobavitelja se izbrišejo takoj ob potrjenem brisanju; finančni zapisi ostanejo, kolikor zahteva zakon.
• Privolitve in shramba v brskalniku: hranijo se do izteka, odjave, izbrisa shrambe v brskalniku ali spremembe nastavitve, odvisno od postavke, opisane v Politiki piškotkov.

• TLS/HTTPS za podatke med prenosom.
• Zgoščevanje gesel namesto shranjevanja gesel v berljivi obliki.
• Avtentikacijski žetoni, omejevanje pogostosti, preverjanje izvora, podpisani webhooki in nadzor dostopa za občutljive poti.
• Validacija in preverjanje tipa datotek pri nalaganju.
• Omejen dostop do produkcijskih sistemov in operativnih dnevnikov.
• Nadzor, varnostne kopije in odziv na incidente, primerni tveganju platforme.

Glede na zakonske pogoje in izjeme imate lahko pravico:

• zahtevati dostop do svojih osebnih podatkov,
• zahtevati popravek netočnih ali nepopolnih podatkov,
• zahtevati izbris podatkov,
• zahtevati omejitev obdelave,
• ugovarjati obdelavi na podlagi zakonitega interesa ali neposrednega trženja,
• zahtevati prenosljivost podatkov, kjer je primerno,
• preklicati privolitev, kadar obdelava temelji na privolitvi,
• vložiti pritožbo pri nadzornem organu, vključno z Agencijo za varstvo osebnih podatkov (AZOP), Selska cesta 136, 10000 Zagreb, Hrvaška, [email protected].

Za uveljavljanje pravic pišite na [email protected]. Na zahtevek odgovorimo brez nepotrebnega odlašanja, v vsakem primeru pa v enem mesecu od prejema, skladno s čl. 12(3) GDPR. Ta rok se lahko po potrebi podaljša za največ dva meseca; o podaljšanju vas obvestimo v prvem mesecu. Morda bomo morali potrditi vašo identiteto in lahko zahtevo zavrnemo ali omejimo, kadar to zahteva ali dovoljuje zakon, na primer zaradi varstva druge osebe, hrambe dokazov, računovodskih obveznosti ali preprečevanja prevar.

Na platformi registrirani dobavitelji lahko izvoz osebnih podatkov (GDPR čl. 15) in izbris računa (GDPR čl. 17) sprožijo neposredno iz Nastavitev dobaviteljskega računa. Izbris računa zahteva potrditev po e-pošti in ob potrditvi nepovratno izbriše osebne podatke, razen tistih, ki jih zakon nalaga hraniti (točka 8.).

Platforma ni namenjena osebam, mlajšim od 18 let. Podatkov otrok zavestno ne zbiramo. Če menite, da je otrok poslal osebne podatke, nas kontaktirajte, da jih pregledamo in izbrišemo, kjer je to primerno.

Za ujemanje zahtevkov z dobavitelji uporabljamo pravila, na primer glede na znamko vozila, preference dobaviteljev, verifikacijo, status naročnine in nastavitve obvestil. To samo po sebi ne povzroča pravnih ali podobno pomembnih učinkov. Avtomatiziranega odločanja ne uporabljamo za kreditno sposobnost, zavarovanje, zaposlitev ali javne pravice.

To Politiko zasebnosti lahko posodobimo, kadar se spremenijo platforma, ponudniki storitev, pravne zahteve ali prakse obdelave podatkov. Bistvene spremembe bomo objavili na platformi in vas, kjer je primerno, obvestili po e-pošti ali z obvestilom v izdelku.