Politika privatnosti

Prva verzija: 17. travnja 2026.

Zadnja izmjena: 22. travnja 2026.

1. Voditelj obrade podataka

STATIM d.o.o.

Sarajevska 46D, 21000 Split, Hrvatska

OIB: 42874121079

E-mail: radovic.ante04@gmail.com

Društvo nema imenovanog službenika za zaštitu podataka (DPO) jer nisu ispunjeni uvjeti iz čl. 37. GDPR-a. Za sva pitanja vezana za obradu osobnih podataka obratite se na gornji e-mail.

2. Koje podatke prikupljamo

  • Identifikacijski podaci: ime i prezime, email adresa
  • Kontakt podaci: broj mobitela (opcionalno)
  • OAuth identifikatori: Google ID / Facebook ID ako koristite socijalnu prijavu
  • Profilna slika: ako je dolazi iz Google/Facebook računa
  • Povijest rezervacija: termini, klubovi, statusi, iznosi
  • Podaci o plaćanju: samo metadata (iznos, status, rezultat); brojeve kartica obrađuje Stripe, mi ih nikad ne vidimo niti pohranjujemo
  • Tehnički podaci: IP adresa, User-Agent preglednika, kolačići sesije, tehnički logovi
  • Podaci o korištenju: datumi prijave, klikovi na funkcionalnosti (samo agregirano, ako aktivirate analitičke kolačiće)

Ne prikupljamo posebne kategorije podataka (zdravstvene, biometrijske, političke stavove i sl.) u smislu čl. 9. GDPR-a.

3. Svrha i pravna osnova obrade

  • Izvršenje ugovora (čl. 6. st. 1. t. b GDPR): upravljanje vašim računom, obrada rezervacija, komunikacija s klubovima, slanje potvrda, podsjetnika i obavijesti o promjenama rasporeda.
  • Zakonska obveza (čl. 6. st. 1. t. c GDPR): čuvanje računovodstvenih podataka (11 godina prema Zakonu o računovodstvu RH čl. 10.), odgovaranje na zahtjeve nadležnih tijela.
  • Legitiman interes (čl. 6. st. 1. t. f GDPR): sigurnost sustava, prevencija prijevara pri plaćanju (Stripe), sprječavanje zloupotrebe, rješavanje korisničkih problema, poboljšanje usluge.
  • Privola (čl. 6. st. 1. t. a GDPR): analitički i marketinški kolačići, slanje promocijskih emailova (opcionalno). Privolu možete povući u svakom trenutku bez posljedica po zakonitost prethodne obrade.

4. Rokovi čuvanja podataka

  • Aktivni računi: dok je račun aktivan
  • Obrisani računi: osobni podaci se brišu odmah pri zahtjevu; anonimizirani zapisi rezervacija i računa čuvaju se 11 godina zbog računovodstvenih propisa
  • Logovi pristupa: 90 dana
  • Cookie privola (p1m_cc): 182 dana pa se traži ponovno
  • Nepotvrđene registracije: 30 dana pa se brišu automatski

5. Obrađivači (procesori) vaših podataka

Koristimo sljedeće vanjske pružatelje usluga koji u naše ime obrađuju osobne podatke. Sa svima postoji ugovor o obradi podataka (Data Processing Agreement) sukladno čl. 28. GDPR-a:

PružateljSvrhaLokacija
A1 Hrvatska d.o.o.Hosting poslužitelja, pohrana baze podatakaHrvatska (EU)
Supabase Inc.Upravljana PostgreSQL baza (NextAuth)Irska (EU)
Stripe Payments Europe, Ltd.Obrada plaćanja karticom, prevencija prijevara (PCI-DSS)Irska (EU) + SAD (DPF)
Twilio SendGrid, Inc.Slanje transakcijskih e-mailova (potvrde, obavijesti)SAD (DPF)
BulkGate s.r.o.Slanje SMS obavijesti i podsjetnikaČeška (EU)
Google LLCOAuth prijava („Prijavi se Googlom"), Cloud DNSSAD (DPF)
Meta Platforms Ireland Ltd.OAuth prijava („Prijavi se Facebookom")Irska (EU) + SAD (DPF)

Primatelji rezervacijskih podataka: sportski klub čiji teren rezervirate dobiva samo minimum podataka potrebnih za izvršenje rezervacije (ime, kontakt, odabrani termin). Ne prodajemo vaše podatke trećim stranama niti ih koristimo za profiliranje izvan opisanih svrha.

6. Prijenos podataka izvan EU/EGP

Pojedini procesori imaju sjedište izvan EU (uglavnom u SAD-u). Prijenos se odvija na temelju mehanizama iz poglavlja V GDPR-a:

  • EU–US Data Privacy Framework (DPF) — Odluka Europske komisije o adekvatnosti od 10. srpnja 2023. za samo-certificirane organizacije (Google, Meta, Stripe, SendGrid).
  • Standard Contractual Clauses (SCC) — Standardne ugovorne klauzule Europske komisije (2021/914) kao dodatni mehanizam zaštite.

7. Sigurnost podataka

  • TLS (HTTPS) enkripcija svih komunikacija
  • Lozinke se pohranjuju hash-iranim (bcrypt), nikad u čistom obliku
  • JWT tokeni s kratkim rokom trajanja (7 dana) i serverskim invalidacija pri brisanju računa
  • Podaci kartica se ne pohranjuju kod nas — obrađuje ih Stripe (PCI-DSS Level 1)
  • Pristup bazi ograničen po principu minimuma privilegija
  • Redovita sigurnosna ažuriranja ovisno o CVE-ima

8. Vaša prava (GDPR, čl. 15–22)

  • Pravo na pristup (čl. 15) — informacije o tome koje vaše podatke obrađujemo
  • Pravo na ispravak (čl. 16) — ispravak netočnih ili nepotpunih podataka
  • Pravo na brisanje / „pravo na zaborav" (čl. 17)
  • Pravo na ograničenje obrade (čl. 18)
  • Pravo na prenosivost (čl. 20) — podaci u strukturiranom, strojno čitljivom formatu
  • Pravo na prigovor (čl. 21) — prigovor na obradu temeljem legitimnog interesa
  • Pravo na povlačenje privole (čl. 7. st. 3) — u bilo kojem trenutku

Za ostvarivanje prava pišite na radovic.ante04@gmail.com. Odgovaramo u roku od 30 dana (čl. 12. st. 3 GDPR).

Također imate pravo podnijeti pritužbu nadzornom tijelu (čl. 77. GDPR):

Agencija za zaštitu osobnih podataka (AZOP)

Selska cesta 136, 10000 Zagreb

Telefon: +385 1 4609-000

E-mail: azop@azop.hr

Web: azop.hr

Ne postoji automatizirano donošenje odluka niti profiliranje s pravnim učinkom u smislu čl. 22. GDPR-a.

9. Brisanje računa i podataka

U skladu s GDPR-om i zahtjevima platformi poput Facebooka i Googlea, možete u bilo kojem trenutku zatražiti brisanje svog računa i svih povezanih osobnih podataka. Postupak je sljedeći:

  1. Kroz aplikaciju — prijavite se na play1more.com/account/settings i kliknite „Obriši račun". Brisanje je trenutno.
  2. E-mailom — pošaljite zahtjev za brisanje na radovic.ante04@gmail.com s naslovom „Zahtjev za brisanje računa" i email adresom / brojem mobitela kojim ste se registrirali. Obrisat ćemo vaš račun u roku od 30 dana.

Što se briše: ime, email, broj mobitela, lozinka, OAuth povezanice (Google/Facebook), profilne preferencije.

Što ostaje u anonimiziranom obliku: povijest rezervacija i podaci o plaćanjima (rok 11 godina, Zakon o računovodstvu RH čl. 10.). Ovi podaci više nisu povezani s vašim identitetom.

Facebook Login korisnici: kad u Facebook postavkama (Settings → Apps and Websites) uklonite Play1More aplikaciju, povezani Facebook identifikatori brišu se iz našeg sustava putem Data Deletion Callback-a. Detaljne upute: /data-deletion.

10. Maloljetne osobe

Usluga je namijenjena osobama starijim od 16 godina (dob privole po čl. 8. GDPR-a u RH). Osobe mlađe od 16 godina mogu koristiti uslugu samo uz izričitu privolu roditelja ili skrbnika. Ne prikupljamo svjesno podatke djece bez ovjerene privole — ako saznamo da smo prikupili takve podatke, brišemo ih odmah.

11. Kolačići

Detaljan popis kolačića (naziv, trajanje, svrha, pružatelj) i mogućnost upravljanja vašom privolom nalazi se na stranici Politika kolačića.

12. Izmjene ove politike

Politiku povremeno ažuriramo radi promjena u tehnologiji, zakonodavstvu ili našim praksama. Datum zadnje izmjene naveden je na vrhu stranice. O značajnim izmjenama obavijestit ćemo vas putem e-maila ili banner obavijesti na stranici.