Politika privatnosti
Posljednje ažuriranje: 25. lipnja 2026.
1. Voditelj obrade podataka
Ova Politika privatnosti objašnjava koje osobne podatke prikupljamo, zašto ih prikupljamo, kako ih koristimo i koja su vaša prava u skladu s Uredbom (EU) 2016/679 — Općom uredbom o zaštiti podataka (dalje: GDPR) i Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18).
Voditelj obrade osobnih podataka
MK CONSULTING, obrt za savjetovanje i usluge, vl. Matjaž Keder
Sjedište: Viletinec 17, 42250 Lepoglava, Hrvatska
OIB: 98856487019
MBO: 98236679
Kontakt: hello@bycelebra.com
U daljnjem tekstu: “Voditelj obrade”, “Celebra”, “mi”.
2. Službenik za zaštitu osobnih podataka (DPO)
Voditelj obrade nije imenovao Službenika za zaštitu osobnih podataka (DPO). Razlog: Voditelj obrade nije tijelo javne vlasti, ne obrađuje osobne podatke u velikom obimu u svrhu redovitog i sistematskog praćenja ispitanika, niti obrađuje posebne kategorije podataka u velikom obimu (čl. 37. GDPR-a). Imenovanje DPO-a stoga nije zakonska obveza.
Sve upite vezane uz zaštitu osobnih podataka može uputiti vlasnik obrta osobno na hello@bycelebra.com.
3. Koje podatke prikupljamo
Prikupljamo sljedeće kategorije osobnih podataka:
- Podaci o računu Klijenta: ime, prezime, email adresa, lozinka (pohranjena kao bcrypt hash, mi je nikad ne vidimo u plaintextu)
- Podaci o plaćanju: ime vlasnika kartice i adresa za naplatu (obrađuje isključivo Stripe; mi ne pohranjujemo podatke o kartici)
- Podaci o narudžbi: odabrani paket, iznos plaćanja, datum narudžbe, Stripe payment reference
- Podaci o pozivnici: ime para/događaja, datum i lokacija eventa, fotografije, tekst pozivnice, passcode za pristup (pohranjen kao bcrypt hash)
- RSVP podaci Gostiju (unose Klijenti ili sami Gosti): ime, email (opcionalno), odgovor (dolazi/ne dolazi), broj pratitelja, prehrambene preferencije, poruka
- Tehnički podaci: IP adresa, vrsta preglednika, vrijeme pristupa, stranice koje ste posjetili (privremeno, samo radi sigurnosti i sprječavanja zloupotrebe)
- Audit log: bilježimo neuspjele pokušaje prijave, rate-limit eventove i druge sigurnosne događaje radi zaštite sustava (čuva se 90 dana, ime/email maskirano)
4. Svrha i pravna osnova obrade
Vaše podatke obrađujemo na temelju sljedećih pravnih osnova (čl. 6. GDPR-a):
- Izvršenje ugovora (čl. 6/1/b): obrada narudžbe, izrada pozivnice, slanje pristupnih podataka, transakcijski emailovi, pružanje korisničke podrške
- Pravna obveza (čl. 6/1/c): čuvanje poslovnih dokumenata sukladno Zakonu o računovodstvu (NN 78/15) i poreznim propisima, vođenje evidencije pisanih prigovora
- Legitimni interes (čl. 6/1/f): sigurnost sustava (audit log, rate limiting), sprječavanje prijevara, anonimna analiza za poboljšanje usluga
- Privola (čl. 6/1/a): slanje marketinških obavijesti (možete se odjaviti u svakom trenutku), prikazivanje vaše izrađene pozivnice u portfoliju Celebre (uz prethodni izričiti pristanak)
Automatsko odlučivanje, uključujući profiliranje (čl. 22. GDPR): Voditelj obrade NE provodi automatsko odlučivanje ni profiliranje koje proizvodi pravne učinke ili na sličan način značajno utječe na ispitanike.
5. Dijeljenje podataka s trećim stranama
Vaše podatke dijelimo isključivo s pouzdanim davateljima usluga (izvršiteljima obrade) koji nam pomažu u pružanju Usluga:
- Stripe Payments Europe, Ltd. (Irska) — obrada plaćanja karticom. Certificiran prema PCI DSS Level 1. Privatnost: stripe.com/privacy
- Supabase Inc. (SAD/EU) — pohrana baze podataka. Naša baza je hostan u EU regiji (Frankfurt). Privatnost: supabase.com/privacy
- Resend Inc. (SAD) — slanje transakcijskih emailova. Privatnost: resend.com/legal/privacy-policy
- Vercel Inc. (SAD) — hosting web platforme i edge funkcija. Privatnost: vercel.com/legal/privacy-policy
- Upstash, Inc. (SAD/EU) — rate limiting i sigurnosna zaštita. Privatnost: upstash.com/trust/privacy
Ne prodajemo, ne iznajmljujemo i ne dijelimo vaše osobne podatke s trećim stranama u komercijalne svrhe.
6. Prijenos podataka izvan EU
Neki od naših izvršitelja obrade (Stripe, Supabase, Resend, Vercel, Upstash) imaju sjedište ili infrastrukturu u Sjedinjenim Američkim Državama. Prijenosi podataka u SAD su pokriveni sljedećim zaštitnim mehanizmima u skladu s čl. 44–49. GDPR-a:
- EU-US Data Privacy Framework (DPF): Stripe, Vercel i Supabase su certificirani pod ovim okvirom koji je Europska komisija proglasila adekvatnim za prijenos podataka.
- Standardne ugovorne klauzule (SCC): dodatni ugovori koji jamče razinu zaštite jednaku GDPR-u.
- EU hosting kad god je moguće: naša baza podataka (Supabase) je hostana u EU regiji (Frankfurt) i ne napušta EU teritorij za standardne operacije.
7. Razdoblje čuvanja podataka
Vaše podatke čuvamo onoliko dugo koliko je potrebno za pružanje Usluge i ispunjenje zakonskih obveza:
- Podaci o računu i narudžbi: 11 godina (Zakon o računovodstvu — 11 godina za izvorne knjigovodstvene isprave)
- RSVP podaci Gostiju: do 1 godinu nakon eventa, osim ako Klijent ne zatraži ranije brisanje
- Memorijska stranica (Atelier paket): do 12 mjeseci nakon eventa, osim ako Klijent ne zatraži brisanje ili produžetak
- Pisani prigovori potrošača: najmanje 1 godinu (čl. 10. Zakona o zaštiti potrošača)
- Audit log sigurnosnih događaja: 90 dana (maskirani identifikatori)
- Marketinška komunikacija: do odjave
8. Vaša prava (čl. 15–22 GDPR)
U skladu s GDPR-om, imate sljedeća prava:
- Pravo na pristup (čl. 15): možete zatražiti kopiju svih osobnih podataka koje pohranjujemo o vama
- Pravo na ispravak (čl. 16): možete zatražiti ispravak netočnih ili nepotpunih podataka
- Pravo na brisanje “pravo na zaborav” (čl. 17): možete zatražiti brisanje vaših podataka, uz iznimku podataka koje moramo čuvati prema zakonu (npr. računi)
- Pravo na ograničenje obrade (čl. 18): možete zatražiti ograničenje obrade u određenim okolnostima
- Pravo na prenosivost podataka (čl. 20): možete zatražiti vaše podatke u strojno čitljivom formatu (JSON ili CSV); odgovaramo u roku od 30 dana
- Pravo na prigovor (čl. 21): možete se usprotiviti obradi podataka temeljenoj na legitimnom interesu
- Pravo na povlačenje privole (čl. 7): možete u svakom trenutku povući privolu za obradu podataka, bez utjecaja na zakonitost prethodne obrade
Za ostvarivanje bilo kojeg prava kontaktirajte nas na hello@bycelebra.com. Odgovorit ćemo bez odgađanja, a najkasnije u roku od 30 dana (čl. 12/3 GDPR).
Pritužba nadzornom tijelu: imate pravo podnijeti pritužbu nadzornom tijelu — u Republici Hrvatskoj je to Agencija za zaštitu osobnih podataka (AZOP), azop.hr.
9. Kolačići (cookies)
Koristimo isključivo neophodne (functional) kolačiće potrebne za rad usluge. NE koristimo kolačiće za praćenje, oglašavanje, analitiku trećih strana ili profiliranje.
Konkretni kolačići koje koristimo:
| Naziv | Svrha | Trajanje |
|---|---|---|
| sb-* | Sesija prijavljenog Klijenta (Supabase Auth) | 1 sat (auto-refresh) |
| cpass_<slug> | Pamćenje da je Gost upisao passcode za pozivnicu | 30 dana |
| admin-theme | Preferencija svjetle/tamne teme dashboarda | Trajno (do brisanja) |
Svi naši kolačići su HttpOnly i Secure (osim theme preference, koji je samo client-side). Kolačiće možete u svakom trenutku obrisati ili blokirati u postavkama vašeg preglednika, no onemogućavanje neophodnih kolačića uzrokovat će nepravilno funkcioniranje (nećete se moći prijaviti, neće se pamtiti passcode).
10. Sigurnost podataka
Primjenjujemo industrijski standard tehničkih i organizacijskih mjera:
- Sva komunikacija s našom platformom je enkriptirana putem HTTPS / TLS 1.3
- Lozinke Klijenata pohranjene su kao bcrypt hash (cost 10) — mi ih nikad ne vidimo u plaintextu
- Passcode pozivnica pohranjeni su isto kao bcrypt hash
- Row Level Security (RLS) na razini baze podataka — Klijent A nikad ne može pristupiti podacima Klijenta B
- Rate limiting i honeypot zaštita protiv automatiziranih napada (brute force, spam)
- Audit log neuspjelih prijava i sumnjivih aktivnosti
- Redovita sigurnosna ažuriranja i nezavisni sigurnosni auditi
- Stripe Live obrađuje plaćanja u skladu s PCI DSS Level 1 standardom
Obavijest o povredi podataka: u slučaju sigurnosnog incidenta koji bi mogao prouzročiti rizik za vaša prava, obavijestit ćemo nadležno nadzorno tijelo (AZOP) u roku od 72 sata sukladno čl. 33. GDPR-a, a vas bez odgađanja ako je rizik visok (čl. 34. GDPR-a).
11. Maloljetnici
Naše Usluge nisu namijenjene osobama mlađim od 16 godina. Ne prikupljamo svjesno osobne podatke maloljetnih osoba bez privole roditelja ili skrbnika. Ako saznamo da smo prikupili podatke maloljetne osobe bez valjane privole, odmah ćemo ih obrisati.
12. Obrada podataka Gostiju (Klijent kao voditelj obrade)
Kad Klijent unosi osobne podatke svojih Gostiju u dashboard (popis gostiju, kontakt podaci), Klijent djeluje kao voditelj obrade tih podataka, a Celebra kao izvršitelj obrade. Odnos je uređen Ugovorom o obradi podataka (DPA) koji Klijent prihvaća kupnjom paketa.
Klijent je dužan ishoditi valjanu pravnu osnovu (npr. privolu) za obradu osobnih podataka Gostiju i Celebra ne snosi odgovornost za zlouporabe na razini Klijenta.
13. Izmjene Politike privatnosti
Možemo povremeno ažurirati ovu Politiku privatnosti. O značajnim izmjenama obavijestit ćemo Klijente emailom ili obavijesti na stranici najmanje 15 dana prije stupanja na snagu. Datum posljednjeg ažuriranja uvijek je vidljiv na vrhu dokumenta.
14. Kontakt
Za sva pitanja vezana uz zaštitu osobnih podataka:
Email: hello@bycelebra.com
Pošta: MK CONSULTING, obrt za savjetovanje i usluge, vl. Matjaž Keder, Viletinec 17, 42250 Lepoglava, Hrvatska