Politika privatnosti
Zadnje azuriranje: 2026.04.08.
1. Voditelj obrade
Voditelj obrade je Magenta Team Korlátolt Felelősségű Társaság (sjediste: Petőfi Sándor utca 12/1., 2085 Pilisvörösvár, Madarska; registarski broj tvrtke: 13-09-226488; porezni broj: 26142366-2-13; zastupa ga: Adrian Olajos, direktor; e-posta: legal@bellora.net). Voditelj obrade nema imenovanog Sluzbenika za zastitu podataka (DPO), jer njegove aktivnosti ne spadaju u obvezne slucajeve imenovanja prema GDPR 37. Za upite o zastiti podataka, Voditelj obrade je dostupan na legal@bellora.net.
2. Opseg obradivanih podataka
Tijekom koristenja Usluge obradujemo sljedece podatke:
- Osobni podaci: ime, e-mail adresa, telefonski broj, profilna slika
- Podaci o salonu: naziv salona, adresa, radno vrijeme, fotografije, opis
- Podaci o rezervacijama: termini, usluge, zaposlenici, podaci o otkazivanjima
- Podaci o placanjima: identifikatori transakcija Stripe, iznosi placanja, valuta (podatke o kreditnim karticama ne pohranjujemo)
- Komunikacijski podaci: obavijesti putem e-poste i SMS-a, push obavijesti, postavke obavijesti
- Tehnicki podaci: IP adresa, vrsta preglednika, informacije o uredaju, identifikatori kolacica
- Podaci iz obrazaca za prijem: odgovori na upitnike koje konfigurira salon (koji mogu sadrzavati zdravstvene podatke)
3. Svrha i pravna osnova obrade podataka
Za svaku svrhu obrade primjenjuju se sljedece pravne osnove:
- Upravljanje racunom i autentifikacija: izvrsenje ugovora (GDPR Art. 6(1)(b)) -- ime, e-posta, hash lozinke, profilna slika
- Upravljanje rezervacijama termina: izvrsenje ugovora (GDPR Art. 6(1)(b)) -- podaci o rezervaciji, usluga, vrijeme, zaposlenik
- Obrada placanja (Stripe): izvrsenje ugovora (GDPR Art. 6(1)(b)) -- ID transakcije, iznos, valuta
- Slanje obavijesti (e-posta, SMS, push): legitimni interes (GDPR Art. 6(1)(f)) za transakcijske obavijesti; privola (GDPR Art. 6(1)(a)) za marketinske obavijesti
- Fakturiranje i racunovodstvo: zakonska obveza (GDPR Art. 6(1)(c)) -- podaci za naplatu, transakcije
- Pracenje pogresaka i sigurnost sustava (Sentry): legitimni interes (GDPR Art. 6(1)(f)) -- tehnicki podaci, IP adresa, izvjesca o pogreskama
- Kolacici (analitika): privola (GDPR Art. 6(1)(a)) -- identifikatori kolacica, statistika koristenja
- Podaci iz obrazaca za prijem: privola (GDPR Art. 6(1)(a)); za zdravstvene podatke, izricita privola (GDPR Art. 9(2)(a))
4. Razdoblja pohrane podataka
Za svaku vrstu podataka primjenjuju se sljedeca razdoblja pohrane:
- Podaci o racunu (profil, postavke): cuvaju se do brisanja racuna, zatim se trajno brisu unutar 30 dana od zahtjeva za brisanje
- Podaci o rezervacijama: 2 godine od datuma rezervacije (za porezne i racunovodstvene svrhe), zatim anonimizacija
- Platne transakcije: 8 godina (u skladu s madarskim Zakonom o racunovodstvu (Zakon C iz 2000.))
- Zapisi SMS transakcija: 1 godina
- Revizijski zapisi: 90 dana
- Podaci o pogreskama Sentry: 90 dana
- Privola za kolacice: 1 godina
- Promjene postavki obavijesti (revizijski zapis privola): 3 godine
5. Podizvrsitelji obrade
Za rad Usluge koristimo sljedece podizvrsitelje obrade:
- Stripe (Stripe, Inc., San Francisco, USA) -- obrada placanja, upravljanje transakcijskim podacima
- Twilio (Twilio Inc., San Francisco, USA) -- dostava SMS obavijesti, obrada telefonskih brojeva
- Resend (Resend, Inc., San Francisco, USA) -- dostava obavijesti putem e-poste, obrada e-mail adresa
- Hetzner (Hetzner Online GmbH, Gunzenhausen, Njemacka) -- serverska infrastruktura, pohrana svih podataka platforme (Helsinki, EU)
- Cloudflare (Cloudflare, Inc., San Francisco, USA) -- upravljanje DNS-om, CDN, obrada IP adresa
- Sentry (Functional Software, Inc., San Francisco, USA) -- pracenje pogresaka, obrada tehnickih podataka
- Szamlazz.hu (KBOSS.hu Kft., Budapest, Madarska) -- fakturiranje, obrada podataka za naplatu
6. Medunarodni prijenosi podataka
Neki od nasih podizvrsitelja obrade (Stripe, Twilio, Resend, Sentry, Cloudflare) obraduju podatke u Sjedinjenim Americkim Drzavama. Ti pruzatelji su certificirani prema EU-US Data Privacy Framework (DPF), koji osigurava odgovarajucu zastitu osobnih podataka na temelju odluke Europske komisije o primjerenosti. Kada EU-US DPF nije primjenjiv, Standard Contractual Clauses (SCCs) sluze kao pravna osnova za prijenos. Hetzner i Szamlazz.hu obraduju podatke iskljucivo unutar Europske unije.
7. Prava ispitanika
Prema GDPR imate sljedeca prava: pravo pristupa (mozete zatraziti kopiju svojih podataka); pravo na ispravak (ispravak netocnih podataka); pravo na brisanje (mozete zatraziti brisanje svojih podataka); pravo na ogranicenje obrade; pravo na prenosivost podataka (mozete zatraziti svoje podatke u strojno citljivom formatu); pravo na prigovor (protiv obrade temeljene na legitimnom interesu). Za obradu temeljenu na privoli, privola se moze povuci u bilo kojem trenutku bez utjecaja na zakonitost obrade prije povlacenja. Za ostvarivanje svojih prava kontaktirajte nas na legal@bellora.net. Usluga ne koristi automatizirano donosenje odluka ili profiliranje.
8. Sigurnost podataka
Sigurnost podataka osiguravamo tehnickim i organizacijskim mjerama. Podaci se prenose putem sifriranih kanala i pohranjuju na sigurnim posluziteljima. Obradu placanja vrsi Stripe, pruzatelj platnih usluga s certifikatom PCI DSS Level 1 -- najvisim sigurnosnim standardom u industriji placanja. Bellora ne pohranjuje, ne obraduje niti ne prenosi podatke o kreditnim karticama. Podatke o karticama izravno obraduju sifrirani sustavi Stripe.
9. Nadzorno tijelo
Ako smatrate da obrada vasih osobnih podataka krsi odredbe GDPR, imate pravo podnijeti prituzbu nadzornom tijelu. U Madarskoj je nadlezno nadzorno tijelo: Nemzeti Adatvedelmi es Informacioszabadsag Hatosag (NAIH), adresa: 1055 Budapest, Falk Miksa utca 9-11., e-posta: ugyfelszolgalat@naih.hu, telefon: +36 1 391 1400, web stranica: www.naih.hu.