Politika privatnosti
Poslednje azuriranje: 2026.04.08.
1. Rukovalac podacima
Rukovalac podacima je Magenta Team Korlátolt Felelősségű Társaság (sediste: Petőfi Sándor utca 12/1., 2085 Pilisvörösvár, Madarska; maticni broj preduzeca: 13-09-226488; poreski identifikacioni broj: 26142366-2-13; zastupa ga: Adrian Olajos, direktor; e-posta: legal@bellora.net). Rukovalac podacima nema imenovanog Lice za zastitu podataka (DPO), jer njegove aktivnosti ne spadaju u obavezne slucajeve imenovanja prema GDPR 37. Za pitanja u vezi zastite podataka, Rukovalac je dostupan na legal@bellora.net.
2. Obim obradivanih podataka
Tokom koriscenja Usluge obradujemo sledece podatke:
- Licni podaci: ime, e-mail adresa, broj telefona, profilna slika
- Podaci o salonu: naziv salona, adresa, radno vreme, fotografije, opis
- Podaci o rezervacijama: termini, usluge, zaposleni, podaci o otkazivanju
- Podaci o placanjima: identifikatori transakcija Stripe, iznosi placanja, valuta (podatke o kreditnim karticama ne cuvamo)
- Komunikacioni podaci: obavestenja putem e-poste i SMS-a, push obavestenja, podesavanja obavestenja
- Tehnicki podaci: IP adresa, tip pregledaca, informacije o uredaju, identifikatori kolacica
- Podaci iz prijemnih formulara: odgovori na upitnike koje konfigurise salon (koji mogu sadrzati zdravstvene podatke)
3. Svrha i pravni osnov obrade podataka
Za svaku svrhu obrade primenjuju se sledeci pravni osnovi:
- Upravljanje nalogom i autentifikacija: izvrsenje ugovora (GDPR Art. 6(1)(b)) -- ime, e-posta, hes lozinke, profilna slika
- Upravljanje rezervacijama termina: izvrsenje ugovora (GDPR Art. 6(1)(b)) -- podaci o rezervaciji, usluga, vreme, zaposleni
- Obrada placanja (Stripe): izvrsenje ugovora (GDPR Art. 6(1)(b)) -- ID transakcije, iznos, valuta
- Slanje obavestenja (e-posta, SMS, push): legitimni interes (GDPR Art. 6(1)(f)) za transakciona obavestenja; saglasnost (GDPR Art. 6(1)(a)) za marketinska obavestenja
- Fakturisanje i racunovodstvo: zakonska obaveza (GDPR Art. 6(1)(c)) -- podaci za naplatu, transakcije
- Pracenje gresaka i bezbednost sistema (Sentry): legitimni interes (GDPR Art. 6(1)(f)) -- tehnicki podaci, IP adresa, izvestaji o greskama
- Kolacici (analitika): saglasnost (GDPR Art. 6(1)(a)) -- identifikatori kolacica, statistika koriscenja
- Podaci iz prijemnih formulara: saglasnost (GDPR Art. 6(1)(a)); za zdravstvene podatke, izricita saglasnost (GDPR Art. 9(2)(a))
4. Periodi cuvanja podataka
Za svaku vrstu podataka primenjuju se sledeci periodi cuvanja:
- Podaci o nalogu (profil, podesavanja): cuvaju se do brisanja naloga, zatim se trajno brisu u roku od 30 dana od zahteva za brisanje
- Podaci o rezervacijama: 2 godine od datuma rezervacije (za poreske i racunovodstvene svrhe), zatim anonimizacija
- Platne transakcije: 8 godina (u skladu sa madarskim Zakonom o racunovodstvu (Zakon C iz 2000.))
- Evidencije SMS transakcija: 1 godina
- Revizijske evidencije: 90 dana
- Podaci o greskama Sentry: 90 dana
- Saglasnost za kolacice: 1 godina
- Promene podesavanja obavestenja (revizijska evidencija saglasnosti): 3 godine
5. Podizvrsioci obrade
Za rad Usluge koristimo sledece podizversioce obrade:
- Stripe (Stripe, Inc., San Francisco, USA) -- obrada placanja, upravljanje transakcijskim podacima
- Twilio (Twilio Inc., San Francisco, USA) -- dostava SMS obavestenja, obrada telefonskih brojeva
- Resend (Resend, Inc., San Francisco, USA) -- dostava obavestenja putem e-poste, obrada e-mail adresa
- Hetzner (Hetzner Online GmbH, Gunzenhausen, Nemacka) -- serverska infrastruktura, cuvanje svih podataka platforme (Helsinki, EU)
- Cloudflare (Cloudflare, Inc., San Francisco, USA) -- upravljanje DNS-om, CDN, obrada IP adresa
- Sentry (Functional Software, Inc., San Francisco, USA) -- pracenje gresaka, obrada tehnickih podataka
- Szamlazz.hu (KBOSS.hu Kft., Budapest, Madarska) -- fakturisanje, obrada podataka za naplatu
6. Medunarodni prenosi podataka
Neki od nasih podizvrsilaca obrade (Stripe, Twilio, Resend, Sentry, Cloudflare) obraduju podatke u Sjedinjenim Americkim Drzavama. Ovi pruzaoci su sertifikovani prema EU-US Data Privacy Framework (DPF), koji obezbedjuje odgovarajucu zastitu licnih podataka na osnovu odluke Evropske komisije o adekvatnosti. Kada EU-US DPF nije primenljiv, Standard Contractual Clauses (SCCs) sluze kao pravni osnov za prenos. Hetzner i Szamlazz.hu obraduju podatke iskljucivo unutar Evropske unije.
7. Prava lica na koja se podaci odnose
Prema GDPR imate sledeca prava: pravo pristupa (mozete zatraziti kopiju svojih podataka); pravo na ispravku (ispravka netacnih podataka); pravo na brisanje (mozete zatraziti brisanje svojih podataka); pravo na ogranicenje obrade; pravo na prenosivost podataka (mozete zatraziti svoje podatke u masinskom formatu); pravo na prigovor (protiv obrade zasnovane na legitimnom interesu). Za obradu zasnovanu na saglasnosti, saglasnost se moze povuci u bilo kom trenutku bez uticaja na zakonitost obrade pre povlacenja. Za ostvarivanje svojih prava kontaktirajte nas na legal@bellora.net. Usluga ne koristi automatizovano donosenje odluka ili profilisanje.
8. Bezbednost podataka
Bezbednost podataka obezbedjujemo tehnickim i organizacionim merama. Podaci se prenose putem sifriranih kanala i cuvaju na bezbednim serverima. Obradu placanja vrsi Stripe, pruzalac platnih usluga sa sertifikatom PCI DSS Level 1 -- najvisim bezbednosnim standardom u industriji placanja. Bellora ne cuva, ne obraduje niti ne prenosi podatke o kreditnim karticama. Podatke o karticama direktno obraduju sifrirani sistemi Stripe.
9. Nadzorni organ
Ako smatrate da obrada vasih licnih podataka krsi odredbe GDPR, imate pravo da podnesete prituzbu nadzornom organu. U Madarskoj je nadlezni nadzorni organ: Nemzeti Adatvedelmi es Informacioszabadsag Hatosag (NAIH), adresa: 1055 Budapest, Falk Miksa utca 9-11., e-posta: ugyfelszolgalat@naih.hu, telefon: +36 1 391 1400, veb sajt: www.naih.hu.