Prijavi se

Politika privatnosti

Datum stupanja na snagu: 13. ožujka 2026.

Verzija: 2.0.0

NACRT — Ovaj dokument je radna verzija i preporučuje se pravna revizija prije primjene u produkciji.

Ova Politika privatnosti opisuje kako prikupljamo, koristimo, pohranjujemo i štitimo vaše osobne podatke kada koristite platformu Collie (https://collie.hr) — digitalnu tržišnu platformu koja povezuje pružatelje usluga s korisnicima u Republici Hrvatskoj. Politika je sastavljena u skladu s Općom uredbom o zaštiti podataka (GDPR), Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) i Zakonom o elektroničkim komunikacijama (ZEK).

1. Voditelj obrade

Voditelj obrade vaših osobnih podataka je sljedeći pravni subjekt:

  • Puni naziv: EONIdeas jednostavno društvo s ograničenom odgovornošću za računalne djelatnosti
  • Skraćeni naziv: EONIdeas j.d.o.o.
  • OIB: 87607117119
  • EUID: HRSR.070135217
  • Registracija: Trgovački sud u Zagrebu
  • Sjedište: [TODO: navesti adresu sjedišta]
  • Email: info@collie.hr
  • Telefon: [TODO: navesti telefonski broj]
  • Email za privatnost: privatnost@collie.hr

EONIdeas j.d.o.o. nije imenovao službenika za zaštitu podataka (DPO) jer obrada podataka na platformi trenutno ne zahtijeva imenovanje DPO-a sukladno čl. 37 GDPR-a (nema opsežnog sustavnog praćenja niti opsežne obrade posebnih kategorija podataka). Za sva pitanja vezana uz zaštitu osobnih podataka obratite se na: privatnost@collie.hr.

2. Koje osobne podatke prikupljamo i zašto

Prikupljamo različite kategorije osobnih podataka ovisno o vašoj ulozi na platformi. Za svaku kategoriju navodimo svrhu obrade i pravni temelj sukladno čl. 6(1) GDPR-a.

2.1. Kupci (korisnici)

  • Ime i prezime — čl. 6(1)(b) izvršenje ugovora — kreiranje korisničkog računa, identifikacija strana u narudžbama
  • Email adresa — čl. 6(1)(b) izvršenje ugovora — autentifikacija, obavijesti o narudžbama, transakcijski email
  • Firebase UID i vrsta autentifikacije — čl. 6(1)(b) izvršenje ugovora — sigurna prijava, povezivanje identiteta
  • Datum rođenja — čl. 6(1)(a) privola — NEOBVEZNO — personalizacija profila, provjera dobi
  • Spol — čl. 6(1)(a) privola — NEOBVEZNO
  • Fotografija profila — čl. 6(1)(a) privola — NEOBVEZNO — prikaz identiteta, povjerenje na platformi
  • Podaci o narudžbama (usluga, datum, cijena, napomene) — čl. 6(1)(b) izvršenje ugovora — izvršenje narudžbe, evidencija plaćanja
  • Recenzije i ocjene — čl. 6(1)(b) izvršenje ugovora — kvaliteta platforme, informiranje drugih korisnika
  • Poruke u narudžbama — čl. 6(1)(b) izvršenje ugovora — komunikacija između strana
  • Zapisi o pravnom prihvatu (verzija uvjeta, verzija politike privatnosti, vremenski žig) — čl. 6(1)(c) zakonska obveza — dokaz sukladnosti

Neobvezna polja (datum rođenja, spol, fotografija profila) možete ostaviti prazna bez ikakvih posljedica za korištenje platforme. Ako ih ispunite, možete ih u svakom trenutku obrisati u postavkama profila.

2.2. Pružatelji usluga

Osim svih podataka navedenih u odjeljku 2.1., za pružatelje usluga prikupljamo i sljedeće:

  • Naziv tvrtke — čl. 6(1)(b) izvršenje ugovora — provjera identiteta, prikaz na platformi
  • OIB — čl. 6(1)(b) izvršenje ugovora + čl. 6(1)(c) zakonska obveza — provjera identiteta, porezna usklađenost
  • IBAN — čl. 6(1)(b) izvršenje ugovora — obrada uplata za pružene usluge
  • Broj mobilnog telefona — čl. 6(1)(b) izvršenje ugovora — koordinacija usluga, obavijesti
  • Opis djelatnosti — čl. 6(1)(b) izvršenje ugovora — oglas na platformi
  • Adresa (županija, grad, ulica, kućni broj) — čl. 6(1)(b) izvršenje ugovora — područje usluge, geografsko pretraživanje, fakturiranje
  • Slike profila, galerije i usluga — čl. 6(1)(a) privola + čl. 6(1)(b) izvršenje ugovora — prikaz na platformi
  • Oglasi usluga (naziv, opis, cijena, kategorije) — čl. 6(1)(b) izvršenje ugovora — pronalaženje i naručivanje usluga

OIB i IBAN prikupljaju se isključivo od pružatelja usluga, a ne od kupaca. Nepružanje obveznih podataka može rezultirati nemogućnošću korištenja određenih funkcionalnosti platforme (npr. bez OIB-a pružatelj ne može objaviti uslugu).

3. Pravni temelji za obradu

Vaše osobne podatke obrađujemo na temelju sljedećih pravnih osnova iz čl. 6(1) GDPR-a:

  • Izvršenje ugovora — čl. 6(1)(b): Obrađujemo podatke koji su nužni za pružanje usluga platforme — kreiranje računa, obrada narudžbi, komunikacija između strana, prikaz usluga na platformi.
  • Zakonska obveza — čl. 6(1)(c): Obrađujemo i čuvamo podatke kada je to zahtijevano zakonom — porezna i računovodstvena evidencija (Zakon o računovodstvu, Opći porezni zakon), dokaz prihvata pravnih dokumenata.
  • Privola — čl. 6(1)(a): Za neobavezne osobne podatke (datum rođenja, spol, fotografija profila) i funkcionalne kolačiće. Privolu možete povući u svakom trenutku bez posljedica za korištenje platforme.
  • Legitimni interes — čl. 6(1)(f): Koristimo legitimni interes za pohranu postavke bočne trake korisničkog sučelja (kolačić sidebar_state). Naš legitimni interes je pružanje udobnijeg korisničkog iskustva pamćenjem stanja navigacije. Ovo je uravnoteženo s minimalnim utjecajem na privatnost korisnika jer kolačić ne sadrži osobne podatke i ne dijeli se s trećim stranama.

4. Primatelji osobnih podataka

Vaše osobne podatke ne prodajemo. Podatke dijelimo sa sljedećim primateljima:

4.1. Interni primatelji

Osoblje platforme s pristupom ograničenim na opseg potreban za obavljanje radnih zadataka (princip najmanjih ovlasti).

4.2. Vanjski izvršitelji obrade (procesori)

Koristimo sljedeće vanjske pružatelje usluga za obradu vaših podataka:

Pružatelj uslugeSvrhaPodaciZemljaZaštitna mjera
Google Ireland Ltd (Firebase Authentication)Autentifikacija korisnikaEmail, lozinka, OAuth tokeni, UID, IP adresaSADDPF + SCC
Google Ireland Ltd (Firebase Firestore)Pohrana korisničkih podatakaUID, ime, email, vrsta autentifikacijeEUCDPA + DPF + SCC (rezerva)
Google Ireland Ltd (Google Cloud Storage)Pohrana medijskih datotekaSlike profila, usluga, galerijaEUCDPA + DPF + SCC (rezerva)
Google Ireland Ltd (Google App Engine)Hosting aplikacijeSvi API zahtjevi s osobnim podacimaEUCDPA + DPF + SCC (rezerva)
Twilio Inc. (SendGrid)Transakcijski emailEmail adrese, imena, podaci narudžbiSADSCC + DPF

Svaki procesor obrađuje podatke temeljem ugovora o obradi podataka (DPA) sukladno čl. 28 GDPR-a. Popisi podizvršitelja dostupni su na: Firebase podizvršitelji, Google Cloud podizvršitelji, Twilio/SendGrid podizvršitelji.

4.3. Druge strane

  • Druga ugovorna strana: Prilikom narudžbe, kupac prima kontaktne podatke pružatelja usluge radi izvršenja usluge, a pružatelj prima podatke o narudžbi kupca.
  • Porezna uprava: Kada je to zakonski obvezno, podaci se prosljeđuju nadležnim tijelima.

5. Međunarodni prijenosi podataka

Neki od naših izvršitelja obrade obrađuju podatke izvan Europskog gospodarskog prostora (EGP). U takvim slučajevima primjenjujemo odgovarajuće zaštitne mjere sukladno čl. 44–49 GDPR-a:

  • Firebase Authentication (Google LLC): Podaci autentifikacije obrađuju se isključivo u Sjedinjenim Američkim Državama. Zaštitne mjere: EU-SAD Okvir za zaštitu privatnosti podataka (DPF) i Standardne ugovorne klauzule (SCC).
  • SendGrid (Twilio Inc.): Email podaci obrađuju se u SAD-u. Zaštitne mjere: Standardne ugovorne klauzule (SCC) kao primarni mehanizam (Twilio BCR-ovi izričito isključuju SendGrid) uz DPF certifikaciju Twilio Inc.
  • Google Cloud (Firestore, Cloud Storage, App Engine): Podaci se pohranjuju u EU podatkovnim centrima. Google Ireland Ltd je ugovorna strana. Za svaki incidentalni prijenos primjenjuju se DPF + SCC kao rezervna zaštita.

DPF certifikaciju možete provjeriti na: dataprivacyframework.gov. Relevantni ugovori o obradi podataka dostupni su na: Firebase DPA, Google Cloud CDPA, Twilio DPA.

6. Kolačići i pohrana podataka na uređaju

Sukladno Zakonu o elektroničkim komunikacijama (ZEK čl. 107) koji implementira čl. 5(3) ePrivacy Direktive, ovdje navodimo sve mehanizme pohrane podataka na vašem uređaju:

NazivVrstaSvrhaTrajanjeKategorijaPrivola potrebna?
collie_consentKolačićPohrana vaše odluke o kolačićima1 godinaNužni (meta-pristanak)Ne
sidebar_stateKolačićPamćenje stanja bočne trake navigacije7 danaFunkcionalniDa
firebase:authUser:*localStorageFirebase autentifikacija — čuvanje stanja prijaveSesija / trajnoStrogo nužniNe
collie_filterssessionStoragePrivremena pohrana filtera pretraživanjaSamo sesijaFunkcionalni (sesija)Ne

Platforma trenutno ne koristi analitičke, oglašivačke niti kolačiće za praćenje.

Svoje postavke kolačića možete promijeniti u bilo kojem trenutku putem poveznice "Postavke kolačića" u podnožju stranice. Također možete obrisati kolačiće putem postavki preglednika.

7. Pohrana i brisanje podataka

Osobne podatke čuvamo samo onoliko dugo koliko je potrebno za svrhe za koje su prikupljeni ili koliko zahtijeva zakon. Rokovi čuvanja po kategorijama:

Kategorija podatakaRok čuvanjaPravni temelj
Aktivni korisnički račun (ime, email, profil)Trajanje računaČl. 6(1)(b) ugovor
Narudžbe s financijskim iznosima11 godina od kraja fiskalne godineČl. 6(1)(c) Zakon o računovodstvu
OIB (samo pružatelji)11 godina od kraja fiskalne godineČl. 6(1)(c) porezno zakonodavstvo
IBAN (samo pružatelji)11 godina od kraja fiskalne godineČl. 6(1)(c) računovodstvo
Poruke u narudžbama2 godine nakon završetka narudžbeČl. 6(1)(f) rješavanje sporova
Recenzije i ocjeneTrajanje računa; anonimizirano nakon brisanjaČl. 6(1)(b) ugovor
Fotografije profila i medijiDo brisanja od strane korisnikaČl. 6(1)(a) privola
Zapisi o pravnom prihvatu11 godinaČl. 6(1)(c) dokaz sukladnosti
Firebase Auth zapisiTrajanje računa + do 30 danaČl. 6(1)(b) ugovor
Kolačić sidebar_state7 danaČl. 6(1)(f) legitimni interes
Pohrana sesije (filteri pretraživanja)Samo sesijaČl. 6(1)(f) legitimni interes
Podaci obrisanog računa (nefinancijski)Trajno brisanje unutar 30 danaČl. 17 pravo na brisanje

Što se događa nakon brisanja računa: Nakon brisanja korisničkog računa, vaši osobni podaci koji se ne moraju čuvati radi zakonskih obveza bit će trajno obrisani u roku od 30 dana. Podaci koji su zakonski obvezni (npr. podaci o narudžbama i plaćanjima) čuvat će se 11 godina sukladno računovodstvenom i poreznom zakonodavstvu Republike Hrvatske, a pristup tim podacima bit će strogo ograničen.

8. Djeca

Naša platforma nije namijenjena osobama mlađim od 16 godina sukladno čl. 19 Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018).

Ako saznamo da je dijete mlađe od 16 godina otvorilo račun bez roditeljskog pristanka, odmah ćemo ukloniti osobne podatke tog korisnika.

9. Vaša prava

Sukladno GDPR-u (čl. 15–22) imate sljedeća prava u vezi svojih osobnih podataka. Sva prava možete ostvariti slanjem zahtjeva na privatnost@collie.hr.

9.1. Pravo na pristup (čl. 15)

Imate pravo zatražiti kopiju svih osobnih podataka koje o vama obrađujemo. Odgovaramo u roku od 1 mjeseca. Prva kopija je besplatna; za dodatne kopije može se naplatiti razumna naknada. Identitet provjeravamo putem vaše postojeće autentifikacije na platformi.

9.2. Pravo na ispravak (čl. 16)

Imate pravo ispraviti netočne ili nepotpune podatke. Većinu podataka možete sami ispraviti u postavkama profila. Za podatke koje ne možete sami mijenjati (npr. OIB, podaci o narudžbama), obratite se na privatnost@collie.hr.

9.3. Pravo na brisanje (čl. 17)

Imate pravo zatražiti brisanje svojih osobnih podataka. Napominjemo da se ovo pravo ne primjenjuje na podatke koje smo zakonski obvezni čuvati — financijski podaci (narudžbe, OIB, IBAN) čuvaju se 11 godina sukladno računovodstvenom i poreznom zakonodavstvu. Nefinancijski osobni podaci brišu se trajno u roku od 30 dana od zahtjeva.

9.4. Pravo na ograničenje obrade (čl. 18)

Možete zatražiti ograničenje obrade vaših podataka u sljedećim okolnostima:

  • Osporavate točnost podataka (tijekom provjere)
  • Obrada je nezakonita, ali ne želite brisanje podataka
  • Više ne trebamo vaše podatke, ali vi ih trebate za pravne zahtjeve
  • Uložili ste prigovor na obradu (dok se ne utvrdi prevladavaju li naši razlozi)

9.5. Pravo na prenosivost podataka (čl. 20)

Imate pravo primiti svoje osobne podatke u strukturiranom, strojno čitljivom formatu (JSON). Ovo se pravo odnosi na podatke obrađene na temelju privole ili ugovora — profil, narudžbe, recenzije. Ne odnosi se na podatke obrađene na temelju zakonske obveze (OIB, IBAN).

9.6. Pravo na prigovor (čl. 21)

Imate pravo uložiti prigovor na obradu podataka koja se temelji na legitimnom interesu. Ako se vaši podaci koriste za izravni marketing, imate apsolutno pravo na prigovor — link za odjavu nalazi se u svakom marketinškom emailu.

9.7. Pravo na povlačenje privole (čl. 7(3))

Za obradu koja se temelji na privoli (neobvezna polja profila, fotografije, funkcionalni kolačići), možete privolu povući u svakom trenutku. Povlačenje je jednako jednostavno kao i davanje privole — obrišite neobvezna polja u postavkama profila ili promijenite postavke kolačića. Povlačenje privole ne utječe na zakonitost obrade prije povlačenja.

9.8. Automatizirano donošenje odluka (čl. 22)

Platforma ne donosi odluke koje se temelje isključivo na automatiziranoj obradi, uključujući profiliranje, a koje bi imale pravne učinke ili slično značajno utjecale na vas. Ocjene i rangiranja temelje se na ocjenama koje korisnici sami daju, a ne na algoritamskom profiliranju.

9.9. Rok za odgovor

Na sve zahtjeve vezane uz vaša prava odgovaramo u roku od 1 mjeseca. U slučaju složenih ili brojnih zahtjeva, rok se može produžiti za dodatna 2 mjeseca uz prethodnu obavijest.

10. Pravo na pritužbu nadzornom tijelu

Ako smatrate da obrada vaših osobnih podataka krši GDPR, imate pravo podnijeti pritužbu nadzornom tijelu:

Agencija za zaštitu osobnih podataka (AZOP)

Selska cesta 136, 10 000 Zagreb

Tel: +385 (0)1 4609-000

E-mail: azop@azop.hr

Web: https://azop.hr

Pravo na pritužbu ne isključuje pravo na sudsku zaštitu ili druga pravna sredstva.

11. Sigurnost podataka

Poduzimamo odgovarajuće tehničke i organizacijske mjere za zaštitu vaših osobnih podataka sukladno čl. 32 GDPR-a:

  • Enkripcija u pohrani: Osjetljivi podaci (posebno OIB i IBAN) pohranjeni su s enkripcijom
  • Enkripcija u prijenosu: Sva komunikacija koristi HTTPS protokol
  • Kontrola pristupa: Pristup osobnim podacima ograničen je na ovlašteno osoblje s poslovnom potrebom
  • Autentifikacija: Korištenje sigurnih mehanizama autentifikacije (Firebase Authentication)

U slučaju povrede osobnih podataka koja može rezultirati rizikom za vaša prava i slobode, obavijestit ćemo AZOP u roku od 72 sata sukladno čl. 33 GDPR-a. Ako povreda može rezultirati visokim rizikom, obavijestit ćemo i vas izravno sukladno čl. 34 GDPR-a.

12. Izmjene politike privatnosti

  • O svakoj izmjeni ove Politike privatnosti bit ćete obaviješteni putem emaila sukladno čl. 14(5) Akta o digitalnim uslugama (DSA).
  • Svaka verzija Politike privatnosti označena je brojem verzije i datumom stupanja na snagu.
  • Verzija Politike privatnosti koju ste prihvatili bilježi se u vašem korisničkom računu zajedno s vremenskim žigom prihvata.

13. Kontakt

Za sva pitanja vezana uz zaštitu vaših osobnih podataka, obratite nam se:

EONIdeas j.d.o.o.
[TODO: navesti adresu sjedišta]
Email za privatnost: privatnost@collie.hr
Email (opći): info@collie.hr
Telefon: [TODO: navesti telefonski broj]
Web: https://collie.hr

Na zahtjeve vezane uz zaštitu osobnih podataka odgovaramo u roku od 1 mjeseca.