Politika privatnosti

Posljednja izmjena: 4. lipnja 2026.

1. Voditelj obrade

Voditelj obrade osobnih podataka u vezi s uslugom souvie.link trenutno je Lucian Tutunović, fizička osoba (operater), Gorenščak 1, 10000 Zagreb, Republika Hrvatska ("Voditelj obrade", "mi", "nas"). Cjeloviti podaci o pružatelju nalaze se na stranici Impressum.

Uslugu trenutno pruža fizička osoba, što je privremeno rješenje. Nakon osnivanja društva sljednika, ono postaje voditelj obrade za ovdje opisane podatke, o čemu ćete biti obaviješteni. Naš trgovac od značaja (Merchant of Record; vidjeti točku 3.) zaseban je, samostalni voditelj obrade za podatke o plaćanju koje obrađuje kao prodavatelj od značaja.

Kontakt za pitanja zaštite privatnosti: info@souvie.link. Nismo imenovali službenika za zaštitu podataka jer ne ispunjavamo kriterije iz čl. 37. GDPR-a; možete nam se izravno obratiti na gore navedenu adresu.

2. Koje podatke obrađujemo, u koju svrhu i na temelju koje pravne osnove

2.1 Podaci o računu

• Podaci: adresa e-pošte, postavka jezika (locale).
• Svrha: izrada i upravljanje vašim plaćenim souvie.linkom, prijava putem magic-linka, transakcijska e-pošta (računi, obavijesti o isteku).
• Pravna osnova: izvršenje ugovora (čl. 6. st. 1. t. (b) GDPR).
• Rok pohrane: za vrijeme valjanosti vašeg souvie.linka i 11 godina nakon toga radi računovodstvenih obveza (Opći porezni zakon).

2.2 Podaci o plaćanju

• Podaci: identifikatori narudžbe / sesije / naplate aktivnog pružatelja usluge plaćanja, iznos, valuta, status plaćanja, vrsta plaćanja, vremenske oznake. Ne primamo niti pohranjujemo vaše kartične ili bankovne podatke — njih obrađuje isključivo aktivni pružatelj usluge plaćanja.
• Aktivni pružatelj: PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A.).
• Svrha: obrada kupnje, izdavanje računa, usklađivanje povrata i prigovora.
• Pravna osnova: izvršenje ugovora (čl. 6. st. 1. t. (b)) i pravna obveza prema računovodstvenim i poreznim propisima (čl. 6. st. 1. t. (c)).
• Rok pohrane: 11 godina od završetka porezne godine (Opći porezni zakon).

2.3 Sadržaj souvie.linka

• Podaci: slug (kratki kod) i odredišni URL koji postavite, te vremenske oznake stvaranja, izmjene i isteka.
• Svrha: provođenje preusmjeravanja, omogućavanje izmjene odredišta, prikaz obavijesti o isteku.
• Pravna osnova: izvršenje ugovora (čl. 6. st. 1. t. (b)).
• Rok pohrane: zajamčeno za cijelo petogodišnje razdoblje valjanosti i 30 dana nakon isteka; slug se zatim trajno povlači i ne može se ponovno dodijeliti, a odredišni URL se briše.

2.4 Tokeni za prijavu (magic link)

• Podaci: hashirani jednokratni token vezan uz vaš račun, s vremenskim oznakama stvaranja i isteka.
• Svrha: osiguranje vaše prijave.
• Pravna osnova: izvršenje ugovora i legitimni interes sigurnosti računa (čl. 6. st. 1. t. (b) i (f)).
• Rok pohrane: tokeni automatski istječu; iskorišteni tokeni čuvaju se najdulje 30 dana radi revizije, zatim se brišu.

2.5 Tehnički podaci (zapisi poslužitelja, geolokacija)

• Podaci: IP adresa (koristi se u trenutku zahtjeva za određivanje države putem zaglavlja CF-IPCountry ili lokalnog MaxMind GeoLite2 servisa, radi predodređivanja jezika sučelja), HTTP zaglavlja i standardni metapodaci zahtjeva. Pristupni zapisi web-poslužitelja mogu sadržavati IP adresu, vremensku oznaku, putanju zahtjeva i user-agent.
• Svrha: posluživanje tražene stranice na ispravnom jeziku, sprječavanje zloporabe, otklanjanje pogrešaka i reagiranje na sigurnosne incidente.
• Pravna osnova: legitimni interes rada sigurne usluge (čl. 6. st. 1. t. (f)).
• Rok pohrane: sirovi pristupni zapisi čuvaju se najdulje 30 dana. IP adrese korištene za geolokaciju obrađuju se u trenutku zahtjeva i ne pohranjuju se uz vaš račun.

2.6 Besplatni generator QR koda

Besplatni generator QR koda u potpunosti se izvršava u vašem pregledniku. URL koji u njega zalijepite nikada se ne šalje na naše poslužitelje niti se pohranjuje. Mi mu nemamo pristup.

3. Primatelji (izvršitelji obrade i treće strane)

Osobne podatke dijelimo samo sa sljedećim primateljima i samo u opsegu nužnom za pružanje Usluge:

• Naš trgovac od značaja (Merchant of Record) — neovisno treće društvo za obradu plaćanja koje je prodavatelj od značaja: obrađuje vaše plaćanje, izdaje račun i uplaćuje eventualni PDV. Djeluje kao samostalni voditelj obrade za tu obradu prema vlastitoj politici privatnosti koja je povezana na blagajni. (Konkretni pružatelj se finalizira; ova će ga stranica imenovati po pokretanju.)
• Sendinblue SAS (Brevo) — dostava transakcijske e-pošte (magic linkovi, računi, obavijesti o isteku). Izvršitelj obrade; podatkovni centri u EU. Vidjeti brevo.com/legal/privacypolicy.
• Google LLC / Google Ireland Ltd. — samo ako odaberete korištenje integracije s Google Photos na stranici Izrada (vidjeti §6 niže).
• plus.hr — pružatelj hostinga za aplikaciju i bazu podataka (podatkovni centar u EU).
• Cloudflare, Inc. — CDN i zaštita od DDoS napada ispred stranice; obrađuje metapodatke veze u prijenosu.
• Državna tijela — kada smo dužni otkriti podatke prema hrvatskom ili pravu EU (npr. sudski nalozi, porezni nadzor).

Ne prodajemo vaše osobne podatke. Ne koristimo vaše podatke za oglašavanje, profiliranje niti ciljani marketing.

4. Međunarodni prijenosi

Naš trgovac od značaja, Google i Cloudflare mogu prenositi podatke u Sjedinjene Američke Države. Takvi prijenosi obuhvaćeni su odlukom o primjerenosti EU-SAD Okvira za zaštitu podataka (Data Privacy Framework), gdje je primatelj certificiran, i/ili Standardnim ugovornim klauzulama Europske komisije (modul 2 ili 3). Primjerke odgovarajućih jamstava za prijenos možete zatražiti na info@souvie.link.

5. Vaša prava prema GDPR-u

Kao ispitanik imate pravo na:

• pristup svojim osobnim podacima (čl. 15.);
• ispravak netočnih podataka (čl. 16.);
• brisanje ("pravo na zaborav") (čl. 17.), uz uvažavanje zakonskih obveza čuvanja;
• ograničenje obrade (čl. 18.);
• prenosivost podataka (čl. 20.);
• prigovor na obradu temeljenu na legitimnom interesu (čl. 21.);
• povlačenje privole u svako doba, kada se obrada temelji na privoli (čl. 7. st. 3.);
• podnošenje pritužbe nadzornom tijelu — u Hrvatskoj Agenciji za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, azop.hr.

Za ostvarivanje bilo kojeg od ovih prava obratite se na info@souvie.link. Odgovorit ćemo u roku od mjesec dana, koji se može produljiti za dodatna dva mjeseca za složene zahtjeve (čl. 12. st. 3. GDPR).

6. Integracija s Google Photos

Stranica Izrada nudi neobvezni tok koji u vašoj Google Photos biblioteci stvara prazan zajednički album, koji potom možete podijeliti s gostima i koristiti kao odredište souvie.linka. Ova integracija koristi Google OAuth 2.0 s opsegom photoslibrary.appendonly i prvenstveno se izvršava u vašem pregledniku.

6.1 Kojim podacima pristupamo

• Vašem identifikatoru Google računa i OAuth pristupnom tokenu izdanom za sesiju — oboje se zadržava samo u vašem pregledniku.
• Identifikatoru praznog albuma koji u vaše ime stvorimo, kojeg vraća Google API.
• URL-u za dijeljenje tog albuma, koji kopirate i zalijepite natrag u obrazac Izrada kako bi souvie.link mogao preusmjeravati na njega.

6.2 Kojim podacima ne pristupamo

• Ne čitamo, ne navodimo, ne preuzimamo, ne kopiramo niti prenosimo ijednu vašu postojeću fotografiju ili video.
• Ne pristupamo vašim drugim albumima, kontaktima niti ijednoj drugoj Google usluzi osim albuma kojeg smo stvorili.
• Opseg photoslibrary.appendonly po svom ustroju ne omogućuje čitanje postojećih medijskih sadržaja.

6.3 Što pohranjujemo

Na našim poslužiteljima pohranjujemo isključivo URL za dijeljenje koji zalijepite, kao odredišni URL vašeg souvie.linka (vidjeti §2.3 iznad). Vaš Google pristupni ili refresh token ne pohranjujemo na našim poslužiteljima.

6.4 Izjava o ograničenoj uporabi (Limited Use)

Korištenje i prijenos podataka primljenih iz Google API-ja od strane usluge souvie.link u bilo koju drugu aplikaciju pridržavat će se Google API Services User Data Policy, uključujući zahtjeve Limited Use.

Podaci primljeni putem Google API-ja koriste se isključivo za pružanje funkcionalnosti koju ste zatražili (stvaranje praznog zajedničkog albuma), ne prenose se trećim stranama osim kada je to nužno za pružanje te funkcionalnosti u skladu s User Data Policy, ne koriste se za oglašavanje, niti ih čitaju ljudi, osim u slučajevima izričito dopuštenima User Data Policy (npr. uz vašu izričitu privolu ili u svrhu sigurnosnih istraga).

6.5 Opoziv pristupa

Dani pristup možete u bilo kojem trenutku opozvati iz svog Google računa: posjetite myaccount.google.com/permissions, pronađite "souvie.link" i kliknite "Ukloni pristup". Opoziv pristupa ne utječe na već stvoreni album niti na souvie.link koji pokazuje na njega.

7. Djeca

Usluga nije namijenjena djeci mlađoj od 16 godina. Svjesno ne obrađujemo osobne podatke djece mlađe od 16 godina. Ako smatrate da raspolažemo takvim podacima, obratite nam se i obrisat ćemo ih.

8. Sigurnost

Primjenjujemo odgovarajuće tehničke i organizacijske mjere (čl. 32. GDPR), uključujući TLS šifrirani prijenos svih zahtjeva, hashirane autentifikacijske tokene, načelo najmanjih ovlasti za opsege trećih API-ja te razdvojeni produkcijski pristup. Niti jedan sustav nije savršeno siguran; u slučaju povrede osobnih podataka koja vjerojatno predstavlja visok rizik za vaša prava, obavijestit ćemo vas sukladno čl. 34. GDPR.

9. Kolačići i lokalna pohrana

Vidjeti zasebna Pravila o kolačićima.

10. Izmjene ove Politike

Ovu Politiku privatnosti možemo povremeno mijenjati. O bitnim izmjenama registrirani korisnici bit će obaviješteni e-poštom najmanje 30 dana prije njihova stupanja na snagu. Datum "Posljednja izmjena" na vrhu stranice označava najnoviju verziju.