Politika privatnosti

PoDi d.o.o. ("PoDi", "mi", "nas", "naš") upravlja PoDi platformom na domeni podi.hr. PoDi povezuje osobe koje traže auto dijelove s neovisnim dobavljačima auto dijelova. PoDi je u pravilu voditelj obrade za osobne podatke koje obrađujemo radi rada platforme, upravljanja računima, usmjeravanja upita, podrške, sigurnosti i naplate dobavljačkih pretplata.

Kada dobavljač samostalno koristi podatke kupca nakon prihvaćanja ponude, taj dobavljač odgovoran je za vlastitu obradu podataka, obavijesti o privatnosti, račune, jamstva i komunikaciju s kupcem.

2.1 Podaci kupaca i upita

• Kontakt podaci: email adresa, broj telefona, država ili regija kada ih navedete.
• Podaci o vozilu: marka, model, godište/generacija, varijanta, motor, gorivo, karoserija, boja, VIN ako ga unesete i fotografija VIN pločice ako je učitate.
• Podaci o upitu: opis traženog dijela, učitane fotografije vozila/dijela, broj za praćenje, sigurnosni token, povijest statusa, prihvaćene ponude i recenzije ako ih ostavite.
• Komunikacija: emailovi, odgovori, poruke podršci, poruke u ponudama i metapodaci aktivnosti. Sadržaj emailova proslijeđenih kroz platformu može se evidentirati radi dostave, podrške, sprječavanja zlouporabe i dokazivanja u slučaju spora.

2.2 Podaci dobavljača i poslovni podaci

• Podaci računa: naziv tvrtke/obrta, email, hash lozinke, telefon, adresa, OIB/PDV broj, verifikacija i status računa.
• Postavke dobavljača: podržane ili isključene marke vozila, email za obavijesti, komunikacijske postavke, aktivnost na nadzornoj ploči, povijest ponuda, status odgovora, ocjene i recenzije.
• Podaci naplate: Stripe customer ID, subscription ID, plan, obračunsko razdoblje, broj iskorištenih upita, korištenje promo koda, metapodaci računa/plaćanja, poveznice na račune i status plaćanja. Ne pohranjujemo puni broj kartice ni sigurnosni kod kartice.
• Dodatni poslovni podaci: naziv banke, IBAN, SWIFT i adresa kada ih koristite za PDF ponude ili postavke računa.

2.3 Tehnički i sigurnosni podaci

• Podaci uređaja i zapisi: IP adresa, preglednik i uređaj, URL, vremenske oznake, zapisi grešaka, podaci za ograničavanje učestalosti zahtjeva, autentifikacijski/sesijski podaci i sigurnosni događaji.
• Kolačići i lokalna pohrana: izbor jezika, izbor kolačića, autentifikacijsko stanje dobavljača/administratora i druga nužna pohrana opisana u Politici kolačića.
• Procjena lokacije: pri prvom posjetu možemo koristiti Cloudflare oznaku države ili poslužiteljski IP geolokacijski upit kako bismo predložili regionalni jezik. To se koristi za lokalizaciju, ne za precizno praćenje.

• Vi: kada pošaljete upit, registrirate se, učitate slike, pošaljete odgovor, ostavite recenziju, kontaktirate podršku ili mijenjate postavke.
• Drugi korisnici platforme: dobavljači mogu navesti podatke u ponudi vezanoj uz vaš upit; kupci mogu ostaviti recenzije dobavljača.
• Pružatelji usluga: Stripe, email pružatelji, hosting/pohrana, sigurnosni sustavi i lokalizacijska/geolokacijska infrastruktura mogu nam dostaviti metapodatke obrade.
• Automatsko prikupljanje: zapisi, kolačići, lokalna pohrana, zaglavlja zahtjeva i sigurnosni događaji nastaju korištenjem usluge.

• Pružanje usluge (ugovor/radnje prije ugovora): izrada i usmjeravanje upita, slanje ponuda, prikaz nadzornih ploča, autentifikacija, poveznice za praćenje, operativni emailovi i upravljanje pretplatama dobavljača.
• Sigurnost tržišta (legitimni interes): sprječavanje prijevara, spama, zlouporabe, neovlaštenog pristupa, duplih računa, lažnih recenzija, nezakonitih ponuda i sigurnosnih incidenata.
• Komunikacija (ugovor/legitimni interes): potvrde, obavijesti o upitima, obavijesti o ponudama, obavijesti o prihvaćanju ponude, zahtjevi za recenziju, servisne obavijesti i podrška.
• Naplata i evidencije (ugovor/pravna obveza): naplata dobavljačkih pretplata, računi, porezne i računovodstvene evidencije, neuspjela plaćanja, povrati gdje su primjenjivi i zakonske obveze.
• Poboljšanje bez oglašivačkog praćenja (legitimni interes): razumijevanje agregiranih performansi platforme, stope odgovora dobavljača, pokrivenosti upita, grešaka i korištenja funkcionalnosti iz operativnih podataka.
• Privola: neobavezne kolačiće ili marketing koristit ćemo samo kada imamo potrebnu privolu. Trenutačno ne koristimo oglašivačke kolačiće ni analitičke kolačiće trećih strana.
• Pravni zahtjevi i usklađenost (pravna obveza/legitimni interes): odgovor na zakonite zahtjeve, provedba uvjeta, čuvanje dokaza, obrana zahtjeva i zaštita prava i sigurnosti.

• Prije odgovora dobavljača: aktivni upareni dobavljači mogu dobiti podatke potrebne za procjenu dijela, uključujući podatke o vozilu, opis dijela, fotografije, VIN tekst/fotografiju ako su dani i telefon kupca kada je potreban za pojašnjenje.
• Kada se ponude prikazuju: kupci mogu vidjeti naziv dobavljača, poruku ponude, cijenu, dostupnost, procjenu isporuke, fotografije, ocjenu i status verifikacije.
• Nakon prihvaćanja ponude: relevantni kontakt podaci kupca i dobavljača mogu se podijeliti kako bi strane izravno dovršile plaćanje, isporuku, ugradnju, jamstvo, povrat ili spor.
• Stranice za praćenje: osoba koja ima broj za praćenje može vidjeti osnovne podatke upita i ponuda. Sigurnosni token kupca otključava radnje kupca i kontakt podatke. Poveznice za praćenje čuvajte privatnima.
• Recenzije: ocjene i komentari mogu se prikazati uz dobavljača. Ne unosite privatne osobne podatke u tekst javne recenzije.

• Stripe: dobavljačka pretplata, checkout, postavljanje načina plaćanja, računi, korisnički zapisi i status plaćanja.
• Resend: slanje transakcijskih i operativnih emailova.
• Mailgun: zaprimanje email odgovora koji se usmjeravaju preko platformskih reply-to adresa.
• Hosting, baza podataka i pohrana datoteka: hosting aplikacije, baza podataka, sigurnosne kopije, zapisi, učitane fotografije i isporuka učitanih datoteka.
• IP geolokacija/lokalizacija: prijedlog jezika na razini države kada Cloudflare zaglavlja nisu dostupna.
• Stručni savjetnici i tijela: računovođe, odvjetnici, sudovi, regulatorna tijela, policija, platne mreže i porezna tijela kada je to potrebno ili razumno.
• Poslovni prijenosi: pravni slijednik može dobiti relevantne podatke u slučaju spajanja, financiranja, reorganizacije, prodaje imovine ili slične transakcije, uz odgovarajuće mjere povjerljivosti i zakonske zaštite.

Nastojimo koristiti hosting i pohranu u EGP-u kada je to praktično. Neki pružatelji, uključujući pružatelje plaćanja, emaila, sigurnosti, podrške ili infrastrukture, mogu obrađivati podatke izvan EGP-a. Kada je potrebno, oslanjamo se na odluke o primjerenosti, standardne ugovorne klauzule, zaštitne mjere pružatelja i dodatne tehničke i organizacijske mjere.

• Upiti kupaca i ponude: čuvaju se dok je upit aktivan i nakon toga koliko je potrebno za praćenje, evidenciju prihvaćenih ponuda, sprječavanje prijevara, podršku, sporove, pravne zahtjeve i analitiku usluge.
• Učitane slike: čuvaju se dok su povezane s upitom ili ponudom. Platforma ima alat za čišćenje koji je namijenjen brisanju povezanih učitanih datoteka nakon isteka upita plus 90 dana, a nepovezanih učitanih datoteka nakon kratkog razdoblja, kada je zakazano čišćenje uključeno.
• Dobavljački računi: čuvaju se dok je račun aktivan. Registracije dobavljača koje ne dovrše Stripe postupak mogu se izbrisati nakon 7 dana ako je uključen posao čišćenja. Podaci zatvorenih računa mogu se čuvati kada su potrebni za pravne, naplatne, sigurnosne, sporne, backup ili računovodstvene razloge.
• Naplata i računovodstvo: čuva se koliko zahtijevaju primjenjivi porezni, računovodstveni, platni, antifraud i zakonski propisi.
• Email i zapisi aktivnosti: čuvaju se koliko je potrebno za dokaz dostave, podršku, sprječavanje zlouporabe, sporove i pravne zahtjeve.
• Sigurnosni zapisi i sigurnosne kopije: čuvaju se ograničeno razdoblje primjereno sigurnosti, kontinuitetu, otklanjanju grešaka i oporavku, osim ako je dulje čuvanje potrebno za istragu ili pravne razloge.
• Privole i pohrana u pregledniku: čuvaju se do isteka, odjave, brisanja pohrane u pregledniku ili promjene postavke, ovisno o stavci opisanoj u Politici kolačića.

• TLS/HTTPS za podatke u prijenosu.
• Hashiranje lozinki umjesto pohrane lozinki u čitljivom obliku.
• Autentifikacijski tokeni, rate limit, provjere izvora, potpisani webhookovi i kontrole pristupa za osjetljive rute.
• Validacija i provjere tipa datoteka kod učitavanja.
• Ograničen pristup produkcijskim sustavima i operativnim zapisima.
• Nadzor, sigurnosne kopije i odgovor na incidente primjereni riziku platforme.

Ovisno o zakonskim uvjetima i iznimkama, možete imati pravo:

• zatražiti pristup svojim osobnim podacima,
• zatražiti ispravak netočnih ili nepotpunih podataka,
• zatražiti brisanje podataka,
• zatražiti ograničenje obrade,
• uložiti prigovor na obradu temeljenu na legitimnom interesu ili izravnom marketingu,
• zatražiti prenosivost podataka gdje je primjenjivo,
• povući privolu kada se obrada temelji na privoli,
• podnijeti pritužbu nadzornom tijelu, uključujući Agenciju za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, Hrvatska, azop@azop.hr.

Za ostvarivanje prava javite se na privacy@podi.hr. Možemo trebati potvrditi vaš identitet i možemo odbiti ili ograničiti zahtjev kada je to propisano ili dopušteno zakonom, primjerice radi zaštite druge osobe, čuvanja dokaza, računovodstvenih obveza ili sprječavanja prijevara.

Platforma nije namijenjena osobama mlađima od 18 godina. Ne prikupljamo svjesno podatke djece. Ako smatrate da je dijete poslalo osobne podatke, kontaktirajte nas kako bismo ih pregledali i izbrisali gdje je primjereno.

Koristimo pravila za uparivanje upita s dobavljačima, primjerice prema marki vozila, preferencijama dobavljača, verifikaciji, statusu pretplate i postavkama obavijesti. To samo po sebi ne proizvodi pravne ili slično značajne učinke. Ne koristimo automatizirano odlučivanje za kreditnu sposobnost, osiguranje, zaposlenje ili prava iz javnih sustava.

Ovu Politiku privatnosti možemo ažurirati kada se promijene platforma, pružatelji usluga, pravni zahtjevi ili prakse obrade podataka. Bitne izmjene objavit ćemo na platformi i, gdje je primjereno, obavijestiti emailom ili obavijesti u proizvodu.