Politika privatnosti

Posljednje ažuriranje: 28. travnja 2026.

1. Uvod

Ova Politika privatnosti objašnjava kako trgovačko društvo Rubycode d.o.o. obrađuje osobne podatke u sklopu pružanja web aplikacije Reservista za upravljanje rezervacijama u ugostiteljstvu. Politika se primjenjuje na sve posjetitelje stranice reservista.app, korisnike Reserviste (ugostiteljske objekte) i goste tih objekata čiji se podaci unose u sustav. Pristupanjem Reservisti potvrđujete da ste upoznati s ovom Politikom.

2. Voditelj obrade osobnih podataka

Voditelj obrade osobnih podataka u smislu Opće uredbe o zaštiti podataka (GDPR) jest:

• Rubycode d.o.o.
• Jukićeva 6, 10000 Zagreb, Republika Hrvatska
• OIB: 34979704560
• Kontakt za zaštitu podataka: info@reservista.app
• Telefon: +385 99 351 3642

S obzirom na opseg obrade, Rubycode d.o.o. nije obvezan imenovati službenika za zaštitu podataka (DPO). Sva pitanja vezana uz privatnost obrađuje navedena kontakt adresa.

3. Naša dvostruka uloga: voditelj obrade i izvršitelj obrade

Reservista u svom poslovanju ima dvije različite uloge prema GDPR-u, ovisno o tome čiji se podaci obrađuju:

• Voditelj obrade (Controller) – Za podatke o korisnicima Reserviste (zaposlenicima i upraviteljima ugostiteljskih objekata), te za posjetitelje stranice reservista.app, mi sami određujemo svrhe i sredstva obrade.
• Izvršitelj obrade (Processor) – Za podatke o gostima koje korisnici Reserviste unose u sustav (imena, kontakti, posebni zahtjevi gostiju), voditelj obrade je sam ugostiteljski objekt. Mi obrađujemo te podatke isključivo prema njihovim uputama, na temelju Ugovora o obradi osobnih podataka (DPA), u svrhu pružanja Usluge.

Posebni Ugovor o obradi osobnih podataka (DPA) iz članka 28. GDPR-a sklapa se s ugostiteljskim objektima na zahtjev i čini sastavni dio našeg ugovornog odnosa s njima.

4. Koje osobne podatke prikupljamo

Prikupljamo različite kategorije podataka, ovisno o tome koju ulogu imate u odnosu prema Reservisti:

Podaci o korisnicima (zaposlenici i upravitelji ugostiteljskih objekata)

• ime i prezime, e-mail adresa, telefonski broj;
• naziv ugostiteljskog objekta, OIB, adresa;
• korisničko ime, lozinka (pohranjena u kriptografski sigurnom obliku);
• uloga unutar tima (npr. upravitelj, konobar);
• tehnički podaci o korištenju (IP adresa, vrsta preglednika, datum i vrijeme prijave) — radi sigurnosti i otkrivanja zlouporabe.

Podaci o gostima (unose ugostiteljski objekti)

• ime i prezime, telefonski broj, e-mail adresa;
• podaci o rezervaciji: datum, vrijeme, broj osoba, stol, posebni zahtjevi;
• povijest rezervacija u istom objektu, ocjene i komentari koje je gost ostavio kroz Reservistu, ako ih ostavi;
• podaci o no-show, otkazima i depozitima, ako ih objekt vodi.

Podaci o posjetiteljima stranice reservista.app

• podaci uneseni u kontakt obrazac (ime, e-mail, naziv restorana, poruka);
• minimalni tehnički podaci potrebni za rad stranice (IP adresa, vrsta preglednika).

Podaci o plaćanju

• fakturni podaci (naziv tvrtke, OIB, adresa) — pohranjuju se kod nas zbog zakonskih obveza;
• podaci o samom plaćanju (broj kartice, CVC) ne pohranjuju se kod nas — obrađuje ih izravno naš pružatelj plaćanja koji je certificiran prema PCI DSS standardu.

5. Svrhe obrade i pravne osnove

Osobne podatke obrađujemo isključivo u svrhe navedene u nastavku, svaka s odgovarajućom pravnom osnovom prema članku 6. GDPR-a:

• Pružanje Usluge (rad sustava, slanje potvrda i podsjetnika rezervacija, omogućavanje prijave) — pravna osnova: izvršenje ugovora (čl. 6. st. 1. t. b GDPR-a).
• Naplata, fakturiranje i porezne obveze — pravna osnova: ispunjenje zakonske obveze (čl. 6. st. 1. t. c GDPR-a) prema Zakonu o porezu na dodanu vrijednost i Zakonu o računovodstvu.
• Sigurnost sustava i sprječavanje zlouporabe (logovi prijava, otkrivanje sumnjivih aktivnosti) — pravna osnova: legitimni interes (čl. 6. st. 1. t. f GDPR-a) zaštite naše Usluge i naših Korisnika.
• Komunikacija s Korisnikom o stanju Računa, ažuriranjima Usluge i sigurnosnim obavijestima — pravna osnova: izvršenje ugovora (čl. 6. st. 1. t. b GDPR-a).
• Marketinška komunikacija prema Korisnicima (newsletter, novosti o značajkama) — pravna osnova: privola (čl. 6. st. 1. t. a GDPR-a) ili legitimni interes (čl. 6. st. 1. t. f); privolu možete povući u bilo kojem trenutku.
• Obrada podataka o gostima u ime ugostiteljskog objekta (rezervacije, podsjetnici, kampanje, prikupljanje povratnih informacija) — pravnu osnovu određuje sam objekt kao voditelj obrade; mi smo izvršitelj obrade.
• Odgovaranje na upite poslane putem kontakt obrasca — pravna osnova: legitimni interes odgovora na zatražene informacije.

6. Primatelji podataka i podizvođači obrade

Vaše osobne podatke ne prodajemo trećim stranama. Pri pružanju Usluge oslanjamo se na pažljivo odabrane podizvođače obrade (eng. subprocessors) koji obrađuju podatke u naše ime, na temelju ugovora koji uključuju standardne klauzule o zaštiti podataka. Trenutni podizvođači obrade su:

• DigitalOcean / Hatchbox — hosting aplikacije i baze podataka. Obrada se odvija u podatkovnom centru u Frankfurtu, Njemačka (EU).
• Resend (Resend Inc., SAD) — slanje transakcijskih e-mailova (potvrde, podsjetnici, povratne informacije). Obrada e-mail sadržaja odvija se u regiji Irska (EU). Prijenos prema sjedištu u SAD-u uređen je standardnim ugovornim klauzulama EU-SAD.
• Twilio (Twilio Inc., SAD) — slanje SMS podsjetnika za korisnike koji imaju aktiviranu tu funkcionalnost. Prijenos prema SAD-u uređen je standardnim ugovornim klauzulama EU-SAD.
• Amazon Web Services (AWS) — pohrana priloženih datoteka (npr. fotografije profila restorana). Obrada se odvija u regiji Irska (EU).

Osim navedenih podizvođača, vaše podatke možemo otkriti tijelima javne vlasti samo kada to izričito zahtijeva zakon (npr. nalog suda, porezna inspekcija).

7. Međunarodni prijenos podataka

Sva obrada osobnih podataka primarno se odvija u podatkovnim centrima unutar Europskog gospodarskog prostora (EGP). Određeni podizvođači obrade (Resend, Twilio) imaju matično sjedište u Sjedinjenim Američkim Državama. Za sve takve prijenose primjenjujemo standardne ugovorne klauzule (Standard Contractual Clauses) odobrene od strane Europske komisije, čime se osigurava razina zaštite jednakovrijedna onoj unutar EGP-a.

8. Razdoblje čuvanja podataka

Osobne podatke čuvamo samo onoliko dugo koliko je potrebno za svrhu radi koje su prikupljeni, ili koliko nas obvezuje propis:

• Podaci o aktivnom Računu i pripadajući Sadržaj — za vrijeme trajanja ugovora.
• Sadržaj nakon raskida ugovora — 30 dana radi mogućnosti izvoza, nakon čega se trajno briše.
• Fakturni i porezni dokumenti — 11 godina od izdavanja, sukladno Zakonu o porezu na dodanu vrijednost i Općem poreznom zakonu.
• Sigurnosni i log zapisi — najviše 90 dana, osim u slučaju istrage incidenta.
• Komunikacija putem kontakt obrasca — 24 mjeseca od posljednje korespondencije.
• Podaci o gostima — čuvaju se prema uputama ugostiteljskog objekta kao voditelja obrade. Na zahtjev gosta prosljeđujemo zahtjev za brisanje objektu i izvršavamo ga u tehničkom smislu.

9. Sigurnost podataka

Provodimo organizacijske i tehničke mjere primjerene riziku obrade, uključujući:

• enkripciju podataka u prijenosu (HTTPS / TLS);
• enkripciju podataka u mirovanju za sigurnosne kopije baze;
• lozinke pohranjene isključivo u kriptografski sigurnom obliku (bcrypt);
• kontrolu pristupa po načelu najmanjih ovlasti (princip role-based access);
• redovite sigurnosne kopije i testove obnove;
• praćenje sigurnosnih ažuriranja i pravovremeno krpanje ranjivosti.

U slučaju povrede osobnih podataka koja predstavlja rizik za prava i slobode pojedinaca, obavijestit ćemo nadležno nadzorno tijelo (AZOP) u roku od 72 sata, a po potrebi i pogođene osobe, sukladno člancima 33. i 34. GDPR-a.

10. Vaša prava prema GDPR-u

Kao ispitanik imate sljedeća prava prema GDPR-u:

• Pravo na pristup – dobiti potvrdu obrađujemo li vaše podatke i kopiju tih podataka.
• Pravo na ispravak – tražiti ispravak netočnih ili dopunu nepotpunih podataka.
• Pravo na brisanje ("pravo na zaborav") – tražiti brisanje podataka kada više nisu potrebni za prvotnu svrhu.
• Pravo na ograničenje obrade – tražiti ograničenje obrade u određenim okolnostima.
• Pravo na prenosivost podataka – primiti svoje podatke u strukturiranom, strojno čitljivom formatu i prenijeti ih drugom voditelju obrade.
• Pravo na prigovor – uložiti prigovor na obradu temeljenu na legitimnom interesu, uključujući direktni marketing.
• Pravo na povlačenje privole – povući prethodno danu privolu u bilo kojem trenutku, bez utjecaja na zakonitost ranije obrade.
• Pravo na prigovor nadzornom tijelu – podnijeti pritužbu Agenciji za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, https://azop.hr.

11. Kako ostvariti vaša prava

Za ostvarivanje bilo kojeg od navedenih prava obratite nam se na info@reservista.app. Na vaš ćemo zahtjev odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od zaprimanja, uz mogućnost produljenja za dodatna dva mjeseca u opravdanim slučajevima. Ako utvrdite da nismo postupili u skladu s vašim pravima, imate pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka (AZOP).

Napomena za goste ugostiteljskih objekata: budući da je voditelj obrade vaših podataka sam ugostiteljski objekt, zahtjeve vezane uz svoje rezervacije primarno uputite njima. Mi ćemo zahtjev pravovremeno proslijediti i tehnički provesti.

12. Kolačići

Reservista koristi samo nužne (esencijalne) kolačiće potrebne za rad Usluge — primjerice za prijavu i odabir jezika. Ne koristimo kolačiće za oglašavanje, profiliranje ni praćenje između stranica. Budući da su kolačići isključivo nužni, prema važećim propisima ne traži se izričita privola, ali možete ih u svakom trenutku izbrisati u postavkama svog preglednika.

13. Automatizirano donošenje odluka

Reservista ne donosi odluke koje proizvode pravne učinke prema vama isključivo na temelju automatizirane obrade, uključujući profiliranje, u smislu članka 22. GDPR-a.

14. Maloljetnici

Reservista nije namijenjena osobama mlađima od 16 godina i ne prikupljamo svjesno osobne podatke djece. Ako utvrdimo da su takvi podaci uneseni bez odgovarajuće privole, brišemo ih bez odgađanja.

15. Promjene Politike privatnosti

Ovu Politiku možemo povremeno ažurirati radi pravne usklađenosti, dodatnih funkcionalnosti ili novih podizvođača obrade. O materijalnim izmjenama obavijestit ćemo vas putem e-maila ili obavijesti unutar Usluge. Aktualna verzija uvijek je dostupna na ovoj stranici, s vidljivim datumom posljednjeg ažuriranja na vrhu.

16. Kontakt

Za sva pitanja vezana uz privatnost i obradu osobnih podataka kontaktirajte nas na info@reservista.app ili putem naše stranice za kontakt.