Politika privatnosti

1. Voditelj obrade i kontakt

Voditelj obrade Vaših osobnih podataka, odnosno subjekt koji odlučuje o svrsi i sredstvima obrade, jest trgovac koji vodi ovaj web-shop:

• Pravni naziv (tvrtka): Smion d.o.o.
• OIB: 46839323933
• Sjedište / adresa: M.Oreskovica, 10010 Zagreb, Hrvatska
• Kontakt e-mail: info@smion.test
• Kontakt telefon: +385977761246
• Trgovački naziv web-shopa: SMION

Za sva pitanja, zahtjeve ili pritužbe vezane uz obradu osobnih podataka možete nas kontaktirati na navedeni e-mail ili poštom na adresu sjedišta.

2. Službenik za zaštitu podataka (DPO)

Kao mali web-shop nismo zakonski obvezni imenovati službenika za zaštitu podataka, budući da naše osnovne djelatnosti ne uključuju redovito i sustavno praćenje ispitanika u velikom opsegu niti obradu posebnih kategorija osobnih podataka u velikom opsegu (čl. 37. GDPR-a). Službenik za zaštitu podataka stoga nije imenovan.

Kontaktna točka za sva pitanja u vezi sa zaštitom osobnih podataka u smislu čl. 13. st. 1. t. (b) GDPR-a jest e-mail info@smion.test. Ako u budućnosti imenujemo službenika za zaštitu podataka, njegove kontaktne podatke objavit ćemo na ovoj stranici.

3. Koje osobne podatke obrađujemo

Prikupljamo i obrađujemo samo one podatke koji su nam nužni za sklapanje i izvršenje ugovora o kupoprodaji te za ispunjenje zakonskih obveza (načelo minimizacije podataka, čl. 5. st. 1. t. (c) GDPR-a). Podatke u pravilu prikupljamo izravno od Vas (pri registraciji, naručivanju ili kontaktiranju podrške); dio tehničkih podataka generira sam sustav tijekom korištenja web-shopa, a potvrdu o plaćanju primamo od pružatelja usluga plaćanja:

• ime i prezime
• adresa e-pošte
• broj telefona
• adresa za dostavu i adresa za izdavanje računa
• povijest narudžbi (naručeni proizvodi, iznosi, datumi, status narudžbe i identifikator kupca koji generira sustav)
• adresa e-pošte koju ste dali za primanje newslettera (ako ste se prijavili) — obrađuje se na temelju Vaše privole
• tehnički podaci o prijavi i sesiji (npr. token sesije pohranjen u kolačiću "shop_token", IP adresa i osnovni podaci o uređaju/pregledniku potrebni za rad i sigurnost web-shopa)
• podaci o transakciji i statusu plaćanja koje primamo od Stripea (potvrda uspješnosti plaćanja, bez podataka o kartici)
• podaci nužni za sprječavanje prijevara i osiguranje sigurnosti plaćanja
• podaci o komunikaciji s korisničkom podrškom (upiti, prigovori, reklamacije)

Podatke o Vašoj platnoj kartici ne prikupljamo niti pohranjujemo. Plaćanje karticom obrađuje pružatelj usluga plaćanja Stripe, koji u pogledu podataka o plaćanju i sprječavanja prijevara nastupa kao samostalni voditelj obrade odnosno kao naš izvršitelj obrade, u skladu sa sigurnosnim standardima za platne kartice (PCI DSS). Podatke o kartici unosite izravno u Stripeovom sigurnom okruženju, a mi dobivamo samo potvrdu o uspješnosti plaćanja. Više o tome kako Stripe obrađuje podatke možete pročitati u Stripeovoj politici privatnosti.

4. Svrhe obrade i pravne osnove

Vaše osobne podatke obrađujemo za sljedeće svrhe, pri čemu za svaku svrhu postoji odgovarajuća pravna osnova prema čl. 6. GDPR-a:

• Obrada narudžbe, isporuka robe, izdavanje računa i korisnička podrška — pravna osnova: izvršenje ugovora (čl. 6. st. 1. t. (b) GDPR-a).
• Izdavanje i čuvanje računa te ispunjenje poreznih i računovodstvenih obveza — pravna osnova: ispunjenje zakonske obveze (čl. 6. st. 1. t. (c) GDPR-a).
• Slanje newslettera i marketinških poruka e-poštom (ako se prijavite) — pravna osnova: Vaša privola (čl. 6. st. 1. t. (a) GDPR-a), uz pravo na povlačenje privole u svakom trenutku. Privolu možete povući jednako jednostavno kao što ste je dali — klikom na poveznicu "odjava" u svakoj poruci ili upitom na info@smion.test.
• Sprječavanje prijevara, sigurnost plaćanja, mrežna sigurnost te uspostava, ostvarivanje ili obrana pravnih zahtjeva — pravna osnova: naš legitimni interes (čl. 6. st. 1. t. (f) GDPR-a).

Kada se obrada temelji na našem legitimnom interesu (čl. 6. st. 1. t. (f)), naši legitimni interesi su zaštita od prijevara pri plaćanju, sigurnost naše mrežne trgovine i podataka kupaca te mogućnost ostvarivanja i obrane pravnih zahtjeva. Ove interese odvagnuli smo u odnosu na Vaša prava i slobode.

Po zadanim postavkama ne koristimo analitičke ni marketinške kolačiće (nemamo Google Analytics ni Meta Pixel). Ako naknadno uvedemo takve alate, postavljat ćemo ih isključivo na temelju Vaše prethodne privole putem obavijesti o kolačićima (consent banner).

5. Je li davanje podataka obvezno

Davanje podataka koji su nužni za sklapanje i izvršenje ugovora (ime, adresa za dostavu, podaci za račun, kontakt) preduvjet je za kupnju (čl. 13. st. 2. t. (e) GDPR-a). Bez tih podataka ne možemo obraditi narudžbu, isporučiti robu niti izdati račun.

Davanje podataka za primanje newslettera potpuno je dobrovoljno i temelji se na Vašoj privoli. Uskraćivanje privole za newsletter nema nikakvih posljedica na mogućnost kupnje.

6. Primatelji podataka i izvršitelji obrade

Vaše podatke ne prodajemo trećim stranama. Dijelimo ih samo s pažljivo odabranim izvršiteljima obrade (čl. 28. GDPR-a) koji nam pomažu u pružanju usluge, i to u opsegu nužnom za pojedinu svrhu. S njima sklapamo ugovor o obradi podataka (DPA). Kategorije primatelja su:

• Stripe — obrada plaćanja karticom i sprječavanje prijevara; za izvršenje naloga plaćanja djeluje kao naš izvršitelj obrade, a za vlastite svrhe (sprječavanje prijevara, zakonske obveze PSD2/PCI) može djelovati kao samostalni voditelj obrade,
• pružatelj usluge e-pošte — slanje transakcijskih (potvrde narudžbe) i, ako ste se prijavili, marketinških poruka,
• pružatelj hostinga i infrastrukture — pohrana podataka i rad web-shopa,
• dostavna / kurirska služba — isporuka naručene robe na Vašu adresu.

Po potrebi i na temelju zakonske obveze podatke možemo otkriti i nadležnim tijelima (npr. Poreznoj upravi, sudovima).

7. Prijenos podataka izvan EU/EGP-a

Nastojimo Vaše podatke obrađivati unutar Europskog gospodarskog prostora (EGP). Pojedini izvršitelji obrade (primjerice Stripe) mogu obrađivati podatke i izvan EU/EGP-a. U tom slučaju prijenos se temelji na standardnim ugovornim klauzulama (SCC) koje je odobrila Europska komisija i/ili na odluci Komisije o primjerenosti razine zaštite (npr. EU-US Data Privacy Framework), uz odgovarajuće zaštitne mjere predviđene GDPR-om (čl. 44.–49.).

8. Rokovi čuvanja podataka

Osobne podatke čuvamo onoliko dugo koliko je nužno za ostvarenje svrhe za koju su prikupljeni, odnosno onoliko dugo koliko nalaže zakon:

• Računi i knjigovodstvene isprave čuvaju se najmanje 11 godina (čl. 10. i 13. Zakona o računovodstvu, NN 78/2015 s izmjenama), računajući od zadnjeg dana poslovne godine na koju se odnose.
• eRačuni za koje je provedena fiskalizacija čuvaju se 6 godina (Zakon o fiskalizaciji).
• Godišnji financijski izvještaji čuvaju se trajno.
• Podaci korisničkog računa i povijest narudžbi čuvaju se dok je račun aktivan, odnosno do brisanja računa na Vaš zahtjev.
• Podaci za newsletter (privola) čuvaju se do povlačenja privole odnosno odjave.
• Podaci obrađivani radi sprječavanja prijevara i obrane pravnih zahtjeva čuvaju se onoliko dugo koliko je nužno za tu svrhu, odnosno do isteka relevantnih zastarnih rokova (u pravilu do 5 godina prema Zakonu o obveznim odnosima), nakon čega se podaci brišu ili anonimiziraju.

9. Vaša prava

Kao ispitanik, u odnosu na svoje osobne podatke imate sljedeća prava prema GDPR-u:

• pravo na pristup svojim podacima (čl. 15.),
• pravo na ispravak netočnih ili nepotpunih podataka (čl. 16.),
• pravo na brisanje ("pravo na zaborav", čl. 17.),
• pravo na ograničenje obrade (čl. 18.),
• pravo na prenosivost podataka (čl. 20.),
• pravo na prigovor na obradu, uključujući prigovor na izravni marketing (čl. 21.),
• pravo na povlačenje privole u svakom trenutku, bez utjecaja na zakonitost obrade provedene prije povlačenja (čl. 7. st. 3.). Privolu za newsletter možete povući poveznicom "odjava" u svakoj poruci ili upitom na našu kontakt točku.

Imate i pravo da na Vas ne utječe odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila (čl. 22.) — vidi odjeljak 11.

Svoja prava možete ostvariti slanjem zahtjeva na e-mail info@smion.test. Ostvarivanje prava u pravilu je besplatno; radi zaštite Vaših podataka možemo zatražiti dodatnu provjeru identiteta podnositelja zahtjeva (čl. 12. st. 5. i 6. GDPR-a). Na zahtjev ćemo odgovoriti bez nepotrebnog odgađanja, u pravilu u roku od mjesec dana od zaprimanja zahtjeva; taj se rok prema potrebi može produljiti za dodatna dva mjeseca, o čemu ćemo Vas obavijestiti (čl. 12. GDPR-a).

10. Pravo na pritužbu nadzornom tijelu

Ako smatrate da obradom Vaših osobnih podataka kršimo GDPR, imate pravo podnijeti pritužbu nadzornom tijelu (čl. 77. GDPR-a). Nadzorno tijelo u Republici Hrvatskoj je:

• Agencija za zaštitu osobnih podataka (AZOP)
• Selska cesta 136, 10000 Zagreb
• E-mail: azop@azop.hr
• Telefon: +385 1 4609 000
• Web: azop.hr

Pritužba se u pravilu podnosi obrascem "Zahtjev za utvrđivanje povrede prava". Prije obraćanja AZOP-u rado ćemo pokušati riješiti svaki Vaš upit izravno.

11. Automatizirano donošenje odluka i profiliranje

Ne provodimo automatizirano donošenje odluka, uključujući izradu profila, koje bi proizvodilo pravne učinke na Vas ili na Vas slično znatno utjecalo u smislu čl. 22. GDPR-a. Ako bismo takvu obradu u budućnosti uveli, prethodno bismo Vas obavijestili o logici obrade te o značaju i predviđenim posljedicama takve obrade.

12. Kolačići i pohrana u pregledniku

Za rad web-shopa koristimo samo nužne i funkcionalne kolačiće te pohranu u Vašem pregledniku. Po zadanim postavkama ne koristimo analitičke ni marketinške kolačiće, pa zaslon za privolu (consent banner) nije postavljen. Koristimo:

• kolačić "shop_token" — nužni kolačić za prijavu i sesiju kupca; postavke: HttpOnly, SameSite=Lax, Secure, trajanje 30 dana,
• lokalna pohrana (localStorage) za košaricu, listu želja i nedavno gledane proizvode — pod tehničkim nazivima "shop_cart_<ID>", "wishlist_<ID>" i "shop_recently_viewed_<ID>"; ovo nisu klasični kolačići, nego nužna/funkcionalna pohrana u Vašem pregledniku,
• kolačići pružatelja Stripe — postavlja ih Stripe kao treća strana tijekom postupka plaćanja, radi obrade plaćanja i sprječavanja prijevara; nužni su za naplatu. Više u Stripeovoj politici privatnosti.

Kolačiće i lokalnu pohranu možete u svakom trenutku obrisati ili blokirati u postavkama svog preglednika; napominjemo da u tom slučaju neke funkcije web-shopa (prijava, košarica) možda neće raditi ispravno. Ako u budućnosti uvedemo analitičke ili marketinške kolačiće, postavljat ćemo ih isključivo nakon Vaše privole. Pravni okvir za kolačiće čine Zakon o elektroničkim komunikacijama (NN 76/22, 14/24, 45/26), ePrivacy direktiva (2002/58/EZ i 2009/136/EZ) te GDPR.

13. Sigurnost podataka i obavijest o povredi

Provodimo odgovarajuće tehničke i organizacijske mjere zaštite kako bismo Vaše osobne podatke zaštitili od neovlaštenog pristupa, gubitka ili zlouporabe.

U slučaju povrede osobnih podataka, o njoj ćemo bez nepotrebnog odgađanja, a najkasnije u roku od 72 sata od saznanja, izvijestiti AZOP (čl. 33. GDPR-a). Ako je vjerojatno da povreda predstavlja visok rizik za Vaša prava i slobode, imate pravo o tome biti obaviješteni te ćemo Vas kao ispitanika bez odgađanja obavijestiti (čl. 34. GDPR-a).

14. Privatnost djece

Naš web-shop nije namijenjen djeci. Sukladno Zakonu o provedbi Opće uredbe o zaštiti podataka (NN 42/2018, čl. 19.), u Republici Hrvatskoj je obrada osobnih podataka djeteta na temelju privole zakonita ako dijete ima najmanje 16 godina. Za djecu mlađu od 16 godina potrebna je privola ili odobrenje nositelja roditeljske odgovornosti. Uslugu namjeravamo pružati isključivo osobama u dobi od 16 godina i starijima.

15. Prava potrošača

Iako se na obradu osobnih podataka primjenjuje GDPR, na sam ugovorni odnos između Vas kao potrošača i nas kao trgovca primjenjuju se i Zakon o zaštiti potrošača te Zakon o obveznim odnosima (odgovornost za materijalne nedostatke). Vaša potrošačka prava, pravo na jednostrani raskid u 14 dana te postupak reklamacije detaljno su uređeni u našim Uvjetima poslovanja i na stranici Reklamacije i povrati. Ondje su navedene i informacije o izvansudskom rješavanju potrošačkih sporova (ADR) pred nadležnim tijelom.

16. Izmjene Politike privatnosti

Ovu Politiku privatnosti možemo s vremena na vrijeme izmijeniti radi usklađivanja s promjenama u poslovanju ili propisima. Svaka izmjena objavljuje se na ovoj stranici, uz ažuriranje datuma zadnje izmjene. Preporučujemo da povremeno pregledate ovu stranicu.

Datum zadnjeg ažuriranja: 2. lipnja 2026..