Politika Privatnosti
Posljednje ažuriranje: Listopad 2025
Queli d.o.o. posvećen je zaštiti vaše privatnosti. Ova politika objašnjava kako prikupljamo, koristimo i štitimo vaše osobne podatke u skladu s GDPR-om i hrvatskim zakonodavstvom.
1. Voditelj Obrade Podataka
Naziv: Queli d.o.o.
Adresa: Hrvatska
Email: hello@queli.ai
Kontakt za privatnost: tom@queli.ai (Tomica Cesar)
2. Podatke Koje Prikupljamo
2.1 Podatke koje dobrovoljno dostavljate:
- Email adresa - Kada se prijavite na našu uslugu ili subscribe-ate na newsletter
- Korisničko ime i lozinka - Za pristup aplikaciji
- PDF računi - Dokumenti koje učitate za obradu (čuvaju se 30 dana)
- Podatci iz računa - Izvučeni podatci (nazivi proizvoda, cijene, datumi, dobavljači)
2.2 Automatski prikupljeni podatci:
- Tehnički podatci - IP adresa, vrsta preglednika, operativni sustav
- Podatci o korištenju - Vrijeme pristupa, klikovi, stranice koje posjećujete
- Kolačići (Cookies) - Za funkcionalnost sesije i analitiku
3. Kako Koristimo Vaše Podatke
- Pružanje usluge - Obrada PDF računa, ekstrakcija podataka, ERP integracija
- Poboljšanje AI modela - Učenje iz korekcija (samo validirani primjeri, anonimizirano)
- Tehnička podrška - Odgovaranje na upite i rješavanje problema
- Komunikacija - Slanje obavijesti o usluzi, ažuriranja, marketinških poruka (s pristankom)
- Sigurnost - Prevencija prijevara i zloupotreba
- Zakonske obveze - Ispunjavanje pravnih zahtjeva
4. Pravna Osnova za Obradu
Obrađujemo vaše podatke na temelju:
- Vaš pristanak - Kada se prijavite ili subscribe-ate
- Ugovorni odnos - Za pružanje usluge koju koristite
- Legitimni interes - Za poboljšanje usluge i sigurnost
- Zakonske obveze - Za računovodstvene i porezne zahtjeve
5. Dijeljenje Podataka
Queli d.o.o. NE prodaje vaše osobne podatke trećim stranama.
Podatke možemo dijeliti s:
- Pružateljima usluga - Hosting partneri i tehnički partneri (pod strogim ugovorima o zaštiti podataka)
- Pravnim tijelima - Kada je zakonski obvezno (sudski nalozi, istrage)
- Vašim ERP sustavima - Kada vi to eksplicitno zatražite
Međunarodni prijenosi: Neki podatci se mogu prenositi izvan EU za potrebe oblačne infrastrukture. Osiguravamo odgovarajuće sigurnosne mjere (standardni ugovori, Privacy Shield).
6. Čuvanje Podataka
- PDF računi: 30 dana nakon učitavanja (automatsko brisanje)
- Izvučeni podatci: Dok koristite uslugu + 90 dana nakon zatvaranja računa
- Korisničke informacije: Dok je račun aktivan
- Email subscribe: Do opoziva pristanka
- Zakonski zapisi: Prema hrvatskim zakonskim rokovima (obično 7 godina)
7. Vaša Prava (GDPR)
Prema GDPR-u, imate sljedeća prava koja možete koristiti u bilo kojem trenutku:
7.1 Pravo na Pristup (Članak 15 GDPR)
Možete zatražiti potvrdu obrađujemo li vaše osobne podatke i kopiju tih podataka. Odgovorit ćemo u roku od 30 dana.
7.2 Pravo na Ispravak (Članak 16 GDPR)
Možete zatražiti ispravak netočnih ili dopunu nepotpunih osobnih podataka koji se odnose na vas.
7.3 Pravo na Brisanje - "Pravo na Zaborav" (Članak 17 GDPR)
Možete zatražiti brisanje vaših osobnih podataka ako:
- Podatci više nisu potrebni za svrhu prikupljanja
- Opozovete pristanak i nema druge pravne osnove
- Podaci su nezakonito obrađeni
- Zahtijeva zakon EU ili države članice
7.4 Pravo na Ograničenje Obrade (Članak 18 GDPR)
Možete zatražiti ograničenje obrade kada:
- Osporavate točnost podataka (ograničenje tijekom provjere)
- Obrada je nezakonita ali ne želite brisanje
- Podaci vam trebaju za pravni zahtjev
- Uložili ste prigovor (ograničenje tijekom provjere)
7.5 Pravo na Prenosivost Podataka (Članak 20 GDPR)
Možete primiti osobne podatke u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu (CSV, JSON). Možete zatražiti prijenos drugom voditelju obrade gdje je tehnički izvedivo.
7.6 Pravo na Prigovor (Članak 21 GDPR)
Možete uložiti prigovor na obradu temeljenu na legitimnom interesu ili za potrebe direktnog marketinga. Prestat ćemo s obradom osim ako ne pokažemo legitimne razloge koji prevladavaju nad vašim interesima.
7.7 Pravo na Opoziv Pristanka (Članak 7 GDPR)
Gdje se obrada temelji na pristanku, možete ga povući u bilo kojem trenutku. Opoziv ne utječe na zakonitost obrade prije opoziva.
7.8 Automatsko Donošenje Odluka i Profiliranje (Članak 22 GDPR)
Imate pravo ne biti podvrgnuti odluci zasnovanoj isključivo na automatskoj obradi, uključujući profiliranje, koja proizvodi pravne učinke. Naš AI sustav ne donosi konačne odluke - vi uvijek provjeravate i odobravate rezultate.
7.9 Pravo na Pritužbu Nadzornom Tijelu
Možete podnijeti pritužbu nadležnom nadzornom tijelu ako smatrate da obrada krši GDPR.
Kako koristiti prava:
- Pošaljite zahtjev na: tom@queli.ai
- Navedite koje pravo želite koristiti i što tražite
- Možda ćemo zatražiti potvrdu identiteta (zaštita od prijevare)
- Odgovorit ćemo u roku od 30 dana (može se produžiti do 60 dana za složene zahtjeve)
Nema naknada: Korištenje prava je besplatno osim za očito neosnovane ili pretjerane zahtjeve.
8. Sigurnost Podataka
Queli d.o.o. primjenjuje tehničke i organizacijske mjere sigurnosti kako bi zaštitio vaše osobne podatke od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa.
8.1 Tehničke Mjere:
- Enkripcija u prijenosu: TLS 1.3 / HTTPS za svu komunikaciju između korisnika i servera
- Enkripcija u mirovanju: Svi osjetljivi podatci enkriptirani u bazi podataka (AES-256)
- Hash lozinki: Bcrypt algoritam s salt-om za pohranu lozinki (nikad čiste lozinke)
- Segmentacija mreže: Odvojene baze i aplikacijski slojevi s firewall pravilima
- Redovite sigurnosne kopije: Automatski backupi svakih 24h s enkripcijom i geografskom redundancijom
- Praćenje pristupa: Logiranje svih pristupa osobnim podatcima s timestamp-om
- Web Application Firewall (WAF): Zaštita od SQL injection, XSS i drugih napada
- Rate Limiting: Zaštita od brute-force i DDoS napada
8.2 Organizacijske Mjere:
- Pristupna kontrola: Pristup podatcima samo za ovlašteno osoblje prema "need-to-know" principu
- Ugovori o povjerljivosti: Svi zaposlenici potpisuju NDA
- Redovita obuka: Obuke o zaštiti podataka i sigurnosnim politikama
- Incident Response Plan: Dokumentirani postupci za slučaj povrede podataka
- Vendor Management: Svi pružatelji usluga (hosting, tehnički partneri) moraju udovoljavati GDPR zahtjevima
- Periodične revizije: Godišnje sigurnosne revizije i penetracijska testiranja
8.3 Povreda Podataka:
U slučaju povrede osobnih podataka koja može rezultirati rizikom za vaša prava:
- Obavijestit ćemo nadzorno tijelo (AZOP) u roku od 72 sata
- Obavijestit ćemo vas bez nepotrebnog odgađanja
- Poduzet ćemo mjere za ublažavanje negativnih posljedica
- Dokumentirat ćemo incident za buduće analize
Certifikacije i standardi: Radimo na usklađivanju sa ISO 27001 i SOC 2 standardima. Naši hosting partneri su GDPR-compliant i ISO certificirani.
9. Kolačići (Cookies)
Koristimo sljedeće kolačiće:
- Neophodni kolačići: Za funkcionalnost sesije (login)
- Analitički kolačići: Za razumijevanje korištenja (Google Analytics - s pristankom)
Možete kontrolirati kolačiće u postavkama preglednika.
10. Djeca
Naša usluga nije namijenjena osobama mlađim od 16 godina. Svjesno ne prikupljamo podatke djece. Ako saznamo da smo prikupili podatke djeteta, odmah ih brišemo.
11. Promjene Politike
Zadržavamo pravo ažuriranja ove politike. Značajne promjene će biti objavljene na web stranici i poslane na email (gdje je primjenjivo). Datum "Posljednje ažuriranje" označava najnoviju verziju.
12. Kontakt
Za pitanja o privatnosti:
Nadzorno tijelo: Ako niste zadovoljni kako obrađujemo vaše podatke, možete podnijeti pritužbu:
Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136, 10000 Zagreb, Hrvatska
Web: https://azop.hr