Politika privatnosti aplikacije Shuttle Club

Verzija: 1.0 Datum stupanja na snagu: 25. svibnja 2026. Zadnja izmjena: 25. svibnja 2026.

⚠️ NAPOMENA: Ovaj dokument je radni nacrt. Prije produkcijskog korištenja obavezno ga dati na pregled odvjetniku specijaliziranom za GDPR i digitalne usluge.

1. Voditelj obrade osobnih podataka

Voditelj obrade vaših osobnih podataka u smislu Opće uredbe o zaštiti podataka (GDPR) je:

Naziv: Juraj Gorički (fizička osoba)
OIB: 22680908763
Sjedište: Beloslavec 49, 10381 Bedenica, Republika Hrvatska
E-mail za zaštitu podataka: support@shuttleclub.app
Telefon: +385 91 6060 111

dalje u tekstu: "mi" ili "Voditelj obrade".

2. Koje podatke prikupljamo

2.1 Podaci pri registraciji (svi korisnici)

Podatak	Svrha	Pravna osnova
Ime i prezime	Identifikacija u Aplikaciji	Ugovor (čl. 6. st. 1. b) GDPR)
E-mail adresa	Login, obavijesti	Ugovor
Broj telefona	Komunikacija s Vozačem	Ugovor
Lozinka (hashirana)	Sigurnost računa	Ugovor
ID iz Apple/Google sign-in (ako koristite)	Autentikacija	Ugovor

2.2 Podaci o korištenju (Putnici)

Podatak	Svrha
Povijest rezervacija	Pregled, statistika, podrška
Plaćanja (zadnje 4 znamenke kartice)	Potvrde, podrška
Ocjene i komentari Vozača	Funkcionalnost ocjenjivanja
Status Premium pretplate	Aktivacija prioriteta na listi čekanja

2.3 Podaci o Vozačima (KYC)

Sljedeće podatke prikuplja Stripe, ne mi:

Skena osobne iskaznice ili putovnice;
Selfie verifikacija;
IBAN bankovnog računa;
Vozačka dozvola;
Foto registracije i osiguranja vozila.

Mi pohranjujemo samo:

Stripe Connect Account ID (ne sami dokumenti);
Status verifikacije (na čekanju, odobren, odbijen);
Foto vozila i marka/model za prikaz Putnicima.

2.4 Tehnički podaci (svi korisnici)

Podatak	Svrha
Verzija Aplikacije, model uređaja, iOS verzija	Dijagnostika grešaka
Apple Push token	Slanje push obavijesti
Anonimizirani podaci o crash-evima	Stabilnost (Sentry)
IP adresa (privremeno)	Sigurnost, sprječavanje zloupotrebe

2.5 Podaci koje NE prikupljamo

❌ Lokacija u stvarnom vremenu (GPS) tijekom Vožnji;
❌ Biometrijski podaci;
❌ Sadržaj drugih aplikacija na uređaju;
❌ Pristup kontaktima, fotografijama ili drugim sustavnim podacima bez vaše izričite suglasnosti.

3. Svrhe obrade

Vaše podatke obrađujemo isključivo za:

Pružanje usluge (registracija, rezervacije, plaćanja, komunikacija);
Sigurnost (sprječavanje prijevara, zloupotrebe, zaštita računa);
Komunikaciju (push obavijesti o vožnjama, e-mail za važne izmjene);
Pravne obveze (porezne evidencije, GDPR zahtjevi);
Poboljšanje Aplikacije (analiza grešaka kroz Sentry, anonimni podaci).

Ne koristimo vaše podatke za marketing trećih strana niti ih prodajemo.

4. Pravna osnova obrade

Prema članku 6. GDPR-a:

Ugovor (b)) — registracija, rezervacije, plaćanja, vožnje;
Pravna obveza (c)) — porezne evidencije, AZOP zahtjevi;
Suglasnost (a)) — push obavijesti;
Legitimni interes (f)) — sprječavanje prijevara, sigurnost, dijagnostika grešaka.

5. Treće strane (obrađivači podataka)

Vaše podatke dijelimo s ovim provjerenim partnerima:

5.1 Apple Inc. (SAD)

Što obrađuje: Apple ID, Sign in with Apple, In-App Purchase plaćanja Premium pretplate, Push notifikacije.
Lokacija servera: Globalno.
Mehanizmi zaštite: Standardne ugovorne klauzule EU-SAD, Apple Privacy Policy.
Više informacija: https://www.apple.com/legal/privacy/

5.2 Stripe Payments Europe Ltd. (Irska)

Što obrađuje: Plaćanja Putnika karticom, KYC verifikacija Vozača, isplate na IBAN.
Lokacija servera: EU (Irska).
Mehanizmi zaštite: EU regulirana institucija, GDPR compliant.
Više informacija: https://stripe.com/privacy

5.3 Supabase Inc. (SAD) / Frankfurt AWS

Što obrađuje: Hosting baze podataka, autentikacija, real-time funkcionalnosti.
Lokacija servera: Frankfurt, Njemačka (eu-central-1).
Mehanizmi zaštite: Standardne ugovorne klauzule, AWS DPA.
Više informacija: https://supabase.com/privacy

5.4 Google LLC (SAD)

Što obrađuje: Sign in with Google (samo ako koristite tu opciju za login).
Mehanizmi zaštite: Standardne ugovorne klauzule EU-SAD.
Više informacija: https://policies.google.com/privacy

5.5 Sentry (Functional Software Inc., SAD)

Što obrađuje: Anonimizirani podaci o greškama u Aplikaciji (stack trace, ID korisnika kao UUID, NEMA e-mail/ime).
Mehanizmi zaštite: Standardne ugovorne klauzule.
Više informacija: https://sentry.io/privacy/

Sve treće strane su ugovorno obvezane štititi vaše podatke u skladu s GDPR-om.

6. Razdoblje čuvanja

Podatak	Razdoblje
Korisnički račun (osnovni podaci)	Dok ne obrišete račun
Povijest rezervacija	5 godina (porezna obveza)
Plaćanja, fakture	11 godina (Zakon o porezu na dodanu vrijednost)
Crash logovi (Sentry)	90 dana
Anonimizirani analytics	Trajno (anonimno)
Push token	Dok ne odjavite uređaj

Nakon brisanja računa, anonimiziramo vaše podatke gdje je moguće (npr. ocjene Vozača ostaju kao "Anonimni korisnik").

7. Vaša prava (GDPR)

Imate sljedeća prava:

7.1 Pravo na pristup (čl. 15.)

Možete zatražiti kopiju svih podataka koje imamo o vama.

7.2 Pravo na ispravak (čl. 16.)

Ako su podaci netočni, možete ih ispraviti u Aplikaciji ili nas kontaktirati.

7.3 Pravo na brisanje ("pravo na zaborav", čl. 17.)

Možete obrisati račun: Postavke → Profil → Obriši račun. Iznimka: podaci koje moramo čuvati zbog zakonske obveze (npr. fakture).

7.4 Pravo na ograničenje obrade (čl. 18.)

Možete ograničiti obradu u određenim slučajevima.

7.5 Pravo na prenosivost (čl. 20.)

Možete zatražiti svoje podatke u strukturiranom, strojno čitljivom formatu (JSON).

7.6 Pravo na prigovor (čl. 21.)

Možete prigovoriti obradi temeljenoj na legitimnom interesu.

7.7 Pravo na pritužbu nadzornom tijelu

Nadzorno tijelo u Hrvatskoj je Agencija za zaštitu osobnih podataka (AZOP):

Web: https://azop.hr
Adresa: Selska cesta 136, 10000 Zagreb
E-mail: azop@azop.hr

8. Kako ostvariti svoja prava

Pošaljite zahtjev na support@shuttleclub.app s naslovom "GDPR zahtjev". Odgovorit ćemo u roku 30 dana (ili do 60 dana za složene zahtjeve, uz prethodnu obavijest).

Za identifikaciju možemo zatražiti potvrdu identiteta (npr. preko e-maila s vašeg registriranog računa).

9. Sigurnost podataka

Poduzimamo tehničke i organizacijske mjere zaštite:

HTTPS/TLS enkripcija sve komunikacije;
Hashirane lozinke (bcrypt);
Row-level security u bazi podataka (Supabase RLS);
Pristup samo ovlaštenim osobama (admin/predsjedništvo s revizijom);
Redovne backup-ove (kriptirane, na različitim lokacijama);
Apple Sandbox zaštita iOS okruženja.

U slučaju povrede sigurnosti koja predstavlja visok rizik za vaša prava, obavijestit ćemo vas u roku 72 sata kako nalaže GDPR (čl. 33–34).

10. Maloljetnici

Aplikacija je namijenjena isključivo osobama starijim od 18 godina. Ne prikupljamo svjesno podatke od maloljetnika. Ako saznamo za takvu obradu, podaci se odmah brišu.

11. Kolačići i slično praćenje

Aplikacija je mobilna (ne web), pa ne koristi kolačiće. Koristi se samo lokalna pohrana iOS-a (UserDefaults, Keychain) za:

Token sesije (sigurno čuvanje pristupa);
Postavke korisnika (jezik, tema);
Premium status (cache).

Ovi podaci ne dijele se s trećim stranama.

12. Promjene Politike privatnosti

Možemo izmijeniti ovu Politiku. Značajne izmjene najavit ćemo:

E-mailom 30 dana unaprijed;
Push obavijestima u Aplikaciji;
Modalnim prozorom pri prvom otvaranju Aplikacije.

Daljnje korištenje Aplikacije znači prihvaćanje izmjena.

13. Kontakt

Za sva pitanja o privatnosti:

E-mail: support@shuttleclub.app
Telefon: +385 91 6060 111
Pošta: Juraj Gorički, Beloslavec 49, 10381 Bedenica, Republika Hrvatska

Možete nas kontaktirati i preko AZOP-a (poglavlje 7.7).

_Verzija 1.0 | Posljednja izmjena: 25. svibnja 2026._