Politika privatnosti

1. Rukovalac podacima

Rukovalac podacima o ličnosti u smislu člana 4. tačka 8. ZZPL i člana 4(7) GDPR-a je:

Naziv

Jerry Salon

Email

info@blade.rs

Veb-sajt

https://jerrysalon.com

Za sva pitanja u vezi sa ovom politikom ili ostvarivanje vaših prava, možete nas kontaktirati na gore navedeni email.

2. Koje podatke prikupljamo

Prikupljamo samo one podatke koji su neophodni za pružanje naših usluga:

Identifikacioni podaci

ime i prezime

Kontakt podaci

email adresa i broj telefona (broj telefona se čuva u enkriptovanom obliku korišćenjem AES-256-GCM algoritma)

Podaci za autentifikaciju

lozinka (čuva se isključivo u heširanom obliku), tokeni sesije

Podaci o rezervacijama

izabrani frizer, usluga, datum i vreme termina, istorija rezervacija, broj neopravdanih izostanaka (no-show), status blokade naloga

Tehnički podaci

IP adresa (koristi se isključivo za sprečavanje zloupotreba i rate limiting), kolačići neophodni za rad sesije, informacije o uređaju i pregledaču kada dođe do greške

Komunikacija

status isporuke SMS i email poruka (potvrde, podsetnici, zahtevi za ocenu)

Ne prikupljamo posebne kategorije podataka o ličnosti (npr. podatke o zdravlju, rasi, verskom opredeljenju i sl.) u smislu člana 17. ZZPL / člana 9. GDPR.

3. Način prikupljanja

• Direktno od vas — kada se registrujete, zakažete termin, uredite profil ili nas kontaktirate.
• Automatski — kada posećujete sajt (IP adresa, neophodni kolačići, tehnički metapodaci).
• Od administratora — u slučaju manuelne rezervacije (telefonom ili u salonu), administrator unosi vaše ime i broj telefona umesto vas, uz vašu saglasnost.

4. Svrhe obrade i pravni osnov

Vaše podatke obrađujemo u sledeće svrhe, na osnovu odgovarajućeg pravnog osnova iz člana 12. ZZPL / člana 6(1) GDPR:

Kreiranje i upravljanje nalogom

izvršenje ugovora — član 6(1)(b) GDPR

Zakazivanje i upravljanje terminima

izvršenje ugovora — član 6(1)(b) GDPR

SMS i email podsetnici 2 sata pre termina

izvršenje ugovora — član 6(1)(b) GDPR

Email sa zahtevom za Google ocenu nakon posete

legitimni interes unapređenja kvaliteta usluge — član 6(1)(f) GDPR

Sprečavanje zloupotreba, rate limiting i tehnička bezbednost

legitimni interes zaštite sistema — član 6(1)(f) GDPR

Praćenje neopravdanih izostanaka i automatska blokada naloga

legitimni interes zaštite poslovanja — član 6(1)(f) GDPR

Obaveštenja sa liste čekanja (waitlist)

saglasnost (dobijate obaveštenje samo ako ste se svojevoljno upisali) — član 6(1)(a) GDPR

Praćenje grešaka aplikacije

legitimni interes obezbeđivanja stabilnosti servisa — član 6(1)(f) GDPR

Ispunjavanje poreskih i računovodstvenih obaveza

pravna obaveza — član 6(1)(c) GDPR

5. Sa kim delimo podatke (obrađivači)

Vaše podatke ne prodajemo i ne ustupamo trećim licima u marketinške svrhe. Podatke delimo isključivo sa pažljivo odabranim obrađivačima sa kojima imamo ugovore o obradi podataka u skladu sa članom 45. ZZPL / članom 28. GDPR:

Infobip d.o.o. (Srbija)

slanje SMS i WhatsApp poruka (podsetnici, OTP kodovi, obaveštenja sa liste čekanja). Deljeni podaci: broj telefona i sadržaj poruke.

Resend, Inc. (SAD)

slanje email poruka. Deljeni podaci: email adresa i sadržaj poruke. Prenos podataka u SAD zaštićen je Standardnim ugovornim klauzulama EU (SCC).

Sentry (Functional Software, Inc., SAD)

praćenje grešaka aplikacije radi obezbeđivanja stabilnosti servisa. Deljeni podaci: tehnički logovi, IP adresa, minimalni identifikacioni podaci korisnika. Prenos zaštićen SCC.

Hetzner Online GmbH (Nemačka)

hosting servera i baze podataka. Podaci se skladište u data centru u Nemačkoj (EU), sertifikovanom po standardu ISO 27001.

Podaci se mogu otkriti i nadležnim državnim organima na osnovu zakonske obaveze ili važećeg pravnog akta.

6. Prenos podataka van EU

Pojedini obrađivači (Resend i Sentry) imaju sedište u Sjedinjenim Američkim Državama. Prenos vaših podataka u ove zemlje vrši se uz odgovarajuće zaštitne mere u skladu sa poglavljem V GDPR i članom 64. ZZPL, pre svega na osnovu Standardnih ugovornih klauzula koje je odobrila Evropska komisija.

Primarni server i baza podataka nalaze se u Nemačkoj (EU) kod provajdera Hetzner Online GmbH.

7. Period čuvanja podataka

Vaše podatke čuvamo onoliko dugo koliko je potrebno za svrhe navedene u ovoj politici, odnosno koliko nalažu pozitivni propisi:

Podaci naloga i profil

dok god postoji vaš nalog — možete ga obrisati u bilo kom trenutku.

Podaci nakon brisanja naloga

do 3 godine, radi odbrane od eventualnih pravnih zahteva i internih revizija.

Rezervacije povezane sa finansijskim evidencijama

do 5 godina, u skladu sa Zakonom o računovodstvu Republike Srbije.

OTP verifikacioni kodovi

10 minuta od trenutka generisanja.

Sesije (kolačić prijave)

do 7 dana neaktivnosti.

Privremeni podaci za rate limiting (po IP adresi)

najviše 24 sata.

Logovi grešaka (Sentry)

90 dana.

Po isteku rokova, podaci se trajno brišu ili anonimizuju.

8. Vaša prava

U skladu sa ZZPL (čl. 26–40) i GDPR (čl. 15–22), imate sledeća prava:

Pravo na pristup

da dobijete potvrdu da li obrađujemo vaše podatke, i primerak tih podataka.

Pravo na ispravku

da zahtevate ispravku netačnih ili dopunu nepotpunih podataka.

Pravo na brisanje („pravo na zaborav")

da zahtevate brisanje podataka kada za njihovu obradu više ne postoji pravni osnov.

Pravo na ograničenje obrade

da zahtevate privremeno obustavljanje obrade u određenim slučajevima.

Pravo na prenosivost podataka

da dobijete svoje podatke u strukturisanom, mašinski čitljivom formatu i prenesete ih drugom rukovaocu.

Pravo na prigovor

da se usprotivite obradi koja se zasniva na legitimnom interesu.

Pravo na opoziv saglasnosti

kada je obrada zasnovana na saglasnosti, bez uticaja na zakonitost prethodne obrade.

Pravo na neizlaganje automatizovanom odlučivanju

uključujući profilisanje koje proizvodi pravne posledice ili značajno utiče na vas.

Svoja prava možete ostvariti slanjem zahteva na info@blade.rs. Na zahtev ćemo odgovoriti u roku od 30 dana od prijema, u skladu sa članom 21. ZZPL. U složenijim slučajevima rok se može produžiti za dodatna dva meseca, o čemu ćete biti obavešteni.

9. Kolačići

Naš sajt koristi samo kolačiće koji su neophodni za njegovo funkcionisanje:

better-auth.session_token

kolačić sesije prijave — neophodan da ostanete prijavljeni. Briše se automatski nakon odjave ili isteka sesije.

locale

čuva vaš izbor jezika (srpski, engleski, ruski).

Ne koristimo marketinške, analitičke ili kolačiće trećih strana. Ne vršimo profilisanje korisnika.

10. Maloletna lica

Naše usluge namenjene su licima starijim od 16 godina. Ne prikupljamo svesno podatke o ličnosti od dece mlađe od 16 godina bez saglasnosti roditelja ili staratelja.

Ako ste roditelj ili staratelj i smatrate da smo prikupili podatke o vašem detetu, molimo vas da nas kontaktirate na info@blade.rs kako bismo te podatke bez odlaganja obrisali.

11. Mere bezbednosti

Preduzimamo odgovarajuće tehničke i organizacione mere za zaštitu vaših podataka:

• Enkripcija brojeva telefona algoritmom AES-256-GCM u bazi podataka.
• SHA-256 heširanje brojeva telefona za potrebe pretrage bez otkrivanja originalnog broja.
• Heširanje lozinki preko Better Auth biblioteke (scrypt algoritam).
• Isključivo HTTPS komunikacija uz HSTS zaglavlje.
• Strogi Content Security Policy (CSP) i zaštita od clickjacking napada (frame-ancestors none).
• Rate limiting na endpoint-ima za prijavu, registraciju, slanje OTP kodova i zakazivanje termina.
• Hosting u ISO 27001 sertifikovanom data centru (Hetzner, Nemačka).
• Redovna primena bezbednosnih ispravki (Next.js, Node.js i drugih zavisnih biblioteka).

12. Automatizovano odlučivanje

Sistem automatski blokira nalog korisnika nakon unapred definisanog broja neopravdanih izostanaka (no-show). Podrazumevana vrednost je 3 izostanka, a može se menjati u administrativnim podešavanjima salona.

Ova automatska odluka zasniva se na legitimnom interesu zaštite poslovanja salona. Imate pravo da ospori odluku, izrazi svoje stanovište i da zahteva ljudsku intervenciju slanjem emaila na info@blade.rs, u skladu sa članom 22(3) GDPR.

13. Pravo na pritužbu

Ako smatrate da je obrada vaših podataka izvršena suprotno propisima, imate pravo da podnesete pritužbu nadzornom organu:

Naziv

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti

Adresa

Bulevar kralja Aleksandra 15, 11000 Beograd, Republika Srbija

Email

office@poverenik.rs

Veb-sajt

www.poverenik.rs

Korisnici sa prebivalištem u državama članicama EU mogu podneti pritužbu i nadzornom organu u svojoj zemlji.

14. Izmene Politike privatnosti

Zadržavamo pravo izmene ove politike. Datum poslednje izmene uvek je naveden na vrhu stranice. U slučaju značajnih izmena, obavestićemo vas putem emaila ili vidljivim obaveštenjem na sajtu najmanje 30 dana pre stupanja izmena na snagu.

15. Kontakt

Za sva pitanja, zahteve i ostvarivanje vaših prava u vezi sa zaštitom podataka, možete nas kontaktirati:

Email

info@blade.rs

Veb-sajt

https://jerrysalon.com