Ugovor o obradi osobnih podataka
Zadnja izmjena: 21. travnja 2026.· verzija 1.0
Ovaj ugovor (dalje: DPA) čini sastavni dio Uvjeta korištenja Recenza. Primjenjuje se uvijek kada Recenzo u ime klijenta (vlasnika tvrtke, dalje: Voditelj obrade) obrađuje osobne podatke krajnjih korisnika (posjetitelja, kupaca koji ostavljaju recenzije). Recenzo u tom slučaju djeluje kao Izvršitelj obrade u smislu članka 28. GDPR-a.
1. Predmet i trajanje obrade
Recenzo obrađuje osobne podatke u svrhu pružanja ugovorene usluge (prikupljanje, agregacija i prikaz recenzija) sve dok traje aktivan pretplatnički odnos. Po prestanku odnosa, podaci se brišu unutar 30 dana osim ako zakon zahtijeva dulju retenciju.
2. Priroda i svrha obrade
- Prijem i pohrana recenzija koje posjetitelji ostavljaju kroz QR formular ili widget
- Agregacija javno dostupnih Google recenzija za prikaz na mini-webu i widgetu klijenta
- Slanje obavijesti klijentu o novoj recenziji
- Anonimizirana analitika korištenja (pregledi widgeta, klikovi)
3. Kategorije osobnih podataka
- Ime i prezime autora recenzije (kako ga autor sam upiše)
- E-pošta autora recenzije (neobavezno, koristimo za moderaciju)
- Tekst recenzije i ocjena
- IP hash (rate-limiting, nikad se ne pohranjuje u izvornom obliku)
- Poslovni kontakt Voditelja obrade (ime, e-pošta)
4. Obveze Izvršitelja obrade (Recenzo)
- Obrađuje podatke isključivo prema uputama Voditelja obrade i ovog DPA
- Zaposlenici i suradnici vezani su obvezom čuvanja povjerljivosti
- Implementirane su odgovarajuće tehničke i organizacijske mjere (RLS na razini baze, HTTPS, Sentry scrubbing PII-a, rate-limiting)
- Omogućuje Voditelju obrade da ispuni zahtjeve za pristup, ispravak, brisanje i prenosivost
- Bez odgode obavještava Voditelja obrade o povredi osobnih podataka (u roku od 72 sata)
- Po prestanku pružanja usluge briše sve osobne podatke, osim ako zakon nalaže dulju retenciju
5. Pod-izvršitelji obrade
Za pružanje usluge Recenzo koristi sljedeće pod-izvršitelje obrade:
| Pod-izvršitelj | Svrha | Lokacija |
|---|---|---|
| Supabase | Baza podataka, autentikacija, storage | EU (Frankfurt) |
| Vercel | Hosting aplikacije | EU/SAD (SCC) |
| PostHog | Anonimizirana analitika (samo uz pristanak) | EU |
| Apify | Agregacija javnih Google recenzija | EU (Prag, Češka) |
| Google Places API | Pretraživanje i osnovni podaci lokacije | SAD (SCC) |
| Lemon Squeezy | Obrada plaćanja (MoR) | SAD (SCC) |
| Resend | Transakcijska e-pošta | EU |
| Sentry | Praćenje grešaka (uz PII scrubbing) | EU |
| Anthropic | AI prijedlozi odgovora na recenzije (Pro) — tekst recenzije se šalje radi generiranja prijedloga | SAD (SCC) |
O svakoj promjeni pod-izvršitelja Voditelj obrade bit će obaviješten najmanje 30 dana unaprijed putem e-pošte i ima pravo prigovora.
6. Međunarodni transferi
Transferi osobnih podataka izvan EEA-a temelje se na Standardnim ugovornim klauzulama (SCC) Europske komisije iz 2021. Za pristup dokumentaciji SCC-a obratite se na info@recenzo.hr.
7. Prava krajnjih korisnika
Ako autor recenzije zatraži brisanje svojih podataka, Recenzo osigurava alat u dashboardu Voditelja obrade za trenutno uklanjanje. Autori također mogu izravno podnijeti zahtjev preko poveznice “Zatraži uklanjanje” na mini-webu ili widgetu. Recenzo obrađuje takve zahtjeve u roku od 30 dana.
8. Revizija i dokaz usklađenosti
Voditelj obrade može jednom godišnje zatražiti dokumentaciju o provedenim tehničkim i organizacijskim mjerama. Dokumentacija se dostavlja unutar 30 dana.
9. Prihvaćanje
Otvaranjem računa u Recenzu i pokretanjem prikupljanja recenzija Voditelj obrade prihvaća uvjete ovog DPA. Ako je za svrhu internog compliance procesa potrebna fizički potpisana verzija, dostupna je na zahtjev.