Pravila privatnosti — SANTA Kviz
Verzija: 1.0 Datum stupanja na snagu: 7. lipnja 2026.
1. Voditelj obrade
Voditelj obrade osobnih podataka u smislu Opće uredbe o zaštiti podataka (GDPR) je:
- Naziv: SANTA INSTRUKCIJE, obrt za ostalo obrazovanje i poučavanje, vl. Albina Mihalić
- OIB: 09276856254
- Sjedište: Matije Gupca 53, Pojatno, 10290 Zaprešić
- Kontakt e-mail: info@santa-instrukcije.hr
- Službenik za zaštitu podataka (DPO): nije imenovan jer obrada ne ulazi u obvezne kategorije iz čl. 37. GDPR-a.
Dalje u tekstu: "Voditelj".
2. Koje podatke prikupljamo
2.1. Podatci koje korisnik daje izravno
- Pri registraciji: korisničko ime, e-mail adresa, lozinka (pohranjena kao hash, nikad u izvornom obliku).
- U profilu: izabrani predmeti mature, razred (opcionalno), škola (opcionalno), preferencije razine (A/B).
- Pri plaćanju: ime i prezime, e-mail (preko Stripe formulara). Brojeve kartica ne pohranjujemo — obrađuje ih Stripe.
- Pri prijavi greške u pitanju: kategorija problema i komentar (slobodan tekst).
2.2. Podatci nastali korištenjem
- Rezultati kvizova: odgovori, vrijeme rješavanja, postignuti bodovi, XP, streak, datumi.
- AI usage log: koju AI značajku ste koristili, kada, za koje pitanje, je li poziv uspio. Pohranjuje se zbog ograničavanja zlouporabe (dnevni limiti) i analize troška.
- Duel zapisi: dueli u kojima ste sudjelovali, rezultati, share kodovi.
- Push pretplate: ako uključite push notifikacije, sigurnosno tokeniziran identifikator vašeg uređaja.
2.3. Podatci koje prikuplja Stripe (mi vidimo metapodatke)
- Identifikator transakcije, iznos, valuta, status plaćanja, payment_intent ID, charge ID.
- IP adresu i metapodatke o uređaju kupca pohranjuje Stripe za potrebe sprječavanja prijevara. Mi ne pristupamo tim sirovim podatcima.
2.4. Podatci koje prikuplja analitika (samo uz vašu privolu)
Za analitiku korištenja koristimo PostHog (obrada na poslužiteljima u Europskoj uniji). Analitika se aktivira samo ako date privolu putem bannera za kolačiće pri prvom posjetu. Bez privole se PostHog ne učitava, ne postavlja kolačiće niti prikuplja ikakve podatke.
Ako date privolu, prikupljamo:
- tehničke podatke: verzija preglednika, operativni sustav, jezik, vrsta uređaja te gruba lokacija na razini države (izvedena iz IP adrese);
- podatke o korištenju: posjećene stranice, pokrenuti i završeni kvizovi, koraci registracije i klikovi na ključne značajke — povezani s pseudonimnim identifikatorom, a za prijavljene korisnike s vašim korisničkim ID-em.
Ne snimamo sadržaj ekrana (session replay je trajno isključen). Privolu možete povući u svakom trenutku putem poveznice „Kolačići" u podnožju stranice. Detalji u čl. 7 (Kolačići).
3. Svrhe obrade i pravna osnova
| Svrha | Pravna osnova (GDPR čl. 6) |
|---|---|
| Pružanje usluge (registracija, kvizovi, premium pristup) | Izvršenje ugovora (čl. 6/1/b) |
| Plaćanje i izdavanje računa | Izvršenje ugovora + pravna obveza (čl. 6/1/b, c) |
| Fiskalizacija računa | Pravna obveza (čl. 6/1/c, Zakon o fiskalizaciji) |
| Slanje transakcijskih e-mailova (dobrodošlica, potvrda kupnje) | Izvršenje ugovora (čl. 6/1/b) |
| Push notifikacije i marketing e-mail | Privola (čl. 6/1/a), opozivo u svakom trenutku |
| Analitika korištenja (PostHog) | Privola (čl. 6/1/a), opoziva u svakom trenutku |
| Sprječavanje zlouporabe (rate limit, fraud) | Legitimni interes (čl. 6/1/f) |
| Pravne obveze (npr. odgovor inspekciji) | Pravna obveza (čl. 6/1/c) |
4. Tko ima pristup vašim podatcima
Vaše osobne podatke obrađuju isključivo zaposlenici i suradnici Voditelja koji ih trebaju za izvršenje zadatka. Podatci se ne prodaju trećim stranama u marketinške svrhe.
Vanjski izvršitelji obrade (sub-processors) koji obrađuju podatke u naše ime:
| Pružatelj | Što obrađuje | Sjedište / lokacija obrade |
|---|---|---|
| Supabase Inc. | Baza podataka, autentikacija, real-time događaji | SAD (sjedište); obrada na EU regiji servera. Standardne ugovorne klauzule (SCC) za prijenos. |
| Stripe Payments Europe, Ltd. | Obrada plaćanja karticom | Irska, EU. PCI-DSS sukladan. |
| Google LLC (Gemini API) | AI generiranje varijacija zadataka, eseja i hintova. Tekst zadataka i naputci se šalju Google AI servisu. | SAD (regija obrade može biti EU ili globalno). Google AI Privacy Notice |
| Resend Inc. | Transakcijski e-mailovi (dobrodošlica, potvrda kupnje, povrat) | SAD/EU. Standardne ugovorne klauzule. |
| Web Push standard | Push notifikacije preko FCM (Google) / APNs (Apple) | Globalno. |
| Contabo GmbH | Hosting Platforme (poslužitelji, Docker / Kubernetes) | Njemačka, EU. |
4.1. Posebna napomena o AI obradi (Google Gemini)
Pri korištenju AI značajki (varijacije zadataka, kalkulator hintovi, eseji), tekst zadatka i vaš naputak se šalju na Google AI servis radi generiranja odgovora. Google je obvezan ne koristiti te podatke za treniranje svojih modela u okviru Gemini API ugovora.
Što se šalje Google-u:
- Tekst originalnog NCVVO zadatka i ponuđenih odgovora
- Tekst vašeg naputka (za eseje)
- Predmet, razina, tema (metapodatci)
Što se NE šalje:
- Vaše korisničko ime, e-mail, lozinka
- Identifikator vašeg računa
- Bilo koji drugi osobni podatak
4.2. Prijenosi izvan EEA
Neki sub-processori obrađuju podatke u SAD-u. Za sve takve prijenose koriste se mehanizmi iz GDPR-a (čl. 46):
- Standardne ugovorne klauzule Europske komisije (SCC);
- Sudjelovanje u EU-US Data Privacy Framework gdje je primjenjivo (Stripe, Google).
5. Razdoblje čuvanja
| Kategorija podataka | Razdoblje |
|---|---|
| Profil korisnika (e-mail, korisničko ime) | Dok je račun aktivan + 30 dana nakon brisanja |
| Rezultati kvizova, XP, streak | Dok je račun aktivan |
| Računi i podaci plaćanja | 11 godina (porezne obveze, čl. 86. OZP) |
| AI usage log | 90 dana (rate limit), agregirano dulje |
| Push pretplate | Dok korisnik ne otkaže |
| Log Stripe webhook eventova | 12 mjeseci |
| Cookie i analytics podatci | Prema postavkama korisnika (vidi čl. 7) |
Po brisanju računa, podatke trajno uklanjamo iz aktivnih sustava i iz backupa pri sljedećem ciklusu rotacije backupa (do 90 dana).
6. Vaša prava
Kao ispitanik prema GDPR-u, imate pravo na:
| Pravo | Što znači |
|---|---|
| Pristup (čl. 15) | Tražiti kopiju svih podataka koje imamo o vama. |
| Ispravak (čl. 16) | Tražiti ispravak netočnih podataka. |
| Brisanje (čl. 17) | "Pravo na zaborav" — tražiti potpuno brisanje računa. Iznimka: podatci koji se moraju čuvati zbog pravnih obveza (računi). |
| Ograničenje obrade (čl. 18) | Tražiti da privremeno prekinemo obradu (npr. dok se rješava spor). |
| Prenosivost (čl. 20) | Tražiti izvoz vaših podataka u strojno čitljivom obliku. |
| Prigovor (čl. 21) | Prigovoriti obradi temeljenoj na legitimnom interesu. |
| Opoziv privole (čl. 7) | U svakom trenutku opozvati privolu za push notifikacije, marketing i sl. |
| Prijava nadzornom tijelu (čl. 77) | Agencija za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb · azop@azop.hr · https://azop.hr |
Zahtjeve podnosite na: info@santa-instrukcije.hr. Odgovor dobivate najkasnije u roku od 30 dana (može se produljiti za dodatna 2 mjeseca u složenim slučajevima, uz obavijest).
7. Kolačići (cookies)
7.1. Platforma koristi sljedeće vrste kolačića:
| Vrsta | Svrha | Privola? |
|---|---|---|
| Neophodni (autentifikacija, CSRF token) | Funkcioniranje Platforme | Ne (čl. 5/3 ePrivacy direktive) |
| Postavke (theme, level toggle, language) | Pamćenje korisničkih preferencija | Ne (neophodni za funkciju) |
| Analitika (PostHog, EU) | Razumijevanje korištenja Platforme | Da — opt-in privola, opoziva |
| Marketing [ako bude] | Optimizacija oglasa | Da, opozivo |
7.2. Pri prvom posjetu, Platforma prikazuje banner s mogućnošću prihvaćanja ili odbijanja analitičkih kolačića. Neophodni kolačići uvijek su aktivni jer su nužni za rad Platforme.
7.3. Privolu za analitiku možete promijeniti ili povući u svakom trenutku putem poveznice „Kolačići" u podnožju (footeru) stranice.
8. Sigurnost podataka
8.1. Provodimo razumne tehničke i organizacijske mjere zaštite:
- HTTPS / TLS šifriranje za sav promet između preglednika i servera;
- Lozinke pohranjene kao hash (bcrypt) putem Supabase Auth;
- Row-Level Security (RLS) u bazi — korisnici mogu pristupiti samo svojim redovima;
- Service-role pristup ograničen na server-side komponente;
- Redoviti backupi i monitoring;
- Pristup admin sučelju ograničen i auditiran.
8.2. Nijedan sustav nije savršeno siguran. U slučaju povrede sigurnosti podataka (data breach) koja predstavlja rizik za vaša prava, obavijestit ćemo vas u skladu s čl. 33. i 34. GDPR-a.
9. Maloljetnici
9.1. Platforma je primarno namijenjena učenicima srednjih škola koji se pripremaju za državnu maturu.
9.2. Korisnici mlađi od 16 godina smiju koristiti Platformu samo uz pristanak roditelja ili zakonskog zastupnika (GDPR čl. 8, hrvatska granica privole je 16 godina).
9.3. Ako saznamo da je račun otvorio korisnik mlađi od 16 godina bez pristanka, taj račun ćemo suspendirati i pristup ćemo odobriti tek nakon dokazanog pristanka.
9.4. Roditelj ili zakonski zastupnik može u svakom trenutku zatražiti brisanje računa svog djeteta slanjem zahtjeva na info@santa-instrukcije.hr.
10. Automatizirano donošenje odluka
10.1. Platforma ne koristi automatizirano donošenje odluka koje proizvodi pravne učinke na ispitanika u smislu čl. 22. GDPR-a.
10.2. AI značajke (varijacije, hintovi, eseji) generiraju sadržaj kao pomoć pri učenju, ali ne donose obvezujuće odluke o korisniku, niti utječu na njegov pristup uslugama ili cijene.
11. Promjene Pravila privatnosti
11.1. Ova Pravila mogu se mijenjati radi usklađivanja s propisima ili izmjene poslovnih procesa.
11.2. O bitnim izmjenama obavještavamo korisnike e-mailom najmanje 14 dana prije stupanja na snagu.
11.3. Trenutna verzija uvijek je dostupna na https://quiz.santa-instrukcije.hr/pravila-privatnosti.
12. Kontakt za pitanja o privatnosti
- E-mail: info@santa-instrukcije.hr
- Pošta: Matije Gupca 53, Pojatno, 10290 Zaprešić
- AZOP (nadzorno tijelo): https://azop.hr
Posljednja izmjena: 7. lipnja 2026.