Politika privatnosti
Verzija 1.0 — 14. svibnja 2026.
Ova politika objašnjava tko smo, koje podatke prikupljamo, zašto, gdje ih čuvamo, tko im ima pristup i kako možete ostvariti svoja prava. Sastavljena je u skladu s člancima 13. i 14. Uredbe (EU) 2016/679 (Opća uredba o zaštiti podataka, „GDPR”).
Napomena o transparentnosti. Ovo je prvi tekst platforme Bliska, napisan u pilot-fazi. Prije javne dostupnosti platforme pregledat će ga pravni stručnjak. Ako Vam neka formulacija ne djeluje jasno, pišite nam na
hello@bliska.net.
1. Tko je voditelj obrade
Platformom Bliska upravlja:
Davide Lo Bartolo
Adresa: [poslovna adresa]
Porezni broj (talijanski codice fiscale): LBRDVD04B14L840B
E-pošta: hello@bliska.net
Bliska nema imenovanog službenika za zaštitu podataka jer opseg projekta to ne zahtijeva u smislu članka 37. GDPR-a. Za sva pitanja u vezi s obradom osobnih podataka možete pisati na hello@bliska.net.
2. Koje podatke prikupljamo
2.1 Podaci za kontakt i identifikaciju
- Ime i prezime
- E-pošta
- Broj telefona
- Datum rođenja
- Lozinka (pohranjena u kriptiranom obliku, nikada u čitljivom tekstu)
2.2 Podaci o zdravlju (posebne kategorije, članak 9. GDPR-a)
Kako bismo Vas povezali s prikladnim terapeutom, prikupljamo Vaše odgovore na početni upitnik: kako se osjećate, eventualna ranija iskustva s terapeutom, želje u pogledu spola i dobi terapeuta te željene dane i termine. Te informacije otkrivaju aspekte Vašega psihičkog zdravlja i stoga spadaju u posebne kategorije osobnih podataka iz članka 9. GDPR-a. Obrađujemo ih tek nakon što dobijemo Vašu izričitu privolu, koju tražimo na zasebnom zaslonu prije početka upitnika.
2.3 Podaci o seansama
- Datumi, termini, status (potvrđena, održana, otkazana)
- Naznaka terapeuta koji Vas je pratio
- Eventualno izdani računi
Bliska ne snima, ne transkribira i ne pohranjuje sadržaj videoseansi. Videosobe pruža Whereby i ni u kojem obliku ne ostavljamo trag razgovora.
2.4 Podaci o plaćanju
Podaci o kartici ne prolaze kroz naše poslužitelje. Prikuplja ih i pohranjuje izravno Stripe Payments Europe Ltd. Mi pohranjujemo samo tehničke identifikatore za povezivanje računa s Vašom osobom (ID transakcije, ID korisnika na Stripeu).
2.5 Tehnički podaci
- IP adresa, vrsta preglednika, jezik, vremenska zona (radi sigurnosti i tehničke dijagnostike)
- Zapisi o pristupu i radnjama nad zdravstvenim podacima (revizijski trag, u smislu članka 32. GDPR-a)
2.6 Podaci o e-pošti
Kada Vam šaljemo transakcijsku e-poštu (potvrde, podsjetnike, račune), bilježimo samo datum slanja i status isporuke. Ne bilježimo otvarate li poruku niti klikate li na poveznice.
Ako se zasebno pretplatite na newsletter, slanje vodimo putem MailerLitea te se u tom slučaju primjenjuje njihova politika privatnosti.
3. Zašto obrađujemo Vaše podatke i na kojoj pravnoj osnovi
| Svrha | Pravna osnova |
|---|---|
| Stvaranje i upravljanje Vašim računom | Izvršavanje ugovora (čl. 6. st. 1. t. b GDPR-a) |
| Povezivanje s terapeutom putem upitnika | Izričita privola (čl. 9. st. 2. t. a GDPR-a) |
| Provođenje seansi | Izvršavanje ugovora + privola za obradu zdravstvenih podataka |
| Izdavanje računa | Zakonska obveza (čl. 6. st. 1. t. c GDPR-a) |
| Servisne obavijesti (potvrde, podsjetnici) | Izvršavanje ugovora |
| Newsletter | Privola (čl. 6. st. 1. t. a GDPR-a), opoziva u svakom trenutku |
| Sigurnost, sprječavanje prijevara, revizija | Legitimni interes (čl. 6. st. 1. t. f GDPR-a) |
4. Koliko dugo čuvamo podatke
| Vrsta podatka | Razdoblje čuvanja |
|---|---|
| Aktivni račun | Do brisanja računa |
| Zdravstveni podaci (upitnik, seanse) | Do brisanja računa, zatim 30 dana sigurnosne kopije, pa uništavanje |
| Računi i porezni podaci | 10 godina od izdavanja (zakonska obveza) |
| Revizijski zapisi o pristupu zdravstvenim podacima | 12 mjeseci |
| Newsletter | Do odjave |
| E-pošta neprihvaćenih prijava terapeuta | 12 mjeseci, zatim uništavanje |
Brisanje Vašeg računa je trenutačno. Sigurnosne kopije prepisuju se u roku od 30 dana.
5. Tko ima pristup Vašim podacima
Vaši su podaci dostupni samo:
- Vama (Vaši osobni podaci i cijela povijest Vaših seansi)
- Terapeutu koji Vam je dodijeljen (Vaši podaci za kontakt, upitnik, Vaše seanse s njim)
- Voditelju obrade (Davide), u svojstvu administratora platforme, radi rada usluge i podrške
Tehničko osoblje ne pregledava zdravstvene podatke u svrhu razvoja. Kada je pristup nužan radi otklanjanja pogrešaka, provodi se nad anonimiziranim ili sintetičkim podacima.
5.1 Vanjski izvršitelji obrade (podizvršitelji)
Za pružanje usluge koristimo nekoliko pružatelja, svi su vezani ugovorom i imaju poslužitelje u Europskoj uniji:
| Pružatelj | Funkcija | Lokacija podataka |
|---|---|---|
| Supabase Inc. | Baza podataka, autentifikacija, pohrana | Frankfurt (DE) |
| Stripe Payments Europe Ltd. | Plaćanja, izdavanje računa | Irska (IE) |
| Whereby AS | Videopozivi (bez snimanja) | Norveška (NO, primjerena država) |
| Resend, Inc. | Transakcijska e-pošta | Irska (IE) |
| Netlify, Inc. | Hosting sučelja | Europska unija |
| MailerLite Limited | Newsletter (samo uz Vašu privolu) | Irska (IE) |
| Porkbun LLC | Registracija domene | SAD, ne obrađuju se osobni podaci |
Sa svakim od tih pružatelja imamo sklopljen ugovor o obradi podataka (DPA) u smislu članka 28. GDPR-a.
6. Gdje se obrađuju Vaši podaci
Svi podaci koji se odnose na Vas obrađuju se isključivo u Europskoj uniji ili u državama koje je Europska komisija priznala kao „primjerene” u smislu članka 45. GDPR-a.
Osobne podatke ne prenosimo izvan tih država.
7. Vaša prava
U skladu s GDPR-om imate pravo:
- na pristup svojim podacima i dobivanje njihove kopije
- na ispravak ako su netočni ili nepotpuni
- na brisanje („pravo na zaborav”)
- na ograničenje obrade u određenim slučajevima
- na prenosivost podataka drugom voditelju obrade u strojno čitljivom obliku
- na prigovor na obradu koja se temelji na legitimnom interesu
- na povlačenje privole u svakom trenutku (bez utjecaja na zakonitost ranije obrade)
7.1 Kako ostvariti svoja prava
U svom korisničkom prostoru možete:
- samostalno mijenjati ime, e-poštu, telefon i datum rođenja
- izvesti sve svoje podatke u JSON formatu
- izbrisati svoj račun jednim klikom
Za svaki složeniji zahtjev pišite nam na hello@bliska.net. Odgovaramo u roku od 30 dana.
7.2 Pritužba nadzornom tijelu
Ako smatrate da obrada Vaših podataka krši GDPR, možete podnijeti pritužbu hrvatskom nadzornom tijelu, Agenciji za zaštitu osobnih podataka (AZOP) (www.azop.hr), ili nadzornom tijelu države u kojoj imate uobičajeno boravište. Podnošenje pritužbe je besplatno.
8. Sigurnost
Primjenjujemo tehničke i organizacijske mjere za zaštitu Vaših podataka:
- Kriptirane veze (HTTPS s HSTS preload)
- Baza podataka kriptirana u mirovanju (AES-256)
- Obvezna dvofaktorska autentifikacija za administratorske račune
- Sigurnost na razini retka (Row Level Security): svaki korisnik vidi samo ono što se na njega odnosi
- Revizijski zapisi pristupa zdravstvenim podacima, čuvani 12 mjeseci
- Lozinke nikada nisu pohranjene u čitljivom tekstu, uvijek uz bcrypt hashiranje
- Dnevne sigurnosne kopije, čuvane 30 dana
U slučaju povrede osobnih podataka s rizikom za Vaša prava, obavijestit ćemo Vas u roku od 72 sata u skladu s člankom 34. GDPR-a.
9. Kolačići i praćenje
Prijavljeni dio platforme koristi samo jedan tehnički kolačić sesije, nužan da ostanete prijavljeni. Ne možete ga onemogućiti bez ometanja rada usluge. Ne koristimo kolačiće za profiliranje niti kolačiće trećih strana u oglašivačke svrhe.
Na javnoj stranici koristimo Plausible Analytics, anoniman alat za analizu koji ne postavlja kolačiće i ne prati pojedince.
10. Maloljetnici
Bliska je namijenjena osobama od najmanje 18 godina. Ne prikupljamo namjerno podatke maloljetnika. Ako utvrdimo da smo registrirali maloljetnu osobu, brišemo račun.
11. Izmjene ove politike
U slučaju bitnih izmjena obavijestit ćemo Vas e-poštom. Trenutačna verzija navedena je na vrhu dokumenta.
Bliska — Verzija 1.0 od 14. svibnja 2026.