Politika privatnosti

Posljednje ažuriranje: 5. travnja 2026.

1. Identitet voditelja obrade osobnih podataka

Voditelj obrade osobnih podataka u smislu Uredbe (EU) 2016/679 (GDPR) je:

  • Naziv: NUTRA PHARMA CONSULTING S.R.L.
  • CUI: 41299733
  • Sjedište: Calea Călărași 309, Sector 3, București, România
  • E-mail za zaštitu podataka: contact@whistle-box.eu

2. Načelo minimizacije podataka

WhistleBox je osmišljen na načelu „privacy by design” i prikuplja osobne podatke na minimalan način:

  • Stranice za prijavu (/r/) ne postavljaju kolačiće, ne prikupljaju IP adrese, ne koriste mehanizme za fingerprinting ili praćenje.
  • Sadržaj prijava je end-to-end (E2E) enkriptiran na uređaju prijavitelja. Operater nema pristup dekriptiranim podacima.
  • Dashboard zahtijeva autentifikaciju i prikuplja samo strogo potrebne podatke za rad (e-mail, sesija).

3. Koje osobne podatke prikupljamo

a) Podaci Klijenta (organizacija)

  • Podaci računa — e-mail adresa imenovanog lica, naziv organizacije.
  • Javni ključ enkripcije — generiran i pohranjen za E2E enkripciju prijava.
  • Komunikacije — sadržaj e-mailova poslanih nama, zahtjevi za podršku.

b) Podaci Prijavitelja

Minimalno / nulto prikupljanje:

  • IP adresa — ne prikuplja se i ne bilježi na stranicama za prijavu.
  • Kolačići — ne postavljaju se na stranicama za prijavu.
  • Browser fingerprint — ne prikuplja se.
  • Sadržaj prijave — E2E enkriptiran, nedostupan Operateru.
  • Identitet — neobavezan, samo ako prijavitelj odabere identificirati se u tijelu prijave.

c) Automatski prikupljeni podaci (samo na dashboardu)

  • Tehnički podaci — IP adresa, vrsta preglednika (samo za autentificirane korisnike na dashboardu).
  • Sesijski kolačići — sukladno Politici kolačića.

4. Svrhe obrade

  • Pružanje Usluga — kreiranje i upravljanje računom, rad kanala za prijavu, enkripcija i pohrana prijava.
  • Servisne komunikacije — obavijesti o novim prijavama, isteku zakonskih rokova, ažuriranjima Platforme.
  • Sigurnost — zaštita infrastrukture, otkrivanje zlouporaba, sprječavanje neovlaštenog pristupa.
  • Zakonska usklađenost — ispunjavanje zakonskih obveza (Direktiva (EU) 2019/1937, GDPR, porezno zakonodavstvo).

Ne prodajemo, iznajmljujemo niti dijelimo osobne podatke korisnika s trećim stranama u marketinške svrhe.

5. Pravna osnova obrade

Osobne podatke obrađujemo na temelju sljedećih pravnih osnova (čl. 6 GDPR):

Pravna osnovaPrimjenjivost
Izvršenje ugovora (čl. 6.1.b)Pružanje usluge kanala za prijavu organizaciji Klijentu.
Zakonska obveza (čl. 6.1.c)Usklađenost sa Direktiva (EU) 2019/1937, GDPR-om, poreznim i računovodstvenim zakonodavstvom.
Legitimni interes (čl. 6.1.f)Informacijska sigurnost, sprječavanje zlouporaba, rad Platforme.

6. Trajanje pohrane podataka

  • Podaci računa — za vrijeme trajanja računa i najviše 30 dana nakon zahtjeva za brisanje.
  • Enkriptirane prijave — sukladno politici zadržavanja Klijenta i obvezama iz Direktiva (EU) 2019/1937 (minimalno 5 godina od datuma prijave).
  • Tehnički podaci (dashboard) — najviše 12 mjeseci od prikupljanja.
  • Komunikacije i zahtjevi za podršku — najviše 3 godine od posljednje komunikacije.
  • Podaci o fakturiranju — 10 godina sukladno poreznom zakonodavstvu Rumunjske (Zakon br. 82/1991).

7. Podizvršitelji obrade i međunarodni prijenosi

Osobnim podacima mogu pristupiti ili ih obrađivati sljedeći podizvršitelji obrade:

Podizvršitelj obradeSvrhaLokacijaMehanizam prijenosa
Hetzner Online GmbHHosting, poslužiteljska infrastrukturaNjemačka (EGP)Nije potrebno — unutar EGP-a
ResendTransakcijski e-mailSADSCCs (Standardne ugovorne klauzule)
NETOPIA PaymentsObrada kartičnih plaćanjaRumunjska (EGP)Nije potrebno — unutar EGP-a
SmartBillElektroničko fakturiranjeRumunjska (EGP)Nije potrebno — unutar EGP-a

Za prijenose podataka izvan EGP-a oslanjamo se na Standardne ugovorne klauzule (SCCs) odobrene od Europske komisije.

Važno: Sadržaj prijava je E2E enkriptiran i nije dostupan nijednom podizvršitelju obrade.

8. Prava ispitanika

Sukladno GDPR-u, imate sljedeća prava:

  • Pravo pristupa (čl. 15) — dobivanje kopije obrađenih osobnih podataka.
  • Pravo na ispravak (čl. 16) — ispravak netočnih ili nepotpunih podataka.
  • Pravo na brisanje (čl. 17) — brisanje podataka pod uvjetima zakona.
  • Pravo na ograničenje obrade (čl. 18) — ograničenje obrade u određenim situacijama.
  • Pravo na prenosivost podataka (čl. 20) — primanje podataka u strukturiranom formatu (JSON/CSV).
  • Pravo na prigovor (čl. 21) — prigovor na obradu temeljenu na legitimnom interesu.
  • Pravo na povlačenje privole (čl. 7) — povlačenje u bilo kojem trenutku.
  • Pravo da ne budete predmetom automatizirane odluke (čl. 22) — uključujući profiliranje.

Za ostvarivanje prava pošaljite e-mail na contact@whistle-box.eu s predmetom „GDPR zahtjev WhistleBox”.

Napomena za prijavitelje: Ako ste podnijeli anonimnu prijavu i niste se identificirali, Operater ne raspolaže osobnim podacima o Vama.

9. Sigurnost podataka

Primjenjujemo odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka:

  • End-to-end (E2E) enkripcija sadržaja prijava.
  • Enkripcija u prijenosu (TLS 1.2+) za sve komunikacije s poslužiteljem.
  • Lozinke se pohranjuju korištenjem sigurnih algoritama za hashiranje (bcrypt sa salt).
  • Ograničen pristup bazama podataka i infrastrukturi, prema načelu najmanje ovlasti.
  • Poslužitelji u Europskoj uniji (Hetzner Online GmbH, Njemačka).
  • Redovite enkriptirane sigurnosne kopije.
  • Kontinuirani nadzor pristupa i anomalija.
  • Autentifikacija putem JWT tokena s ograničenim trajanjem.
  • Stranice za prijavu (/r/) ne postavljaju kolačiće i ne prikupljaju identifikacijske podatke.

10. Izmjena politike

Operater može povremeno ažurirati ovu politiku. Korisnici će biti obaviješteni putem e-pošte i/ili obavijesti na Platformi najmanje 15 dana prije stupanja na snagu značajnih promjena.

11. Kontakt i nadzorno tijelo

Operater:

  • E-mail: contact@whistle-box.eu
  • NUTRA PHARMA CONSULTING S.R.L. — CUI 41299733
  • Sjedište: Calea Călărași 309, Sector 3, București

Nadzorno tijelo: