Pravila privatnosti
Posljednje ažuriranje: 20. travnja 2026.
1. Voditelj obrade osobnih podataka
Voditelj obrade osobnih podataka je:
BInspired, obrt za uslugeVlasnica: Marina Grandić
Glavinićeva 7, 51000 Rijeka, Republika Hrvatska
MBS: 97921742
E-pošta za pitanja o zaštiti podataka: binspired.obrt@gmail.com
Ova Pravila privatnosti primjenjuju se na mobilnu aplikaciju BajsRoute (u daljnjem tekstu: „Aplikacija") i na pridruženu web stranicu dostupnu na adresi [URL] (u daljnjem tekstu: „Web stranica"). Zajedno se nazivaju „Usluga".
2. Koje osobne podatke prikupljamo i zašto
2.1. Podaci o korisničkom računu
| Podatak | Izvor | Svrha | Pravna osnova |
|---|---|---|---|
| Ime i prezime (Google profil) | Google Sign-In | Identifikacija korisnika u sustavu | Izvršenje ugovora (čl. 6. st. 1. t. (b) GDPR-a) |
| Adresa e-pošte (Google profil) | Google Sign-In | Komunikacija, identifikacija računa | Izvršenje ugovora (čl. 6. st. 1. t. (b) GDPR-a) |
| Jedinstveni korisnički identifikator (UID) | Firebase Authentication | Tehničko povezivanje podataka s korisničkim računom | Izvršenje ugovora (čl. 6. st. 1. t. (b) GDPR-a) |
2.2. Podaci o lokaciji
| Podatak | Izvor | Svrha | Pravna osnova |
|---|---|---|---|
| Trenutna lokacija uređaja (GPS) | Operacijski sustav uređaja, uz dopuštenje korisnika | Generiranje biciklističke rute i prikaz korisnikove pozicije na karti | Privola (čl. 6. st. 1. t. (a) GDPR-a) |
Napomena: Aplikacija pristupa lokaciji isključivo u trenutku korištenja (dok je aplikacija aktivna na zaslonu). Lokacija se ne prati kontinuirano, ne pohranjuje na poslužitelj i ne koristi za profiliranje. Podaci o lokaciji šalju se izravno servisu GraphHopper radi izračuna rute te se ne zadržavaju nakon što je ruta izračunata.
2.3. Korisnički generirani sadržaj (UGC)
| Podatak | Izvor | Svrha | Pravna osnova |
|---|---|---|---|
| Ocjena dionice biciklističke staze (1–5) | Unos korisnika u Aplikaciji | Izračun prosječne ocjene dionice; poboljšanje rutiranja | Legitimni interes (čl. 6. st. 1. t. (f) GDPR-a) |
| Prijava problema (vrsta problema, komentar, lokacija, ozbiljnost) | Unos korisnika u Aplikaciji | Evidentiranje infrastrukturnih nedostataka; prosljeđivanje nadležnima | Legitimni interes (čl. 6. st. 1. t. (f) GDPR-a) |
Legitimni interes voditelja obrade za prikupljanje korisničkog sadržaja temelji se na javnom interesu poboljšanja biciklističke infrastrukture Grada Zagreba, što je ujedno i svrha Aplikacije. Korisnik u svakom trenutku može ostvariti pravo na prigovor sukladno članku 21. GDPR-a (vidjeti odjeljak 7).
2.4. Agregirani (anonimni) podaci
Na temelju pojedinačnih ocjena i prijava problema, sustav automatski izračunava agregirane statističke pokazatelje po dionici staze (prosječna ocjena, broj ocjena, broj otvorenih problema). Ti podaci ne sadrže osobne podatke i ne mogu se povezati s pojedinačnim korisnicima. Agregirani podaci javno su dostupni putem kartografskog prikaza u Aplikaciji.
2.5. Tehnički podaci (web stranica)
Prilikom posjeta Web stranici, poslužitelj automatski bilježi tehničke podatke poput IP adrese, vrste preglednika, operacijskog sustava, datuma i vremena pristupa. Ovi podaci obrađuju se na temelju legitimnog interesa (čl. 6. st. 1. t. (f) GDPR-a) radi osiguravanja sigurnosti i stabilnosti sustava te se ne koriste za identifikaciju posjetitelja. Više o kolačićima: vidjeti Politiku kolačića.
3. Rokovi čuvanja osobnih podataka
| Kategorija podataka | Rok čuvanja |
|---|---|
| Podaci o korisničkom računu (ime, e-pošta, UID) | Do brisanja korisničkog računa od strane korisnika + 30 dana za tehničko čišćenje |
| Ocjene dionica | Do brisanja korisničkog računa. Nakon brisanja, ocjene ostaju uračunate u agregirane vrijednosti, ali se individualna ocjena trajno uklanja. |
| Prijave problema | Do razrješenja problema i isteka roka od 2 (dvije) godine od razrješenja, radi praćenja trendova infrastrukturnog održavanja. Nakon isteka roka, prijava se anonimizira (uklanja se veza s korisničkim računom) ili briše. |
| Podaci o lokaciji | Ne pohranjuju se — koriste se isključivo u radnoj memoriji za izračun rute |
| Agregirani podaci (segmentAgg) | Bez ograničenja — ne sadrže osobne podatke |
| Tehnički zapisnici web stranice (IP, user-agent) | Najviše 90 dana |
4. Primatelji i izvršitelji obrade
Vaše osobne podatke ne prodajemo, ne iznajmljujemo i ne ustupamo trećim stranama u marketinške svrhe. Za pružanje Usluge koristimo sljedeće izvršitelje obrade (procesore):
| Izvršitelj obrade | Sjedište | Svrha | Primjenjivi zaštitni okvir |
|---|---|---|---|
| Google LLC (Firebase Authentication, Cloud Firestore, Cloud Functions, Firebase Hosting) | SAD | Autentikacija korisnika, pohrana podataka, izvršavanje pozadinskih funkcija, posluživanje web stranice | EU-U.S. Data Privacy Framework (DPF); Standardne ugovorne klauzule (SCC) |
| GraphHopper GmbH | Njemačka (EU) | Izračun biciklističke rute na temelju koordinata ishodišta i odredišta | Obrada unutar EU/EGP-a |
| OpenStreetMap Foundation (Nominatim) | Ujedinjeno Kraljevstvo | Geokodiranje (pretvaranje adresa u koordinate i obrnuto) | Javno dostupan API; šalju se samo upiti za geokodiranje, bez korisničkih identifikatora |
Prijenos podataka izvan EU/EGP-a: Firebase usluge koriste infrastrukturu Google LLC-a. Google je certificiran prema EU-U.S. Data Privacy Frameworku. Dodatno, za prijenos podataka primjenjuju se Standardne ugovorne klauzule (SCC) koje je odobrila Europska komisija. Više informacija: Google Cloud Privacy Notice.
5. Kolačići i slične tehnologije
Web stranica koristi ograničen broj tehničkih kolačića neophodnih za njezino funkcioniranje. Pojedinosti su navedene u zasebnoj Politici kolačića.
Mobilna aplikacija ne koristi kolačiće. Firebase Authentication u Aplikaciji koristi lokalni pohranjen token za održavanje korisničke sesije — taj token se automatski briše odjavom korisnika ili brisanjem podataka Aplikacije.
6. Sigurnost podataka
Poduzimamo odgovarajuće tehničke i organizacijske mjere za zaštitu Vaših osobnih podataka od neovlaštenog pristupa, gubitka, uništenja ili izmjene, uključujući:
- prijenos podataka između Aplikacije i poslužitelja odvija se putem šifriranih kanala (TLS/HTTPS);
- pristup korisničkim podacima u bazi podataka ograničen je pravilima pristupa (Firestore Security Rules) — korisnik može pristupiti samo vlastitim podacima, a agregirani podaci su javno dostupni samo za čitanje;
- administrativni pristup podacima (pregled prijava problema, moderacija) ograničen je na ovlaštene osobe s provjerenom ulogom administratora;
- osobni podaci koji se obrađuju na strani poslužitelja (Cloud Functions) ne zapisuju se u zapisnike (logove) osim u anonimiziranom obliku.
7. Vaša prava kao ispitanika
Sukladno Općoj uredbi o zaštiti podataka (GDPR), imate sljedeća prava u vezi s Vašim osobnim podacima:
Pravo na pristup (čl. 15.) — Imate pravo zatražiti potvrdu obrađuju li se Vaši osobni podaci te, ako da, dobiti pristup tim podacima i informacijama o obradi.
Pravo na ispravak (čl. 16.) — Imate pravo zatražiti ispravak netočnih osobnih podataka koji se na Vas odnose.
Pravo na brisanje („pravo na zaborav") (čl. 17.) — Imate pravo zatražiti brisanje Vaših osobnih podataka, uz uvjete propisane GDPR-om. Brisanje korisničkog računa možete zatražiti slanjem zahtjeva na binspired.obrt@gmail.com.
Pravo na ograničenje obrade (čl. 18.) — Imate pravo zatražiti ograničenje obrade Vaših podataka u određenim okolnostima, primjerice ako osporavate točnost podataka.
Pravo na prenosivost podataka (čl. 20.) — Imate pravo zaprimiti Vaše osobne podatke u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ih prenijeti drugom voditelju obrade.
Pravo na prigovor (čl. 21.) — Imate pravo uložiti prigovor na obradu Vaših osobnih podataka koja se temelji na legitimnom interesu voditelja obrade. U tom slučaju ćemo prestati obrađivati Vaše podatke, osim ako ne dokažemo uvjerljive legitimne razloge za obradu koji nadilaze Vaše interese.
Pravo na pritužbu nadzornom tijelu — Ako smatrate da obrada Vaših osobnih podataka nije u skladu s GDPR-om, imate pravo podnijeti pritužbu nadležnom nadzornom tijelu. U Republici Hrvatskoj to je:
Agencija za zaštitu osobnih podataka (AZOP)Selska cesta 136, 10000 Zagreb
www.azop.hr
azop@azop.hr
8. Zahtjevi u vezi s osobnim podacima
Sve zahtjeve u vezi s ostvarivanjem Vaših prava možete uputiti na:
E-pošta: binspired.obrt@gmail.com
Predmet poruke: „Zahtjev — zaštita osobnih podataka"
Odgovoriti ćemo na Vaš zahtjev bez nepotrebnog odgađanja, a najkasnije u roku od 30 dana od primitka zahtjeva. Ako je zahtjev složen ili je zaprimljen velik broj zahtjeva, rok se može produžiti za dodatnih 60 dana, o čemu ćemo Vas obavijestiti.
Radi zaštite Vaše privatnosti, možemo zatražiti dodatnu identifikaciju prije postupanja po zahtjevu.
9. Posebne odredbe za maloljetne osobe
Usluga je namijenjena osobama starijim od 16 godina. Ne prikupljamo svjesno osobne podatke osoba mlađih od 16 godina. Ako saznamo da smo prikupili osobne podatke osobe mlađe od 16 godina bez valjane privole roditelja ili skrbnika, poduzet ćemo razumne korake za brisanje tih podataka.
10. Automatizirano donošenje odluka
Aplikacija ne provodi automatizirano donošenje odluka ni profiliranje u smislu članka 22. GDPR-a. Agregirano izračunavanje prosječnih ocjena dionica staza je statistička operacija koja ne proizvodi pravne učinke niti na sličan način značajno utječe na pojedince.
11. Izmjene Pravila privatnosti
Ova Pravila privatnosti možemo povremeno ažurirati radi usklađivanja s promjenama u Usluzi ili važećim propisima. O značajnim izmjenama obavijestit ćemo Vas putem obavijesti u Aplikaciji ili na Web stranici. Datum posljednjeg ažuriranja naveden je na vrhu ovog dokumenta. Nastavkom korištenja Usluge nakon objave izmjena smatrat će se da ste upoznati s ažuriranim Pravilima.
12. Mjerodavno pravo
Na ova Pravila privatnosti primjenjuje se pravo Republike Hrvatske i Opća uredba o zaštiti podataka (Uredba (EU) 2016/679).