Pravila o privatnosti

1. Tko smo

Voditelj obrade vaših osobnih podataka (u smislu članka 4. točke 7. Opće uredbe o zaštiti podataka - GDPR) je:

MEZI d.o.o. (u daljnjem tekstu: "MEZI", "mi", "nas") upravlja platformom za naručivanje hrane dostupnoj na mezi.online i u pripadajućim mobilnim aplikacijama (u daljnjem tekstu: "Usluga").

2. Što ovaj dokument pokriva

Ova Pravila o privatnosti opisuju koje osobne podatke prikupljamo kada koristite Uslugu, na kojoj pravnoj osnovi ih obrađujemo, koliko ih dugo čuvamo, kome ih prosljeđujemo i koja prava imate u vezi s tim podacima. Pravila su izrađena u skladu s Općom uredbom o zaštiti podataka (Uredba (EU) 2016/679 - GDPR) i hrvatskim Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018).

3. Koje podatke prikupljamo

Podaci koje nam izravno dajete

• Identifikacijski podaci: ime, e-mail, broj telefona
• Lozinka: pohranjuje se u kriptiranom obliku (BCrypt). Mi je nikad ne vidimo i ne možemo je dohvatiti.
• Adresa za dostavu: ulica i kućni broj, grad, koordinate (ako date dopuštenje za korištenje GPS-a)
• Sadržaj narudžbe: stavke menija, dodaci, napomene za restoran/dostavljača
• Recenzije: ocjena i tekst komentara koji ostavljate restoranu ili dostavljaču
• Kontaktni upiti: kada nas kontaktirate putem obrasca, čuvamo poruku i vaše podatke za uzvrat

Podaci koji nastaju kroz korištenje Usluge

• Povijest narudžbi: datumi, iznosi, restorani od kojih ste naručivali
• Bodovi vjernosti i preporuke: stanje bodova, kod za preporuku
• Tehnički podaci: IP adresa, vrsta uređaja, identifikator preglednika (User-Agent) - koriste se za sigurnost i sprječavanje zloupotrebe
• Tokeni za prijavu: sadržaj sesijskog kolačića, opcionalno "zapamti me" token

Podaci koje ne prikupljamo

• Ne prikupljamo podatke o platnoj kartici (plaćanje gotovinom pri dostavi)
• Ne pohranjujemo OIB ili druge identifikacijske dokumente korisnika
• Ne koristimo Google Analytics, Meta Pixel ni druge alate za praćenje preko više web-stranica
• Ne kupujemo niti unajmljujemo vaše podatke od trećih strana

4. Pravna osnova i svrhe obrade

Svaka kategorija obrade temelji se na jednoj od pravnih osnova navedenih u članku 6. GDPR-a:

• Izvršenje ugovora (čl. 6(1)(b)): obrada vaših podataka radi isporuke naručene hrane, komunikacije s restoranom i dostavljačem, i upravljanja vašim računom
• Pravna obveza (čl. 6(1)(c)): čuvanje računovodstvenih podataka u skladu s hrvatskim poreznim propisima
• Privola (čl. 6(1)(a)): slanje promotivnih e-mailova, korištenje funkcionalnih kolačića (npr. "zapamti me"), i druge neobvezne aktivnosti
• Legitimni interes (čl. 6(1)(f)): sigurnost (sprječavanje prijevara, blokiranje zlonamjernih korisnika), poboljšanje kvalitete usluge na temelju recenzija, i operativna logistika dostave

5. Koliko dugo čuvamo vaše podatke

• Podaci o računu (ime, e-mail, telefon, adrese): dok je račun aktivan i 3 godine nakon brisanja računa zbog mogućih reklamacija
• Narudžbe i računi: 11 godina, što odgovara obvezi čuvanja računovodstvene dokumentacije po hrvatskim poreznim propisima. Nakon 3 godine, osobne identifikatore (adresa, telefon, GPS koordinate) anonimiziramo, a ostavljamo samo agregirani fiskalni zapis.
• Lokacijski podaci dostavljača (povijest): 30 dana, zatim brišemo
• Kontaktne poruke: 12 mjeseci
• Tokeni za potvrdu e-maila / promjenu lozinke: brišu se odmah po isteku
• Marketinške privole: dok ne povučete privolu
• Zapisi o privolama (audit log): dok je račun aktivan, kao dokaz da je privola dana (čl. 7. GDPR-a)

6. Komu prosljeđujemo vaše podatke

Vaše podatke ne prodajemo nikome. Dijelimo ih samo s onima koji trebaju određeni dio podataka kako bismo vam mogli pružiti uslugu:

• Restoranu kod kojeg ste naručili: dobiva sadržaj narudžbe, vašu adresu i broj telefona radi pripreme narudžbe i kontakta
• Dostavljaču koji vam dostavlja narudžbu: dobiva istu informaciju, ograničeno na trajanje dostave
• Pružateljima tehničke infrastrukture (izvršitelji obrade po čl. 28. GDPR-a):
  • Hetzner Online GmbH - hosting poslužitelja, baze podataka i medijskih datoteka (Njemačka, EU)
  • Google Cloud (Maps Platform) - geokodiranje adresa i izračun udaljenosti
  • Firebase / Google (FCM) - push obavijesti za dostavljače i mobilne korisnike
  • Infobip - slanje SMS poruka (potvrda telefona, obavijesti o narudžbi)
  • Google (Gmail SMTP) - slanje transakcijskih e-mailova
  • OpenWeatherMap - vremenska prognoza (ne uključuje vaše osobne podatke)

Sa svakim od navedenih pružatelja imamo ugovor o obradi podataka (DPA) sukladno čl. 28. GDPR-a.

7. Prijenos podataka izvan EU

Većina obrade odvija se na poslužiteljima unutar Europske unije (Hetzner, Njemačka). Određeni izvršitelji (Google Cloud, Firebase, Gmail SMTP) mogu obrađivati podatke u SAD-u. Za takve prijenose koristimo Standardne ugovorne klauzule (SCC) koje je odobrila Europska komisija, čime se osigurava odgovarajuća razina zaštite u skladu s poglavljem V. GDPR-a.

8. Vaša prava

Kao ispitanik (čl. 12.–23. GDPR-a) imate sljedeća prava u vezi s vašim podacima:

Za bilo koje od navedenih prava javite nam se na support@mezi.online. Odgovorit ćemo u roku od najviše mjesec dana (čl. 12(3) GDPR-a). Mnoga prava možete ostvariti i sami iz Profila → Moji podaci (preuzimanje podataka, brisanje računa, upravljanje privolama).

9. Sigurnost

Primjenjujemo tehničke i organizacijske mjere u skladu s čl. 32. GDPR-a:

• HTTPS šifriranje za sav promet
• Lozinke pohranjene kao BCrypt hashevi (nikada u običnom tekstu)
• Zaštita od CSRF napada
• Sesijski kolačići s zastavicama HttpOnly, Secure i SameSite=Lax
• Ograničen pristup zaposlenicima - samo onima kojima je nužan za rad
• Redovne sigurnosne kopije baze podataka

U slučaju povrede osobnih podataka koja predstavlja rizik za vaša prava i slobode, obavijestit ćemo AZOP u roku od 72 sata i, ako je rizik visok, izravno i vas.

10. Maloljetnici

Usluga je namijenjena osobama starijim od 16 godina, što odgovara hrvatskoj dobnoj granici za digitalnu privolu (čl. 8. GDPR-a u vezi sa ZPZOP-om). Registracijom potvrđujete da imate 16 ili više godina. Ako saznamo da je račun otvorila osoba mlađa od 16 godina bez roditeljske privole, taj ćemo račun ukloniti.

11. Kolačići

Detaljan popis kolačića i lokalne pohrane koje koristimo, kao i njihovih svrha, dostupan je u zasebnom dokumentu: Politika kolačića.

12. Izmjene ovih Pravila

Ova Pravila o privatnosti možemo s vremena na vrijeme ažurirati. Najnovija verzija uvijek je dostupna na ovoj stranici, a datum zadnje izmjene naveden je pri vrhu. Za bilo koju materijalnu izmjenu obavijestit ćemo vas putem e-maila ili obavijesti unutar Usluge, najmanje 30 dana prije početka primjene.

13. Nadzorno tijelo

Ako smatrate da obrađujemo vaše podatke u suprotnosti s GDPR-om ili hrvatskim propisima, imate pravo podnijeti pritužbu nadzornom tijelu:

14. Kontakt

Za bilo koje pitanje o ovim Pravilima ili o obradi vaših podataka, javite nam se na: