Politika privatnosti

Provjeri našu Politiku privatnosti

Saznaj kako se odnosimo prema privatnosti!

Factory d.o.o.

Verzija: 1.0 Mjerodavno pravo: Republika Hrvatska / EU (GDPR) Napomena o jeziku: Ova politika dostupna je na hrvatskom i engleskom jeziku. U slučaju bilo kakvog nesklada između dviju verzija, hrvatski tekst ima prednost.

Ova Politika privatnosti opisuje kako Factory d.o.o. (“Factory”, “mi”, “nas”) prikuplja, upotrebljava i štiti osobne podatke u tri zasebna konteksta:

  • Dio A — Obrada putem naše web stranice (factory.dev), gdje Factory djeluje kao voditelj obrade.
  • Dio B — Naš Softver (Microsoft Dynamics add-on proizvodi), gdje Factory djeluje kao dobavljač softvera. Klijent je jedini voditelj obrade za sve podatke obrađene korištenjem Softvera. Factory postaje izvršitelj obrade samo u posebnim scenarijima koji uključuju pristup Klijentovu okruženju (udaljena podrška, hostirane usluge).
  • Dio C — Prikupljanje anonimizirane telemetrije iz našeg Softvera, gdje Factory djeluje kao voditelj obrade.

1. Voditelj obrade

Factory d.o.o. Poduzetnička zona II 18 (Poduzetnički inkubator) 33 000 Virovitica, Republika Hrvatska Telefon: +385 33 638 271 Email: hello@factory.dev OIB: 47726994562

2. Službenik za zaštitu podataka

Martina Vašarević Email: dpo@factory.dev

Našem službeniku za zaštitu podataka možete se obratiti izravno u bilo kojem trenutku s pitanjima ili zahtjevima koji se odnose na obradu vaših osobnih podataka.

3. Pravni okvir

Osobni podaci obrađuju se u skladu sa:

  • Uredbom (EU) 2016/679 — Opća uredba o zaštiti podataka (GDPR)
  • Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18) — hrvatski Zakon o provedbi GDPR-a
  • Zakonom o elektroničkim komunikacijama — za upotrebu kolačića i elektroničke komunikacije

4. Pravne osnove

Osobne podatke obrađujemo samo kada postoji valjana pravna osnova prema članku 6. GDPR-a:

Pravna osnova

Kada se primjenjuje

Čl. 6. st. 1. t. (a) — Privola

Analitički kolačići, marketinški kolačići, pretplata na newsletter

Čl. 6. st. 1. t. (b) — Ugovor

Obrada nužna za odgovor na predugovorne upite ili izvršenje ugovora

Čl. 6. st. 1. t. (c) — Zakonska obveza

Usklađenost s hrvatskim poreznim, računovodstvenim i drugim zakonskim obvezama

Čl. 6. st. 1. t. (f) — Legitimni interes

Dnevničke datoteke web stranice, odgovaranje na upite putem kontakt forme, sigurnosne mjere

Dio A — Obrada putem web stranice (factory.dev)

U ovom dijelu Factory d.o.o. djeluje kao voditelj obrade.

A.1 Dnevničke datoteke web stranice

Kada posjetite factory.dev isključivo u informativne svrhe, naš poslužitelj automatski bilježi sljedeće podatke u dnevničkim datotekama poslužitelja:

  • Vrsta i verzija preglednika
  • Operativni sustav
  • URL upućivača (prethodno posjećena stranica)
  • Stranice kojima se pristupilo na našoj web stranici
  • Datum i vrijeme pristupa
  • IP adresa (anonimizirana)
  • Pružatelj internetskih usluga

Ti se podaci upotrebljavaju za osiguravanje tehničkog funkcioniranja web stranice, optimizaciju sadržaja i pružanje informacija potrebnih tijelima za provedbu zakona u slučaju sigurnosnog incidenta. Dnevnički podaci pohranjuju se odvojeno od svih osobno identificirajućih podataka koje nam dostavite.

Pravna osnova: čl. 6. st. 1. t. (f) GDPR-a — legitimni interes za održavanje funkcionalne i sigurne web stranice. Razdoblje pohrane: 30 dana, nakon čega se automatski brišu.

A.2 Kolačići

Kolačići su male tekstualne datoteke koje se pohranjuju na vašem uređaju kada posjetite našu web stranicu. Upotrebljavamo sljedeće kategorije kolačića.

A.2.1 Nužni kolačići

Ti su kolačići strogo potrebni za funkcioniranje web stranice i postavljaju se bez privole.

Kolačić

Pružatelj

Svrha

Istek

cookieConsent

factory.dev

Pohranjuje vaše postavke privole za kolačiće

1 godina

PHPSESSID / session

factory.dev

Upravljanje sesijom

Sesija

Pravna osnova: čl. 6. st. 1. t. (f) GDPR-a — legitimni interes za rad web stranice.

A.2.2 Analitički kolačići

  • Ti se kolačići postavljaju samo nakon što ste dali privolu putem našeg bannera za kolačiće.

Kolačić

Pružatelj

Svrha

Istek

_ga

Google Analytics

Razlikuje jedinstvene korisnike

2 godine

ga*

Google Analytics

Stanje sesije (GA4)

2 godine

_gid

Google Analytics

Razlikuje korisnike

24 sata

Google Analytics izrađuje pseudonimizirane korisničke profile. IP adrese se anonimiziraju (maskiranje IP adrese). Podaci se prenose na Googleove poslužitelje u Sjedinjenim Američkim Državama.

Pravna osnova: čl. 6. st. 1. t. (a) GDPR-a — privola. Prijenos u treću zemlju: Google LLC certificiran je prema EU-US Data Privacy Frameworku (odluka o primjerenosti, čl. 45. GDPR-a). Sklopljen je ugovor o obradi podataka. Isključivanje: Privolu možete povući u bilo kojem trenutku putem postavki kolačića na našoj web stranici ili instalirati dodatak za preglednik za isključivanje Google Analyticsa na https://tools.google.com/dlpage/gaoptout

A.2.3 Marketinški kolačići

Ti se kolačići postavljaju samo nakon što ste dali privolu putem našeg bannera za kolačiće.

Kolačić

Pružatelj

Svrha

Istek

_gcl_au

Google Ads

Praćenje konverzija

90 dana

IDE

Google Ads

Remarketing

1 godina

Pravna osnova: čl. 6. st. 1. t. (a) GDPR-a — privola. Prijenos u treću zemlju: Google LLC — primjenjuje se odluka o primjerenosti EU-US Data Privacy Frameworka. Isključivanje: Povucite privolu putem postavki kolačića ili posjetite https://www.google.com/settings/ads

A.2.4 Upravljanje postavkama kolačića

Svoju privolu za kolačiće možete promijeniti ili povući u bilo kojem trenutku putem postavki kolačića dostupnih u podnožju naše web stranice. Povlačenje privole ne utječe na zakonitost obrade provedene prije povlačenja.

A.3 Kontakt forma i izravni upiti

Kada nas kontaktirate putem kontakt forme na našoj web stranici ili emailom, prikupljamo informacije koje nam dostavite (ime, email adresa, tvrtka i sadržaj vaše poruke).

Ti se podaci upotrebljavaju isključivo za odgovor na vaš upit. Ne dijele se s trećim stranama, osim kada je to propisano zakonom.

Pravna osnova: čl. 6. st. 1. t. (f) GDPR-a — legitimni interes za odgovaranje na upite; dodatno čl. 6. st. 1. t. (b) GDPR-a kada se upit odnosi na mogući ugovor. Razdoblje pohrane: Podaci se brišu nakon što je vaš upit u potpunosti riješen i kada se ne primjenjuje zakonska obveza pohrane, obično u roku od 12 mjeseci.

A.4 Newsletter (MailChimp)

Možete se pretplatiti na naš newsletter na factory.dev. Upotrebljavamo postupak dvostruke potvrde: nakon što pošaljete svoju email adresu, šalje se potvrdni email kako bi se provjerilo da imate pristup toj adresi i da ste odobrili pretplatu.

Podaci prikupljeni prilikom pretplate: email adresa, ime (ako je navedeno), IP adresa i vremenska oznaka potvrde privole.

Ti se podaci prenose našem pružatelju newsletter usluge i pohranjuju kod njega:

The Rocket Science Group, LLC d/b/a MailChimp 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, SAD

Naši newsletteri mogu sadržavati piksele za praćenje koji nam omogućuju da utvrdimo je li email otvoren i na koje se poveznice kliknulo. Ti se podaci upotrebljavaju u pseudonimiziranom obliku za optimizaciju sadržaja našeg newslettera.

Pravna osnova: čl. 6. st. 1. t. (a) GDPR-a — privola. Prijenos u treću zemlju: S MailChimpom je sklopljen ugovor o obradi podataka na temelju standardnih ugovornih klauzula EU-a (Odluka Komisije EU-a 2021/914). Odjava: Možete se odjaviti u bilo kojem trenutku putem poveznice za odjavu u bilo kojem newsletter emailu ili kontaktiranjem dpo@factory.dev. Odjava se smatra povlačenjem privole. Razdoblje pohrane: Podaci pretplatnika na newsletter brišu se u roku od 30 dana od odjave.

A.5 Prijave za posao (Talentlyft)

Kandidati koji se prijavljuju za radna mjesta u Factoryju putem naše stranice za karijere dostavljaju podatke za prijavu putem Talentlyfta, platforme za zapošljavanje. Prikupljeni podaci uključuju: ime, kontaktne podatke, životopis, motivacijsko pismo i sve druge informacije koje su dobrovoljno dostavljene.

Podaci iz prijave upotrebljavaju se isključivo za procjenu vaše kandidature. Ako se sklopi ugovor o radu, podaci se zadržavaju u svrhu administracije zaposlenja. Ako se ugovor ne sklopi, podaci iz prijave brišu se šest mjeseci nakon obavijesti o odluci o odbijanju, osim ako zakonske obveze ili postupci u tijeku zahtijevaju dulje razdoblje pohrane.

Pravna osnova: čl. 6. st. 1. t. (b) GDPR-a — obrada nužna za poduzimanje radnji na zahtjev ispitanika prije sklapanja ugovora. Razdoblje pohrane: 6 mjeseci nakon odbijanja ili tijekom trajanja radnog odnosa.

A.6 Izjave

Kada na našoj web stranici prikazujemo izjave, citate ili reference iz studija slučaja klijenata, zaposlenika ili pripravnika, prije objave bilo koje osobno identificirajuće informacije (ime, uloga, tvrtka) pribavljamo prethodnu pisanu privolu dotične osobe.

Pravna osnova: čl. 6. st. 1. t. (a) GDPR-a — privola.

A.7 Vanjske poveznice

Naša web stranica može sadržavati poveznice na web stranice trećih strana. Factory nije odgovoran za prakse zaštite podataka ili sadržaj tih web stranica. Preporučujemo da pregledate politiku privatnosti svake web stranice koju posjetite.

A.8 Treći izvršitelji obrade (web stranica)

Factory dijeli podatke web stranice sa sljedećim izvršiteljima obrade, koji su svi vezani ugovorima o obradi podataka:

Izvršitelj obrade

Svrha

Lokacija

Mehanizam prijenosa

Google LLC

Analitika (GA4), oglašavanje (Ads)

SAD

EU-US Data Privacy Framework

The Rocket Science Group LLC (MailChimp)

Dostava newslettera i praćenje

SAD

Standardne ugovorne klauzule

Talentlyft

Zapošljavanje i praćenje prijava kandidata

EU

Unutar EGP-a — nije potreban mehanizam prijenosa

Dio B — Softverski proizvod (Factory kao dobavljač softvera)

U ovom dijelu Factory d.o.o. djeluje kao dobavljač softvera i davatelj licencije. Klijent je jedini voditelj obrade za sve osobne podatke obrađene korištenjem Softvera.

B.1 Uloga Factoryja — dobavljač softvera, ne izvršitelj obrade

Factory razvija i licencira dodatni softver za Microsoft Dynamics i Pimcore. Kada Klijent instalira i koristi Softver u vlastitom okruženju — bilo na vlastitim poslužiteljima (On-Premises Deployment) ili unutar vlastitog Microsoft Tenanta (Cloud Deployment) — Factory ne pristupa, ne prima niti obrađuje osobne podatke koje Klijentovi korisnici unose ili pohranjuju unutar Softvera.

U ovom standardnom modelu implementacije:

  • Klijent je jedini voditelj obrade prema članku 4. stavku 7. GDPR-a — odgovoran za određivanje koji se osobni podaci obrađuju korištenjem Softvera, u koje svrhe, na kojoj pravnoj osnovi i koliko dugo.
  • Factory je dobavljač softvera — Factory isporučuje kod i ne obrađuje osobne podatke u ime Klijenta. Factory nema pristup Klijentovim poslužiteljima, bazi podataka, Microsoft Tenantu, Pimcore instanci ili podacima koji se nalaze unutar Softvera.

Obveze prema GDPR-u za osobne podatke obrađene putem Softvera — uključujući osiguravanje zakonite osnove, informiranje ispitanika, postupanje po zahtjevima ispitanika i osiguravanje sigurnosti podataka — u cijelosti su odgovornost Klijenta.

B.2 Kada Factory može djelovati kao izvršitelj obrade

Uloga Factoryja mijenja se u ulogu izvršitelja obrade (članak 4. stavak 8. GDPR-a) samo u posebnim okolnostima kada Factoryjevo osoblje dobije pristup Klijentovu okruženju ili podacima:

Scenarij

Uloga Factoryja

Potreban DPA?

Standardna isporuka koda — On-Premises, Microsoft Tenant ili Pimcore implementacija pod kontrolom Klijenta, bez Factoryjevog pristupa

Dobavljač softvera

Ne

Udaljena tehnička podrška — Factoryjev inženjer pristupa Klijentovu okruženju radi dijagnosticiranja ili rješavanja problema

Izvršitelj obrade tijekom trajanja te aktivnosti

Da

Usluga koju hosta Factory — svaka komponenta Softvera kojom Factory upravlja na Factoryjevoj infrastrukturi i koja obrađuje Klijentove podatke

Izvršitelj obrade

Da

Kada Factory djeluje kao izvršitelj obrade, prije bilo kakvog takvog pristupa mora biti sklopljen ugovor o obradi podataka (DPA) usklađen s člankom 28. GDPR-a. DPA uređuje opseg, svrhu i trajanje obrade; sigurnosne obveze; pravila o podizvršiteljima obrade; te vraćanje ili brisanje podataka.

Za dogovor oko DPA-a ili zahtjev za pristup radi udaljene podrške kontaktirajte: dpo@factory.dev

B.3 Prava ispitanika — korisnici Softvera

Ako ste pojedinac čiji je osobni podatak Klijent unio u Softver, svoja prava prema GDPR-u (pristup, ispravak, brisanje itd.) morate ostvarivati izravno kod tog Klijenta, koji je vaš voditelj obrade. Factory nema uvid u vaše podatke niti pristup vašim podacima i ne može odgovoriti na takve zahtjeve u ime Klijenta.

Dio C — Telemetrija Softvera (Factory kao voditelj obrade)

U ovom dijelu Factory d.o.o. djeluje kao voditelj obrade za anonimizirane podatke o korištenju prikupljene iz Softvera.

C.1 Anonimizirani podaci o korištenju i telemetriji

Factory može prikupljati anonimizirane i agregirane tehničke podatke o korištenju iz Softvera kako bi razumio kako se proizvod koristi, poboljšao funkcionalnost i odredio prioritete razvoja. To uključuje podatke kao što su: učestalost korištenja značajki, stope pogrešaka, metrike performansi i broj sesija.

Ti se podaci anonimiziraju i agregiraju prije prikupljanja — ne mogu se koristiti za identifikaciju bilo kojeg pojedinačnog korisnika ili klijenta. Telemetrijom se ne prikupljaju osobni podaci (imena, email adrese, zapisi klijenata ili poslovni podaci).

Pravna osnova: čl. 6. st. 1. t. (f) GDPR-a — legitimni interes za poboljšanje kvalitete i pouzdanosti naših softverskih proizvoda.

C.2 Što se ne prikuplja

Factory putem telemetrije ne prikuplja:

  • Bilo kakve osobne podatke koje korisnici unose u Softver
  • Poslovne podatke Klijenta (narudžbe, račune, kontakte, financijske evidencije)
  • Identitete korisnika, email adrese ili vjerodajnice za prijavu
  • Bilo koje podatke koji se mogu pripisati određenom pojedincu ili tvrtki

C.3 Isključivanje

Klijenti mogu onemogućiti prikupljanje telemetrije prilagodbom postavki Softvera kako je opisano u Dokumentaciji ili kontaktiranjem dpo@factory.dev.

5. Prava u vezi s podacima

Prema Poglavlju III GDPR-a i hrvatskom Zakonu o provedbi Opće uredbe o zaštiti podataka (NN 42/18), imate sljedeća prava u vezi s osobnim podacima koje Factory obrađuje kao voditelj obrade (Dijelovi A i C iznad):

Pravo na pristup (članak 15. GDPR-a)

Imate pravo dobiti potvrdu o tome obrađujemo li osobne podatke o vama te primiti kopiju tih podataka zajedno s informacijama o svrhama, kategorijama, primateljima, razdobljima pohrane i izvoru podataka.

Pravo na ispravak (članak 16. GDPR-a)

Imate pravo zatražiti trenutačan ispravak netočnih osobnih podataka i dopunu nepotpunih osobnih podataka.

Pravo na brisanje (članak 17. GDPR-a)

Imate pravo zatražiti brisanje svojih osobnih podataka kada: više nisu potrebni za svrhu za koju su prikupljeni; povučete privolu i ne postoji druga pravna osnova; uložite prigovor, a mi nemamo jače legitimne razloge; ili su podaci nezakonito obrađeni.

Pravo na ograničenje obrade (članak 18. GDPR-a)

Imate pravo zatražiti da ograničimo obradu vaših podataka — što znači da ih možemo pohraniti, ali ih ne smijemo drukčije upotrebljavati — dok se osporava točnost podataka, dok je prigovor u tijeku ili kada je obrada nezakonita, ali ne želite da se podaci izbrišu.

Pravo na prenosivost podataka (članak 20. GDPR-a)

Kada se obrada temelji na privoli ili ugovoru i provodi se automatiziranim sredstvima, imate pravo primiti svoje osobne podatke u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ih prenijeti drugom voditelju obrade.

Pravo na prigovor (članak 21. GDPR-a)

Imate pravo u bilo kojem trenutku uložiti prigovor na obradu koja se temelji na našem legitimnom interesu (čl. 6. st. 1. t. (f) GDPR-a), uključujući profiliranje. Prestat ćemo s obradom osim ako možemo dokazati uvjerljive legitimne razloge koji nadilaze vaše interese, prava i slobode.

Imate apsolutno pravo u bilo kojem trenutku uložiti prigovor na upotrebu vaših podataka u svrhe izravnog marketinga.

Pravo na povlačenje privole (članak 7. stavak 3. GDPR-a)

Kada se obrada temelji na privoli, svoju privolu možete povući u bilo kojem trenutku s učinkom za budućnost. Povlačenje ne utječe na zakonitost obrade provedene prije povlačenja.

Pravo na podnošenje pritužbe (članak 77. GDPR-a)

Imate pravo podnijeti pritužbu hrvatskom nadzornom tijelu za zaštitu podataka:

Agencija za zaštitu osobnih podataka (AZOP) Selska cesta 136, 10 000 Zagreb, Republika Hrvatska Web: azop.hr Email: azop@azop.hr

Pritužbu možete podnijeti i nadzornom tijelu svojeg uobičajenog boravišta ili mjesta rada.

Za ostvarivanje bilo kojeg od navedenih prava kontaktirajte našeg službenika za zaštitu podataka na dpo@factory.dev. Odgovorit ćemo u roku od 30 dana od zaprimanja vašeg zahtjeva, kako je propisano člankom 12. GDPR-a.

6. Razdoblja pohrane

Kategorija podataka

Razdoblje pohrane

Dnevničke datoteke poslužitelja web stranice

30 dana

Upiti putem kontakt forme / emaila

12 mjeseci nakon rješavanja

Podaci pretplatnika na newsletter

Do odjave + 30 dana

Podaci iz prijava za posao (odbijeni kandidati)

6 mjeseci nakon obavijesti o odbijanju

Podaci iz prijava za posao (zaposleni kandidati)

Trajanje radnog odnosa + primjenjivo zakonsko razdoblje

Evidencije o privoli za izjave

Trajanje objave + 3 godine

Evidencije o privoli za kolačiće

1 godina od privole

Podaci iz računa / ugovora (zakonska obveza)

11 godina (hrvatsko računovodstveno zakonodavstvo)

Podaci se brišu ili anonimiziraju nakon isteka primjenjivog razdoblja pohrane, osim ako je dulje razdoblje propisano zakonom ili je potrebno za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.

7. Sigurnost

Factory provodi odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa. Te mjere uključuju:

  • Tehničke: HTTPS/TLS enkripciju za sav prijenos podataka, kontrole pristupa, pseudonimizaciju gdje je primjenjivo, redovite sigurnosne procjene.
  • Organizacijske: politike zaštite podataka, edukaciju zaposlenika, ugovorne obveze povjerljivosti za sve osobe koje imaju pristup osobnim podacima, ugovore o obradi podataka sa svim trećim izvršiteljima obrade.

8. Prijenosi podataka u treće zemlje

Neki od naših trećih izvršitelja obrade nalaze se u zemljama izvan Europskog gospodarskog prostora (EGP). Osiguravamo da su svi takvi prijenosi u skladu s Poglavljem V GDPR-a:

Izvršitelj obrade

Zemlja

Mehanizam prijenosa

Google LLC (Analytics, Ads)

SAD

EU-US Data Privacy Framework (odluka o primjerenosti prema čl. 45. GDPR-a)

MailChimp (The Rocket Science Group LLC)

SAD

Standardne ugovorne klauzule — Odluka Komisije EU-a 2021/914

Ne prenosimo osobne podatke u zemlje izvan EGP-a osim ako je uspostavljen jedan od gore navedenih mehanizama ili drugi mehanizam dopušten prema Poglavlju V GDPR-a.

9. Ažuriranja ove Politike

Factory može povremeno ažurirati ovu Politiku privatnosti kako bi odražavala promjene u našim praksama obrade podataka ili primjenjivom pravu. O bitnim promjenama obavijestit ćemo korisnike objavom ažurirane politike na factory.dev i ažuriranjem broja verzije i datuma na vrhu ovog dokumenta.

Daljnje korištenje naše web stranice ili Softvera nakon datuma stupanja na snagu izmijenjene politike predstavlja prihvaćanje promjena, u mjeri dopuštenoj primjenjivim pravom.

10. Kontakt

Za sva pitanja o ovoj Politici privatnosti ili ostvarivanje svojih prava ispitanika:

Službenik za zaštitu podataka Martina Vašarević dpo@factory.dev

Factory d.o.o. Poduzetnička zona II 18 (Poduzetnički inkubator) 33 000 Virovitica, Republika Hrvatska Telefon: +385 33 638 271 Email: hello@factory.dev