Verzija 1.0 (2026-06-30) — podložno pravnoj reviziji

Politika privatnosti

Posljednje ažurirano: 30. juni 2026.

1. Uvod i kontroler podataka

Dobrodošli na QODY platformu. Ova Politika privatnosti opisuje kako SnowIT d.o.o. Sarajevo ("mi", "nas", "SnowIT", "QODY") prikuplja, koristi, čuva i štiti vaše lične podatke kada koristite QODY platformu za naručivanje i plaćanje u ugostiteljskim objektima.

Kontroler podataka (Data Controller):
SnowIT d.o.o. Sarajevo
JIB: 4203069040007 | Matični broj: 65-01-0621-22
Sjedište: Hamze Čelenke 11, 71210 Ilidža, Sarajevo, BiH
Email: info@snowit.ba

QODY platformu tehnički održava ALAI Holding AS (Norveška) kao podprocesor (sub-processor).

2. Pravna osnova i područje primjene

Ova Politika je u skladu sa:

Zakonom o zaštiti ličnih podataka Bosne i Hercegovine (regulatorni organ: Agencija za zaštitu ličnih podataka BiH / AZLP)
GDPR (General Data Protection Regulation, EU 2016/679) — QODY procesira podatke u Evropskoj uniji (hosting Microsoft Azure, Švedska; plaćanje Stripe EU), te može obrađivati podatke EU rezidentnih gostiju.

3. Koje podatke prikupljamo

3.1 Gosti (anonimni, bez registracije)

Kada skenirate QR kod na stolu i napravite narudžbu, prikupljamo:

Podaci o narudžbi: stavke iz menija, količine, napomene, iznos, napojnica
Sesija: identifikator stola/lokacije, vremenski pečat narudžbe
Opcioni kontakt: email adresa ili broj telefona (samo ako ih Vi unesete — nije obavezno)
Plaćanje: podatke o transakciji obrađuje Stripe (QODY/SnowIT ne čuva podatke o kreditnoj kartici — PCI-DSS SAQ-A nivo). Čuvamo samo: iznos, status plaćanja, Stripe payment ID.
Tehnički podaci: IP adresa, država (via Cloudflare), browser User-Agent, jezik

Ne prikupljamo: ime, prezime, adresu stanovanja, JMBG, biometrijske podatke.

3.2 Merchantsi i osoblje

Account podaci: email, ime, prezime, lozinka (hashirana argon2id)
Podaci o objektu: naziv, adresa, matični broj, JIB, logo
Platne informacije: Stripe Connect Account ID ili Monri merchant credentials (šifrovano)
2FA: TOTP tajni ključ (ako aktivirate step-up 2FA)
Audit log: zapisi o promjenama

3.3 Kontakt forma (qody.ba)

Ako pošaljete upit: ime, naziv objekta, email, telefon, poruka. Šalju se na info@snowit.ba i čuvaju do rješavanja upita.

4. Svrha obrade podataka

Kategorija podataka	Svrha	Pravna osnova
Narudžbe, stol, stavke	Izvršenje narudžbe, slanje na kuhinju	Legitimni interes
Plaćanje (Stripe/Monri)	Procesiranje plaćanja, refund, fiskalizacija	Izvršenje ugovora
Email/telefon (opciono)	Slanje email računa, obavijesti	Saglasnost
IP, geolocation	Prevencija prevara, tehnička sigurnost	Legitimni interes
Merchant account	Upravljanje objektom, pristup dashboardu	Izvršenje ugovora
Audit log	Compliance, sigurnost, sporovi	Legitimni interes + pravna obaveza

5. Koliko dugo čuvamo podatke

Narudžbe i transakcije: 3 godine od datuma narudžbe
Fiskalna dokumentacija i plaćanja: 5 godina (BiH zakon o računovodstvu)
Audit log: 5 godina
Merchant account: Dok je ugovor aktivan + 1 godina nakon deaktivacije
Kontakt forma: Do rješavanja upita, potom brisanje

Nakon isteka perioda, podaci se trajno brišu ili anonimiziraju.

6. Sa kim dijelimo vaše podatke

Procesor	Svrha	Lokacija	Pravna osnova
Microsoft Azure	Cloud hosting, baza podataka	Švedska (EU)	GDPR, EU SCC
Stripe Payments Europe Ltd.	Procesiranje plaćanja	Irska (EU)	GDPR, Stripe DPA
Cloudflare	CDN, DNS, DDoS zaštita	EU edge nodes	GDPR, Cloudflare DPA
ALAI Holding AS	Tehnički operations	Norveška (EEA)	GDPR, adekvatna zaštita
Monri (planiran)	BiH payment gateway	BiH	DPA (u pripremi)

Ne prodajemo vaše podatke trećim stranama u marketinške svrhe.

7. Vaša prava

Pod BiH Zakonom o zaštiti ličnih podataka i GDPR-om, imate pravo na: pristup, ispravku, brisanje ("pravo na zaborav"), ograničenje obrade, prigovor, prenosivost podataka, povlačenje saglasnosti.

Zahtjeve šaljite na: info@snowit.ba. Rok odgovora: 30 dana.

Žalbu možete podnijeti: Agencija za zaštitu ličnih podataka BiH (AZLP) — www.azlp.ba

8. Sigurnost podataka

Šifrovanje u transportu: TLS 1.3 (HTTPS)
Šifrovanje u mirovanju: Azure Database encryption at rest
Lozinke: argon2id hashing (bez plaintext)
Row-Level Security (RLS): Postgres RLS izolacija podataka između merchantsa
2FA: TOTP za osjetljive operacije

Breach notification: U slučaju proboja podataka, obavijestit ćemo AZLP i pogođene korisnike u roku od 72 sata, u skladu sa GDPR-om.

9. Kolačići i praćenje

QODY koristi minimalan broj kolačića — samo striktno neophodne. Trenutno ne koristimo analitičke ni marketing kolačiće.

Detalji: Politika kolačića.

10. Djeca

QODY nije namijenjen licima mlađim od 16 godina. Ako saznamo da smo prikupili podatke djeteta mlađeg od 16 godina bez saglasnosti roditelja, odmah ih brišemo.

11. Izmjene ove Politike

Izmjene stupaju na snagu 30 dana nakon publikacije. Značajne izmjene najavljivat ćemo emailom ili banerom na platformi.

12. Kontakt

Email: info@snowit.ba
Pošta: SnowIT d.o.o. Sarajevo, Hamze Čelenke 11, 71210 Ilidža, BiH
DPO: SnowIT trenutno nema imenovanog DPO-a. Za pitanja o zaštiti podataka pišite na info@snowit.ba.