Politika privatnosti
Posljednje ažurirano: 30. juni 2026.
1. Uvod i kontroler podataka
Dobrodošli na QODY platformu. Ova Politika privatnosti opisuje kako SnowIT d.o.o. Sarajevo ("mi", "nas", "SnowIT", "QODY") prikuplja, koristi, čuva i štiti vaše lične podatke kada koristite QODY platformu za naručivanje i plaćanje u ugostiteljskim objektima.
Kontroler podataka (Data Controller):
SnowIT d.o.o. Sarajevo
JIB: 4203069040007 | Matični broj: 65-01-0621-22
Sjedište: Hamze Čelenke 11, 71210 Ilidža, Sarajevo, BiH
Email: info@snowit.ba
QODY platformu tehnički održava ALAI Holding AS (Norveška) kao podprocesor (sub-processor).
2. Pravna osnova i područje primjene
Ova Politika je u skladu sa:
- Zakonom o zaštiti ličnih podataka Bosne i Hercegovine (regulatorni organ: Agencija za zaštitu ličnih podataka BiH / AZLP)
- GDPR (General Data Protection Regulation, EU 2016/679) — QODY procesira podatke u Evropskoj uniji (hosting Microsoft Azure, Švedska; plaćanje Stripe EU), te može obrađivati podatke EU rezidentnih gostiju.
3. Koje podatke prikupljamo
3.1 Gosti (anonimni, bez registracije)
Kada skenirate QR kod na stolu i napravite narudžbu, prikupljamo:
- Podaci o narudžbi: stavke iz menija, količine, napomene, iznos, napojnica
- Sesija: identifikator stola/lokacije, vremenski pečat narudžbe
- Opcioni kontakt: email adresa ili broj telefona (samo ako ih Vi unesete — nije obavezno)
- Plaćanje: podatke o transakciji obrađuje Stripe (QODY/SnowIT ne čuva podatke o kreditnoj kartici — PCI-DSS SAQ-A nivo). Čuvamo samo: iznos, status plaćanja, Stripe payment ID.
- Tehnički podaci: IP adresa, država (via Cloudflare), browser User-Agent, jezik
Ne prikupljamo: ime, prezime, adresu stanovanja, JMBG, biometrijske podatke.
3.2 Merchantsi i osoblje
- Account podaci: email, ime, prezime, lozinka (hashirana argon2id)
- Podaci o objektu: naziv, adresa, matični broj, JIB, logo
- Platne informacije: Stripe Connect Account ID ili Monri merchant credentials (šifrovano)
- 2FA: TOTP tajni ključ (ako aktivirate step-up 2FA)
- Audit log: zapisi o promjenama
3.3 Kontakt forma (qody.ba)
Ako pošaljete upit: ime, naziv objekta, email, telefon, poruka. Šalju se na info@snowit.ba i čuvaju do rješavanja upita.
4. Svrha obrade podataka
| Kategorija podataka | Svrha | Pravna osnova |
|---|---|---|
| Narudžbe, stol, stavke | Izvršenje narudžbe, slanje na kuhinju | Legitimni interes |
| Plaćanje (Stripe/Monri) | Procesiranje plaćanja, refund, fiskalizacija | Izvršenje ugovora |
| Email/telefon (opciono) | Slanje email računa, obavijesti | Saglasnost |
| IP, geolocation | Prevencija prevara, tehnička sigurnost | Legitimni interes |
| Merchant account | Upravljanje objektom, pristup dashboardu | Izvršenje ugovora |
| Audit log | Compliance, sigurnost, sporovi | Legitimni interes + pravna obaveza |
5. Koliko dugo čuvamo podatke
- Narudžbe i transakcije: 3 godine od datuma narudžbe
- Fiskalna dokumentacija i plaćanja: 5 godina (BiH zakon o računovodstvu)
- Audit log: 5 godina
- Merchant account: Dok je ugovor aktivan + 1 godina nakon deaktivacije
- Kontakt forma: Do rješavanja upita, potom brisanje
Nakon isteka perioda, podaci se trajno brišu ili anonimiziraju.
6. Sa kim dijelimo vaše podatke
| Procesor | Svrha | Lokacija | Pravna osnova |
|---|---|---|---|
| Microsoft Azure | Cloud hosting, baza podataka | Švedska (EU) | GDPR, EU SCC |
| Stripe Payments Europe Ltd. | Procesiranje plaćanja | Irska (EU) | GDPR, Stripe DPA |
| Cloudflare | CDN, DNS, DDoS zaštita | EU edge nodes | GDPR, Cloudflare DPA |
| ALAI Holding AS | Tehnički operations | Norveška (EEA) | GDPR, adekvatna zaštita |
| Monri (planiran) | BiH payment gateway | BiH | DPA (u pripremi) |
Ne prodajemo vaše podatke trećim stranama u marketinške svrhe.
7. Vaša prava
Pod BiH Zakonom o zaštiti ličnih podataka i GDPR-om, imate pravo na: pristup, ispravku, brisanje ("pravo na zaborav"), ograničenje obrade, prigovor, prenosivost podataka, povlačenje saglasnosti.
Zahtjeve šaljite na: info@snowit.ba. Rok odgovora: 30 dana.
Žalbu možete podnijeti: Agencija za zaštitu ličnih podataka BiH (AZLP) — www.azlp.ba
8. Sigurnost podataka
- Šifrovanje u transportu: TLS 1.3 (HTTPS)
- Šifrovanje u mirovanju: Azure Database encryption at rest
- Lozinke: argon2id hashing (bez plaintext)
- Row-Level Security (RLS): Postgres RLS izolacija podataka između merchantsa
- 2FA: TOTP za osjetljive operacije
9. Kolačići i praćenje
QODY koristi minimalan broj kolačića — samo striktno neophodne. Trenutno ne koristimo analitičke ni marketing kolačiće.
Detalji: Politika kolačića.
10. Djeca
QODY nije namijenjen licima mlađim od 16 godina. Ako saznamo da smo prikupili podatke djeteta mlađeg od 16 godina bez saglasnosti roditelja, odmah ih brišemo.
11. Izmjene ove Politike
Izmjene stupaju na snagu 30 dana nakon publikacije. Značajne izmjene najavljivat ćemo emailom ili banerom na platformi.
12. Kontakt
Email: info@snowit.ba
Pošta: SnowIT d.o.o. Sarajevo, Hamze Čelenke 11, 71210 Ilidža, BiH
DPO: SnowIT trenutno nema imenovanog DPO-a. Za pitanja o zaštiti podataka pišite na info@snowit.ba.