Politika privatnosti i zaštite osobnih podataka

Posljednje ažuriranje: siječanj 2026.

1. Voditelj obrade podataka

Construction Team je platforma u oblaku za upravljanje građevinskim projektima, koja se pruža kao usluga (SaaS). Za potrebe Uredbe (EU) 2016/679 (GDPR), voditelj obrade podataka je pravna osoba navedena u članku 17. ove politike.

  • Voditelj obrade utvrđuje svrhe i sredstva obrade osobnih podataka prikupljenih putem Platforme.
  • Kada Klijent (pravna osoba) koristi Platformu za upravljanje podacima o svojim zaposlenicima, podizvođačima ili partnerima, Klijent djeluje kao samostalni voditelj obrade tih podataka, a Construction Team djeluje kao izvršitelj obrade u smislu članka 28. GDPR-a.
  • Odnos između Construction Teama i Klijenta kao izvršitelja obrade uređen je Ugovorom o obradi podataka (DPA), koji je sastavni dio pretplatničkog ugovora.

2. Definicije

Za potrebe ove Politike privatnosti:

  • „Osobni podaci" -- svaki podatak koji se odnosi na identificiranu ili odredivu fizičku osobu (ispitanik).
  • „Obrada" -- svaka radnja s osobnim podacima: prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba, dohvaćanje, uvid, uporaba, otkrivanje, brisanje ili uništavanje.
  • „Ispitanik" -- fizička osoba čiji se osobni podaci obrađuju (korisnici, zaposlenici klijenata, osobe za kontakt partnera).
  • „Izvršitelj obrade" -- osoba koja obrađuje osobne podatke u ime voditelja obrade.
  • „Podizvršitelj obrade" -- treća strana kojoj je izvršitelj obrade povjerio dio obrade.
  • „Povreda osobnih podataka" -- povreda koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

3. Područje primjene

Ova Politika privatnosti primjenjuje se na:

  • Sve fizičke osobe koje posjećuju mrežne stranice constructionteam.app.
  • Korisnike koji otvore korisnički račun i koriste Platformu.
  • Osobe za kontakt pravnih osoba -- klijenata, dobavljača i partnera čiji se podaci unose u Platformu.
  • Osobe koje nam se obraćaju putem obrasca za kontakt, e-pošte ili drugih kanala.
  • Zaposlenike i predstavnike klijent-tvrtki čiji se podaci obrađuju na temelju pretplatničkog ugovora.

Ova se Politika ne primjenjuje na anonimizirane ili agregirane podatke koji ne omogućuju identifikaciju fizičke osobe.

4. Kategorije osobnih podataka koje prikupljamo

4.1. Identifikacijski podaci i podaci za kontakt

Tijekom registracije i korištenja Platforme prikupljamo:

  • Ime i prezime korisnika.
  • Poslovnu adresu e-pošte.
  • Telefonski broj (ako je naveden).
  • Naziv tvrtke, matični broj i adresu klijenta.
  • Radno mjesto/ulogu u organizaciji.

4.2. Tehnički podaci

Automatski se prikupljaju prilikom pristupa Platformi:

  • IP adresa i okvirna geografska lokacija (razina države/grada).
  • Vrsta i inačica preglednika te operativni sustav.
  • Identifikatori uređaja.
  • Datum, vrijeme i trajanje sesija.
  • Posjećene stranice i korištene funkcionalnosti.

4.3. Poslovni podaci

U sklopu rada s Platformom mogu se obrađivati:

  • Podaci iz računa, ugovora, ponuda i drugih dokumenata koje unosi Klijent.
  • Imena i kontakti zaposlenika, podizvođača i partnera koje unosi Klijent.
  • Financijski podaci (bankovni računi, iznosi računa) koje unosi Klijent.
  • Podaci o gradilištima, troškovnicima i inventaru.

Važno: Za poslovne podatke koje unosi Klijent, Klijent je voditelj obrade podataka. Construction Team obrađuje te podatke isključivo prema uputama Klijenta i na temelju Ugovora o obradi podataka.

4.4. Podaci o plaćanju

Za obradu pretplatničkih plaćanja:

  • Construction Team NE pohranjuje cjelovite brojeve bankovnih kartica.
  • Plaćanja obrađuje certificirani pružatelj usluga plaćanja (Stripe) koji ispunjava zahtjeve standarda PCI DSS razine 1.
  • Pohranjujemo isključivo: posljednje 4 znamenke kartice, vrstu kartice, datum isteka i identifikator transakcije.

5. Svrhe i pravne osnove obrade

Osobne podatke obrađujemo samo kada postoji valjana pravna osnova u skladu s člankom 6. stavkom 1. GDPR-a:

5.1. Izvršavanje ugovora (čl. 6. st. 1. t. (b))

  • Otvaranje korisničkih računa i upravljanje njima.
  • Pružanje pretplatničke usluge i tehničke podrške.
  • Obrada plaćanja i izdavanje računa.
  • Komunikacija u vezi s uslugom (sustavne obavijesti, izmjene uvjeta).

5.2. Legitimni interes (čl. 6. st. 1. t. (f))

Uz provedbu testa razmjernosti kojim se osigurava da naš interes ne nadmašuje prava ispitanika:

  • Poboljšanje Platforme analizom korištenja (agregirani podaci).
  • Osiguravanje sigurnosti -- otkrivanje neovlaštenog pristupa, zlouporabe i kibernetičkih napada.
  • Sprječavanje prijevara i zlouporabe usluge.
  • Interno izvještavanje i revizija.

5.3. Zakonska obveza (čl. 6. st. 1. t. (c))

  • Čuvanje računovodstvenih dokumenata u skladu sa Zakonom o računovodstvu (10 godina).
  • Dostavljanje podataka kada to zahtijeva zakon ili nalog nadležnog tijela.
  • Ispunjavanje poreznih obveza.

5.4. Privola (čl. 6. st. 1. t. (a))

Samo kada ne postoji druga pravna osnova:

  • Slanje marketinških poruka i biltena (uz pravo na odjavu u bilo kojem trenutku).
  • Korištenje neobveznih kolačića za analitiku i oglašavanje.
  • Sudjelovanje u anketama o zadovoljstvu i istraživanjima.

Privola se može povući u bilo kojem trenutku, bez utjecaja na zakonitost obrade provedene prije povlačenja.

6. Kolačići i tehnologije praćenja

Koristimo sljedeće kategorije kolačića:

6.1. Nužni kolačići (ne zahtijevaju privolu)

  • Kolačići sesije za autentikaciju i održavanje korisničke sesije.
  • Kolačići za zaštitu od CSRF napada (sigurnost obrazaca).
  • Kolačići za pamćenje jezičnih postavki.

6.2. Analitički kolačići (uz privolu)

  • Google Analytics -- za analizu prometa i ponašanja posjetitelja.
  • Interna analitika -- za poboljšanje korisničkog iskustva.

6.3. Upravljanje kolačićima

Kolačićima možete upravljati putem postavki preglednika ili putem natpisa o kolačićima prilikom prvog posjeta. Onemogućavanje nužnih kolačića može narušiti funkcionalnost Platforme.

7. Razdoblje čuvanja podataka

Osobne podatke čuvamo samo onoliko dugo koliko je nužno za svrhu za koju su prikupljeni:

  • Podaci o korisničkom računu -- do prestanka pretplate uz dodatnih 30 dana za izvoz podataka.
  • Poslovni podaci Klijenta -- do prestanka ugovora uz dodatnih 30 dana za izvoz, nakon čega se trajno brišu.
  • Računovodstveni dokumenti -- 10 godina u skladu sa Zakonom o računovodstvu.
  • Sigurnosni zapisi (logovi) -- do 12 mjeseci.
  • Marketinška privola -- do povlačenja od strane ispitanika.
  • Podaci iz obrasca za kontakt -- do 6 mjeseci nakon rješavanja upita.
  • Sigurnosne kopije -- do 90 dana, nakon čega se automatski prepisuju.

Po isteku rokova čuvanja podaci se brišu ili nepovratno anonimiziraju. U slučaju spora ili pravnog zahtjeva, podaci se mogu zadržati do pravomoćnog okončanja postupka.

8. Dijeljenje podataka s trećim stranama

Osobne podatke ne prodajemo, ne iznajmljujemo niti njima trgujemo. Podatke dijelimo isključivo u sljedećim slučajevima:

8.1. Podizvršitelji obrade

Koristimo se uslugama provjerenih pružatelja usluga radi pružanja usluge, s kojima smo sklopili ugovore na temelju članka 28. GDPR-a:

  • Hosting i infrastruktura -- za pohranu podataka na poslužiteljima u EU-u.
  • Usluge plaćanja (Stripe) -- za obradu pretplatničkih plaćanja.
  • Usluge e-pošte -- za slanje sustavnih i transakcijskih poruka.
  • Obrada putem umjetne inteligencije (OpenAI) -- za inteligentno prepoznavanje dokumenata (vidi članak 12.).
  • Praćenje i nadzor grešaka -- za osiguravanje stabilnosti usluge.

8.2. Pravne obveze

Osobne podatke možemo otkriti kada to zahtijevaju:

  • Primjenjivo zakonodavstvo ili propis.
  • Sudski nalog ili akt nadležnog tijela.
  • Zaštita prava, imovine ili sigurnosti Construction Teama, njegovih korisnika ili javnosti.

9. Međunarodni prijenos podataka

Vaši se podaci pohranjuju na poslužiteljima u Europskoj uniji.

  • Kada je nužan prijenos izvan EGP-a (primjerice prema podizvršiteljima obrade u SAD-u), osiguravamo odgovarajuću razinu zaštite primjenom Standardnih ugovornih klauzula (SCC) koje je odobrila Europska komisija (Odluka 2021/914).
  • Obrada putem umjetne inteligencije (OpenAI) može uključivati prijenos u SAD. OpenAI je certificiran prema okviru EU-US Data Privacy Framework i primjenjuje dodatne tehničke zaštitne mjere.
  • Prije svakog prijenosa provodimo procjenu učinka prijenosa (TIA) u skladu sa smjernicama EDPB-a.
  • Popis podizvršitelja obrade i njihovih lokacija dostupan je na zahtjev na info@constructionteam.app.

10. Vaša prava na temelju GDPR-a

Na temelju Uredbe (EU) 2016/679 imate sljedeća prava:

Pravo na pristup (čl. 15.)

Imate pravo dobiti potvrdu obrađuju li se vaši osobni podaci, pristup tim podacima te informacije o svrhama, kategorijama podataka, primateljima i razdoblju čuvanja.

Pravo na ispravak (čl. 16.)

Imate pravo zatražiti ispravak netočnih osobnih podataka ili dopunu nepotpunih podataka bez nepotrebnog odgađanja.

Pravo na brisanje (čl. 17.)

Imate pravo zatražiti brisanje svojih osobnih podataka kada: podaci više nisu potrebni za svrhu obrade; povučete privolu; uložite prigovor na obradu; ili su podaci obrađeni nezakonito. Ovo se pravo ne primjenjuje kada je obrada nužna radi ispunjenja zakonske obveze.

Pravo na ograničenje obrade (čl. 18.)

Imate pravo zatražiti ograničenje obrade kada osporavate točnost podataka, kada je obrada nezakonita ili kada ste uložili prigovor na obradu, do provjere.

Pravo na prenosivost podataka (čl. 20.)

Imate pravo dobiti svoje podatke u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom obliku (JSON, CSV) te ih prenijeti drugom voditelju obrade. Platforma omogućuje funkciju izvoza podataka iz korisničkog sučelja.

Pravo na prigovor (čl. 21.)

Imate pravo uložiti prigovor na obradu podataka koja se temelji na legitimnom interesu. Po primitku prigovora prekinut ćemo obradu, osim ako dokažemo postojanje uvjerljivih legitimnih razloga koji nadilaze vaše interese. Prigovor na obradu u svrhe izravnog marketinga možete uložiti u bilo kojem trenutku, bez ograničenja.

Pravo na zaštitu od automatiziranog donošenja odluka (čl. 22.)

Imate pravo da se na vas ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke u odnosu na vas. Construction Team ne donosi automatizirane odluke s pravnim učincima bez ljudske intervencije.

11. Ostvarivanje vaših prava

Za ostvarivanje bilo kojeg od svojih prava možete nas kontaktirati putem sljedećih kanala:

  • E-pošta: info@constructionteam.app (s naslovom „GDPR zahtjev").
  • Putem obrasca za kontakt na constructionteam.app/contact.
  • Pisanim putem na adresu navedenu u članku 17.

Radi vaše zaštite, prije postupanja po zahtjevu možemo zatražiti potvrdu vašeg identiteta.

Na svaki zahtjev odgovaramo u roku od 30 dana. U slučaju složenosti ili većeg broja zahtjeva, rok se može produljiti za dodatnih 60 dana, o čemu ćete biti obaviješteni.

Ostvarivanje vaših prava je besplatno. Za očito neutemeljene ili pretjerane zahtjeve (osobito zbog ponavljanja) možemo naplatiti razumnu naknadu ili odbiti postupanje.

12. Obrada putem umjetne inteligencije i automatizirano donošenje odluka

Platforma koristi umjetnu inteligenciju (AI) za sljedeće svrhe:

  • Automatsko prepoznavanje i izvlačenje podataka iz skeniranih dokumenata (računi, troškovnici, zapisnici).
  • Inteligentno povezivanje stavki nomenklature putem semantičkih vektora (embeddings).
  • Prijedlozi za kategorizaciju i klasifikaciju dokumenata.

Zaštitne mjere za obradu putem AI-ja

  • Rezultati AI-ja uvijek su prijedlozi -- konačnu odluku donosi korisnik koji pregledava i odobrava/odbija rezultate.
  • Ne donose se automatizirane odluke s pravnim ili značajnim učincima bez ljudske intervencije.
  • Dokumenti poslani na obradu putem AI-ja obrađuju se u stvarnom vremenu i pružatelj AI usluga ne pohranjuje ih za obučavanje modela.
  • Obrada putem AI-ja može uključivati prijenos podataka podizvršitelju obrade (OpenAI) kako je opisano u članku 9.
  • Imate pravo u bilo kojem trenutku zatražiti ljudsku intervenciju ili odbiti obradu putem AI-ja.

13. Tehnička i integrirana zaštita podataka

U skladu s člankom 25. GDPR-a primjenjujemo načela tehničke i integrirane zaštite podataka (Data Protection by Design and by Default):

  • Smanjenje količine podataka -- prikupljamo samo podatke nužne za određenu svrhu.
  • Izolacija podataka (multi-tenancy) -- podaci svakog Klijenta strogo su odvojeni na razini baze podataka. Nijedan Klijent ne može pristupiti podacima drugog Klijenta.
  • Kontrola pristupa na temelju uloga (RBAC) -- svaki korisnik pristupa samo onim podacima za koje ima ovlaštenje, prema odluci administratora računa.
  • Standardno šifriranje -- svi podaci šifrirani su tijekom prijenosa (TLS 1.3) i u mirovanju.
  • Revizijski trag -- svaka radnja korisnika bilježi se radi sljedivosti i odgovornosti.
  • Pseudonimizacija -- gdje je to moguće, koristimo interne identifikatore umjesto izravnih osobnih podataka.

14. Tehničke i organizacijske sigurnosne mjere

Primjenjujemo sljedeće mjere u skladu s člankom 32. GDPR-a:

14.1. Tehničke mjere

  • Šifriranje podataka tijekom prijenosa putem TLS 1.3 i HSTS.
  • Šifriranje podataka u mirovanju (AES-256) za baze podataka i sigurnosne kopije.
  • Višefaktorska autentikacija (MFA) za administrativni pristup.
  • Vatrozid za web aplikacije (WAF) i zaštita od DDoS napada.
  • Automatsko otkrivanje anomalija i sumnjivih aktivnosti.
  • Redovito skeniranje ranjivosti i testiranje otpornosti na napade (penetration testing).
  • Redovite automatske sigurnosne kopije s geografskom replikacijom.

14.2. Organizacijske mjere

  • Načelo najmanjih ovlasti za pristup zaposlenika.
  • Edukacija osoblja o zaštiti podataka.
  • Politika upravljanja incidentima povezanima s osobnim podacima.
  • Redoviti pregled i ažuriranje sigurnosnih mjera.
  • Sporazumi o povjerljivosti sa svim zaposlenicima i podizvođačima.

15. Obavještavanje o povredi podataka

U slučaju povrede osobnih podataka:

  • Obavještavamo Komisiju za zaštitu osobnih podataka (KZLD) u roku od 72 sata od saznanja, kada je vjerojatno da povreda može prouzročiti rizik za prava i slobode fizičkih osoba (čl. 33. GDPR-a).
  • Bez nepotrebnog odgađanja obavještavamo pogođene ispitanike kada je vjerojatno da povreda može prouzročiti visok rizik (čl. 34. GDPR-a).
  • Svaku povredu dokumentiramo, uključujući činjenice, posljedice i poduzete korektivne mjere.
  • Kada Construction Team djeluje kao izvršitelj obrade, bez nepotrebnog odgađanja obavještavamo Klijenta (voditelja obrade) kako bi mogao ispuniti svoje obveze obavještavanja.

16. Službenik za zaštitu podataka (DPO)

Za sva pitanja u vezi sa zaštitom osobnih podataka možete se obratiti našem službeniku za zaštitu podataka:

  • E-pošta: info@constructionteam.app
  • Naslov: „DPO / Zaštita podataka"
  • DPO razmatra sve upite i zahtjeve povezane s obradom osobnih podataka te koordinira ostvarivanje prava ispitanika.

17. Pravo na pritužbu i kontakt s nadzornim tijelom

Ako smatrate da obrada vaših osobnih podataka krši GDPR, imate pravo podnijeti pritužbu nadzornom tijelu:

Komisija za zaštitu osobnih podataka (KZLD)

  • Adresa: bul. „Prof. Cvetan Lazarov" 2, Sofija 1592
  • Telefon: 02/91-53-518
  • E-pošta: kzld@cpdp.bg
  • Mrežna stranica: www.cpdp.bg

Preporučujemo da nas najprije kontaktirate na info@constructionteam.app radi izravnog rješavanja pitanja.

18. Podaci djece

Construction Team je B2B platforma namijenjena pravnim osobama i njihovim zaposlenicima. Svjesno ne prikupljamo osobne podatke od osoba mlađih od 16 godina. Ako utvrdimo da smo prikupili podatke djeteta, odmah ćemo ih izbrisati. Ako smatrate da je dijete dostavilo osobne podatke putem Platforme, molimo da nas kontaktirate na info@constructionteam.app.

19. Izmjene Politike privatnosti

Zadržavamo pravo ažuriranja ove Politike u slučaju:

  • Izmjena primjenjivog zakonodavstva ili smjernica nadzornog tijela.
  • Promjena u uslugama, funkcionalnostima ili podizvršiteljima obrade.
  • Tehnoloških promjena koje zahtijevaju prilagodbu zaštitnih mjera.
  • Preporuka iz revizija ili procjena učinka.

O bitnim izmjenama obavijestit ćemo vas putem e-pošte i/ili obavijesti u Platformi najmanje 30 dana unaprijed. Nastavak korištenja Platforme nakon stupanja izmjena na snagu predstavlja prihvaćanje ažurirane Politike.

20. Mjerodavno pravo i kontaktni podaci

Ova Politika privatnosti uređena je Uredbom (EU) 2016/679 (GDPR), bugarskim Zakonom o zaštiti osobnih podataka te primjenjivim europskim i nacionalnim zakonodavstvom.

Kontakt za pitanja zaštite podataka:

  • E-pošta: info@constructionteam.app
  • Mrežna stranica: constructionteam.app
  • Naslov: „Zaštita osobnih podataka"

Koristimo kolačiće kako bismo osigurali pravilno funkcioniranje platforme i poboljšali vaše iskustvo. Saznajte više o kolačićima