Pravila privatnosti

Boya Coloring Books
Siječanj 2026.

 

  1. Opće odredbe


Ova pravila privatnosti (u daljenjem tekstu: “Pravila”) definiraju kako Boya Coloring Books, odnosno MINDFULNESSA, obrt za usluge i sport, vl. Vanessa Keranović, Ivana Rabara 1b, 10000 Zagreb, Hrvatska, OIB: 54762981857 (u daljnjem tekstu: “Prodavatelj”), prikuplja, koristi, dijeli i štiti osobne podatke korisnika internetske stranice www.boyacoloringbooks.com i povezanih usluga (u daljnjem tekstu “Usluge”).


  1. Kontakt informacije

Kontakt za upite o privatnosti: boyacoloringbooks@gmail.com


  1. Koje podatke prikupljamo

Osobni podaci:

  • Podaci o računu i prijavi (Shopify): ime i prezime (ako je dostupno), adresa e-pošte,

  • Podaci o dizajnu i korisničkom sadržaju: učitane slike za stvaranje bojanke, tekstualni opisi i odabrane specifikacije za izradu bojanke. Ovi podaci mogu sadržavati osobne podatke ako ih korisnik uključi u svoje upite ili učitane slike.

  • Podaci o narudžbi i plaćanju: kupljeni artikli, iznos, status plaćanja, identifikatori transakcije (Shopify Payment). Prodavatelj ne obrađuje niti pohranjuje brojeve kartica; podatke o karticama obrađuje isključivo Shopify

  • Podaci o isporuci: ime i prezime primatelja, adresa za dostavu, država, kontakt podaci (e-pošta/telefon), podaci o statusu isporuke i praćenju pošiljke koje pružaju dostavne službe.

  • Komunikacija i podrška: sadržaj e-poruka i korespondencije vezane uz narudžbe, prigovore, povrate, kao i priložene fotografije ili dokumenti.

  • Kolačići i slične tehnologije: nužni kolačići za funkcionalnost, te (ako je primjenjivo i uz privolu) analitički i marketinški kolačići.

  • Marketinške postavke (ako je primjenjivo): status pretplate na newsletter/obavijesti i preferencije kanala komunikacije.

Izvori podataka:

  • Izravno od korisnika: prilikom prijave (Shopify), naručivanja, unosa podataka za dostavu, komunikacije s podrškom.

  • Automatski putem Usluga: putem kolačića ili poslužiteljskih zapisa.

  • Od trećih strana: Shopify payment (status plaćanja i identifikatori) ili dostavne službe.


Ne prikupljamo namjerno posebne kategorije osobnih podataka (npr. zdravstvene podatke, vjerska uvjerenja). Molimo vas da takve podatke ne unosite u Usluge.


  1. Svrhe obrade i pravne osnove (Čl. 6. GDPR-a)

Izvršavanje ugovora – čl. 6. st. 1. t. (b) GDPR-a

Podatke obrađujemo u opsegu nužnom za:

  • Autentifikaciju i račun: prijava putem Shopify-a, održavanje sesije i korisničkog profila.

  • Kupnju i isporuku: obrada narudžbe, plaćanje, proizvodnja i isporuka proizvoda, uključujući komunikaciju o statusu.

  • Korisničku podršku: odgovaranje na upite, rješavanje prigovora i reklamacija.


Poštovanje pravnih obveza – čl. 6. st. 1. t. (c) GDPR-a

Obrada potrebna za:

  • vođenje knjigovodstvenih i poreznih evidencija, izdavanje i čuvanje računa i računovodstvene dokumentacije,

  • postupanje po zahtjevima nadležnih tijela i propisima o zaštiti potrošača.


Legitimni interes – čl. 6. st. 1. t. (f) GDPR-a

Obrada u svrhu:

  • Sigurnosti i sprječavanja zloupotreba: otkrivanje prijevara, zloupotreba plaćanja, zloupotreba promotivnih kodova, zaštita računa i infrastrukture.

  • Poboljšanja usluge: agregirana/anonimizirana tehnička analitika performansi, stabilnosti i korištenja radi poboljšanja korisničkog iskustva.

  • Zaštite prava i potraživanja: postavljanje, ostvarivanje ili obrana pravnih zahtjeva.

  • Pregleda sadržaja nakon prijave: pregled korisničkog sadržaja nakon primitka valjane obavijesti o kršenju prava ili saznanja o potencijalno nezakonitom sadržaju, radi utvrđivanja odgovarajućih mjera i poštovanja zakonskih obveza.


Obvezno zakonsko prijavljivanje – Izuzeće od povjerljivosti

Bez obzira na druge odredbe ove Politike privatnosti ili naših Uvjeta korištenja, Prodavatelj je zakonski obvezan otkriti osobne podatke i korisnički sadržaj tijelima kaznenog progona kada:

  • otkrijemo ili osnovano sumnjamo na materijale koji prikazuju seksualno zlostavljanje djece (CSAM) ili sadržaj koji iskorištava maloljetnike,

  • primimo valjani sudski nalog, poziv ili nalog za pretres koji zahtijeva otkrivanje podataka,

  • je otkrivanje nužno radi sprječavanja neposredne opasnosti za pojedince ili javnu sigurnost.


U takvim slučajevima podnijet ćemo prijavu relevantnim tijelima, uključujući, ali ne ograničavajući se na: Nacionalni centar za nestalu i iskorištavanu djecu (NCMEC), Europol, hrvatsku policiju i druga nadležna tijela kaznenog progona. Sačuvat ćemo i dostaviti sve relevantne dokaze, podatke o računu i korisnički sadržaj kako se to zahtijeva. Ova obveza obveznog prijavljivanja ima prednost pred svim mjerama zaštite privatnosti ili povjerljivosti koje su inače predviđene ovom Politikom privatnosti ili našim Uvjetima korištenja.


Privola – čl. 6. st. 1. t. (a) GDPR-a

Vaše podatke obrađujemo uz vašu izričitu privolu za:

  • slanje marketinških poruka (newsletter) i personaliziranih ponuda,

  • korištenje neobaveznih kolačića (analitički/marketinški) i sličnih tehnologija,

  • prikazivanje vaših dizajna u marketinške svrhe (ako je primjenjivo i ako je dana posebna privola).

Privolu možete povući u bilo kojem trenutku, bez utjecaja na zakonitost obrade prije njezina povlačenja.


  1. Primatelji podataka i djeljenje

U svrhu pružanja Usluga koristimo pouzdane izvršitelje obrade s kojima smo sklopili ugovore o obradi podataka (čl. 28. GDPR-a) i koji primjenjuju odgovarajuće tehničke i organizacijske mjere zaštite:

  • Shopify payment (obrada plaćanja): obrađuje statuse transakcija i identifikatore (npr. Payment Intent/Charge ID); Prodavatelj  ne pohranjuje podatke o karticama. Shopify može djelovati kao samostalni voditelj obrade za podatke o karticama te kao izvršitelj obrade za određene tijekove. Lokacije obrade: EU i/ili izvan EGP-a ovisno o konfiguraciji; primjenjuju se odgovarajuće zaštitne mjere (vidjeti odjeljak 7).

  • Google: u svrhu generiranja dizajna za bojanke koristi se pružatelj Gemini. Prodavatelj šalje upute i slike potrebne za generiranje dizajna, a Google ih obrađuje isključivo prema našim uputama u svrhu izvršenja narudžbe. Obrada se može odvijati izvan EGP-a; primjenjuju se Standardne ugovorne klauzule i dodatne mjere kako je opisano u odjeljku 7. Google ne koristi podatke poslane putem Google API-ja za treniranje svojih modela, u skladu sa svojom trenutnom politikom. Ne dopuštamo korištenje vaših dizajna ili upita za treniranje naših ili modela trećih strana bez vaše izričite privole.

  • Tiskara: prima digitalnu bojanku nužnu za proizvodnju (npr. odabrani dizajn, slike za printanje). Lokacija obrade: Hrvatska.

  • Dostavne službe: (GLS ili BOX NOW) obrada podataka za dostavu i praćenje pošiljke.

  • Hosting i infrastruktura (Shopify): hosting aplikacije, baza podataka i pohrana generiranih bojanki. Osobni podaci i/ili korisnički sadržaj mogu biti pohranjeni u navedenoj regiji; primjenjuju se tehničke i organizacijske mjere sigurnosti.

  • E-pošta i helpdesk: komunikacija s korisnicima i obrada zahtjeva za podršku.

  • Analitika i sigurnost ([Naziv alata], ako je primjenjivo uz privolu): agregirana tehnička analitika performansi i nadzor sigurnosti.

Samostalni voditelji obrade i zakonski primatelji

Podatke možemo otkriti:

  • bankama i kartičnim kućama (obrada plaćanja),

  • poreznim i drugim nadležnim tijelima kada to zahtijeva zakon,

  • neovisnim savjetnicima (npr. računovodstvo, pravni zastupnici) u mjeri potrebnoj za zaštitu prava i ispunjenje obveza.

Minimizacija i ugovorne obveze

Svim primateljima dostavljamo minimalni opseg podataka potreban za specifičnu svrhu te ugovorno zahtijevamo povjerljivost, sigurnost i obradu isključivo prema uputama Prodavatelja.

  1. Obavezni podaci i posljedica uskrate

Pružanje određenih osobnih podataka nužno je za sklapanje i izvršavanje ugovora (npr. e-pošta za registraciju, adresa za dostavu, podaci o plaćanju putem Shopify payments). Ako ne pružite te podatke, Prodavatelj neće moći omogućiti registraciju, obraditi narudžbu ili isporučiti proizvod. Pružanje podataka za marketing i neobavezne kolačiće je dobrovoljno.


  1. Prijenosi izvan EGP-a i zaštitne mjere

Ako se osobni podaci obrađuju ili pohranjuju izvan Europskog gospodarskog prostora (EGP) – npr. kod pružatelja usluga sa sjedištem u trećim zemljama – primjenjujemo odgovarajuće zaštitne mjere u skladu s Poglavljem V. GDPR-a, uključujući primjerice:

  • Standardne ugovorne klauzule (SCC) Europske komisije,

  • procjenu učinka prijenosa i dodatne tehničke mjere (npr. enkripcija u prijenosu i mirovanju, pseudonimizacija, kontrola pristupa uz načelo najmanje privilegije),

  • korištenje pružatelja koji sudjeluju u relevantnim mehanizmima primjerenosti (adequacy mechanisms) gdje je to primjenjivo.


U svakom takvom slučaju prijenosa vodimo se načelima nužnosti, minimizacije i sigurnosti te podatke prenosimo samo u mjeri potrebnoj za izvršenje ugovora (npr. plaćanje i dostava) ili ispunjenje zakonskih obveza.


  1. Rokovi čuvanja podataka

Osobne podatke čuvamo onoliko dugo koliko je potrebno za ispunjenje svrhe obrade ili kako to zahtijevaju važeći propisi. Očekivani rokovi čuvanja po kategorijama su:

  • Knjigovodstveni i porezni podaci o narudžbama i računima: čuvaju se do 10 godina od završetka fiskalne godine u kojoj je transakcija nastala, u skladu s hrvatskim računovodstvenim i poreznim propisima.

  • Podaci korisničkog računa (Shopify profil): do brisanja računa od strane korisnika, nakon čega se račun i povezani podaci brišu ili anonimiziraju, osim ako je zadržavanje nužno zbog pravnih obveza ili sporova.

  • Podaci o dizajnu i korisničkom sadržaju (slike, dizajni): 60 dana od nastanka, radi izvršenja narudžbe, rješavanja prigovora, sprječavanja prijevara, obrane pravnih zahtjeva i poštovanja zakonskih obveza arhiviranja. Dizajni povezani s dovršenim narudžbama mogu se čuvati dulje kao dio evidencije narudžbi.

  • Podaci o statusu isporuke i pošiljke: 24 mjeseca od isporuke radi podrške, prigovora i obrane pravnih zahtjeva (osim elemenata uključenih u knjigovodstvenu evidenciju – čuvaju se 10 godina).

  • Korisnička podrška, prigovori i reklamacije: 24 mjeseca od zatvaranja predmeta, osim ako je dulje čuvanje nužno zbog zakonskih obveza ili postupaka.

  • Sigurnosni i sistemski zapisi: 12 mjeseci (kraće ako je razumno moguće), osim ako je dulje čuvanje nužno za istragu incidenata ili pravne postupke.

  • Marketinški podaci i postavke (newsletter): do povlačenja privole ili odjave, uz tehničko zadržavanje minimalnih podataka o odjavi (crna lista) radi sprječavanja neovlaštenog ponovnog kontaktiranja.

  • Kolačići: prema trajanju definiranom u postavkama pojedinog kolačića (vidjeti Politiku kolačića); korisnik može promijeniti postavke u bilo kojem trenutku putem sučelja za privolu.

Po isteku navedenih rokova podatke brišemo ili anonimiziramo, osim ako postoji druga pravna osnova za dulje čuvanje (npr. sudski postupci u tijeku).


  1. Sigurnost podataka

Shopify primjenjuje tehničke i organizacijske mjere sigurnosti (TLS enkripcija u prijenosu, kontrola pristupa, pseudonimizacija gdje je to razumno, sigurnosni zapisi, pristup po načelu najmanje privilegije). Podaci o karticama obrađuju se isključivo putem Shopify-a; Prodavatelj ne pohranjuje brojeve kartica.


  1. Prava ispitanika

Korisnici imaju pravo na: pristup, ispravak, brisanje ("pravo na zaborav"), ograničenje obrade, prenosivost podataka, prigovor na obradu temeljenu na legitimnom interesu te povlačenje privole. Zahtjevi se podnose na boyacoloringbooks@gmail.com.
Odgovaramo u roku od 1 mjeseca.
Nadzorno tijelo: AZOP – Agencija za zaštitu osobnih podataka, https://azop.hr.


  1. Djeca i maloljetnici

Usluge nisu namijenjene djeci mlađoj od 16 godina. Ako saznamo da obrađujemo podatke djeteta bez odgovarajuće roditeljske privole, poduzet ćemo mjere brisanja.


  1. Kolačići i slične tehnologije

Za detalje o kolačićima, svrhama i postavkama pogledajte Politiku kolačića dostupnoj na Web stranici www.boyacoloringbooks.com.


  1. Automatizirano donošenje odluka i profiliranje

Prodavatelj ne provodi automatizirano donošenje odluka koje proizvodi pravne učinke na korisnika u smislu čl. 22. GDPR-a. Možemo koristiti minimalne tehničke signale za sprječavanje zloupotreba i sigurnost; marketinško profiliranje provodi se isključivo na temelju privole, ako je dana.


  1. Izmjene ove Politike

Ovu Politiku možemo ažurirati radi usklađivanja s propisima ili promjenama u obradi. Nova verzija stupa na snagu objavom na Web stranici www.boyacoloringbooks.com.