Omiser Logo

Ovaj dokument dostupan je na hrvatskom, njemačkom i engleskom jeziku. Njemačka verzija je pravno obvezujuća verzija.

Natrag na početnu stranicu

Pravila o privatnosti

Posljednje ažuriranje: Travanj 2026

Politika privatnosti

Ova stranica je prijevod. Za pravna pitanja mjerodavna je njemacka izvorna verzija.

1. Voditelj obrade

Voditelj obrade u smislu Opce uredbe o zastiti podataka (Uredba (EU) 2016/679 — GDPR), Zakona o provedbi Opce uredbe o zastiti podataka (NN 42/18) te ostalih primjenjivih propisa o zastiti osobnih podataka jest:

Zentachain GmbH (posluje pod markom „Omiser") Dortmund, Njemacka

Trgovacki registar: Amtsgericht Charlottenburg (Berlin) Registarski broj: HRB 242677 B PDV ID: DE363535928

E-posta: office@omiser.com

(u daljnjem tekstu „Omiser", „mi" ili „nas")


2. Sluzbenik za zastitu podataka

Sluzbenik za zastitu podataka imenovat ce se cim budu ispunjeni zakonski uvjeti — posebice kada najmanje dvadeset osoba bude stalno zaposleno na automatiziranoj obradi osobnih podataka ili kada se provode obrade koje zahtijevaju procjenu ucinka na zastitu podataka sukladno cl. 35. GDPR-a.

Ukoliko je sluzbenik za zastitu podataka imenovan, mozete ga kontaktirati na:

E-posta: office@omiser.com


3. Pregled obrada

3.1 Vrste obradjenih podataka

Obradujemo sljedece kategorije osobnih podataka:

  • Maticni podaci (npr. imena, adrese, nazivi tvrtki)
  • Kontaktni podaci (npr. adrese e-poste, telefonski brojevi)
  • Ugovorni podaci (npr. predmet ugovora, trajanje, kategorija klijenta)
  • Podaci o placanju (npr. bankovni podaci, povijest placanja — putem pruzatelja platnih usluga)
  • Podaci o koristenju (npr. posjecene stranice, vrijeme pristupa, obrasci klikanja)
  • Meta/komunikacijski podaci (npr. IP adrese, podaci o uredjaju, vrsta preglednika)
  • Podaci o sadrzaju (npr. unosi u kontaktnom obrascu, sadrzaj poruka)
  • Podaci za autentifikaciju (npr. lozinke u hashiranom obliku, OAuth tokeni)

3.2 Kategorije ispitanika

  • Posjetitelji i korisnici nase web-stranice (www.omiser.com)
  • Poslovni klijenti (vlasnici restorana i njihovi zaposlenici)
  • Krajnji korisnici restorana (u okviru obrade podataka po nalogu)
  • Komunikacijski partneri (kontaktni obrazac, e-posta)

3.3 Svrhe obrade

  • Pruzanje i rad web-stranice i platforme
  • Ispunjavanje ugovornih obveza (B2B SaaS usluge za restorane)
  • Obrada podataka krajnjih korisnika po nalogu restorana
  • Komunikacija s klijentima i podrska
  • Osiguravanje IT sigurnosti i nesmetanog rada
  • Analiza i optimizacija web-stranice (samo uz privolu)
  • Marketing i oglasavanje (samo uz privolu)
  • Ispunjavanje zakonskih obveza (npr. obveze cuvanja dokumentacije)

3.4 Uloge na platformi i odgovornosti

Omiser upravlja B2B SaaS platformom koja restoranima pruza vlastitu online trgovinu za narudzbe, mobilnu aplikaciju i upravljacku plocu. U tom kontekstu postoje dva odnosa u pogledu zastite podataka:

  • Omiser kao voditelj obrade (cl. 4. t. 7. GDPR-a): Za obradu osobnih podataka posjetitelja web-stranice i poslovnih klijenata (vlasnika restorana) Omiser je sam voditelj obrade.
  • Omiser kao izvrsitelj obrade (cl. 4. t. 8., cl. 28. GDPR-a): Za obradu osobnih podataka krajnjih korisnika koji narucuju putem trgovine restorana, dotican restoran djeluje kao voditelj obrade. Omiser obraduje te podatke iskljucivo po nalogu i prema dokumentiranim uputama restorana na temelju ugovora o obradi podataka po nalogu sukladno cl. 28. GDPR-a.

4. Pravne osnove obrade

Obrada osobnih podataka uvijek se temelji na valjanoj pravnoj osnovi. U pojedinim slucajevima primjenjuju se sljedece pravne osnove:

  • Privola (cl. 6. st. 1. t. (a) GDPR-a): Kada pribavljamo privolu ispitanika za obradu osobnih podataka ili pristup informacijama na uredaju korisnika (npr. kolacici, pikseli za pracenje), pravna osnova je cl. 6. st. 1. t. (a) GDPR-a. Privola se u svakom trenutku moze povuci s ucinkom za ubuduce.

  • Izvrsavanje ugovora i predugovorne radnje (cl. 6. st. 1. t. (b) GDPR-a): Kada je obrada osobnih podataka nuzna za izvrsavanje ugovora s ispitanikom ili za provedbu predugovornih radnji na zahtjev ispitanika, obrada se temelji na cl. 6. st. 1. t. (b) GDPR-a.

  • Zakonska obveza (cl. 6. st. 1. t. (c) GDPR-a): Kada je obrada osobnih podataka nuzna za ispunjavanje zakonske obveze kojoj podlijezemo (npr. porezne obveze cuvanja dokumentacije), obrada se temelji na cl. 6. st. 1. t. (c) GDPR-a.

  • Legitimni interesi (cl. 6. st. 1. t. (f) GDPR-a): Kada je obrada nuzna za zastitu nasih legitimnih interesa ili legitimnih interesa trece strane, a interesi, temeljna prava i slobode ispitanika ne prevladavaju, pravna osnova je cl. 6. st. 1. t. (f) GDPR-a. Nasi legitimni interesi posebice leze u pruzanju i poboljsanju nase platforme, osiguravanju IT sigurnosti te ostvarivanju pravnih zahtjeva.


5. Prikupljanje i obrada osobnih podataka

5.1 Posjeta web-stranici (serverski zapisnici)

Prilikom svakog pristupa nasoj web-stranici nas pruzatelj usluge hostinga automatski prikuplja i pohranjuje podatke u tzv. serverskim zapisnicima (log datotekama) koje Vas preglednik automatski salje. To su:

  • IP adresa uredaja koji salje zahtjev (po potrebi skracena)
  • Datum i vrijeme pristupa
  • Naziv i URL zatrazene datoteke
  • Kolicina prenesenih podataka
  • Poruka o uspjesnom dohvatu (HTTP statusni kod)
  • Referrer URL (prethodno posjecena stranica)
  • Koristeni web-preglednik i operacijski sustav
  • Jezik i verzija preglednika
  • Naziv davatelja pristupa internetu

Pravna osnova: Cl. 6. st. 1. t. (f) GDPR-a. Nas legitimni interes lezi u osiguravanju nesmetanog rada web-stranice, obrani od napada i zlouporabe te analizi gresaka.

Rok pohrane: Serverski zapisnici automatski se brisu nakon najvishe 30 dana, osim ako dulje cuvanje nije potrebno u dokazne svrhe (npr. u slucaju sigurnosnih incidenata).

Bez spajanja podataka: Spajanje ovih podataka s drugim izvorima podataka ne provodi se. Pripisivanje odredjenoj osobi ne obavlja se.

5.2 Registracija kao klijent-restoran

Za koristenje nase SaaS platforme potrebna je registracija. Pritom prikupljamo sljedece podatke:

  • Ime i prezime vlasnika/direktora
  • Adresa e-poste
  • Telefonski broj
  • Poslovna adresa (ulica, kucni broj, postanski broj, mjesto, drzava)
  • Naziv tvrtke (naziv restorana ili poduzeca)
  • Porezni podaci (npr. PDV ID)
  • Podaci o placanju (kod placenih tarifa — obrada se vrsi putem pruzatelja platnih usluga, vidi odjeljak 10)
  • Lozinka (kod registracije putem e-poste — pohranjuje se iskljucivo kao bcrypt hash)

Registracija se moze izvrsiti na sljedece nacine:

  • Registracija putem e-poste: Kreiranje racuna s adresom e-poste i vlastitom lozinkom.
  • Google OAuth: Prijava putem Vaseg Google/Gmail racuna. Pritom od Googlea primamo Vase ime, adresu e-poste i profilnu sliku. Dodatni podaci se ne prenose (vidi odjeljak 9.1).
  • Apple Sign in: Prijava putem Vaseg Apple ID-a. Pritom od Applea primamo Vase ime i adresu e-poste. Apple nudi mogucnost koristenja privatne adrese za prosljedjivanje (vidi odjeljak 9.2).

Pravna osnova: Cl. 6. st. 1. t. (b) GDPR-a (izvrsavanje ugovora o koristenju odnosno predugovorne radnje).

Rok pohrane: Podaci se pohranjuju za trajanja ugovornog odnosa i brisu se nakon zavrsetka ugovora uz postivanje zakonskih rokova cuvanja (vidi odjeljak 15).

5.3 Obrada podataka krajnjih korisnika (obrada po nalogu sukladno cl. 28. GDPR-a)

Restorani koji koriste nasu platformu obraduju putem svoje trgovine za narudzbe i mobilne aplikacije osobne podatke svojih krajnjih korisnika. Ti podaci posebice obuhvacaju:

  • Ime i adresu krajnjeg korisnika
  • Adresu e-poste i telefonski broj
  • Adresu dostave/preuzimanja
  • Povijest narudzbi i pojedinosti narudzbi
  • Podatke o placanju (obrada putem pruzatelja platnih usluga)
  • Komunikacijske podatke (npr. poruke u okviru narudzbe)

Raspodjela uloga u pogledu zastite podataka:

  • Restoran je voditelj obrade (cl. 4. t. 7. GDPR-a) za obradu podataka krajnjih korisnika i odredjuje svrhu i sredstva obrade.
  • Omiser je izvrsitelj obrade (cl. 4. t. 8. GDPR-a) i obraduje podatke krajnjih korisnika iskljucivo po nalogu i prema dokumentiranim uputama restorana.

Obrada se provodi na temelju ugovora o obradi podataka po nalogu sukladno cl. 28. GDPR-a izmedju Omisera i dotiacnog restorana. Taj ugovor posebice uredjuje:

  • Predmet i trajanje obrade
  • Vrstu i svrhu obrade
  • Vrstu osobnih podataka i kategorije ispitanika
  • Obveze i prava voditelja obrade
  • Tehnicke i organizacijske mjere (cl. 32. GDPR-a)
  • Koristenje podizvrsitelja obrade
  • Pomoc pri ispunjavanju prava ispitanika
  • Brisanje odnosno vracanje podataka nakon zavrsetka ugovora

Tehnicko razdvajanje: Svaki restoran dobiva vlastitu, logicki izoliranu bazu podataka. Time je osigurano strogo razdvajanje podataka krajnjih korisnika razlicitih restorana.

Napomena za krajnje korisnike: Ako kao krajnji korisnik zelite informacije o Vasim osobnim podacima ili zelite ostvariti svoja prava, obratite se dotianom restoranu kod kojeg ste narucili. On je voditelj obrade u smislu propisa o zastiti podataka.

5.4 Kontaktni obrazac

Na nasoj web-stranici dostupan Vam je kontaktni obrazac putem kojeg nam mozete slati upite. Pritom se prikupljaju sljedeci podaci:

  • Ime
  • Adresa e-poste
  • Telefonski broj (neobvezno)
  • Naziv restorana (neobvezno)
  • Odabrana tema
  • Sadrzaj Vase poruke
  • Vrijeme slanja
  • IP adresa (iz tehnickih razloga i radi sprecavanja zlouporabe)

Za slanje upita putem kontaktnog obrasca koristimo uslugu Resend (Resend Inc., SAD). S tvrtkom Resend sklopljen je ugovor o obradi podataka po nalogu. Prijenos podataka u SAD odvija se na temelju standardnih ugovornih klauzula (cl. 46. st. 2. t. (c) GDPR-a).

Pravna osnova:

  • Ukoliko se Vas upit odnosi na sklapanje ugovora: cl. 6. st. 1. t. (b) GDPR-a (predugovorne radnje).
  • U ostalim slucajevima: cl. 6. st. 1. t. (f) GDPR-a (legitimni interes u odgovaranju na upite korisnika).

Rok pohrane: Vas upit i povezani podaci brisu se nakon konacne obrade, osim ako zakonske obveze cuvanja dokumentacije nalazu drugacije. Ukoliko nastane ugovorni odnos, primjenjuju se opci rokovi pohrane (vidi odjeljak 15).

5.5 Newsletter

Na nasoj web-stranici mozete se prijaviti za nas newsletter. Pritom se prikuplja iskljucivo Vasa adresa e-poste.

Pravna osnova: Cl. 6. st. 1. t. (a) GDPR-a (privola). Prijava je dobrovoljna.

Slanje i upravljanje: Za slanje i upravljanje pretplatnicima newslettera koristimo uslugu Resend (Resend Inc., SAD). Resend pohranjuje Vasu adresu e-poste i vrijeme prijave. S tvrtkom Resend sklopljen je ugovor o obradi podataka po nalogu.

Odjava: Newsletter mozete otkazati u bilo kojem trenutku. Poveznica za odjavu nalazi se u svakoj e-poruci newslettera. Nakon odjave Vasa adresa e-poste brise se s popisa za slanje, osim ako postoji zakonska obveza cuvanja.


6. Hosting i isporuka sadrzaja

6.1 Hosting

Nasa web-stranica i platforma nalaze se kod profesionalnog pruzatelja usluge hostinga. Posluzitelji se nalaze iskljucivo u Europskoj uniji (EU).

Prilikom posjeta nasoj web-stranici pruzatelj usluge hostinga obraduje sljedece podatke:

  • Podatke o sadrzaju
  • Podatke o koristenju
  • Meta/komunikacijske podatke (usp. odjeljak 5.1)

Koristenje pruzatelja usluge hostinga temelji se na cl. 6. st. 1. t. (f) GDPR-a (legitimni interes u sigurnom i ucinkovitom pruzanju nase online ponude) te — ukoliko je ugovor sklopljen — na cl. 6. st. 1. t. (b) GDPR-a.

S pruzateljem usluge hostinga sklopljen je ugovor o obradi podataka po nalogu sukladno cl. 28. GDPR-a, koji osigurava obradu u skladu s propisima o zastiti podataka.

Pruzatelj usluge hostinga: Vercel Inc. 440 N Baxter St, Los Angeles, CA 90012, SAD


7. Fontovi (Google Fonts — vlastiti hosting)

Na nasoj web-stranici koristimo fontove tvrtke Google (Google Fonts). Ti fontovi su lokalno instalirani na nasem posluzitelju (Self-Hosting). Prilikom ucitavanja nase web-stranice fontovi se ucitavaju izravno s naseg posluzitelja.

Ne uspostavlja se veza s posluziteljima tvrtke Google. Nikakvi podaci se ne prenose tvrtki Google. Posebice, Vasa IP adresa ne prosljedjuje se tvrtki Google.

Koristenje fontova s vlastitog hostinga sluzi osiguravanju ujednacenog i privlacnog prikaza nase web-stranice. Posebna pravna osnova u smislu propisa o zastiti podataka nije potrebna za vlastiti hosting jer se nikakvi osobni podaci ne prenose trecim stranama.


8. Pracenje i usluge analize

Na nasoj web-stranici koristimo sljedece usluge pracenja i analize. Koristenje ovih usluga odvija se iskljucivo nakon Vase prethodne izricite privole, koju pribavljamo putem bannera za privolu na kolacice (Consent-Management platforma).

Pravna osnova: Cl. 6. st. 1. t. (a) GDPR-a (privola) u vezi sa Zakonom o elektronickim komunikacijama (privola za pohranu informacija na uredaju korisnika odnosno pristup istima).

Bez Vase izricite privole nece se postavljati kolacici za pracenje niti ucitavati pikseli za pracenje. Tehnicki nuzni kolacici ne zahtijevaju privolu.

8.1 Google Analytics 4 (Google Ireland Limited)

Koristimo Google Analytics 4, uslugu web-analize tvrtke Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irska (u daljnjem tekstu „Google").

Google Analytics koristi kolacice i slicne tehnologije koje omogucuju analizu Vaseg koristenja web-stranice. Informacije generirane kolacicima o Vasem koristenju ove web-stranice u pravilu se prenose na posluzitelj tvrtke Google i tamo pohranjuju.

Anonimizacija IP adrese: Google Analytics 4 standardno anonimizira Vasu IP adresu, tako da se potpuna IP adresa ne prenosi tvrtki Google.

Obradjeni podaci:

  • Mrezni identifikatori (npr. ID-ovi kolacica, ID-ovi uredaja)
  • IP adresa (anonimizirana)
  • Informacije o uredaju (vrsta uredaja, operacijski sustav, preglednik)
  • Podaci o koristenju (posjecene stranice, trajanje posjeta, interakcije)
  • Podaci o lokaciji (na temelju anonimizirane IP adrese, nisu precizni)
  • Referrer URL

Svrha: Analiza ponasanja korisnika radi poboljsanja nase web-stranice i ponude, izrada statistike koristenja.

Primatelji/prijenos podataka: Google Ireland Limited; eventualno prijenos tvrtki Google LLC, SAD. Prijenos u SAD odvija se na temelju EU-US Data Privacy Frameworka (odluka o primjerenosti Europske komisije sukladno cl. 45. GDPR-a) odnosno standardnih ugovornih klauzula (cl. 46. st. 2. t. (c) GDPR-a).

Dodatne informacije: https://policies.google.com/privacy

Opt-out: Mozete sprijeciti prikupljanje putem Google Analyticsa tako da ne date ili povucete svoju privolu. Dodatno, Google nudi dodatak za preglednik za deaktivaciju: https://tools.google.com/dlpage/gaoptout

8.2 Google Ads Conversion-Tracking (Google Ireland Limited)

Koristimo Google Ads Conversion-Tracking, uslugu tvrtke Google Ireland Limited.

Kada kliknete na oglas koji prikazuje Google, na Vasem uredaju postavlja se kolacic za pracenje konverzija. Ovaj kolacic prestaje vrijediti nakon 30 dana i ne sluzi za osobnu identifikaciju. Ako posjetite odredjene stranice nase web-stranice dok kolacic jos nije istekao, mi i Google mozemo prepoznati da ste kliknuli na oglas i bili preusmjereni na nasu stranicu.

Obradjeni podaci:

  • Mrezni identifikatori (ID-ovi kolacica)
  • Podaci o konverzijama (npr. je li odredjena radnja izvrsena)
  • IP adresa (skracena)
  • Informacije o interakciji s oglasom

Svrha: Mjerenje ucinkovitosti nasih Google Ads oglasa, optimizacija nasih reklamnih kampanja.

Primatelji/prijenos podataka: Google Ireland Limited; eventualno Google LLC, SAD (EU-US Data Privacy Framework / standardne ugovorne klauzule).

Dodatne informacije: https://policies.google.com/privacy

8.3 Meta Pixel (Meta Platforms Ireland Limited)

Koristimo Meta Pixel (ranije Facebook Pixel), uslugu tvrtke Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irska (u daljnjem tekstu „Meta").

Meta Pixel je isjecak JavaScript koda koji je ugraden na nasoj web-stranici. Omogucuje nam mjerenje ucinkovitosti nasih oglasa na Facebooku i Instagramu, stvaranje ciljnih skupina za oglase (Custom Audiences) i provedbu mjera ponovnog ciljanja (retargeting).

Obradjeni podaci:

  • Mrezni identifikatori (ID-ovi kolacica, Pixel ID)
  • Podaci o koristenju (posjecene stranice, izvrsene radnje/dogadjaji)
  • Informacije o uredaju (preglednik, operacijski sustav, rezolucija zaslona)
  • IP adresa
  • Referrer URL

Prilikom ucitavanja nase web-stranice Meta Pixel uspostavlja izravnu vezu s posluziteljem tvrtke Meta. Meta prima informaciju da ste posjetili nasu web-stranicu. Ako ste prijavljeni na Facebook/Instagram, Meta moze povezati posjet s Vasim racunom.

Svrha: Mjerenje ucinkovitosti oglasavanja, stvaranje ciljnih skupina, retargeting.

Primatelji/prijenos podataka: Meta Platforms Ireland Limited; eventualno Meta Platforms, Inc., SAD (EU-US Data Privacy Framework / standardne ugovorne klauzule).

Zajednicka odgovornost: Za prikupljanje i prijenos podataka tvrtki Meta postoji zajednicka odgovornost izmedju nas i Mete sukladno cl. 26. GDPR-a. Sporazum o tome dostupan je na: https://www.facebook.com/legal/controller_addendum

Dodatne informacije: https://www.facebook.com/privacy/policy/

8.4 TikTok Pixel (TikTok Technology Limited)

Koristimo TikTok Pixel, uslugu tvrtke TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irska (u daljnjem tekstu „TikTok").

TikTok Pixel omogucuje nam mjerenje ucinkovitosti nasih TikTok oglasa i pracenje konverzijskih dogadjaja.

Obradjeni podaci:

  • Mrezni identifikatori (ID-ovi kolacica, Pixel ID)
  • Podaci o koristenju (posjecene stranice, izvrsene radnje/dogadjaji)
  • Informacije o uredaju
  • IP adresa

Svrha: Mjerenje ucinkovitosti oglasavanja na TikToku, pracenje konverzija, retargeting.

Primatelji/prijenos podataka: TikTok Technology Limited, Irska; eventualno druge tvrtke unutar TikTok grupe. Prijenos u trece zemlje odvija se na temelju standardnih ugovornih klauzula (cl. 46. st. 2. t. (c) GDPR-a).

Dodatne informacije: https://www.tiktok.com/legal/privacy-policy

8.5 Twitter/X Pixel (X Corp.)

Koristimo Twitter/X Conversion-Tracking (Universal Website Tag), uslugu tvrtke X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, SAD (u daljnjem tekstu „X").

Twitter/X Pixel omogucuje nam mjerenje uspjesnosti nasih oglasa na platformi Twitter/X.

Obradjeni podaci:

  • Mrezni identifikatori (ID-ovi kolacica)
  • Podaci o koristenju (posjecene stranice, konverzijski dogadjaji)
  • Informacije o uredaju
  • IP adresa

Svrha: Mjerenje ucinkovitosti oglasavanja na platformi Twitter/X, pracenje konverzija.

Primatelji/prijenos podataka: X Corp., SAD. Prijenos u SAD odvija se na temelju standardnih ugovornih klauzula (cl. 46. st. 2. t. (c) GDPR-a) te — ukoliko je primjenjivo — EU-US Data Privacy Frameworka.

Dodatne informacije: https://twitter.com/en/privacy

Povlacenje privole za usluge pracenja i analize

Mozete svoju danu privolu za koristenje navedenih usluga pracenja i analize u svakom trenutku povuci s ucinkom za ubuduce. Za to Vam stoje na raspolaganju sljedece mogucnosti:

  • Postavke kolacica: Prilagodite svoju privolu putem poveznice „Postavke kolacica" u podnozju nase web-stranice. Tamo mozete deaktivirati pojedine ili sve usluge.
  • Postavke preglednika: Mozete konfigurirati svoj preglednik tako da opcenito odbija kolacice, dopusta samo odredjene kolacice ili Vas obavjestava kada se kolacic zeli postaviti.
  • Opt-out poveznice pruzatelja: Pojedini pruzatelji usluga nude vlastite mehanizme za odbijanje (vidi odgovarajuce odjeljke gore).

Povlacenje privole ne utjece na zakonitost obrade provedene na temelju privole prije njezina povlacenja (cl. 7. st. 3. GDPR-a).


9. Usluge autentifikacije trecih strana

9.1 Google OAuth (Google Ireland Limited)

Nudimo Vam mogucnost registracije i prijave na nasu platformu putem Vaseg Google racuna (OAuth 2.0).

Pruzatelj: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irska.

Preneseni podaci: Prilikom prijave putem Googlea sljedeci podaci se od Googlea prenose nama:

  • Ime (ime i prezime)
  • Adresa e-poste
  • Profilna slika
  • Jedinstveni Google korisnicki ID

Prijenos se odvija putem sigurnog OAuth 2.0 sucelja. Prenose se samo podaci koje ste Vi odobrili. Google pritom prima informaciju da ste se prijavili na nasu uslugu. Mi nemamo pristup Vasoj Google lozinci.

Pravna osnova: Cl. 6. st. 1. t. (b) GDPR-a (izvrsavanje ugovora — registracija je preduvjet za koristenje nase platforme).

Dodatne informacije: https://policies.google.com/privacy

9.2 Sign in with Apple (Apple Distribution International Ltd.)

Nudimo Vam mogucnost registracije i prijave na nasu platformu putem Vaseg Apple ID-a.

Pruzatelj: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irska.

Preneseni podaci: Prilikom prijave putem Applea sljedeci podaci se od Applea prenose nama:

  • Ime (ime i prezime)
  • Adresa e-poste

Apple nudi mogucnost koristenja funkcije „Hide My Email" za generiranje privatne, nasumicno stvorene adrese za prosljedjivanje umjesto Vase stvarne adrese e-poste. Poruke na tu adresu Apple prosljedjuje na Vasu stvarnu adresu e-poste, a da mi ne saznamo Vasu stvarnu adresu e-poste.

Pravna osnova: Cl. 6. st. 1. t. (b) GDPR-a (izvrsavanje ugovora).

Dodatne informacije: https://www.apple.com/legal/privacy/


10. Pruzatelji platnih usluga

Za obradu placanja u okviru nase SaaS platforme koristimo vanjske pruzatelje platnih usluga. Obrada placanja odvija se izravno izmedju korisnika i dotiacnog pruzatelja platnih usluga. Mi od pruzatelja platnih usluga primamo samo potvrdu o primitku uplate odnosno ID transakcije.

10.1 Stripe (Stripe Payments Europe, Ltd.)

Pruzatelj: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irska.

Obradjeni podaci: U okviru platnog procesa Stripe obraduje podatke potrebne za obradu placanja, posebice:

  • Ime nositelja kartice
  • Broj kreditne ili debitne kartice (Omiser nema pristup potpunom broju kartice)
  • Rok valjanosti
  • Kontrolni broj (CVC/CVV)
  • Iznos transakcije
  • Adresa e-poste
  • IP adresa

Pravna osnova: Cl. 6. st. 1. t. (b) GDPR-a (izvrsavanje ugovora).

Stripe kao pruzatelj platnih usluga samostalno je odgovoran za obradu podataka u svom podrucju odgovornosti. Sa Stripeom smo sklopili ugovor o obradi podataka po nalogu u mjeri u kojoj Stripe djeluje po nasem nalogu.

Dodatne informacije: https://stripe.com/de/privacy

10.2 Mollie (Mollie B.V.)

Pruzatelj: Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Nizozemska.

Obradjeni podaci: U okviru platnog procesa Mollie obraduje podatke potrebne za obradu placanja, posebice:

  • Ime platitelja
  • Platni podaci (ovisno o odabranom nacinu placanja)
  • Iznos i valuta transakcije
  • Adresa e-poste
  • IP adresa

Pravna osnova: Cl. 6. st. 1. t. (b) GDPR-a (izvrsavanje ugovora).

Mollie kao pruzatelj platnih usluga samostalno je odgovoran za obradu podataka u svom podrucju odgovornosti.

Dodatne informacije: https://www.mollie.com/de/privacy


11. Kartografske usluge

Koristimo kartografske usluge za prikaz karata i konfiguraciju zona dostave za restorane na nasoj platformi.

Pruzatelj: Google Maps (Google Ireland Limited) Gordon House, Barrow Street, Dublin 4, Irska

Obradjeni podaci: Prilikom ucitavanja prikaza karte uspostavlja se veza s posluziteljima pruzatelja kartografske usluge. Pritom se mogu prenijeti sljedeci podaci:

  • IP adresa
  • Podaci o lokaciji (ukoliko ih korisnik odobri)
  • Informacije o uredaju i pregledniku
  • Podaci o koristenju (npr. prikaz karte, razina zumiranja)

Svrha: Prikaz karata, konfiguracija i prikaz zona dostave restorana.

Pravna osnova: Cl. 6. st. 1. t. (b) GDPR-a (izvrsavanje ugovora), u mjeri u kojoj je prikaz karte nuznan za pruzanje ugovorno dugovanog ucinka (konfiguracija zona dostave); u ostalim slucajevima cl. 6. st. 1. t. (f) GDPR-a (legitimni interes u korisnickom prikazu).

Ukoliko se podaci prenose u trece zemlje, to se odvija na temelju standardnih ugovornih klauzula (cl. 46. st. 2. t. (c) GDPR-a) odnosno EU-US Data Privacy Frameworka.

Dodatne informacije: https://policies.google.com/privacy


12. Sigurnost podataka

Primjenjujemo opsezne tehnicke i organizacijske mjere sukladno cl. 32. GDPR-a kako bismo osigurali razinu zastite primjerenu riziku za obradjene osobne podatke. To posebice obuhvaca:

Tehnicke mjere:

  • AES-256 enkripcija za pohranjene podatke klijenata (Encryption at Rest)
  • TLS/SSL enkripcija za cjelokupni prijenos podataka izmedju klijenta i posluzitelja (Encryption in Transit)
  • Izolirane baze podataka za svaki restoran — svaki restoran dobiva vlastitu, logicki odvojenu bazu podataka. Time se tehnicki onemogucuje pristup podacima drugih restorana.
  • Sigurna pohrana lozinki putem bcrypt hashiranja. Lozinke se nikada ne pohranjuju niti prenose u cistom tekstu.
  • Redovita sigurnosna azuriranja i zakrpe za sve sustave i zavisnosti
  • Automatizirane sigurnosne kopije s enkripcijom
  • Vatrozidi i sustavi za otkrivanje upada za zastitu infrastrukture

Organizacijske mjere:

  • Kontrola pristupa temeljena na ulogama (RBAC): Pristup osobnim podacima strogo je ogranicen na one zaposlenike kojima je to potrebno za obavljanje njihove djelatnosti (princip „need-to-know").
  • Obveza povjerljivosti svih zaposlenika i pruzatelja usluga sukladno cl. 28. st. 3. t. (b) GDPR-a
  • Redovito podizanje svijesti zaposlenika o zastiti podataka i IT sigurnosti
  • Dokumentirani postupak za incidente vezane uz zastitu podataka sukladno cl. 33., 34. GDPR-a

Hosting u EU: Svi posluzitelji i baze podataka nalaze se u podatkovnim centrima unutar Europske unije.

Napominjemo da se unatoc svim sigurnosnim mjerama potpuna sigurnost pri prijenosu podataka putem interneta ne moze jamciti.


13. Prosljedjivanje trecim stranama i izvrsiteljima obrade

Prijenos osobnih podataka trecim stranama odvija se samo ako:

  • Ste izricito privoljeli (cl. 6. st. 1. t. (a) GDPR-a),
  • je to nuzno za izvrsavanje ugovora (cl. 6. st. 1. t. (b) GDPR-a),
  • postoji zakonska obveza (cl. 6. st. 1. t. (c) GDPR-a), ili
  • je to nuzno za zastitu legitimnih interesa i nema razloga za pretpostavku da Vas zastitni interes za iskljucenje prijenosa prevladava (cl. 6. st. 1. t. (f) GDPR-a).

Koristeni izvrsitelji obrade i pruzatelji usluga

Suradujemo sa sljedecim kategorijama pruzatelja usluga s kojima su — ukoliko je potrebno — sklopljeni ugovori o obradi podataka po nalogu sukladno cl. 28. GDPR-a:

| Pruzatelj usluge / Kategorija | Svrha | Sjediste | |---|---|---| | Vercel Inc. | Hosting, serverska infrastruktura | SAD (DPF certifikat) | | Stripe Payments Europe, Ltd. | Obrada placanja | Irska (EU) | | Mollie B.V. | Obrada placanja | Nizozemska (EU) | | Google Ireland Limited | Google Analytics 4, Google Ads, Google OAuth | Irska (EU) | | Meta Platforms Ireland Limited | Meta Pixel (Facebook/Instagram) | Irska (EU) | | TikTok Technology Limited | TikTok Pixel | Irska (EU) | | X Corp. | Twitter/X Pixel | SAD | | Apple Distribution International Ltd. | Sign in with Apple | Irska (EU) | | Google Ireland Limited | Kartografska usluga (Google Maps) / Zone dostave | Irska (EU) | | Resend Inc. | Slanje e-posta kontaktnog obrasca i newslettera | SAD (SCCs) |

Ovaj popis azurira se u slucaju promjena. Potpuni, azurirani popis podizvrsitelja obrade moze se dobiti na zahtjev.


14. Prijenos podataka u trece zemlje

Neki od pruzatelja usluga koje koristimo imaju sjediste izvan Europske unije odnosno Europskog gospodarskog prostora (EGP), posebice u SAD-u. Ukoliko se vrsi prijenos osobnih podataka tim pruzateljima usluga, osiguravamo odgovarajucu razinu zastite podataka.

Pravne osnove za prijenos podataka:

  • EU-US Data Privacy Framework (DPF): Za tvrtke sa sjediistem u SAD-u koje su certificirane u okviru EU-US Data Privacy Frameworka postoji odluka o primjerenosti Europske komisije sukladno cl. 45. GDPR-a (Provedbena odluka (EU) 2023/1795 Komisije od 10. srpnja 2023.). To se posebice odnosi na Google LLC i Meta Platforms, Inc.

  • Standardne ugovorne klauzule (Standard Contractual Clauses — SCCs): Za prijenose u trece zemlje za koje ne postoji odluka o primjerenosti koristimo standardne ugovorne klauzule koje je odobrila Europska komisija sukladno cl. 46. st. 2. t. (c) GDPR-a (Provedbena odluka (EU) 2021/914 Komisije od 4. lipnja 2021.) kao jamstvo za odgovarajucu razinu zastite podataka.

  • Dodatne mjere: Uz standardne ugovorne klauzule primjenjujemo — kada je potrebno — dodatne tehnicke i organizacijske mjere za osiguravanje zastite osobnih podataka pri prijenosu u trece zemlje (npr. enkripcija, pseudonimizacija).

Za pitanja o konkretnim jamstvima za odredjeni prijenos podataka mozete nam se obratiti (vidi odjeljak 1).


15. Rok pohrane

Osobne podatke pohranjujemo samo onoliko dugo koliko je to potrebno za dotiene svrhe obrade ili koliko zakonske obveze cuvanja dokumentacije nalazu. U pojedinostima vrijede sljedeci rokovi pohrane:

| Kategorija podataka | Rok pohrane | Osnova | |---|---|---| | Serverski zapisnici | Najvishe 30 dana | Cl. 6. st. 1. t. (f) GDPR-a | | Ugovorni podaci (B2B klijenti) | Trajanje ugovornog odnosa plus zakonski rokovi cuvanja | Cl. 6. st. 1. t. (b), (c) GDPR-a | | Trgovacka i poslovna korespondencija | 6 godina nakon zavrsetka ugovora | Zakonske obveze cuvanja | | Porezno relevantna dokumentacija | 10 godina nakon zavrsetka ugovora | Zakonske obveze cuvanja | | Kontaktni upiti | Nakon konacne obrade, ukoliko ne postoje zakonske obveze cuvanja | Cl. 6. st. 1. t. (b), (f) GDPR-a | | Dokazi o privoli (Consent-Logs) | 3 godine nakon posljednje privole / povlacenja | Cl. 7. st. 1. GDPR-a | | Podaci krajnjih korisnika (kao izvrsitelj obrade) | Prema uputama voditelja obrade (restorana) | Cl. 28. GDPR-a |

Rok za izvoz nakon zavrsetka ugovora: Nakon zavrsetka ugovornog odnosa poslovni klijent (restoran) ima rok od 30 dana za izvoz svojih podataka ukljucujuci podatke krajnjih korisnika obradjene po njegovom nalogu. Po isteku tog roka podaci se — uz postivanje zakonskih obveza cuvanja — neopozivo brisu.


16. Prava ispitanika

Kao ispitanik imate sljedeca prava prema nama kao voditelju obrade. Za ostvarivanje Vasih prava obratite nam se putem kontaktnih podataka navedenih u odjeljku 1 ili putem e-poste na: office@omiser.com.

Vas zahtjev obradit cemo bez odgode, a u svakom slucaju unutar jednog mjeseca od primitka (cl. 12. st. 3. GDPR-a). U opravdanim slucajevima taj se rok moze produziti za dodatna dva mjeseca, o cemu cemo Vas obavijestiti.

16.1 Pravo na pristup (cl. 15. GDPR-a)

Imate pravo od nas zatraziti potvrdu o tome obradujemo li osobne podatke koji se odnose na Vas. Ako je to slucaj, imate pravo na pristup tim osobnim podacima te na sljedece informacije:

  • svrhe obrade
  • kategorije osobnih podataka koji se obraduju
  • primatelje ili kategorije primatelja
  • predvidjeni rok pohrane
  • postojanje prava na ispravak, brisanje, ogranicenje ili prigovor
  • postojanje prava na prituzbu nadzornom tijelu
  • podrijetlo podataka, ukoliko nisu prikupljeni od Vas
  • postojanje automatiziranog odlucivanja ukljucujuci profiliranje

Imate pravo dobiti kopiju osobnih podataka koji su predmet obrade (cl. 15. st. 3. GDPR-a).

16.2 Pravo na ispravak (cl. 16. GDPR-a)

Imate pravo bez odgode zatraziti ispravak netocnih osobnih podataka. Uzimajuci u obzir svrhe obrade, imate pravo zatraziti dopunu nepotpunih osobnih podataka — i putem dodatne izjave.

16.3 Pravo na brisanje (cl. 17. GDPR-a)

Imate pravo od nas zatraziti da bez odgode izbrisemo Vase osobne podatke ukoliko je ispunjen jedan od sljedecih uvjeta:

  • Osobni podaci vise nisu nuzni za svrhe za koje su prikupljeni.
  • Povukli ste svoju privolu i ne postoji druga pravna osnova.
  • Ulazite prigovor sukladno cl. 21. st. 1. GDPR-a i ne postoje pretezni legitimni razlozi.
  • Osobni podaci su nezakonito obradjeni.
  • Brisanje je potrebno radi ispunjavanja zakonske obveze.

Pravo na brisanje ne postoji ukoliko je obrada nuzna za ispunjavanje zakonske obveze (npr. zakonske obveze cuvanja dokumentacije) ili za ostvarivanje, izvrsavanje ili obranu pravnih zahtjeva.

16.4 Pravo na ogranicenje obrade (cl. 18. GDPR-a)

Imate pravo zatraziti ogranicenje obrade Vasih osobnih podataka ako:

  • osporavate tocnost podataka (za trajanje provjere),
  • je obrada nezakonita i umjesto brisanja trazite ogranicenje koristenja,
  • mi vise ne trebamo podatke, ali Vi ih trebate za ostvarivanje, izvrsavanje ili obranu pravnih zahtjeva, ili
  • ste ulozili prigovor sukladno cl. 21. st. 1. GDPR-a, dok se ne utvrdi prevladavaju li nasi legitimni razlozi.

16.5 Pravo na prenosivost podataka (cl. 20. GDPR-a)

Imate pravo primiti osobne podatke koji se odnose na Vas, a koje ste nam dostavili, u strukturiranom, uobicajenom i strojno citljivom formatu. Nadalje, imate pravo prenijeti te podatke drugom voditelju obrade bez ometanja s nase strane, pod uvjetom da:

  • se obrada temelji na privoli (cl. 6. st. 1. t. (a) GDPR-a) ili ugovoru (cl. 6. st. 1. t. (b) GDPR-a), i
  • se obrada provodi automatiziranim putem.

Ukoliko je to tehnicki izvedivo, imate pravo da se osobni podaci izravno prenesu od nas drugom voditelju obrade.

16.6 Pravo na prigovor (cl. 21. GDPR-a)


VAZNA NAPOMENA — PRAVO NA PRIGOVOR SUKLADNO CL. 21. GDPR-a:

Imate pravo u svakom trenutku, iz razloga povezanih s Vasom posebnom situacijom, uloziti prigovor na obradu osobnih podataka koji se odnose na Vas, a koja se temelji na cl. 6. st. 1. t. (f) GDPR-a (legitimni interesi).

Ako ulozite prigovor, vise necemo obradivati Vase osobne podatke, osim ako mozemo dokazati uvjerljive legitimne razloge za obradu koji prevladavaju nad Vasim interesima, pravima i slobodama, ili ako obrada sluzi ostvarivanju, izvrsavanju ili obrani pravnih zahtjeva.

Ukoliko obradujemo Vase osobne podatke u svrhu izravnog marketinga, imate pravo u svakom trenutku uloziti prigovor na obradu u svrhu takvog oglasavanja. To se odnosi i na profiliranje ukoliko je povezano s takvim izravnim marketingom. Ako ulozite prigovor na obradu u svrhu izravnog marketinga, Vasi osobni podaci vise se nece obradivati u te svrhe.

Za ostvarivanje prava na prigovor mozete nas kontaktirati putem podataka navedenih u odjeljku 1.


16.7 Pravo na povlacenje privole (cl. 7. st. 3. GDPR-a)

Ukoliko se obrada Vasih osobnih podataka temelji na privoli (cl. 6. st. 1. t. (a) GDPR-a), imate pravo tu privolu u svakom trenutku povuci s ucinkom za ubuduce. Povlacenje moze biti neformalno, npr. putem e-poste na office@omiser.com ili putem postavki kolacica na nasoj web-stranici.

Vazno: Povlacenjem privole ne utjece se na zakonitost obrade provedene na temelju privole prije njezina povlacenja (cl. 7. st. 3. GDPR-a).


17. Automatizirano odlucivanje i profiliranje (cl. 13. st. 2. t. (f) GDPR-a)

Ne provodi se automatizirano odlucivanje u smislu cl. 22. GDPR-a. Ne donosimo odluke koje se temelje iskljucivo na automatiziranoj obradi — ukljucujuci profiliranje — i koje proizvode pravne ucinke prema Vama ili Vas na slican nacin znacajno pogadjaju.

Ukoliko se to u buducnosti promijeni, obavijestit cemo Vas sukladno cl. 13. st. 2. t. (f) GDPR-a te poduzeti potrebne mjere za zastitu Vasih prava i sloboda te Vasih legitimnih interesa.


18. Obveza davanja osobnih podataka

U okviru poslovnog odnosa duzni ste dostaviti one osobne podatke koji su nuzni za uspostavljanje, provedbu i okoncanje ugovornog odnosa te za ispunjavanje povezanih ugovornih obveza, ili koje smo zakonski obvezni prikupljati.

Obvezni podaci pri registraciji:

  • Ime, adresa e-poste, poslovna adresa i naziv tvrtke nuzni su za sklapanje i provedbu ugovora. Bez tih podataka ne mozemo sklopiti ugovor niti pruziti nase usluge.

Dobrovoljni podaci:

  • Podaci koji nadilaze navedeno (npr. telefonski broj u kontaktnom obrascu, profilna slika) daju se dobrovoljno. Polja koja nisu obvezna oznacena su kao takva.
  • Davanje privole za usluge pracenja i analize (odjeljak 8) u potpunosti je dobrovoljno i nema utjecaja na upotrebljivost nase platforme.

19. Pravo na prituzbu nadzornom tijelu (cl. 77. GDPR-a)

Bez obzira na bilo koji drugi upravni ili sudski pravni lijek, imate pravo podnijeti prituzbu nadzornom tijelu za zastitu podataka, posebice u drzavi clanici Vaseg uobicajenog boravista, Vaseg radnog mjesta ili mjesta navodnog krsenja, ako smatrate da obrada Vasih osobnih podataka krsi GDPR.

Nadlezno nadzorno tijelo za korisnike u Hrvatskoj:

Agencija za zastitu osobnih podataka (AZOP) Fra Grge Martica 14 10 000 Zagreb Telefon: +385 1 4609 000 https://azop.hr

Nadlezno nadzorno tijelo za voditelja obrade:

Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Postfach 20 04 44, 40102 Duesseldorf Telefon: +49 211 38424-0 https://www.ldi.nrw.de


20. Izmjene ove politike privatnosti

Zadrzavamo pravo prilagoditi ovu politiku privatnosti kako bismo je uskladili s promjenama pravnog okvira, tehnickim novostima ili promjenama nasih usluga. Vazeca verzija primjenjuje se od trenutka njezine objave na nasoj web-stranici.

O bitnim izmjenama koje se ticu Vasih prava ili nacina obrade podataka obavijestit cemo Vas pravodobno — primjerice putem e-poste ili istaknute obavijesti na nasoj web-stranici. Preporucujemo Vam da redovito pregledavate ovu politiku privatnosti kako biste bili informirani o zastiti Vasih podataka.


Stanje: travanj 2026.