Preskoči na sadržaj

Pravna obavijest

Politika privatnosti

Kako MareKey prikuplja, koristi, čuva i štiti tvoje osobne podatke, sukladno EU Općoj uredbi o zaštiti podataka (GDPR, Uredba 2016/679), hrvatskom Zakonu o provedbi Opće uredbe o zaštiti podataka (NN 42/18) i prinudnim sektorskim propisima.

Posljednja izmjena: 10. május 2026.

1. Voditelj obrade i službenik za zaštitu podataka

Voditelj obrade osobnih podataka u smislu čl. 4. st. 7. GDPR-a je:

  • MareKey d.o.o.
  • Adresa sjedišta: [ulica i broj, poštanski broj i grad], Hrvatska
  • OIB: [11 znamenaka]
  • Email za pitanja o privatnosti: privacy@marekey.com

Funkciju službenika za zaštitu podataka (DPO, čl. 37. GDPR-a) obnaša:

Napomena: po hrvatskim regulatornim pragovima (Zakon o provedbi GDPR-a, čl. 18.) MareKey trenutno nije obvezan imati formalno imenovanog DPO-a, ali smo dobrovoljno odredili Dragana Tozana kao kontaktnu osobu za sva pitanja zaštite podataka radi transparentnosti.

2. Načela u kratkim crtama

  • Prikupljamo samo ono što nam je nužno za pružanje usluge.
  • Ne prodajemo tvoje podatke trećim stranama. Nikad.
  • Ne pokrećemo analitiku trećih strana (Google Analytics, Facebook Pixel).
  • Pohrana primarnih podataka je u EU; iznimke navodimo izričito.
  • Imaš puno pravo pristupa, ispravka, brisanja, ograničenja i prenosivosti — opisano u §9.

3. Kategorije osobnih podataka koje obrađujemo

Kategorija Primjeri polja Izvor
Računime, prezime, email, lozinka (bcrypt hash), preferirani jezik, vremenska zonaizravno od korisnika
Najmodavac/agencijaOIB, naziv tvrtke, adresa, IBAN, fiskalni certifikat (FINA P12), ePoslovanje pristupizravno od korisnika
Rezervacijadatumi, broj osoba, jedinica, ukupna cijena, status, otkazni razlogkorisnička aktivnost
PlaćanjeStripe Customer ID, Stripe Payment Intent ID, zadnje 4 znamenke kartice (od Stripe-a), brand kartice, ne pohranjujemo cijeli PANStripe (potkontroler)
FiskalJIR, ZKI, oznaka računa, OIB obveznika, datum i iznos, kontekst (avansni/konačni)CIS Porezna uprava
eVisitorime, prezime, datum rođenja, državljanstvo, vrsta i broj putnog dokumenta, datum dolaska/odlaska, šifra svrhe boravkaizravno od gosta, fiskalna obveza
Pametna bravaPIN ili šifra (privremeno generirana, hash u bazi), vremenski okvir valjanosti, log otključavanjavendor brave (vidi §6)
Fotografije i sadržajfotografije objavljene od najmodavca, recenzije gostijukorisnik
Komunikacijaporuke u chatu, mailovi podrške, ulazni telefonski upitikorisnik i podrška
Lokacijaadresa i koordinate jedinice (objavljeno u oglasu); IP adresa korisnika u tehničkom logukorisnik / automatski
Tehnički logoviIP adresa, korisnički agent, ruta, status kod, vrijeme zahtjevaautomatski (server)

4. Pravne osnove obrade (čl. 6. GDPR)

  • Izvršenje ugovora (čl. 6. st. 1. b)) — vođenje računa, rezervacije, naplata, pružanje korisničke podrške.
  • Zakonska obveza (čl. 6. st. 1. c)) — fiskalizacija (Zakon o fiskalizaciji u prometu gotovinom, NN 133/12 s izmjenama), eVisitor (Zakon o boravišnoj pristojbi, NN 52/19), porezno čuvanje računa, AML/KYC obveze (samo Stripe kao samostalni voditelj).
  • Legitimni interes (čl. 6. st. 1. f)) — tehnička sigurnost (logovi, anti-fraud), sprječavanje zlouporabe, poboljšanja proizvoda na agregiranim podacima, slanje servisnih obavijesti.
  • Privola (čl. 6. st. 1. a)) — marketinški emailovi, ne-esencijalni kolačići, dijeljenje recenzija na javnom marketplaceu. Privola se može opozvati u svako doba kroz „Postavke → Privatnost“ ili klikom na „odjavi se“ u svakom marketinškom emailu.

Pri obradi posebnih kategorija podataka (npr. broj putovnice u eVisitoru može tehnički otkriti državljanstvo, što je posebna kategorija po čl. 9. GDPR-a samo u kontekstu rasnog/etničkog podrijetla — ovdje se obrađuje radi izvršavanja zakonske obveze države, čl. 9. st. 2. g) GDPR).

5. Svrhe obrade

  • Pružanje platforme: vođenje računa, ovjera prijave, obrada rezervacija, fiskalizacija, eVisitor prijava.
  • Naplata i poravnanje (Stripe Connect): pretplate, marketplace naknade, isplate najmodavcima/agencijama.
  • Komunikacija: transakcijski mailovi (potvrde, podsjetnici), notifikacije platforme, podrška, otklanjanje problema.
  • Sigurnost: detekcija zlouporabe, anti-fraud (Stripe Radar), hash usporedba lozinki.
  • Pristup pametnim bravama: generiranje i dostava privremenih PIN-ova; hash PIN-a u bazi.
  • Recenzije: prikaz recenzija na marketplaceu i tvojoj brendiranoj stranici uz tvoj pristanak.
  • Marketing: bilten i obavijesti o proizvodu — samo uz tvoju izričitu privolu.
  • Pravne i regulatorne svrhe: odgovor na zahtjeve nadležnih tijela, sudske naloge, obrana od zahtjeva.

6. Tablica podobrađivača (sub-processors)

Slijedi popis svih trećih strana s kojima dijelimo osobne podatke. Svi su obvezani ugovorom o obradi (DPA) prema čl. 28. GDPR-a, osim onih označenih kao samostalni voditelji.

Pružatelj Lokacija Svrha Mehanizam prijenosa
Stripe Payments Europe Ltd. Irska (EEA) Stripe Connect — kartična obrada, KYC najmodavaca, isplate Unutar EEA + DPA; Stripe je samostalni voditelj za KYC
CIS — Porezna uprava RH Hrvatska B2C fiskalizacija (SOAP), JIR/ZKI ovjera Zakonska obveza (čl. 6. st. 1. c) GDPR)
FINA — ePoslovanje Hrvatska B2B eRačun razmjena, slanje računa državnim tijelima Zakonska obveza
HTZ — eVisitor Hrvatska Prijava boravka stranog i domaćeg gosta Zakonska obveza (NN 52/19)
Anthropic, PBC (Claude API) SAD Generativni AI za prijevode, opise, podrška chat (samo na izričiti zahtjev korisnika) SCC (Modul 2) + Anthropic DPA + politika nepohrane (no training)
Meilisearch self-hosted u Hetzner data centru (DE) Pretraga marketplacea (oglasi, ne osobni podaci gostiju) Unutar EEA
Smart-lock vendori (Nuki Home Solutions, Igloohome, Schlage / Allegion, Yale / Assa Abloy, August Home, KeyNest) EU/UK/SAD ovisno o vendoru Generiranje i sinkronizacija PIN kodova; minimalno: ime gosta, vremenski okvir rezervacije DPA s vendorom; SCC za SAD vendore (August)
Caddy + PowerDNS self-hosted (Hetzner DE) DNS rezolucija brendiranih domena, automatske TLS potvrde Unutar EEA
Hetzner Online GmbH Njemačka (Falkenstein, Nürnberg) Cloud hosting, baze, backupi Unutar EEA + DPA
Postfix mail relay self-hosted (Hetzner DE) Slanje transakcijskih i marketinških mailova; prosljeđivanje na adrese korisnika Unutar EEA
Namecheap (samo registracija domene putem API-ja) SAD Registracija/transfer domena u ime najmodavca; samo ako najmodavac izabere taj put SCC; obrađuje samo WHOIS podatke najmodavca

Ovaj popis ažuriramo kad dodamo ili zamijenimo podobrađivača. Bitne izmjene najavljujemo emailom registriranim korisnicima barem 30 dana unaprijed; u tom roku možeš podnijeti prigovor i otkazati pretplatu.

7. Prijenosi izvan EU/EEA

Većina obrade odvija se unutar EEA. Iznimke su:

  • Anthropic (SAD) — koristi se samo na izričiti zahtjev korisnika (npr. prijevod opisa). Mehanizam prijenosa: standardne ugovorne klauzule (SCC) iz Provedbene odluke Komisije 2021/914 + Anthropic DPA + dodatne mjere sigurnosti (TLS, no-training politika).
  • August Home (Allegion, SAD) — kad gost otključava jedinicu opremljenu August bravom; SCC mehanizam.
  • Namecheap (SAD) — samo kad najmodavac registrira domenu kroz Namecheap kanal; samo WHOIS podaci. SCC mehanizam.

Po čl. 13. st. 1. f) GDPR-a, kopiju primijenjenih SCC-ova možeš zatražiti putem privacy@marekey.com.

8. Razdoblja čuvanja

  • Korisnički račun — dok je aktivan, plus 30 dana grace period nakon zahtjeva za brisanje.
  • Rezervacije i pripadajuće poruke — 7 godina od završetka boravka (porezna obveza, NN 115/16, čl. 53.).
  • Podaci o gostima (kontakt, adresa za fakturu) — 6 godina (zaštita prava na prigovor i potraživanja).
  • Fiskalni dokumenti (JIR, ZKI, sadržaj računa) — 11 godina (Pravilnik o porezu na dohodak, NN 10/17).
  • eVisitor zapisi — 6 godina (Zakon o boravišnoj pristojbi, čl. 26.).
  • Audit log (sigurnosni log radnji administratora) — 5 godina.
  • Tehnički log (IP, ruta, status kod) — 30 dana.
  • Marketinška privola — do opoziva privole; nakon opoziva pohranjujemo samo zapis opoziva (legal hold).
  • PIN za pametnu bravu — hash PIN-a do 7 dana nakon završetka boravka, zatim trajno brisanje.
  • Backupi baze — 30 dana rotacijska retencija; brisanje iz primarne baze propagira se kroz iduća 2 ciklusa backupa.

9. Tvoja prava (čl. 15–22 GDPR)

  • Pravo na pristup (čl. 15) — kopija podataka u JSON i CSV.
  • Pravo na ispravak (čl. 16) — kroz „Postavke → Profil“.
  • Pravo na brisanje (čl. 17, „pravo na zaborav“) — kroz „Postavke → Obriši račun“. Iznimka: podaci koje smo dužni čuvati po fiskalnim ili eVisitor propisima.
  • Pravo na ograničenje (čl. 18) — možeš zatražiti zaustavljanje obrade dok rješavamo tvoj prigovor.
  • Pravo na prenosivost (čl. 20) — strojno čitljiv export.
  • Pravo na prigovor (čl. 21) — protiv obrade temeljene na legitimnom interesu, uključujući direktni marketing.
  • Pravo da nisi predmet automatiziranog odlučivanja (čl. 22) — MareKey ne provodi automatizirano profiliranje s pravnim učincima.

Sve zahtjeve obrađujemo unutar 30 dana od zaprimanja, sukladno čl. 12. st. 3. GDPR-a. Po opravdanim okolnostima rok možemo produljiti za dodatnih 60 dana, uz prethodnu obavijest.

10. Sigurnost obrade (čl. 32 GDPR)

  • TLS 1.3 enkripcija svih komunikacija (HSTS na svim domenama).
  • AES-256-GCM enkripcija osjetljivih polja u bazi (fiskalni P12 certifikati, ePoslovanje pristupne lozinke, smart-lock API ključevi).
  • Lozinke korisnika hashed s bcrypt (cost 12).
  • Database backupi svaka 4 sata, 30 dana retencije, off-site replikacija.
  • Pristup produkcijskoj bazi ograničen na ovlaštene administratore preko VPN-a + 2FA.
  • Audit log svih radnji administratora (5 godina).
  • Godišnji penetracijski test od trećestrane sigurnosne kuće.
  • Postupak obavještavanja o povredi (data breach) sukladno čl. 33–34 GDPR-a; AZOP obavještavamo unutar 72 sata, korisnike bez nepotrebne odgode.

11. Kolačići

MareKey koristi minimalan skup kolačića (samo esencijalni i funkcionalni — nemamo analytics ni marketinške kolačiće). Detaljan popis i način upravljanja u Politici kolačića.

12. Maloljetnici

Platforma nije namijenjena osobama mlađim od 16 godina. Računi se otvaraju tek za osobe od 18+ godina. Ako primijetimo da smo nehotice prikupili podatke maloljetnika, podaci se brišu bez odgode. Ako kao roditelj/staratelj posumnjaš na takav slučaj, javi se na privacy@marekey.com.

13. Procjena učinka na zaštitu podataka (DPIA)

Po čl. 35. GDPR-a, za visokorizične obrade obvezni smo izraditi procjenu učinka. Sljedeće obrade smo identificirali kao visokorizične i na njima smo proveli formalnu DPIA proceduru, čije sažete nalaze ovdje navodimo radi transparentnosti:

  1. Fiskalizacija (B2C i B2B) — sustavna i opsežna obrada financijskih podataka uz povezanost s OIB-om, državnim sustavom (CIS / FINA) i prinudnom retencijom 11 godina. Mjere: enkripcija certifikata, audit log, ograničen pristup, key-rotation, godišnji audit.
  2. eVisitor prijava — obrada podataka iz osobnih dokumenata stranih državljana u opsegu cijele zemlje. Mjere: lokalna pohrana (najmodavac), TLS prijenos do HTZ-a, brisanje iz aplikacijskog cachea nakon prijave.
  3. Pametne brave — opsežno generiranje fizičkih pristupnih tokena. Mjere: kratki life-cycle PIN-ova (samo trajanje boravka), hash u bazi, fallback ulaza u jedinicu, jasno informiranje gosta.

Pune verzije DPIA dokumenata dostupne su nadzornom tijelu (AZOP) na zahtjev te ovlaštenim revizorima u sklopu sigurnosnog pregleda.

14. Pravo na žalbu nadzornom tijelu

Smatraš li da se tvoji podaci obrađuju protivno propisima, imaš pravo podnijeti žalbu Agenciji za zaštitu osobnih podataka (AZOP):

  • Adresa: Selska cesta 136, 10000 Zagreb
  • Telefon: +385 1 4609 000
  • Email: azop@azop.hr
  • Web: azop.hr

Cijenili bismo da se prije podnošenja žalbe AZOP-u javiš nama na privacy@marekey.com kako bismo pokušali brzo riješiti situaciju.

15. Izmjene ove politike

Ovu Politiku ažuriramo kad se mijenjaju propisi ili kad uvedemo nove funkcionalnosti. Bitne izmjene najavljujemo emailom svim registriranim korisnicima barem 30 dana prije stupanja na snagu, a manje izmjene označavamo novim datumom „Posljednja izmjena“ na vrhu stranice. Verzije politika čuvamo u arhivi koju možeš zatražiti emailom.

16. Kontakt

English version (summary)

The Croatian text above is the binding version. The English summary is provided for convenience.

Controller

MareKey d.o.o. (Croatia). Privacy contact: privacy@marekey.com. DPO contact: dpo@marekey.com (voluntarily designated; no statutory obligation under Croatian thresholds).

Categories of data

Account, host/agency profile (incl. fiscal certificate), bookings, payments (Stripe tokens — no full PAN), fiscalisation receipts, eVisitor IDs, smart-lock PIN hashes, photos, communications, location/IP and technical logs.

Legal bases

Contract performance; legal obligation (fiscalisation, eVisitor, tax retention); legitimate interest (security, fraud prevention); consent (marketing, optional cookies, public reviews).

Sub-processors

  • Stripe Payments Europe Ltd. — Ireland
  • CIS / Croatian Tax Administration — Croatia
  • FINA / ePoslovanje — Croatia
  • HTZ / eVisitor — Croatia
  • Anthropic, PBC (Claude API) — USA, SCC + DPA
  • Meilisearch — self-hosted (Hetzner DE)
  • Smart-lock vendors (Nuki, Igloohome, Schlage, Yale, August, KeyNest)
  • Caddy + PowerDNS — self-hosted (Hetzner DE)
  • Hetzner Online GmbH — Germany
  • Postfix mail relay — self-hosted (Hetzner DE)
  • Namecheap — USA, SCC (only on host opt-in for domain registration)

International transfers

Anthropic, August Home, Namecheap (USA) — SCC Module 2 of Decision (EU) 2021/914.

Retention

Bookings: 7 years. Guest data: 6 years. Fiscal: 11 years (mandatory). eVisitor: 6 years (mandatory). Audit log: 5 years. Tech logs: 30 days. Marketing: until consent withdrawn.

Your rights

Access, rectification, erasure, restriction, portability, objection, no automated decision-making (GDPR Arts. 15–22). Lodge a complaint with AZOP (Croatian DPA).

DPIA

Formal DPIAs were carried out for fiscalisation, eVisitor, and smart-lock processing — all classified as high-risk under GDPR Art. 35. Mitigations: encryption at rest, audit logs, minimal retention, transparent guest disclosure.

Pitanja? privacy@marekey.com.
Posljednja izmjena: 10. május 2026..