F9.contact

Pravila privatnosti

Verzija: 1.0 · Datum stupanja na snagu: 2026-06-03

NACRT — čeka pravnu provjeru. Ovaj dokument opisuje predviđene prakse usluge F9.contact u pogledu zaštite podataka. Pravni savjetnik ga još nije konačno potvrdio i ne smije se smatrati konačnom pravnom izjavom.

Tko smo mi

F9.contact („F9", „mi", „nas") pruža softver za rezervacije, evidenciju klijenata, fiskalnu usklađenost i upravljanje djelatnicima za poslovne subjekte u sektoru osobne njege u Europskoj uniji. Kada ste poslovni subjekt koji posluje na platformi, Vi ste voditelj obrade osobnih podataka svojih klijenata, a F9 djeluje kao Vaš izvršitelj obrade na temelju Ugovora o obradi podataka. Kada podatke o Vama obrađujemo izravno — Vaš račun, naplatu i povijest podrške — F9 je voditelj obrade.

Za podatke o pravnom subjektu, sjedištu i kontakte pogledajte naš Impressum.

Što obrađujemo i zašto

Obrađujemo samo one kategorije osobnih podataka koje su potrebne za pružanje usluge:

  • Podaci o računu i identitetu — imena, adrese e-pošte, telefonski brojevi i podaci za prijavu poslovnih subjekata i njihovih djelatnika.
  • Podaci o klijentima — koje poslovni subjekti unose o vlastitim klijentima: kontaktni podaci, povijest termina, preferencije, neobvezne profilne fotografije te, za kliničke djelatnosti, odgovori iz upitnika za prijem.
  • Podaci o naplati — razina pretplate, status plaćanja i podaci za izdavanje računa. Podatke o platnim karticama obrađuje naš pružatelj usluga plaćanja i nikada se ne pohranjuju na poslužiteljima F9.
  • Tehnički podaci — IP adresa, podaci o uređaju i pregledniku te zapisi u revizijskom dnevniku koji bilježe tko je čemu pristupio i kada.

Oslanjamo se na pravne osnove ugovora (radi pružanja usluge na koju ste se prijavili), legitimnog interesa (sigurnost, sprječavanje prijevara, poboljšanje proizvoda) i zakonske obveze (hrvatsko fiskalno i porezno zakonodavstvo o zadržavanju podataka). Kada je potrebna privola — za kolačiće koji nisu nužni — izričito je tražimo.

Kako štitimo osobne podatke

Osobni podaci šifrirani su u mirovanju pomoću enveloping enkripcije AES-256-GCM. Svaki zaštićeni zapis ima vlastiti ključ za šifriranje podataka (Data Encryption Key, DEK), koji je i sam šifriran ključem za šifriranje ključeva (Key Encryption Key, KEK). Primjenjujemo trorazinsku hijerarhiju ključeva:

  • ključ na razini platforme za poslovno-kontaktne podatke,
  • ključ po poslovnom subjektu za podatke djelatnika i radnika,
  • neovisan ključ na razini klijenta za osobne podatke klijenata.

Pretraživa polja poput e-pošte pohranjuju se kao ključem generirani HMAC za pretraživanje te kao zasebno šifrirana vrijednost za prikaz — e-pošta u otvorenom obliku nikada se ne zapisuje na disk. Osobni podaci čuvaju se u EU-suverenoj infrastrukturi, a profilne se slike ponovno kodiraju uz uklanjanje metapodataka i poslužuju isključivo putem kratkotrajnih potpisanih URL-ova.

Zadržavanje i brisanje

Poslovni subjekti zadržavaju podatke o klijentima tijekom trajanja svoje pretplate i konfigurabilnog razdoblja mirovanja nakon toga. Zapisi prolaze kroz meko brisanje, zatim razdoblje nakon prestanka, a potom trajno brisanje. Poštujemo hrvatska zakonska razdoblja zadržavanja za fiskalne evidencije, koja imaju prednost pred zahtjevima za brisanje u pogledu podataka obuhvaćenih tim propisima.

Kada se zapis briše, provodimo kriptografsko brisanje: odgovarajući ključ za šifriranje podataka (Data Encryption Key) se uništava, čime šifrirani osobni podaci postaju trajno nepovratni, dok se strukturna povijest rezervacija i revizijskih zapisa koju je poslovni subjekt zakonski obvezan čuvati zadržava bez čitljivog osobnog sadržaja.

Vaša prava

U skladu s GDPR-om možete ostvariti sljedeća prava, od kojih su neka dostupna za samostalno korištenje:

  • Pravo na pristup i prenosivost podataka (čl. 15. / čl. 20.) — klijenti mogu zatražiti ZIP arhivu svojih osobnih podataka za preuzimanje sa stranice Moji izvozi na portalu; arhiva se izrađuje asinkrono i stavlja na raspolaganje putem vremenski ograničene poveznice za preuzimanje.
  • Pravo na brisanje (čl. 17.) — klijenti mogu zatražiti zatvaranje računa potvrđeno e-poštom, nakon čega se osobni podaci kriptografski brišu po isteku razdoblja mirovanja od 30 dana.
  • Ispravak, ograničenje i prigovor — obratite se poslovnom subjektu koji čuva Vaš zapis, ili nama kada smo mi voditelj obrade.

Imate i pravo podnijeti pritužbu nacionalnom nadzornom tijelu (u RH: AZOP).

Podizvršitelji obrade

Koristimo ograničen skup provjerenih podizvršitelja obrade — uključujući naše pružatelje usluga oblačne infrastrukture, objektne pohrane, isporuke e-pošte i plaćanja — odabranih prema kriteriju smještaja podataka unutar EU-a kada su uključeni osobni podaci. Obradu naših plaćanja provode Stripe i Revolut. Ažurni popis vodi se u sklopu Ugovora o obradi podataka.

Kolačići

Koristimo nužno potrebne kolačiće za rad stranice te, isključivo uz Vašu privolu, analitičke kolačiće radi razumijevanja korištenja. Pogledajte Politiku kolačića za potpuni popis i način na koji možete promijeniti svoj izbor.

Izmjene ovih pravila

Ova ćemo pravila ažurirati kako se usluga razvija te ćemo revidirati verziju i datum stupanja na snagu prikazane iznad. O bitnim izmjenama obavijestit ćemo vlasnike računa.