Politika privatnosti
Posljednje ažuriranje: 23. maj 2026.
1. Voditelj obrade
Voditelj obrade ličnih podataka je Tahir Muminović, fizičko lice sa sjedištem u Bosni i Hercegovini.
Kontakt za pitanja o privatnosti: muminovictahir1988@gmail.com
2. Koje podatke prikupljamo
2.1. Podaci o nalogu
- Email adresa — za prijavu i komunikaciju
- Lozinka — čuva se isključivo kao kriptografski hash (Supabase bcrypt), nikad u čistom tekstu
- Korisničko ime — opciono, samo ako ga postaviš sam
- Google ID (ako se prijaviš preko Google OAuth) — minimalan token za identifikaciju
2.2. Podaci o aktivnosti
- Tvoj puzzle rejting (Elo bodovi)
- PGN (notacija) tvojih završenih partija protiv računara
- Statistika riješenih zagonetki (uspjeh/neuspjeh, vrijeme pokušaja)
- Daily puzzle streak i istorija po danima
- Tehnički podaci tokom korištenja: timestamp poteza, klasifikacija (best/blunder/itd.), accuracy %
2.3. Podaci o plaćanju
Tvoje podatke o kreditnoj kartici nikad ne primamo ni ne čuvamo. Sve obrađuje Paddle.com Market Limited (PCI-DSS Level 1 certifikat). Mi primamo samo:
- Status pretplate (aktivna / otkazana / istekla)
- Datum sljedeće naplate
- Paddle subscription ID (interni)
2.4. Tehnički podaci
Naš web hosting (Vercel) može logirati osnovne tehničke informacije za potrebe sigurnosti i performansi:
- IP adresa (anonimizirana nakon 30 dana)
- Vrsta browser-a i operativnog sistema
- URL koji si posjetio i timestamp
3. Pravni osnov za obradu
Obradu zasnivamo na sljedećim pravnim osnovima:
- Ugovor (čl. 6(1)(b) GDPR) — za pružanje servisa (email, rejting, partije)
- Legitimni interes (čl. 6(1)(f)) — za sigurnost (IP logovi, fraud detection)
- Zakonska obaveza (čl. 6(1)(c)) — za čuvanje računovodstvenih podataka (fakture)
- Saglasnost (čl. 6(1)(a)) — za eventualne newsletter-e (samo ako se izričito prijaviš)
4. Sa kim dijelimo podatke
Dijelimo podatke samo sa sljedećim procesorima, svaki sa ugovorom o obradi (DPA):
- Supabase Inc. (USA, EU-US Data Privacy Framework) — hosting baze podataka u Ireland regionu
- Vercel Inc. (USA) — web hosting i CDN
- Paddle.com Market Limited (UK) — obrada plaćanja, fakture, povrat novca
- Google LLC (samo ako se prijaviš preko Google OAuth) — identifikacija
Ne prodajemo, ne iznajmljujemo i ne razmjenjujemo tvoje podatke sa marketinškim ili reklamnim kompanijama.
5. Tvoja prava (GDPR)
U skladu sa GDPR-om, imaš pravo na:
- Pristup (čl. 15) — kopiju svih podataka koje imamo o tebi
- Ispravak (čl. 16) — ispraviti netačne ili nepotpune podatke
- Brisanje (čl. 17) — „pravo na zaborav"; obrišemo ti sve u 30 dana
- Ograničenje obrade (čl. 18) — privremeno zaustaviti obradu
- Prenosivost (čl. 20) — eksport tvojih podataka u JSON formatu
- Prigovor (čl. 21) — protiviti se obradi zasnovanoj na legitimnom interesu
- Žalba nadzornom tijelu (npr. Agencija za zaštitu ličnih podataka u BiH)
Za ostvarivanje bilo kojeg prava, pošalji nam email na muminovictahir1988@gmail.com. Odgovaramo u roku od 30 dana.
6. Cookies (kolačići)
Koristimo isključivo tehnički neophodne kolačiće:
-
sb-*-auth-token— Supabase auth session, čuva da si prijavljen (HttpOnly, Secure, SameSite) -
sahTutor:*— localStorage ključevi za tvoju temu, daily streak, dnevne brojače
Ne koristimo oglašivačke kolačiće ili kolačiće trećih strana (npr. Google Analytics, Facebook Pixel). Zbog toga ne moraš pristajati na cookie banner — sve što koristimo je tehnički neophodno za rad servisa.
6.1. Analitika (Umami)
Za razumijevanje kako se aplikacija koristi (koliko posjetilaca, koje stranice gledaju, koliko ljudi završi registraciju) koristimo Umami Cloud — privacy-friendly analitiku.
- Bez kolačića. Umami koristi anonimne, hash-irane vrijednosti zasnovane na datumu, browser-u i domeni — ne na tvom identitetu.
- Bez praćenja preko sajtova. Podaci se ne dijele ni sa kim, ne koriste se za oglašavanje, ne spajaju se sa drugim profilima.
- IP adrese se ne čuvaju. Koriste se samo za detekciju države/grada na nivou agregata, nikad za identifikaciju.
- Server u EU. Umami Cloud hostuje u EU data centrima, podaci ne napuštaju EU.
Pošto Umami ne koristi kolačiće i ne obrađuje lične podatke u smislu GDPR-a, ne treba ti pristanak za ovu funkciju. Više info: umami.is/privacy.
7. Rok čuvanja podataka
- Aktivni nalog — dok god ti je nalog aktivan
- Brisanje naloga — sve se briše u 30 dana
- Fakture — 10 godina (zakonska obaveza za računovodstvenu evidenciju)
- Server logovi (IP) — anonimizirano nakon 30 dana, potpuno brisano nakon 90 dana
8. Sigurnost podataka
Koristimo industrijske standarde za zaštitu tvojih podataka:
- HTTPS/TLS enkripcija svuda
- Lozinke hashovane sa bcrypt-om
- Row Level Security (RLS) u bazi — svaki korisnik vidi samo svoje podatke
- Regularni backup-ovi (Supabase) sa kriptiranom pohranom
- Pristupna kontrola — samo Pružatelj usluge ima admin pristup
9. Djeca
Aplikacija nije namijenjena djeci mlađoj od 13 godina. Ako otkrijemo da smo nesvjesno prikupili podatke djeteta ispod 13 godina, ti podaci se odmah brišu.
Korisnici između 13 i punoljetnosti trebaju saglasnost roditelja ili staratelja.
10. Prenos podataka van EU
Naša infrastruktura (Supabase, Vercel) je u SAD i EU. Prenos u SAD je pokriven okvirom EU-US Data Privacy Framework (od jula 2023). Vercel i Supabase su certifikovani članovi.
11. Izmjene ove Politike
Ako značajno mijenjamo ovu Politiku, obavijestit ćemo te email-om najmanje 14 dana prije stupanja izmjena na snagu.
For Paddle reviewers (English summary)
GDPR-compliant privacy policy. Data controller: Tahir Muminović (Bosnia and Herzegovina). Data processed: authentication (email, password hash), gameplay (rating, PGN, puzzle stats, daily streak), subscription status (no card details — Paddle handles). Sub-processors: Supabase (EU/US, EU-US DPF), Vercel (US), Paddle (UK), Google (OAuth only, opt-in). No marketing cookies, no third-party trackers. Users have all standard GDPR rights (access, deletion, portability, etc.) via email request, processed within 30 days. Account deletion is full and irreversible within 30 days (except legally-required accounting records: 10 years).