POLITIKA PRIVATNOSTI I ZAŠTITE OSOBNIH PODATAKA
Bibsy Skin Partners d.o.o.
Mikulići 221, 10000 Zagreb, Hrvatska
REVIZIJSKI BROJ: 2026/04 | DATUM VALIDACIJE: 24. travnja 2026.
1. TEMELJNA FILOZOFIJA I PRAVNI KONTEKST
Društvo Bibsy Skin Partners d.o.o. (u daljnjem tekstu: „Društvo“ ili „Voditelj obrade“) pristupa zaštiti osobnih podataka ne samo kao zakonskoj obvezi, već kao temelju povjerenja između nas i naših klijenata. U svijetu digitalne transformacije 2026. godine, smatramo da je privatnost temeljno ljudsko pravo koje mora biti zaštićeno naprednim tehnološkim i pravnim alatima.
Ova Politika privatnosti sastavljena je u skladu s odredbama Opće uredbe o zaštiti podataka (EU) 2016/679 (GDPR), Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18), te najnovijim interpretativnim smjernicama Europskog odbora za zaštitu podataka (EDPB). Svrha ovog dokumenta je pružiti Ispitaniku (korisniku stranice www.bibsy.hr) potpunu, jasnu i iscrpnu informaciju o tome koji se podaci prikupljaju, na koji način, u koju svrhu, na temelju koje pravne osnove, tko im ima pristup te kako se ti podaci štite od neovlaštenog pristupa ili gubitka.
2. DETALJNI IDENTITET VODITELJA OBRADE
Voditelj obrade koji definira „kako" i „zašto" se vaši podaci obrađuju je:
- Puni naziv subjekta: Bibsy Skin Partners d.o.o. za trgovinu i usluge
- Adresa sjedišta: Mikulići 221, 10000 Zagreb, Republika Hrvatska
- OIB (Osobni identifikacijski broj): 96838009151
- Sudski registar: Upisano u registar Trgovačkog suda u Zagrebu
- Službeni kontakt e-mail: info@bibsy.hr
- Kontakt: +385 91 617 4645
Interne odgovorne osobe za Društvo Bibsy Skin Partners d.o.o. nadziru usklađenost procesa obrade podataka s važećim propisima. Svaki Ispitanik može se obratiti na gore navedenu adresu radi ostvarivanja svojih prava.
2.1. Službenik za zaštitu podataka (DPO)
✅ NOVO (2026): Društvo nije obvezno imenovati Službenika za zaštitu podataka sukladno čl. 37. GDPR-a budući da primarna djelatnost ne uključuje sustavno praćenje ispitanika niti obradu posebnih kategorija podataka u velikoj mjeri. Međutim, za sva pitanja vezana uz zaštitu podataka možete se obratiti na: info@bibsy.hr.
3. TAKSONOMIJA OSOBNIH PODATAKA KOJE PRIKUPLJAMO
Na stranici www.bibsy.hr, primarni mehanizam prikupljanja podataka je digitalna kontakt forma.
3.1. Podaci uneseni putem forme:
- Ime i prezime: Ovi podaci služe kao primarni identifikator. U kontekstu pružanja profesionalnih kozmetičkih usluga, identifikacija je nužna radi sprječavanja zamjene identiteta klijenata i osiguravanja kontinuiteta njege.
- Adresa elektroničke pošte (E-mail): E-mail predstavlja ključni digitalni identifikator i kanal komunikacije. On se koristi za dostavu odgovora na upite, slanje potvrda o rezervacijama termina, te za daljnju poslovnu korespondenciju.
- Broj telefona: S obzirom na prirodu usluga (tretmani kože, konzultacije), telefon je neophodan za brzu operativnu komunikaciju. Primjerice, u slučaju otkazivanja termina, promjene lokacije ili hitnih uputa prije tretmana, telefon je jedini učinkoviti kanal.
- Upit (NAPOMENA): Kategorizacija upita omogućuje Društvu da podatak usmjeri odgovarajućem stručnjaku (npr. stručnjak za lice, stručnjak za proizvode, administracija). Ovo je polje slobodnog unosa gdje Ispitanik može navesti specifične detalje.
⚠️ NAPOMENA: Ukoliko Ispitanik u polju „Napomena" navede podatke o alergijama, kožnim bolestima ili terapijama, Društvo te podatke tretira kao „posebne kategorije podataka" (podaci o zdravlju) sukladno Članku 9. GDPR-a. PREPORUKA: Nemojte unositi osjetljive zdravstvene podatke u polje slobodnog unosa osim ako je to nužno za Vaš upit. Navedite samo minimum informacija potrebnih za dobivanje savjeta koji tražite.
3.2. Tehnički podaci (Digitalni otisak):
Web poslužitelj hosting pružatelja može automatski bilježiti standardne tehničke podatke o pristupu stranici, kao što su IP adresa, vrsta preglednika (User-Agent) i vremenski žig zahtjeva, sukladno svojoj internoj konfiguraciji i pravilima pohrane.
4. PROŠIRENA ANALIZA PRAVNIH OSNOVA ZA OBRADU
Bibsy Skin Partners d.o.o. ne obrađuje niti jedan podatak bez valjane pravne osnove iz Članka 6. (i Članka 9. za osjetljive podatke) GDPR-a.
4.1. Privola (Članak 6. st. 1. tč. a)
Slanjem upita, Ispitanik daje izričitu privolu. Ta privola mora biti dobrovoljna, posebna, informirana i nedvosmislena. Ispitanik u svakom trenutku može povući privolu, što rezultira trenutnim prekidom obrade (osim ako ne postoji druga zakonska osnova za čuvanje).
4.2. Izvršavanje ugovora ili predugovornih mjera (Članak 6. st. 1. tč. b)
Ovo je najčešća osnova za obradu na našoj stranici. Ako klijent pita za cijenu ili slobodan termin, Društvo mora obraditi njegove podatke kako bi ispunilo zahtjev klijenta. Bez obrade imena i telefona, rezervacija termina fizički nije moguća.
4.3. Legitimni interes (Članak 6. st. 1. tč. f)
Društvo ima legitimni interes:
- Zaštititi svoju mrežnu infrastrukturu od cyber napada.
- Osigurati dokaze o komunikaciji u slučaju pravnih sporova.
4.4. Posebne kategorije (Članak 9. st. 2. tč. a)
Ako nam pošaljete podatke o svom zdravlju (kožni problemi), pravna osnova je vaša izričita privola sadržana u dragovoljnom slanju tih informacija radi dobivanja savjeta.
5. DETALJAN OPIS SVRHE OBRADE
Svaki prikupljeni podatak ima svoju specifičnu putanju i svrhu:
- Administrativna obrada: Upravljanje bazom upita i dodjela termina.
- Komunikacijska svrha: Pružanje informacija o tretmanima, cijenama i dostupnosti.
- Personalizacija usluge: Korištenje podataka iz „Napomene" kako bi se stručno osoblje pripremilo za specifične potrebe klijenta prije njegovog dolaska.
- Sigurnosna arhiva: Vođenje evidencije o osobama koje su pristupile sustavu radi zaštite integriteta podataka ostalih korisnika.
- Zakonska usklađenost: Ispunjenje poreznih i knjigovodstvenih obveza u slučaju realizacije usluge.
6. PROTOKOL ČUVANJA PODATAKA I KRITERIJI ZA BRISANJE
U skladu s načelom ograničenja pohrane (čl. 5. st. 1. tč. e) GDPR-a), podaci se čuvaju prema sljedećim kriterijima:
Informativni upiti (bez realizacije):
Svi podaci prikupljeni putem forme (Ime, Email, Telefon, Upit, Napomena) čuvaju se najduže 12 mjeseci. Smatramo da je ovaj rok nužan jer se klijenti u kozmetičkoj industriji često vraćaju s dodatnim pitanjima nakon nekoliko mjeseci razmišljanja. Nakon proteka roka od 12 mjeseci, podaci se trajno i nepovratno brišu. Ukoliko se koristi anonimizacija kao alternativa brisanju, ona mora biti provedena na način koji je potpuno ireverzibilan — tj. podatke je nemoguće povezati s fizičkom osobom ni uz upotrebu razumnih sredstava. Napominjemo da pseudonimizacija (zamjena identifikatora pseudonimima) nije ekvivalentna anonimizaciji te se ne smatra brisanjem u smislu GDPR-a.
Poslovna dokumentacija:
Ukoliko klijent postane korisnik usluga i izda se račun, podaci potrebni za izdavanje računa (Ime, Prezime, te OIB isključivo ako klijent zatraži R1 račun) čuvaju se 11 godina sukladno čl. 52. Zakona o računovodstvu (NN 78/15, 134/15, 120/16, 116/18, 42/20, 47/20, 114/22).
Podaci o zdravlju (iz Napomene):
Ukoliko ne dođe do tretmana, ovi podaci se brišu odmah po davanju savjeta.
7. DISEMINACIJA I PRIJENOS PODATAKA TREĆIM STRANAMA
Bibsy Skin Partners d.o.o. primjenjuje politiku „Nulte tolerancije" na prodaju podataka. Vaši podaci mogu biti preneseni isključivo:
7.1. Izvršiteljima obrade (Pružatelji tehničkih usluga):
- Hosting Provider: Podaci su pohranjeni na serverima pružatelja usluga hostinga s kojim Društvo ima reguliran ugovorni odnos koji uključuje stroge odredbe o zaštiti i obradi podataka (DPA).
- Interno održavanje: Društvo samostalno vrši administraciju i održavanje mrežne stranice, čime je pristup podacima ograničen na ovlaštene osobe unutar Društva Bibsy Skin Partners d.o.o.
7.2. Državnim tijelima:
Isključivo na temelju pisanog i zakonski utemeljenog naloga.
7.3. Google Ireland Limited:
Isključivo za potrebe Google Maps i Analytics servisa.
✅ NOVO (2026): Prijenos podataka Googleu odvija se temeljem EU-US Data Privacy Framework (DPF) i/ili Standardnih ugovornih klauzula (SCC) sukladno čl. 46. GDPR-a. Prijenos bilo kakvih podataka prema Googleu (uključujući potencijalni prijenos u SAD) je onemogućen po zadanim postavkama. Prijenos se aktivira isključivo i tek nakon što korisnik da izričitu privolu putem banner-a za kolačiće. Bez Vašeg klika na „Prihvaćam", podaci se ne šalju Googleu.
8. TEHNIČKE I ORGANIZACIJSKE MJERE ZAŠTITE (TOMs)
Kako bismo osigurali integritet, povjerljivost i dostupnost podataka, primjenjujemo:
- Enkripcija: Svi podaci u tranzitu zaštićeni su enkripcijom (HTTPS/TLS protokol).
- Sustav autorizacije: Pristup administrativnom sučelju stranice zaštićen je višefaktorskom autentifikacijom (MFA).
- Backup strategija: Redovita izrada sigurnosnih kopija na izoliranim lokacijama radi sprječavanja gubitka podataka u slučaju katastrofe.
- Edukacija osoblja: Zaposlenici imaju obuku/upute o sigurnosti i tajnosti podataka.
9. KATALOG PRAVA ISPITANIKA
Kao vlasnik svojih podataka, imate sljedeća prava koja Bibsy bezuvjetno poštuje:
- Pravo na pristup (Članak 15.): Imate pravo dobiti informaciju o tome koje vaše podatke obrađujemo, tko su primatelji i koliko dugo ćemo ih čuvati.
- Pravo na ispravak (Članak 16.): Ukoliko primijetite da smo pogrešno upisali vaš broj telefona ili ime, imate pravo na trenutni ispravak.
- Pravo na brisanje / Pravo na zaborav (Članak 17.): Možete zatražiti brisanje svojih podataka ako oni više nisu nužni za svrhu u koju su prikupljeni ili ako povučete privolu.
- Pravo na ograničenje obrade (Članak 18.): Možete tražiti da vaše podatke ne brišemo, ali da ih prestanemo aktivno koristiti (npr. tijekom sudskog spora).
- Pravo na prijenos podataka (Članak 20.): Pravo na dobivanje vaših podataka u strukturiranom, strojno čitljivom formatu kako biste ih prenijeli drugom salonu ili stručnjaku.
- Pravo na prigovor (Članak 21.): Pravo na prigovor protiv obrade temeljene na našem legitimnom interesu.
- Pravo na povlačenje privole: U svakom trenutku možete reći „ne želim više da me kontaktirate".
✅ NOVO (2026): Na sve zahtjeve vezane uz ostvarivanje navedenih prava odgovaramo u roku od 30 dana od primitka, sukladno čl. 12. GDPR-a. U slučaju složenih ili višestrukih zahtjeva, rok se može produljiti za dodatnih 60 dana, o čemu ćemo Vas pravovremeno obavijestiti.
Za ostvarivanje ovih prava, pošaljite zahtjev na: info@bibsy.hr.
10. AUTOMATIZIRANO DONOŠENJE ODLUKA I PROFILIRANJE
Bibsy Skin Partners d.o.o. ne koristi algoritme za automatizirano donošenje odluka. Mi ne koristimo vaše podatke kako bismo automatski stvarali profil o vama i na temelju toga vam uskraćivali usluge ili mijenjali cijene. Svaka komunikacija je personalizirana i ljudska.
11. OBRADA PODATAKA DJECE
Naše usluge namijenjene su odraslim osobama. Ne prikupljamo svjesno podatke osoba mlađih od 16 godina. Ukoliko ste roditelj i saznate da je vaše dijete poslalo upit putem naše forme, javite nam se i mi ćemo te podatke obrisati u najkraćem mogućem roku (obično unutar 24 sata).
12. NADZORNO TIJELO I PRAVNI LIJEK
Ukoliko smatrate da smo povrijedili bilo koje od vaših prava zajamčenih GDPR-om, imate pravo podnijeti pritužbu nadležnom nadzornom tijelu u Hrvatskoj:
Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136, 10000 Zagreb
- E-mail: azop@azop.hr
- Web: www.azop.hr
- Telefon: +385 1 4609 000
Preporučujemo da se prije obraćanja AZOP-u obratite nama na info@bibsy.hr kako bismo pokušali riješiti nesporazum na obostrano zadovoljstvo.
13. POLITIKA KOLAČIĆA
Detaljne informacije o korištenju kolačića dostupne su u našoj Politici kolačića objavljenoj na www.bibsy.hr/politika-kolacica.https://www.bibsy.hr/pravila-o-koristenju-kolacica
14. ZAVRŠNE ODREDBE I AŽURIRANJE
Ova Politika privatnosti je živi dokument. Svaki put kada uvedemo novu tehnologiju na web stranicu (npr. novi chatbot ili sustav plaćanja), ova Politika će biti ažurirana. Svaka nova verzija stupa na snagu trenutkom objave na ovoj adresi.
Bibsy Skin Partners d.o.o. jamči da će vaši podaci uvijek biti tretirani s najvišom razinom diskrecije i profesionalizma.
Bibsy Skin Partners d.o.o. za trgovinu i usluge
Mikulići 221, 10000 Zagreb, Republika Hrvatska | OIB: 96838009151
info@bibsy.hr | +385 91 617 4645
