Izjava o zaštiti podataka

Voditelj obrade u smislu Opće uredbe o zaštiti podataka (GDPR) za obradu osobnih podataka u vezi s radom internetske stranice recelia.app, aplikacije nadzorne ploče i usluga koje pružamo svojim kupcima (Tenantima) jest:

Timon Filipovic, samostalni poduzetnik
posluje pod nazivom „Recelia“
In der Breite 54
79224 Umkirch
Njemačka
E-pošta: kontakt@recelia.app
Telefon: +49 163 4427640

Dvostruka uloga. Recelia je voditelj obrade za podatke o računu, ugovorima i naplati svojih kupaca (Tenanta) te za podatke koji pristižu izravno putem marketinške stranice. Za osobne podatke krajnjih kupaca Tenanta (dakle kupaca salona, ordinacije itd.) koji pristižu putem chat-widgeta, WhatsAppa, SMS-a ili glasovno i obrađuju se našim AI-jem, voditelj obrade je pojedini Tenant. Recelia u tom opsegu djeluje kao izvršitelj obrade prema čl. 28 GDPR-a na temelju ugovora o obradi podataka (AVV) sklopljenog s Tenantom.

Recelia prema § 38 st. 1 reč. 1 njemačkog Saveznog zakona o zaštiti podataka (BDSG) nije obvezna imenovati službenika za zaštitu podataka jer trenutačno najmanje 20 osoba nije stalno zaposleno na automatiziranoj obradi osobnih podataka. Pri uvođenju medicinskih vertikala (obrada zdravstvenih podataka u većem opsegu) ponovno ćemo provjeriti obvezu imenovanja prema § 38 st. 1 reč. 2 BDSG-a te za obradu zdravstvenih podataka i glasovnih snimki provesti procjenu učinka na zaštitu podataka prema čl. 35 GDPR-a. Za pitanja o zaštiti podataka možete nas kontaktirati na kontakt@recelia.app.

Nadležno njemačko nadzorno tijelo:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Königstraße 10a, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

Za naše glavno tržište Hrvatsku:

Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136, 10000 Zagreb
www.azop.hr

Imate pravo podnijeti pritužbu prema čl. 77 GDPR-a nadzornom tijelu svojeg uobičajenog boravišta, mjesta rada ili mjesta navodne povrede.

• Pružanje internetske stranice i zapisi poslužitelja. IP-adresa, datum i vrijeme, korisnički agent (user-agent), referrer, dohvaćeni URL. Svrha: tehničko pružanje, stabilnost, zaštita od zlouporabe. Pravna osnova: čl. 6 st. 1 t. f GDPR-a (legitimni interes za siguran i stabilan rad). Ti zapisi nastaju kod naših infrastrukturnih pružatelja (hosting: Vercel, baza podataka: Supabase) i ondje se obrađuju u okviru njihove standardne pohrane. Recelia ne vodi vlastitu trajnu pohranu zapisa; sustavna analiza ili profiliranje se ne provode.
• Kontaktiranje. Ime, e-pošta, sadržaj poruke. Svrha: obrada upita. Pravna osnova: čl. 6 st. 1 t. b GDPR-a (predugovorne radnje) ili t. f GDPR-a (legitimni interes za komunikaciju).
• Upravljanje računom i autentifikacija. Ime, e-pošta, hash lozinke, podaci o poslovanju, uloga. Svrha: pružanje platforme, izvršenje ugovora. Pravna osnova: čl. 6 st. 1 t. b GDPR-a.
• Pružanje AI usluge krajnjim kupcima Tenanta (chat-widget, WhatsApp, SMS, u perspektivi glasovno). Ime, telefonski broj, povijest termina, sadržaj razgovora, kod glasovnog kanala dodatno transkripti poziva i po potrebi audiozapisi. Svrha: obrada upita kupaca, rezervacija termina, slanje potvrda i podsjetnika, eskalacija osoblju. Recelia u tom opsegu djeluje kao izvršitelj obrade po nalogu pojedinog Tenanta; pravna osnova prema krajnjem kupcu je na strani Tenanta (uobičajeno čl. 6 st. 1 t. b, t. f ili t. a GDPR-a).
• Obavijesti e-poštom. Adresa e-pošte, sadržaj obavijesti. Svrha: slanje potvrda, podsjetnika, sustavnih e-poruka. Pravna osnova: čl. 6 st. 1 t. b GDPR-a odnosno obrada po nalogu Tenanta.
• Praćenje pogrešaka. Tragovi pogrešaka (error stacks), podaci o pregledniku i uređaju, po potrebi IP-adresa. Svrha: osiguranje stabilnosti. Pravna osnova: čl. 6 st. 1 t. f GDPR-a. Praćenje je konfigurirano u EU regiji, osobni podaci se minimiziraju.
• Naplata (planirano). Ime, adresa za račun, PDV identifikacijski broj, podaci o plaćanju. Svrha: izvršenje ugovora, izdavanje računa, zakonsko čuvanje. Pravna osnova: čl. 6 st. 1 t. b i t. c GDPR-a. Ova obrada nastaje tek kad obrada plaćanja postane aktivna.

Kod planiranih medicinskih vertikala (klinike, veterinari, fizioterapija, stomatolozi) u okviru rezervacija termina, odgovora na česta pitanja ili glasovnih razgovora mogu nastati podaci o zdravlju. Oni se obrađuju isključivo po nalogu pojedinog Tenanta. Pravna osnova je na strani Tenanta, uobičajeno čl. 9 st. 2 t. a GDPR-a (izričita privola) ili čl. 9 st. 2 t. h GDPR-a u vezi s § 22 BDSG-a. Tenant je obvezan prije aktivacije medicinske vertikale osigurati valjanu pravnu osnovu i sveobuhvatno informirati svoje krajnje kupce. Recelia prije primjene u medicinskim vertikalama provodi procjenu učinka na zaštitu podataka prema čl. 35 GDPR-a.

U mjeri u kojoj Recelia putem planiranog glasovnog kanala vodi telefonske razgovore s krajnjim kupcima Tenanta, dodatno vrijedi:

• Prije početka snimanja i transkripcije reproducira se čujna najava koja informira da je riječ o AI asistentu, da se razgovor snima i transkribira, u koju svrhu te da je privola dobrovoljna. Tko ne pristane, preusmjerava se na ljudskog djelatnika ili alternativni kanal.
• Obrada se provodi samo nakon izričite privole (čl. 6 st. 1 t. a GDPR-a, kod zdravstvenih podataka dodatno čl. 9 st. 2 t. a GDPR-a). Privola se može u svakom trenutku opozvati s učinkom za budućnost.
• Pozadina: § 201 njemačkog Kaznenog zakona (StGB) kažnjava snimanje nejavno izgovorene riječi bez privole. Potrebna je aktivna potvrda, puka napomena nije dovoljna.

Recelia koristi AI sustave koji komuniciraju s fizičkim osobama. U skladu s čl. 50 Uredbe (EU) 2024/1689 (EU AI Act), koja se primjenjuje od 2. kolovoza 2026., već sada jasno označavamo da se interakcija odvija s AI-jem: chat-widget prikazuje napomenu „Ovo je AI asistent“; kod WhatsAppa i SMS-a u prvom odgovoru upozorava se na AI prirodu; kod glasovnog kanala napomena slijedi na početku razgovora putem najave. Sintetički generirani audiosadržaj (AI glas) označava se kao generiran AI-jem.

Automatizirano odlučivanje (čl. 22 GDPR-a). AI rezervira termine, odgovara na česta pitanja i šalje potvrde. To u pravilu ne proizvodi pravni učinak niti na sličan način značajno utječe na ispitanika jer se rezervacija termina može u svakom trenutku otkazati. Dodatno AI u slučaju nesigurnosti eskalira ljudskom djelatniku Tenanta. U svakom trenutku imate pravo zahtijevati ljudsku obradu svojeg upita.

Koristimo pažljivo odabrane pružatelje usluga koji nas podržavaju kao izvršitelji obrade prema čl. 28 GDPR-a. Sa svima su sklopljeni ugovori o obradi te, gdje je to relevantno, EU standardne ugovorne klauzule (SCC).

Za glasovni kanal putem orkestratora (Vapi) koriste se dodatne usluge za prepoznavanje govora (speech-to-text). Konkretan odabir finalizira se prije pokretanja glasovnog kanala i ovdje dopunjuje. Sa svim izvršiteljima obrade postoje ugovori prema čl. 28 GDPR-a.

U mjeri u kojoj se podaci prenose u SAD ili druge treće zemlje, to se temelji ili na odluci Europske komisije o primjerenosti od 10. srpnja 2023. (EU-US Data Privacy Framework, Provedbena odluka (EU) 2023/1795), u mjeri u kojoj se primatelj trenutačno nalazi na DPF-popisu, ili na standardnim ugovornim klauzulama prema Provedbenoj odluci (EU) 2021/914, dopunjenima primjerenim dodatnim mjerama (enkripcija, minimizacija podataka).

Napomena: DPF je predmet postupka koji je u tijeku pred Sudom EU-a (predmet C-703/25 P, Latombe). Recelia je za sve prijenose u SAD usporedno s DPF-om ugovorila i standardne ugovorne klauzule, tako da su prijenosi i u slučaju eventualne nevaljanosti DPF-a i dalje osigurani. Aktualni DPF-popis dostupan je na www.dataprivacyframework.gov.

• Datoteke zapisa poslužitelja: u okviru pohrane naših hosting i infrastrukturnih pružatelja (Vercel, Supabase); bez vlastite trajne pohrane zapisa.
• Podaci o računu i fakturiranju: trajanje ugovora uvećano za zakonske rokove čuvanja (do 10 godina prema njemačkom Poreznom zakoniku (AO) i Trgovačkom zakoniku (HGB)).
• Sadržaj razgovora (chat, WhatsApp, SMS): prema uputi Tenanta, nakon toga brisanje ili anonimizacija.
• Glasovni audio i transkripti: prema uputi Tenanta, uz ograničeno razdoblje pohrane.
• Kontaktni upiti: do okončanja obrade.

Imate pravo na:

• pristup (čl. 15 GDPR-a)
• ispravak (čl. 16 GDPR-a)
• brisanje (čl. 17 GDPR-a)
• ograničenje obrade (čl. 18 GDPR-a)
• prenosivost podataka (čl. 20 GDPR-a)
• prigovor (čl. 21 GDPR-a)
• opoziv dane privole s učinkom za budućnost (čl. 7 st. 3 GDPR-a)
• pritužbu nadzornom tijelu (čl. 77 GDPR-a)

Za ostvarivanje prava obratite se na kontakt@recelia.app. Ako ste krajnji kupac Tenanta (salon, ordinacija itd.), svoj upit prvenstveno uputite pojedinom Tenantu. Mi upite bez odgode prosljeđujemo i podržavamo Tenanta u ispunjavanju njegovih obveza.

Na recelia.app trenutačno koristimo isključivo tehnički nužne kolačiće i lokalnu pohranu, osobito za prijavnu sesiju te funkcionalni kolačić NEXT_LOCALE za pohranu odabranog jezika. Oni su prema § 25 st. 2 br. 2 TDDDG nužno potrebni, pa privola nije potrebna. Ne koristimo kolačiće za praćenje, analitiku ili marketing niti piksele trećih strana. Ako se to promijeni, prethodno ćemo zatražiti vašu privolu putem banera za privolu.

Prijenos se odvija enkriptirano (TLS). Podaci u bazi podataka pohranjuju se enkriptirano. Pristup podacima Tenanta izoliran je na razini baze podataka putem Row-Level-Security.

Ovu izjavu o zaštiti podataka prilagođavamo kad se promijene funkcije, podizvršitelji ili pravna situacija. Mjerodavna je svaka aktualna verzija objavljena na recelia.app/privacy.