1 Rukovalac podacima
The data controller within the meaning of the GDPR and the Serbian Personal Data Protection Act is:
Booked — privredno društvo registrovano u Republici Srbiji
Email:
info@bookedservice.online
Za sva pitanja o privatnosti pišite na navedenu adresu.
Ova Politika privatnosti važi za sve korisnike platforme Booked: vlasnike agencija, zaposlene i krajnje klijente koji koriste sistem zakazivanja.
2 Koje podatke prikupljamo
| Kategorija | Podaci | Ko ih daje |
|---|---|---|
| Podaci naloga | Ime, email adresa, lozinka (hash), tip korisnika | Vlasnik agencije pri registraciji |
| Podaci agencije | Naziv, adresa, grad, zemlja, MB/PIB, telefon, email agencije | Vlasnik agencije (onboarding) |
| Podaci zaposlenih | Ime, prezime, Gmail adresa, telefon, radno vreme | Vlasnik agencije unosi za radnike |
| Podaci rezervacija | Email klijenta, datum/vreme termina, usluga, status | Klijent pri zakazivanju |
| Podaci plaćanja | Plan pretplate, status, datum — Paddle čuva podatke kartice | Paddle (mi ne čuvamo broj kartice) |
| Tehnički podaci | IP adresa, tip pregledača, vreme pristupa, greške u logovima | Automatski pri korišćenju |
3 Svrha obrade podataka
Obrađujemo vaše podatke isključivo za sledeće svrhe:
- Pružanje usluge — upravljanje nalogom, zakazivanje termina, prikaz rasporeda
- Komunikacija — email notifikacije o rezervacijama, sistemske poruke
- Naplata — obrada pretplate putem Paddle platforme
- Bezbednost — zaštita od zloupotreba, logovanje pristupa
- Zakonske obaveze — čuvanje podataka u skladu sa računovodstvenim propisima RS
Ne koristimo vaše podatke za ciljano oglašavanje i ne prodajemo ih trećim licima ni pod kakvim uslovima.
4 Google OAuth 2.0
Zaposleni se prijavljuju putem Google OAuth 2.0. Kada zaposleni klikne "Prijavi se sa Google nalogom", Google nam vraća sledeće podatke:
- Gmail adresu (koristi se za identifikaciju korisnika u sistemu)
- Ime i prezime sa Google naloga (radi prikaza u interfejsu)
- Profilnu fotografiju (opciono, radi prikaza avatara)
Važno: Ne tražimo pristup Google Kalendaru, Gmail inbox-u, kontaktima, Google Drive-u ni
bilo kom drugom Google servisu osim identifikacionih podataka navedenih iznad. Koristimo isključivo
openid, profile, and email scopes.
Integracija sa Google kalendarom (opciona)
Ukoliko korisnik eksplicitno odobri integraciju sa Google Kalendarom, koristimo calendar.events
scope isključivo za dodavanje potvrđenih rezervacija kao događaja u kalendar. Nikada ne
čitamo, ne brišemo ni ne menjamo postojeće događaje u kalendaru korisnika.
Odobrenje za Google Calendar može se povući u bilo kom trenutku putem Google podešavanja naloga.
Naša aplikacija je usklađena sa Google API Services User Data Policy, uključujući Limited Use zahteve.
5 Paddle plaćanje
Paddle.com je naš platni procesor i nastupa kao Merchant of Record. Paddle prikuplja i obrađuje:
- Podatke kreditne/debitne kartice (mi ih nikada ne vidimo niti čuvamo)
- Adresu za naplatu i PDV informacije
- Podatke o transakcijama u svrhu obračuna poreza
Mi od Paddle-a primamo samo: ID transakcije, status pretplate i datum sledećeg plaćanja — bez finansijskih detalja.
Paddle-ova politika privatnosti dostupna je na: paddle.com/legal/privacy
6 Deljenje sa trećim licima
Vaše podatke delimo isključivo sa sledećim kategorijama primalaca:
| Primalac | Svrha | Lokacija |
|---|---|---|
| Paddle.com | Obrada plaćanja i poreza | UK / EU |
| Google LLC | OAuth prijava, opciona Calendar integracija | USA (Standard Contractual Clauses) |
| DigitalOcean | Hosting servera i baza podataka | EU (Frankfurt) |
| Mailgun / SMTP | Slanje email notifikacija | EU |
| Pusher | Real-time notifikacije (WebSocket) | EU |
Ne delimo podatke sa marketinškim agencijama, data brokerima niti bilo kojim trećim licima izvan navedenih.
U slučaju zakonskog naloga nadležnih organa RS ili EU, postupamo u skladu sa primenjivim pravom i obavestićemo vas ako nam zakon to dozvoljava.
7 Čuvanje i brisanje podataka
- Aktivni nalog: Podaci se čuvaju dok god je nalog aktivan.
- Po otkazivanju: Podaci se zadržavaju 30 dana u neaktivnom stanju, potom trajno brišu.
- Podaci rezervacija: Retained for 2 years for potential dispute purposes.
- Finansijski podaci (fakture): Čuvaju se 5 godina po zakonskoj obavezi RS.
- Logovi bezbednosti: Čuvaju se 12 meseci.
Zahtev za brisanje podataka možete podneti na info@bookedservice.online. Odgovaramo u roku od 30 dana.
Brisanje naloga je ireverzibilno. Pre brisanja savetujemo da izvezete potrebne podatke iz dashboard-a.
8 Kolačići (Cookies)
Koristimo minimalan skup kolačića neophodnih za funkcionisanje platforme:
| Naziv | Svrha | Trajanje |
|---|---|---|
booked_session |
Autentifikaciona sesija, sigurnost | Do zatvaranja pregledača |
XSRF-TOKEN |
Zaštita od CSRF napada | Do zatvaranja pregledača |
remember_me |
Opcija "zapamti me" pri prijavi | 30 days |
Ne koristimo marketinške kolačiće, kolačiće za praćenje ponašanja niti kolačiće trećih lica za oglašavanje.
9 Vaša prava
U skladu sa GDPR i Zakonom o zaštiti podataka o ličnosti RS, imate sledeća prava:
Pravo na pristup
Možete zatražiti kopiju svih podataka koje čuvamo o vama.
Pravo na ispravku
Možete zahtevati ispravku netačnih ili nepotpunih podataka.
Pravo na brisanje
Možete zatražiti brisanje podataka ("pravo na zaborav").
Pravo na prigovor
Možete prigovoriti obradi podataka u određenim situacijama.
Prenosivost podataka
Možete zatražiti podatke u mašinski čitljivom formatu (JSON/CSV).
Ograničenje obrade
Možete zatražiti privremeno ograničenje obrade vaših podataka.
Zahteve šaljite na info@bookedservice.online. Odgovaramo u roku od 30 dana. Ako niste zadovoljni odgovorom, imate pravo na pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti RS.
10 Bezbednost podataka
Primenjujemo sledeće tehničke i organizacione mere zaštite:
- SSL/TLS enkripcija celokupnog saobraćaja (HTTPS)
- Lozinke se čuvaju isključivo u hashed obliku (bcrypt)
- Pristup bazi podataka ograničen na aplikacioni server (bez javnog pristupa)
- Firewall na nivou servera i cloud firewall (DigitalOcean)
- Fail2Ban zaštita od brute-force napada
- Redovni bekepi sa enkripcijom
- Dvofaktorska autentifikacija za administratorski pristup infrastrukturi
U slučaju bezbednosnog incidenta koji utiče na vaše podatke, obavestićemo vas u roku od 72 sata, u skladu sa GDPR čl. 34.
11 Izmene politike
O izmenama ove Politike privatnosti obavestićemo vas:
- Email porukom na registrovanu adresu
- Obaveštenjem u dashboard-u pri narednom prijavljivanju
Datum "Poslednje izmene" na vrhu stranice uvek odražava aktuelnu verziju. Za izmene koje materijalno utiču na vaša prava, zatražićemo vaš eksplicitni pristanak.
12 Contact
- Pitanja o privatnosti: info@bookedservice.online
- Opšta podrška: info@bookedservice.online
- Bezbednosni incidenti: info@bookedservice.online
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti RS: www.poverenik.rs