Swopli logotip

Politika privatnosti

Verzija: v1.0
Preliminarni nacrt — podložan pravnoj reviziji
Nesta página

    Ova Politika privatnosti objašnjava kako Swopli LTDA ("Swopli", "mi", "nas", "naš") prikuplja, koristi, dijeli i štiti osobne podatke kada koristiš Swopli platformu — naše web mjesto, mobilnu aplikaciju i povezane usluge (zajedno, "Platforma"). Swopli je peer-to-peer tržište trampe koje korisnicima omogućuje izravnu razmjenu proizvoda i usluga, bez novčanih transakcija između korisnika.

    Ova je Politika organizirana u odjeljak Global Baseline, koji se primjenjuje na sve korisnike u svijetu, a zatim u odjeljke po jurisdikcijama koji pružaju dodatna prava, objave i zaštite koje zahtijeva lokalno pravo. Ako prebivaš u jurisdikciji obuhvaćenoj jednim od posebnih odjeljaka u nastavku, taj odjeljak dopunjuje Global Baseline i, u slučaju sukoba, ima prednost.

    Voditelj obrade: Swopli LTDA CNPJ: 61.902.473/0001-79 Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760, Brazil

    Službenik za zaštitu podataka (DPO): E-pošta: dpo@swopli.com

    Global Baseline

    Ovaj odjeljak primjenjuje se na sve Swopli korisnike gdje god Swopli čini relevantnu uslugu ili značajku dostupnom prema Rasporedu dostupnosti značajki. Kao osnovni svjetski standard primjenjujemo GDPR-first načela, što znači da svi korisnici imaju visoke standarde zaštite podataka neovisno o lokalnim zakonskim zahtjevima.

    Podaci koje prikupljamo

    Podaci koje daješ

    Kategorija Kada se prikuplja Primjeri
    Identifikacija Registracija Puno ime, korisničko ime, e-pošta, telefon (E.164), datum rođenja
    Profil Onboarding Fotografija, bio, grad, preferirani jezik
    Adresa Omogućavanje dostave Ulica, broj, dopuna, poštanski broj, grad, savezna država/regija, država
    Porezni i verifikacijski identifikatori Objavljivanje proizvoda, Swap Protection, KYC, sprječavanje prijevara i provedba pravila jednog računa CPF ili ekvivalentni porezni identifikacijski broj gdje je potreban
    Sadržaj Korištenje Platforme Objavljeni proizvodi, fotografije, opisi, poruke, recenzije
    Plaćanje VIP/Boost kupnja Podaci o plaćanju koje obrađuju RevenueCat (iOS/Android), Paddle (web) ili Stripe (Swap Protection) — Swopli ne pohranjuje brojeve kartica

    Podaci koji se prikupljaju automatski

    Kategorija Kako se prikuplja Svrha
    Tehnički identifikatori Poslužiteljski zapisi IP adresa, user agent, identifikator uređaja
    Korištenje Platforme Događaji u aplikaciji Posjećene stranice, poduzete radnje, vremenske oznake
    Približna lokacija IP geolokacija (automatski) Otkrivanje jurisdikcije za banner kolačića, sprječavanje prijevara
    Precizna lokacija Dopuštenje uređaja uz opt-in Filtri radijusa pretrage (oko 100 m preciznosti)
    Funkcionalni kolačići Preglednik Sesija, jezična postavka, privola kolačića
    Analitički kolačići Preglednik, nakon privole PostHog događaji korištenja (EU-hosted: eu.posthog.com)

    Podaci trećih strana

    Kada se registriraš putem Googlea, Applea ili Facebooka, od tog pružatelja primamo: e-poštu, puno ime ako je autorizirano, profilnu fotografiju ako je autorizirana i jedinstveni identifikator pružatelja. Ne primamo lozinku tvojeg računa kod tog pružatelja.

    Svrhe i pravne osnove

    Svrha Pravna osnova GDPR referenca
    Registracija i rad računa Izvršenje ugovora čl. 6(1)(b)
    Omogućavanje razmjena između korisnika Izvršenje ugovora čl. 6(1)(b)
    Obrada VIP/Boost/dostavnih plaćanja Izvršenje ugovora čl. 6(1)(b)
    Transakcijske komunikacije (obavijesti o razmjeni, poruke) Izvršenje ugovora čl. 6(1)(b)
    Porezna i regulatorna usklađenost Zakonska obveza čl. 6(1)(c)
    Sprječavanje prijevara i sigurnost platforme Legitimni interes čl. 6(1)(f)
    Poboljšanje platforme putem analitike (PostHog) Privola čl. 6(1)(a)
    Rješavanje sporova između korisnika Izvršenje ugovora + legitimni interes čl. 6(1)(b) + čl. 6(1)(f)
    Usklađenost sa sudskim nalozima ili zahtjevima tijela Zakonska obveza čl. 6(1)(c)

    Ne koristimo tvoje osobne podatke za: automatizirano odlučivanje ili profiliranje koje proizvodi pravne učinke (GDPR čl. 22), prodaju podataka trećim stranama ili ciljano oglašavanje kojim upravlja Swopli na temelju tvojih osobnih podataka. Neobavezna Paddle/Meta checkout atribucija opisana je u Politici kolačića i onemogućena je kada se isključe Marketing kolačići, GPC ili Do Not Sell or Share postavke.

    Podizvršitelji

    Swopli dijeli osobne podatke sa sljedećim pružateljima i podizvršiteljima. Gdje pružatelj djeluje kao Swoplijev izvršitelj obrade, odnos je pokriven DPA-om ili ekvivalentnim ugovornim zaštitama:

    Podizvršitelj Svrha Lokacija Mehanizam prijenosa
    Supabase (AWS sa-east-1) Hosting baze podataka, autentifikacija, pohrana datoteka Brazil (AWS sa-east-1) — Supabase Inc. ima sjedište u SAD-u Domaće za brazilske korisnike; SCCs Module 2 za međunarodne korisnike
    Stripe, Inc. / Stripe Payments Brasil Serviços Financeiros Ltda. Swap Protection checkout, povratni polozi, povrati, prijenosi, KYC Connect i podrška za dostavu/plaćanja gdje je primjenjivo Brazil / SAD, ovisno o tijeku Domaća obrada u Brazilu gdje je obrađuje brazilski subjekt; SCCs Module 2 + DPF gdje je primjenjivo
    RevenueCat Inc Orkestracija pretplata na više platformi (iOS/Android/Web), Customer Center, upravljanje VIP pravima SAD SCCs Module 2 + UK IDTA — nije DPF certificiran
    Paddle.com Market Limited Merchant of Record za web checkout (VIP/Boost), globalno prikupljanje poreza, automatska konverzija valuta UK + SAD UK odluka o primjerenosti (Commission Implementing Decision (EU) 2025/2574 koja mijenja Decision (EU) 2021/1772, vrijedi do 2031-12-27); EU SCCs s UK Approved Addendumom za UK→US
    Apple Inc / Google LLC Push obavijesti + obrada kupnji unutar aplikacije (merchant-of-record za iOS/Android) SAD Platformski DPA-i; opseg kupnji unutar aplikacije (IAP)
    Resend Dostava transakcijske e-pošte SAD SCCs Module 2 + TIA
    Cloudflare CDN, DDoS zaštita, IP geolokacija za banner kolačića Globalno SCCs Module 2 + TIA; globalna edge mreža; imenovan EU predstavnik
    PostHog Analitika proizvoda (uz privolu u EU/UK/CH) EU (Frankfurt) Nema prijenosa (hostano u EU)
    Sentry Praćenje pogrešaka (PII minimiziran i uklonjen gdje je konfigurirano) SAD SCCs Module 2 + TIA
    Nominatim (samohostano OpenStreetMap geokodiranje) Obrnuto geokodiranje za prikaz lokacije EU (samohostano) Nema prijenosa trećoj strani putem Nominatima; hosting pokrivaju gore navedeni infrastrukturni pružatelji
    OpenAI OpCo, LLC / OpenAI Ireland Ltd. Automatizirano moderiranje teksta/sadržaja i pregled povjerenja i sigurnosti SAD / Irska gdje je primjenjivo SCCs Module 2 + UK Addendum; OpenAI DPA
    Melhor Envio Izrada oznaka dostave i praćenje (samo Brazil) Brazil Nema prijenosa (domaće)

    Za cjelovit, verzioniran popis podizvršitelja s dnevnikom promjena i 30-dnevnim obavijestima o ažuriranju vidi naš Popis podizvršitelja.

    Čuvanje podataka

    Kategorija Razdoblje čuvanja Razlog
    Aktivni podaci računa Dok račun postoji Rad usluge
    Poruke između korisnika Dok račun postoji; brišu se pri brisanju računa Kontekst razmjene
    Financijski transakcijski zapisi 5 godina nakon transakcije Porezna obveza (Brazil: čl. 173 CTN; EU: ovisi o državi članici)
    Poslužiteljski pristupni zapisi 6 mjeseci Sigurnosno praćenje
    Sigurnosni revizijski zapisi 1 godina Legitimni sigurnosni interes
    Analitički podaci (PostHog) 12 mjeseci (anonimizirani identifikatori) Poboljšanje proizvoda, na temelju privole
    Izvješća o pogreškama (Sentry) 90 dana Ciklus rješavanja pogrešaka
    Anonimizirani/agregirani podaci Neograničeno Više nisu osobni podaci

    Nakon primjenjivog razdoblja podaci se trajno brišu ili nepovratno anonimiziraju. Razdoblja čuvanja pregledavamo godišnje.

    Sigurnosne mjere

    Primjenjujemo tehničke i organizacijske mjere zaštite podataka:

    • Enkripcija u prijenosu: sve veze koriste TLS 1.2+.
    • Enkripcija u mirovanju: osjetljive podatke enkriptiraju infrastrukturni pružatelji (Supabase, Stripe).
    • Kontrola pristupa: Row Level Security (RLS) u bazi sprječava pristup podacima drugih korisnika.
    • Autentifikacija: OAuth autentifikacija (Google, Apple) uz sigurno upravljanje sesijom putem Supabase Autha.
    • Praćenje pogrešaka: Sentry za otkrivanje incidenata, uz minimizaciju i uklanjanje PII gdje je konfigurirano.
    • Revizijski zapisi: osjetljive radnje bilježe se s akterom, vremenskom oznakom i vrstom radnje.
    • Upravljanje ovisnostima: sigurnosna ažuriranja primjenjuju se redovito.

    Unatoč tim mjerama, nijedan sustav nije 100% siguran. U slučaju povrede podataka koja utječe na tvoje osobne podatke, obavijestit ćemo tebe i nadležna tijela kako zahtijeva primjenjivo pravo (72 sata za EU nadzorna tijela prema GDPR čl. 33; "razumno vrijeme" za ANPD prema LGPD čl. 48).

    Dobno ograničenje

    Swopli nije namijenjen osobama mlađima od 18 godina. Ne prikupljamo svjesno osobne podatke maloljetnika. Dob provjeravamo putem datuma rođenja navedenog pri registraciji. Ako identificiramo račun maloljetnika, odmah ćemo ga deaktivirati i izbrisati povezane podatke.

    Ako si roditelj ili zakonski skrbnik i smatraš da je maloljetnik otvorio račun, kontaktiraj dpo@swopli.com radi hitnog uklanjanja.

    Tvoja prava (globalno)

    Svi korisnici, neovisno o jurisdikciji, mogu ostvariti sljedeća prava:

    Pravo Kako ga ostvariti
    Pristup Settings > Privacy & Data > Export My Data (ZIP preuzimanje) ili e-poštom na dpo@swopli.com
    Ispravak Settings > Edit Profile ili e-poštom na dpo@swopli.com
    Brisanje Settings > Privacy & Data > Delete My Account (trajno hard delete u roku od 24 sata)
    Prenosivost podataka Izvoz pruža strukturirane JSON datoteke u ZIP arhivi
    Povlačenje privole Settings > Email Notifications; postavke privatnosti za kolačiće
    Prigovor E-pošta na dpo@swopli.com za obradu na temelju legitimnog interesa
    Pritužba Kontaktiraj lokalno tijelo za zaštitu podataka; vidi jurisdikcijske odjeljke u nastavku

    Rok odgovora: do 30 dana, uz mogućnost produljenja za 60 dana za složene zahtjeve uz obavijest. Ostvarivanje prava je besplatno.

    Web obrazac: zahtjev nositelja podataka možeš podnijeti na swopli.com/hr/privatnost/moji-podaci ili e-poštom na dpo@swopli.com.

    Kolačići

    Swopli koristi kolačiće i slične tehnologije na web mjestu. Za pune pojedinosti o kolačićima, svrhama, razdobljima čuvanja i upravljanju vidi Politiku kolačića.

    • EU/EEA/UK/CH: banner privole pri prvom posjetu; opt-in je potreban za kolačiće koji nisu nužni.
    • Druge jurisdikcije: banner obavijesti s opt-outom za analitiku; strogo nužni kolačići uvijek su aktivni.
    • Svi korisnici: postavkama upravljaj na postavkama privatnosti u bilo kojem trenutku.

    Izmjene ove Politike

    Ovu Politiku privatnosti možemo ažurirati radi promjena u praksama, tehnologiji ili pravnim zahtjevima.

    Bitne izmjene koje utječu na tvoja prava, kategorije podataka ili svrhe obrade: najmanje 30 dana prethodne obavijesti e-poštom i/ili obaviješću u aplikaciji, uz jasan opis promjena.

    Nebitne izmjene poput pojašnjenja ili oblikovanja mogu stupiti na snagu bez prethodne obavijesti. Datum "Zadnje ažurirano" uvijek odražava najnoviju reviziju.

    Brazil (LGPD)

    Primjenjuje se na: korisnike s prebivalištem u Brazilu. Mjerodavno pravo: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

    Voditelj obrade i DPO

    Swopli LTDA je voditelj obrade (controlador) tvojih osobnih podataka prema LGPD-u.

    Službenik za zaštitu podataka (DPO): E-pošta: dpo@swopli.com Poštanska adresa: Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760 (Određen kao "Encarregado" prema LGPD čl. 41)

    DPO je odgovoran za zaprimanje pritužbi i komunikacija ispitanika, primanje komunikacija od ANPD-a, usmjeravanje zaposlenika i ugovornih suradnika o zaštiti podataka i obavljanje dužnosti koje dodijeli voditelj obrade (čl. 41 LGPD).

    Pravne osnove prema LGPD-u

    Svrha Pravna osnova LGPD članak
    Stvaranje računa i pružanje usluge Izvršenje ugovora čl. 7, V
    Porezne i regulatorne obveze Zakonska obveza čl. 7, II
    Sprječavanje prijevara, sigurnost platforme Legitimni interes čl. 7, IX
    Analitika (PostHog) Privola čl. 7, I
    Ostvarivanje prava u pravnim postupcima Ostvarivanje prava čl. 7, VI
    Zaštita kredita (provjera prodavatelja) Zaštita kredita čl. 7, X

    Tvoja prava prema LGPD-u (čl. 18)

    Uz prava iz Global Baselinea, brazilski korisnici imaju posebna prava prema čl. 18 LGPD-a:

    1. Potvrda obrade — potvrda obrađujemo li tvoje osobne podatke.
    2. Pristup — dobivanje kopije osobnih podataka.
    3. Ispravak — ispravak nepotpunih, netočnih ili zastarjelih podataka.
    4. Anonimizacija, blokiranje ili brisanje — nepotrebnih, prekomjernih ili neusklađenih podataka.
    5. Prenosivost — prijenos podataka drugom pružatelju usluge (čl. 18, V).
    6. Brisanje — osobnih podataka obrađenih na temelju privole kada se privola povuče.
    7. Informacije o dijeljenju — saznanje s kojim su javnim i privatnim subjektima tvoji podaci podijeljeni.
    8. Informacije o privoli — obavijest o mogućnosti i posljedicama nedavanja privole.
    9. Povlačenje privole — povlačenje privole u bilo kojem trenutku (čl. 18, IX).

    Lokalizacija podataka

    Tvoji primarni podaci računa pohranjuju se u Brazilu (Supabase AWS sa-east-1, regija São Paulo). Međunarodni prijenosi podizvršiteljima kao što su Stripe/Stripe Brasil, RevenueCat, Sentry, Resend, Cloudflare i drugi gore navedeni pružatelji pokriveni su odgovarajućim ugovornim zaštitama, uključujući standardne ugovorne klauzule gdje je primjenjivo, i usklađeni su s LGPD člankom 33.

    Jezik

    Ova Politika privatnosti dostupna je na portugalskom (pt-BR) kako zahtijeva brazilsko pravo zaštite potrošača (CDC čl. 31). U slučaju sukoba između portugalske i engleske verzije, portugalska verzija prevladava za brazilske korisnike.

    Nadzorno tijelo

    Autoridade Nacional de Proteção de Dados (ANPD) Web: https://www.gov.br/anpd E-pošta: comunicacao@anpd.gov.br

    EU/UK/CH (GDPR)

    Primjenjuje se na: korisnike s prebivalištem u Europskom gospodarskom prostoru (30 zemalja), Ujedinjenom Kraljevstvu i Švicarskoj. Mjerodavno pravo: General Data Protection Regulation (GDPR — Uredba (EU) 2016/679), UK GDPR (UK Data Protection Act 2018), Swiss Federal Act on Data Protection (FADP/nDSG).

    EU predstavnik (čl. 27 GDPR)

    Budući da je Swopli LTDA osnovan izvan EU, u postupku smo imenovanja EU predstavnika prema čl. 27 GDPR-a i UK predstavnika prema UK GDPR čl. 27:

    EU/UK predstavnik: imenovanje je u tijeku — pojedinosti će biti objavljene ovdje kada budu finalizirane. U međuvremenu kontaktiraj dpo@swopli.com.

    Imenovani predstavnik djelovat će i kao naš predstavnik prema čl. 13 Digital Services Acta (DSA).

    Pravne osnove (čl. 6 GDPR)

    Tvoje osobne podatke obrađujemo na pravnim osnovama opisanim u odjeljku Global Baseline. Kada se oslanjamo na legitimni interes (čl. 6(1)(f)), proveli smo testove ravnoteže (Legitimate Interest Assessments) kako bismo osigurali da naši interesi ne nadjačavaju tvoja temeljna prava i slobode. Detalje tih procjena možeš zatražiti kontaktiranjem dpo@swopli.com.

    Kada se oslanjamo na privolu (čl. 6(1)(a)), možeš je povući u bilo kojem trenutku putem Settings > Privacy & Data ili postavki privatnosti. Povlačenje ne utječe na zakonitost obrade na temelju privole prije povlačenja.

    Tvoja GDPR prava (čl. 15-22)

    Uz prava iz Global Baselinea, korisnici u EU/UK/CH imaju sljedeća posebna prava:

    • Pravo pristupa (čl. 15): dobiti potvrdu obrade i kopiju podataka, uključujući informacije o svrhama, kategorijama, primateljima, razdobljima čuvanja i zaštitama za međunarodne prijenose.
    • Pravo na ispravak (čl. 16): ispraviti netočne podatke i dopuniti nepotpune podatke.
    • Pravo na brisanje (čl. 17): zatražiti brisanje osobnih podataka ("pravo na zaborav"). Brisanje računa putem Settingsa je trajno (hard delete u roku od 24 sata). Iznimke: zakonske obveze, obrana pravnih zahtjeva, javni interes.
    • Pravo na ograničenje obrade (čl. 18): ograničiti obradu kada osporavaš točnost, obrada je nezakonita, podaci nam više nisu potrebni ili si prigovorio dok traje provjera.
    • Pravo na prenosivost podataka (čl. 20): primiti podatke u strukturiranom, uobičajeno korištenom, strojno čitljivom formatu (JSON u ZIP-u).
    • Pravo na prigovor (čl. 21): prigovoriti obradi na temelju legitimnog interesa. Prestat ćemo obrađivati osim ako pokažemo uvjerljive legitimne razloge.
    • Pravo da ne budeš podvrgnut automatiziranim odlukama (čl. 22): Swopli ne donosi odluke isključivo automatiziranom obradom koje proizvode pravne učinke za tebe.

    Međunarodni prijenosi (Poglavlje V)

    Prijenosi osobnih podataka izvan EEA/UK/CH usklađeni su s GDPR Poglavljem V kroz sljedeće mehanizme:

    • EU→Brazil (Supabase): Standard Contractual Clauses (SCCs) Module 2 (voditelj-izvršitelj), usvojene Odlukom Europske komisije 2021/914, dopunjene Transfer Impact Assessmentom (TIA).
    • EU→SAD (Stripe): SCCs Module 2 + EU-U.S. Data Privacy Framework (DPF) gdje je primjenjivo.
    • EU→SAD (RevenueCat): SCCs Module 2 + UK IDTA (International Data Transfer Addendum). RevenueCat nije DPF certificiran.
    • EU→UK (Paddle): UK odluka o primjerenosti (Commission Implementing Decision (EU) 2025/2574 od 19. prosinca 2025., koja mijenja Decision (EU) 2021/1772, vrijedi do 2031-12-27). UK→SAD podizvršiteljski prijenosi pokriveni su EU SCC-ovima s UK Approved Addendumom.
    • EU→SAD/globalno (Sentry, Resend, Cloudflare): SCCs Module 2 (voditelj-izvršitelj) + TIA za Swoplijeve izravne odnose s izvršiteljima. Daljnji podizvršiteljski prijenosi uređeni su DPA-om pružatelja i primjenjivim SCC-ovima ili ekvivalentnim zaštitama.
    • EU→EU (PostHog): prijenos nije potreban — hostano u Frankfurtu.

    Kopiju primjenjivih SCC-ova i TIA-a možeš zatražiti kontaktiranjem dpo@swopli.com.

    Privola za kolačiće (ePrivacy Direktiva)

    Kolačići koji nisu nužni (analitika, marketing) zahtijevaju prethodni opt-in u EU/EEA/UK/CH jurisdikcijama. Naš banner kolačića prikazuje se pri prvom posjetu i omogućuje prihvaćanje svih, odbijanje ne-nužnih ili prilagodbu po kategoriji. Vidi Politiku kolačića za pojedinosti.

    DSA usklađenost

    Swopli poštuje Digital Services Act (Uredba (EU) 2022/2065) kao hosting usluga. Naše prakse moderiranja sadržaja, postupci obavijesti i radnje te obveze transparentnosti opisani su u Politici moderiranja sadržaja i uklanjanja.

    Nadzorna tijela

    Imaš pravo podnijeti pritužbu nadzornom tijelu svoje zemlje prebivališta:

    United States

    Primjenjuje se na: korisnike s prebivalištem u Sjedinjenim Američkim Državama. Mjerodavno pravo: California Consumer Privacy Act (CCPA), kako je izmijenjen California Privacy Rights Actom (CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); i drugi primjenjivi državni zakoni o privatnosti.

    Swopli primjenjuje CCPA/CPRA kao osnovni standard za cijeli SAD, pružajući svim američkim korisnicima zaštitu na razini Kalifornije neovisno o državi prebivališta.

    Kategorije osobnih podataka (CCPA objava)

    Prema CCPA odjeljcima 1798.100 i 1798.110, objavljujemo kategorije osobnih podataka prikupljene u prethodnih 12 mjeseci:

    CCPA kategorija Prikupljeno Primjeri Poslovna svrha
    A. Identifikatori Da Ime, e-pošta, korisničko ime, IP adresa, ID uređaja, OAuth ID Rad računa, komunikacije
    B. Cal. Civ. Code 1798.80(e) Da Ime, adresa kada je dana za dostavu Usluge platforme, dostava
    C. Zaštićene klasifikacije Da Datum rođenja (samo provjera dobi) Provjera prihvatljivosti
    D. Komercijalne informacije Da Objavljeni proizvodi, povijest razmjena, VIP/Boost kupnje Usluge platforme, analitika
    F. Internet aktivnost Da Povijest pregledavanja na Platformi, interakcije, analitički događaji Analitika, poboljšanje, sprječavanje prijevara
    G. Geolokacija Da Približna (IP); precizna samo uz privolu (radijus pretrage) Pretraga, sprječavanje prijevara
    K. Zaključci Da Kategorije interesa proizvoda, obrasci angažmana Poboljšanje platforme

    Kategorije E, H, I, J, L: ne prikupljaju se.

    RevenueCat prima kategoriju A (identifikatori) i kategoriju D (podaci kupnje). Paddle prima kategoriju A, kategoriju D i zadnje 4 znamenke kartice. Kada su Marketing kolačići prihvaćeni na web checkout stranicama, Paddle/Meta atribucija može primiti identifikatore kolačića, IP adresu, user agent i metapodatke checkout događaja za atribuciju. Te aktivnosti ne uvode dodatne CCPA kategorije izvan gore objavljenih.

    Izbori prodaje i dijeljenja

    Swopli NE prodaje osobne podatke kako je definirano u CCPA odjeljku 1798.140(ad). Swopli ne koristi osobne podatke za cross-context behavioral advertising kao dio osnovne Platforme.

    Neobavezna Paddle/Meta atribucija na web checkout stranicama može se smatrati "dijeljenjem" prema CPRA-u kada su Marketing kolačići prihvaćeni. Ta atribucija onemogućena je ako odbiješ Marketing kolačiće, ostvariš Do Not Sell or Share postavku ili pošalješ valjan Global Privacy Control signal. Poveznica Do Not Sell or Share dostupna je u footeru web mjesta.

    Tvoja CCPA/CPRA prava

    Svi korisnici u SAD-u mogu ostvariti:

    • Pravo znati (§1798.100): zatražiti objavu kategorija i konkretnih dijelova prikupljenih osobnih podataka, izvora, svrha i primatelja trećih strana.
    • Pravo brisanja (§1798.105): zatražiti brisanje osobnih podataka putem Settings > Privacy & Data > Delete My Account ili e-poštom na dpo@swopli.com.
    • Pravo ispravka (CPRA): zatražiti ispravak netočnih osobnih podataka putem Settings > Edit Profile.
    • Pravo isključenja prodaje/dijeljenja (§1798.120): ne prodajemo osobne podatke. Možeš isključiti neobaveznu Marketing-cookie atribuciju koja se može smatrati "dijeljenjem" prema CPRA-u.
    • Pravo ograničenja osjetljivih osobnih podataka (§1798.121): datum rođenja prikupljamo kao osjetljiv podatak samo za provjeru dobi. Nema dodatnih korištenja.
    • Pravo na nediskriminaciju (§1798.125): nećemo te diskriminirati zbog ostvarivanja CCPA prava.

    Ostvarivanje prava

    Potvrdit ćemo primitak u roku od 10 radnih dana i sadržajno odgovoriti u roku od 45 kalendarskih dana, uz mogućnost produljenja za 45 dana uz obavijest. Prije ispunjenja zahtjeva provjeravamo identitet. Ovlašteni zastupnici moraju dostaviti potpisano pisano ovlaštenje.

    Global Privacy Control (GPC)

    Swopli poštuje Global Privacy Control (GPC) signal preglednika kako zahtijevaju CCPA propisi. Kada se otkrije GPC signal, tretiramo ga kao valjan zahtjev za isključenje prodaje/dijeljenja.

    Nadzorna tijela

    Canada (PIPEDA)

    Primjenjuje se na: korisnike s prebivalištem u Kanadi. Mjerodavno pravo: Personal Information Protection and Electronic Documents Act (PIPEDA); Quebec Act Respecting the Protection of Personal Information in the Private Sector (Law 25).

    PIPEDA načela

    Swopli se pridržava 10 načela poštenog informiranja prema Schedule 1 PIPEDA-e:

    1. Odgovornost: Swopli LTDA odgovoran je za osobne informacije pod svojom kontrolom. Naš DPO (dpo@swopli.com) nadzire usklađenost.
    2. Određivanje svrha: svrhe prikupljanja određujemo prije ili pri prikupljanju (vidi Global Baseline — Svrhe i pravne osnove).
    3. Privola: dobivamo smislenu privolu za prikupljanje, korištenje i objavu. Privola može biti izričita (stvaranje računa, analitika) ili implicirana (nužne operacije platforme).
    4. Ograničenje prikupljanja: prikupljamo samo informacije nužne za određene svrhe.
    5. Ograničenje korištenja, objave i čuvanja: osobne informacije koriste se i objavljuju samo za svrhe za koje su prikupljene i čuvaju se samo koliko je potrebno.
    6. Točnost: poduzimamo razumne korake kako bi osobne informacije bile točne, potpune i ažurne. Možeš ih ispraviti u Settings > Edit Profile.
    7. Zaštitne mjere: osobne informacije štitimo sigurnosnim mjerama razmjernima osjetljivosti podataka (vidi Global Baseline — Sigurnosne mjere).
    8. Otvorenost: ova Politika privatnosti opisuje naše politike i prakse upravljanja osobnim informacijama.
    9. Pristup pojedinca: možeš zatražiti pristup osobnim informacijama i osporiti njihovu točnost (vidi Global Baseline — Tvoja prava).
    10. Osporavanje usklađenosti: možeš osporiti našu usklađenost kontaktiranjem dpo@swopli.com. Ako ne riješimo zabrinutost, možeš podnijeti pritužbu Office of the Privacy Commissioneru.

    Quebec Law 25

    Za korisnike u Quebecu primjenjuje se dodatno:

    • Privacy Impact Assessment (PIA): provodimo PIA-e za prekogranične prijenose koji uključuju osobne informacije rezidenata Quebeca, kako zahtijeva Law 25.
    • Privacy Officer: naš DPO (dpo@swopli.com) služi kao imenovani privacy officer za usklađenost s Quebec Law 25.
    • Francuski jezik: ova Politika privatnosti dostupna je na francuskom za korisnike u Quebecu.
    • Privola: izričita privola potrebna je za prikupljanje i korištenje osjetljivih osobnih informacija, uključujući biometrijske podatke (Swopli ih ne prikuplja) i preciznu geolokaciju (samo opt-in).

    Prekogranični prijenosi

    Prijenosi osobnih informacija izvan Kanade objavljeni su u tablici podizvršitelja u Global Baselineu. Osiguravamo da svi prijenosi poštuju PIPEDA s. 5(3) i da primatelji pružaju usporedivu razinu zaštite.

    Nadzorno tijelo

    Office of the Privacy Commissioner of Canada (OPC) Web: https://www.priv.gc.ca Besplatni telefon: 1-800-282-1376

    Commission d'accès à l'information du Québec (CAI) (za rezidente Quebeca) Web: https://www.cai.gouv.qc.ca

    Latin America

    Primjenjuje se na: korisnike s prebivalištem u Meksiku, Argentini, Čileu, Kolumbiji, Peruu, Urugvaju, Kostariki, Gvatemali, Hondurasu i Nikaragvi.

    Zakoni o zaštiti podataka u Latinskoj Americi općenito slijede okvir ARCO prava (Acceso, Rectificación, Cancelación, Oposición). Swopli poštuje ta prava za sve latinoameričke korisnike.

    Tvoja ARCO prava

    Pravo Opis Kako ostvariti
    Acceso (pristup) Znati koje osobne podatke imamo o tebi Settings > Privacy & Data > Export My Data
    Rectificación (ispravak) Ispraviti netočne ili nepotpune podatke Settings > Edit Profile
    Cancelación (brisanje) Zatražiti brisanje osobnih podataka Settings > Privacy & Data > Delete My Account
    Oposición (prigovor) Prigovoriti obradi podataka za određene svrhe E-pošta na dpo@swopli.com

    Rok odgovora: do 20 radnih dana, ovisno o zemlji.

    Napomene po zemljama

    Meksiko (LFPDPPP): Swoplijeva privacy notice (aviso de privacidad) je ova Politika privatnosti. Podatke obrađujemo na temelju privole dobivene pri registraciji. Privolu možeš opozvati u bilo kojem trenutku kontaktiranjem dpo@swopli.com. Prijenosi trećim stranama objavljeni su u tablici podizvršitelja.

    Argentina (Ley 25.326): imaš pravo besplatno pristupiti osobnim podacima u razmacima ne kraćima od 6 mjeseci (čl. 14). Dirección Nacional de Protección de Datos Personales (DNPDP) nadzorno je tijelo: https://www.argentina.gob.ar/aaip/datospersonales

    Kolumbija (Ley 1581 de 2012): podatke obrađujemo na temelju autorizacije (autorización) dobivene pri registraciji. Imaš prava pristupa, ispravka, brisanja i opoziva autorizacije. Superintendencia de Industria y Comercio (SIC): https://www.sic.gov.co

    Čile (Ley 19.628): imaš prava pristupa, ispravka, brisanja i prigovora. Novi okvir zaštite podataka jača ta prava. Consejo para la Transparencia: https://www.consejotransparencia.cl

    Peru (Ley 29733): osobni podaci obrađuju se na temelju privole. ARCO prava možeš ostvariti kontaktiranjem dpo@swopli.com. Autoridad Nacional de Protección de Datos Personales: https://www.gob.pe/anpd

    Urugvaj (Ley 18.331): Urugvaj ima EU odluku o primjerenosti, pružajući visoku razinu zaštite podataka. Unidad Reguladora y de Control de Datos Personales (URCDP): https://www.gub.uy/unidad-reguladora-control-datos-personales

    Kostarika, Gvatemala, Honduras, Nikaragva: primjenjujemo GDPR-first načela kao osnovu za zemlje u kojima se okviri zaštite podataka još razvijaju.

    Prekogranični prijenosi

    Međunarodni prijenosi osobnih podataka za latinoameričke korisnike pokriveni su mehanizmima opisanim u tablici podizvršitelja u Global Baselineu. Osiguravamo usklađenost s primjenjivim lokalnim zahtjevima, uključujući prijenose na temelju privole gdje je potrebno.

    India (DPDPA)

    Primjenjuje se na: korisnike s prebivalištem u Indiji. Mjerodavno pravo: Digital Personal Data Protection Act, 2023 (DPDPA).

    Data Fiduciary

    Swopli LTDA djeluje kao Data Fiduciary prema DPDPA-u za osobne podatke indijskih korisnika.

    Privola kao primarna osnova

    Prema DPDPA-u, privola je primarna pravna osnova za obradu osobnih podataka. Za razliku od GDPR-a, DPDPA ne priznaje "legitimni interes" kao neovisnu pravnu osnovu.

    Privolu za obradu dobivamo pri registraciji računa. Tvoja privola pokriva sve svrhe navedene u Global Baselineu, uključujući sprječavanje prijevara i sigurnost platforme. Privola je:

    • Slobodna: nije uvjetovana dodatnim uslugama.
    • Informirana: ova Politika privatnosti služi kao obavijest (DPDPA odjeljak 5).
    • Specifična: privola se dobiva za svaku identificiranu svrhu.
    • Bezuvjetna: nije vezana uz nepovezane uvjete.

    Privolu možeš povući u bilo kojem trenutku putem Settings > Privacy & Data ili e-poštom na dpo@swopli.com. Povlačenje može utjecati na mogućnost korištenja određenih značajki Platforme.

    Tvoja prava prema DPDPA-u

    Pravo Opis
    Pravo pristupa Dobiti sažetak osobnih podataka i aktivnosti obrade (odjeljak 11)
    Pravo ispravka i brisanja Zatražiti ispravak netočnih podataka i brisanje osobnih podataka (odjeljak 12)
    Pravo na rješavanje pritužbi Podnijeti pritužbe našem Grievance Officeru (odjeljak 13)
    Pravo nominiranja Nominirati drugu osobu za ostvarivanje prava u slučaju smrti ili nesposobnosti (odjeljak 14)

    Grievance Officer

    Grievance Officer: dpo@swopli.com Rok odgovora: u roku od 72 sata od primitka, s rješenjem u roku od 30 dana.

    Ako nisi zadovoljan odgovorom, možeš podnijeti pritužbu Data Protection Board of India nakon njegova uspostavljanja.

    Podaci djece

    Za korisnike mlađe od 18 godina u Indiji DPDPA zahtijeva provjerljivu roditeljsku privolu prije obrade osobnih podataka. Budući da Swopli zahtijeva da svi korisnici imaju 18+, ta je odredba zadovoljena našom dobnom provjerom.

    Prekogranični prijenosi

    DPDPA dopušta prekogranične prijenose osim u zemlje koje Central Government posebno ograniči. Na datum ove Politike nisu objavljena ograničenja. Prijenosi su objavljeni u tablici podizvršitelja u Global Baselineu.

    Ograničenje poslovne svrhe

    Osobne podatke indijskih korisnika obrađujemo samo za posebne svrhe objavljene u ovoj Politici privatnosti. Obrada izvan tih svrha zahtijeva novu privolu.

    Asia-Pacific

    Primjenjuje se na: korisnike s prebivalištem u Indoneziji, Maleziji, Filipinima, Singapuru, Tajlandu, Vijetnamu, Japanu, Južnoj Koreji, Tajvanu i Hong Kongu.

    Zakoni o zaštiti podataka u azijsko-pacifičkoj regiji znatno se razlikuju. Ovaj odjeljak obrađuje ključne zahtjeve po jurisdikcijama.

    Japan (APPI)

    Act on the Protection of Personal Information (APPI) uređuje obradu podataka u Japanu.

    • Objava stranog prijenosa: objavljujemo da se osobni podaci prenose u zemlje navedene u tablici podizvršitelja (Global Baseline). Japan ima EU odluku o primjerenosti, što olakšava prijenose.
    • Osjetljive informacije: Swopli ne prikuplja special care-required personal information (要配慮個人情報) kako je definirano APPI čl. 2(3). Ako ikada budemo morali prikupiti takve podatke, dobit ćemo prethodnu opt-in privolu.
    • Opt-out od pružanja trećim stranama: možeš se isključiti iz pružanja podataka trećim stranama kontaktiranjem dpo@swopli.com.
    • Personal Information Protection Commission (PPC): https://www.ppc.go.jp/en/

    South Korea (PIPA)

    Personal Information Protection Act (PIPA) pruža sveobuhvatna prava zaštite podataka.

    • Privola: dobivamo privolu za prikupljanje, korištenje i prekogranični prijenos pri registraciji. Privola za prekogranične prijenose posebno objavljuje primatelje, zemlje, svrhe i vrste prenesenih podataka.
    • Prekogranični prijenos: prijenosi su objavljeni u tablici podizvršitelja. Poštujemo PIPA čl. 17 i čl. 28-2 o prekograničnim prijenosima.
    • Prava: pristup, ispravak, brisanje i suspenzija obrade putem Settingsa ili dpo@swopli.com.
    • Personal Information Protection Commission (PIPC): https://www.pipc.go.kr/eng/

    Singapore (PDPA)

    Personal Data Protection Act 2012 (PDPA) uređuje obradu podataka u Singapuru.

    • Data Protection Officer: dpo@swopli.com služi kao imenovani DPO za PDPA usklađenost.
    • Privola: osobne podatke prikupljamo i koristimo na temelju privole dobivene pri registraciji ili pretpostavljene privole gdje je razumno očekivana (PDPA s. 15).
    • Prijenos: osiguravamo usporedivu zaštitu kod primatelja kako zahtijeva PDPA s. 26.
    • Do Not Call Registry: Swopli ne provodi telemarketing.
    • Personal Data Protection Commission (PDPC): https://www.pdpc.gov.sg/

    Thailand (PDPA)

    Personal Data Protection Act B.E. 2562 (2019) je na snazi. Provedbeni propisi još se finaliziraju.

    • Status: MONITOR — nema provedbenih radnji protiv stranih platformi na datum ove Politike. Primjenjujemo GDPR-first načela kao osnovu.
    • Prava: pristup, ispravak, brisanje, ograničenje, prenosivost i prigovor — dostupno putem Settingsa ili dpo@swopli.com.
    • Office of the Personal Data Protection Committee (PDPC): https://www.pdpc.or.th/

    Vietnam (PDP Decree)

    Decree 13/2023/ND-CP o zaštiti osobnih podataka je na snazi.

    • Status: MONITOR — obvezni portal za prijave prekograničnih prijenosa (MPS) još nije pokrenut. Prijavit ćemo kada portal postane operativan.
    • Privola: dobivamo privolu za obradu i prekogranične prijenose pri registraciji.
    • Data Protection Impact Assessment (DPIA): održavamo DPIA predloške spremne za podnošenje kada se MPS portal otvori.

    Indonesia (PDP Law)

    Law No. 27 of 2022 o zaštiti osobnih podataka je na snazi. Provedbeni propisi još čekaju.

    • Status: MONITOR — provedbeni propisi još nisu izdani. Primjenjujemo GDPR-first načela.
    • Privola: dobivamo privolu za obradu pri registraciji.
    • Prava: pristup, ispravak, brisanje i ograničenje.

    Malaysia (PDPA 2010)

    • Privola: dobivena pri registraciji. Poštujemo Personal Data Protection Act 2010.
    • Prava: pristup, ispravak i povlačenje privole.
    • Department of Personal Data Protection: https://www.pdp.gov.my/

    Philippines (DPA 2012)

    • Privola: dobivena pri registraciji. Poštujemo Republic Act No. 10173.
    • Prava: pristup, ispravak, brisanje, prigovor i prenosivost.
    • National Privacy Commission (NPC): https://www.privacy.gov.ph/

    Taiwan (PDPA)

    • Privola: dobivena pri registraciji. Poštujemo Personal Data Protection Act.
    • Prava: pristup, ispravak, brisanje i prestanak obrade.

    Hong Kong (PDPO)

    • Privola: poštujemo Personal Data (Privacy) Ordinance (Cap. 486).
    • Data Protection Principles: naše prakse usklađene su sa šest DPP-ova.
    • Office of the Privacy Commissioner for Personal Data: https://www.pcpd.org.hk/

    Rest of World

    Primjenjuje se na: korisnike s prebivalištem u Australiji, Novom Zelandu, Južnoj Africi, Ujedinjenim Arapskim Emiratima, Bahreinu, Egiptu, Izraelu, Jordanu, Kuvajtu, Omanu, Kataru, Libanonu, Moldovi, Ukrajini, Azerbajdžanu i Pakistanu.

    Za zemlje u ovom odjeljku primjenjujemo GDPR-first načela kao svjetsku osnovu. Gdje lokalno pravo pruža dodatna posebna prava ili zahtjeve, obrađujemo ih u nastavku.

    Australia (Privacy Act 1988)

    Australian Privacy Principles (APPs) uređuju rukovanje podacima.

    • APP 1 (Otvorenost): ova Politika privatnosti služi kao APP-uskladiva politika privatnosti.
    • APP 5 (Obavijest): obavještavamo te pri ili prije prikupljanja o pitanjima koja zahtijeva APP 5.
    • APP 8 (Prekogranična objava): objavljujemo prekomorske prijenose u tablici podizvršitelja i poduzimamo razumne korake da primatelji poštuju APP-ove.
    • APP 12 (Pristup): osobnim informacijama možeš pristupiti putem Settingsa ili dpo@swopli.com.
    • APP 13 (Ispravak): osobne informacije možeš ispraviti putem Settings > Edit Profile.
    • Office of the Australian Information Commissioner (OAIC): https://www.oaic.gov.au/

    New Zealand (Privacy Act 2020)

    • Information Privacy Principles (IPPs): naše prakse poštuju 13 IPP-ova.
    • Prekogranični prijenos: osiguravamo da primatelji imaju usporedive zaštite privatnosti.
    • Office of the Privacy Commissioner: https://www.privacy.org.nz/

    South Africa (POPIA)

    Protection of Personal Information Act 4 of 2013 (POPIA) je na snazi.

    • Responsible Party: Swopli LTDA je responsible party za obradu osobnih informacija.
    • Uvjeti zakonite obrade: poštujemo 8 uvjeta prema POPIA Chapter 3.
    • Prekogranični prijenos: prijenosi poštuju POPIA s. 72 (odgovarajuća zaštita ili privola ili ugovorna nužnost).
    • Prava: pristup, ispravak, brisanje, prigovor putem Settingsa ili dpo@swopli.com.
    • Information Regulator: https://inforegulator.org.za/

    Middle East (UAE, Bahrain, Egypt, Israel, Jordan, Kuwait, Oman, Qatar, Lebanon)

    Okviri zaštite podataka u regiji Bliskog istoka razvijaju se. Primjenjujemo GDPR-first načela kao osnovu i poštujemo posebne zahtjeve gdje su primjenjivi:

    • UAE (Federal Decree-Law No. 45 of 2021): podatke obrađujemo na temelju privole i ugovorne nužnosti. Data Protection Office: https://tdra.gov.ae/
    • Israel (Protection of Privacy Law 5741-1981): Izrael ima EU odluku o primjerenosti. Poštujemo zahtjeve Israeli Privacy Protection Authority. https://www.gov.il/en/departments/the_privacy_protection_authority
    • Bahrain (PDPL 2018): dobivamo privolu za obradu i prekogranične prijenose.
    • Egypt: MONITOR — Data Protection Center (DPC) još nije postao operativan. Poštovat ćemo operativne zahtjeve kada DPC počne raditi.
    • Qatar (Law No. 13 of 2016): podatke obrađujemo na temelju privole i poštujemo zahtjeve National Data Privacy Office.

    Eastern Europe (Moldova, Ukraine, Azerbaijan)

    • Ukraine (Law on Personal Data Protection No. 2297-VI): podatke obrađujemo na temelju privole i poštujemo zahtjeve zaštite podataka. S obzirom na trenutačnu situaciju, posebno pazimo na sigurnost podataka ukrajinskih korisnika.
    • Moldova: primjenjujemo EU-uskladiva načela zaštite podataka.
    • Azerbaijan: primjenjujemo GDPR-first načela kao osnovu.

    Pakistan

    Pakistanski okvir zaštite podataka razvija se. Primjenjujemo GDPR-first načela i poštovat ćemo posebne zahtjeve kada zakonodavstvo bude doneseno i provedeno.

    Opći kontakt za Rest of World

    Za korisnike u bilo kojoj zemlji iz odjeljka Rest of World, prava nad podacima možeš ostvariti putem:

    Pitanja o ovoj Politici privatnosti? Kontaktiraj našeg Službenika za zaštitu podataka na dpo@swopli.com ili piši na: Swopli LTDA, Rua Alm Protogenes 289, Sala 122, Santo Andre/SP, CEP 09090-760, Brazil.

    Za pojedinosti o kolačićima vidi Politiku kolačića. Za pojedinosti o podizvršiteljima vidi Popis podizvršitelja. Za zahtjeve nositelja podataka posjeti /hr/privatnost/moji-podaci.