1 Uvod
Ova Politika privatnosti opisuje kako loyo.rs platforma (u daljem tekstu: „loyo.rs", „mi", „naš") prikuplja, obrađuje, čuva i štiti lične podatke korisnika programa lojalnosti, osoblja ugostiteljskih objekata i administratora objekata.
loyo.rs je multi-tenant SaaS platforma koja malim biznisima (kafićima, restoranima, salonima i sličnim poslovanjima) omogućuje da uspostave digitalni program lojalnosti za svoje goste. Prikupljanje i obrada podataka odvijaju se u skladu sa Opštom uredbom o zaštiti podataka (GDPR — Uredba EU 2016/679) i Zakonom o zaštiti podataka o ličnosti Republike Srbije.
Korišćenjem loyo.rs platforme prihvatate uslove ove Politike privatnosti. Ukoliko ne prihvatate ove uslove, molimo vas da ne koristite platformu.
2 Rukovalac podataka
Rukovalac ličnih podataka u smislu GDPR-a je:
Ugostiteljski objekti koji koriste loyo.rs platformu deluju kao nezavisni rukovaoci podataka u odnosu na svoje goste. Svaki objekat je odgovoran za usklađenost sopstvene obrade podataka sa važećim propisima.
3 Koje podatke prikupljamo
3.1 Podaci krajnjih korisnika (gostiju programa lojalnosti)
| Kategorija podatka | Primeri | Izvor |
|---|---|---|
| Identifikacioni podaci | Ime i prezime | Korisnik pri registraciji |
| Kontaktni podaci | Email adresa | Korisnik pri registraciji |
| Transakcioni podaci | Broj pečata, datum i vreme transakcija, korišćene nagrade | Automatski pri svakoj kupovini |
| Tehnički podaci | Tip uređaja (Apple/Google Wallet), IP adresa pri registraciji | Automatski |
3.2 Podaci osoblja (Staff)
- Ime i prezime
- Email adresa (za pristup Staff aplikaciji)
- Log aktivnosti (koje transakcije je unelo i kada)
3.3 Podaci administratora objekta
- Ime i prezime administratora
- Email adresa i lozinka (šifrovana)
- Podaci o poslovnom objektu (naziv, logo, boje, kontakt)
- Billing podaci (fakturni podaci)
3.4 Podaci koje NE prikupljamo
loyo.rs ne prikuplja: broj kreditne/debitne kartice, JMBG, podatke o zdravlju, biometrijske podatke, podatke o deci mlađoj od 16 godina.
4 Svrha obrade podataka
Vaše podatke obrađujemo isključivo za sledeće namene:
- Pružanje usluge: kreiranje i upravljanje loyalty karticom, evidentiranje pečata i nagrada
- Komunikacija: slanje emailova vezanih za uslugu (potvrda registracije, nagrade, obaveštenja o promenama uslova)
- Bezbednost i prevencija zloupotreba: zaštita naloga i platforme od neautorizovanog pristupa
- Analitika i poboljšanje usluge: agregirana, anonimizovana statistika za poboljšanje platforme (bez profilisanja pojedinaca)
- Zakonske obaveze: čuvanje podataka u meri koja je zakonski neophodna
Ne koristimo vaše podatke za automatizovano donošenje odluka koje bi imalo pravni ili sličan značajan efekat na vas, niti vam šaljemo marketing bez vaše izričite saglasnosti.
5 Pravni osnov za obradu
| Svrha obrade | Pravni osnov (GDPR čl. 6) |
|---|---|
| Kreiranje loyalty kartice i evidentiranje transakcija | Izvršenje ugovora (čl. 6 st. 1 tač. b) |
| Slanje transakcionalnih emailova | Izvršenje ugovora (čl. 6 st. 1 tač. b) |
| Marketing emailovi (promotivne poruke) | Saglasnost (čl. 6 st. 1 tač. a) |
| Bezbednost i sprečavanje zloupotreba | Legitimni interes (čl. 6 st. 1 tač. f) |
| Ispunjenje zakonskih obaveza | Zakonska obaveza (čl. 6 st. 1 tač. c) |
6 Deljenje podataka sa trećim stranama
Vaše podatke ne prodajemo, ne iznajmljujemo i ne trgujemo njima.
Podatke možemo deliti jedino u sledećim slučajevima:
- Poslovni objekat: podaci gosta su vidljivi administratoru objekta u čijem programu lojalnosti je gost registrovan
- Apple / Google: wallet pass podaci prosleđuju se Apple i Google servisima radi generisanja Wallet kartice, uz poštovanje njihovih politika privatnosti
- Obrađivači podataka (procesori): koristimo pouzdane cloud provajdere (hosting, email) koji su GDPR usklađeni i potpisali smo sa njima ugovore o obradi podataka (DPA)
- Zakonske obaveze: ako zakon zahteva otkrivanje (npr. sudski nalog), poštujemo zakonske obaveze
7 Period čuvanja podataka
| Kategorija podataka | Period čuvanja |
|---|---|
| Nalog i loyalty kartica aktivnog korisnika | Dok je korisnik aktivan u programu + 2 godine od poslednje aktivnosti |
| Transakcioni zapisi | 5 godina od nastanka (zbog poreskih i računovodstvenih obaveza) |
| Podaci administratora objekta | Tokom trajanja poslovnog odnosa + 2 godine |
| Log datoteke i bezbednosni zapisi | 90 dana |
| Rezervne kopije (backup) | Do 30 dana od kreiranja |
Po isteku perioda čuvanja, podatke bezbedno brišemo ili anonimizujemo.
8 Bezbednost podataka
Primenjujemo tehničke i organizacione mere u skladu sa principom „zaštita privatnosti od projektovanja" (Privacy by Design):
- Šifrovanje podataka u prenosu (TLS 1.2+) i u mirovanju (AES-256)
- Šifrovano čuvanje lozinki (bcrypt/Argon2)
- Princip minimalnih privilegija pristupa — osoblje vidi samo podatke neophodno za obavljanje posla
- Redovne bezbednosne provere i ažuriranja
- Stroga izolacija podataka između različitih poslovnih objekata (multi-tenant arhitektura)
- Logovanje svih kritičnih radnji za audit trail
U slučaju povrede podataka koja može ugroziti vaša prava i slobode, obavestićemo nadležni organ za zaštitu podataka u roku od 72 sata, a vas — bez nepotrebnog odlaganja.
9 Vaša prava
Kao lice čiji podaci se obrađuju, imate sledeća prava u skladu sa GDPR-om i srpskim Zakonom o zaštiti podataka o ličnosti:
Za ostvarivanje navedenih prava, obratite nam se na email hello@loyo.rs. Odgovorićemo u roku od 30 dana od prijema zahteva.
10 Kolačići (Cookies)
Naša web aplikacija koristi sledeće kategorije kolačića:
| Tip | Svrha | Trajanje |
|---|---|---|
| Neophodni | Autentifikacija, bezbednost sesije, osnovna funkcionalnost | Sesija / do 7 dana |
| Funkcionalni | Pamćenje vaših preferencija (jezik, prikaz) | Do 1 godine |
| Analitički | Anonimizovana statistika korišćenja (uz vašu saglasnost) | Do 2 godine |
Neophodni kolačići se postavljaju bez vaše prethodne saglasnosti jer su neophodni za funkcionisanje usluge. Za analitičke kolačiće tražimo vašu saglasnost pri prvoj poseti. Ne koristimo marketinške kolačiće niti pratimo korisnike u reklamne svrhe.
11 Privatnost dece
loyo.rs platforma nije namenjena osobama mlađim od 16 godina. Svesno ne prikupljamo lične podatke od maloletnih lica.
Ukoliko saznamo da smo greškom prikupili podatke od deteta mlađeg od 16 godina, odmah ćemo ih trajno obrisati. Ako ste roditelj ili staratelj i smatrate da je vaše dete ostavilo podatke na našoj platformi, molimo vas da nas kontaktirate na hello@loyo.rs.
12 Izmene politike privatnosti
Zadržavamo pravo izmene ove Politike privatnosti. Sve izmene ćemo objaviti na ovoj stranici sa novim datumom ažuriranja.
Za materijalne izmene koje utiču na vaša prava, obavestićemo vas emailom najmanje 14 dana pre stupanja izmena na snagu. Nastavljanjem korišćenja platforme posle tog roka prihvatate izmenjenu politiku.
Preporučujemo povremenu proveru ove stranice radi uvida u eventualne izmene.
13 Kontakt za pitanja o privatnosti
Za sva pitanja, zahteve ili pritužbe u vezi sa obradom vaših ličnih podataka, obratite nam se:
Ukoliko smatrate da vaši podaci nisu obrađeni u skladu sa zakonom, možete podneti pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije (www.poverenik.rs).