Politika privatnosti

Zaštita Vaših osobnih podataka — GDPR

Posljednje ažuriranje: Siječanj 2026.

VeraTrace SAS (u daljnjem tekstu “VeraTrace”, “mi”, “naš”) obvezuje se štititi Vašu privatnost i osobne podatke. Ova politika privatnosti objašnjava kako prikupljamo, koristimo, pohranjujemo i štitimo Vaše osobne podatke sukladno Uredbi (EU) 2016/679 (GDPR). Primjenjuje se na sve podatke prikupljene putem naše stranice veratrace.xyz, mobilnih aplikacija, obrazaca i IoT uređaja.

Područje primjene

Ova se politika primjenjuje na sve osobne podatke koje prikupljamo putem naših internetskih stranica veratrace.xyz (glavna stranica), veratrace.eu (europska stranica) i veratrace.net (međunarodna stranica), naših mobilnih aplikacija (VeraTrace Producteur, VeraTrace Client), naših kontakt obrazaca, naših IoT kompleta i NFC oznaka, te svake druge interakcije s našim uslugama.

Ova politika ne pokriva prakse privatnosti web-mjesta trećih strana na koja možemo stavljati poveznice. Potičemo Vas da pročitate politike privatnosti svih web-mjesta trećih strana koja posjećujete.

Voditelj obrade

Voditelj obrade Vaših osobnih podataka je:

VeraTrace SAS

35 rue de la République, 95110 Sannois, Francuska

Zastupana po Frédéricu Georjonu, predsjedniku

[email protected]

Naš službenik za zaštitu podataka (DPO) dostupan je za sva pitanja vezana uz zaštitu vaših osobnih podataka. Možete ga kontaktirati u bilo kojem trenutku kako biste ostvarili svoja prava ili za bilo koje pitanje vezano uz obradu vaših podataka.

Prikupljeni podaci

Prikupljamo sljedeće kategorije podataka u skladu s vašim korisničkim profilom i vašom interakcijom s našim uslugama:

Kategorije podataka

Identifikacijski podaci

Prezime, ime, adresa e-pošte, telefonski broj, naziv tvrtke, SIRET (za profesionalce), poštanska adresa

Obrasci za registraciju, kontaktni upitiDjelomično obavezno

Profesionalni podaci

Vrsta djelatnosti (proizvođač, restoran, distributer), veličina gospodarstva, broj zaposlenika, posjedovani certifikati (Organic, HVE, AOP, IGP, Label Rouge), oznake izvornosti, obrađene površine

Korisnički profil, integracija SI-aObavezno za proizvođače

Podaci o sljedivosti

Proizvodne serije, datumi berbe/proizvodnje, putanja proizvoda, zabilježene temperature, geolokacija isporuka, vremenski pečati blockchaina

NFC oznake, IoT trackeri, ručni unos, partnerski API-jiObavezno za uslugu

Podaci o transakcijama

Povijest narudžbi, računi, načini plaćanja (tokenizirani), prikupljeni VRT bodovi, Pioneer status

Platforma VeraTrace, pružatelji platnih uslugaObavezno za transakcije

Podaci o navigaciji

IP adresa (anonimizirana nakon 13 mjeseci), vrsta preglednika, operativni sustav, posjećene stranice, trajanje posjeta, izvor prometa, izvršene radnje

Kolačići, serverski zapisiDjelomično opcionalno (analitički kolačići)

Podaci o povezivanju

Pristupni podaci (hashirani), zapisi o povezivanju, povijest sesija, korišteni uređaji

Autentifikacijski sustavObavezno za korisnike s računom

Komunikacijski podaci

Sadržaj poruka poslanih podršci, povijest razmjene, preferencije komunikacije, pristanci na newsletter

Kontaktni obrasci, e-pošta, chat podrškeOpcionalno

IoT podaci

Identifikatori senzora, očitanja temperature, geolokacija trackera, stanje baterija, pokrenuta upozorenja

IoT oprema VeraTraceAutomatski za opremljene korisnike

Osjetljivi podaci

Ne prikupljamo osjetljive podatke u smislu članka 9. GDPR-a (rasno ili etničko podrijetlo, politička mišljenja, vjerska uvjerenja, zdravstveni podaci, seksualna orijentacija itd.), osim ako je to strogo nužno i uz vašu izričitu suglasnost.

Maloljetnici

Naše usluge nisu namijenjene maloljetnicima mlađima od 16 godina. Ne prikupljamo svjesno osobne podatke o maloljetnicima. Ako ste roditelj ili skrbnik i smatrate da nam je vaše dijete dostavilo osobne podatke, molimo vas da nas odmah kontaktirate na [email protected] kako bismo ih izbrisali.

Izvori podataka

  • Izravno od vas (obrasci, ručni unos)
  • Automatski (kolačići, zapisi, IoT senzori)
  • Putem trećih strana (partnerski API-ji, povezani informacijski sustavi)
  • Javni izvori (službeni registri za provjeru)

Svrhe obrade

Vaši osobni podaci obrađuju se u sljedeće svrhe, svaka na temelju određene pravne osnove:

Pružanje usluge sljedivosti

Bilježenje i certificiranje podataka o sljedivosti Vaših proizvoda, generiranje QR kodova, omogućavanje uvida krajnjim kupcima.

Pravna osnova: Izvršenje ugovora

Upravljanje korisničkim računima

Kreiranje i administriranje Vašeg računa, upravljanje Vašim pristupom, personalizacija Vašeg iskustva.

Pravna osnova: Izvršenje ugovora

Obrada narudžbi i plaćanja

Upravljanje Vašim pretnarudžbama, pretplatama, računima, dostavama opreme.

Pravna osnova: Izvršenje ugovora

Upravljanje bodovima i VRT tokenima

Izračun, dodjela i praćenje Vaših bodova sljedivosti, priprema konverzije u tokene.

Pravna osnova: Izvršenje ugovora

Korisnička podrška

Odgovaranje na Vaše zahtjeve, rješavanje tehničkih problema, pružanje postprodajne podrške.

Pravna osnova: Izvršenje ugovora / Legitimni interes

Marketinške komunikacije

Informiranje o našim novostima, novim proizvodima, posebnim ponudama, događanjima.

Pravna osnova: Privola (opoziva u bilo kojem trenutku)

Pravne osnove obrade

U skladu s GDPR-om, svaka obrada osobnih podataka mora se temeljiti na pravnoj osnovi. Ovo su pravne osnove na kojima temeljimo našu obradu:

Privola (čl. 6.1.a GDPR)

Za slanje newslettera, marketinške komunikacije, korištenje nebitnih kolačića. Privolu možete povući u bilo kojem trenutku putem poveznica za odjavu ili kontaktiranjem nas.

Izvršenje ugovora (čl. 6.1.b GDPR)

Za izvršenje ugovora koji nas obvezuje: kreiranje računa, pružanje usluge sljedivosti, upravljanje narudžbama, korisnička podrška, dodjela VRT bodova.

Zakonska obveza (čl. 6.1.c GDPR)

Za poštivanje naših zakonskih obveza: čuvanje računa 10 godina, usklađenost s EUDR/DPP, logovi pristupa 12 mjeseci, odgovor na sudske naloge.

Legitimni interes (čl. 6.1.f GDPR)

Za naše legitimne interese koji ne narušavaju Vaša prava: poboljšanje usluga, sigurnost platforme, anonimizirana statistika, prevencija prijevara.

Ravnoteža interesa

Kada se pozivamo na legitimni interes, proveli smo ravnotežu između naših interesa i vaših prava i sloboda. Ova analiza je dokumentirana i dostupna na zahtjev od našeg službenika za zaštitu podataka (DPO).

Razdoblje čuvanja

Vaše osobne podatke čuvamo samo onoliko dugo koliko je potrebno za svrhe za koje su prikupljeni, u skladu sa zakonskim obvezama:

DonnéesDuréeJustification
Podaci računa (potencijalni klijenti)3 godine nakon posljednjeg aktivnog kontaktaPreporuka CNIL-a
Podaci računa (klijenti)Trajanje ugovora + 5 godinaGrađanska zastara
Podaci o sljedivostiNajmanje 10 godinaRegulatorne obveze u prehrambenom sektoru
Podaci o naplati10 godinaTrgovački zakonik (čl. L123-22)
Podaci o navigaciji (kolačići)Najviše 13 mjeseciPreporuka CNIL-a
Zapisnici o povezivanju12 mjeseciLCEN / Sigurnost
Privole (dokazi)Trajanje privole + 5 godinaDokaz u slučaju kontrole
Podaci o newsletteruDo odjave + 3 godineUpravljanje prigovorima
Tiketi podrške3 godine nakon zatvaranjaKvaliteta usluge
Hash blockchainTrajnoNepromjenjivost blockchaina (samo hash, ne podaci)

Arhiviranje

Po isteku razdoblja čuvanja u aktivnoj bazi, određeni podaci mogu se arhivirati u međubazi s ograničenim pristupom radi ispunjavanja naših zakonskih obveza ili radi utvrđivanja, ostvarivanja ili obrane pravnih zahtjeva.

Brisanje

Nakon isteka razdoblja čuvanja i arhiviranja, vaši se podaci sigurno brišu ili nepovratno anonimiziraju.

Primatelji podataka

Vaši osobni podaci mogu se priopćiti sljedećim primateljima, u strogim granicama onoga što je potrebno za ostvarivanje gore opisanih svrha:

Interno

Samo članovi tima VeraTrace koji trebaju pristup vašim podacima u okviru svojih dužnosti imaju pristup:

  • Tehnički tim (podrška, razvoj)
  • Komercijalni tim (odnosi s klijentima)
  • Administrativni tim (naplata, računovodstvo)
  • Uprava (nadzor)

Pristup je kontroliran prema načelu najmanje privilegije i praćen u našim revizorskim zapisima.

Podizvođači i pružatelji usluga

Koristimo tehničke pružatelje usluga za rad naših usluga. Svi podliježu strogim ugovornim obvezama (članak 28. GDPR-a):

Hetzner Online GmbH

Hosting web stranice i CDN

Njemačka (Europska unija)Hosting u EU

Podaci o navigaciji, zapisi

Amazon Web Services (AWS)

Cloud infrastruktura, pohrana podataka

Europska unija (Frankfurt)Hosting u EU

Svi aplikacijski podaci

Make (prije Integromat)

Automatizacija obrazaca i radnih tokova

Europska unija (Češka)Hosting u EU

Podaci iz obrazaca

Brevo (prije Sendinblue)

Slanje transakcijskih e-poruka i newslettera

FrancuskaHosting u Francuskoj

E-pošta, ime, postavke

Stripe

Obrada plaćanja

Sjedinjene Države / IrskaStandardne ugovorne klauzule

Podaci o plaćanju (tokenizirani)

Privatni blockchain VeraTrace

Ankiranje dokaza sljedivosti

Privatna infrastruktura VeraTraceObjavljuju se samo hash vrijednosti, nikakvi osobni podaci

Samo kriptografski hash

Airtable

CRM i upravljanje kontaktima

Sjedinjene DržaveStandardne ugovorne klauzule

Profesionalni kontakt podaci

Ovaj se popis redovito ažurira. Posljednja revizija: siječanj 2026.

Partneri (uz vašu suglasnost)

Uz vašu izričitu suglasnost, određeni podaci mogu se dijeliti s našim partnerima:

  • Poljoprivredne zadruge čiji ste član
  • Partnerska područna tijela (samo agregirani podaci)
  • Tijela za certifikaciju (u svrhu provjere)

Tijela vlasti i zakonske obveze

Vaši se podaci mogu priopćiti nadležnim tijelima na zakonski zahtjev:

  • Porezna uprava (kontrole)
  • Sudska tijela (zahtjevi)
  • CNIL (kontrole)
  • Tijela za regulaciju hrane (DGCCRF, DDPP)

Prodaja podataka

NIKADA ne prodajemo vaše osobne podatke trećim stranama. Ne dijelimo ih u reklamne svrhe bez vaše izričite suglasnosti.

Prijenosi izvan EU-a

Neki od naših pružatelja usluga nalaze se izvan Europske unije, prvenstveno u Sjedinjenim Američkim Državama. U takvim slučajevima osiguravamo da su uspostavljene odgovarajuće zaštitne mjere u skladu s poglavljem V GDPR-a:

Uspostavljene zaštitne mjere

Standardne ugovorne klauzule (SCC)

Klauzule odobrene od strane Europske komisije (odluka 2021/914) potpisane s našim američkim pružateljima usluga

Dodatne mjere

Enkripcija podataka u prijenosu i pohrani, pseudonimizacija gdje je to moguće, procjena učinka prijenosa (TIA)

Prednost hostinga u EU-u

Sustavno dajemo prednost pružateljima usluga koji podatke smještaju unutar EU-a

Obuhvaćene zemlje

Sjedinjene Američke Države

Stripe, Airtable

SCC + dodatne mjere

Kopiju standardnih ugovornih klauzula ili uspostavljenih zaštitnih mjera možete dobiti kontaktiranjem na [email protected]

Automatizirane odluke i profiliranje

U skladu s člankom 22. GDPR-a, obavještavamo Vas o obradama koje uključuju automatizirane odluke:

Izračun ocjene sljedivosti

Automatski izračunavamo ocjenu sljedivosti (od A do E) na temelju podataka koje pružate: potpunost informacija, certifikati, pokrivenost lanca itd.

Ova je ocjena informativna i nema značajan pravni učinak. Ne utječe na Vašu sposobnost korištenja usluge.

Možete osporiti ovu ocjenu obraćanjem našem timu za podršku.

Dodjela VRT bodova

Bodovi se automatski izračunavaju prema algoritmu koji uzima u obzir: prijeđenu udaljenost, certifikate, vrstu proizvoda, hladni lanac itd.

Ovaj izračun utječe na broj bodova koje prikupljate.

Možete zatražiti ručnu provjeru ako smatrate da je došlo do pogreške.

Nepostojanje isključivo automatizirane odluke

Nijedna odluka koja proizvodi pravne učinke ili Vas značajno pogađa ne donosi se isključivo automatiziranim sredstvima. Ljudska intervencija uvijek je moguća na zahtjev.

Vaša prava

Sukladno GDPR-u, imate sljedeća prava u odnosu na Vaše osobne podatke:

Pravo pristupa (čl. 15 GDPR)

Dobiti potvrdu obrađuju li se Vaši podaci, pristupiti tim podacima i dobiti njihovu kopiju. Također možete zatražiti informacije o svrhama, kategorijama podataka, primateljima, razdobljima čuvanja itd.

Pravo na ispravak (čl. 16 GDPR)

Zatražiti ispravak netočnih podataka koji se odnose na Vas ili dopuniti nepotpune podatke.

Pravo na brisanje (čl. 17 GDPR)

Zatražiti brisanje Vaših podataka u određenim slučajevima: podaci više nisu potrebni, povlačenje privole, prigovor, nezakonita obrada. Ovo pravo se ne primjenjuje ako je obrada potrebna za zakonsku obvezu.

Pravo na ograničenje (čl. 18 GDPR)

Zatražiti ograničenje obrade tijekom provjere točnosti podataka, ako je obrada nezakonita ili tijekom razmatranja prigovora.

Pravo na prenosivost (čl. 20 GDPR)

Primiti Vaše podatke u strukturiranom formatu (JSON, CSV) i prenijeti ih drugom voditelju obrade.

Pravo na prigovor (čl. 21 GDPR)

Prigovoriti obradi temeljenoj na legitimnom interesu. Možete prigovoriti bez navođenja razloga obradi u svrhe izravnog marketinga.

Pravo na povlačenje privole

Povući privolu u bilo kojem trenutku za obrade temeljene na njoj, bez utjecaja na zakonitost prethodne obrade.

Pravo da ne budete predmet automatizirane odluke

Ne biti predmet odluke temeljene isključivo na automatiziranoj obradi koja proizvodi pravne učinke koji se odnose na Vas ili značajno na Vas utječu.

Kako ostvariti svoja prava

Za ostvarivanje svojih prava na raspolaganju vam je nekoliko mogućnosti:

Putem interneta

Putem svog osobnog prostora, u rubrici «Moji podaci» (za korisnike s računom)

E-poštom

Pisanjem na [email protected]

Poštom

VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, Francuska

Možda ćemo zatražiti dokaz Vašeg identiteta za obradu Vašeg zahtjeva.

Odgovorit ćemo na Vaš zahtjev u roku od 30 dana. Ovaj rok može se produljiti za dodatna 2 mjeseca za složene zahtjeve.

Ostvarivanje vaših prava je besplatno. Međutim, u slučaju očito neutemeljenih ili pretjeranih zahtjeva, osobito zbog njihove učestalosti, možemo zatražiti plaćanje razumne naknade ili odbiti postupiti po zahtjevu.

Pritužba nadzornom tijelu

Ako smatrate da obrada Vaših osobnih podataka predstavlja kršenje propisa, imate pravo podnijeti pritužbu nadzornom tijelu za zaštitu podataka. Za hrvatski nadzorni organ:

CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

www.cnil.fr

Pritužbu možete podnijeti i putem interneta na stranici CNIL-a.

Kolačići i praćenje

Naša stranica koristi kolačiće i slične tehnologije (piksele, web signale, lokalnu pohranu). Kolačić je mala tekstualna datoteka koja se pohranjuje na vašem uređaju (računalu, pametnom telefonu, tabletu) prilikom posjeta web-mjestu.

Što je kolačić?

Kolačić omogućuje stranici da prepozna vaš preglednik i zapamti određene informacije (postavke, sesiju itd.). Kolačići ne mogu izvršavati programe niti prenositi viruse.

Vrste korištenih kolačića

Strogo nužni kolačići

Neophodni za funkcioniranje stranice

Korisnička sesija, jezične postavke, sigurnost (CSRF), košarica

Sesija ili najviše 12 mjeseciVeraTraceEssentiel

Kolačići za performanse/analitiku

Razumijevanje kako posjetitelji koriste stranicu

Prikazi stranica, trajanje posjeta, korisnički put, pronađene pogreške

Najviše 13 mjeseciVeraTrace (vlastita analitika, bez Google Analyticsa)Consentement requis

Kolačići postavki

Pamćenje vaših izbora radi personalizacije iskustva

Jezik, valuta, tamna/svijetla tema, željeni prikaz

12 mjeseciVeraTraceConsentement requis

Što NE koristimo

  • Oglašivačke kolačiće ili kolačiće za ciljanje
  • Alate za praćenje društvenih mreža (Facebook Pixel itd.)
  • Google Analytics ili bilo koju Google uslugu praćenja
  • Kolačiće trećih strana u marketinške svrhe

Upravljanje kolačićima

U svakom trenutku možete izmijeniti svoje postavke kolačića:

Banner za privolu

Dostupan putem poveznice „Upravljanje kolačićima” na dnu svake stranice

Postavke preglednika

Možete konfigurirati svoj preglednik da odbija sve kolačiće ili da vas upozori kada se kolačić šalje

Poveznice na postavke glavnih preglednika

Chrome: chrome://settings/cookiesFirefox: about:preferences#privacySafari: Postavke > PrivatnostEdge: edge://settings/privacy

Onemogućavanje određenih kolačića može utjecati na funkcioniranje stranice i vaše iskustvo pregledavanja.

Sigurnost podataka

Provodimo odgovarajuće tehničke i organizacijske mjere za zaštitu Vaših osobnih podataka od slučajnog ili protupravnog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa:

Tehničke mjere

  • Šifriranje podataka u prijenosu (HTTPS/TLS 1.3)
  • Šifriranje osjetljivih podataka u mirovanju (AES-256)
  • Heširanje lozinki (bcrypt sa solju)
  • Jaka autentifikacija za pristup sustavima (obvezna 2FA)
  • Aplikacijski vatrozid (WAF) i zaštita od DDoS napada
  • Nadzor i otkrivanje upada (IDS/IPS)
  • Dnevne šifrirane sigurnosne kopije s mjesečnim testom obnove
  • Odvojena razvojna, testna i produkcijska okruženja

Organizacijske mjere

  • Stroga kontrola pristupa temeljena na načelu najmanjih ovlasti
  • Sljedivost pristupa podacima (revizijski zapisi)
  • Redovito osposobljavanje timova za sigurnost i zaštitu podataka
  • Politika upravljanja sigurnosnim incidentima
  • Redovita revizija prava pristupa
  • Klauzule o povjerljivosti za sve zaposlenike i pružatelje usluga

Testiranja i revizije

Redovito provodimo sigurnosna testiranja (penetracijska testiranja, skeniranja ranjivosti) i revizije naših praksi.

Povreda podataka

U slučaju povrede osobnih podataka koja bi mogla prouzročiti rizik za Vaša prava i slobode:

  1. Obavještavamo CNIL u roku od 72 sata od saznanja za povredu
  2. Obavještavamo Vas u najkraćem roku ako je rizik za Vaša prava i slobode visok
  3. Dokumentiramo svaku povredu u našem internom registru
  4. Poduzimamo mjere za otklanjanje povrede i ograničavanje njezinih posljedica

Posebnosti vezane uz blockchain

VeraTrace koristi blockchain tehnologiju za certificiranje podataka o sljedivosti. Evo što trebate znati:

Što se pohranjuje na blockchainu

  • Samo kriptografski sažeci (digitalni otisci)
  • Vremenske oznake zapisa
  • Identifikatori serija (anonimizirani)

Što se NE pohranjuje na blockchainu

  • Vaši osobni podaci (ime, adresa itd.)
  • Komercijalni podaci (cijene, količine)
  • Osjetljivi podaci o vašem gospodarstvu

Nepromjenjivost

Sažeci zabilježeni na blockchainu po svojoj su prirodi nepromjenjivi i ne mogu se izbrisati. Međutim, ti sažeci ne omogućuju rekonstrukciju vaših osobnih podataka. Brisanje vaših podataka iz naših sustava čini te sažetke neupotrebljivima.

Pravo na brisanje i blockchain

Ako ostvarite svoje pravo na brisanje, brišemo sve vaše osobne podatke iz naših baza podataka. Sažeci blockchaina ostaju, ali se više ne mogu povezati s vašim identitetom i ne omogućuju rekonstrukciju vaših podataka.

Izmjene ove politike

Pridržavamo pravo izmijeniti ovu politiku privatnosti u bilo kojem trenutku kako bismo odrazili promjene u našim praksama ili regulatornim zahtjevima.

Kako ćete biti obaviješteni

  • Obavijest e-poštom za bitne izmjene (korisnici s računom)
  • Informativni natpis vidljiv na stranici tijekom 30 dana
  • Ažuriranje datuma „posljednje ažuriranje" na vrhu dokumenta

Nastavak korištenja naših usluga nakon objave izmjena predstavlja prihvaćanje nove politike.

Povijest verzija dostupna je na zahtjev kod našeg DPO-a.

Kontaktirajte nas

Za sva pitanja u vezi s ovom politikom privatnosti ili obradom vaših osobnih podataka:

Službenik za zaštitu podataka (DPO)

[email protected]

Pitanja o GDPR-u, ostvarivanje prava, pritužbe

Tehnička podrška

[email protected]

Problemi s računom, pristup podacima putem aplikacije

Opći kontakt

[email protected]

Opći upiti

Poštanska adresa

VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France

Preporučena pošta za formalne zahtjeve

Obvezujemo se odgovoriti na svaki zahtjev u roku od 5 radnih dana za početnu potvrdu te u zakonskom roku od jednog mjeseca za potpuni odgovor.