POLITIKA PRIVATNOSTI
Zadnja izmjena: lipanj 2026.
CUPRES AI
brand tvrtke BLUE SAND d.o.o.
Rovinjska 4, 21000 Split, Republika Hrvatska | OIB: 09275447629
info@cupres-ai.com
Zaštita osobnih podataka sukladno Uredbi (EU) 2016/679 (GDPR)
Članak 1: Uvod i identitet voditelja obrade
Tvrtka BLUE SAND d.o.o., koja na tržištu posluje pod brendom CUPRES AI, sa sjedištem u Rovinjska 4, 21000 Split, Republika Hrvatska, OIB: 09275447629 (dalje: „Voditelj obrade“), u cijelosti poštuje pravo fizičkih osoba na zaštitu osobnih podataka.
Ova Politika privatnosti izrađena je u skladu s:
• Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (GDPR),
• Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18, 144/21),
• Zakonom o elektroničkim komunikacijama (NN 76/22) u dijelu koji se odnosi na kolačiće.
Kontakt za zaštitu podataka: info@cupres-ai.com
Članak 2: Kategorije osobnih podataka koje obrađujemo
2.1. Podaci prikupljeni od posjetitelja web stranice i potencijalnih klijenata
Putem kontaktnih obrazaca na web stranici cupresai.com prikupljamo isključivo:
• ime i prezime kontakt osobe,
• poslovnu e-mail adresu,
• naziv i osnovne podatke o tvrtki,
• poslovne ciljeve i opis projekta koji je kontakt osoba sama navela.
2.2. Podaci koji se obrađuju u okviru pružanja usluge klijentima (B2B obrada)
U okviru implementacije i rada AI agenata za Klijente, Voditelj obrade može, ovisno o specifičnoj konfiguraciji rješenja, u ime Klijenta obrađivati osobne podatke krajnjih korisnika Klijenta. U takvim slučajevima BLUE SAND d.o.o. nastupa kao Izvršitelj obrade (data processor) u smislu čl. 28. GDPR-a, a Klijent ostaje Voditelj obrade odgovoran za zakonitost obrade prema krajnjim korisnicima.
Takva obrada regulira se posebnim Ugovorom o obradi podataka (Data Processing Agreement – DPA) koji je sastavni dio posebnog ugovora o pružanju usluge.
Članak 3: Svrha i pravna osnova obrade
Osobni podaci prikupljeni putem kontaktnih obrazaca obrađuju se isključivo u sljedeće svrhe i na sljedećim pravnim osnovama:
• Odgovor na upit i sklapanje ugovora (čl. 6. st. 1. t. b GDPR-a): obrada je nužna za poduzimanje radnji na zahtjev ispitanika prije sklapanja ugovora.
• Legitimni interes (čl. 6. st. 1. t. f GDPR-a): slanje relevantnih poslovnih informacija potencijalnim klijentima koji su iskazali interes za usluge.
• Ispunjavanje zakonskih obveza (čl. 6. st. 1. t. c GDPR-a): čuvanje podataka o poslovnim transakcijama sukladno poreznim i računovodstvenim propisima RH.
Članak 4: Primatelji i dijeljenje podataka
Osobni podaci neće se prodavati, iznajmljivati niti ustupati trećim stranama u komercijalne svrhe.
U ograničenoj mjeri, podatke mogu primiti sljedeće kategorije primatelja:
• Platforme trećih strana za pružanje usluge: n8n GmbH (Njemačka), Voiceflow Inc. (Kanada/SAD), OpenAI LLC (SAD), Google LLC (SAD) i drugi tehnološki partneri koji su angažirani kao podizvršitelji obrade podataka i s kojima su sklopljene odgovarajuće Data Processing Agreements (DPA). Potpuni popis aktivnih podizvršitelja dostupan je na zahtjev.
• Nadležna tijela: isključivo temeljem zakonske obveze (sudovi, porezna uprava, regulatori).
Članak 5: Prijenos osobnih podataka izvan EGP-a
Neke od platformi trećih strana koje koristimo (primjerice OpenAI, Anthropic, Voiceflow) imaju sjedište izvan Europskog gospodarskog prostora (EGP), pretežno u Sjedinjenim Američkim Državama.
Prijenos osobnih podataka u SAD i druge treće zemlje provodi se isključivo uz primjenu primjerenih zaštitnih mjera:
• Standardne ugovorne klauzule (SCC) usvojene od strane Europske komisije (Provedbena odluka EU 2021/914),
• EU-SAD Data Privacy Framework – odluka Europske komisije o primjerenosti razine zaštite donesena 2023. godine,
• Dodatne tehničke mjere zaštite (enkripcija, pseudonimizacija) gdje je to primjereno.
Poslovni podaci Klijenta obrađuju se u izoliranim okruženjima i nikada se ne koriste za treniranje javnih AI modela niti za bilo koju svrhu izvan izvršavanja dogovorenih automatizacija.
Članak 6: Rok pohrane osobnih podataka
• Podaci iz kontaktnih obrazaca potencijalnih klijenata: do 2 (dvije) godine od posljednjeg kontakta, odnosno do odjave od marketinških komunikacija.
• Podaci vezani uz sklopljene ugovore: 11 (jedanaest) godina od isteka poslovne godine u kojoj je ugovorni odnos okončan, sukladno Zakonu o računovodstvu (NN 78/15 i izmjene).
• Podaci obrađeni u okviru pružanja usluge Klijentu: sukladno uputama Klijenta kao Voditelja obrade, kako je definirano posebnim DPA-om, a najduže 90 (devedeset) dana od prestanka ugovornog odnosa, nakon čega se sigurno brišu.
Članak 7: Prava ispitanika
Svaka fizička osoba čiji su osobni podaci u obradi kod Voditelja obrade ima pravo:
• Pravo na pristup (čl. 15. GDPR-a): zahtijevati potvrdu obrađuju li se podaci i dobiti kopiju podataka.
• Pravo na ispravak (čl. 16. GDPR-a): zahtijevati ispravak netočnih ili dopunu nepotpunih osobnih podataka.
• Pravo na brisanje (čl. 17. GDPR-a – "pravo na zaborav"): zahtijevati brisanje osobnih podataka kada za obradu više ne postoji pravna osnova.
• Pravo na ograničenje obrade (čl. 18. GDPR-a): zahtijevati privremeno ograničenje obrade u propisanim slučajevima.
• Pravo na prenosivost podataka (čl. 20. GDPR-a): dobiti osobne podatke u strojno čitljivom formatu i prenijeti ih drugom voditelju obrade.
• Pravo na prigovor (čl. 21. GDPR-a): u bilo kojem trenutku prigovoriti obradi podataka koja se temelji na legitimnom interesu.
Sva navedena prava mogu se ostvariti slanjem zahtjeva na e-mail adresu: info@cupres-ai.com. Voditelj obrade odgovorit će na zahtjev u roku od 30 (trideset) dana od primitka, sukladno čl. 12. GDPR-a.
Ispitanik ima pravo podnijeti pritužbu nadzornom tijelu – u Republici Hrvatskoj to je Agencija za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, www.azop.hr.
Članak 8: Sigurnost osobnih podataka
Voditelj obrade primjenjuje odgovarajuće tehničke i organizacijske mjere zaštite sukladno čl. 32. GDPR-a, uključujući:
• enkripciju podataka u prijenosu (TLS/HTTPS protokol) i pohrani,
• kontrolu pristupa i upravljanje korisničkim ovlastima (princip najmanje privilegije),
• pseudonimizaciju i minimizaciju podataka gdje je to primjereno,
• redovite sigurnosne procjene i praćenje sigurnosnih incidenata,
• edukaciju zaposlenika o zaštiti osobnih podataka.
U slučaju povrede osobnih podataka koja može rezultirati rizikom za prava i slobode fizičkih osoba, Voditelj obrade obavijestit će AZOP u roku od 72 sata od saznanja za povredu, sukladno čl. 33. GDPR-a.
Članak 9: Kolačići (Cookies)
Web stranica cupresai.com koristi isključivo funkcionalne kolačiće koji su nužni za ispravno djelovanje stranice i AI chat sučelja (Voiceflow). Ne koristimo marketinške, oglašivačke ni kolačiće za praćenje korisnika na trećim stranicama.
• Strogo nužni kolačići: omogućavaju osnovno funkcioniranje web stranice i AI chat sučelja. Ne mogu se isključiti. Ne prikupljaju osobne podatke.
• Sesijski kolačići Voiceflow-a: privremeni kolačići koji čuvaju kontekst razgovora unutar jedne sesije. Brišu se po zatvaranju preglednika i ne prate aktivnost korisnika na drugim stranicama.
Članak 10: Automatizirano donošenje odluka i profiliranje
Voditelj obrade ne provodi automatizirano donošenje odluka koje bi imalo pravni ili značajan utjecaj na ispitanike (profiliranje u smislu čl. 22. GDPR-a) bez prethodne privole ili posebnog pravnog temelja.
AI agenti implementirani za Klijente mogu vršiti automatiziranu obradu podataka krajnjih korisnika radi pružanja bržeg odgovora – no konačne poslovne odluke i dalje ostaju u nadležnosti Klijenta i njegovih zaposlenika.
Članak 11: Izmjene Politike privatnosti
Voditelj obrade zadržava pravo izmjene ove Politike privatnosti radi usklađivanja s promjenama zakonodavstva, poslovnih procesa ili tehničkih rješenja. Sve izmjene bit će objavljene na web stranici s naznakom datuma stupanja na snagu.
Ova Politika privatnosti posljednji put je ažurirana i stupa na snagu 1. travnja 2026.
Članak 12: Kontakt
BLUE SAND d.o.o. (CUPRES AI)
Rovinjska 4, 21000 Split, Republika Hrvatska
OIB: 09275447629
E-mail: info@cupres-ai.com