Verzija 1.0
Datum stupanja na snagu: 01. prosinca 2025.
1. Svrha i namjena dokumenta
Ovaj dokument pruža tehničke i informativne informacije o načinu obrade osobnih podataka u okviru korištenja AI chat asistenta Niro, kojeg pruža društvo Upheave technologies d.o.o.
Dokument je namijenjen:
• Voditeljima obrade podataka koji koriste uslugu Niro
• Krajnjim korisnicima koji koriste chat sučelje na web stranicama Voditelja obrade
Ovaj dokument ne predstavlja politiku privatnosti vlasnika web stranice i ne zamjenjuje politiku privatnosti Voditelja obrade. Njegova svrha je transparentno objasniti tehnički tijek obrade podataka koju provodi Izvršitelj obrade.
2. Uloge u obradi podataka
2.1. Voditelj obrade (Controller)
Voditelj obrade je vlasnik web stranice ili digitalne platforme na kojoj se koristi AI chat asistent Niro. Voditelj obrade određuje svrhu, opseg i pravnu osnovu obrade osobnih podataka krajnjih korisnika.
2.2. Izvršitelj obrade (Processor)
Izvršitelj obrade je Upheave technologies d.o.o., sa sjedištem u Republici Hrvatskoj, koji pruža SaaS platformu Niro i obrađuje osobne podatke isključivo prema dokumentiranim uputama Voditelja obrade, u skladu s važećim Uvjetima korištenja i Dodatkom o obradi podataka (DPA).
Upheave technologies d.o.o. ne koristi osobne podatke krajnjih korisnika u vlastite svrhe.
3. Vrste osobnih podataka koje se obrađuju
Prilikom korištenja AI chat asistenta mogu se obrađivati sljedeće kategorije podataka:
3.1. Komunikacijski podaci
• Tekstualni unosi koje krajnji korisnik samoinicijativno upisuje u chat sučelje
• Odgovori generirani putem AI sustava kao rezultat interakcije
3.2. Tehnički podaci (metapodaci)
• Vrsta i verzija preglednika
• Vrijeme pristupa i trajanje sesije
• Tehnički identifikatori nužni za sigurnost, stabilnost i sprječavanje zlouporabe
Važna napomena
Usluga Niro nije namijenjena za obradu posebnih kategorija osobnih podataka, uključujući zdravstvene podatke, financijske podatke, autentifikacijske podatke ili druge osjetljive informacije. Krajnjim korisnicima se preporučuje da takve podatke ne unose u chat.
4. Svrha i pravna osnova obrade
Obrada osobnih podataka u okviru AI chat asistenta provodi se u sljedeće svrhe:
• pružanje informacija i automatizirane korisničke podrške
• generiranje odgovora putem umjetne inteligencije
• osiguravanje tehničke funkcionalnosti i sigurnosti sustava
Pravnu osnovu obrade određuje Voditelj obrade, najčešće temeljem:
• legitimnog interesa Voditelja obrade ili
• ugovornog odnosa s krajnjim korisnikom
Izvršitelj obrade provodi obradu temeljem ugovornog odnosa s Voditeljem obrade.
5. Infrastruktura i lokacija obrade podataka (Data Residency)
5.1. Pohrana podataka
Sadržaj razgovora i povezani aplikacijski podaci pohranjuju se primarno unutar Europske unije, putem infrastrukturnih partnera u regiji Frankfurt, Njemačka (EU).
5.2. AI procesiranje i prijenos podataka
Radi generiranja odgovora putem umjetne inteligencije, tekstualni unosi krajnjih korisnika (promptovi) prosljeđuju se vanjskom pružatelju AI usluge Google Gemini API, kojeg pruža Google LLC.
Obrada promptova može se odvijati na infrastrukturnim lokacijama izvan Europske unije, uključujući Sjedinjene Američke Države.
Prema važećim ugovornim uvjetima Googlea za plaćenu Gemini API uslugu:
• podaci se ne koriste za treniranje javno dostupnih AI modela
• zadržavanje podataka, ako postoji, ograničeno je na razdoblje nužno za pružanje usluge, sigurnost i sprječavanje zlouporabe
Prijenos podataka izvan Europske unije provodi se uz primjenu odgovarajućih zaštitnih mjera u skladu s GDPR-om, uključujući Standardne ugovorne klauzule ili druge važeće mehanizme.
6. Podizvršitelji obrade
U okviru pružanja usluge Niro, Izvršitelj obrade može angažirati sljedeće podizvršitelje obrade:
• Neon Inc. – infrastruktura baze podataka
• Google LLC – AI procesiranje putem Gemini API usluge
• Vercel Inc. – hosting i isporuka aplikacije
Angažman podizvršitelja provodi se u skladu s važećim DPA-om i uz primjenu odgovarajućih ugovornih i sigurnosnih mjera.
7. Sigurnosne mjere
Upheave technologies d.o.o. primjenjuje tehničke i organizacijske mjere zaštite u skladu s industrijskim standardima, uključujući:
• enkripciju podataka u prijenosu putem TLS 1.2 ili TLS 1.3
• enkripciju podataka u mirovanju korištenjem AES-256 standarda
• ograničen pristup produkcijskoj infrastrukturi isključivo ovlaštenim osobama
• obaveznu višefaktorsku autentifikaciju za administrativni pristup
• logičku izolaciju podataka između različitih klijenata
8. Zadržavanje i brisanje podataka
Osobni podaci obrađuju se:
• za vrijeme trajanja aktivne usluge ili
• do zaprimanja zahtjeva Voditelja obrade za brisanje
Po prestanku ugovornog odnosa, podaci se brišu ili vraćaju Voditelju obrade u skladu s važećim DPA-om, osim ako zakon nalaže njihovu daljnju pohranu.
9. Prava ispitanika
Krajnji korisnici ostvaruju svoja prava prema GDPR-u putem Voditelja obrade, odnosno vlasnika web stranice na kojoj koriste AI chat.
Izvršitelj obrade pruža tehničku podršku Voditelju obrade u:
• brisanju osobnih podataka
• izvozu podataka u strojno čitljivom formatu
• ograničavanju obrade gdje je primjenjivo
10. Kontakt za privatnost i sigurnost
Za tehnička pitanja vezana uz zaštitu podataka, sigurnost ili prijavu sigurnosnih i privatnosnih incidenata:
Upheave technologies d.o.o.
E-mail: support@upheave.tech
Završna napomena
Ovaj dokument redovito se ažurira radi usklađivanja s tehničkim razvojem usluge i regulatornim zahtjevima. Sve prethodne verzije dostupne su u arhivi.