Dobrodošli u Lumiére Mystical Webshop!

Politika privatnosti

1. Voditelj obrade i kontakt

Voditelj obrade osobnih podataka prikupljenih putem web trgovine lumieremystical.com je:

  • Lumière Mystical, obrt za digitalni marketing
  • vl. Andrea Solar
  • Ulica Augusta Šenoe 13, 42000 Varaždin, Republika Hrvatska
  • OIB: 70378651576
  • E-pošta: [email protected]

Voditelj obrade nije obvezan imenovati službenika za zaštitu podataka (DPO) sukladno čl. 37. Opće uredbe o zaštiti podataka („GDPR“) jer ne ispunjava niti jedan od propisanih kriterija. Za sva pitanja vezana uz obradu Vaših osobnih podataka i ostvarivanje prava sukladno GDPR-u obratite se izravno vlasnici obrta na gornju adresu e-pošte.

2. Općenito o ovoj politici

Ova Politika privatnosti opisuje koje osobne podatke prikupljamo o Vama kada koristite našu web trgovinu, u koje svrhe i na kojoj pravnoj osnovi, kome ih prosljeđujemo, koliko ih dugo čuvamo te koja prava imate u odnosu na te podatke. Politika se primjenjuje na sve posjetitelje i korisnike web trgovine.

Obradu osobnih podataka provodimo sukladno Općoj uredbi o zaštiti podataka (GDPR), Zakonu o provedbi Opće uredbe o zaštiti podataka i ostalim važećim propisima Republike Hrvatske. Za općenite uvjete kupnje pogledajte naše Opće uvjete poslovanja.

3. Koje podatke prikupljamo i zašto

3.1 Korisnički račun

Prilikom registracije korisničkog računa prikupljamo: ime, prezime, adresu e-pošte, broj telefona te zaporku koja se pohranjuje u kriptiranom obliku. Datum rođenja koristimo isključivo za potvrdu punoljetnosti i ne pohranjujemo ga uz Vaš korisnički račun. Svrha: pružanje usluge korisničkog računa, povijest narudžbi, ubrzano naručivanje. Pravna osnova: izvršavanje ugovora (čl. 6. st. 1. toč. b GDPR-a).

3.2 Narudžbe i isporuka

Pri svakoj narudžbi prikupljamo: ime i prezime, e-poštu, telefon te adresu za dostavu i adresu za izdavanje računa. Svrha: izvršenje ugovora o kupoprodaji, isporuka proizvoda, komunikacija o statusu narudžbe te ispunjavanje računovodstvenih i poreznih obveza. Pravna osnova: izvršavanje ugovora (čl. 6. st. 1. toč. b GDPR-a) te zakonska obveza (čl. 6. st. 1. toč. c GDPR-a) za pohranu računovodstvenih zapisa sukladno Zakonu o računovodstvu.

3.3 Plaćanje

Za potrebe plaćanja prikupljamo: način plaćanja, kratak sažetak podataka kartice (zadnje 4 znamenke, izdavatelj, vrsta) te jedinstveni identifikator transakcije iz sustava Stripe. Cjeloviti podaci kartice ne dolaze do naših servera — unose se izravno u sigurni Stripe sustav. Pravna osnova: izvršavanje ugovora (čl. 6. st. 1. toč. b GDPR-a).

3.4 Newsletter i marketing

Ako se pretplatite na naš newsletter, prikupljamo adresu e-pošte zajedno s IP adresom, identifikatorom preglednika (user-agent) i izvorom prijave (npr. footer, blagajna) — isključivo radi dokaza o valjano danoj privoli. Pravna osnova: privola (čl. 6. st. 1. toč. a GDPR-a). Privolu možete povući u svakom trenutku klikom na poveznicu za odjavu u svakoj poruci ili e-poštom na našu adresu.

3.5 Recenzije

Recenziju može poslati isključivo kupac koji je primio narudžbu, putem jedinstvene poveznice koju mu nakon dostave šaljemo e-poštom. Time potvrđujemo da svaka prikazana recenzija dolazi od stvarnog kupca, sukladno EU Direktivi Omnibus i ZZP-u.

Pri slanju recenzije prikupljamo ocjenu, komentar i fotografije koje ste opcionalno priložili. Recenzija se javno prikazuje uz proizvod zajedno s Vašim imenom (bez prezimena) te datumom objave. Prezime i kontakt podaci ostaju isključivo u našoj internoj evidenciji povezanoj s Vašom narudžbom.

Pravna osnova: privola (čl. 6. st. 1. toč. a GDPR-a) pri slanju te legitimni interes (čl. 6. st. 1. toč. f GDPR-a) za prikazivanje recenzija drugim korisnicima.

3.6 Personalizirane poruke u proizvodima

Pri narudžbi proizvoda s personaliziranom porukom (npr. ugravirani tekst, skrivena poruka) tekst koji unesete pohranjuje se uz Vašu narudžbu. Taj tekst može sadržavati osobne podatke trećih osoba (npr. ime primatelja poklona). Pravna osnova: izvršavanje ugovora (čl. 6. st. 1. toč. b GDPR-a). Odgovornost za pravo na korištenje osobnih podataka trećih osoba u poruci snosite Vi.

3.7 Atribucija i marketing mjerenja

Pri dolasku na web trgovinu privremeno bilježimo parametre kampanje (UTM), izvor preusmjeravanja (referrer) i ulaznu stranicu. Ako izvršite narudžbu, ti se podaci pridružuju Vašoj narudžbi radi mjerenja učinkovitosti marketinških kanala. Pravna osnova: legitimni interes (čl. 6. st. 1. toč. f GDPR-a).

3.8 Tehnički podaci

U pozadini bilježimo IP adresu, tip i verziju preglednika te zapise o zahtjevima prema serveru. Svrha: sigurnost (zaštita od zlouporabe i napada), stabilnost usluge i otkrivanje grešaka. Pravna osnova: legitimni interes (čl. 6. st. 1. toč. f GDPR-a).

3.9 Kolačići

Vidi članak 9. ove Politike za detaljan opis kolačića i kako ih možete upravljati.

4. Sažetak pravnih osnova

Vaše osobne podatke obrađujemo na sljedećim pravnim osnovama:

  • Izvršavanje ugovora (čl. 6. st. 1. toč. b) — račun, narudžbe, plaćanje, isporuka, personalizirani proizvodi
  • Zakonska obveza (čl. 6. st. 1. toč. c) — pohrana računa i računovodstvenih zapisa
  • Privola (čl. 6. st. 1. toč. a) — newsletter, slanje recenzije, neobvezni („analytics“) kolačići
  • Legitimni interes (čl. 6. st. 1. toč. f) — sigurnost, marketing atribucija, prikaz recenzija

5. Primatelji podataka (izvršitelji obrade)

Za pružanje usluge surađujemo s pažljivo odabranim izvršiteljima obrade. S njima imamo sklopljene ugovore o obradi sukladno čl. 28. GDPR-a. Svi navedeni izvršitelji obrađuju podatke unutar EU/EGP područja.

  • Stripe Payments Europe Ltd. (Irska) — obrada kartičnih plaćanja. Politika privatnosti
  • Sendinblue (Brevo) SAS (Francuska) — slanje newslettera pretplatnicima. Politika privatnosti
  • Amazon Web Services EMEA SARL (Luksemburg; podaci pohranjeni u Frankfurtu, eu-central-1) — koristimo sljedeće AWS usluge: S3 (pohrana datoteka — računi, slike proizvoda, generirani PDF dokumenti), SES (slanje transakcijske e-pošte — potvrde narudžbe, statusi pošiljki, obavijesti vezane uz račun) te CloudFront (CDN mreža s EU edge lokacijama za brzu isporuku slika i potpisanih dokumenata). Politika privatnosti
  • General Logistics Systems Croatia d.o.o. (GLS) (Hrvatska) — dostava paketa. Prosljeđujemo ime, prezime, adresu, telefon i e-poštu. Uvjeti korištenja
  • BOX NOW d.o.o. (Hrvatska) — dostava u paketomate. Prosljeđujemo ime, prezime, broj telefona, e-poštu i odabrani paketomat. Uvjeti korištenja
  • Functional Software Inc. d/b/a Sentry (server u Frankfurtu, EU) — prijava grešaka i tehničkih incidenata. Prije slanja iz naših podataka uklanjamo osjetljiva polja (zaporke, tokene, brojeve kartica). Politika privatnosti
  • Cloudflare, Inc. (SAD; Cloudflare ima i EU pravni entitet i koristi globalnu infrastrukturu s EU edge lokacijama) — zaštita javnih obrazaca od zlouporabe i automatiziranih zahtjeva (bot-protection) putem usluge Cloudflare Turnstile u nevidljivom načinu rada. Turnstile prikuplja ograničene tehničke signale (IP adresa, podaci o pregledniku, interakcijski obrasci) isključivo u svrhu procjene rizika i ne koristi kolačiće za praćenje. Detalje obrade pogledajte u Cloudflare Turnstile Privacy Addendum i u općoj Cloudflare politici privatnosti.
  • Umami analitika (samostalna instalacija na infrastrukturi M5 Network, EU) — anonimna analitika posjeta. Ne koristi kolačiće niti prikuplja osobne podatke.
  • Cloudflare Web Analytics (Cloudflare, Inc., SAD) — anonimna analitika učinkovitosti učitavanja stranice i osnovnih pokazatelja posjeta. Ne koristi kolačiće, ne prati korisnike između web stranica i ne pohranjuje IP adrese. Detalji: cloudflare.com/web-analytics.

6. Prijenos u treće zemlje

Većina obrade Vaših osobnih podataka odvija se unutar područja Europske unije ili Europskog gospodarskog prostora (EU/EGP). Izuzetak su usluge Cloudflare Turnstile (zaštita obrazaca od zlouporabe) i Cloudflare Web Analytics (anonimna analitika učinkovitosti stranice) — Cloudflare, Inc. ima sjedište u Sjedinjenim Američkim Državama, premda se signali obrađuju i kroz globalnu mrežu edge lokacija (uključujući EU). Prijenos podataka u SAD provodi se uz odgovarajuće zaštitne mehanizme propisane čl. 46. GDPR-a — standardne ugovorne klauzule (SCC) koje je Cloudflare potpisao kao izvršitelj obrade.

Za druge buduće prijenose izvan EU/EGP-a primjenjivat ćemo iste standardne ugovorne klauzule ili druge mehanizme propisane GDPR-om.

7. Razdoblja čuvanja

Podaci se čuvaju različite vremenske razmake ovisno o kategoriji:

  • Korisnički račun — do zahtjeva za brisanje računa.
  • Narudžbe i računi 11 godina sukladno Zakonu o računovodstvu.
  • Newsletter — do odjave (zatim 30 dana radi obrade zahtjeva za odjavu).
  • Recenzije — trajno, osim na zahtjev brisanja (uz iznimku da javno objavljen sadržaj može ostati prikazan u anonimiziranom obliku).
  • HUB3A barkodovi za uplate — 7 dana ili do zaprimanja uplate.
  • Košarice gosta — 60 dana od posljednje aktivnosti.
  • Pending registracije — do isteka tokena za potvrdu (najviše 14 dana).
  • Tehnički zapisi i Sentry izvještaji — do 90 dana.
  • Umami pageviews — sukladno konfiguraciji platforme, bez osobnih identifikatora.
  • Cloudflare Web Analytics — sukladno zadanim postavkama platforme (do 6 mjeseci), bez osobnih identifikatora i bez kolačića.

8. Vaša prava

Sukladno čl. 15.–22. GDPR-a, u odnosu na svoje osobne podatke imate sljedeća prava:

  • Pravo na pristup (čl. 15.) — dobiti potvrdu obrađujemo li Vaše podatke i kopiju tih podataka.
  • Pravo na ispravak (čl. 16.) — ispraviti netočne ili nepotpune podatke.
  • Pravo na brisanje („pravo na zaborav“) (čl. 17.) — zatražiti brisanje podataka kada ih više nije potrebno obrađivati. Napomena: podatke iz već izvršenih narudžbi dužni smo čuvati 11 godina sukladno Zakonu o računovodstvu i tu obvezu ne možemo zaobići brisanjem.
  • Pravo na ograničenje obrade (čl. 18.).
  • Pravo na prenosivost podataka (čl. 20.) — primiti podatke u strukturiranom strojno čitljivom obliku.
  • Pravo na prigovor (čl. 21.) — uložiti prigovor protiv obrade temeljene na legitimnom interesu.
  • Pravo povući privolu (čl. 7. st. 3.) — povući privolu u svakom trenutku (npr. odjava newslettera), bez utjecaja na zakonitost prethodne obrade.

Prava ostvarujete slanjem zahtjeva e-poštom na [email protected]. Na Vaš zahtjev odgovorit ćemo bez odgađanja, a najkasnije u roku od jednog mjeseca od zaprimanja zahtjeva, sukladno čl. 12. GDPR-a.

9. Kolačići i analitika

9.1 Vrste kolačića

Na web trgovini koristimo dvije kategorije kolačića:

  • Nužni kolačići — omogućuju osnovne funkcionalnosti (košarica, prijava, CSRF zaštita, sjednica). Bez njih web trgovina ne može funkcionirati, stoga se ne mogu isključiti.
  • Analitički kolačići (Sentry) — pomažu nam u otkrivanju i ispravljanju tehničkih grešaka. Učitavaju se isključivo uz Vašu privolu.

Vaš odabir spremamo u kolačić lmc_consent koji vrijedi 180 dana.

9.2 Sentry

Sentry je usluga praćenja grešaka koju koristimo za otkrivanje tehničkih problema. Učitava se samo ako prihvatite analitičku kategoriju kolačića. Pri slanju izvještaja, polja koja mogu sadržavati osjetljive podatke (zaporke, brojevi kartica, tokeni, adrese) automatski se uklanjaju prije nego što izvještaj napusti preglednik.

9.3 Umami

Umami je anonimna analitika koja mjeri broj posjeta i osnovne podatke o stranici bez upotrebe kolačića i bez prikupljanja osobnih podataka. Sukladno smjernicama nadzornih tijela (CNIL, ICO) takva analitika izuzeta je od obveze pribavljanja privole.

9.4 Cloudflare Web Analytics

Cloudflare Web Analytics je dodatna anonimna analitika koja prati učinkovitost učitavanja stranice (Web Vitals) i osnovne podatke o posjetima. Također ne koristi kolačiće, ne prati korisnike između web stranica i ne pohranjuje IP adrese. Pod istim smjernicama izuzeta je od obveze pribavljanja privole.

9.5 Upravljanje kolačićima

U svakom trenutku možete pregledati ili promijeniti svoj odabir putem poveznice „Postavke kolačića“ u podnožju stranice ili klikom ovdje:

Brisanjem kolačića lmc_consent u postavkama Vašeg preglednika resetirat ćete spremljeni odabir i ponovo Vam se prikazati banner za privolu.

10. Sigurnost obrade

Provodimo razumne tehničke i organizacijske mjere zaštite osobnih podataka, uključujući: kriptiranje prijenosa (HTTPS), kriptiranje zaporki, pristupne kontrole nad administracijskim sučeljem, automatsko uklanjanje osjetljivih polja prije slanja izvještaja o greškama te obradu kartičnih plaćanja kroz PCI-DSS sertificirani sustav Stripe-a, pri čemu osjetljivi podaci kartice nikada ne dolaze do naših servera.

11. Automatizirano donošenje odluka i profiliranje

Ne provodimo automatizirano donošenje odluka u smislu čl. 22. GDPR-a niti profiliranje koje proizvodi pravne učinke ili na Vas slično značajno utječe.

12. Maloljetnici

Naše usluge namijenjene su isključivo osobama starijim od 18 godina, sukladno našim Općim uvjetima poslovanja. Ne obrađujemo svjesno osobne podatke djece mlađe od 16 godina. Ako utvrdimo da su nam dostavljeni podaci djeteta bez odgovarajuće privole roditelja ili skrbnika, takve ćemo podatke izbrisati bez odgađanja.

13. Izmjene politike

Ovu Politiku privatnosti možemo s vremena na vrijeme izmijeniti kako bismo je uskladili s promjenama u našem poslovanju ili u propisima. Najnovija verzija uvijek je objavljena na ovoj stranici. O značajnim izmjenama obavijestit ćemo na vidljivom mjestu na ovoj stranici, a po potrebi i e-poštom registriranim korisnicima.

14. Pritužba nadzornom tijelu

Ako smatrate da je obrada Vaših osobnih podataka u suprotnosti s GDPR-om, imate pravo podnijeti pritužbu nadzornom tijelu:

Prije podnošenja pritužbe AZOP-u, slobodno nas kontaktirajte na [email protected] — nastojimo svaki upit riješiti brzo i potpuno.

Verzija 1.0 — vrijedi od 27.05.2026.

Košarica

Vaša košarica je prazna.