Šihtarica.ba
Nazad na početnu
Privatnost & zaštita podataka

Politika privatnosti

Posljednja izmjena: 13. maj 2026.·Stupa na snagu: 13. maj 2026.

Vaša privatnost nam je važna. Ovaj dokument detaljno opisuje koje lične podatke prikupljamo, zašto, kako ih čuvamo i koja su Vaša prava.

Politika je usklađena sa Zakonom o zaštiti ličnih podataka u BiH („Sl. glasnik BiH" 49/06, 76/11, 89/11) i principima GDPR-a (EU 2016/679).

1.Operater podataka

Operater obrade ličnih podataka (Data Controller) je vlasnik platforme Šihtarica.ba:

Naziv: Šihtarica.ba
Adresa: Sarajevo, Bosna i Hercegovina
DPO (Privacy Officer): kontakt@sihtarica.ba

Napomena o ulogama: Operater je Data Processor za podatke o radnicima koje firma-pretplatnik (Data Controller) unosi u sistem. Firma-pretplatnik je primarno odgovoran za zakonitost prikupljanja podataka svojih zaposlenika.

2.Koje podatke prikupljamo

2.1 Podaci o Pretplatniku (firmi)

  • Naziv firme, JIB, PDV broj
  • Adresa, grad, telefon, email
  • Pravni režim (FBiH/RS/Brčko)
  • Izabrana subdomena

2.2 Podaci o Korisnicima (administratori, HR, šefovi, radnici)

  • Email adresa (za prijavu)
  • Ime, prezime
  • Korisnička rola (ADMIN, HR, DIREKTOR, ŠEF, KNJIGOVODSTVO, RADNIK)
  • Šifrirani hash lozinke (bcrypt — originalna lozinka nije čuvana)
  • Datum zadnje prijave

2.3 Podaci o radnicima (lični podaci u kartonu)

Pretplatnik unosi sljedeće podatke o svojim zaposlenicima:

  • Ime, prezime, JMBG (ako se unese)
  • Datum rođenja, adresa, telefon, email
  • Podaci o radnom mjestu, ugovoru, stažu
  • Evidencija dolazaka i odlazaka (šihtarica)
  • Bolovanja, godišnji odmori, druga odsustva
  • Dokumenti u kartonu (ugovori, certifikati — ako se priloži)

2.4 Tehnički podaci (automatski)

  • IP adresa (za audit log važnih izmjena)
  • Cookie identifikatori sesije (vidi sekciju 6)
  • Server logovi (URL, vrijeme, status) — retencija 30 dana
  • User-Agent (browser/OS)

2.5 Podaci o plaćanju

  • Broj fakture, iznos, valuta, datum
  • Referenca virmana / uplate
  • Ne čuvamo podatke o platnoj kartici (kada se uvede, ide preko PCI-DSS kompatibilnog procesora)

3.Svrha obrade

  • Pružanje Servisa: HR evidencija, izvještavanje, autentifikacija
  • Naplata pretplate: izdavanje računa, praćenje uplata
  • Sigurnost: audit log promjena, detekcija zloupotrebe
  • Komunikacija: obavještenja o sistemu (održavanje, promjene), odgovori na upite
  • Zakonska usklađenost: izvještaji za inspekciju rada, poreske obaveze
  • Poboljšanje servisa: agregirani, anonimni podaci o korištenju (bez identifikacije pojedinaca)

4.Pravna osnova obrade

Obrađujemo podatke isključivo kada postoji jedna od sljedećih pravnih osnova:

Ugovor
čl. 6(1)(b) GDPR · čl. 5 ZZLP

Pružanje Servisa Pretplatniku po ugovoru o korištenju (Uslovi).

Saglasnost
čl. 6(1)(a) GDPR

Pretplatnik je pri registraciji izričito prihvatio Uslove i ovu Politiku.

Zakonska obaveza
čl. 6(1)(c) GDPR

Čuvanje računa, evidencija o platama — poreska i radno-pravna regulativa BiH.

Legitimni interes
čl. 6(1)(f) GDPR

Sigurnost (audit log, sprječavanje zloupotrebe), reklamacije.

5.Dijeljenje podataka i subprocessori

Šihtarica.ba ne prodaje Vaše podatke trećim stranama.

5.1 Subprocessori (treća lica koja nam pomažu da pružimo Servis)

ProviderSvrhaLokacijaPrivacy
Hetzner Online GmbHHosting (server)Njemačka (EU)Hetzner DPA →
Let's EncryptSSL certifikati (HTTPS)SADPrivacy →

5.2 Otkrivanje podataka

Operater može otkriti podatke trećim stranama samo u sljedećim slučajevima:

  • Po pravosnažnom sudskom nalogu ili nalogu nadležnog organa BiH
  • Uz izričitu saglasnost Pretplatnika
  • U slučaju spora sa Operaterom (samo neophodno za vođenje postupka)
  • Pri eventualnoj prodaji ili pripajanju kompanije — uz prethodno obavještavanje Pretplatnika i pravo otkazivanja

6.Cookies (kolačići)

Koristimo samo neophodne kolačiće za rad Servisa. Bez analytics, bez third-party tracking-a.

CookieSvrhaTrajanjeFlags
sihtarica_sessionAutentifikacija prijavljenog korisnika14 danaHttpOnly Secure
sihtarica_tenantPamćenje izabrane firme (subdomene)365 danaHttpOnly

7.Sigurnosne mjere

Primjenjujemo industrijski standard za zaštitu podataka:

  • HTTPS (TLS 1.3) na svim subdomenama (wildcard Let's Encrypt cert)
  • Lozinke šifrirane bcrypt (cost factor 10) — originalna lozinka se ne čuva
  • HTTP sesije sa HttpOnly, SameSite=Lax, Secure flagovima
  • Strogo razdvajanje podataka po tenantu (multi-tenant izolacija na nivou aplikacije i baze)
  • Audit log za sve važne izmjene (ko, kada, šta, zašto)
  • CSRF zaštita na Server Actions (verifikacija Origin headera)
  • Security headers: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy
  • Redovni backup-i (dnevno, retencija 30 dana)
  • Geografska lokacija servera: EU (Njemačka)
  • Pristup serverima ograničen na ovlaštene osobe (SSH ključevi, ne lozinke)

8.Retencija (koliko dugo čuvamo)

Tip podatakaTrajanje čuvanjaOsnov
Podaci aktivnog PretplatnikaDok je pretplata aktivnaUgovor
Otkazani Pretplatnik (svi podaci)90 dana, zatim brisanjePravo na zaborav
Backup-i30 danaOperativna potreba
Audit log5 godinaZakonska obaveza
Računi / fakture10 godinaZakon o računovodstvu
Server logovi30 danaSigurnost

9.Vaša prava

U skladu sa Zakonom o zaštiti ličnih podataka BiH i GDPR principima, imate sljedeća prava:

Pravo na uvid
čl. 15 GDPR · čl. 23 ZZLP

Možete zatražiti kopiju svih podataka koje čuvamo o Vama.

Pravo na ispravku
čl. 16 GDPR · čl. 24 ZZLP

Ako su podaci netačni ili nepotpuni, možete tražiti ispravku.

Pravo na brisanje
čl. 17 GDPR — „Pravo na zaborav

Možete tražiti potpuno brisanje svojih podataka (nakon otkazivanja pretplate).

Pravo na prenosivost
čl. 20 GDPR

Možete preuzeti svoje podatke u strukturisanom formatu (Excel/CSV/PDF).

Pravo na prigovor
čl. 21 GDPR

Možete uložiti prigovor na obradu zasnovanu na legitimnom interesu.

Pravo na pritužbu
čl. 77 GDPR

Pritužbu možete uputiti Agenciji za zaštitu ličnih podataka BiH.

Kako ostvariti svoja prava?

Pošaljite email na kontakt@sihtarica.ba sa opisom Vašeg zahtjeva. Odgovorit ćemo u roku od 30 dana (po pravilu mnogo brže). Identifikacija Pretplatnika se vrši preko registrovanog email-a.

10.Prenos podataka van BiH

  • Naši serveri se nalaze u Njemačkoj (EU) kod hosting providera Hetzner Online GmbH
  • Prenos podataka iz BiH u EU smatra se prenosom u zemlje sa adekvatnim nivoom zaštite u skladu sa članom 17. ZZLP BiH
  • Ne vršimo prenos podataka van EU bez prethodne izričite saglasnosti Pretplatnika
  • Backup serveri (kada se uvedu) bit će u istom regionu (EU)

11.Maloljetnici

Servis je namijenjen pravnim licima i njihovim ovlaštenim predstavnicima (punoljetne osobe). Pretplatnik može u kartonu radnika evidentirati maloljetne zaposlenike u skladu sa Zakonom o radu (osobe od 15+ godina), ali je Pretplatnik isključivo odgovoran za:

  • Posjedovanje saglasnosti roditelja/staratelja za obradu podataka o maloljetnom zaposleniku
  • Poštivanje posebne zaštite maloljetnih radnika prema Zakonu o radu BiH

12.Pravo na zaborav (brisanje podataka)

Pretplatnik može u bilo kojem trenutku zatražiti potpuno brisanje svojih podataka:

  1. Otkaže pretplatu iz admin panela ili pošalje pisani zahtjev
  2. Operater u roku od 90 dana briše sve podatke iz aktivne baze
  3. U narednih 30 dana brišu se i podaci iz backup-a
  4. Audit log (5 god.) i računi (10 god.) se čuvaju po zakonskoj obavezi — sa anonimizovanim ličnim podacima gdje je moguće

Napomena: Nakon brisanja podaci se NE mogu vratiti. Ako planirate povratak, preporučujemo da izvezete sve izvještaje (Excel/PDF) prije brisanja.

13.Promjene Politike privatnosti

  • Operater zadržava pravo izmjene Politike privatnosti
  • O značajnim izmjenama (npr. novi subprocessor, novi tip podataka) obavještavamo Pretplatnika 30 dana unaprijed email-om i na ovoj stranici
  • Aktuelna verzija je uvijek dostupna na sihtarica.ba/privatnost
  • Nastavak korištenja Servisa nakon stupanja izmjena na snagu predstavlja prihvatanje izmjena

14.Kontakt i prijava povrede

Privacy / DPO
Šihtarica.ba
kontakt@sihtarica.ba
Sarajevo, BiH
Nadzorni organ
Agencija za zaštitu ličnih podataka u BiH
www.azlp.ba
Sarajevo, BiH

Prijava povrede ličnih podataka

Ako sumnjate na povredu sigurnosti Vaših podataka (neovlaštan pristup, curenje informacija), molimo Vas da nas odmah kontaktirate na kontakt@sihtarica.ba. U skladu sa GDPR čl. 33, ozbiljne povrede prijavljujemo nadzornom organu u roku od 72 sata.

Vaši podaci, Vaša kontrola.

Bez analytics, bez prodaje podataka, bez skrivanih stvari.

Registruj firmuUslovi korištenja