1. Ko smo mi
Tendersistem je softverska platforma za praćenje, analizu i upravljanje javnim nabavkama, tenderima, ponudama, dokumentacijom, rokovima, tržišnim podacima i povezanim poslovnim procesima.
Ovom Politikom privatnosti objašnjavamo koje lične podatke prikupljamo, zašto ih obrađujemo, kome ih prosljeđujemo, koliko ih čuvamo i koja prava imaju korisnici i druge osobe čiji se podaci mogu obrađivati kroz platformu.
Za potrebe ove Politike, "mi", "nas" i "Tendersistem" označavaju DELTICO d.o.o. Vitez, Divjak 4, 72250 Vitez, Bosna i Hercegovina, JIB 4236756760007, e-mail: info@tendersistem.com.
2. Na koga se odnosi ova Politika
Ova Politika se odnosi na:
- posjetioce web stranice tendersistem.com;
- registrovane korisnike platforme;
- firme, obrte, agencije i organizacije koje koriste platformu;
- saradnike pozvane u tender/ponudbeni workspace;
- agencijske klijente kojima korisnik-agencija upravlja;
- potencijalne poslovne klijente koje evidentiramo u CRM-u;
- fizičke osobe čiji se podaci mogu pojaviti u javno dostupnim tenderima, odlukama o dodjeli, dokumentima javnih nabavki, obrtima ili drugim javnim izvorima;
- osobe čiji se podaci nalaze u dokumentima koje korisnici učitavaju u platformu.
3. Koje podatke prikupljamo
3.1 Podaci koje korisnik unosi direktno
Prilikom registracije, korištenja i administracije naloga možemo prikupljati:
- ime i prezime, ako ga korisnik unese;
- e-mail adresu;
- lozinku, koja se čuva hashovana preko auth sistema;
- naziv firme ili organizacije;
- JIB, PDV broj, adresu, kontakt telefon i kontakt e-mail firme;
- industriju, CPV kodove, ključne riječi, regije poslovanja i druge profilne podatke;
- notifikacijske postavke, vremensku zonu, kanale obavještavanja i preferencije;
- eJN korisničko ime i lozinku, ako korisnik odluči povezati eJN nalog; ti kredencijali se čuvaju šifrovano;
- podatke iz komunikacije s podrškom, prodajom ili administracijom.
3.2 Podaci koji nastaju korištenjem platforme
Korištenjem platforme nastaju i obrađuju se:
- AI razgovori, upiti, odgovori i feedback;
- tender workspace podaci, ponude, komentari, checklist stavke i saradnički zapisi;
- uploadovani dokumenti, naziv dokumenta, metapodaci, izvučeni tekst i AI analiza;
- RAG/embedding indeks dokumenata i tekstualni dijelovi dokumenata potrebni za pretragu i AI asistenta;
- sačuvane pretrage, alerti, watchlist i praćeni tenderi;
- obavijesti i push subscription podaci;
- billing status, krediti, potrošnja kredita i transakcijski zapisi;
- analitika korištenja platforme;
- sigurnosni i tehnički logovi.
3.3 Podaci iz javnih izvora
Platforma obrađuje javno dostupne podatke iz sistema javnih nabavki i drugih javnih izvora, uključujući:
- objave tendera;
- planove nabavki;
- odluke o dodjeli;
- nazive naručilaca;
- nazive ponuđača/pobjednika;
- JIB/identifikacione brojeve firmi ili obrta, gdje su javno objavljeni;
- vrijednosti ugovora, CPV kodove, rokove i druge javne tenderske podatke;
- javno dostupne pravne izmjene, grantove, poticaje i prilike.
Moguće je da javni dokumenti ili korisnički uploadovani dokumenti sadrže lična imena, e-mail adrese, telefone, potpise ili druge podatke fizičkih osoba. Platforma takve podatke ne traži kao posebnu kategoriju, ali ih može tehnički obraditi ako se nalaze u dokumentima ili slobodnom tekstu.
3.4 Podaci posjetilaca web stranice
Za posjetioce web stranice možemo obrađivati:
- IP adresu i tehničke HTTP podatke kroz hosting/logove;
- podatke o uređaju, browseru i user-agentu;
- podatke o posjetama, prikazima stranica i eventima;
- kolačiće i slične tehnologije opisane u Cookie politici;
- Google Analytics podatke, samo ako je Google Analytics/Tag Manager konfigurisan na produkciji i korisnik pristane na analitičke kolačiće/tagove.
4. Zašto obrađujemo podatke
Podatke obrađujemo za sljedeće svrhe:
- kreiranje i upravljanje korisničkim nalogom;
- pružanje SaaS usluge, tender workspacea, analiza i pretraga;
- obradu, čuvanje i prikaz dokumenata;
- AI analizu tenderske dokumentacije, sažimanje, preporuke i asistenta;
- slanje notifikacija, podsjetnika i važnih obavijesti koje korisnik odobri;
- naplatu, evidenciju pretplate, kredita i transakcija;
- sigurnost, prevenciju zloupotrebe, rate limiting i otkrivanje grešaka;
- poboljšanje proizvoda i analitiku korištenja;
- marketing, prodaju i CRM evidenciju potencijalnih poslovnih klijenata, uz pravo prigovora;
- ispunjavanje zakonskih, računovodstvenih, poreznih i ugovornih obaveza.
5. Pravni osnov obrade
Zavisno od vrste podataka i svrhe, obrada se zasniva na:
- izvršenju ugovora ili predugovornih radnji;
- legitimnom interesu, posebno za sigurnost, sprječavanje zloupotrebe, razvoj proizvoda, CRM i obradu javnih poslovnih podataka;
- pristanku, posebno za neobaveznu analitiku, Google Analytics/GTM ako su konfigurirani, push notifikacije i marketinške e-mailove ako se uvedu;
- zakonskoj obavezi, posebno za računovodstvene, porezne, sigurnosne i regulatorne obaveze.
Ako se primjenjuje GDPR ili drugi režim sa sličnim pravima, korisnik ima pravo prigovora na obradu zasnovanu na legitimnom interesu, pod uslovima propisanim važećim pravom.
6. AI obrada i OpenAI
Tendersistem koristi AI funkcije za analizu dokumentacije, pretragu, preporuke, asistenta, procjenu rizika, sažimanje i tržišnu inteligenciju.
Kod korištenja AI funkcija, sljedeći podaci mogu biti poslani OpenAI-u ili drugom AI procesoru:
- tekst tenderske dokumentacije;
- dijelovi korisničkih uploadovanih dokumenata;
- korisnički upiti u AI asistenta;
- kontekst firme i tendera potreban za odgovor;
- javni tenderski i tržišni podaci;
- metapodaci potrebni za izvršenje AI funkcije.
Sistem ne garantuje automatsku redakciju ličnih ili povjerljivih podataka prije AI obrade. Korisnik ne treba uploadovati dokumente koji sadrže osjetljive, povjerljive ili nepotrebne lične podatke ako nije ovlašten za njihovu obradu.
AI rezultati su informativni i pomoćni. Oni ne predstavljaju pravni, finansijski, računovodstveni ili profesionalni savjet i ne zamjenjuju pregled originalne tenderske dokumentacije.
7. Analitika, Google Analytics, Google Tag Manager i Google Search Console
Platforma ima cookie consent i Google Consent Mode mehanizam. Podrazumijevano stanje je da su analitika i oglašavanje odbijeni.
Google Analytics i Google Tag Manager se ne učitavaju automatski. Mogu se učitati samo ako su u produkciji konfigurirani odgovarajući javni identifikatori i ako korisnik prihvati analitičke kolačiće/tagove.
Koristimo ili možemo koristiti:
- Google Analytics za mjerenje posjeta, ponašanja korisnika i performansi web stranice;
- Google Tag Manager za upravljanje tagovima i consent režimom;
- Google Search Console za praćenje vidljivosti web stranice u Google pretrazi.
Google Analytics i tagovi koji nisu nužni ne učitavaju se prije korisničkog pristanka. Marketing tagovi, Google Ads, remarketing, Google Signals i Meta Pixel nisu aktivni u ovoj verziji. Google Search Console ne zahtijeva instalaciju klasičnog tracking koda na stranici i primarno prikazuje agregirane podatke iz Google pretrage, ali ga navodimo radi transparentnosti.
U Google Analytics/GTM ne smiju se slati e-mail adrese, JIB, naziv firme, sadržaj dokumenata, AI upiti, tender dokumentacija ili drugi lični/poslovno osjetljivi podaci.
8. E-mail komunikacija
Produkcijski e-mail provider trenutno nije aktiviran kao obavezni kanal usluge. Notifikacije se primarno pružaju unutar aplikacije i, ako ih korisnik uključi, putem web push notifikacija.
Ako kasnije aktiviramo Resend ili drugi e-mail provider za transakcijske, sistemske ili korisnički odobrene poruke, provider može obrađivati:
- e-mail adresu primaoca;
- ime/firmu ako je uključeno u e-mail;
- sadržaj e-mail poruke;
- metapodatke isporuke, bounce/complaint statuse i tehničke logove;
- unsubscribe podatke gdje je odjava potrebna.
Transakcijski i sistemski e-mailovi šalju se radi izvršenja usluge ili sigurnosti. Marketinški e-mailovi nisu aktivni u ovoj verziji i mogu se slati samo ako postoji odgovarajući pravni osnov i mogućnost odjave.
9. Naplata
Trenutni produkcijski model naplate je manualni/eksterni: ponuda, faktura, bankovna uplata ili drugi direktno dogovoreni način. Self-service kartično plaćanje i checkout provider nisu aktivni u ovoj verziji.
Ako kasnije aktiviramo Monri ili drugi payment provider, taj provider može obrađivati podatke potrebne za izvršenje transakcije, kao što su iznos, valuta, identifikator narudžbe, status transakcije, podaci o platnom sredstvu, tehnički podaci, autentifikacijski podaci i drugi podaci potrebni za kartičnu naplatu, autorizaciju, refundaciju, chargeback ili dokazivanje transakcije.
Tendersistem ne treba čuvati puni broj kartice, CVV/CVC ili druge osjetljive kartične podatke, osim ako je to izričito tehnički i ugovorno uređeno kroz PCI-kompatibilan payment provider. Uobičajeno čuvamo status plaćanja, referencu transakcije, iznos, fakturu, korisnika i podatke potrebne za naplatu i računovodstvo.
10. Kome dijelimo podatke
Podatke možemo dijeliti s procesorima/subprocesorima koji nam omogućavaju rad platforme:
- Supabase - baza, auth, storage, edge funkcije;
- Hostinger - hosting i serverska infrastruktura (tehnički podaci potrebni za rad aplikacije, server logovi, IP adresa i sigurnosni zapisi);
- OpenAI - AI obrada;
- Google - Analytics/Tag Manager samo ako su konfigurirani i korisnik pristane, Search Console za agregirane SEO uvide i eventualno Google Workspace za internu poslovnu komunikaciju;
- Resend ili drugi e-mail provider - samo ako se aktivira e-mail slanje;
- Monri ili drugi payment provider - samo ako se aktivira online plaćanje;
- browser push mreže - web push notifikacije, samo ako ih korisnik omogući;
- Vercel - prethodni/legacy hosting i tehnički tragovi ako su ostali iz perioda prije migracije na Hostinger;
- računovođe, advokati, tehnički saradnici i druge osobe koje su vezane obavezom povjerljivosti.
Podaci se ne prodaju oglašivačima.
11. Prekogranični prenos
Neki procesori mogu obrađivati podatke izvan Bosne i Hercegovine i/ili Evropskog ekonomskog prostora, posebno OpenAI, Google ako je analitika aktivirana, Resend ili Monri ako se aktiviraju, te Hostinger/Vercel ili njihovi podprocesori zavisno od infrastrukture i podrške. U tom slučaju koristimo odgovarajuće ugovorne i tehničke mjere, uključujući data processing terms, DPA, standardne ugovorne klauzule ili druge mehanizme koje zahtijeva važeće pravo.
12. Sigurnosne mjere
Primjenjujemo mjere kao što su:
- Supabase Row Level Security;
- privatni storage za dokumente i signed URL pristup;
- šifrovanje eJN kredencijala;
- admin pristup ograničen konfiguracijom i ulogama;
- rate limiting i zaštita login pokušaja;
- sigurnosni headeri;
- logovi bez sadržaja AI promptova gdje je tehnički implementirano;
- ograničenje pristupa podacima na ovlaštene osobe.
Nijedna sigurnosna mjera ne garantuje apsolutnu sigurnost.
13. Retencija
Podatke čuvamo samo onoliko dugo koliko je potrebno za svrhe obrade, pružanje usluge, sigurnost, rješavanje sporova i ispunjavanje zakonskih obaveza. Primjenjujemo sljedeće osnovne rokove, osim kada zakon ili konkretan spor/incident zahtijeva duže čuvanje:
- podaci naloga: za vrijeme trajanja naloga i do 30 dana nakon brisanja, osim ako zakonski rokovi zahtijevaju duže;
- uploadovani dokumenti i AI analize: za vrijeme aktivnog naloga/pretplate, a nakon brisanja naloga brišu se kroz mehanizam brisanja podataka i storage cleanup;
- billing i računovodstveni podaci: prema važećim poreznim i računovodstvenim propisima;
- sigurnosni
client_error_logzapisi: podrazumijevano do 90 dana, osim ako su potrebni za incident/spor; - operativni događaji: podrazumijevano do 180 dana;
- first-party analitika: podrazumijevano do približno 26 mjeseci;
- CRM leadovi: podrazumijevano se označavaju za ljudsku provjeru nakon 24 mjeseca neaktivnosti ili ranije po opravdanom prigovoru/opt-outu;
- consent...
