Pravila o privatnosti aplikacije
Status: ožujak 2026.
Važna napomena – prijevod
Ovaj tekst je strojni prijevod koji ti je na raspolaganju radi lakšeg razumijevanja. On nije pravno obvezujući.
Pravno obvezujuće verzije ovih Pravila o privatnosti dostupne su na:
Njemačkom – za korisnike čiji je jezik aplikacije postavljen na njemački: alma-app.eu/datenschutz
Engleskom – za sve ostale korisnike: alma-app.eu/privacy
Ako se bilo što u ovom prijevodu razlikuje od njemačke ili engleske verzije, mjerodavna je važeća obvezujuća verzija. Ako nisi siguran koja se verzija odnosi na tebe, primjenjuje se engleska verzija.
Ključne činjenice ukratko
Tko sam ja: Bastian Matzen / Alma Softwareentwicklung (obrt), Kienitzer Str. 113, 12049 Berlin, Njemačka. Kontakt: privacy@alma-app.eu | www.alma-app.eu
Tvoji podaci kod mene:
✅ Sigurni: Šifrirana pohrana isključivo unutar EU (Frankfurt na Majni).
✅ Privatni: Bez prijenosa podataka trećim stranama (osim tvojim kontaktima za hitne slučajeve u hitnim situacijama).
✅ Dobrovoljni: Podaci o zdravlju i mnogi drugi detalji potpuno su opcionalni.
✅ Pod kontrolom: Možeš pregledati, izmijeniti ili obrisati sve u bilo kojem trenutku.
✅ Transparentni: Bez skrivene upotrebe podataka, bez prodaje tvojih podataka.
Tvoja prava: Pristup, ispravak, brisanje, prenosivost podataka, prigovor, povlačenje privole – sve je moguće u bilo kojem trenutku.
Pritužbe se mogu podnijeti: Povjereniku za zaštitu podataka i slobodu informiranja u Berlinu (datenschutz-berlin.de). Korisnici u EGP-u također se mogu obratiti nadzornom tijelu u svojoj zemlji prebivališta. Korisnici u Ujedinjenom Kraljevstvu mogu se obratiti Uredu povjerenika za informiranje (ico.org.uk). Korisnici u Švicarskoj mogu se obratiti Saveznom povjereniku za zaštitu podataka i informiranje (FDPIC).
1. Voditelj obrade i kontakt
Ja sam voditelj obrade odgovoran za obradu podataka u kontekstu aplikacije Alma, u smislu Opće uredbe o zaštiti podataka (GDPR), Opće uredbe o zaštiti podataka Ujedinjenog Kraljevstva (UK GDPR), Švicarskog saveznog zakona o zaštiti podataka (FADP/DSG) i drugih primjenjivih zakona o zaštiti podataka:
Bastian Matzen Alma Softwareentwicklung (obrt) Kienitzer Str. 113 12049 Berlin Njemačka
Opcije kontakta Za pitanja o privatnosti (preferirano): privacy@alma-app.eu
Za tehničku podršku: support@alma-app.eu
Web stranica: www.alma-app.eu
1a. Predstavnik u UK
U skladu s člankom 27. UK GDPR-a, imenovali smo sljedećeg predstavnika u Ujedinjenom Kraljevstvu za pitanja zaštite podataka:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
E-mail: privacy@alma-app.eu
2. Pregled aplikacije i njezinih funkcija
Alma je aplikacija za osobnu sigurnost i komunikaciju s dvije glavne funkcije:
2.1 Alma Safety Net (Samo uz pretplatu Connect+)
Automatske sigurnosne prijave (check-ins) u definiranim vremenskim prozorima.
Automatska obavijest tvojim kontaktima za hitne slučajeve ako se prijava propusti.
Opcionalni prijenos lokacije i zdravstvenih informacija u hitnim slučajevima.
2.2 Alma Moments (Besplatno)
Socijalna mreža za dijeljenje trenutaka s do 30 veza.
Automatska objava u društvenom feedu ako se prijava propusti (ako je omogućeno).
Potrebna je obostrana potvrda prijateljstva.
2.3 Minimalna dob
Korištenje aplikacije Alma dopušteno je osobama starijim od 16 godina. Osobe mlađe od 16 godina ne smiju koristiti aplikaciju. Registracijom potvrđuješ da imaš najmanje 16 godina.
3. Koji se podaci obrađuju?
3.1 Obvezni podaci prilikom registracije
Za korištenje aplikacije potrebni su mi sljedeći podaci (Pravna osnova: čl. 6. st. 1. t. b GDPR – Izvršavanje ugovora):
E-mail adresa – za stvaranje računa, komunikaciju i ponovno postavljanje lozinke.
Lozinka – pohranjuje se u šifriranom obliku i koristi se za sigurnost računa.
Ime – za personalizaciju i prikaz tvojim kontaktima.
Prezime – radi potpune identifikacije.
3.2 Opcionalni podaci profila
Možeš dobrovoljno dati sljedeće podatke (Pravna osnova: čl. 6. st. 1. t. a GDPR – Privola):
Profilna slika – za personalizaciju i društvene funkcije.
Datum rođenja – radi provjere dobi.
Broj telefona – kao alternativni način kontakta.
Adresa – za informacije u hitnim slučajevima.
Biografija – za društvene funkcije.
Grad – za društvene funkcije i pretraživanje.
3.3 Podaci o zdravlju (samo Connect+, potpuno opcionalno)
Ove posebne kategorije podataka prema čl. 9. GDPR-a obrađuju se samo uz tvoju izričitu privolu.
Prikupljeni podaci: Krvna grupa, alergije, lijekovi, zdravstvena stanja, kućni ljubimci, informacije o ključu kuće, ostale hitne informacije.
Pravna osnova: čl. 9. st. 2. t. a GDPR (Izričita privola).
Sigurnost: Ovi se podaci pohranjuju pomoću AES-256 šifriranja i prenose se samo tvojim potvrđenim kontaktima za hitne slučajeve u hitnim situacijama.
3.4 Podaci o lokaciji (Opcionalno)
Praćenje lokacije potpuno je opcionalno i može raditi u tri načina (Pravna osnova: čl. 6. st. 1. t. a GDPR – Privola):
Spremi prilikom prijave – Lokacija se bilježi ručno samo prilikom prijave.
Uvijek šalji – Lokacija se ažurira u pozadini. Tehnički, pohranjuje se samo zadnja poznata lokacija; prethodna se prepisuje.
Onemogućeno – Lokacija se ne bilježi niti dijeli.
Napomena: Podaci o lokaciji automatski se brišu nakon 30 dana neaktivnosti.
3.5 Podaci o prijavi (Check-In)
Prilikom prijava bilježe se sljedeći podaci:
Vrijeme prijave – radi sigurnosnog nadzora (Zadržavanje: 90 dana za Connect+).
Informacije o uređaju – radi analize pogrešaka (Zadržavanje: 90 dana).
Zadnja poznata lokacija – za hitne obavijesti (Zadržavanje: maks. 30 dana, prepisuje se).
3.6 Društveni podaci (Alma Moments)
Prilikom korištenja društvenih funkcija obrađuju se sljedeći podaci: objave (tekst, slike, videozapisi), komentari, lajkovi, veze i emojiji raspoloženja.
Pravna osnova: čl. 6. st. 1. t. b GDPR (Izvršavanje ugovora o pružanju društvenih funkcija) i čl. 6. st. 1. t. a GDPR (za dobrovoljni sadržaj).
3.7 Tehnički podaci
Za rad aplikacije obrađuju se sljedeći tehnički podaci:
Tip uređaja i OS – za optimizaciju aplikacije i analizu pogrešaka (Pravna osnova: čl. 6. st. 1. t. f GDPR).
Verzija aplikacije – za podršku i ažuriranja (Pravna osnova: čl. 6. st. 1. t. f GDPR).
FCM Token – za push obavijesti (Pravna osnova: čl. 6. st. 1. t. b GDPR).
Vremenska zona – za točna vremena prijave (Pravna osnova: čl. 6. st. 1. t. b GDPR).
Log datoteke poslužitelja – za sigurnost infrastrukture i obranu od napada (Pravna osnova: čl. 6. st. 1. t. f GDPR).
3.8 Marketinška komunikacija (Opcionalno)
Samo ako si dao privolu tijekom registracije ili kasnije u postavkama označavanjem kućice, obrađivat ću tvoju e-mail adresu i ime za slanje savjeta, novosti o aplikaciji i ažuriranja (Newsletter).
Pravna osnova: čl. 6. st. 1. t. a GDPR (Privola).
Odjava: Možeš se odjaviti u bilo kojem trenutku putem poveznice za odjavu u svakom e-mailu ili u postavkama obavijesti u aplikaciji. Povlačenje privole ne utječe na zakonitost obrade temeljene na privoli prije njezina povlačenja.
4. Svrhe obrade podataka
Tvoje podatke obrađujem u sljedeće svrhe:
Izvršavanje ugovora (čl. 6. st. 1. t. b GDPR): Pružanje aplikacije, prijave, uzbunjivanje, upravljanje pretplatom.
Privola (čl. 6. st. 1. t. a GDPR): Podaci o zdravlju, dijeljenje lokacije, opcionalni podaci profila, marketing.
Legitimni interesi (čl. 6. st. 1. t. f GDPR): Sprječavanje prijevara, tehnička sigurnost, rješavanje problema.
Pravne obveze (čl. 6. st. 1. t. c GDPR): Obveze zadržavanja, zahtjevi vlasti.
Napomena o automatiziranom donošenju odluka: Ne provodi se automatizirano donošenje odluka ili izrada profila u smislu čl. 22. GDPR-a koji proizvodi pravne učinke koji se odnose na tebe. Aktiviranje alarma temelji se isključivo na vremenskim prozorima i pravilima (If-Then logika) koje si osobno definirao.
5. Primatelji podataka i izvršitelji obrade
5.1 Pružatelji usluga
Surađujem sa sljedećim pružateljima usluga radi rada aplikacije:
Google Firebase (Google Ireland Ltd.) – za udomljavanje (hosting), bazu podataka i autentifikaciju. Lokacija: Frankfurt na Majni (europe-west3). Jamstvo zaštite podataka: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – za upravljanje pretplatama (obrađeni podaci: status pretplate, vrijeme kupnje, pseudonimni App User ID, metapodaci transakcije). Lokacija: SAD (AWS). Jamstvo zaštite podataka: Standardne ugovorne klauzule EU-a (SCC), DPA. Za prijenose iz Ujedinjenog Kraljevstva: UK International Data Transfer Agreement (IDTA) ili UK Addendum na SCC EU-a. Za prijenose iz Švicarske: usklađenost sa zahtjevima FADP/DSG.
Mailgun (Sinch) – za dostavu e-pošte. Lokacija: EU. Jamstvo zaštite podataka: DPA, usklađeno s GDPR-om.
Algolia – za pretraživanje korisnika. Lokacija: EU. Jamstvo zaštite podataka: DPA, usklađeno s GDPR-om.
5.2 Uvjetni prijenos podataka (Kanali obavještavanja)
Prijenos ovim uslugama događa se samo ako tvoj kontakt za hitne slučajeve izričito odabere ove kanale:
Meta (WhatsApp Cloud API) – samo ako kontakt odabere WhatsApp. Meta je certificirana prema EU-US Data Privacy Frameworku. Za prijenose iz Ujedinjenog Kraljevstva dodatno se primjenjuje UK Extension na EU-US DPF.
Telegram – Upotreba Telegrama događa se samo ako tvoj kontakt za hitne slučajeve sam aktivno odabere ovaj kanal. U tom slučaju tvoj kontakt izravno pristaje na obradu podataka od strane Telegrama (potencijalno na poslužiteljima izvan EU).
5.3 Bez prijenosa podataka trećim stranama
Tvoji se podaci ne prodaju.
Nema prijenosa u svrhe oglašavanja trećih strana.
Nema prijenosa posrednicima u trgovini podacima (data brokers).
Iznimka: Tvoji kontakti za hitne slučajeve primaju informacije koje si odobrio u hitnim slučajevima.
6. Pohrana i brisanje podataka
6.1 Lokacija pohrane
Svi se podaci prvenstveno pohranjuju u Europskoj uniji (Frankfurt na Majni, Google Cloud regija europe-west3).
6.2 Trajanje pohrane i automatsko brisanje
Povijest prijava: Automatski se briše nakon 90 dana.
Podaci o lokaciji: Automatski se brišu nakon 30 dana neaktivnosti (ili se kontinuirano prepisuju).
Log datoteke poslužitelja: Automatski se brišu nakon 90 dana (za analizu pogrešaka/obranu od napada).
Poveznice za pozivnice: Automatski se brišu nakon 7 dana.
Podaci o zdravlju: Brisanje nakon 12 mjeseci neaktivnosti.
Podaci o računu: Brisanje nakon 24 mjeseca neaktivnosti.
Podsjetnici prije brisanja zbog neaktivnosti:
Nakon 12 mjeseci bez prijave: Automatsko brisanje zdravstvenih podataka; šalje se e-mail podsjetnik.
Nakon 13 mjeseci bez odgovora: Daljnji podsjetnik.
Nakon 23 mjeseca neaktivnosti: Posljednji e-mail upozorenja.
Nakon 24 mjeseca bez odgovora: Potpuno brisanje računa.
Iznimka za aktivne pretplate: Dokle god je aktivna plaćena pretplata Connect+, ne provodi se automatsko brisanje zbog neaktivnosti.
Podaci o naplati: Podaci o naplati (ime, adresa, informacije o transakciji) čuvaju se 10 godina u skladu s poreznim obvezama čuvanja (§ 147 AO). Ovi se podaci čuvaju odvojeno od podataka o korištenju.
Obrisani računi trajno se i neopozivo uklanjaju nakon razdoblja počeka od 30 dana.
Važno: Na zahtjev za brisanje računa, korištenje odmah prestaje. Od tog trenutka više se neće aktivirati podsjetnici na prijave, alarmi ili druge obavijesti – ni tebi ni tvojim kontaktima za hitne slučajeve. Uz to, tvoj profil u Alma Moments više neće biti vidljiv. Konačno fizičko brisanje svih podataka događa se nakon razdoblja počeka od 30 dana.
7. Sigurnost podataka
Primjenjujem moderne sigurnosne standarde:
Šifriranje: TLS 1.2+ za prijenos podataka (Transit) i pohrana na AES-256 šifriranim poslužiteljima (At Rest) za osjetljive podatke.
Kontrola pristupa: Sigurnosna pravila Firebasea, stroga autentifikacija.
Sigurnost aplikacije: Firebase App Check, opcionalna biometrijska zaštita (Connect+), zasebno zaključavanje postavki.
8. Tvoja prava
U svakom trenutku imaš sljedeća prava (prema čl. 15. – 21. GDPR-a):
Pristup i izvoz podataka: U aplikaciji pod Postavke → Privatnost.
Ispravak: Sve podatke profila i zdravstvene podatke možeš sam urediti u aplikaciji.
Brisanje: Možeš obrisati pojedinačne podatke ili cijeli račun izravno u aplikaciji.
Ograničenje obrade (čl. 18. GDPR): Možeš zatražiti ograničenje obrade, npr. ako osporavaš točnost svojih podataka ili ako je obrada nezakonita.
Povlačenje privole: Privolu (npr. lokacija, zdravstveni podaci, marketing) možeš povući u bilo kojem trenutku u postavkama. Povlačenje ne utječe na zakonitost obrade provedene prije povlačenja.
Pravo na prigovor (čl. 21. GDPR): Ako se obrada podataka temelji na legitimnim interesima (čl. 6. st. 1. t. f GDPR), imaš pravo u bilo kojem trenutku prigovoriti iz razloga koji proizlaze iz tvoje posebne situacije.
Pravo na podnošenje pritužbe: Možeš se obratiti nadležnom nadzornom tijelu za zaštitu podataka. Za korisnike u Njemačkoj to je Povjerenik za zaštitu podataka i slobodu informiranja u Berlinu (datenschutz-berlin.de). Korisnici u Europskom gospodarskom prostoru (EGP) mogu se obratiti nadzornom tijelu u svojoj zemlji uobičajenog boravišta, radnom mjestu ili mjestu navodnog kršenja. Popis nadzornih tijela dostupan je na edpb.europa.eu. Korisnici u Ujedinjenom Kraljevstvu mogu se obratiti Uredu povjerenika za informiranje (ICO): ico.org.uk. Korisnici u Švicarskoj mogu se obratiti Saveznom povjereniku za zaštitu podataka i informiranje (FDPIC): edoeb.admin.ch.
9. Posebne situacije obrade
9.1 Obavijest u hitnim slučajevima (samo Connect+)
U slučaju propuštene prijave, tvoji kontakti za hitne slučajeve bit će obaviješteni. Prenijet će se samo podaci koje si pohranio u svom profilu i odobrio za objavu (npr. lokacija, zdravstvene informacije). Pravna osnova:
čl. 6. st. 1. t. b GDPR (Izvršavanje ugovora)
čl. 9. st. 2. t. a GDPR (Izričita privola za zdravstvene podatke)
Dopunski čl. 9. st. 2. t. c GDPR (Zaštita ključnih interesa), kako bi se osigurao fizički integritet u hitnim slučajevima.
9.2 Pozivanje kontakata za hitne slučajeve
Radi zaštite privatnosti trećih osoba, ti ne unosiš kontakt podatke drugih osoba izravno u aplikaciju.
Stvaranje poveznice: Generiraš osobnu poveznicu za pozivnicu u aplikaciji.
Slanje: Šalješ tu poveznicu svojoj osobi od povjerenja putem kanala po svom izboru (npr. WhatsApp, e-mail).
Registracija: Tvoja osoba od povjerenja otvara poveznicu i samostalno unosi svoje kontakt podatke i željeni kanal obavještavanja. Sve dok se poveznica ne iskoristi, podaci tvojih kontakata se ne pohranjuju. Neiskorištene poveznice istječu nakon 7 dana.
9.3 Ti kao kontakt za hitne slučajeve
Ako prihvatiš pozivnicu, pristaješ na pohranu tvojih dostavljenih kontakt podataka (ime, e-mail/telefon/korisničko ime) u svrhu obavještavanja u hitnim slučajevima. Možeš se odjaviti u bilo kojem trenutku putem poveznice za odjavu (opt-out) u porukama.
9.4 Daljinsko postavljanje (Connect+)
Možeš privremeno dodijeliti pristup osobi od povjerenja (putem generiranog koda) kako bi postavila aplikaciju za tebe i upravljala postavkama. Nakon uspješnog povezivanja, taj pristup ostaje dok ga ne opozoveš u aplikaciji. Radi tvoje sigurnosti, sve promjene koje izvrši osoba od povjerenja se bilježe (Audit Log).
Pravna osnova: čl. 6. st. 1. t. b GDPR (Izvršavanje ugovora, funkcija pokrenuta od strane korisnika).
10. Autentifikacija trećih strana
Google Sign-In: Preneseni podaci uključuju e-mail, ime, profilnu sliku. (Privatnost: policies.google.com/privacy)
Apple Sign-In: Preneseni podaci uključuju e-mail (ili relay adresu) i ime. (Privatnost: apple.com/legal/privacy)
11. Push obavijesti
Koristim push obavijesti za podsjetnike na prijave, alarme i društvene interakcije.
Pravna osnova: čl. 6. st. 1. t. b GDPR (za ugovorne funkcije poput alarma) i čl. 6. st. 1. t. f GDPR (za društvene obavijesti).
Kontrola: Većinom vrsta obavijesti možeš upravljati u postavkama aplikacije. Kritične sigurnosne obavijesti dio su osnovne usluge.
12. Analiza i rješavanje problema
12.1 Firebase Analytics
Koristim Firebase Analytics u konfiguraciji s minimalnim prikupljanjem podataka kako bih osigurao stabilnost aplikacije i ispravio pogreške.
Mjere privatnosti: Ne prikupljaju se oglašivački ID-ovi (IDFA/AAID). Anonimizacija IP adresa je omogućena.
Svrha: Anonimizirana statistika rušenja i korištenja za tehničku optimizaciju.
Pravna osnova: čl. 6. st. 1. t. f GDPR (Legitimni interes za rad aplikacije bez pogrešaka i sigurnost).
12.2 Firebase Crashlytics
U slučaju rušenja aplikacije šalju se tehnički detalji (stack trace, podaci o uređaju) radi ispravljanja pogreške. U izvješću o rušenju ne pohranjuju se podaci koji izravno identificiraju osobu.
12.3 ePrivatnost i elektroničke komunikacije
Pristup određenim funkcijama uređaja i pohrana tehničkih informacija na uređaju (npr. FCM tokeni) mogu podlijegati nacionalnim zakonima koji provode Direktivu o e-privatnosti (2002/58/EZ). U Ujedinjenom Kraljevstvu primjenjuju se Pravilnici o privatnosti i elektroničkim komunikacijama iz 2003. (PECR). U Švicarskoj se primjenjuju odredbe Zakona o telekomunikacijama (TCA/FMG). Gdje je potrebna privola prema dotičnom primjenjivom zakonu, ona se pribavlja prije relevantnog pristupa.
13. Izmjene ovih Pravila o privatnosti
Zadržavam pravo izmjene ovih Pravila o privatnosti. U slučaju značajnih promjena, bit ćeš obaviješten putem aplikacije ili e-maila. Trenutna verzija uvijek je dostupna u aplikaciji i na web stranici.
14. Međunarodni prijenos podataka
Primarna pohrana podataka odvija se u Europskoj uniji (Frankfurt na Majni). Tamo gdje se podaci prenose pružateljima usluga izvan EGP-a (vidi odjeljak 5.), oslanjam se na sljedeće zaštitne mjere:
EU-US Data Privacy Framework (DPF): Za prijenose tvrtkama sa sjedištem u SAD-u koje su certificirane prema DPF-u (npr. Google, Meta).
Standardne ugovorne klauzule EU-a (SCC): Za prijenose tvrtkama koje nisu certificirane prema DPF-u (npr. RevenueCat).
Za prijenose iz Ujedinjenog Kraljevstva: Koristim UK International Data Transfer Agreement (IDTA) ili UK Addendum na SCC EU-a, kao i UK Extension na EU-US DPF, gdje je primjenjivo.
Za prijenose koji uključuju Švicarsku: Pridržavam se zahtjeva Švicarskog saveznog zakona o zaštiti podataka (FADP/DSG), uključujući priznavanje odluka o primjerenosti od strane Saveznog vijeća i upotrebu standardnih ugovornih klauzula gdje je to potrebno.
Za daljnje detalje o pojedinim pružateljima usluga vidi odjeljak 5.
15. Korisnici izvan EU/EGP, Ujedinjenog Kraljevstva i Švicarske
Za korisnike u zemljama koje nisu obuhvaćene GDPR-om, UK GDPR-om ili švicarskim FADP-om, Pružatelj primjenjuje iste tehničke i organizacijske mjere kao i za korisnike unutar opsega GDPR-a. Obvezne odredbe o zaštiti podataka zemlje uobičajenog boravišta korisnika ostaju nepromijenjene.
16. Kontakt
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin
E-mail: privacy@alma-app.eu
Web stranica: www.alma-app.eu