Politika privatnosti

1. Voditelj obrade

Voditelj obrade je Foundster Corporate Services FZCO, IFZA Business Park – DDP, Building A1, Dubai Silicon Oasis, Ujedinjeni Arapski Emirati. Licenca br. 41494 izdana od Dubai Integrated Economic Zones Authority (DIEZ). Kontakt: support@foundster.com.

2. Kategorije podataka koje obrađujemo

• Identifikacijski i kontakt podaci: ime, e-pošta, telefon, državljanstvo, država prebivališta.
• Onboarding i KYC podaci: putovnica, Emirates ID, dokaz adrese, uzorci potpisa, podaci o stvarnim vlasnicima — obvezno prema UAE AML/KYC pravilima.
• Podaci o računu i korištenju: prijavni podaci (hash), metapodaci uređaja/preglednika, IP adresa, posjećene stranice, radnje u CompanyCockpitu.
• Podaci o plaćanju: obrađuje Stripe; Foundster ne pohranjuje pune brojeve kartica.
• Affiliate/tracking podaci: click ID-ovi, kolačići atribucije, konverzije.
• Dobrovoljni sadržaj: podaci u chatovima s Foundster AI, e-mailovima, kontakt-obrascima.

3. Svrhe i pravne osnove

• Pružanje Usluga — izvršenje ugovora (čl. 6. st. 1. b GDPR; čl. 5. st. 2. PDPL).
• Ispunjavanje zakonskih obveza (UAE AML/CFT, porez, registar) — pravna obveza.
• Poboljšanje platforme, prevencija prijevara, sigurnost — legitimni interes.
• Transakcijska i (uz privolu) marketinška komunikacija — privola.
• Vođenje partnerskog programa — ugovor s partnerima i legitimni interes.

3a. Tax Check alat (foundster.com/tax-check)

Tax Check je besplatan, anoniman alat koji izrađuje personaliziranu UAE poreznu predanalizu. Tijek podataka razlikuje se od ostalih usluga:

• Odgovori obrasca: obrađuju se u memoriji za pokretanje engine-a i AI naratora. Ne pohranjuju se u bazu. Pravna osnova: čl. 6 st. 1 t. b GDPR / PDPL čl. 5(2).
• Slobodni tekst (kontekst): filtrira se protiv prompt-injection napada, šalje Google Gemini AI (Belgija/EU) za vrijeme generiranja, zatim odbacuje s ostatkom obrasca.
• Generirani izvještaj: pohranjen pod HMAC-potpisanim tokenom najviše 30 minuta dok ga ne otključate e-mailom. Briše se unutar 60 minuta nakon otključavanja ili isteka.
• E-mail i ime (samo nakon eksplicitne predaje obrasca): pohranjuju se za isporuku izvještaja i — ako ste označili marketinški pristanak — za povremene Foundster novosti. Pravna osnova: privola (čl. 6 st. 1 t. a GDPR / PDPL čl. 4(1)).
• Anonimni IP-hash: SHA-256 hash IP adrese drži se 24h u memoriji za ograničenje stope (max 3 provjere po IP). Sirova IP nikad se ne pohranjuje.
• Marketinški follow-up: samo uz pristanak. Najviše tri e-maila. One-click odjava u svakom mailu.
• Pravo na brisanje: pišite na support@foundster.com — brišemo vaš Tax Check Lead u 30 dana.

4. Kolačići, lokalna pohrana i praćenje

Koristimo nužne kolačiće za autentifikaciju, jezik, partnersku atribuciju i sesiju procesa narudžbe. Oni su izuzeti od obveze pristanka prema čl. 5. st. 3. drugoj rečenici e-Privacy direktive (recital 30. GDPR-a) jer bez njih web stranica ne može raditi.

Uz vašu izričitu privolu dodatno učitavamo Google Analytics 4 (operator: Google Ireland Ltd. kao zajednički voditelj obrade / Google LLC) kako bismo razumjeli agregiranu uporabu foundster.com. Analytics pokrećemo u Google Consent Mode v2 s defaultnim stanjem `denied` — nijedan Analytics zahtjev ne napušta vaš preglednik dok ne kliknete „Prihvati" u banneru. IP anonimizacija (`anonymize_ip`) je aktivna, Google Signals i personalizacija oglasa onemogućeni. Pravna osnova: vaša privola (čl. 6. st. 1. (a) GDPR / čl. 4. st. 1. PDPL). Privolu možete povući bilo kada putem Postavke kolačića u podnožju ili brisanjem kolačića u pregledniku.

• `foundster_consent_v2` (nužni, postavljamo mi) — pamti vaš odabir (`granted` / `denied`); 12 mjeseci.
• `_ga` (analitika, samo nakon privole) — razlikuje korisnike za Google Analytics; 24 mjeseca.
• `_ga_<container-id>` (analitika, samo nakon privole) — stanje sesije za Google Analytics; 24 mjeseca.
• Lokalna pohrana — jezik, partnerska atribucija (365 dana), draft narudžbe. Treća strana ne čita ovu pohranu.

5. Primatelji i izvršitelji obrade

• Stripe — obrada plaćanja (Irska/SAD).
• Google Cloud / Google AI (Gemini API) — AI asistent, Tax-Check narator i infrastruktura (Belgija/SAD).
• Google Ireland Ltd. / Google LLC — Google Analytics 4 (Irska/SAD), samo nakon vaše privole za analitiku.
• Mailgun (Sinch) — transakcijska e-mail isporuka (Irska/SAD) za Tax Check izvještaje, narudžbe i interne notifikacije.
• Replit, Inc. — hosting (SAD).
• Alati za podršku prema ugovorima o obradi.
• Vaše osobne podatke ne prodajemo.

6. Međunarodni prijenos podataka

Podaci se mogu obrađivati izvan UAE (osobito EU/EGP i SAD). Pri prijenosima oslanjamo se na Standardne ugovorne klauzule, odluke o primjerenosti ili — prema čl. 22. PDPL — istovjetne zaštitne mehanizme. Kopiju zaštitnih mehanizama dostavljamo na zahtjev.

7. Razdoblje pohrane

Podatke čuvamo onoliko dugo koliko je potrebno za navedene svrhe i ispunjavanje zakonskih rokova čuvanja (UAE Corporate, AML, porez) — u pravilu do 5 godina nakon završetka poslovnog odnosa.

8. Vaša prava

Prema PDPL-u i (gdje je primjenjivo) GDPR-u imate pravo pristupa, ispravka, brisanja, ograničenja i prigovora na obradu, povlačenja privole te prenosivosti podataka. Pritužbu možete podnijeti UAE Data Office-u ili lokalnom nadzornom tijelu. Zahtjevi: support@foundster.com.

9. Sigurnost

Primjenjujemo tehničke i organizacijske mjere: TLS 1.3, AES-256, role-based access, audit-logove i least-privilege.

10. Izmjene Politike

Politiku ažuriramo prema potrebi. Bitne izmjene komuniciramo e-mailom ili in-app obavijesti.