Pravila privatnosti

Ova Pravila privatnosti opisuju kako društvo mStart plus d.o.o. ("Društvo", "Mi") prikuplja, koristi i štiti vaše osobne podatke pri korištenju mobilne aplikacije Forte Park ("Aplikacija", "Usluga").

Korištenjem naše Aplikacije potvrđujete da ste pročitali, razumjeli i prihvatili ova Pravila privatnosti.

Tumačenje i definicije

Tumačenje

Riječi čija su početna slova velika imaju značenja definirana u nastavku, neovisno o jednini ili množini.

Definicije

• Račun – jedinstveni korisnički račun potreban za pristup Aplikaciji.
• Administrator – korisnik kojeg je poslodavac ovlastio za upravljanje korisničkim računima, rezervacijama i konfiguracijama unutar Aplikacije.
• Povezano društvo – subjekt koji kontrolira, kojim se kontrolira ili je pod zajedničkom kontrolom s Društvom.
• Aplikacija – mobilna aplikacija FortePark koju pruža Društvo.
• Društvo – mStart plus d.o.o., Slavonska avenija 11a, 10000 Zagreb; voditelj obrade osobnih podataka.
• Država – Republika Hrvatska.
• Uređaj – svaki uređaj koji može pristupiti Usluzi (mobilni telefon, tablet itd.).
• Osobni podaci – sve informacije koje se odnose na identificiranu ili prepoznatljivu fizičku osobu.
• Pseudonimizirani podaci – podaci koji se više ne mogu pripisati određenoj osobi bez dodatnih informacija koje se čuvaju odvojeno i zaštićeno.
• Usluga – Aplikacija FortePark.
• Davatelj usluga – pravna ili fizička osoba koja obrađuje podatke u ime Društva (npr. Google / Firebase).
• Podaci o korištenju – podaci prikupljeni automatski pri korištenju Aplikacije.
• Vi – korisnik Aplikacije ili pravna osoba koju zastupate.

Koje podatke prikupljamo

Osobni podaci koje nam sami dostavljate

Prilikom registracije i korištenja Aplikacije dostavljate sljedeće podatke:

• Ime i prezime
• Adresu e-pošte (korporativnu ili prethodno odobrenu privatnu)
• Registracijsku oznaku vozila
• Lozinku (pohranjenu kao sigurni sažetak putem Firebase Authentication, nikada vidljivu Društvu)

Podaci o korištenju (automatski prikupljeni)

Aplikacija automatski prikuplja određene informacije, poput:

• IP adrese uređaja (koristi se samo za grubu procjenu države)
• vrste i verzije mobilnog uređaja
• verzije operacijskog sustava
• verzije i broja gradnje Aplikacije
• postavki jezika i vremenske zone
• vremena i trajanja korištenja Aplikacije
• identifikatora vezanog uz aplikaciju (Apple IDFV na iOS-u) za razlikovanje sesija
• dijagnostika rušenja i neobrađenih grešaka

Aplikacija ne prikuplja: GPS niti bilo kakve podatke o vašoj preciznoj lokaciji, Appleov Identifier for Advertisers (IDFA), Google Advertising ID (GAID), niti bilo kakve druge reklamne identifikatore. Ti identifikatori eksplicitno su isključeni na razini SDK-a — ne prikazuju se upiti za praćenje reklama niti se šalju signali za personalizaciju oglasa.

Usluge trećih strana (Google / Firebase)

Aplikacija koristi usluge Firebase, koje pruža Google LLC, za osnovnu funkcionalnost i operativnu kvalitetu. Korištene Firebase usluge su:

• Firebase Authentication – sigurno upravlja korisničkim pristupnim podacima (e-pošta / lozinka). Lozinke se pohranjuju kao sažetci (hashevi) koje Društvo nikada ne vidi u izvornom obliku.
• Cloud Firestore – pohranjuje korisničke profile, rezervacije i konfiguracije. Smješten u regiji europe-west3 (Frankfurt, Njemačka), unutar Europske unije.
• Firebase Cloud Functions – izvršava pouzdanu logiku na poslužitelju za registraciju, brisanje korisnika i vođenje dnevnika. Također smješten u regiji europe-west3.
• Firebase Analytics – prikuplja anonimizirane podatke o korištenju kako bismo razumjeli način korištenja Aplikacije. Konfigurirana je za isključivanje reklamnih identifikatora i personalizacije oglasa (ne prikuplja IDFA / GAID niti dijeli podatke o oglasnim korisnicima). Podaci koji se šalju u Firebase Analytics sadrže samo pseudonimni Firebase User ID (UUID), poslovni kontekst (tvrtka, oznaka uloge, oznaka administratora) i podatke o događajima (prikazi zaslona, pokušaji rezervacija i sl.). Ime, e-pošta, broj telefona i registracijska oznaka nikada se ne šalju u Firebase Analytics.
• Firebase Crashlytics – prikuplja izvještaje o rušenjima i greškama kako bismo mogli prepoznati i ispraviti bugove. Izvještaji sadrže isti pseudonimni User ID, model uređaja, verziju OS-a, verziju Aplikacije i trag izvršavanja — bez osobnih podataka.
• Firebase App Check – provjerava dolazi li zahtjev prema pozadini iz legitimne verzije Aplikacije pomoću Apple App Attest (iOS) ili Google Play Integrity (Android). Koristi se za sprječavanje zloporabe; ne prikuplja osobne podatke.

Firebase usluge podliježu Googleovim politikama privatnosti i sigurnosti . Korištenjem Aplikacije prihvaćate da Google, kao podizvršitelj obrade, može obrađivati anonimizirane operativne podatke.

GDPR — pravne osnove obrade

Vaše osobne podatke obrađujemo na temelju jedne ili više sljedećih pravnih osnova:

a) Izvršenje ugovora (članak 6. stavak 1. točka b.)

Većina obrade podataka nužna je kako bismo vam pružili Aplikaciju, koja se stavlja na raspolaganje u okviru radnog odnosa između vas i Fortenova Grupe / Društva. Ovo uključuje upravljanje vašim računom, obradu rezervacija parkirnih mjesta i dodjelu parkirnih mjesta.

b) Legitimni interes (članak 6. stavak 1. točka f.)

Određene podatke koristimo za:

• osiguranje sigurnosti i integriteta Aplikacije (App Check, Crashlytics)
• poboljšanje funkcionalnosti i dijagnosticiranje problema (Analytics, Crashlytics)
• vođenje operativnih zapisa o korištenju parkinga za računovodstvene i revizijske svrhe

U svakom trenutku imate pravo prigovoriti obradi koja se temelji na legitimnom interesu.

c) Privola (članak 6. stavak 1. točka a.)

Tamo gdje je potrebna privola (na primjer, za neobvezne obavijesti ili opcionalne funkcionalnosti), dobivamo je izričito prije obrade. Privolu možete povući u bilo kojem trenutku putem postavki u Aplikaciji ili kontaktirajući nas.

d) Zakonska obveza (članak 6. stavak 1. točka c.)

U određenim slučajevima zakonski smo obvezni zadržati ili dostaviti podatke nadležnim tijelima (primjerice, za porezne, računovodstvene ili revizorske potrebe vezane uz radni odnos).

Kako koristimo vaše podatke

Društvo koristi vaše podatke za:

• pružanje i održavanje Aplikacije
• otvaranje i upravljanje vašim korisničkim računom
• obradu rezervacija parkirnih mjesta i dodjelu ekskluzivnih mjesta
• kontaktiranje u vezi funkcionalnosti, sigurnosnih obavijesti i kritičnih najava
• slanje obavijesti (kada ste dali privolu)
• obradu korisničkih zahtjeva
• interne analize i poboljšanja Aplikacije (agregirano / anonimizirano)
• sigurnost, prevenciju zloporabe i provjere integriteta
• vođenje operativnih i revizijskih zapisa o korištenju parkirnih mjesta
• poslovne transakcije (npr. spajanja ili restrukturiranja), uz odgovarajuće zaštitne mjere

Dijeljenje osobnih podataka

Vaše osobne podatke možemo dijeliti s:

• Davateljima usluga (podizvršiteljima obrade) — prvenstveno Google LLC putem gore navedenih Firebase usluga. Podaci se tehnički obrađuju unutar EU-a (europe-west3, Frankfurt) kada je to moguće.
• Povezanim društvima unutar Fortenova Grupe — u svrhu upravljanja parkirnom uslugom u ime vašeg poslodavca.
• Administratorima koje je imenovao vaš poslodavac — oni mogu pregledavati i upravljati korisničkim zapisima unutar svoje tvrtke, uključujući uređivanje vašeg profila, promjenu uloge ili brisanje vašeg računa kada radni odnos završi.
• Nadležnim tijelima — ako je to propisano zakonom.
• U poslovnim transakcijama (spajanja, restrukturiranja) — uz odgovarajuću zaštitu vaših podataka.

Ne prodajemo vaše podatke trećim stranama i ne dijelimo ih u reklamne svrhe.

Pohrana, zadržavanje i prijenos podataka

Osnovni podaci (korisnički profil, buduće rezervacije, konfiguracija) pohranjuju se na Googleovoj Cloud Firestore infrastrukturi u regiji europe-west3 (Frankfurt, Njemačka), unutar Europske unije. Podaci Firebase Analytics mogu se obrađivati na Googleovoj globalnoj infrastrukturi, uz GDPR-kompatibilne zaštitne mjere i Standardne ugovorne klauzule.

Podatke zadržavamo samo onoliko dugo koliko je potrebno za svrhe opisane u ovim Pravilima. Konkretno:

• Podaci profila (ime, e-pošta, registracijska oznaka, uloga, pristup kartama) brišu se kada izbrišete svoj račun.
• Buduće rezervacije brišu se kada izbrišete svoj račun.
• Prošle rezervacije i zapisi o oslobađanjima mjesta zadržavaju se u pseudonimiziranom obliku — veza između tih zapisa i vašeg osobnog identiteta uklanja se kada se vaš profil izbriše. Zadržani zapisi sadrže samo anonimni identifikator (UUID), identifikator mjesta i datum, te služe operativnim i revizijskim svrhama.
• Zapisi revizije (zapisi o radnjama obavljenima u aplikaciji, referencirani pseudonimnim UUID-om) zadržavaju se za operativne i računovodstvene svrhe, u skladu s primjenjivim zakonskim rokovima čuvanja.
• Podaci Firebase Analytics zadržavaju se prema konfiguriranom Firebase roku zadržavanja (zadano: 14 mjeseci), nakon čega se automatski brišu.

Vaša prava prema GDPR-u

Imate pravo na:

• pristup svojim osobnim podacima
• ispravak netočnih ili nepotpunih podataka
• brisanje ("pravo na zaborav")
• ograničenje obrade
• prenosivost podataka
• prigovor obradi koja se temelji na legitimnom interesu
• povlačenje privole u bilo kojem trenutku
• podnošenje pritužbe nadzornom tijelu (vidi odjeljak Kontakt u nastavku)

Za detalje o brisanju vašeg računa, pogledajte zasebnu stranicu Brisanje računa i podataka, ili nam se obratite na forte-park@mstart.eu.

Zahtjevi za ostvarivanje prava iz zaštite podataka rješavaju se u pravilu u roku od 30 dana, u skladu s člankom 12. stavkom 3. GDPR-a.

Brisanje računa — dva puta

Vaš račun može se izbrisati na jedan od sljedećih načina:

• Vi (samoinicijativno) — unutar Aplikacije otvorite Račun → Obriši moj račun. Brisanje je trenutno i zahtijeva potvrdu lozinkom.
• Administrator vašeg poslodavca — kada vaš radni odnos završi, administrator može izbrisati vaš račun. Više se nećete moći prijaviti; za dodatna pitanja obratite se svom poslodavcu.

U oba slučaja, podaci koji se uklanjaju i oni koji se zadržavaju jednaki su (pogledajte "Pohrana, zadržavanje i prijenos podataka" iznad).

Sigurnost podataka

Primjenjujemo odgovarajuće tehničke i organizacijske mjere kako bismo zaštitili vaše podatke, uključujući:

• sigurnu autentifikaciju (Firebase Authentication s hashanim lozinkama)
• Firestore sigurnosna pravila koja ograničavaju pristup podacima prema ulozi i pripadnosti tvrtki
• šifrirani prijenos (HTTPS / TLS) za svu komunikaciju između Aplikacije i pozadine
• Firebase App Check (provjera integriteta aplikacije) za sprječavanje neovlaštenog pristupa API-ju
• server-sku validaciju povlaštenih operacija putem Cloud Functions

Nijedna metoda prijenosa putem interneta ni elektroničke pohrane nije 100% sigurna. Iako nastojimo koristiti komercijalno prihvatljiva sredstva za zaštitu vaših podataka, ne možemo jamčiti apsolutnu sigurnost.

Privatnost djece

Aplikacija je namijenjena zaposlenicima Fortenova Grupe i nije usmjerena na osobe mlađe od 16 godina. Ne prikupljamo svjesno osobne podatke od djece.

Poveznice na druge web-stranice

Aplikacija može prikazivati poveznice na stranice trećih strana (npr. korporativnu web-stranicu tvrtke) koje nisu pod našom kontrolom. Nismo odgovorni za sadržaj ni praksu privatnosti tih stranica te preporučujemo da pregledate njihova pravila privatnosti.

Izmjene pravila

Ova Pravila privatnosti mogu se povremeno ažurirati. O bitnim promjenama obavijestit ćemo vas putem Aplikacije i ažuriranjem datuma "Zadnje ažuriranje" na vrhu dokumenta. Nastavak korištenja Aplikacije nakon takvih izmjena smatra se prihvaćanjem ažuriranih Pravila.

Kontakt

Za pitanja o ovim Pravilima privatnosti ili zaštiti podataka možete nam se obratiti:

Za ostvarivanje prava korisnika (pristup, ispravak, brisanje):
forte-park@mstart.eu

Za opća pitanja o privatnosti i GDPR-u (službenik za zaštitu podataka):
zastita.podataka@mstart.eu

Ako nakon obraćanja mStart plusu niste zadovoljni rješenjem svog zahtjeva, imate pravo podnijeti pritužbu hrvatskom nadzornom tijelu za zaštitu podataka:
Agencija za zaštitu osobnih podataka (AZOP); azop@azop.hr

This Privacy Policy describes how mStart plus d.o.o. ("Company", "We") collects, uses, and protects your personal data when using the mobile application Forte Park ("Application", "Service").

By using our Application, you confirm that you have read, understood, and accepted this Privacy Policy.

Interpretation and Definitions

Interpretation

Words with initial capital letters have meanings defined under the following conditions, regardless of whether they appear in singular or in plural.

Definitions

• Account – a unique user account required to access the Application.
• Administrator – a user designated by your employer to manage user accounts, reservations, and configurations within the Application.
• Affiliate – an entity that controls, is controlled by, or is under common control with the Company.
• Application – the FortePark mobile application provided by the Company.
• Company – mStart plus d.o.o., Slavonska avenija 11a, 10000 Zagreb; the Data Controller.
• Country – Republic of Croatia.
• Device – any device that can access the Service (mobile phone, tablet, etc.).
• Personal Data – any information relating to an identified or identifiable natural person.
• Pseudonymous Data – data that can no longer be attributed to a specific person without additional information that is kept separately and protected.
• Service – the FortePark Application.
• Service Provider – a natural or legal person who processes data on behalf of the Company (e.g., Google / Firebase).
• Usage Data – data collected automatically when using the Application.
• You – the user of the Application or the legal entity you represent.

Types of Data Collected

Personal Data You Provide

When registering and using the Application, you provide the following data:

• First name and last name
• Email address (corporate or pre-approved private email)
• Vehicle registration plate
• Password (stored as a secure hash by Firebase Authentication, never visible to the Company)

Usage Data (Automatically Collected)

The Application automatically collects certain information, such as:

• Device IP address (used only to derive approximate country-level location)
• Mobile device type and version
• Operating system version
• Application version and build
• Language and timezone settings
• Time and duration of Application usage
• App-scoped vendor identifier (Apple's IDFV on iOS) for session de-duplication
• Crash and non-fatal error diagnostics

The Application does not collect: GPS or any precise location data, Apple's Identifier for Advertisers (IDFA), Google Advertising ID (GAID), or any other cross-app advertising identifiers. We have explicitly disabled these at the SDK level — no advertising-tracking prompts are shown and no ad-personalization signals are sent.

Third-Party Services (Google / Firebase)

The Application uses Firebase services, provided by Google LLC, to deliver core functionality and operational quality. The specific Firebase services used are:

• Firebase Authentication – manages user sign-in credentials (email / password) securely. Passwords are hashed by Firebase and never stored by the Company in plain form.
• Cloud Firestore – stores user profiles, reservations, and configuration data. Hosted in the europe-west3 (Frankfurt, Germany) region, within the European Union.
• Firebase Cloud Functions – runs trusted server-side logic for user creation, user deletion, and audit logging. Also hosted in europe-west3.
• Firebase Analytics – collects anonymized usage data for understanding app usage patterns. Configured to disable advertising identifiers and ad personalization (no IDFA / GAID collection, no ad user data shared). Data sent to Firebase Analytics contains only a pseudonymous Firebase User ID (UUID), business context (company, role flag, admin flag), and event data (screen views, reservation attempts, etc.). No name, email, phone number, or license plate is sent to Firebase Analytics.
• Firebase Crashlytics – collects crash and error reports to help us identify and fix bugs. Reports include the same pseudonymous User ID, device model, OS version, app version, and a stack trace — no personal data.
• Firebase App Check – verifies that requests to our backend come from a legitimate copy of the Application using Apple App Attest (iOS) or Google Play Integrity (Android). Used to prevent abuse; does not collect personal data.

Firebase services are subject to Google's Privacy and Security policies . By using the Application, you acknowledge that anonymized operational data may be processed by Google as a sub-processor.

GDPR — Legal Basis for Processing

We process your personal data based on one or more of the following legal bases:

a) Performance of a Contract (Article 6(1)(b))

Most data processing is necessary to provide you with the Application, which is made available as part of the employment relationship between you and the Fortenova Group / Company. This includes managing your account, processing parking reservations, and providing parking-spot assignments.

b) Legitimate Interest (Article 6(1)(f))

We use certain data to:

• ensure the security and integrity of the Application (App Check, Crashlytics)
• improve functionality and diagnose issues (Analytics, Crashlytics)
• maintain operational records of parking usage for accounting and audit purposes

You have the right to object to processing based on legitimate interest at any time.

c) Consent (Article 6(1)(a))

Where consent is required (for example, for optional notifications or specific opt-in functionality), we obtain it explicitly before processing. You may withdraw your consent at any time via the in-app settings or by contacting us.

d) Legal Obligation (Article 6(1)(c))

In certain cases, we are required by law to retain or provide data to competent authorities (for example, for tax, accounting, or employment-related audits).

How We Use Your Data

The Company uses your data for:

• providing and maintaining the Application
• creating and managing your user account
• processing parking reservations and exclusive-spot assignments
• contacting you regarding functionality, security updates, and critical announcements
• sending notifications (where you have provided consent)
• processing user support requests
• internal analysis and Application improvements (aggregated / anonymized)
• security, fraud prevention, and integrity checks
• maintaining operational and audit records of parking-spot usage
• business transactions (e.g., mergers or restructuring), subject to appropriate safeguards

Sharing Personal Data

We may share your personal data with:

• Service providers (sub-processors) — principally Google LLC via the Firebase services listed above. Data is processed within the EU (europe-west3, Frankfurt) where technically possible.
• Affiliates within the Fortenova Group — for the purpose of operating the parking service on behalf of your employer.
• Your employer's designated administrators — they can view and manage user records within their company, including editing your profile, changing your role, or deleting your account when employment ends.
• Competent authorities — where required by law.
• In business transactions (mergers, restructuring) — with appropriate protection of your data.

We do not sell your data to third parties, and we do not share it for advertising purposes.

Data Storage, Retention, and Transfer

Core data (user profile, future reservations, configuration) is stored on Google's Cloud Firestore infrastructure in the europe-west3 region (Frankfurt, Germany), within the European Union. Firebase Analytics data may be processed on Google's global infrastructure, subject to GDPR-compliant safeguards and Standard Contractual Clauses.

We retain your data only as long as necessary for the purposes described in this Policy. Specifically:

• Profile data (name, email, registration plate, role, map access) is deleted when you delete your account.
• Future reservations are deleted when you delete your account.
• Past reservations and release records are retained in a pseudonymized form — the link between these records and your personal identity is removed when your profile is deleted. The retained records contain only an anonymous identifier (UUID), spot identifier, and date, and serve operational and audit purposes.
• Audit logs (records of actions performed in the application, referenced by pseudonymous UUID) are retained for operational and accounting purposes, consistent with applicable retention laws.
• Firebase Analytics data is retained according to Firebase's configured retention period (default: 14 months), after which it is automatically deleted.

Your Rights Under GDPR

You have the right to:

• access your personal data
• correct inaccurate or incomplete data
• request erasure ("right to be forgotten")
• restrict processing
• data portability
• object to processing based on legitimate interest
• withdraw consent at any time
• lodge a complaint with a supervisory authority (see Contact section below)

For details on how to delete your account, see our separate Account and Data Deletion page, or contact us at forte-park@mstart.eu.

Requests to exercise data protection rights are typically resolved within 30 days, in accordance with GDPR Article 12(3).

Account Deletion — Two Paths

Your account may be deleted by either of the following:

• You (self-initiated) — within the Application, open Account → Delete my account. Deletion is immediate and requires confirmation with your password.
• Your employer's administrator — when your employment ends, your administrator may delete your account. You will no longer be able to sign in; please contact your employer for any questions regarding this.

In both cases, the data removed and the data retained is the same (see "Data Storage, Retention, and Transfer" above).

Data Security

We apply appropriate technical and organizational measures to protect your data, including:

• secure authentication (Firebase Authentication with hashed passwords)
• Firestore security rules that restrict data access by role and company membership
• encrypted transport (HTTPS / TLS) for all communication between Application and backend
• Firebase App Check (app-integrity attestation) to prevent unauthorized API access
• server-side validation of privileged operations via Cloud Functions

No method of transmission over the internet or electronic storage is 100% secure. While we strive to use commercially acceptable means to protect your data, we cannot guarantee absolute security.

Children's Privacy

The Application is intended for employees of the Fortenova Group and is not directed at persons under the age of 16. We do not knowingly collect personal data from children.

Links to Other Websites

The Application may display links to third-party sites (e.g., the company's corporate website) that are not under our control. We are not responsible for the content or privacy practices of those sites, and we recommend that you review their privacy policies.

Changes to this Policy

This Privacy Policy may be updated from time to time. We will notify you of material changes via the Application and by updating the "Last updated" date at the top of this document. Continued use of the Application after such changes constitutes acceptance of the updated Policy.

Contact

For questions about this Privacy Policy or data protection, you can contact us:

For exercising user rights (access, correction, deletion):
forte-park@mstart.eu

For general questions about privacy and GDPR (Data Protection Officer):
zastita.podataka@mstart.eu

If, after contacting mStart plus, you are not satisfied with the resolution of your request, you have the right to lodge a complaint with the Croatian data protection authority:
Personal Data Protection Agency (AZOP); azop@azop.hr