PGŽ Sport ERP/CRM · v1 · 2026

Politika privatnosti i zaštite osobnih podataka

Verzija dokumenta: v1 · Stupa na snagu: 2026-05-04 · Posljednja izmjena: 2026-05-05

Voditelj obrade: Primorsko-goranska županija — Odjel za sport, Slogin kula 2/IV, Rijeka

Kontakt za GDPR: gdpr@pgz.hr

Službenik za zaštitu podataka (DPO): Damir Radulić — damir@rinet.one

1. Koje podatke prikupljamo

Platforma PGŽ Sport prikuplja i obrađuje sljedeće kategorije osobnih podataka, sukladno Općoj uredbi o zaštiti podataka (GDPR — Uredba (EU) 2016/679) i Zakonu o provedbi Opće uredbe o zaštiti podataka (NN 42/18):

Identifikacijski podaci: ime, prezime, OIB, datum rođenja, spol
Kontakt podaci: e-pošta, broj telefona, adresa kluba/saveza
Funkcijski podaci: uloga (predsjednik, tajnik, član, trener), klub/savez, kategorija
Tehnički podaci: IP adresa prilikom prijave, identifikator sesije, podaci o uređaju (User-Agent), vrijeme prijave
Sigurnosni podaci: lozinka (hash), 2FA tajna (kriptirana), revocirani tokeni
Sportski podaci: licence, kategorizacija, liječnički pregledi, članarine, transferi

2. Pravna osnova obrade (čl. 6 GDPR)

Kategorija obrade	Pravna osnova	Članak
Prijava, sigurnost sesije, audit log	Legitimni interes voditelja obrade	čl. 6(1)(f)
Vođenje registra sportskih klubova	Pravna obveza (Zakon o sportu, NN 141/22)	čl. 6(1)(c)
Obrada zahtjeva za sufinanciranje	Izvršavanje zadaće u javnom interesu	čl. 6(1)(e)
Analitički kolačići	Privola (opt-in)	čl. 6(1)(a)
Marketinške komunikacije	Privola (opt-in)	čl. 6(1)(a)

3. Vaša prava (čl. 15–22 GDPR)

Članak 15 — Pravo na pristup

Imate pravo dobiti potvrdu obrađuju li se Vaši osobni podaci te pristup tim podacima. Implementirano kroz: GET /api/users/me/gdpr-export (vraća JSON s kompletnim profilom, sesijama, audit logom, povijesti privola, vezama na klub/savez).

Članak 16 — Pravo na ispravak

Imate pravo zatražiti ispravak netočnih podataka. Implementirano kroz: PUT /api/auth/me (ime, prezime, OIB, telefon, jezik) i sučelje "Moj profil".

Članak 17 — Pravo na brisanje ("pravo na zaborav")

Imate pravo zatražiti brisanje Vaših osobnih podataka kada osnova za obradu prestane. Implementirano kroz: POST /api/users/me/gdpr-erase ili POST /api/gdpr/erase. Zahtjev se obrađuje u roku od 30 dana. Nakon odobrenja, identifikacijski podaci se anonimiziraju (e-pošta postaje erased-{id}@anonymous.gdpr, ime postaje "Erased", OIB i telefon se brišu).

Napomena: Pojedini podaci moraju ostati zbog pravne obveze (npr. revizijski trag financijskih transakcija — Zakon o računovodstvu, 11 godina). U tom slučaju podaci se pseudonimiziraju, ali ne brišu u potpunosti.

Članak 18 — Pravo na ograničenje obrade

Imate pravo zatražiti privremeno ograničenje obrade dok se ne riješi spor o točnosti podataka. Kontaktirajte gdpr@pgz.hr.

Članak 20 — Pravo na prenosivost podataka

Imate pravo dobiti svoje podatke u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu (JSON). Implementirano kroz: GET /api/users/me/gdpr-export.

Članak 21 — Pravo na prigovor

Imate pravo prigovoriti obradi temeljenoj na legitimnom interesu. Kontaktirajte gdpr@pgz.hr.

Članak 7(3) — Povlačenje privole

Privola za neobvezne kolačiće (analitika, marketing) može se povući u bilo kojem trenutku, jednako jednostavno kao što je dana. Implementirano kroz: POST /api/users/me/withdraw-consent ili DELETE /api/users/me/gdpr-consent.

4. Kolačići

Tip	Svrha	Trajanje	Pravna osnova
Nužni	Sesija, CSRF, sigurnost prijave	Sesija	Legitimni interes
Funkcionalni	Postavke jezika, tema, sidebar stanje	30 dana	Privola
Analitički	Anonimne statistike korištenja	365 dana	Privola
Marketinški	Trenutno se ne koriste	—	Privola

5. Razdoblja čuvanja

Audit log (prijave, izmjene): 5 godina
Sesijski tokeni: max 90 dana, a po odjavi se opozivaju
Korisnički profili: dok je račun aktivan + 1 godina nakon deaktivacije
Financijski podaci: 11 godina (Zakon o računovodstvu, čl. 8)
Podaci o članovima klubova: dok je član registriran u klubu + 5 godina

6. Sigurnosne mjere

HTTPS (TLS 1.3) za sav promet
Lozinke pohranjene kao Argon2/bcrypt hash
Dvofaktorska autentikacija (TOTP) dostupna svim korisnicima
Audit log svih akcija sa IP adresom i User-Agentom
OIB se prikazuje samo administratorima; za ostale korisnike se maskira (•••XXX••)
Pristup po načelu najmanjih ovlasti (RBAC) — uloge: super_admin, pgz_admin, savez_admin, klub_admin, klub_user, klub_clan, viewer

7. Dijeljenje podataka s trećim stranama

Vaši podaci se ne prodaju i ne ustupaju trećim stranama u marketinške svrhe. Podaci se mogu razmjenjivati isključivo s:

Hrvatskim sportskim savezom — kada je to pravna obveza za registraciju kluba/člana
Ministarstvom turizma i sporta — pri prijavi za sufinanciranje
Nadležnim tijelima (sud, policija) — na temelju pravomoćnog naloga

8. Pritužbe

Pritužbu na obradu osobnih podataka možete podnijeti:

Voditelju obrade: gdpr@pgz.hr
Službeniku za zaštitu podataka: damir@rinet.one
Agenciji za zaštitu osobnih podataka (AZOP), Selska cesta 136, Zagreb — azop.hr

Strojno čitljiva verzija ove politike: dostupna na GET /api/gdpr/policy u JSON formatu (verzija, URL, popis prava, kontakti).