← Povratak na početnu
Politika privatnosti
1. Rukovalac podataka i kontakt
ALAI-Tech d.o.o., Beograd, Srbija — pravni operater platforme Bilko za teritoriju Republike Srbije. Matična kompanija: ALAI Holding AS (Norveška, org.br 932 516 136).
| Polje | Detalji |
|---|---|
| Naziv entiteta (rukovalac RS) | ALAI-Tech d.o.o. |
| Registracija | Beograd, Srbija (u osnivanju — PIB: TBD) |
| Matična kompanija | ALAI Holding AS, Norveška (org.br 932 516 136) |
| Email (privatnost) | privacy@bilko.io |
| Web stranica | https://bilko.io |
Za sva pitanja u vezi privatnosti pišite na: privacy@bilko.io
DPO nije imenovan — Bilko ne ispunjava pragove obaveznog imenovanja DPO prema GDPR čl. 37(1) niti prema srpskom ZZPL-u. Procjena se vrši godišnje.
2. Obim i primjena
Ova Politika privatnosti primjenjuje se na sve korisnike Bilko platforme dostupne na app.bilko.io, sve registrovane organizacije i njihove korisnike, te sve podatke koje Bilko obrađuje u okviru pružanja cloud računovodstvenih usluga u Srbiji.
3. Pravni okvir
Bilko obrađuje lične podatke u skladu sa:
| Jurisdikcija | Primjenljivi zakon | Nadzorno tijelo |
|---|---|---|
| Srbija | ZZPL — Zakon o zaštiti podataka o ličnosti (Sl. glasnik RS 87/2018) | Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (poverenik.rs) |
4. Koji podaci se prikupljaju
4.1 Podaci o nalogu i registraciji
| Element podatka | Svrha |
|---|---|
| Email adresa | Autentifikacija naloga, obavještenja |
| Puno ime | Identifikacija korisnika unutar organizacije |
| Lozinka (bcrypt hashirana) | Autentifikacija — nikad nije pohranjena u čistom tekstu |
| Naziv organizacije | Multi-tenant konfiguracija naloga |
| Zemlja poslovanja | Primjena jurisdikcijski specifičnih pravila (stope PDV-a, kontni plan) |
| Osnovna valuta | Finansijski obračuni |
4.2 Finansijski i poreski podaci
| Element podatka | Jurisdikcija | Enkripcija |
|---|---|---|
| PIB (Poreski identifikacioni broj) | RS | AES-256 na disku |
| JMBG (samo kad je zakonski obavezan) | RS | AES-256-GCM na nivou polja |
| IBAN / Brojevi bankovnih računa | Svi | AES-256 na disku + maskiranje u API-ju |
| Iznosi faktura (osnovica, PDV, ukupno) | Svi | AES-256 u mirovanju |
| Zapisi o transakcijama (duguje/potražuje) | Svi | AES-256 u mirovanju |
| Evidencija troškova | Svi | AES-256 u mirovanju |
| Kontaktni podaci klijenata/dobavljača | Svi | TLS 1.3 u prenosu |
Napomena o JMBG: JMBG prikupljamo isključivo kada korisnik izričito potvrdi da se faktura ispostavlja fizičkom licu (ne pravnom subjektu) — gejtirano UI potvrdom.
4.3 Tehnički i operativni podaci
| Element podatka | Rok čuvanja | Svrha |
|---|---|---|
| IP adresa | 30 dana | Sigurnosni monitoring, otkrivanje prevare |
| Browser user-agent | 30 dana | Sigurnosni monitoring |
| Session tokeni (JWT, refresh tokeni) | 15 min (access) / 7 dana (refresh) | Autentifikacija |
| Zapisi revizijskog traga (LoggedAction) | 10 godina | Zakonska usklađenost, računovodstveni zakon |
| API log zapisi | 30 dana | Sigurnost i otklanjanje grešaka |
5. Pravni osnov za obradu
| Kategorija podataka | Pravni osnov | GDPR čl. | ZZPL čl. |
|---|---|---|---|
| Email, puno ime | Izvršenje ugovora | čl. 6(1)(b) | čl. 12(1)(b) |
| Podaci o organizaciji | Izvršenje ugovora | čl. 6(1)(b) | čl. 12(1)(b) |
| PIB, JIB | Zakonska obaveza — računovodstveni i poreski zakon | čl. 6(1)(c) | čl. 12(1)(c) |
| JMBG (kad je zakonski obavezan) | Zakonska obaveza | čl. 6(1)(c) | čl. 12(1)(c) |
| IBAN | Izvršenje ugovora | čl. 6(1)(b) | čl. 12(1)(b) |
| Fakture i transakcije | Zakonska obaveza — rokovi čuvanja po računovodstvenom zakonu | čl. 6(1)(c) | čl. 12(1)(c) |
| IP adresa, session logovi | Legitimni interes — sigurnost platforme | čl. 6(1)(f) | čl. 12(1)(f) |
| Revizijski trag (LoggedAction) | Zakonska obaveza — računovodstveni zakon zahtijeva neizmjenjiv revizijski trag | čl. 6(1)(c) | čl. 12(1)(c) |
6. Kako koristimo vaše podatke
Podatke koristimo isključivo za:
- Pružanje Bilko usluge — kreiranje i upravljanje fakturama, troškovima, transakcijama, finansijskim izvještajima
- Osiguranje zakonske usklađenosti — slanje e-faktura na SEF portal, čuvanje računovodstvenih evidencija u skladu sa obaveznim rokovima
- Sigurnost platforme — autentifikacija korisnika, sprječavanje neovlašćenog pristupa
- Komunikaciju s vama — obavještenja o fakturama, podsjetnici za plaćanje, najave usluge
- Poboljšanje usluge — analiza obrazaca korištenja u agregiranom, anonimizovanom obliku
Ne prodajemo vaše podatke trećim stranama. Ne koristimo vaše finansijske podatke za reklamiranje ili profilisanje.
7. Rokovi čuvanja podataka
| Kategorija podataka | Rok čuvanja | Osnov |
|---|---|---|
| Finansijski izvještaji i računovodstvene evidencije | 10 godina | Zakon o računovodstvu RS (Sl. glasnik RS 73/2019) |
| Evidencija faktura | 10 godina | Zakon o računovodstvu i Zakon o PDV |
| Evidencija troškova | 10 godina | Zakon o računovodstvu |
| Revizijski trag (LoggedAction) | 10 godina | Zakon o računovodstvu |
| PDV evidencija | 10 godina | Poreski zakon |
| Korisnički podaci naloga (ime, email) | Trajanje naloga + 30 dana po zatvaranju | Izvršenje ugovora |
| IP adrese i session logovi | 30 dana | Legitimni interes |
| JWT refresh tokeni | 7 dana | Izvršenje ugovora |
Važno — Ograničenje prava na brisanje: Finansijski zapisi (fakture, transakcije, evidencija troškova) ne mogu se brisati tokom obaveznog roka čuvanja prema Zakonu o računovodstvu RS. Ako zatvorite Bilko nalog, vaši lični identifikatori (ime, email) mogu se anonimizovati, ali podaci o finansijskim transakcijama moraju se čuvati 10 godina.
8. Dijeljenje podataka i obrađivači
Bilko dijeli vaše podatke isključivo sa sledećim kategorijama trećih strana, koje su sve obavezane Ugovorima o obradi podataka (DPA):
| Obrađivač | Uloga | Lokacija | Mehanizam prijenosa |
|---|---|---|---|
| Cloudflare | CDN, WAF, DDoS zaštita | SAD (promet kroz EU PoP-ove) | DPA + Standardne ugovorne klauzule |
| Google Cloud (Cloud Run) | Hosting API servisa | EU (europe-north1) | DPA — EU do EU |
8.1 Vladine institucije
Kada je zakonski obavezno, Bilko prenosi podatke e-faktura na:
- SEF portal (efaktura.mfin.gov.rs) — Ministarstvo finansija RS — za B2B e-fakture srpskih korisnika
9. Vaša prava kao subjekta podataka
Prema srpskom ZZPL-u imate sledeća prava:
| Pravo | ZZPL čl. | Kako ostvariti |
|---|---|---|
| Pravo pristupa — kopija vaših podataka | čl. 26 | Email: privacy@bilko.io |
| Pravo na ispravku — tačnost podataka | čl. 27 | Direktno u podešavanjima Bilka ili email |
| Pravo na brisanje — "pravo na zaborav" | čl. 28 | Email: privacy@bilko.io — uz ograničenja čuvanja finansijskih podataka |
| Pravo na prenosivost podataka — JSON/CSV export | čl. 30 | Export u Bilku (u razvoju) |
| Pravo na ograničenje obrade | čl. 29 | Email: privacy@bilko.io |
| Pravo na prigovor | čl. 31 | Email: privacy@bilko.io |
Na zahtjeve ćemo odgovoriti u roku od 30 dana (može se produžiti za još 2 mjeseca za složene zahtjeve uz obavještenje).
9.1 Pravo na pritužbu
Imate pravo da podnesete pritužbu nadzornom tijelu: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti — www.poverenik.rs
10. Sigurnosne mjere
| Mjera | Opis |
|---|---|
| Enkripcija u prenosu | TLS 1.3 (minimum TLS 1.2) za sve veze putem Cloudflare-a |
| Enkripcija u mirovanju | AES-256 disk-level enkripcija na svoj infrastrukturi |
| Enkripcija na nivou polja | AES-256-GCM za JMBG — najosjetljiviji lični identifikatori |
| Maskiranje IBAN-a | Prikazuju se samo posljednje 4 cifre u listama |
| Sigurnost lozinke | bcrypt sa faktorom troška 12 |
| Autentifikacioni tokeni | JWT RS256, 15-minutni rok važenja access tokena |
| Izolacija između zakupaca | Svaki DB upit je ograničen na vašu organizaciju |
| Kontrola pristupa po ulozi | 4 uloge (vlasnik, admin, računovođa, preglednik) |
| Neizmjenjivi revizijski log | Sve izmjene podataka evidentiraju se u append-only revizijskom tragu |
| Obavještenje o povredi | 72-satno obavještenje nadzornim tijelima u slučaju povrede ličnih podataka |
11. Kolačići i praćenje
Bilko koristi minimalni skup kolačića neophodnih za pružanje usluge:
| Kolačić | Svrha | Trajanje |
|---|---|---|
| bilko_session | Šifrovana referenca sesije za autentifikaciju | Sesija |
| bilko_refresh | HTTP-only refresh token za obnavljanje sesije | 7 dana |
Ne koristimo kolačiće trećih strana za reklamiranje niti piksele za praćenje.
12. Djeca
Bilko je poslovna računovodstvena platforma namijenjena vlasnicima preduzeća i računovodstvenim profesionalcima. Ne prikupljamo namjerno podatke od djece mlađe od 16 godina. Ako smatrate da je dijete registrovano na Bilku, kontaktirajte nas na privacy@bilko.io.
13. Izmjene ove politike
Možemo ažurirati ovu Politiku privatnosti kako bismo odrazili promjene naših praksi obrade podataka ili zakonskih zahtjeva. O značajnim izmjenama obavijestit ćemo vas:
- Emailom na vašu registrovanu email adresu (najmanje 30 dana prije stupanja na snagu promjene)
- Istaknutim obavještenjem na Bilko platformi
14. Kontakt za pitanja privatnosti
Za sva pitanja u vezi privatnosti, zahtjeve ili pritužbe:
Email za pitanja privatnosti:
privacy@bilko.io
ALAI-Tech d.o.o., Beograd, Srbija
Matična kompanija: ALAI Holding AS (Norveška, org.br 932 516 136)
15. Napomena za srpske korisnike (prema ZZPL-u)
Bilko obrađuje lične podatke u skladu sa srpskim Zakonom o zaštiti podataka o ličnosti (Sl. glasnik RS 87/2018 — "ZZPL"). Vaša prava prema ZZPL čl. 26–38 opisana su u odsjeku 9 ove politike.
Poreski identifikacioni podaci (PIB) obrađuju se na osnovu Zakona o poreskom postupku i poreskoj administraciji i Zakona o PDV. Računovodstvene evidencije čuvaju se na osnovu Zakona o računovodstvu (Sl. glasnik RS 73/2019) — minimalno 10 godina.
Podaci e-faktura dostavljaju se na SEF portal (efaktura.mfin.gov.rs) na osnovu Zakona o elektronskom fakturisanju (Sl. glasnik RS 44/2021). Ova transmisija predstavlja zakonsku obavezu — poseban pristanak nije potreban.
Puna politika privatnosti (engleski): bilko.io/privacy