Politika privatnosti

PrimeStay je dva proizvoda pod jednim brandom. Da bismo bili maksimalno transparentni, ova politika eksplicitno razdvaja četiri sloja:

Sloj A — Marketing sajt (primestay.rs): Javne stranice, kontakt forma, blog, Google Analytics i Google Ads.

Sloj B — SaaS Platforma (app.primestay.rs): Web aplikacija dostupna posle registracije.

Sloj C — Mobilne aplikacije (iOS i Android): Capacitor-based aplikacija za iste funkcionalnosti kao Sloj B.

Sloj D — Managed Service: Operativno upravljanje nekretninom u Beogradu kroz zaseban Property Management Agreement (PMA). Stupa na snagu samo ako ste sa nama potpisali PMA.

Pravilo: ako neki sloj ne koristite, taj odeljak vas se ne tiče.

Filip Ivanović PR PrimeStay, Katanićeva 18, 11000 Beograd, Republika Srbija (PIB: 115504426, MB: 68417422).

PrimeStay obrađuje podatke u skladu sa Zakonom o zaštiti podataka o ličnosti Republike Srbije (ZZPL) i Uredbom EU 2016/679 (GDPR) u meri u kojoj se primenjuje na osnovu porekla korisnika.

Privacy zahtevi i zahtevi za prava subjekata: support@primestay.rs

Sales i Managed Service kontakt: info@primestay.rs

PrimeStay nema imenovanog Data Protection Officer-a (DPO) — naša obrada ne premašuje pragove iz čl. 37 GDPR-a.

Tabela ispod nabraja sve tipove podataka koje PrimeStay obrađuje, sa pravnim osnovom i slojem na koji se primenjuju (A/B/C/D).

Email adresa: Slojevi A, B, C, D. Svrha: account, login, billing, support, kontakt forma. Pravni osnov: čl. 6(1)(b) ugovor. Linked to user: DA. Used for tracking: NE.

Ime i prezime: Slojevi A, B, C, D. Svrha: profil, fakture, lead identifikacija. Pravni osnov: čl. 6(1)(b) ugovor.

Telefon (opciono): Slojevi A, D. Svrha: kontakt forma, managed service. Pravni osnov: čl. 6(1)(b) ugovor / čl. 6(1)(a) saglasnost.

Lozinka (bcrypt cost 12 hash): Slojevi B, C. Svrha: autentifikacija. Pravni osnov: čl. 6(1)(b) ugovor. Originalna lozinka u plain-text formi nikad ne napušta vaš uređaj osim u TLS-zaštićenom transmissionu.

Device ID (interni UUID): Slojevi B, C. Stabilan identifikator generisan na vašem uređaju, čuva se u Keychain-u (iOS) / EncryptedSharedPreferences (Android) / localStorage (web). Svrha: Trusted Devices, refresh token rotation. Pravni osnov: čl. 6(1)(f) legitimni interes (sigurnost).

Email change pending state: Slojevi B, C. Aktivira se samo kada pokrenete promenu emaila u Podešavanja → Profil. Čuvamo: novu adresu (pendingEmail), dva sha-256 hash-a tokena (jedan za potvrdu sa nove adrese, jedan za revoke sa stare), expiresAt (24h od zahteva), requestedAt. Originalni tokeni se NIKAD ne čuvaju — postoje samo u email linkovima koje šaljemo vama. Polja se brišu po potvrdi, otkazu ili sledećem zahtevu. Pravni osnov: čl. 6(1)(b) ugovor + (1)(f) sigurnost.

SecurityAuditLog — per-user security eventi: Slojevi B, C. Append-only log sigurnosnih događaja vezanih za vaš nalog: EMAIL_CHANGE_REQUESTED, EMAIL_CHANGE_CONFIRMED, EMAIL_CHANGE_REVOKED, EMAIL_CHANGE_CANCELED, EMAIL_CHANGE_RESENT (lista raste kako dodajemo nove sigurnosne tokove). Čuvamo: userId, opciono actorId (admin koji je izvršio akciju u vaše ime), kind, IP, JSON payload sa kontekstom događaja (npr. stara i nova email adresa), timestamp. Pravni osnov: čl. 6(1)(f) legitimni interes (forensika + zaštita naloga).

User preferences (App Configuration): Slojevi B, C. Personalizacija aplikacije: notifyEmail i notifyPush (master toggle-i), notifyOnCheckIn / notifyOnCheckOut / notifyOnNewBooking (granularni event toggle-i), dailyReportHour (sat za daily report), preferredLanguage (SR/EN), mobileTabBarOrder (vaš raspored tab bar dugmadi). Sve menjate sami u Podešavanjima. Ne dele se sa trećim licima. Pravni osnov: čl. 6(1)(b) ugovor.

FCM / APNs push token: Sloj C. Neprovidan jedinstveni identifikator za isporuku push notifikacija. Sadrži platformu (iOS/Android) i Firebase environment (PROD/STAGING). Pravni osnov: čl. 6(1)(b) ugovor. PrimeStay ne šalje promotional/marketing push — sve su operativne.

IP adresa: Slojevi A, B, C. Pravni osnov: čl. 6(1)(f) legitimni interes (auth, abuse prevention, lokalni geo lookup).

User-Agent: Slojevi A, B, C. Svrha: Trusted Devices label, debug.

Aproksimativna lokacija (država, grad iz IP-a): Slojevi B, C. Lookup se vrši u lokalnoj MaxMind GeoLite2-City bazi koja se nalazi na našem serveru. Vaš IP NIKAD ne odlazi do MaxMind-a niti bilo kog third-party API-ja.

Precizna lokacija (GPS): NE PRIKUPLJAMO. Aplikacija nikad ne traži dozvolu za lokaciju.

Operativni sadržaj (nekretnine, rezervacije, troškovi, zadaci): Slojevi B, C. Pravni osnov: čl. 6(1)(b) ugovor. Vlasnik je rukovalac, PrimeStay je obrađivač.

Podaci o gostima (ime, telefon, beleške): Slojevi B, C, D. Pravni osnov: čl. 6(1)(f) legitimni interes vlasnika (B/C). Sloj D — vidi sekciju 7 ako ste sa nama potpisali PMA.

Paddle customer/subscription ID, iznos, period, plan: Slojevi B, C. Echo iz Paddle webhook-a. Pravni osnov: čl. 6(1)(b) ugovor + čl. 6(1)(c) zakonska obaveza (knjigovodstvo).

Brojevi platnih kartica: NE PRIKUPLJAMO. Paddle obrađuje direktno (PCI scope kod njih).

Mobilni OS crash data (iOS / Android): Slojevi C. Sistemska aplikacija pada → OS-level crash report odlazi Apple-u / Google-u. PrimeStay ne agregira i ne čuva ove crash log-ove. Sentry FE SDK NIJE instaliran u mobilnoj aplikaciji.

Backend error & performance traces (server-side Sentry): Slojevi B, C (uvek aktivno bez obzira sa kog uređaja korisnik pristupa, jer se odnosi na naš API server). Kad backend baci grešku ili pri 10% sample-u performance trace-a šalje se: opaque userId (UUID), organization_id, role, stack trace, URL path, HTTP status. Email NIJE u payload-u — beforeSend hook striktuje email-shaped tokene iz svih string polja, plus userId-only `setUser` (industry pattern Stripe/Linear/Vercel). Pravni osnov: čl. 6(1)(f) legitimni interes (sigurnost + reliability). Sentry kao sub-processor — vidi Sekciju 7.

Kontakti, fotografije, kalendar, mikrofon, kamera, zdravstveni podaci: NE PRISTUPAMO.

IDFA / AAID / advertising identifiers: NE PRIKUPLJAMO. App Tracking Transparency prompt nije prikazan jer nemamo šta da tražimo.

Biometric template (otisak, sken lica): NIKAD NE NAPUŠTA Secure Enclave / StrongBox vašeg uređaja. Aplikacija dobija samo Boolean odgovor "uspelo / nije uspelo".

GA4 event payload (samo posle saglasnosti): Sloj A. ID: G-8Z2TTGP38Z. Aktivira se samo posle "Prihvati sve" u consent banner-u (Google Consent Mode v2 default denied). Anonimizovan IP.

Google Ads conversion (samo posle saglasnosti): Sloj A. ID: AW-3967715400. Conversion event metadata bez PII.

Default ponašanje pre saglasnosti: server log podataka (IP, User-Agent, putanja, referrer) — čuva se 90 dana. Ništa se ne šalje Google-u dok ne kliknete "Prihvati sve".

Forma na sajtu: Sajt ima jednu formu — kontakt formu (name, email, phone, message). Marketing sajt je statički (SSG) — forma POST-uje na javni endpoint PrimeStay API servera (api.primestay.rs/public/contact) koji prosleđuje email u PrimeStay sales inbox info@primestay.rs preko Resend-a. support@primestay.rs je rezervisan za tehničku podršku, privacy/SAR zahteve i billing. Newsletter ni waitlist sistem ne postoji — UI za to je uklonjen.

UTM attribution prosleđivanje: Klikom na CTA "Registruj se", browser vas redirektuje na app.primestay.rs/signup sa atribucijskim parametrima (utm_source, utm_medium, utm_campaign, utm_content) u URL-u. Snimaju se u kolonu Organization.signupSource (max 500 char) i koriste se isključivo za internu konverzionu analitiku. Ne dele se sa trećim licima i ne koriste za retargeting.

Cookies: Detaljna lista u Politici kolačića. Bez saglasnosti aktivni su samo neophodni kolačići (consent izbor, jezik, tema, sidebar). GA4 i Google Ads se aktiviraju isključivo posle "Prihvati sve" u consent banner-u.

Šta se prikuplja pri registraciji: Email, lozinka, ime organizacije, uloga (ADMIN / MANAGER / OWNER / STAFF), preferirani jezik (SR / EN), notification toggles, UTM attribution iz URL-a.

Šta se prikuplja pri svakom login-u (RefreshToken / Trusted Devices): SHA-256 hash refresh tokena (originalni token nikad ne čuvamo); deviceId; deviceLabel ("iPhone 15 Pro", "Chrome na macOS"); userAgent; ipAddress; country i city iz lokalne MaxMind baze; expiresAt, lastUsedAt, createdAt, revokedAt, revokedReason. Svrha: Trusted Devices funkcionalnost — u Podešavanja → Sigurnost vidite listu svih aktivnih sesija i možete ukinuti bilo koju daljinski. Reuse-detection automatski revokeuje celu token familiju ako otkrije znak krađe.

Automatski revoke svih sesija (zaštita pri sigurnosnim događajima): Sve aktivne sesije se revoke-uju odjednom i svi uređaji su prisiljeni na ponovni login u sledećim slučajevima: (a) kada potvrdite promenu email adrese — sprečava napadača koji je iniciirao promenu da zadrži sesiju kad email "pukne"; (b) kada reuse-detection otkrije ponovno korišćenje već rotiranog refresh tokena — odbrana od krađe tokena; (c) kada ručno kliknete "Odjavi sa svih uređaja" u Trusted Devices listi.

Forensic blok u email notifikacijama o sigurnosnim akcijama: Kad neko pokrene osetljivu akciju na vašem nalogu (npr. promenu emaila), notice email koji ide na staru adresu sadrži IP adresu izvršioca, približnu lokaciju (grad, država) iz lokalne GeoIP baze i precizan timestamp u UTC-u. Cilj je da legitimni vlasnik može u trenutku da prepozna da li je on izveo akciju ili ne. Ako IP nije dostupan (proxy strip), forensic blok se izostavlja iz emaila umesto prikaza praznog placeholder-a. Pravni osnov: čl. 6(1)(f) legitimni interes (zaštita naloga).

Push notifikacije (samo mobilna aplikacija): Kad odobrite OS-level dozvolu (sistemski prompt na iOS i Android 13+), aplikacija registruje FCM ili APNs token kod nas. Sve push notifikacije su operativne (čl. 6(1)(b) ugovor): BOOKING_CREATED, BOOKING_STATUS_CHANGED, BOOKING_CANCELLED, BOOKING_CHECKIN_TODAY, BOOKING_CHECKOUT_TODAY, TASK_ASSIGNED, TRIAL_REMINDER. Promotional / marketing push ne šaljemo. Granularno isključivanje u Podešavanja → Notifikacije ili u OS-u.

Biometric autentifikacija: Opciona — Face ID, Touch ID, Android BiometricPrompt preko našeg custom Capacitor plugin-a @primestay/auth-native. Biometric template (otisak, sken lica) NIKAD ne napušta Secure Enclave / StrongBox. Aplikacija dobija isključivo Boolean odgovor.

Sigurno čuvanje token-a na uređaju: iOS Keychain (kSecClassGenericPassword, flag kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly — NIJE u iCloud Keychain backup-u, briše se na uninstall, dostupan samo posle prvog unlock-a od boot-a). Android EncryptedSharedPreferences sa MasterKey-em (AES256-GCM AEAD, master ključ u Android Keystore TEE/StrongBox tamo gde je hardver podržan). Web: localStorage (industry-standard kompromis za SPA refresh token).

Lozinka: bcrypt cost factor 12. Originalna lozinka nikad ne napušta vaš uređaj osim u TLS-zaštićenom transmissionu, i ne čuva se na serveru.

Geografska lokacija po IP-u: Lokalna MaxMind GeoLite2-City .mmdb baza na našem Hetzner serveru (Nemačka). Vaš IP NIKAD ne odlazi do MaxMind-a niti bilo kog third-party API-ja. Lookup je deterministička pretraga lokalnog fajla. Tačnost je gradska (ne ulična).

Šta NE radimo: Nema GA, nema Google Ads, nema bilo kog analytics SDK-a u SaaS aplikaciji ili mobilnoj aplikaciji. Nema cross-app tracking-a. Nema GPS-a, kamere, mikrofona, kontakta, kalendara, fotografija. Nema IDFA / AAID / advertising identifikatora. Bez behavioral profiliranja.

Ovaj odeljak stupa na snagu tek ako ste sa PrimeStay-em potpisali Property Management Agreement (PMA). Ako niste — možete preskočiti.

Trenutno PrimeStay nudi Managed Service kao zasebnu uslugu pored SaaS Platforme. Svaki angažman zahteva pisani PMA pre operativnog starta. Privacy odredbe ispod opisuju režim koji se aktivira tim potpisom.

Pravna pozicija: Kada potpišete PMA, PrimeStay direktno preuzima operativu vaše nekretnine za kratkoročno iznajmljivanje. Za podatke gostiju vi ostajete rukovalac (jer je nekretnina vaša i ugovor o najmu je između vas i gosta), a PrimeStay je joint controller (čl. 26 GDPR) jer u svoje ime komunicira sa gostima i koristi guest podatke za optimizaciju cena i listing-e.

Joint Controller dogovor (essence): Detalji u PMA. Vlasnik je odgovoran za: registraciju nekretnine kod nadležnih organa (turistička inspekcija, eTurista — Centralni informacioni sistem za turizam), prijavljivanje gostiju, plaćanje boravišne takse i poreza. PrimeStay je odgovoran za: zakonitost OTA listing-a, komunikaciju sa gostima u realnom vremenu, ispunjavanje gostovih privacy zahteva kad gost direktno kontaktira PrimeStay, GDPR compliance OTA integracije.

Šta se prikuplja u Managed Service kontekstu: Pored Sloja B/C podataka: guest komunikacija preko Airbnb / Booking inbox-a (čuva se u tim platformama, PrimeStay agenti pristupaju kroz operativni nalog); telefonski kontakt sa gostom; key handover detalji; operativne fotografije nekretnine.

Pružanje SaaS usluge: čl. 6(1)(b) izvršenje ugovora.

Naplata pretplate: čl. 6(1)(b) izvršenje ugovora.

Operativne notifikacije (in-app, email, push): čl. 6(1)(b) izvršenje ugovora.

Sprečavanje zloupotrebe (rate-limit, reuse-detection, audit log): čl. 6(1)(f) legitimni interes.

Trusted Devices i geo lookup: čl. 6(1)(f) legitimni interes — zaštita naloga.

Knjigovodstvene obaveze (fakture): čl. 6(1)(c) zakonska obaveza.

Managed service operativa (komunikacija sa gostom): čl. 6(1)(b) ugovor sa vlasnikom + (1)(f) prema gostu.

Marketing site analytics (GA4, Google Ads): čl. 6(1)(a) saglasnost (Cookie Consent Banner).

Sa svakim obrađivačem zaključujemo ugovor (DPA) sa najmanje istim nivoom zaštite kao u našem DPA prema klijentima.

Hetzner Online GmbH: VPS hosting (PostgreSQL, API, GeoIP DB). Lokacija: Nemačka (EU). Slojevi: A, B, C, D. DPA — obrada unutar EU.

Paddle.com Market Ltd: Separate controller — Merchant of Record (naplata). NIJE naš sub-processor; Paddle Data Sharing Addendum eksplicitno tvrdi Art. 26 Controller-to-Controller arrangement. Naveden ovde radi transparentnosti deljenja podataka. Lokacija: UK / EU. Slojevi: B, C. Paddle Data Sharing Addendum + UK adequacy.

Resend, Inc.: Transakcioni email (verifikacija, reset, notifikacije, support). Lokacija: EU + US. Slojevi: A, B, C, D. DPA + SCC 2021/914.

Google LLC — Firebase Cloud Messaging: Push delivery (Android primarno, iOS preko APNs proxy-ja). Lokacija: US. Sloj: C. Google Cloud DPA + SCC.

Apple Inc. — APNs: iOS push delivery. Lokacija: US. Sloj: C. Apple Developer Agreement + SCC.

MaxMind, Inc.: Distribucija GeoLite2-City .mmdb fajla. Bez runtime poziva sa korisničkim podacima — vaš IP ne ide do MaxMind-a. Lokacija: US (samo download fajla).

Functional Software, Inc. (Sentry): Backend error tracking + 10% performance traces za naš API server. Slojevi: B, C (server-side). Lokacija: EU (de.sentry.io — Sentry organizacija je konfigurisana sa Data Storage Region: European Union). Šta se prosleđuje: opaque userId, organization_id tag, role tag, stack trace, URL path, HTTP status. Šta se NE prosleđuje: email, IP (sendDefaultPii: false), cookies, request body, lozinke (default + custom Data Scrubbers + Advanced regex za email i telefon). Pravna osnova: DPA — obrada unutar EU, bez SCC tereta.

Google LLC — Analytics 4 (G-8Z2TTGP38Z): Analitika marketing sajta. Sloj A samo. Aktivira se isključivo posle saglasnosti kroz Cookie Banner.

Google LLC — Google Ads (AW-3967715400): Conversion tracking marketing sajta. Sloj A samo. Saglasnost obavezna.

Apple App Store / Google Play: Distribucija mobilne aplikacije. Lokacija: US. Sloj C.

Live ažurirana lista: primestay.rs/legal/sub-processors. Bićete obavešteni email-om najmanje 30 dana pre uvođenja novog sub-processor-a koji obrađuje vaše lične podatke.

Šta NE radimo: ne integrišemo Facebook Pixel, TikTok Pixel, LinkedIn Insight, Mixpanel, Hotjar, Crashlytics (FE), Segment, AppsFlyer, Branch, ili bilo koji drugi user-behavior tracker. Sentry koristimo isključivo za backend error & performance traces (server-side, listed iznad) — bez FE SDK-a, bez user-behavior trackinga. Ne prodajemo i ne iznajmljujemo podatke trećim licima.

Aktivni nalog korisnika (SaaS): Dok je nalog aktivan.

Podaci posle brisanja naloga: Soft-delete 30 dana, potom trajno brisanje (osim zakonske dokumentacije).

Knjigovodstvena dokumentacija: 10 godina (čl. 13. Zakona o računovodstvu).

Backup-i baze: 30 dana, enkriptovani at-rest.

Push tokeni (FCM unregistered odgovor): Brišu se odmah; ručna provera 60 dana.

RefreshToken (revoked): 90 dana posle revoke-a (forensics window), zatim brisanje.

Server access logovi: 90 dana.

AdminAuditLog (platform-admin akcije): 5 godina.

SecurityAuditLog (per-user security eventi): 5 godina (forensic window — paritet sa AdminAuditLog). Brišu se zajedno sa nalogom posle isteka soft-delete perioda.

Email change pending state (pendingEmail, hash-ovi tokena): Tokeni važe 24h. Posle isteka ili confirm/cancel-a, polja se brišu sledećim zahtevom za izmenu ili kroz periodični cleanup. Zaostali expired redovi su funkcionalno bezopasni — confirm endpoint odbija expired token bezuslovno.

Email log (Resend): 30 dana kod Resend-a; naša evidencija slanja: 90 dana.

GA4 podaci (samo Sloj A, samo posle saglasnosti): 14 meseci (GA4 default).

Email-ovi iz kontakt forme: Do rešavanja upita; brišu se na zahtev (support@primestay.rs).

Pravo na pristup (čl. 15): Kopija svih podataka koje imamo o vama.

Pravo na ispravku (čl. 16): Većinu polja menjate sami u Podešavanjima.

Pravo na brisanje / "pravo na zaborav" (čl. 17): Brisanje naloga i podataka, osim onih koje smo dužni čuvati zakonski. Detaljne instrukcije sa oba kanala (in-app + email) su na primestay.rs/sr/account-deletion.

Pravo na ograničenje obrade (čl. 18):

Pravo na prenosivost (čl. 20): Strukturiran, mašinski-čitljiv format (JSON export).

Pravo na prigovor (čl. 21): Protiv obrade na osnovu legitimnog interesa.

Pravo na povlačenje saglasnosti (čl. 7(3)): Bilo kad, bez obrazloženja. Ne utiče na zakonitost obrade pre povlačenja.

Kako iskoristiti: support@primestay.rs. Odgovaramo u 30 dana.

Pravo na pritužbu nadzornom organu: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije (poverenik.rs). EU/EEA stanovnici: nadzorni organ vaše države prebivališta.

Tehničke mere: TLS 1.2+ (preferred 1.3). Backup-i enkriptovani at-rest. bcrypt cost 12. JWT pristupni token kratko-trajan; refresh rotacija sa reuse-detection. iOS Keychain (NIJE u iCloud Keychain backup-u). Android EncryptedSharedPreferences (AES256-GCM AEAD). Multi-tenant izolacija. Rate-limiting na auth ruti.

Organizacione mere: Pristup produkciji ograničen na ovlašćeni tim, SSH ključevi (bez password log-in-a). AdminAuditLog — append-only zapis svih platform-admin akcija. SecurityAuditLog — append-only zapis per-user sigurnosnih evenata (promena emaila i drugi sigurnosni tokovi koji se postepeno dodaju). Oba su append-only — operativni admin ih NE može ručno modifikovati ni brisati.

Hosting: Hetzner Online GmbH, Nemačka (EU). DPA in place.

Notifikacija incidenta: U slučaju povrede koja ugrožava vaše podatke, obaveštavamo vas i Poverenika u roku od 72 sata (čl. 33–34 GDPR).

Neki obrađivači su van EU/EEA (US — Resend, Firebase, APNs, App Store, Play Store, GA, Google Ads). Pravna osnova: Standardne ugovorne klauzule (SCC) Evropske komisije (Implementing Decision 2021/914) ili adequacy decisions (UK). Sentry NIJE u ovoj listi — naša Sentry organizacija je konfigurisana sa EU Data Storage Region, pa se sav backend error i performance traces obrađuju unutar EU.

GA i Google Ads se aktiviraju isključivo posle vaše saglasnosti kroz Cookie Banner (čl. 49(1)(a) saglasnost).

PrimeStay je poslovni alat namenjen punoletnim licima koji vode kratkoročno iznajmljivanje. Minimalni uzrast za korišćenje: 18 godina (poslovna sposobnost potrebna za sklapanje ugovora o pretplati i obradu ličnih podataka gostiju). Svesno ne prikupljamo podatke dece. Ako saznamo da smo slučajno prikupili podatke deteta, odmah ćemo ih izbrisati.

Major (1.x → 2.x): Materijalna izmena obima obrade, novi sub-processor, promena pravne osnove. Email + in-app banner, 30 dana pre stupanja na snagu.

Minor (2.0 → 2.1): Jasnoća, ispravka tipfelera. Odmah, in-app banner.

Datum poslednje izmene i broj verzije navedeni su na vrhu dokumenta.

Privacy zahtevi (SAR, brisanje, prigovor): support@primestay.rs

Tehnička podrška: support@primestay.rs

Sales / Managed Service / Demo: info@primestay.rs

Sigurnosna prijava (responsible disclosure): support@primestay.rs

Poštanska adresa: Filip Ivanović PR PrimeStay, Katanićeva 18, 11000 Beograd, Republika Srbija.