Kasper

Politika privatnosti

Zadnje ažurirano: 21. travnja 2026.
Verzija: 1.0

1. O ovoj politici

Ova Politika privatnosti opisuje kako Concept Vision Technology LLC, 30N Gould St, Ste R, Sheridan, WY 82801, SAD ("mi", "nas", "naš") prikuplja, koristi, dijeli i štiti osobne podatke u sklopu pružanja usluge Kasper.

Ova politika pisana je u skladu s:

  • Općom uredbom o zaštiti podataka (GDPR, EU 2016/679)
  • Hrvatskim Zakonom o provedbi Opće uredbe o zaštiti podataka
  • Kalifornijskim Consumer Privacy Act-om (CCPA/CPRA)
  • Apple App Store zahtjevima za mobilne aplikacije

Kontakt za pitanja privatnosti: support@kasperagents.com

2. Definicije

  • Osobni podaci: svaka informacija koja se odnosi na identificiranu ili identificirbu osobu.
  • Obrada: svaka radnja koja se izvodi s osobnim podacima (prikupljanje, spremanje, korištenje, prijenos, brisanje).
  • Voditelj obrade: osoba koja određuje svrhe i sredstva obrade.
  • Izvršitelj obrade: osoba koja obrađuje podatke u ime voditelja.

Važno: u kontekstu Kaspera, pravni odnos ovisi o tome čije podatke obrađujemo:

  • Vaši osobni podaci (kao korisnika Kaspera): mi smo voditelj obrade.
  • Podaci vaših klijenata (osoba s kojima komunicirate kroz Kaspera): vi ste voditelj obrade, mi smo izvršitelj obrade u vaše ime.

3. Koje podatke prikupljamo

3.1. Podatke koje prikupljamo od vas kao korisnika

Podaci o računu:

  • Ime i prezime
  • E-pošta
  • Podaci o tvrtki ili obrtu
  • Lozinka (hashirana, nikad spremljena u čistom obliku)
  • Porezni broj (OIB) za izdavanje računa

Podaci o plaćanju:

  • Obrađuju se kroz Stripe — ne spremamo brojeve kartica na našim serverima
  • Iznos, datum i status pretplate

Tehnički podaci:

  • IP adresa
  • Vrsta uređaja, preglednika i operativnog sustava
  • Vremenske zone
  • Oznake sesije
  • Interakcije s aplikacijom (koje stranice, kada, koliko dugo)

Komunikacija:

  • E-poruke koje nam pošaljete
  • Zahtjevi za podršku
  • Odgovori na ankete

3.2. Podaci koje prikupljamo pri korištenju integracija

Kad povežete Kasper s vanjskim servisima, pristupamo:

Gmail (OAuth):

  • Vaša Gmail adresa
  • gmail.readonly: čitanje dolaznih e-mail razgovora kako bismo prikazali vaš inbox unutar Kaspera
  • gmail.send: slanje odgovora koje ste vi sastavili, u vaše ime
  • NE mijenjamo, ne označavamo, ne brišemo niti na bilo koji način ne mijenjamo e-poruke u vašem Gmail sandučiću
  • NE pristupamo nacrtima, postavkama ni bilo kojim Gmail podacima izvan čitanja inboxa i slanja odgovora koje ste sastavili
  • Refresh token za kontinuirani pristup

Google Calendar (OAuth):

  • Vaša primarna kalendarska evidencija
  • Mogućnost čitanja, izmjene, stvaranja i brisanja događaja

WhatsApp Business Platform:

  • Poslovni profil
  • Poruke primljene na vaš WhatsApp Business broj
  • Mogućnost slanja poruka kroz vaš broj

Instagram / Meta:

  • Poslovni profil
  • Direktne poruke
  • Mogućnost slanja odgovora

3.3. Podaci vaših klijenata

Kada vi primate i obrađujete poruke klijenata kroz Kaspera, mi u vaše ime obrađujemo:

  • Ime i kontakt podaci klijenta (iz zaglavlja poruka)
  • Sadržaj poruka
  • Priloge (PDF, slike, audio)
  • Vremenske oznake interakcija
  • Kategorije i klasifikacije koje Kasper generira

Važno: vi ste voditelj obrade podataka vaših klijenata. Vi ste odgovorni osigurati da imate valjanu pravnu osnovu za obradu (npr. ugovor, legitimni interes) i za informiranje vaših klijenata da koristite AI asistenta.

4. Kako koristimo podatke

4.1. Kao voditelj obrade (vaši podaci)

Pružanje Usluge (pravna osnova: izvršenje ugovora):

  • Autentikacija i upravljanje računom
  • Obrada plaćanja i izdavanje računa
  • Pružanje tehničke podrške

Poboljšanje Usluge (pravna osnova: legitimni interes):

  • Analiza korištenja radi poboljšanja značajki
  • Otkrivanje i sprečavanje zlouporabe
  • Sigurnosna revizija i praćenje pogrešaka

Komunikacija (pravna osnova: legitimni interes ili privola):

  • Obavijesti o promjenama Usluge ili Uvjeta
  • Odgovori na vaše upite
  • Marketinška komunikacija (samo uz vašu privolu, možete je povući)

Pravne obveze (pravna osnova: pravna obveza):

  • Poštivanje naloga nadležnih tijela
  • Izdavanje računa i porezna dokumentacija

4.2. Kao izvršitelj obrade (podaci vaših klijenata)

Obrađujemo podatke vaših klijenata isključivo prema vašim uputama, odnosno:

  • Klasifikacija i usmjeravanje dolaznih poruka
  • Generiranje nacrta odgovora kroz AI
  • Slanje odobrenih odgovora
  • Pohrana razgovora radi povijesti i konteksta
  • Ekstrakcija memorije za poboljšanje budućih odgovora

Ne obrađujemo podatke vaših klijenata za vlastite svrhe.

5. AI obrada i treći pružatelji

Kasper koristi AI modele sljedećih pružatelja za obradu teksta:

  • OpenAI (SAD) — GPT-4o, GPT-4o-mini, Whisper. Zero-retention API.
  • Google (SAD i EU) — Gemini 2.5 Flash. Zero-retention via Google AI Studio API.
  • Anthropic (SAD) — Claude Sonnet 4.6. Zero-retention API.

Što "zero-retention" znači:

  • Sadržaj poruka šalje se AI pružatelju za obradu
  • AI pružatelj NE sprema sadržaj nakon odgovora
  • Sadržaj se NE koristi za treniranje AI modela
  • AI obrada odvija se u stvarnom vremenu; podaci se brišu nakon generiranja odgovora

5a. Politika korištenja podataka Google API servisa

Korištenje informacija primljenih iz Google API-ja od strane Kaspera pridržavat će se Google API Services User Data Policy, uključujući zahtjeve Limited Use.

  • Pristupamo Google korisničkim podacima isključivo u opsezima koje ste izričito odobrili (gmail.readonly, gmail.send, contacts.readonly, contacts.other.readonly).
  • Ove podatke koristimo isključivo za pružanje korisniku vidljivih značajki Kaspera: prikaz vašeg inboxa, slanje odgovora u vaše ime te obogaćivanje poruka informacijama o pošiljatelju.
  • NE prenosimo Google korisničke podatke trećim stranama, osim kada je to nužno za pružanje ili poboljšanje korisniku vidljivih značajki, radi sukladnosti s primjenjivim zakonom ili kao dio spajanja, akvizicije ili prodaje imovine (uz prethodnu obavijest korisniku).
  • NE koristimo Google korisničke podatke za oglašavanje.
  • NE dopuštamo ljudsko čitanje Google korisničkih podataka, osim ako (a) imamo vašu izričitu privolu za određene poruke, (b) je nužno iz sigurnosnih razloga (istraga zlouporabe), (c) je nužno za usklađenost s primjenjivim zakonom, ili (d) su podaci agregirani i korišteni za interne operacije, sukladno politikama Google API-ja.
  • NE koristimo Google korisničke podatke za treniranje ili poboljšanje generaliziranih/nepersonaliziranih AI/ML modela.

6. Kome otkrivamo podatke

Nikad ne prodajemo vaše osobne podatke. Dijelimo ih samo:

S pružateljima infrastrukture (kao izvršiteljima obrade):

PružateljSvrhaLokacija podataka
SupabaseBaza podataka i autentikacijaEU (Frankfurt)
NetlifyHosting web aplikacijeEU i globalno
CloudflareCDN i DDoS zaštitaGlobalno
StripeObrada plaćanjaSAD i EU
ResendSlanje sistemskih e-poštaEU
Loops.soTransakcijska e-poštaSAD
OpenAIAI obrada teksta i zvukaSAD
GoogleGmail/Calendar integracije, Gemini AISAD i EU
AnthropicClaude AI obradaSAD
Brave Search APIWeb pretraga za AI alateSAD
MetaWhatsApp i Instagram integracijeSAD i EU

S nadležnim tijelima ako to zakon zahtijeva (sudski nalog, naredba inspekcije itd.).

U slučaju poslovnog prijenosa: ako dođe do spajanja, akvizicije ili prodaje imovine, podaci mogu biti dio prenosive imovine. Obavijestit ćemo vas unaprijed.

7. Gdje se spremaju vaši podaci

  • Primarna lokacija: Supabase Frankfurt (EU), za baze podataka i pohranu datoteka.
  • AI obrada: privremeno se šalje AI pružateljima u SAD za vrijeme generiranja odgovora.
  • Backup: šifrirane rezervne kopije u EU.

8. Čuvanje i brisanje podataka

Čuvanje na razini računa

  • Podaci o računu: za vrijeme trajanja pretplate + 90 dana nakon otkazivanja.
  • Povijest poruka i razgovora: za vrijeme trajanja pretplate + 90 dana; možete ručno obrisati ranije.
  • Zapisnici sustava (logs): 90 dana.
  • Podaci o plaćanju (računi): 10 godina (hrvatski porezni zakon).
  • Šifrirani backupi: rotacija svakih 30 dana.
  • Memorija Copilot AI: dok je ne obrišete kroz /admin/memories.

Odspajanje Google integracije (Gmail ili Kontakti)

Google integraciju možete odspojiti u svakom trenutku, na dva načina:

  1. Unutar Kaspera na /app/settings → Povezani računi → Odspoji Gmail
  2. S vašeg Google računa na https://myaccount.google.com/permissions

Bilo koji od ovih načina opoziva Kasperove OAuth tokene kod Googlea. Unutar 7 dana od odspajanja trajno brišemo iz naših aktivnih sustava sve Gmail podatke koje smo cache-irali u vaše ime, uključujući sadržaj poruka, metapodatke razgovora i zapise o obogaćivanju kontaktima. Šifrirani backupi koji sadrže te podatke uklanjaju se u sljedećem ciklusu rotacije backupa (unutar dodatnih 30 dana).

Ne zadržavamo Gmail ni Contacts podatke nakon odspajanja ni za jednu drugu svrhu osim pravne usklađenosti (trenutno se ne primjenjuje nijedna takva obveza).

Brisanje računa

Potpuno brisanje računa možete zatražiti na dva načina:

  1. Unutar Kaspera na /app/settings → Obriši račun
  2. Putem naše javne stranice za brisanje na https://kasperagents.com/delete-account, bez prijave

Po primitku zahtjeva za brisanje, trajno brišemo vaš račun i sve povezane podatke unutar 30 dana, osim podataka o plaćanju koje smo prema hrvatskom poreznom zakonu obvezni čuvati 10 godina (čuvaju se u write-only, odvojenom arhivu koji se koristi isključivo za poreznu usklađenost).

Šifrirani backupi koji sadrže preostale podatke uklanjaju se unutar dodatnih 30 dana kroz standardnu rotaciju backupa. Nakon tog razdoblja u našim sustavima ne ostaje nijedna kopija vaših podataka.

Rukovanje tokenima

Ako Kasperov pristup opozovete izravno s vašeg Google računa, naši sustavi to detektiraju pri sljedećem pokušaju sinkronizacije i pokreću isti postupak brisanja podataka opisan gore za odspajanje.

9. Vaša prava (GDPR)

Kao ispitanik pod GDPR-om, imate sljedeća prava:

  • Pravo pristupa (članak 15): dobiti potvrdu obrađujemo li vaše podatke i primjerak.
  • Pravo na ispravak (članak 16): ispraviti netočne podatke.
  • Pravo na brisanje / "pravo na zaborav" (članak 17): zahtijevati brisanje.
  • Pravo na ograničenje obrade (članak 18).
  • Pravo na prenosivost podataka (članak 20): dobiti svoje podatke u strojno čitljivom formatu.
  • Pravo na prigovor (članak 21): usprotiviti se obradi temeljenoj na legitimnom interesu.
  • Pravo na povlačenje privole (članak 7(3)) za obrade temeljene na privoli.
  • Pravo da niste podvrgnuti isključivo automatiziranom odlučivanju (članak 22).

Kako ostvariti prava:

  • Većinu možete samostalno izvršiti u /app/settings → privatnost (izvoz, brisanje).
  • Za složenije zahtjeve pišite na support@kasperagents.com.
  • Odgovaramo u roku od 30 dana (može se produljiti na 90 dana za složene zahtjeve).

Pravo na pritužbu: ako niste zadovoljni našom obradom, možete podnijeti pritužbu hrvatskoj Agenciji za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, azop.hr.

10. Kalifornijska privatnost (CCPA/CPRA)

Ako ste stanovnik Kalifornije, imate dodatna prava:

  • Pravo da znate koje kategorije osobnih podataka prikupljamo i kako ih koristimo.
  • Pravo na brisanje vaših osobnih podataka.
  • Pravo na ispravak netočnih podataka.
  • Pravo na ograničenje korištenja osjetljivih osobnih podataka.
  • Pravo na neisključivanje iz prodaje/dijeljenja — napomena: ne prodajemo i ne dijelimo osobne podatke za oglašavanje trećih strana.

11. Kolačići i praćenje

Koristimo:

  • Nužne kolačiće (autentikacija, sigurnost sesije) — ne možete ih isključiti.
  • Analitičke kolačiće (PostHog, samo nakon privole) — možete isključiti u postavkama.
  • Marketinške piksele (Meta Pixel, Google Ads) — samo na marketing stranicama, uz privolu kroz cookie banner.

Upravljajte preferencijama u cookie bannera ili /app/settings → kolačići.

12. Sigurnost podataka

Primjenjujemo tehničke i organizacijske mjere za zaštitu:

  • Šifriranje u prijenosu: TLS 1.3 za sve veze.
  • Šifriranje u mirovanju: AES-256 za baze podataka.
  • Pristup: princip najmanje privilegije, obvezno MFA za administratore.
  • Revizija: redoviti sigurnosni audit, penetracijska testiranja.
  • Backup: šifrirane automatizirane sigurnosne kopije.
  • Incident response: plan odgovora na sigurnosne incidente.

Obavijest o povredi podataka: obavijestit ćemo vas i nadležno tijelo u roku od 72 sata ako dođe do povrede koja predstavlja rizik za vaša prava.

13. Djeca

Kasper nije namijenjen osobama mlađim od 18 godina. Ne prikupljamo svjesno podatke djece. Ako saznamo da smo prikupili podatke djeteta bez roditeljskog pristanka, odmah ih brišemo.

14. Međunarodni prijenos podataka

Prenosimo podatke izvan EU/EEA (u SAD) na temelju:

  • Standardnih ugovornih klauzula (SCC) Europske komisije (Odluka 2021/914)
  • Data Privacy Framework (DPF) gdje je primjenjivo
  • Dodatnih tehničkih mjera (šifriranje, pseudonimizacija)

Kopije SCC dostupne su na zahtjev na support@kasperagents.com.

15. Specifično za mobilnu aplikaciju (Apple App Store)

Kasper mobilna aplikacija prikuplja i koristi sljedeće podatke, u skladu s Apple App Store politikama:

Podaci povezani s vama (Data Linked to You):

  • Kontakt info: ime, e-pošta, telefonski broj
  • Korisnički sadržaj: poruke, priloženi dokumenti
  • Identifikatori: korisnički ID, ID uređaja
  • Podaci o korištenju: interakcija s aplikacijom
  • Dijagnostika: zapisnici pogrešaka i performansi

Podaci koje NE prikupljamo:

  • Lokaciju (osim IP adrese)
  • Zdravstvene podatke
  • Financijske informacije (osim statusa pretplate)
  • Osjetljive informacije
  • Kontakte iz vašeg adresara (osim onih koje izričito uvezete)
  • Fotografije iz galerije (osim onih koje pošaljete kroz aplikaciju)
  • Povijest pregledavanja

Podaci koji se koriste za praćenje (Tracking):

Trenutno ne provodimo praćenje između aplikacija i web-stranica drugih tvrtki (cross-app tracking). Ako ovo bude trebalo uvesti, tražit ćemo vašu izričitu privolu kroz App Tracking Transparency framework.

Pristup sustavu:

Aplikacija može zatražiti pristup:

  • Obavijestima (notifications): za slanje obavijesti o novim porukama i hitnim situacijama.
  • Mikrofonu: samo kada diktirate odgovore (Whisper transkripcija).
  • Kameri: samo ako fotografirate dokument za slanje.
  • Galeriji slika: samo za prilaganje slika u razgovore.

Svaki pristup zatražit će se pojedinačno kroz standardne iOS prompte, i možete ga odbiti ili naknadno promijeniti u iOS postavkama.

16. Promjene Politike

Ova Politika se može mijenjati. Obavijestit ćemo vas:

  • 30 dana unaprijed za materijalno značajne promjene (e-pošta + obavijest u aplikaciji).
  • Odmah za manje promjene (ažuriranje "zadnje ažurirano" datuma).

Ako ne prihvatite materijalne promjene, možete otkazati pretplatu.

17. Kontakt

Concept Vision Technology LLC
30N Gould St, Ste R
Sheridan, WY 82801, SAD

Za pitanja o privatnosti: support@kasperagents.com
Za pravna pitanja: support@kasperagents.com

Hrvatska nadzorna institucija:
Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136
10000 Zagreb
azop@azop.hr | +385 1 4609-000