Effective date: 16 February 2026 · Last updated: 16 February 2026
This Privacy Policy explains how SIRIUS GRUPA d.o.o. za ugostiteljstvo i usluge ("we", "us", "our") processes personal data when you use ComplyAI, in accordance with Regulation (EU) 2016/679 (GDPR) and applicable Croatian law.
1. Data Controller
SIRIUS GRUPA d.o.o. za ugostiteljstvo i usluge
OIB: 89545465964
MB: 05155410
MBS: 090032970
Registered seat: Ulica Kralja Zvonimira 4, Metković, Croatia
Commercial Court: Trgovački sud u Dubrovniku
Share capital: 2.500,00 EUR (paid in full)
Responsible person: Mato Glavinić, direktor
Email: info@siriusgrupa.com
Web: https://siriusgrupa.com
2. Personal Data We Collect
2.1 Registration and account data
- Email address
- Password (stored in encrypted/hashed form; never plain text)
2.2 Company profile data
- Company name
- Industry
- Company size
- AI usage status
2.3 Compliance service data
- Selected compliance modules
- Checklist completion/status data
- AI chat messages and prompts
2.4 Automatically collected technical data
- IP address (for rate limiting and abuse prevention)
- User agent/device-browser metadata
- Session/authentication tokens
2.5 Data we do not collect
- Credit card/payment card details (processed by Stripe)
- Health data
- Biometric data
- Location data
3. Purposes and Legal Bases (GDPR Art. 6)
| Purpose |
Legal basis |
Data categories |
| Registration and account management | Contract (Art. 6(1)(b)) | Email, password credentials |
| Provision of compliance service | Contract (Art. 6(1)(b)) | Company profile, modules, checklist data |
| AI chat analysis and responses | Contract (Art. 6(1)(b)) | AI chat messages, context data |
| Abuse prevention and platform security | Legitimate interest (Art. 6(1)(f)) | IP address, user agent, session logs |
| Legal and tax obligations | Legal obligation (Art. 6(1)(c)) | Accounting/payment records |
4. Processors (Sub-processors)
| Processor |
Location |
Purpose |
Safeguards |
| Supabase | Frankfurt, EU | Authentication + database | Supabase DPA, SOC 2 |
| Google Gemini API | EU/US | AI chat processing | Google Cloud DPA, SCCs |
| Vercel | Global CDN | Hosting | Vercel DPA |
| Stripe (future billing) | EU/US | Payment processing | Stripe DPA, PCI DSS |
We do not sell or rent personal data.
5. International Transfers (outside EU/EEA)
Where data is transferred outside the EU/EEA (e.g., to US-based infrastructure), we apply appropriate safeguards such as:
- Standard Contractual Clauses (SCCs)
- Binding Corporate Rules (BCRs), where applicable
- Recognized security/compliance certifications and contractual controls
6. Retention Periods
| Data category |
Retention period |
| User account | Until account closure + 30 days |
| Compliance data | Until account deletion |
| AI chat history | Until account deletion |
| Financial/accounting records | 7 years |
| Rate limiting/security logs | 24 hours |
7. Your GDPR Rights
You have the right to request:
- Access to your personal data
- Rectification of inaccurate/incomplete data
- Erasure ("right to be forgotten")
- Restriction of processing
- Data portability (machine-readable format)
- Objection to processing based on legitimate interest
- Withdrawal of consent (where processing is based on consent)
To exercise your rights, contact: info@siriusgrupa.com. We respond within legal deadlines.
8. Right to Lodge a Complaint (AZOP)
Croatian Personal Data Protection Agency (AZOP)
Selska cesta 136, 10000 Zagreb
Tel: +385 1 4609 000
Email: azop@azop.hr
Web: https://azop.hr
9. Data Security
- Encrypted transport (HTTPS/TLS)
- Encrypted/hashed passwords
- Supabase Row Level Security (RLS) controls
- Access controls and logging for security monitoring
10. Cookies and Local Storage
ComplyAI uses only essential storage/cookies for authentication and session continuity (auth session token). We currently do not use advertising cookies.
11. Contact
SIRIUS GRUPA d.o.o. za ugostiteljstvo i usluge
OIB: 89545465964 · MB: 05155410 · MBS: 090032970
Address: Ulica Kralja Zvonimira 4, Metković, Croatia
Court: Trgovački sud u Dubrovniku
Share capital: 2.500,00 EUR (paid in full)
Responsible person: Mato Glavinić, direktor
Email: info@siriusgrupa.com
Web: https://siriusgrupa.com
Datum stupanja na snagu: 16. veljače 2026. · Zadnja izmjena: 16. veljače 2026.
Ova Politika privatnosti objašnjava kako SIRIUS GRUPA d.o.o. za ugostiteljstvo i usluge ("mi", "nas", "naš") obrađuje osobne podatke pri korištenju ComplyAI platforme, sukladno Uredbi (EU) 2016/679 (GDPR) i važećem pravu Republike Hrvatske.
1. Voditelj obrade
SIRIUS GRUPA d.o.o. za ugostiteljstvo i usluge
OIB: 89545465964
MB: 05155410
MBS: 090032970
Sjedište: Ulica Kralja Zvonimira 4, Metković, Hrvatska
Sud: Trgovački sud u Dubrovniku
Temeljni kapital: 2.500,00 EUR (uplaćen u cijelosti)
Odgovorna osoba: Mato Glavinić, direktor
Email: info@siriusgrupa.com
Web: https://siriusgrupa.com
2. Koje podatke prikupljamo
2.1 Registracija i korisnički račun
- Email adresa
- Lozinka (pohranjena u šifriranom/hashiranom obliku; nikada u čistom tekstu)
2.2 Profil tvrtke
- Naziv tvrtke
- Industrija
- Veličina tvrtke
- AI usage status
2.3 Compliance podaci
- Odabrani compliance moduli
- Status i napredak checklista
- AI chat poruke i upiti
2.4 Automatski prikupljeni tehnički podaci
- IP adresa (rate limiting i sprječavanje zlouporabe)
- User agent / metadata preglednika i uređaja
- Sesijski/autentifikacijski tokeni
2.5 Podaci koje ne prikupljamo
- Podatke o kreditnim karticama (obrađuje Stripe)
- Zdravstvene podatke
- Biometrijske podatke
- Lokacijske podatke
3. Svrhe i pravna osnova obrade (GDPR čl. 6)
| Svrha |
Pravna osnova |
Kategorije podataka |
| Registracija i upravljanje računom | Ugovor (čl. 6.1.b) | Email, vjerodajnice lozinke |
| Pružanje compliance usluge | Ugovor (čl. 6.1.b) | Profil tvrtke, moduli, checklist podaci |
| AI chat analiza i odgovori | Ugovor (čl. 6.1.b) | AI chat poruke i kontekst |
| Sprječavanje zlouporabe i sigurnost platforme | Legitimni interes (čl. 6.1.f) | IP adresa, user agent, sigurnosni logovi |
| Zakonske i porezne obveze | Zakonska obveza (čl. 6.1.c) | Računovodstveni/financijski zapisi |
4. Podprocesori (izvršitelji obrade)
| Podprocesor |
Lokacija |
Svrha |
Zaštitne mjere |
| Supabase | Frankfurt, EU | Autentifikacija + baza podataka | Supabase DPA, SOC 2 |
| Google Gemini API | EU/US | AI chat obrada | Google Cloud DPA, SCCs |
| Vercel | Globalni CDN | Hosting | Vercel DPA |
| Stripe (buduća naplata) | EU/US | Obrada plaćanja | Stripe DPA, PCI DSS |
Ne prodajemo niti iznajmljujemo osobne podatke trećim stranama.
5. Prijenos podataka izvan EU/EEA
Ako se podaci prenose izvan EU/EEA (npr. na infrastrukturu u SAD-u), primjenjujemo odgovarajuće zaštitne mjere:
- Standardne ugovorne klauzule (SCCs)
- Obvezujuća korporativna pravila (BCRs), gdje je primjenjivo
- Priznate sigurnosne/compliance certifikacije i ugovorne kontrole
6. Rokovi čuvanja podataka
| Kategorija podataka |
Rok čuvanja |
| Korisnički račun | Do zatvaranja računa + 30 dana |
| Compliance podaci | Do brisanja računa |
| AI chat povijest | Do brisanja računa |
| Financijski zapisi | 7 godina |
| Rate limiting/sigurnosni zapisi | 24 sata |
7. Vaša prava prema GDPR-u
Imate pravo zatražiti:
- Pristup svojim osobnim podacima
- Ispravak netočnih/nepotpunih podataka
- Brisanje podataka ("pravo na zaborav")
- Ograničenje obrade
- Prenosivost podataka (strojno čitljiv format)
- Prigovor na obradu temeljenu na legitimnom interesu
- Povlačenje pristanka (kada se obrada temelji na pristanku)
Za ostvarivanje prava kontaktirajte: info@siriusgrupa.com. Odgovaramo u zakonskim rokovima.
8. Pravo na pritužbu (AZOP)
Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136, 10000 Zagreb
Tel: +385 1 4609 000
Email: azop@azop.hr
Web: https://azop.hr
9. Sigurnost podataka
- Šifrirani prijenos podataka (HTTPS/TLS)
- Šifrirane/hashirane lozinke
- Supabase Row Level Security (RLS)
- Kontrole pristupa i sigurnosni logovi
10. Kolačići i localStorage
ComplyAI koristi samo nužnu pohranu/kolačiće za autentifikaciju i održavanje sesije (auth session token). Trenutno ne koristimo oglašivačke kolačiće.
11. Kontakt
SIRIUS GRUPA d.o.o. za ugostiteljstvo i usluge
OIB: 89545465964 · MB: 05155410 · MBS: 090032970
Adresa: Ulica Kralja Zvonimira 4, Metković, Hrvatska
Sud: Trgovački sud u Dubrovniku
Temeljni kapital: 2.500,00 EUR (uplaćen u cijelosti)
Odgovorna osoba: Mato Glavinić, direktor
Email: info@siriusgrupa.com
Web: https://siriusgrupa.com