Politika privatnosti — VendPay
Poslednje ažuriranje: 29. maj 2026.
Ova politika privatnosti opisuje kako VendPay ("aplikacija", "mi") prikuplja, koristi i štiti podatke korisnika mobilne aplikacije i pratećih servisa.
Operater obrade podataka je preduzeće koje upravlja servisom VendPay (kontakt: support@vendpay.it).
1. Šta prikupljamo
Kada se registrujete i koristite aplikaciju, prikupljamo sledeće podatke:
- Podaci o nalogu: email adresa, ime i prezime (opciono), broj telefona (opciono), jezik aplikacije.
- Identifikator korisnika: javni ID (eng. public ID) koji koristimo da povežemo vašu kupovinu sa nalogom.
- Transakcije i stanje novčanika: istorija dopuna i kupovina na vending aparatima u okviru servisa.
- Tehnički podaci: FCM token (za potrebe slanja push obaveštenja), trenutna lokacija samo u trenutku kada skenirate QR kod aparata (da bismo proverili da ste u blizini), verzija aplikacije, tip uređaja, OS verzija.
- Komunikacioni podaci: ako nas kontaktirate, sačuvaćemo prepisku radi odgovora.
Aplikacija NE prikuplja:
- IDFA (iOS reklamni identifikator) niti AAID (Android),
- podatke o korišćenju trećih strana,
- biometrijske podatke,
- zdravstvene podatke.
To je deklarisano i u manifestu privatnosti (PrivacyInfo.xcprivacy) ugrađenom u iOS aplikaciju.
2. Zašto prikupljamo
- Pružanje servisa: autentifikacija, prikaz stanja novčanika, obrada kupovine na vending aparatu, dodela računa.
- Sigurnost: sprečavanje zloupotreba, otkrivanje sumnjivih aktivnosti.
- Komunikacija: slanje obaveštenja o stanju kupovine, push notifikacije za potvrde transakcija.
- Zakonske obaveze: izdavanje fiskalnih računa u skladu sa Zakonom o fiskalizaciji Republike Srbije.
3. Pravni osnov
Obrada podataka se vrši na osnovu:
- Vašeg pristanka (pri registraciji prihvatate ovu politiku),
- Izvršenja ugovora (omogućavanje kupovine),
- Zakonskih obaveza (fiskalizacija, evidencija),
- Legitimnih interesa (zaštita servisa od zloupotreba).
4. Dele li se podaci sa trećim stranama
- Procesori platne kartice (npr. PaySpot d.o.o.) — kada platite karticom; oni primaju isključivo podatke neophodne za obradu transakcije i podležu sopstvenim politikama privatnosti.
- Provajder fiskalizacije (Intervend) — kada se izdaje fiskalni račun.
- Provajder email-a (Resend) — za slanje potvrdnih email poruka.
- Provajder push obaveštenja (Firebase Cloud Messaging) — za isporuku push notifikacija.
Ne prodajemo i ne ustupamo podatke trećim stranama u marketinške svrhe.
5. Trajanje čuvanja
- Podatke o nalogu i transakcijama čuvamo dok traje vaš nalog plus 10 godina nakon poslednje transakcije (zakonska obaveza čuvanja fiskalnih podataka).
- Push tokene čuvamo dok ne deinstalirate aplikaciju ili ručno odjavimo uređaj.
6. Vaša prava
U skladu sa Zakonom o zaštiti podataka o ličnosti Republike Srbije imate pravo da:
- pristupite svojim podacima,
- zahtevate ispravku netačnih podataka,
- zahtevate brisanje naloga (slanjem zahteva na support@vendpay.it),
- povučete pristanak,
- podnesete pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije.
Brisanje naloga je trajno — fiskalni zapisi se anonimizuju (zadržavaju iznos i vremensku oznaku radi knjigovodstva), a lični identifikatori se uklanjaju.
7. Sigurnost
- Komunikacija sa servisom je šifrovana (TLS 1.2+).
- Lozinke se čuvaju u heširanom obliku (bcrypt).
- Pristup serverima imaju samo ovlašćena lica.
- Tokeni platne kartice se čuvaju kod procesora — nikada ne čuvamo broj kartice.
8. Deca
Aplikacija nije namenjena licima mlađim od 14 godina. Ako saznamo da smo nehotice prikupili podatke o detetu, te podatke ćemo obrisati.
9. Izmene
Ovu politiku možemo povremeno ažurirati. Materijalne izmene biće objavljene u aplikaciji najmanje 14 dana pre stupanja na snagu.
10. Kontakt
Pitanja o ovoj politici i zahteve za pristup, ispravku ili brisanje šaljite na:
Privacy Policy — VendPay
Last updated: May 29, 2026.
This Privacy Policy describes how VendPay ("the app", "we") collects, uses, and protects data from users of the mobile app and related services.
The data controller is the company operating the VendPay service (contact: support@vendpay.it).
1. What we collect
When you register and use the app, we collect:
- Account data: email address, first/last name (optional), phone number (optional), app language.
- User identifier: public ID we use to link your purchases to your account.
- Transactions and wallet balance: top-up and purchase history within the service.
- Technical data: FCM token (for push notifications), current location only at the moment you scan a machine QR code (so we can verify you're nearby), app version, device type, OS version.
- Communication data: if you contact us, we keep the correspondence so we can respond.
The app does NOT collect:
- IDFA (iOS advertising identifier) or AAID (Android),
- third-party usage data,
- biometric data,
- health data.
This is declared in the iOS privacy manifest (PrivacyInfo.xcprivacy) shipped with the app.
2. Why we collect it
- Service: authentication, wallet balance display, machine purchase processing, receipt issuance.
- Security: abuse prevention, suspicious-activity detection.
- Communication: purchase status notifications, push notifications for transaction confirmations.
- Legal obligations: issuance of fiscal receipts under the Serbian Fiscalization Act.
3. Legal basis
We process data on the basis of:
- Your consent (you accept this policy at registration),
- Performance of the contract (enabling purchases),
- Legal obligations (fiscalization, recordkeeping),
- Legitimate interests (protecting the service from abuse).
4. Sharing with third parties
- Card payment processors (e.g. PaySpot d.o.o.) — when you pay by card; they receive only the data necessary to process the transaction and are subject to their own privacy policies.
- Fiscalization provider (Intervend) — when a fiscal receipt is issued.
- Email provider (Resend) — for sending confirmation emails.
- Push notification provider (Firebase Cloud Messaging) — for delivering push notifications.
We do not sell or share data with third parties for marketing purposes.
5. Retention
- Account and transaction data are retained while your account exists, plus 10 years after the last transaction (statutory retention for fiscal records).
- Push tokens are retained until you uninstall the app or we manually deregister the device.
6. Your rights
Under the Serbian Personal Data Protection Act, you have the right to:
- access your data,
- request correction of inaccurate data,
- request account deletion (by emailing support@vendpay.it),
- withdraw consent,
- lodge a complaint with the Serbian Commissioner for Information of Public Importance and Personal Data Protection.
Account deletion is permanent — fiscal records are anonymised (amounts and timestamps retained for bookkeeping), and personal identifiers are removed.
7. Security
- All communication with the service is encrypted (TLS 1.2+).
- Passwords are stored hashed (bcrypt).
- Only authorised personnel have server access.
- Card tokens are stored at the processor — we never store the card number.
8. Children
The app is not directed to persons under 14. If we learn we have inadvertently collected data about a child, we will delete it.
9. Changes
We may update this policy from time to time. Material changes will be announced in the app at least 14 days before they take effect.
10. Contact
For questions about this policy and for access, correction, or deletion requests:
