Posljednje ažuriranje: 24. ožujka 2026.
1. Uvod
Nautilus ("mi", "naša aplikacija") je aplikacija za praćenje filmova i serija. Ova Politika privatnosti opisuje kako prikupljamo, koristimo i štitimo vaše osobne podatke u skladu s Uredbom (EU) 2016/679 (GDPR) i Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018).
Korištenjem aplikacije Nautilus prihvaćate uvjete ove Politike privatnosti. Ako se ne slažete, molimo vas da prestanete koristiti aplikaciju.
2. Voditelj obrade podataka
Voditelj obrade osobnih podataka je:
Nautilus
Email: hello@nautilus.watch
(Za sva pitanja vezana uz vaše podatke možete nas kontaktirati na gornji email.)
3. Koje podatke prikupljamo
3.1 Podaci koje vi dajete
- E-mail adresa (pri registraciji)
- Lozinka (pohranjena kriptirana — nikad u čitljivom obliku)
- Korisničko ime / nadimak
- Avatar (odabirete između ponuđenih opcija, ID se sprema u vaš profil)
- Žanrovi koje preferirate (filmski okus)
- Omiljeni naslovi (iz onboarding procesa)
- Sadržaj chat poruka koje sami šaljete
- Ocjene, watchlista i favoriti koje dodajete
3.2 Podaci koje automatski prikupljamo
- IP adresa (bilježi je naš pružatelj infrastrukture, Supabase)
- Datum i vrijeme pristupa
- Vrsta uređaja i operativnog sustava (anonimno, putem Expo SDK-a)
- Crash izvještaji (anonimni, putem Expo-a)
3.3 Podaci koje NE prikupljamo
- Ne pratimo vašu lokaciju
- Ne pristupamo vašim kontaktima, kamerom, mikrofonom
- Ne koristimo kolačiće trećih strana za praćenje
- Ne prodajemo vaše podatke trećim stranama
4. Svrha i pravna osnova obrade
Vaše podatke obrađujemo na temelju sljedećih pravnih osnova (čl. 6 GDPR):
Izvršenje ugovora (čl. 6 st. 1 točka b): Vaš email, lozinka i korisničko ime potrebni su za kreiranje i upravljanje vašim računom te pružanje osnovnih funkcija aplikacije (watchlista, favoriti, ocjene, chat).
Legitimni interes (čl. 6 st. 1 točka f): Logovi pristupa i crash izvještaji koriste se za sigurnost, prevenciju zloupotrebe i poboljšanje stabilnosti aplikacije.
Privola (čl. 6 st. 1 točka a): Neobavezne preferencije (žanrovi, avatari) obrađuju se na temelju vaše privole pri postavljanju. Privolu možete povući u bilo trenutku brisanjem podataka u postavkama profila.
5. Primatelji podataka i treće strane
Vaši podaci dijele se s pažljivo odabranim pružateljima usluga:
Supabase Inc. (San Francisco, SAD) — pružatelj baze podataka i autentikacije. Obrađuje podatke u skladu s GDPR-om (SCCs). supabase.com/privacy
The Movie Database (TMDB) (SAD) — pružatelj podataka o filmovima i serijama. Upiti se šalju bez osobnih podataka.
OMDB API (SAD) — dodatni izvor podataka o filmovima. Koristi se bez osobnih podataka.
Anthropic PBC (San Francisco, SAD) — pružatelj Claude AI modela za pretragu po radnji. Opisi radnje šalju se bez osobnih identifikacijskih podataka.
Google LLC — koristi se za Google prijavu (opcionalno). Ako se prijavite putem Googlea, Google obrađuje vaše podatke prema svojoj politici privatnosti.
Expo (Expo Software Inc.) — platforma za izgradnju i distribuciju aplikacije. Može primati anonimne telemetrijske podatke.
6. Prijenos podataka izvan EU
Neki od naših pružatelja usluga (Supabase, Anthropic, Google) imaju sjedište u SAD-u. Prijenos osobnih podataka u SAD temelji se na standardnim ugovornim klauzulama (SCCs) odobrenim od Europske komisije (čl. 46 GDPR).
7. Razdoblje pohrane podataka
- Podaci računa (email, korisničko ime, avatar): čuvaju se dok je račun aktivan. Brišu se 30 dana nakon zahtjeva za brisanje.
- Watchlista, favoriti, ocjene: čuvaju se dok ne izbrišete sadržaj ili zatvorite račun.
- Chat poruke: čuvaju se u sobi dok ih administrator ili vi ne izbrišete.
- Logovi pristupa: čuvaju se maksimalno 90 dana iz sigurnosnih razloga.
- Crash izvještaji: anonimni, čuvaju se do 30 dana.
8. Vaša prava prema GDPR-u
Pravo na pristup (čl. 15): Možete zatražiti kopiju svih osobnih podataka koje o vama pohranjujemo.
Pravo na ispravak (čl. 16): Možete ispraviti netočne podatke putem postavki profila ili kontaktiranjem nas.
Pravo na brisanje (čl. 17): Možete zatražiti brisanje svih vaših podataka putem opcije "Izbriši račun" u postavkama profila. Vaši podaci bit će trajno izbrisani u roku od 30 dana.
Pravo na ograničenje obrade (čl. 18): Možete zatražiti da privremeno obustavimo obradu vaših podataka.
Pravo na prenosivost podataka (čl. 20): Možete zatražiti vaše podatke u strojno čitljivom formatu (JSON).
Pravo na prigovor (čl. 21): Možete se protiviti obradi podataka temeljene na legitimnom interesu.
Za ostvarivanje navedenih prava kontaktirajte nas na: hello@nautilus.watch. Na vaš zahtjev odgovorit ćemo u roku od 30 dana.
9. Pravo na pritužbu nadzornom tijelu
Ako smatrate da obrađujemo vaše podatke protivno GDPR-u, imate pravo podnijeti pritužbu:
Agencija za zaštitu osobnih podataka (AZOP)
Martićeva 14, 10 000 Zagreb
Telefon: +385 (0)1 4609 000
azop.hr
10. Sigurnost podataka
- Lozinke se nikad ne pohranjuju u čitljivom obliku (bcrypt kriptiranje via Supabase Auth)
- Sva komunikacija između aplikacije i poslužitelja kriptirana je TLS/HTTPS protokolom
- Pristup bazi podataka ograničen je Row Level Security (RLS) pravilima
- Redovite sigurnosne revizije konfiguracije Supabase projekta
11. Privatnost djece
Aplikacija Nautilus nije namijenjena osobama mlađim od 13 godina. Svjesno ne prikupljamo osobne podatke djece mlađe od 13 godina. Roditelji ili skrbnici mogu nas kontaktirati na hello@nautilus.watch.
12. Promjene ove Politike
Politiku privatnosti možemo povremeno ažurirati. O značajnim promjenama obavijestit ćemo vas putem obavijesti u aplikaciji. Datum posljednjeg ažuriranja naveden je na vrhu ove stranice.
13. Kontakt
Za sva pitanja, zahtjeve ili pritužbe:
Email: hello@nautilus.watch
1. Introduction
Nautilus ("we", "our app") is a film and series tracking application. This Privacy Policy describes how we collect, use, and protect your personal data in accordance with Regulation (EU) 2016/679 (GDPR).
By using the Nautilus app you accept the terms of this Privacy Policy. If you disagree, please stop using the app.
2. Data Controller
The data controller is:
Nautilus
Email: hello@nautilus.watch
(For all questions regarding your data, contact us at the email above.)
3. What Data We Collect
3.1 Data you provide
- Email address (on registration)
- Password (stored encrypted — never in readable form)
- Username / nickname
- Avatar (selected from provided options; the ID is stored in your profile)
- Preferred genres (your film taste)
- Favourite titles (from the onboarding process)
- Content of chat messages you send
- Ratings, watchlist, and favourites you add
3.2 Data collected automatically
- IP address (logged by our infrastructure provider, Supabase)
- Date and time of access
- Device type and operating system (anonymised, via Expo SDK)
- Crash reports (anonymous, via Expo)
3.3 Data we do NOT collect
- We do not track your location
- We do not access your contacts, camera, or microphone
- We do not use third-party tracking cookies
- We do not sell your data to third parties
4. Purpose and Legal Basis
We process your data on the following legal bases (Art. 6 GDPR):
Performance of contract (Art. 6(1)(b)): Your email, password, and username are required to create and manage your account and deliver core app features (watchlist, favourites, ratings, chat).
Legitimate interests (Art. 6(1)(f)): Access logs and crash reports are used for security, abuse prevention, and improving app stability.
Consent (Art. 6(1)(a)): Optional preferences (genres, avatars) are processed on the basis of your consent. You may withdraw consent at any time by deleting the data in your profile settings.
5. Recipients and Third Parties
Your data is shared with carefully selected service providers:
Supabase Inc. (San Francisco, USA) — database and authentication provider. Processes data in compliance with GDPR (SCCs). supabase.com/privacy
The Movie Database (TMDB) (USA) — film and series data provider. Search queries are sent without personal data.
OMDB API (USA) — supplementary film data source. Used without personal data.
Anthropic PBC (San Francisco, USA) — provider of the Claude AI model for plot-based film search. Plot descriptions are sent without personally identifiable data.
Google LLC — used for Google Sign-In (optional). If you sign in via Google, Google processes your data under its privacy policy.
Expo (Expo Software Inc.) — app build and distribution platform. May receive anonymous telemetry data.
6. International Data Transfers
Some of our service providers (Supabase, Anthropic, Google) are based in the USA. Transfers of personal data to the USA are based on Standard Contractual Clauses (SCCs) approved by the European Commission (Art. 46 GDPR).
7. Data Retention
- Account data (email, username, avatar): retained while the account is active. Deleted on request or automatically 30 days after a deletion request.
- Watchlist, favourites, ratings: retained until you delete the content or close the account.
- Chat messages: retained in the room until deleted by an admin or by you.
- Access logs: retained for a maximum of 90 days for security purposes.
- Crash reports: anonymous, retained for up to 30 days.
8. Your GDPR Rights
Right of access (Art. 15): You may request a copy of all personal data we hold about you.
Right to rectification (Art. 16): You may correct inaccurate data via profile settings or by contacting us.
Right to erasure (Art. 17): You may request deletion of all your data using the "Delete account" option in your profile settings. Your data will be permanently deleted within 30 days.
Right to restriction (Art. 18): You may request that we temporarily suspend processing of your data.
Right to data portability (Art. 20): You may request your data in a machine-readable format (JSON).
Right to object (Art. 21): You may object to processing based on legitimate interest.
To exercise any of these rights, contact us at: hello@nautilus.watch. We will respond within 30 days.
9. Right to Lodge a Complaint
If you believe we are processing your data in breach of GDPR, you have the right to lodge a complaint with:
Croatian Personal Data Protection Agency (AZOP)
Martićeva 14, 10 000 Zagreb, Croatia
Phone: +385 (0)1 4609 000
azop.hr
You may also lodge a complaint with the supervisory authority of your country of residence.
10. Data Security
- Passwords are never stored in readable form (bcrypt encryption via Supabase Auth)
- All communication between the app and server is encrypted via TLS/HTTPS
- Database access is restricted by Row Level Security (RLS) policies
- Regular security reviews of Supabase project configuration
11. Children's Privacy
Nautilus is not directed at persons under 13 years of age. We do not knowingly collect personal data from children under 13. Parents or guardians may contact us at hello@nautilus.watch.
12. Changes to This Policy
We may update this Privacy Policy from time to time. We will notify you of significant changes via an in-app notice. The date of the last update is shown at the top of this page.
13. Contact
For any questions, requests, or complaints:
Email: hello@nautilus.watch