Politika zasebnosti

Zadnja sprememba: 03.06.2026 · Last updated: 3 June 2026

1. Splošne določbe in opredelitve

Ta Politika zasebnosti (v nadaljevanju: «Politika») določa način zbiranja, obdelave, shranjevanja in varovanja osebnih podatkov uporabnikov spletnega mesta media4.estate(v nadaljevanju: «Storitev»).

Politika je pripravljena v skladu z:

• Uredbo (EU) 2016/679 (Splošna uredba o varstvu podatkov — GDPR);
• Zakonom o varstvu osebnih podatkov (ZVOP-2) Republike Slovenija;
• Direktivo ePrivacy (2002/58/ES) glede piškotkov.

Z uporabo Storitve potrjujete, da ste se seznanili s to Politiko in soglašate z navedenimi pogoji obdelave osebnih podatkov.

2. Upravljavec osebnih podatkov

Upravljavec osebnih podatkov v skladu s členom 13(1)(a) GDPR je:

Mykhailo Koblychenko s.p.
Davčna številka: SI40790215 · Matična številka: 7522967000
Dimičeva ulica 9, 1000 Ljubljana, Slovenija
E-pošta: support@media4.estate
Spletna stran: media4.estate

Pooblaščena oseba za varstvo podatkov (DPO) ni imenovana, ker obdelava podatkov ne zahteva rednega in sistematičnega spremljanja posameznikov v velikem obsegu (člen 37 GDPR).

3. Kategorije osebnih podatkov in nameni obdelave

V skladu s členi 13(1)(c) in 13(1)(d) GDPR obdelujemo naslednje kategorije osebnih podatkov:

a) Podatki računa

b) Vsebina uporabnika

c) Plačilni podatki

Opomba: Plačila obdeluje Polar (Polar Software Inc.) kot pogodbeni prodajalec (Merchant of Record) in Stripe kot ponudnik kartičnih plačil (pod Polarjem). Mi (upravljavec) prejmemo le omejene podatke o transakciji (znesek, ID naročila, status). Celotni podatki o kartici so v izključni hrambi Stripa in Polarja — mi teh podatkov ne hranimo.

d) Tehnični podatki

e) Piškotki

f) Revizijski dnevniki (AuditLog / sistemski dnevniki)

4. Pravne podlage obdelave

V skladu s členom 6 GDPR obdelujemo osebne podatke na naslednjih podlagah:

Osebnih podatkov za osrednje funkcije storitve ne obdelujemo na podlagi privolitve. Privolitev se uporablja za analitične in trženjske piškotke ter za potrditev seznanitve s piškotki.

5. Obdelovalci in prenos tretjim osebam

V skladu s členi 13(1)(e) in 13(1)(f) GDPR prenašamo osebne podatke naslednjim obdelovalcem izključno za namen zagotavljanja storitve:

Osebnih podatkov tretjim osebam za trženjske namene ne prodajamo, ne menjamo in ne prenašamo.

6. Roki hrambe

V skladu s členom 13(2)(a) GDPR:

7. Pravice posameznika

V skladu s členi 15–22 GDPR imate naslednje pravice glede svojih osebnih podatkov:

• Pravica do dostopa (čl. 15)— pridobiti kopijo vseh osebnih podatkov, ki jih obdelujemo.
• Pravica do popravka (čl. 16)— popraviti netočne ali nepopolne podatke.
• Pravica do izbrisa (čl. 17)— zahtevati izbris računa in vseh povezanih podatkov.
• Pravica do omejitve obdelave (čl. 18)— omejiti obdelavo v določenih primerih.
• Pravica do prenosljivosti podatkov (čl. 20)— prejeti svoje podatke v strukturirani, strojno berljivi obliki.
• Pravica do ugovora (čl. 21)— ugovarjati obdelavi podatkov na podlagi zakonitega interesa.
• Pravica zoper avtomatizirano odločanje (čl. 22)— glej razdelek 8.

Kako uveljavljati pravice

Za uveljavljanje katere koli od zgoraj navedenih pravic nas kontaktirajte na support@media4.estate.

• Rok odgovora: 30 koledarskih dni od prejema zahteve. V primeru zapletenih zahtev se rok lahko podaljša za 60 dni s predhodnim obvestilom (čl. 12(3) GDPR).
• Preverjanje identitete: morda bomo zaprosili za potrditev lastništva e-poštnega naslova.
• Brezplačno: uveljavljanje pravic je brezplačno (čl. 12(5) GDPR), razen pri očitno neutemeljenih ali pretiranih zahtevah.

8. Avtomatizirano odločanje in profiliranje

Naša Storitev uporablja tehnologije umetne inteligence za ustvarjanje vsebine: generiranje videov iz fotografij, pisanje scenarijev, sintezo govora, generiranje glasbe in sestavo končnega videa.

Ti AI-orodja se uporabljajo izključno za ustvarjanje vsebine na zahtevo uporabnika in ne:

• sprejemajo avtomatiziranih odločitev, ki imajo pravne posledice za uporabnika;
• izvajajo profiliranja uporabnikov;
• vplivajo na dostop do storitve, cene ali pogoje storitve.

9. Mednarodni prenosi

V skladu s členi 44–49 GDPR se prenos osebnih podatkov zunaj EU/EGP izvaja na naslednjih podlagah:

• Obdelovalci s certifikatom EU–ZDA DPF (čl. 45 GDPR): Google (Gemini TTS, OAuth, Analytics), Twilio, AssemblyAI, Resend in Stripe so certificirani v okviru EU–ZDA Okvira za zasebnost podatkov (Data Privacy Framework). Prenos temelji na sklepu Evropske komisije o ustreznosti z dne 10. julija 2023 (čl. 45 GDPR). Poleg tega so v pogodbah o obdelavi podatkov teh obdelovalcev vključene standardne pogodbene klavzule (SCC, čl. 46 GDPR, Izvedbeni sklep (EU) 2021/914), ki delujejo kot rezervni ukrep.
• Obdelovalci brez certifikata DPF (čl. 46 GDPR): Za Anthropic in Polar (Polar Software Inc.) prenos temelji izključno na standardnih pogodbenih klavzulah (SCC, čl. 46 GDPR, Izvedbeni sklep (EU) 2021/914), vključenih v pogodbe o obdelavi podatkov. Za Polar je priporočljivo preveriti morebitni DPF-certifikat na dataprivacyframework.gov.
• Apple (Sign in with Apple):Podatki EU-uporabnikov so pod nadzorom Apple Distribution International Ltd (Irska) — gre za subjekt EU, zato prenos v tretjo državo ne poteka.
• Telegram: Prenos temelji na SCC (čl. 46 GDPR); storitev se uporablja izključno za interna servisna obvestila operaterju.
• Kie.ai (Kling / Nano Banana): Prenos fotografij nepremičnin za generiranje videa je priložnosten in nerutinski; zanj se uporablja čl. 49(1)(b) GDPR (prenos nujen za izvajanje pogodbe med posameznikom in upravljavcem). Člen 49(1)(b) se ne uporablja kot splošna podlaga za rutinske, sistemske prenose.
• Meta Platforms (Facebook Pixel), Google Analytics 4: Prenos temelji na privolitve (čl. 6(1)(a) GDPR) in SCC.
• EU / Nemčija + mednarodno(OpenStreetMap — Nominatim, Overpass): geokodiranje naslova in iskanje okoliške infrastrukture; prenosi znotraj EU/EGP so skladni brez dodatnih ukrepov.

Strežniki in shranjevanje podatkov so v EU (Hostinger, Frankfurt, Nemčija). Zgoraj navedeni prenosi se nanašajo le na posamezne operacije obdelave pri ustreznih obdelovalcih.

10. Varnost podatkov

V skladu s členom 32 GDPR uporabljamo naslednje tehnične in organizacijske ukrepe varovanja:

• Heširanje gesel z algoritmom bcrypt (12 krogov);
• Podpisovanje žetonov sej z HMAC-SHA256 s strežniško preverjenim rokom veljavnosti;
• HTTPS-šifriranje vseh povezav;
• Rate-limiting na avtorizacijskih končnih točkah;
• Piškotki z zastavicami HttpOnly, Secure in SameSite za zaščito pred XSS in CSRF;
• Dostop do strežnika je omejen le na pooblaščeno osebje;
• Naložene datoteke so dostopne le lastniku računa.

11. Obvestilo o kršitvi varnosti podatkov

V skladu s členi 33 in 34 GDPR:

• V primeru kršitve varnosti osebnih podatkov bo upravljavec obvestil nadzorni organ v 72 urah od odkritja kršitve (čl. 33).
• Če kršitev lahko povzroči visoko tveganje za pravice in svoboščine posameznikov, bodo prizadeti uporabniki obveščeni brez nepotrebnega odlašanja (čl. 34).
• Obvestilo bo vsebovalo: naravo kršitve, kontaktne podatke, verjetne posledice in sprejete ukrepe.

12. Podatki otrok

Storitev je namenjena osebam, starim 18 let ali več. Osebnih podatkov mladoletnih oseb zavestno ne zbiramo. Če izvemo za takšno zbiranje, bodo podatki takoj izbrisani.

13. Piškotki

Storitev uporablja tehnično nujne piškotke (seja in jezikovne nastavitve) ter — le z vašo privolitvijo— analitične / trženjske piškotke (Google Analytics, Meta / Facebook Pixel). Nebistveni piškotki se ne nastavijo pred privolitvijo in jo je mogoče kadar koli preklicati. Podrobnosti in upravljanje privolitve — v Politiki piškotkov.

14. Povezave do politik tretjih oseb

Politike zasebnosti naših obdelovalcev:

• Polar: polar.sh/legal/privacy
• Stripe: stripe.com/privacy
• Anthropic: anthropic.com/legal/privacy
• Kie.ai: kie.ai/privacy-policy
• Google: policies.google.com/privacy
• AssemblyAI: assemblyai.com/legal/privacy-policy
• Resend: resend.com/legal/privacy-policy
• Twilio: twilio.com/legal/privacy
• Telegram: telegram.org/privacy

15. Pravica do pritožbe

V skladu s členom 13(2)(d) GDPR imate pravico vložiti pritožbo pri nadzornem organu:

• Slovenija (nadzorni organ upravljavca):Informacijski pooblaščenec (IP-RS) — ip-rs.si
• Za rezidente EU: pristojni organ za varstvo osebnih podatkov vaše države.

16. Spremembe politike zasebnosti

To Politiko lahko posodabljamo. Veljavna različica je vedno dostopna na tej strani z navedbo datuma zadnje posodobitve. O bistvenih spremembah vas bomo obvestili po e-pošti.

17. Kontakt

Mykhailo Koblychenko s.p.
Davčna številka: SI40790215 · Matična številka: 7522967000
Dimičeva ulica 9, 1000 Ljubljana, Slovenija
E-pošta: support@media4.estate
Spletna stran: media4.estate

English version

1. General Provisions and Definitions

This Privacy Policy (hereinafter: «Policy») sets out how personal data of users of the website media4.estate(hereinafter: «Service») is collected, processed, stored and protected.

This Policy has been prepared in accordance with:

• Regulation (EU) 2016/679 (General Data Protection Regulation — GDPR);
• The Personal Data Protection Act (ZVOP-2) of the Republic of Slovenia;
• The ePrivacy Directive (2002/58/EC) regarding cookies.

By using the Service you confirm that you have read this Policy and agree to the stated conditions of personal data processing.

2. Data Controller

The data controller within the meaning of Article 13(1)(a) GDPR is:

Mykhailo Koblychenko s.p.
Tax number: SI40790215 · Company registration number (matična): 7522967000
Registered address: Dimičeva ulica 9, 1000 Ljubljana, Slovenia
Email: support@media4.estate
Website: media4.estate

A Data Protection Officer (DPO) has not been appointed because the processing does not involve large-scale regular and systematic monitoring of data subjects (Article 37 GDPR).

3. Categories of Personal Data and Purposes of Processing

In accordance with Articles 13(1)(c) and 13(1)(d) GDPR we process the following categories of personal data:

a) Account data

b) User content

c) Payment data

Note: Payments are processed by Polar (Polar Software Inc.) acting as Merchant of Record and Stripe as the card-processing sub-processor (under Polar). We (the controller) receive only limited transaction data (amount, order ID, status). Full card data is handled exclusively by Stripe and Polar — we do NOT store card data.

d) Technical data

e) Cookies

f) Audit logs (AuditLog / system logs)

4. Legal Bases for Processing

Under Article 6 GDPR we process personal data on the following legal bases:

We do not process personal data on the basis of consent for core service functions. Consent is used for analytics and marketing cookies and for acknowledgement of the cookie notice.

5. Processors and Transfers to Third Parties

Under Articles 13(1)(e) and 13(1)(f) GDPR we transfer personal data to the following processors solely for the purpose of providing the Service:

We do not sell, trade or transfer personal data to third parties for marketing purposes.

6. Retention Periods

Under Article 13(2)(a) GDPR:

7. Data Subject Rights

Under Articles 15–22 GDPR you have the following rights regarding your personal data:

• Right of access (Art. 15)— obtain a copy of all personal data we process.
• Right to rectification (Art. 16)— correct inaccurate or incomplete data.
• Right to erasure (Art. 17)— request deletion of your account and all associated data.
• Right to restriction of processing (Art. 18)— restrict processing in certain circumstances.
• Right to data portability (Art. 20)— receive your data in a structured, machine-readable format.
• Right to object (Art. 21)— object to processing based on legitimate interest.
• Right not to be subject to automated decision-making (Art. 22) — see section 8.

How to exercise your rights

To exercise any of the above rights, contact us at support@media4.estate.

• Response time: 30 calendar days from receipt of the request. For complex requests the period may be extended by 60 days with prior notice (Art. 12(3) GDPR).
• Identity verification: we may request confirmation of ownership of the email address.
• Free of charge: exercising rights is free of charge (Art. 12(5) GDPR), except for manifestly unfounded or excessive requests.

8. Automated Decision-Making and Profiling

Our Service uses artificial intelligence technologies to create content: generating videos from photos, writing scripts, text-to-speech, music generation and final video assembly.

These AI tools are used exclusively for content creationat the user's request and do not:

• make automated decisions with legal consequences for the user;
• profile users;
• affect access to the Service, pricing or terms of service.

9. International Transfers

Under Articles 44–49 GDPR, transfers of personal data outside the EU/EEA are carried out on the following tiered basis:

• Processors certified under the EU–US Data Privacy Framework (Art. 45 GDPR): Google (Gemini TTS, OAuth, Analytics), Twilio, AssemblyAI, Resend and Stripe are certified under the EU–US Data Privacy Framework (DPF). Transfers rely on the European Commission adequacy decision of 10 July 2023 (Art. 45 GDPR). In addition, standard contractual clauses (SCCs, Art. 46 GDPR, Commission Decision (EU) 2021/914)included in those processors' data-processing terms serve as a fallback safeguard.
• Processors not DPF-certified (Art. 46 GDPR): For Anthropic and Polar (Polar Software Inc.), transfers rely on standard contractual clauses (SCCs, Art. 46 GDPR, Commission Decision (EU) 2021/914) included in their data-processing terms. For Polar, DPF certification status should be verified at dataprivacyframework.gov.
• Apple (Sign in with Apple):EU user data is controlled by Apple Distribution International Ltd (Ireland), an EU entity — no third-country transfer takes place for Apple sign-in.
• Telegram:Transfer relies on SCCs (Art. 46 GDPR); used only for the operator's internal service notifications.
• Kie.ai (Kling / Nano Banana): The transfer of property photos for video generation is occasional and non-repetitive; it relies on Art. 49(1)(b) GDPR (transfer necessary for performance of the contract between the data subject and the controller). Art. 49(1)(b) is not relied upon as a general basis for routine, systematic processor transfers.
• Meta Platforms (Facebook Pixel), Google Analytics 4: Transfers are consent-based (Art. 6(1)(a) GDPR) and covered by SCCs.
• EU / Germany + global(OpenStreetMap — Nominatim, Overpass): address geocoding and nearby-infrastructure lookup; transfers within the EU/EEA are compliant without additional measures.

Servers and data storage are located in the EU (Hostinger, Frankfurt, Germany). The transfers listed above relate only to specific processing operations by the respective processors.

10. Data Security

Under Article 32 GDPR we apply the following technical and organisational security measures:

• Password hashing with bcrypt (12 rounds);
• HMAC-SHA256 signing of session tokens with server-side expiry verification;
• HTTPS encryption of all connections;
• Rate-limiting on authentication endpoints;
• HttpOnly, Secure, SameSite cookie flags to protect against XSS and CSRF;
• Server access restricted to authorised personnel only;
• Uploaded files are accessible only to the account owner.

11. Data Breach Notification

Under Articles 33 and 34 GDPR:

• In the event of a personal data breach, the controller will notify the supervisory authority within 72 hours of becoming aware of the breach (Art. 33).
• Where the breach is likely to result in a high risk to the rights and freedoms of individuals, affected users will be notified without undue delay (Art. 34).
• The notification will include: the nature of the breach, contact details, likely consequences and measures taken.

12. Children's Data

The Service is intended for persons aged 18 or over. We do not knowingly collect personal data of minors. If we become aware of such collection, the data will be deleted immediately.

13. Cookies

The Service uses technically necessary cookies (session and language settings) and — only with your consent— analytics / marketing cookies (Google Analytics, Meta / Facebook Pixel). Non-essential cookies are not set before consent is given and consent may be withdrawn at any time. Full details and consent management are available in the Cookie Policy.

14. Links to Third-Party Policies

Privacy policies of our processors:

• Polar: polar.sh/legal/privacy
• Stripe: stripe.com/privacy
• Anthropic: anthropic.com/legal/privacy
• Kie.ai: kie.ai/privacy-policy
• Google: policies.google.com/privacy
• AssemblyAI: assemblyai.com/legal/privacy-policy
• Resend: resend.com/legal/privacy-policy
• Twilio: twilio.com/legal/privacy
• Telegram: telegram.org/privacy

15. Right to Lodge a Complaint

Under Article 13(2)(d) GDPR you have the right to lodge a complaint with a supervisory authority:

• Slovenia (controller's supervisory authority):Informacijski pooblaščenec (IP-RS) — ip-rs.si
• For EU residents: the competent data protection authority of your country.

16. Changes to the Privacy Policy

We may update this Policy. The current version is always available on this page with the date of the last update. We will notify you of material changes by email.

17. Contact

Mykhailo Koblychenko s.p.
Tax number: SI40790215 · Company registration number (matična): 7522967000
Registered address: Dimičeva ulica 9, 1000 Ljubljana, Slovenia
Email: support@media4.estate
Website: media4.estate