Privacy Policy

1. Pregled

Ova Politika privatnosti objašnjava kako SINIŠA JOKIĆ PREDUZETNIK RAČUNARSKO PROGRAMIRANJE BAILEY BYTES NOVI SAD prikuplja, koristi, deli i štiti lične podatke kada vlasnici salona i njihovo osoblje koriste Luma mobilnu aplikaciju, Instagram Beauty Bot backend i povezana iskustva sa landing stranicama. Mi smo kontrolor podataka za lične podatke opisane u nastavku, osim ako nije drugačije navedeno. Korišćenjem Usluga prihvatate da ste pročitali i razumeli ovu Politiku.

Kontrolor Podataka

Kontrolor podataka: SINIŠA JOKIĆ PREDUZETNIK RAČUNARSKO PROGRAMIRANJE BAILEY BYTES NOVI SAD, kompanija registrovana u Srbiji sa sedištem u Novom Sadu, Srbija. Molimo kontaktirajte hello@lumadot.rs ako vam je potrebna potpuna poslovna adresa za regulatornu korespondenciju.

2. Usluge koje Pokrivamo

Luma Mobilna Aplikacija: next.js aplikacija koja omogućava salonima da upravljaju razgovorima, terminima, osobljem i notifikacijama.
Instagram Beauty Bot Backend: Quart-based API koji prima Instagram poruke, usmerava ih kroz OpenAI, čuva poslovne podatke i dostavlja push notifikacije.
Meta Integracije: OAuth krajnje tačke i webhook obrada za Instagram Business naloge putem Instagram Graph API-ja.
Landing Stranice i Forme: Marketing sajt(ovi) gde je politika hostovana i gde možete poslati kontakt informacije.

3. Podaci koje Prikupljamo

3.1 Informacije koje direktno pružate

Podaci o Nalogu i Autentifikaciji: Email adresa, lozinka, kodovi za pozivnicu, opcioni broj telefona i uloga (vlasnik/zaposleni) prikupljeni putem aplikacije i sačuvani u Amazon Cognito.
Poslovni Profil Podaci: Ime salona, adresa, broj telefona, radno vreme, dostupne usluge, cene i spisak osoblja sačuvani kroz mobilnu aplikaciju ili API.
Kontrola Razgovora: Manualne poruke koje šaljete klijentima, instrukcije za pauzu/nastavak, beleške i onboarding šabloni.
Podrška Komunikacije: Zahtevi ili dodatne informacije koje podnesete putem emaila ili landing stranica.

3.2 Informacije koje obrađujemo od povezanih servisa

Instagram Messaging Sadržaj: Klijentski Instagram ID-ovi, tekstovi poruka, vremenske oznake, prilozi (slike/audio) i metapodaci isporuke primljeni od Meta webhook-ova.
AI Rezultati: Analize razgovora, predloženi odgovori i procene slika generisane OpenAI modelima.
Meta OAuth Podaci: Instagram Business Account ID-ovi i pristupni tokeni dobijeni putem Instagram Graph API-ja tokom procesa povezivanja.

AI rezultati se generišu automatski i mogu povremeno sadržati netačnosti. Ljudska provera može biti korišćena za osiguranje kvaliteta.

3.3 Informacije prikupljene automatski

Uređaj i Podaci o Aplikaciji: Model mobilnog uređaja, operativni sistem, Expo push token, identifikator uređaja i događaji korišćenja mobilne aplikacije potrebni za dostavljanje notifikacija.
Logovi Servisa: Serverski logovi (npr. ishodi isporuke webhook-a, API greške) sačuvani u AWS CloudWatch radi bezbednosti i rešavanja problema.

4. Kako Koristimo Lične Podatke

Autentifikacija korisnika, upravljanje salonskim kontrolnim panelima i isporuka ugovorene funkcionalnosti.
Prijem, pregled i odgovaranje na Instagram direktne poruke u ime povezanih salona.
Generisanje AI-vođenih odgovora, rezimea, analiza slika i sugestija za termine.
Slanje mobilnih push notifikacija o novim porukama, analizama slika ili ažuriranjima zakazivanja.
Pružanje analitike, uvida u kadriranje i zakazivanje vlasnicima salona.
Održavanje bezbednosti (detekcija prevare, kontrole pristupa, revizorski logovi) i poštovanje zakonskih obaveza.
Odgovaranje na upite o proizvodu, tikete podrške ili regulatorne zahteve.

5. Pravne Osnove (EEA/UK)

Ugovor: Obrada neophodna za isporuku Usluga koje zahtevate (npr. kreiranje naloga, Instagram poruke, upravljanje terminima).
Legitimni Interesi: Praćenje bezbednosti, rešavanje problema, agregirana analitika i poboljšanje Usluga. Balansiramo ove interese sa vašim pravima.
Saglasnost: Opcione aktivnosti kao što su registracija push notifikacija ili čuvanje određenih polja kontakata osoblja. Možete povući saglasnost u bilo kom trenutku u aplikaciji ili kontaktiranjem nas.
Zakonska Obaveza: Zadržavanje zapisa ili odgovaranje na zakonite zahteve od vlasti.

6. Treće Strane i Otkrivanje Podataka

Mi ne prodajemo lične podatke. Delimo ih samo sa:

Meta Platforms (Instagram): Za povezivanje Instagram Business naloga i obradu direktnih poruka kroz Instagram Graph API.
OpenAI, L.L.C.: Za analizu sadržaja poruka, priloga i generisanje AI odgovora. Sadržaj se prenosi bezbednim putem i podleže OpenAI enterprise uslovima.
Expo (Expo Notifications Service) i Apple/Google Push Provajderi: Za dostavljanje mobilnih push notifikacija korišćenjem Expo push tokena.
Firebase Cloud Messaging (Google LLC): Za dostavljanje push notifikacija na mobilne uređaje. Firebase prima tokene uređaja i sadržaj notifikacija (koji može uključivati informacije izvedene iz Instagram poruka, kao što su obaveštenja o novim porukama). Podaci se obrađuju u skladu sa Firebase Politikom Privatnosti.
Amazon Web Services: Hosting (EU-central region), Cognito (korisnički identitet), DynamoDB (mapiranje korisnik-salon), Secrets Manager (konfiguracija), SQLite/Postgres (operativni podaci) i CloudWatch (logovanje).
Pružaoci Usluga: Izvođači, revizori, pravni savetnici ili cloud dobavljači vezani ugovorima o poverljivosti i obradi podataka.
Usklađenost i Bezbednost: Regulatori, sudovi ili policija kada je potrebno po zakonu ili za zaštitu prava, imovine ili bezbednosti.
Korporativne Transakcije: Poslovni transferi (spajanje, preuzimanje, insolventnost) podložni nastavku zaštite vaših podataka.

Otkrivanje Meta Podataka

Povezujemo vaše Instagram Business naloge sa Meta API-jem (Instagram Graph API) kako bismo pružili funkcionalnost poruka i analitike. Meta može obrađivati ove informacije kako je opisano u Meta Politici Privatnosti.

7. Zadržavanje Podataka

Podaci o nalogu i poslovni podaci: Zadržavaju se tokom trajanja naloga salona plus do 24 meseca nakon zatvaranja (osim ako duže zadržavanje nije potrebno po zakonu ili za rešavanje sporova).
Istorija razgovora i AI rezultati: Zadržavaju se do 24 meseca radi podrške kontekstu, revizijama i kvalitetu usluge, zatim se arhiviraju ili brišu.
Push tokeni i metapodaci uređaja: Zadržavaju se dok je uređaj aktivan; automatski se uklanjaju kada su nevažeći ili na zahtev.
Logovi: CloudWatch i dijagnostički logovi zadržavaju se do 12 meseci osim ako bezbednosni incidenti ne zahtevaju duže čuvanje.

Ako nas zamolite da obrišemo ili anonimizujemo podatke ranije—i nijedna zakonska osnova ne zahteva zadržavanje—ispunićemo vaš zahtev.

8. Međunarodni Transferi Podataka

Hostujemo primarnu infrastrukturu u Evropskoj uniji (eu-central-1). Određeni provajderi (npr. OpenAI, Expo, Microsoft Outlook) mogu obrađivati podatke u Sjedinjenim Državama ili drugim zemljama. Kada podaci napuštaju EEA/UK, oslanjamo se na zakonske zaštitne mere kao što su Standardne ugovorne klauzule, ugovori o obradi podataka i sertifikati usklađenosti provajdera. Transferi u Sjedinjene Države se zasnivaju na EU Standardnim ugovornim klauzulama koje je usvojila Evropska komisija.

9. Bezbednosne Mere

Enkripcija u tranzitu (HTTPS/TLS) za sve klijent-server i treće strane komunikacije.
Enkripcija u mirovanju za AWS upravljane servise i ograničeni pristup Secrets Manager-u.
Kontrole pristupa zasnovane na ulogama, revizorski tragovi i bezbedna upravljanje tokenima.
Automatsko praćenje abnormalnih aktivnosti i procedure reagovanja na incidente.
Redovne provere zavisnosti i ojačavanje infrastrukture u skladu sa industrijskim praksama.

Nijedan sistem nije potpuno bezbedan; molimo kontaktirajte nas odmah ako sumnjate na neovlašćenu aktivnost.

10. Push Notifikacije i Komunikacije

Push notifikacije se oslanjaju na Expo i servise push specifične za uređaj. Možete se odjaviti kroz podešavanja u aplikaciji ili kontrole notifikacija na nivou OS-a u bilo kom trenutku.
Operativni emailovi (npr. onboarding, odgovori podrške) su neophodni za isporuku Usluga. Marketing komunikacije se šalju samo uz vašu saglasnost i uvek uključuju opciju odjave.

11. Vaša Prava

U zavisnosti od toga gde živite, možda imate pravo na:

Pristup ličnim podacima koje držimo o vama.
Zahtev za ispravljanje, brisanje ili ograničavanje vaših podataka.
Prigovor na obradu izvršenu na osnovu legitimnog interesa.
Zahtev za prenosivost podataka (mašinski čitljiva kopija određenih podataka).
Povlačenje saglasnosti za opcionu obradu (npr. push notifikacije).
Podnošenje žalbe vašem lokalnom nadzornom organu (npr. Poverenik za informacije od javnog značaja Republike Srbije ili EU/UK organ za zaštitu podataka).
Za stanovnike Kalifornije: zahtev za otkrivanje kategorija podataka, odjava od "prodaje" (mi ne prodajemo podatke) i zahtev za brisanje u skladu sa CCPA.

Da biste iskoristili bilo koje od ovih prava, pošaljite email na hello@lumadot.rs. Možemo zatražiti verifikaciju vašeg identiteta pre ispunjenja vašeg zahteva.

12. Upravljanje Vašim Informacijama

Ažurirajte poslovni profil, usluge i zapise osoblja direktno u Luma mobilnoj aplikaciji.
Odvojite Instagram ili opozvite OAuth dozvole putem aplikacije ili Meta Business Suite-a.
Obrišite keširane akreditive i push tokene sa vašeg uređaja putem podešavanja aplikacije ili OS opcija.
Zatražite potpuno zatvaranje naloga, brisanje sačuvanih transkripata ili uklanjanje određenih zapisa osoblja kontaktiranjem nas.

Možete zatražiti brisanje svog naloga ili povezanih Meta podataka u bilo kom trenutku slanjem emaila na hello@lumadot.rs ili odspajanjem vaših Instagram naloga u aplikaciji. Obrisaćemo sve povezane podatke sa naših servera u roku od 30 dana osim ako zadržavanje nije potrebno po zakonu.

13. Privatnost Dece

Usluge su namenjene poslovnim korisnicima (vlasnici salona, osoblje) i nisu usmerene na decu mlađu od 16 godina. Mi ne prikupljamo svesno podatke od dece. Ako verujete da je dete pružilo lične podatke, kontaktirajte nas kako bismo ih obrisali.

14. Ažuriranja ove Politike

Možemo ažurirati ovu Politiku privatnosti kako bi odražavala promene u tehnologiji, regulativi ili našim praksama. Kada to uradimo, revidiračemo datum "Poslednje ažuriranje" i, kada dođe do materijalnih promena, pružićemo dodatno obaveštenje (npr. upozorenje u aplikaciji ili email). Nastavak korišćenja Usluga nakon ažuriranja predstavlja prihvatanje revidirane Politike.

15. Kontaktirajte Nas

Za pitanja, zahteve ili brige u vezi privatnosti, molimo kontaktirajte:

SINIŠA JOKIĆ PREDUZETNIK RAČUNARSKO PROGRAMIRANJE BAILEY BYTES NOVI SAD

Email: hello@lumadot.rs

1. Overview

This Privacy Policy explains how SINIŠA JOKIĆ PREDUZETNIK RAČUNARSKO PROGRAMIRANJE BAILEY BYTES NOVI SAD ("we", "us", "our") collects, uses, shares, and protects personal data when salon owners and their staff use the Luma Mobile application, the Instagram Beauty Bot backend, and related landing-page experiences (collectively, the "Services"). We are the data controller for the personal data described below unless stated otherwise. By using the Services you acknowledge that you have read and understood this Policy.

Data Controller

Data Controller: SINIŠA JOKIĆ PREDUZETNIK RAČUNARSKO PROGRAMIRANJE BAILEY BYTES NOVI SAD, a company registered in Serbia with its registered office in Novi Sad, Serbia. Please contact hello@lumadot.rs if you need the full business address for regulatory correspondence.

2. Services Covered

Luma Mobile App: The React Native iOS/Android application that lets salon teams manage conversations, appointments, staff, and notifications.
Instagram Beauty Bot Backend: The Quart-based API that ingests Instagram messages, routes them through OpenAI, stores business data, and delivers push notifications.
Meta Integrations: OAuth endpoints and webhook handling for Instagram Business Accounts via the Instagram Graph API.
Landing Pages & Forms: The marketing site(s) where the policy is hosted and where you may submit contact information.

3. Data We Collect

3.1 Information you provide directly

Account & Authentication Data: Email address, password, invite codes, optional phone number, and role (owner/employee) captured via the app and stored in Amazon Cognito.
Business Profile Data: Salon name, address, phone number, business hours, available services, pricing, and staff rosters saved through the mobile app or API.
Conversation Controls: Manual messages you send to clients, pause/resume instructions, notes, and onboarding templates.
Support Communications: Requests or additional information you submit via email or landing-page forms.

3.2 Information we process from connected services

Instagram Messaging Content: Customer Instagram IDs, message text, timestamps, attachments (images/audio), and delivery metadata received from Meta webhooks.
AI Outputs: Conversation analyses, suggested replies, and image assessments generated by OpenAI models.
Meta OAuth Data: Instagram Business Account IDs and access tokens obtained via the Instagram Graph API during the connection flow.

AI outputs are generated automatically and may occasionally contain inaccuracies. Human review may be used for quality assurance.

3.3 Information collected automatically

Device & App Data: Mobile device model, operating system, Expo push token, device identifier, and mobile app usage events required to deliver notifications.
Service Logs: Server-side logs (e.g., webhook delivery outcomes, API errors) stored in AWS CloudWatch for security and troubleshooting.

4. How We Use Personal Data

Authenticate users, operate salon dashboards, and deliver contracted functionality.
Receive, screen, and respond to Instagram direct messages on behalf of connected salons.
Generate AI-driven replies, summaries, image analyses, and appointment suggestions.
Send mobile push notifications regarding new messages, image analyses, or booking updates.
Provide analytics, staffing, and scheduling insights to salon owners.
Maintain security (fraud detection, access controls, audit logs) and comply with legal obligations.
Respond to product inquiries, support tickets, or regulatory requests.

5. Legal Bases (EEA/UK)

Contract: Processing necessary to deliver the Services you request (e.g., account creation, Instagram messaging, appointment management).
Legitimate Interests: Security monitoring, troubleshooting, aggregated analytics, and improving the Services. We balance these interests against your rights.
Consent: Optional activities such as registering push notifications or storing certain staff contact fields. You may withdraw consent at any time in the app or by contacting us.
Legal Obligation: Retaining records or responding to lawful requests from authorities.

6. Third-Party Services & Disclosures

We do not sell personal data. We share it only with:

Meta Platforms (Instagram): To connect Instagram Business Accounts and process direct messages through the Instagram Graph API.
OpenAI, L.L.C.: To analyze message content, attachments, and generate AI responses. Content is transmitted securely and subject to OpenAI's enterprise terms.
Expo (Expo Notifications Service) & Apple/Google Push Providers: To deliver mobile push notifications using Expo push tokens.
Firebase Cloud Messaging (Google LLC): To deliver push notifications to mobile devices. Firebase receives device tokens and notification content (which may include information derived from Instagram messages, such as new message alerts). Data is processed in accordance with Firebase Privacy Policy.
Amazon Web Services: Hosting (EU-central region), Cognito (user identity), DynamoDB (user-to-salon mapping), Secrets Manager (configuration), SQLite/Postgres (operational data), and CloudWatch (logging).
Service Providers: Contractors, auditors, legal advisors, or cloud vendors bound by confidentiality and data processing agreements.
Compliance & Safety: Regulators, courts, or law enforcement when required by law or to protect rights, property, or safety.
Corporate Transactions: Business transfers (merger, acquisition, insolvency) subject to continued protection of your data.

Meta Data Disclosure

We connect your Instagram Business accounts to Meta's Instagram Graph API in order to deliver messaging and analytics functionality. Meta may process this information as described in the Meta Privacy Policy.

7. Data Retention

Account and business data: Retained for the duration of the salon's account plus up to 24 months after closure (unless longer retention is required by law or to resolve disputes).
Conversation history & AI outputs: Retained for up to 24 months to support context, audits, and service quality, then archived or deleted.
Push tokens & device metadata: Retained while the device remains active; removed automatically when invalid or upon request.
Logs: CloudWatch and diagnostic logs retained for up to 12 months unless security incidents require longer storage.

If you ask us to delete or anonymize data sooner—and no legal basis requires retention—we will honor your request.

8. International Data Transfers

We host primary infrastructure in the European Union (eu-central-1). Certain providers (e.g., OpenAI, Expo, Microsoft Outlook) may process data in the United States or other countries. When data leaves the EEA/UK, we rely on lawful safeguards such as Standard Contractual Clauses, data processing agreements, and provider compliance certifications. Transfers to the United States are based on the EU Standard Contractual Clauses adopted by the European Commission.

9. Security Measures

Encryption in transit (HTTPS/TLS) for all client-server and third-party communications.
Encryption at rest for AWS-managed services and restricted Secrets Manager access.
Role-based access controls, audit trails, and secure token management.
Automated monitoring for abnormal activity and incident response procedures.
Regular dependency reviews and infrastructure hardening in line with industry practices.

No system is completely secure; please contact us immediately if you suspect unauthorized activity.

10. Push Notifications & Communications

Push notifications rely on Expo and device-specific push services. You can opt out through in-app settings or OS-level notification controls at any time.
Operational emails (e.g., onboarding, support responses) are necessary to deliver the Services. Marketing communications are sent only with your consent and always include an unsubscribe option.

11. Your Rights

Depending on where you live, you may have the right to:

Access the personal data we hold about you.
Request correction, deletion, or restriction of your data.
Object to processing carried out on legitimate-interest grounds.
Request data portability (a machine-readable copy of certain data).
Withdraw consent for optional processing (e.g., push notifications).
Lodge a complaint with your local supervisory authority (e.g., the Serbian Commissioner for Information of Public Importance or an EU/UK data protection authority).
For California residents: request disclosure of data categories, opt out of "selling" (we do not sell data), and request deletion consistent with the CCPA.

To exercise any of these rights, email hello@lumadot.rs. We may need to verify your identity before fulfilling your request.

12. Managing Your Information

Update business profile, services, and staff records directly within the Luma Mobile app.
Disconnect Instagram or revoke OAuth permissions via the app or Meta Business Suite.
Clear cached credentials and push tokens from your device via app settings or OS options.
Request full account closure, deletion of stored transcripts, or removal of specific staff records by contacting us.

You can request deletion of your account or connected Meta data at any time by emailing hello@lumadot.rs or by disconnecting your Instagram accounts within the app. We will delete all associated data from our servers within 30 days unless retention is required by law.

13. Children's Privacy

The Services are intended for business users (salon owners, staff) and are not directed to children under 16. We do not knowingly collect data from children. If you believe a child has provided personal data, contact us so we can delete it.

14. Updates to This Policy

We may update this Privacy Policy to reflect changes in technology, regulation, or our practices. When we do, we will revise the "Last updated" date and, when material changes occur, provide additional notice (e.g., in-app alert or email). Continued use of the Services after an update constitutes acceptance of the revised Policy.

15. Contact Us

For questions, requests, or concerns regarding privacy, please contact: