Geslar
Pravila privatnosti
Zadnja izmjena: svibanj 2026. Primjenjuje se na web aplikaciju geslar.app i proširenja za preglednike.
Posljednja izmjena:
Uvod
Temeljno načelo: lozinke i fraze koje generiraš nikada ne napuštaju tvoj uređaj.
Geslar je besplatni password manager i generator sigurnih lozinki i passphrase fraza od hrvatskih riječi. Ova pravila opisuju koje podatke Geslar koristi, u koju svrhu i kako ih štiti.
Voditelj obrade: Daniel Legin, Hrvatska
Kontakt: info@geslar.app
Kontakt: info@geslar.app
Pravna osnova obrade
Geslar obrađuje minimalne podatke na temelju sljedećih pravnih osnova u skladu s člankom 6. stavkom 1. GDPR-a:
Legitimni interes (čl. 6.1.f)
Tehnički nužni podaci za funkcioniranje aplikacije — lokalne postavke (localStorage), enkripcija i dekriptiranje na uređaju, provjera curenja putem k-Anonymity protokola.
Privola (čl. 6.1.a)
Kontakt forma — slanjem poruke korisnik daje privolu za obradu imena, e-mail adrese i sadržaja poruke isključivo u svrhu odgovora na upit.
Izvršenje ugovora (čl. 6.1.b)
Funkcija Sigurno slanje — privremena pohrana enkriptiranog sadržaja na poslužitelju nužna je za izvršenje usluge dijeljenja lozinke između pošiljatelja i primatelja.
Generiranje lozinki i fraza
Cjelokupno generiranje odvija se isključivo u pregledniku na tvom uređaju. Niti jedna generirana lozinka, fraza ni drugi unos korisnika ne šalje se na server niti se pohranjuje izvan lokalnog uređaja.
Škrinjar (password manager)
Svi podaci u Škrinjaru (lozinke, kartice, TOTP ključevi, bilješke) pohranjeni su isključivo lokalno na tvom uređaju — enkriptirani algoritmom AES-256-GCM s ključem deriviranim iz master ključa putem PBKDF2 (600.000 iteracija). Geslar nema poslužitelja koji prima, pohranjuje ili obrađuje tvoje podatke iz Škrinjara.
Enkripcija na uređaju
AES-256-GCM s odvojenim solima za master ključ i verifikacijski hash. Ključevi se čuvaju samo u RAM-u preglednika (
chrome.storage.session) i brišu se pri svakom restartu.Lokalna pohrana
Šifrirana baza pohranjuje se u
chrome.storage.local na uređaju. Podaci nikada ne napuštaju preglednik — nema cloud synca, nema mrežnih zahtjeva.Automatsko zaključavanje
Škrinjar se automatski zaključava nakon neaktivnosti (konfigurabilan timeout). Koriste se
alarms i idle dozvole za detekciju neaktivnosti — isključivo lokalno, bez mrežne komunikacije.Import / Export
Uvoz i izvoz podataka odvija se lokalno u pregledniku. Podržan je enkriptirani Geslar format, Bitwarden JSON i CSV. Kod neenkriptiranih formata prikazuje se upozorenje.
Cloud account
Registracijom Geslar cloud accounta obrađuju se sljedeći osobni podaci:
E-mail adresa
Koristi se za autentikaciju, slanje transakcijskih obavijesti i komunikaciju vezanu uz račun. Ne dijeli se s trećim stranama u marketinške svrhe.
Hash lozinke
Lozinka nikada nije pohranjena u izvornom obliku. Pohranjuje se isključivo kriptografski hash (Argon2id). Iz hasha nije moguće rekonstruirati izvornu lozinku.
Enkriptirani vault
Pohrana lozinki i bilješki enkriptirana je end-to-end — Geslar serveri obrađuju isključivo šifrirane podatke. Ključ za dekriptiranje nikada ne napušta tvoj uređaj.
Revizijski dnevnik (audit log)
Za sigurnosne događaje (prijava, promjena lozinke, novi uređaj) pohranjuju se IP adresa i user agent. Za ostale akcije IP i user agent se ne bilježe.
Biometrijsko otključavanje
Geslar podržava otključavanje Škrinjara putem Windows Hello ili Touch ID (WebAuthn PRF extension). Biometrijski podaci nikada ne napuštaju platformski autentikator operativnog sustava — Geslar ih ne vidi i ne pohranjuje.
Lokalno se pohranjuje samo šifrirani omotač master ključa (encrypted wrapping key), koji se može dekriptirati jedino uspješnom biometrijskom verifikacijom na istom uređaju. Biometrija služi kao convenience unlock — master ključ je i dalje obavezan barem jednom nakon restarta preglednika.
Autofill i detekcija formi
Autofill funkcionira isključivo na zahtjev korisnika — klikom na Geslar ikonu u polju za unos ili tipkovničkim prečacem (Ctrl+Shift+L). Content script detektira polja za prijavu i unos kartica na aktivnoj stranici, ali ne čita, ne prikuplja i ne šalje sadržaj stranice.
Geslar koristi closed shadow DOM s randomiziranim imenima elemenata, čime je onemogućeno čitanje ili manipuliranje Geslar UI-a od strane stranice na kojoj se prikazuje.
Lokalne postavke (localStorage)
Aplikacija pohranjuje tvoje postavke lokalno u pregledniku putem
localStorage — odabrani razdjelnik, rječnici, tema, veličina teksta i slično. Ti podaci ostaju samo na tvom uređaju i nikada se ne šalju na server. Možeš ih obrisati brisanjem podataka preglednika.
Sigurno slanje (Encrypt & Send)
Opcija Pošalji sigurno omogućuje dijeljenje lozinke putem enkriptiranog linka.
- Lozinka se šifrira u pregledniku (AES-GCM, 256-bitni ključ) prije slanja
- Na server se šalje isključivo šifrirani blob — server nikada ne vidi izvornu lozinku
- Ključ za dešifriranje prenosi se isključivo putem URL fragmenta (#) koji se ne šalje serveru
- Podaci se automatski brišu po isteku (1, 3 ili 7 dana) ili nakon maksimalnog broja pregleda
- Server za pohranu je Cloudflare (EU/globalni edge), podaci se ne koriste ni za kakvu drugu svrhu
Provjera curenja lozinke (Have I Been Pwned)
Funkcija Provjeri lozinku koristi k-anonimni model: od lozinke se računa SHA-1 hash, a na vanjski API (HaveIBeenPwned) šalje se samo prvih 5 znakova tog hasha. Cijela lozinka niti puni hash nikada ne napuštaju uređaj.
Analitika
Geslar ne koristi nikakve analitičke alate, skripte za praćenje ni kolačiće. Ne prikupljamo podatke o posjećenosti, ponašanju korisnika niti bilo kakve osobne podatke putem web aplikacije ili proširenja za preglednike.
Kontakt forma
Ako pošalješ poruku putem stranice Kontakt, ime, e-mail adresa i sadržaj poruke šalju se direktno autoru. Podaci se koriste isključivo za odgovor na upit i ne pohranjuju se u bazi podataka.
Proširenje za preglednike — dozvole
activeTab
Pristup aktivnoj kartici samo kad korisnik pokrene autofill — isključivo za upisivanje lozinke ili kartice u fokusirano polje za unos.
scripting
Injektiranje skripte u aktivnu karticu na zahtjev korisnika, za detekciju polja za prijavu i umetanje podataka.
clipboardWrite
Kopiranje lozinke, TOTP koda ili kartičnog broja u clipboard na zahtjev korisnika.
storage
Pohrana enkriptirane baze Škrinjara i korisničkih postavki lokalno na uređaju putem
chrome.storage.local. Podaci nikada ne napuštaju uređaj.alarms
Periodička provjera za automatsko zaključavanje Škrinjara nakon neaktivnosti. Koristi se isključivo lokalno — bez mrežnih poziva.
idle
Detekcija neaktivnosti korisnika (locked/idle/active stanje) za automatsko zaključavanje Škrinjara. Bez prikupljanja podataka o aktivnosti.
Proširenje ne čita sadržaj web stranica, ne prati povijest pregledavanja i ne prikuplja nikakve podatke o korištenju. Jedina mrežna komunikacija je provjera curenja lozinki (HIBP, k-Anonymity) i dohvat favicona (DuckDuckGo API).
Kolačići
Geslar ne koristi kolačiće za praćenje niti za personalizaciju. Postavke aplikacije pohranjuju se isključivo u
localStorage preglednika, a ne u kolačićima.
Rok čuvanja podataka
Geslar primjenjuje načelo minimizacije podataka — podaci se čuvaju samo onoliko koliko je nužno za ispunjenje svrhe.
Lokalne postavke
Pohranjene u pregledniku (localStorage) dok ih korisnik ne obriše ili ne očisti podatke preglednika. Geslar ih ne briše automatski.
Sigurno slanje
Enkriptirani payload čuva se na poslužitelju do isteka odabranog roka (1–90 dana) ili do dostizanja limita pregleda, nakon čega se automatski i trajno briše.
Kontakt poruke
Ime, e-mail i sadržaj poruke čuvaju se samo do odgovora na upit, nakon čega se brišu. Ne pohranjuju se u bazu podataka.
Provjera curenja
Nikakvi podaci se ne pohranjuju — provjera se odvija u realnom vremenu, a rezultat se prikazuje samo u pregledniku korisnika.
Cloud account podaci
Podaci se čuvaju dok je račun aktivan. Nakon zahtjeva za brisanje, primjenjuje se 30-dnevni grace period, a zatim se svi podaci trajno brišu. Anonimiziran zapis o brisanju u email logu čuva se dodatnih 6 mjeseci.
Revizijski dnevnik
Sigurnosni i autentikacijski eventi čuvaju se 12 mjeseci. Billing i organizacijski eventi čuvaju se 24 mjeseca. Nakon isteka automatski se trajno brišu.
Refresh tokeni
Tokeni koji su istekli brišu se automatski 30 dana nakon isteka valjanosti. Odjava invalidira token odmah.
Export podataka (GDPR čl. 20)
ZIP arhiva s tvojim podacima dostupna je za preuzimanje 24 sata od generiranja, nakon čega se automatski briše s poslužitelja.
Prijenos podataka u treće zemlje
Geslar koristi sljedeće vanjske servise (izvršitelje obrade) čiji poslužitelji mogu biti izvan Europskog gospodarskog prostora (EGP):
Hetzner (EU)
Hosting API poslužitelja i baze podataka. Podatkovni centri smješteni su u Njemačkoj (EU). Hetzner je potpisnik Standardnih ugovornih klauzula (SCC). Politika privatnosti
Brevo (EU)
Slanje transakcijskih e-mailova (potvrda registracije, obavijest o novom uređaju, export podataka). Brevo je certificiran prema GDPR-u i ima sjedište u Parizu (EU). Geslar šalje Brevou isključivo e-mail adresu primatelja i sadržaj obavijesti. Politika privatnosti
Lemon Squeezy
Procesor plaćanja za Premium pretplate. Lemon Squeezy djeluje kao Merchant of Record — preuzima odgovornost za naplatu, PDV i usklađenost. Geslar ne pohranjuje podatke platnih kartica. Lemon Squeezy koristi SCC za prijenose izvan EGP-a. Politika privatnosti
Cloudflare
Posluživanje web stranica i pohrana enkriptiranih payloada (Sigurno slanje). Cloudflare ima EU-reprezentativca i koristi standardne ugovorne klauzule (SCC) za prijenose izvan EGP-a. Geslar šalje Cloudflareu isključivo enkriptirane podatke — ključ za dekriptiranje nikada ne napušta uređaj korisnika.
HaveIBeenPwned (HIBP)
Provjera curenja lozinki. Poslužitelji su u Cloudflareu (SAD/globalni edge). Koristi se k-Anonymity protokol — API prima samo prvih 5 znakova SHA-1 hasha, ne cijelu lozinku. Iz tog prefiksa nije moguće rekonstruirati izvornu lozinku.
Napomena: Osim navedenih servisa, Geslar ne komunicira ni s jednim drugim vanjskim servisom. Svi fontovi, skripte i stilovi posluživani su s vlastite domene (geslar.app).
Prava ispitanika
Sukladno člancima 15.–21. Opće uredbe o zaštiti podataka (GDPR), imate sljedeća prava:
- Pravo na pristup (čl. 15) — možete zatražiti potvrdu obrađuju li se vaši osobni podaci i pristup tim podacima
- Pravo na ispravak (čl. 16) — možete zatražiti ispravak netočnih osobnih podataka
- Pravo na brisanje (čl. 17) — možete zatražiti brisanje osobnih podataka kada više nisu potrebni za svrhu obrade
- Pravo na ograničenje obrade (čl. 18) — možete zatražiti ograničenje obrade u određenim okolnostima
- Pravo na prenosivost (čl. 20) — možete zatražiti prijenos podataka u strukturiranom, strojno čitljivom formatu
- Pravo na prigovor (čl. 21) — možete uložiti prigovor na obradu podataka koja se temelji na legitimnom interesu
Kako ostvariti prava:
- Registrirani korisnici — pravo na prenosivost (čl. 20) i pravo na brisanje (čl. 17) možete ostvariti izravno u postavkama: Postavke → Račun → Izvezi moje podatke / Obriši račun.
- Lokalni korisnici bez cloud accounta — vaši podaci nikada nisu napustili vaš uređaj, prava su automatski ispunjena.
- Za ostale zahtjeve (ispravak, ograničenje obrade, prigovor) obratite se na info@geslar.app.
Nadzorno tijelo
Ako smatrate da je obrada vaših osobnih podataka u suprotnosti s GDPR-om, imate pravo podnijeti pritužbu nadležnom nadzornom tijelu:
Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136, 10 000 Zagreb, Hrvatska
Telefon: +385 1 4609 000
Web: azop.hr
E-pošta: azop@azop.hr
Selska cesta 136, 10 000 Zagreb, Hrvatska
Telefon: +385 1 4609 000
Web: azop.hr
E-pošta: azop@azop.hr
Pitanja o privatnosti
Za sva pitanja u vezi s privatnošću obrati se putem stranice Kontakt ili izravno na info@geslar.app.
Preuzmite kontrolu nad svojim lozinkama
Vojna razina enkripcije, lokalno, besplatno bez ograničenja.