// legal · privacy policy

Privacy Policy

Effective: 2026-05-20 · Version: 1.0 · Jurisdictions: US · EU · Montenegro
Summary in one paragraph. Sancto Structure processes the personal data you provide and the technical data your browser sends when you visit this website. We use it to deliver our services, respond to your enquiries, maintain security, and improve the website. We share data only with the service providers we need to operate and never sell personal data. You have full rights of access, rectification, deletion, portability, and objection under GDPR, CCPA/CPRA, and the Montenegrin Law on Personal Data Protection — exercised by writing to privacy@sancto.me.

1. Controllers & contact

For the purposes of this Policy, the joint data controllers are:

  • Sancto Structure LLC (Delaware, USA) — for users accessing the site from the Americas;
  • Sancto Structure d.o.o. (Podgorica, Montenegro) — for users accessing the site from the EU/EEA, Montenegro, the United Kingdom, Switzerland, Israel, and elsewhere outside the Americas.

Data-protection contact: privacy@sancto.me. Postal: Sancto Structure d.o.o., Podgorica, Montenegro.

2. Personal data we collect

2.1 Data you provide directly

  • Identification & contact: full name, work email, telephone, company, role.
  • Project enquiries: anything you write into our contact form, including project descriptions, files, screenshots, links.
  • Communications: emails, chat messages, call recordings (only with explicit consent obtained at the start of the call).

2.2 Data collected automatically

  • Device & connection: IP address (truncated where law requires), browser type, operating system, screen resolution, referring URL.
  • Usage: pages visited, time on page, scroll depth, click events — aggregated, never tied to your identity unless you authenticate.
  • Cookies & similar storage: see our Cookie Policy for the full inventory.

2.3 Data from third parties

  • Enrichment: when you submit a work email, we may enrich the company record via Clearbit, Apollo or similar providers for sales-qualification purposes (legitimate interest under GDPR Art. 6(1)(f)).
  • Analytics & marketing: aggregate data from advertising platforms (LinkedIn, Google Ads) where you arrived via a campaign — never individually identifying.

3. Purposes & lawful bases

PurposeLawful basis (GDPR)Notes
Responding to your enquiryArt. 6(1)(b) — pre-contractRequired to engage with us at all
Performing a signed Statement of WorkArt. 6(1)(b) — contract
Site security & abuse preventionArt. 6(1)(f) — legitimate interestIP logs, rate limiting
Analytics (aggregated)Art. 6(1)(a) — consentYou opt in via the cookie banner
Marketing & remarketingArt. 6(1)(a) — consentSame as above
Legal compliance, tax, accountingArt. 6(1)(c) — legal obligationUp to retention limits required by law
Establishment, exercise, defence of legal claimsArt. 6(1)(f) — legitimate interest

For users in California (CCPA/CPRA): we do not sell personal information and do not engage in cross-context behavioural advertising outside what you explicitly consent to via the cookie banner.

4. Recipients & sub-processors

We share personal data only with categories of recipients necessary to operate our services, each bound by a written processing agreement: hosting and CDN providers; email and communication infrastructure; CRM and form-processing tools; consent-based analytics; payment processors (clients only); AI and automation infrastructure where explicitly part of an engagement; and our legal, tax and accounting advisors under professional confidentiality. A current sub-processor list with the specific vendors used at the time of an engagement is provided on request.

5. International transfers

Personal data may be transferred to recipients in the United States and other jurisdictions outside the EEA. Such transfers are protected by Standard Contractual Clauses (Module 2 or 3) approved by the European Commission, together with supplementary measures where required by Schrems II, and equivalent contractual safeguards under Montenegrin law.

6. Retention

  • Contact-form submissions: 36 months from last contact, then deleted.
  • Active client records: duration of the engagement plus 7 years (US/EU tax & statute-of-limitations defaults).
  • Server & security logs: 90 days, rolling.
  • Marketing-consented data: until consent is withdrawn or 24 months of inactivity.

7. Your rights

7.1 Under GDPR / Montenegrin LPDP

You have the right to: (a) access your personal data; (b) rectification; (c) erasure ("right to be forgotten"); (d) restriction of processing; (e) data portability; (f) objection to processing based on legitimate interest or direct marketing; (g) withdraw consent at any time without affecting the lawfulness of processing prior to withdrawal; (h) lodge a complaint with a supervisory authority — your local DPA, the Agency for Personal Data Protection and Free Access to Information of Montenegro (azlp.me), or any other competent authority.

7.2 Under CCPA / CPRA (California)

You have the right to know what categories of personal information we collect, to access specific pieces, to delete, to correct, to limit the use of "sensitive personal information," to non-discrimination for exercising these rights, and to opt out of any "sale" or "sharing" (we do neither). To exercise: email privacy@sancto.me with subject "California Rights Request."

7.3 How to exercise

Email privacy@sancto.me. We respond within 30 days (45 in complex cases, with explanation). Identity verification may be required to prevent unauthorised disclosure.

8. Security

We apply administrative, technical and organisational measures appropriate to the risk: encryption in transit (TLS 1.3), encryption at rest for production data stores, principle of least-privilege access, multi-factor authentication for all staff, quarterly access reviews, regular penetration testing by independent firms, and an incident-response procedure committing us to notify affected users and relevant authorities within 72 hours of becoming aware of a personal-data breach (GDPR Art. 33–34 timeline).

9. Children

This website and our services are not directed to children under 16. We do not knowingly collect personal data from children. If you believe we have done so, contact us immediately and we will delete the data.

10. Changes to this Policy

We may update this Policy from time to time. Material changes will be announced via a notice on the homepage and (for active clients) by email. The "Effective" and "Version" headers above always reflect the current iteration. Prior versions are available on request.

11. Contact & complaints

Data-protection contact: privacy@sancto.me. Postal: Sancto Structure d.o.o., Podgorica, Montenegro. Supervisory authority for EU residents: your national DPA. Supervisory authority for Montenegrin residents: Agency for Personal Data Protection and Free Access to Information. Supervisory authority for California residents: California Privacy Protection Agency.

Authoritative version. In case of any inconsistency between the English text and any translation, the English version prevails as a matter of contract interpretation, except where mandatory local law of the User's country of residence requires otherwise.
В одном абзаце. Sancto Structure обрабатывает персональные данные, которые вы предоставляете, и технические данные, которые ваш браузер отправляет при посещении сайта. Мы используем их для оказания услуг, ответа на запросы, обеспечения безопасности и улучшения сайта. Данные передаются только тем поставщикам услуг, которые необходимы нам для работы, и никогда не продаются. Вы имеете право доступа, исправления, удаления, переноса и возражения по GDPR, CCPA/CPRA и Закону Черногории о защите персональных данных — реализуется письмом на privacy@sancto.me.

1. Контролёры данных и контакты

Совместными контролёрами данных являются:

  • Sancto Structure LLC (Делавэр, США) — для пользователей из Северной и Южной Америки;
  • Sancto Structure d.o.o. (Подгорица, Черногория) — для пользователей из ЕС/ЕЭП, Черногории, Великобритании, Швейцарии, Израиля и других регионов за пределами Америк.

Контакт по защите данных: privacy@sancto.me. Почтовый адрес: Sancto Structure d.o.o., Подгорица, Черногория.

2. Какие данные мы собираем

2.1 Данные, которые вы предоставляете

  • Идентификация и контакт: ФИО, рабочий email, телефон, компания, должность.
  • Запросы по проекту: всё, что вы пишете в форме обратной связи — описание задачи, файлы, скриншоты, ссылки.
  • Коммуникации: письма, чат, записи звонков (только с явным согласием в начале звонка).

2.2 Данные, собираемые автоматически

  • Устройство и соединение: IP-адрес (усечён, где этого требует закон), браузер, ОС, разрешение экрана, источник перехода.
  • Использование: посещённые страницы, время на странице, прокрутка, клики — агрегированно.
  • Cookies и аналогичные технологии: полный перечень в Политике cookies.

3. Цели обработки и правовые основания

Цели: ответ на ваш запрос, исполнение подписанного Технического задания, безопасность сайта, аналитика (с вашего согласия), маркетинг (с вашего согласия), соблюдение требований налогового и финансового законодательства, защита законных интересов.

Правовые основания: для пользователей в ЕС — ст. 6 GDPR. Для пользователей в Калифорнии — CCPA/CPRA: мы не продаём персональные данные.

4. Получатели и субподрядчики

Мы передаём персональные данные только категориям получателей, необходимым для работы сервисов, каждый из которых связан письменным соглашением: хостинг и CDN; электронная почта и коммуникации; CRM и обработка форм; аналитика по согласию; платежи (только для клиентов); AI-инфраструктура в рамках конкретных проектов; юридические, налоговые и бухгалтерские консультанты. Актуальный список конкретных субподрядчиков на момент взаимодействия предоставляется по запросу.

5. Международная передача данных

Персональные данные могут передаваться получателям в США и других странах за пределами ЕЭП на основании Стандартных договорных оговорок (SCC) Европейской комиссии, дополнительных мер по требованиям Schrems II, а также эквивалентных контрактных гарантий по черногорскому праву.

6. Сроки хранения

  • Запросы из формы: 36 месяцев с момента последнего контакта.
  • Записи активных клиентов: срок взаимодействия + 7 лет.
  • Серверные и security-логи: 90 дней.
  • Маркетинговое согласие: до отзыва или 24 месяцев неактивности.

7. Ваши права

Право на доступ, исправление, удаление, ограничение обработки, перенос данных, возражение, отзыв согласия в любой момент, а также право подать жалобу в надзорный орган. Реализуется письмом на privacy@sancto.me; срок ответа — 30 дней (45 в сложных случаях).

8. Безопасность

Шифрование в транзите (TLS 1.3), шифрование хранилищ продакшена, доступ по принципу наименьших привилегий, MFA для сотрудников, ежеквартальные ревью доступа, регулярные внешние пентесты, процедура реагирования на инциденты с уведомлением затронутых пользователей и регуляторов в течение 72 часов.

9. Дети

Сайт и услуги не предназначены для детей младше 16 лет. Мы сознательно не собираем данные детей. Если это произошло — сообщите, и мы удалим данные.

10. Изменения Политики

Политика может обновляться. О существенных изменениях мы сообщаем на главной странице и (для активных клиентов) по email. Дата вступления в силу и версия указаны выше.

11. Контакты и жалобы

Запросы по защите данных: privacy@sancto.me. Надзорные органы: национальный DPA для пользователей ЕС; AZLP для Черногории; California Privacy Protection Agency для Калифорнии.

Аутентичная версия. В случае расхождения между английским текстом и переводом приоритет имеет английский вариант, за исключением случаев, когда обязательное местное законодательство страны проживания пользователя требует иного.
Sažetak u jednom pasusu. Sancto Structure obrađuje lične podatke koje pružite i tehničke podatke koje vaš pregledač šalje pri posjeti sajtu. Koristimo ih za pružanje usluga, odgovor na upite, sigurnost i unapređenje sajta. Podatke dijelimo samo sa neophodnim dobavljačima usluga i nikada ne prodajemo. Imate sva prava po GDPR, CCPA/CPRA i Zakonu o zaštiti podataka o ličnosti CG — pišite na privacy@sancto.me.

1. Kontrolori & kontakt

Zajednički kontrolori podataka:

  • Sancto Structure LLC (Delaware, SAD) — za korisnike iz Sjeverne i Južne Amerike;
  • Sancto Structure d.o.o. (Podgorica, Crna Gora) — za korisnike iz EU/EEP, Crne Gore, UK, Švajcarske, Izraela i drugih regiona van Amerika.

Kontakt za zaštitu podataka: privacy@sancto.me. Adresa: Sancto Structure d.o.o., Podgorica, Crna Gora.

2. Koje podatke prikupljamo

Direktno: ime i prezime, poslovni email, telefon, kompanija, pozicija, opis projekta, fajlovi. Automatski: IP, pregledač, OS, posjećene stranice, kolačići (vidi Politiku kolačića). Od trećih strana: obogaćivanje podataka kompanija za sales-kvalifikaciju.

3. Svrhe i pravni osnov

Odgovor na upit (predugovor), izvršenje SOW-a (ugovor), sigurnost (legitimni interes), analitika i marketing (saglasnost), pravne obaveze (poreske, računovodstvene), zaštita pravnih zahtjeva (legitimni interes). Pravni osnov u EU: GDPR čl. 6. U CG: Zakon o zaštiti podataka o ličnosti.

4. Primaoci i podobrađivači

Dijelimo lične podatke samo sa kategorijama primalaca neophodnim za rad usluga, svaki vezan pisanim sporazumom: hosting i CDN; email i komunikacija; CRM i obrada formi; analitika uz saglasnost; plaćanja (samo za klijente); AI infrastruktura u okviru konkretnih angažmana; pravni i računovodstveni savjetnici. Lista konkretnih dobavljača na zahtjev.

5. Međunarodni transferi

Transferi u SAD i druge jurisdikcije izvan EEP zaštićeni su EU–US Data Privacy Framework-om, Standardnim ugovornim klauzulama i dodatnim mjerama u skladu sa Schrems II.

6. Period čuvanja

  • Upiti sa kontakt forme: 36 mjeseci od posljednjeg kontakta.
  • Klijentski zapisi: trajanje angažmana + 7 godina.
  • Server logovi: 90 dana.
  • Marketinška saglasnost: do povlačenja ili 24 mjeseca neaktivnosti.

7. Vaša prava

Pristup, ispravka, brisanje, ograničenje obrade, prenosivost, prigovor, povlačenje saglasnosti, žalba nadzornom organu. Za CG: AZLP. Za EU: nacionalni DPA. Za Kaliforniju: CPPA. Pišite: privacy@sancto.me; odgovor u 30 dana (45 u kompleksnim slučajevima).

8. Sigurnost

TLS 1.3 šifrovanje u tranzitu, šifrovanje produkcijskih baza, najmanje privilegije, MFA za zaposlene, kvartalne provjere pristupa, redovan pentest, procedura odgovora na incidente sa obavještenjem u roku od 72 sata.

9. Djeca

Sajt nije namijenjen djeci mlađoj od 16 godina. Ne prikupljamo svjesno podatke djece.

10. Izmjene

Politika se može mijenjati. Materijalne izmjene najavljuju se na sajtu i email-om aktivnim klijentima. Datum stupanja na snagu i verzija su navedeni gore.

11. Kontakt & žalbe

Sva pitanja: privacy@sancto.me. Nadzorni organi navedeni u tački 7.

Mjerodavna verzija. U slučaju neslaganja, engleski tekst je mjerodavan, osim ako lokalni propisi zahtijevaju drugačije.