Dopusto

DPA · Različica 2.0 · 20. 4. 2026

Pogodba o obdelavi osebnih podatkov (DPA)

Ta Pogodba o obdelavi osebnih podatkov ("DPA") je sestavni del Pogojev uporabe med družbo Konsepto d.o.o. ("obdelovalec") in naročnikom (v nadaljevanju "upravljavec"), ki uporablja storitev Dopusto. Sklenjena je v skladu z 28. členom Uredbe (EU) 2016/679 ("GDPR") in Zakonom o varstvu osebnih podatkov (ZVOP-2).

Zadnja posodobitev: 20. april 2026. Različica 2.0. Velja s sprejemom Pogojev uporabe.

1. Stranki in vlogi

  • Upravljavec — naročnik (delodajalec), ki v Dopustu ustvari račun in vanj vnaša zapise o zaposlenih.
  • Obdelovalec — Konsepto d.o.o., ki zagotavlja storitev Dopusto.
  • Vsaka stranka samostojno odgovarja za izpolnjevanje obveznosti, ki ji kot upravljavcu ali obdelovalcu nalagajo predpisi o varstvu osebnih podatkov.

2. Predmet in trajanje

Obdelovalec osebne podatke obdeluje v imenu upravljavca z namenom izvajanja storitve Dopusto (upravljanje dopustov in povezani procesi), za čas trajanja naročnine, vključno z odložnimi roki pred popolnim zaprtjem računa.

3. Narava in namen obdelave

Obdelovalec izvaja gostovanje, shranjevanje, iskanje, prikaz, prenos pooblaščenim uporabnikom in izbris osebnih podatkov, izključno za namen izvajanja Dopusto v skladu z navodili upravljavca, ki so posredovana skozi nastavitve aplikacije in skozi pisna navodila, poslana na dpo@dopusto.si.

4. Kategorije posameznikov in osebnih podatkov

Posamezniki: zaposleni, vodje, administratorji in drugo osebje upravljavca, katerih podatke v Dopusto vnaša upravljavec ali njegovi uporabniki.

Kategorije osebnih podatkov:

  • Identifikacijski podatki (ime, priimek, e-pošta, javni ID).
  • Kontaktni podatki (telefon, naslov, pošta, mesto, država).
  • Nacionalni identifikatorji (EMŠO, davčna št. — šifrirani v mirovanju).
  • Bančni račun (IBAN — šifriran v mirovanju).
  • Demografski podatki, pomembni za izračun dopusta po ZDR-1 (datum rojstva, spol, zakonski stan, število otrok, status invalidnosti, status starša samohranilca).
  • Podatki o zaposlitvi (delovno mesto, oddelek, vodja, datum zaposlitve, vrsta pogodbe, tedenske ure).
  • Kontakt v sili, ki ga posreduje zaposleni.
  • Fotografija (če jo naloži zaposleni ali administrator).
  • Evidenca odsotnosti (datumi, vrsta, delovni dnevi, razlog če je naveden, zdravniško potrdilo kjer vrsta dopusta to zahteva).
  • Podatki za avtentikacijo (zgoščena vrednost gesla, TOTP skrivnost — šifrirana, ID seje).
  • Revizijska sled (kdo je naredil kaj, kdaj, iz katerega IP in uporabniškega agenta).

5. Obveznosti upravljavca

Upravljavec jamči, da (a) ima veljavno pravno podlago za zbiranje in obdelavo osebnih podatkov, ki jih vnaša, (b) je svoje zaposlene obvestil o obdelavi v skladu s 13. in 14. členom GDPR, (c) v Dopustu omeji dostop zgolj na osebje, ki ga potrebuje, in (d) neposredno odgovarja na zahteve posameznikov, ki jih prejme.

6. Obveznosti obdelovalca (28. člen GDPR)

Obdelovalec se zavezuje, da:

  1. osebne podatke obdeluje zgolj na dokumentirana navodila upravljavca, tudi glede mednarodnih prenosov, razen če ga pravo EU ali države članice sili k drugačnemu ravnanju;
  2. zagotavlja, da so osebe, ki so pooblaščene za obdelavo, zavezane k zaupnosti ali imajo ustrezno zakonsko dolžnost zaupnosti;
  3. sprejme vse ukrepe iz 32. člena GDPR (varnost obdelave), kot so opisani v Prilogi II;
  4. spoštuje pogoje za vključitev pod-obdelovalcev iz 9. točke;
  5. ob upoštevanju narave obdelave upravljavcu pomaga s primernimi tehničnimi in organizacijskimi ukrepi pri izpolnjevanju njegovih obveznosti za odzivanje na zahteve posameznikov po III. poglavju GDPR;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz 32.–36. člena GDPR (varnost, obveščanje o kršitvah, ocena učinkov in predhodno posvetovanje);
  7. po izbiri upravljavca izbriše ali mu vrne vse osebne podatke po koncu opravljanja storitev in izbriše obstoječe kopije, razen če pravo EU ali države članice zahteva hrambo (glej 14. točko);
  8. upravljavcu da na voljo vse informacije, potrebne za dokazovanje skladnosti z 28. členom GDPR, in omogoči revizije (15. točka).

7. Varnostni ukrepi (Priloga II)

  • Šifriranje pri prenosu (TLS 1.2+).
  • Šifriranje občutljivih identifikatorjev v mirovanju (EMŠO, davčna št., IBAN, TOTP skrivnost, OAuth žetoni) z AES-256-GCM.
  • Zgoščevanje gesel z Argon2id.
  • Dostop na podlagi vlog; načelo najmanjše nujne ravni dostopa.
  • Obvezna dvofaktorska prijava za administratorje.
  • Revizijska sled za varnostno pomembne dogodke; hramba pet (5) let.
  • Dnevne varnostne kopije s 30-dnevno hrambo izven lokacije in periodični testi obnovitve.
  • Content Security Policy, CSRF žetoni, omejevanje zahtev, spremljanje odvisnosti.
  • Ozadje procesov za samodejno anonimizacijo po izteku zakonskih rokov hrambe.
  • Izobraževanje osebja o varstvu podatkov in varnem razvoju; zaupnost v pogodbah z zaposlenimi in izvajalci.
  • Letni pregled stanja varnosti in posodobitev ukrepov po potrebi.

8. Obveščanje o kršitvah

Obdelovalec bo upravljavca brez nepotrebnega odlašanja, najkasneje pa v sedemdesetih (72) urah po seznanitvi, obvestil o kršitvi varstva osebnih podatkov, ki zadeva osebne podatke, ki jih obdeluje v imenu upravljavca. Obvestilo bo v obsegu, ki je znan, vključevalo naravo kršitve, kategorije in približno število prizadetih posameznikov ter zapisov, verjetne posledice in sprejete ali predlagane blažilne ukrepe.

9. Pod-obdelovalci

Upravljavec podeli splošno pisno pooblastilo za vključevanje pod-obdelovalcev pod pogojem, da obdelovalec (a) o vsakem načrtovanem dodajanju ali zamenjavi pod-obdelovalca upravljavca obvesti preko obvestila v aplikaciji vsaj trideset (30) dni vnaprej, kar omogoča ugovor, in (b) vsakemu pod-obdelovalcu naloži enake obveznosti varstva podatkov, kot so določene v tej DPA.

Trenutni pod-obdelovalci:

  • Hetzner Online GmbH (DE) — gostovanje aplikacijskih strežnikov, baz podatkov in varnostnih kopij, podatkovni center v EU.
  • Paddle.com Market Limited (IE) — obdelava plačil, izdaja računov, pobiranje DDV.
  • Google Ireland Limited — samo za naročnike, ki izrecno vklopijo sinhronizacijo z Google Calendar; obseg omejen na dogodke odobrenih dopustov.
  • Postmark / ponudnik transakcijske e-pošte — dostava izhodne e-pošte (verifikacijske kode, obvestila).

10. Mednarodni prenosi

Obdelava poteka znotraj EU/EGP. V primeru, da matično podjetje pod-obdelovalca v prihodnje ne bi bilo v EU/EGP, bo obdelovalec uvedel standardne pogodbene klavzule EU in vse dodatne ukrepe, potrebne po veljavnem pravu, ter o tem obvestil upravljavca.

11. Pomoč pri pravicah posameznikov

Upravljavec je primarna kontaktna točka za posameznike. Če obdelovalec prejme zahtevo neposredno, jo bo posredoval upravljavcu in nanjo brez navodil ne bo odgovarjal. Obdelovalec zagotavlja samopostrežna orodja (npr. izvoz podatkov v /my/data, anonimizacijo zaposlenih), ki upravljavcu pomagajo pri izpolnjevanju zahtev.

12. Ocena učinkov na varstvo podatkov (DPIA)

Obdelovalec bo po razumni meri pomagal pri DPIA in predhodnih posvetovanjih, ki zadevajo obdelavo, izvedeno v imenu upravljavca.

13. Evidenca obdelav

Obdelovalec vodi evidenco obdelav, kot to zahteva 30(2). člen GDPR, in jo na zahtevo upravljavca ali pristojnega nadzornega organa daje na voljo.

14. Vrnitev ali izbris osebnih podatkov

Na zahtevo upravljavca bo obdelovalec omogočil izvoz osebnih podatkov upravljavca preko aplikacije. Po koncu storitve ali po poteku odložnega roka zaprtja podjetja bo obdelovalec osebne podatke anonimiziral, kot je opisano v Pogojih uporabe, pri čemer upošteva zakonske roke hrambe (ZEPDSV — deset let; davčni zapisi — deset let; revizijska sled — pet let). Po anonimizaciji ponovna identifikacija posameznika ni mogoča.

15. Revizije in pregledi

Enkrat letno lahko upravljavec na lastne stroške zahteva revizijo skladnosti obdelovalca s to DPA, s pisno najavo vsaj trideset (30) dni vnaprej in med delovnim časom. Revizija ne sme motiti delovanja obdelovalca niti ogroziti zaupnosti drugih naročnikov. Obdelovalec lahko namesto revizije predlaga poročila tretje strani ali certifikate (npr. ISO 27001).

16. Odgovornost

Vsaka stranka odgovarja za škodo, povzročeno z lastnim kršenjem te DPA, v skladu s 82. členom GDPR in Pogoji uporabe.

17. Trajanje in prenehanje

Ta DPA velja, dokler obdelovalec obdeluje osebne podatke v imenu upravljavca. Določila o varnosti, zaupnosti, obveščanju o kršitvah, vračilu/izbrisu in evidencah ostanejo veljavna tudi po prenehanju, v obsegu, ki ga zahteva pravo.

18. Veljavno pravo

Za to DPA se uporablja pravo Republike Slovenije, ki se razlaga skladno z GDPR.

Priloga — Kontakt za varstvo podatkov

Konsepto, oblikovanje in kreativne rešitve, d.o.o. (Konsepto d.o.o.)
Dunajska cesta 136, 1000 Ljubljana, Slovenija
Matična št.: 7440405000 · ID za DDV: SI90994299
Vpis v sodni register: Okrožno sodišče v Ljubljani, Srg 2026/4810.
Konsepto d.o.o. po 37. členu GDPR nima obvezne imenovane DPO, vendar je določil kontakt za varstvo podatkov:
dpo@dopusto.si
Nadzorni organ: Informacijski pooblaščenec RS — ip-rs.si.

Vprašanja? Kontakt.