Ocena vpliva na varstvo podatkov (DPIA povzetek)

Povzetek DPIA po 35. členu GDPR za Dopusto storitev vodenja dopusta.

Vrste obdelav

• Podatki o zaposlenih (ime, EMŠO, TIN, naslov, IBAN) za namen obračuna plač in izpolnjevanja ZDR-1, ZEPDSV.
• Podatki o dopustu (tipi, termini, stanja, dokumenti kot npr. bolniški list).
• Identitetni podatki operaterjev in zaposlenih za uporabo sistema.
• Tehnični podatki (IP, user agent) za varnost + revizijski dnevnik.

Pravna podlaga

Obdelava temelji na izvrševanju pogodbe o zaposlitvi (člen 6(1)(b) GDPR), izpolnjevanju zakonskih obveznosti (člen 6(1)(c) ZDR-1, ZEPDSV, ZVOP-2) in zakonitem interesu (člen 6(1)(f)).

Osebe

Zaposleni strank, kadri v vlogi operaterjev, super admin osebje Konsepto.

Roki hrambe

Zaposlitveni zapisi: 10 let po prekinitvi (ZEPDSV). Po tem se osebni podatki samodejno anonimizirajo; ostanejo agregirane statistike.

Varnostni ukrepi

• TLS 1.3 pri prenosu + AES-256-GCM za občutljiva polja.
• Argon2id za gesla.
• Dvofaktorska avtentikacija za super admin in operaterje.
• Multi-tenant izolacija z obveznim tenant_id filtrom.
• Revizijski dnevnik vseh kritičnih operacij.

Sub-obdelovalci

• Hetzner Online GmbH Gostovanje v EU (Nemčija).
• Paddle.com Market Ltd. Merchant of Record (Irska).
• Google LLC Sinhronizacija koledarja (le z izrecnim soglasjem).

Pravice posameznika

Dostop, popravek, izbris, omejitev, prenosljivost, ugovor iz računa /my/data ali pisno na privacy@dopusto.si.

Celoten DPIA dokument je na voljo na zahtevek.