Zasebnost · Različica 2.0 · 20. 4. 2026
Politika zasebnosti
Ta politika zasebnosti pojasnjuje, kako družba Konsepto d.o.o. ("mi") zbira, uporablja in varuje osebne podatke v zvezi s storitvijo Dopusto. Napisana je v skladu s Splošno uredbo o varstvu podatkov (GDPR), Zakonom o varstvu osebnih podatkov (ZVOP-2) in povezano zakonodajo.
Zadnja posodobitev: 20. april 2026. Različica 2.0.
1. Kdo je upravljavec
Za podatke, ki jih zbiramo za izvajanje lastnih storitev (npr. predstavitvena stran, kontakt s strankami, obračunavanje prek Paddla), je upravljavec družba Konsepto d.o.o.
Za zapise o zaposlenih, ki jih naročnik vnese v aplikacijo Dopusto, je upravljavec delodajalec (naš naročnik), Konsepto pa nastopa kot obdelovalec. Te obdelave ureja ločena Pogodba o obdelavi osebnih podatkov (DPA).
2. Katere podatke zbiramo in zakaj
| Kategorija | Primeri | Namen | Pravna podlaga |
|---|---|---|---|
| Podatki računa | Ime, e-pošta, vloga, jezik, zgoščena vrednost gesla, TOTP skrivnost | Ustvarjanje in varovanje uporabniškega računa | Pogodba (čl. 6(1)(b) GDPR) |
| Podatki delodajalca | Naziv podjetja, oznaka, naslov, davčna št. | Ustvarjanje računa podjetja, izdajanje računov | Pogodba, zakonska obveznost (čl. 6(1)(b) in (c)) |
| Zapisi o zaposlenih (upravlja delodajalec) | Ime, EMŠO, davčna št., IBAN, naslov, telefon, zakonski stan, otroci, invalidnost | Izračun dopusta po ZDR-1, izvoz za plače | Le kot obdelovalec — podlago določa delodajalec |
| Podatki o odsotnostih | Datumi, vrsta, delovni dnevi, zdravniško potrdilo | Upravljanje poteka odobritve | Le kot obdelovalec |
| Plačilni podatki | Plačilno kartico obdeluje Paddle; mi prejmemo le metapodatke računa (znesek, datum, ID) | Upravljanje naročnine | Pogodba, zakonska obveznost |
| Uporabniški in tehnični podatki | IP, uporabniški agent, ID seje, revizijski sledovi, dogodki funkcij | Varnost, preprečevanje zlorab, izboljšave | Zakoniti interes (čl. 6(1)(f)) |
| Piškotki | Piškotek seje, piškotek privolitve, piškotek jezika | Prijava, jezik, stanje privolitve | Nujno za izvedbo storitve ali privolitev |
3. Posebne kategorije podatkov
Dopusto lahko obdeluje posebne kategorije podatkov iz 9. člena GDPR, in sicer: (a) status invalidnosti zaposlenih (uporabi ga ZDR-1 motor pri izračunu letnega dopusta), in (b) zdravniška potrdila, ki jih naložijo zaposleni. Ti podatki se obdelujejo na podlagi člena 9(2)(b) GDPR (delovno in socialno pravo) in izključno po navodilih delodajalca.
4. S kom delimo podatke
Osebne podatke delimo le s pod-obdelovalci, ki so nujni za delovanje storitve:
- Hetzner Online GmbH (Nemčija) — gostovanje v podatkovnem centru v EU.
- Paddle.com Market Limited (Irska) — obdelava plačil kot Merchant of Record, izdaja računov, pobiranje DDV.
- Google Ireland Limited — le če uporabnik izrecno poveže svoj Google Calendar; na Google se pošiljajo le dogodki odobrenih dopustov.
- Postmark / ponudnik transakcijske e-pošte — dostava izhodne e-pošte.
Vsi pod-obdelovalci so pogodbeno zavezani k GDPR-skladnim pogojem obdelave. Aktualni seznam pod-obdelovalcev je dostopen v /legal/dpa. O novih pod-obdelovalcih naročnike obveščamo z obvestilom v aplikaciji pred aktivacijo.
5. Mednarodni prenosi
Osebne podatke hranimo in obdelujemo v Evropski uniji/EGP. Osebnih podatkov zavestno ne prenašamo izven EU/EGP. Če kateri pod-obdelovalec postane povezan z entiteto izven EU, uporabljamo standardne pogodbene klavzule (SCC) in, kadar je to potrebno, dodatne ukrepe.
6. Rok hrambe
- Podatki računa — dokler je račun aktiven, plus zakoniti zastaralni rok za morebitne zahtevke.
- Zapisi o zaposlenih — v času delovnega razmerja in deset (10) let po prenehanju, v skladu s 49. členom ZEPDSV. Po tem obdobju so osebni identifikatorji nepovratno anonimizirani; ostanejo le agregirani podatki.
- Računi in davčni zapisi — deset (10) let (Zakon o računovodstvu / davčna zakonodaja).
- Revizijski sledovi — pet (5) let od dogodka.
- Piškotki seje — največ en (1) dan neaktivnosti.
- Marketinški piškotki — le ob privolitvi; največ trinajst (13) mesecev.
7. Vaše pravice
Po GDPR imate pravico do:
- dostopa do svojih osebnih podatkov (15. čl.);
- popravka netočnih podatkov (16. čl.);
- izbrisa, kadar je to zakonsko mogoče (17. čl.);
- omejitve obdelave (18. čl.);
- prenosa podatkov v strukturirani strojno berljivi obliki (20. čl.);
- ugovora obdelavi, ki temelji na zakonitem interesu (21. čl.);
- preklica privolitve kadarkoli, kadar obdelava temelji na privolitvi (čl. 7(3));
- vložitve pritožbe pri nadzornem organu.
Uporabniki lahko podatke izvozijo preko /my/data ali se obrnejo neposredno na administratorja delodajalca. Nadzorni organ: Informacijski pooblaščenec RS, Dunajska cesta 22, SI-1000 Ljubljana, ip-rs.si.
8. Varnost
Uvedeni so tehnični in organizacijski ukrepi v skladu s 32. členom GDPR: TLS 1.2+ pri prenosu, Argon2id zgoščevanje gesel, šifriranje občutljivih identifikatorjev (EMŠO, IBAN, TOTP skrivnosti, OAuth žetoni) z AES-256-GCM, stroge vloge in dostopi, revizijski sledovi, dnevne varnostne kopije z roki hrambe 30 dni, redni testi obnovitve, CSP, zaščita pred CSRF, omejevanje zahtev, dvofaktorska prijava za administratorje in varne prakse razvoja. Ukrepi se pregledujejo vsaj letno.
9. Otroci
Storitev je namenjena poslovni uporabi in ni usmerjena k otrokom. Zavestno ne zbiramo osebnih podatkov oseb, mlajših od 16 let.
10. Avtomatizirano odločanje
Ne izvajamo avtomatiziranega odločanja, ki bi imelo pravne ali podobno pomembne učinke na posameznika.
11. Spremembe politike
To politiko zasebnosti lahko občasno posodobimo. O bistvenih spremembah obveščamo po e-pošti vsaj trideset (30) dni pred začetkom veljavnosti in zahtevamo ponovno sprejetje v aplikaciji.
12. Kontakt
Konsepto, oblikovanje in kreativne rešitve, d.o.o. (Konsepto d.o.o.)
Dunajska cesta 136, 1000 Ljubljana, Slovenija
Matična št.: 7440405000 · ID za DDV: SI90994299
Kontakt za varstvo podatkov: dpo@dopusto.si
Splošno: hello@dopusto.si
Vprašanja? Kontakt.