Politika zasebnosti

1. Upravljavec podatkov

Arete Development, razvoj in svetovanje, d.o.o., Vilfanova ulica 31, 6320 Portorož, matična številka: 7353537000, ID za DDV: SI32530633 (v nadaljevanju: upravljavec) je upravljavec osebnih podatkov, ki jih obdelujemo za registracijo, prijavo, obračunavanje, podporo, varnost in delovanje spletnega mesta.

Pri osebnih podatkih, ki jih naročnik vnese v storitev v zvezi z zaposlenimi, potnimi nalogi in prilogami, praviloma nastopamo kot obdelovalec v imenu naročnika, naročnik pa je upravljavec teh podatkov. Za vprašanja o zasebnosti nas kontaktirajte na info@dnevnice.si.

2. Katere podatke zbiramo

Zbiramo in obdelujemo naslednje osebne podatke:

• Podatki o računu: ime in priimek, elektronski naslov.
• Podatki o podjetju: ime podjetja, davčna številka, naslov podjetja.
• Podatki o zaposlenih: ime in priimek, delovno mesto, naslov prebivališča — ki jih v storitev vnese uporabnik.
• Potni nalogi: podatki o potovanjih, ki jih vnese uporabnik (destinacija, namen, trajanje, stroški, registrska številka vozila, kilometrina).
• Priloge: datoteke (računi, potrdila), ki jih naloži uporabnik.
• Tehnični podatki: sejni piškotek (nujno potreben za delovanje prijave).

3. Pravna podlaga za obdelavo

Vaše podatke obdelujemo na naslednjih pravnih podlagah:

• Izvajanje pogodbe (člen 6(1)(b) GDPR) — obdelava je potrebna za zagotavljanje storitve, ki ste jo naročili.
• Zakonska obveznost (člen 6(1)(c) GDPR) — kadar moramo hraniti obračunske, davčne, računovodske ali druge podatke zaradi veljavne zakonodaje.
• Zakoniti interesi (člen 6(1)(f) GDPR) — za zagotavljanje varnosti storitve, preprečevanje zlorab, vodenje dnevnikov dostopa in zaščito naših pravnih zahtevkov.

Kadar za podatke, ki jih naročnik vnese v storitev, nastopamo kot obdelovalec, jih obdelujemo na podlagi pogodbe z naročnikom in njegovih dokumentiranih navodil.

Za delovanje storitve in spletnega mesta praviloma ne zahtevamo privolitve, ker obdelava temelji na izvajanju pogodbe, zakonskih obveznostih in zakonitih interesih.

4. Piškotki

Uporabljamo samo nujno potrebne piškotke za varno prijavo in delovanje obrazcev:

• session — sejni piškotek za prijavo (30 dni). Vsebuje naključno generirano oznako seje.
• _csrf — zaščita obrazcev pred CSRF napadi (1 ura).
• verified_email — kratkotrajen piškotek med postopkom prijave (5 minut).
• discount_code — hramba promocijske kode (30 dni).

Za osnovno analitiko obiskov uporabljamo GoatCounter, ki ne uporablja piškotkov. Ob obisku GoatCounter prejme običajne tehnične podatke spletnega zahtevka, ki jih uporabljamo le za agregirano statistiko obiska.

5. Obdelovalci podatkov

Za delovanje storitve uporabljamo zunanje ponudnike, med drugim:

• Paddle (Paddle.com Market Limited) — obdelava plačil in naročnin. Paddle deluje kot trgovec in obdeluje plačilne podatke v skladu s standardom PCI DSS. Politika zasebnosti Paddle.
• Resend (Resend, Inc.) — pošiljanje transakcijskih e-poštnih sporočil (prijavne povezave). Resend prejme le vaš elektronski naslov in vsebino sporočila. Politika zasebnosti Resend.
• GoatCounter — osnovna spletna analitika brez piškotkov. GoatCounter prejme tehnične podatke, potrebne za štetje obiskov. Politika zasebnosti GoatCounter.

Osebnih podatkov ne prodajamo. Podatke razkrivamo le našim obdelovalcem, naročniku, kadar za njegove podatke nastopamo kot obdelovalec, in drugim prejemnikom, kadar je to potrebno zaradi zakona, uveljavljanja pravic ali delovanja storitve.

6. Hramba podatkov

• Sejni piškotki: 30 dni.
• Prijavne povezave: 15 minut (enkratna uporaba).
• Podatki o računu, podjetju in obračunavanju: toliko časa, kolikor je potrebno za izvajanje pogodbe, vodenje uporabniškega računa, izpolnjevanje zakonskih obveznosti ter reševanje morebitnih zahtevkov.
• Potni nalogi, priloge in podatki o zaposlenih, ki jih naročnik vnese v storitev: do izbrisa s strani naročnika oziroma do izbrisa računa, razen če je nadaljnja hramba potrebna zaradi zakona, reševanja sporov ali preprečevanja zlorab. Naročnik je pred izbrisom odgovoren za izvoz dokumentacije, ki jo mora hraniti zaradi svojih zakonskih obveznosti.
• Piškotek discount_code: 30 dni.

7. Vaše pravice

V skladu z GDPR imate naslednje pravice:

• Pravica do dostopa — lahko zahtevate kopijo svojih osebnih podatkov.
• Pravica do popravka — lahko zahtevate popravek netočnih podatkov.
• Pravica do izbrisa — lahko zahtevate izbris svojih podatkov, razen kadar hrambo zahteva zakon.
• Pravica do prenosljivosti — lahko zahtevate izvoz svojih podatkov v strojno berljivi obliki.
• Pravica do ugovora — lahko ugovarjate obdelavi svojih podatkov.
• Pravica do pritožbe — pritožbo lahko vložite pri Informacijskem pooblaščencu RS (www.ip-rs.si).

Za uveljavljanje svojih pravic v zvezi s podatki, za katere nastopamo kot upravljavec, pišite na info@dnevnice.si. Na vašo zahtevo bomo odgovorili v 30 dneh. Če za določene podatke nastopamo kot obdelovalec v imenu naročnika, vas lahko napotimo na naročnika kot pristojnega upravljavca.

8. Varnost podatkov

Za zaščito vaših podatkov uporabljamo naslednje ukrepe:

• prijava brez gesel (prek enkratnih prijavnih povezav),
• kriptografsko varni sejni žetoni,
• CSRF zaščita na vseh obrazcih,
• ločevanje podatkov med podjetji (večnajemniška arhitektura).

9. Spremembe politike zasebnosti

O bistvenih spremembah te politike bomo registrirane uporabnike obvestili po elektronski pošti, v aplikaciji ali na drug primeren način pred njihovo uveljavitvijo. Trenutna različica je vedno dostopna na tej strani.