Politika zasebnosti

Verzija 1.0 · velja od 8. maj 2026

V tej politiki vas obveščamo, katere osebne podatke obdelujemo, zakaj in kako dolgo, komu jih lahko razkrijemo ter katere pravice imate v zvezi s svojimi podatki. Zavezani smo k spoštovanju Splošne uredbe o varstvu podatkov (GDPR) in Zakona o varstvu osebnih podatkov (ZVOP-2).

1. Upravljavec osebnih podatkov

Upravljavec vaših osebnih podatkov je:

Zkode d.o.o.
Stara Oselica 1, 4225 Sovodenj, Slovenija
Matična številka: 9745904000
Davčna številka: 12881864
E-pošta: info@zkode.si

Glede na obseg dejavnosti pooblaščene osebe za varstvo podatkov (DPO) nismo dolžni imenovati. Za vsa vprašanja se obrnite na zgornji naslov.

2. Katere podatke obdelujemo

2.1 Podatki, ki nam jih posredujete sami

E-poštni naslov — obvezno za registracijo in stik.
Geslo — pri registraciji z e-pošto. Shrani se izključno v kriptografsko zgoščeni obliki (hash); v vidni obliki ga ne hranimo niti ga ne moremo obnoviti.
Ime in priimek — neobvezno, samo če ga vnesete sami.
Slike računov, ki jih naložite v aplikacijo.
Vsebina, izluščena iz računov: ime in naslov trgovine, datum, zneski, posamezni izdelki, davčna številka trgovca, številke izdelkov, itd.
Slike garancijskih listov, navodil za uporabo in drugih dokumentov, ki jih priložite izdelkom.
Podatki o karticah zvestobe: ime kartice in črtna/QR koda, če jih dodate v aplikacijo.
Opombe, ki jih dopišete k računom.

2.2 Podatki, ki nastanejo pri uporabi

Avtentikacijski žetoni in povezani piškotki za upravljanje seje.
Tehnični zapisi: čas registracije, čas zadnje prijave, datum in verzija sprejetih pogojev uporabe in politike zasebnosti.
Izbire kategorij in stanje obdelave računov (npr. čakajoč, obdelan, neuspešen).

2.3 Pri prijavi z Google računom

Če se prijavite prek Google računa, od družbe Google prejmemo vaš e-poštni naslov, ime in po potrebi URL profilne slike. Drugih podatkov od Googla ne pridobivamo. Geslo v tem primeru ne nastane.

3. Nameni in pravne podlage obdelave

Vaše osebne podatke obdelujemo izključno za naslednje namene in na naslednjih pravnih podlagah (čl. 6 GDPR):

Namen obdelave	Pravna podlaga
Vzpostavitev in vodenje uporabniškega računa, prikaz vaših računov, sledenje garancij, kartic zvestobe in povezanih dokumentov.	Izvajanje pogodbe (čl. 6(1)(b) GDPR)
Avtomatsko izluščanje podatkov iz fotografij računov s pomočjo umetne inteligence (OCR).	Izvajanje pogodbe (čl. 6(1)(b) GDPR)
Avtentikacija, varnost, preprečevanje zlorab in zagotavljanje stabilnega delovanja Storitve.	Zakoniti interes (čl. 6(1)(f) GDPR)
Izpolnjevanje zakonskih obveznosti (npr. odgovor na zahtevek pristojnega organa).	Zakonska obveznost (čl. 6(1)(c) GDPR)

Vaših podatkov ne uporabljamo za oglaševanje, profiliranje za marketinške namene niti jih ne prodajamo tretjim osebam. Avtomatiziranega odločanja s pravnimi učinki ne izvajamo.

4. Pogodbeni obdelovalci

Za delovanje Storitve uporabljamo zunanje pogodbene obdelovalce. Z vsakim imamo sklenjeno ustrezno pogodbo o obdelavi osebnih podatkov v skladu s čl. 28 GDPR:

Obdelovalec	Lokacija obdelave	Namen
Supabase Inc. (ZDA, infrastruktura prek AWS)	Irska, Evropska unija (regija AWS eu-west-1)	Avtentikacija uporabnikov, podatkovna baza, shramba slik računov in dokumentov.
Google LLC — Generative Language API (Gemini)	Združene države Amerike	Samodejno izluščanje besedila in strukturiranih podatkov iz fotografij računov.
Google LLC — OAuth 2.0 (samo za uporabnike, ki se prijavijo z Google računom)	Združene države Amerike	Identifikacija uporabnika ob prijavi.

5. Prenos podatkov v tretje države

Slika računa se za potrebe izluščanja besedila prenese družbi Google LLC v ZDA. Podobno se ob prijavi z Google računom z družbo Google izmenjajo podatki za avtentikacijo.

Prenos v ZDA poteka na podlagi:

certifikacije obdelovalca po programu EU–U.S. Data Privacy Framework, kjer obstaja, in/ali
standardnih pogodbenih klavzul (SCC), ki jih je sprejela Evropska komisija.

Slike računov se po obdelavi pri Googlu ne shranjujejo trajno. Več podatkov je na voljo v Googlovih pogojih za Gemini API.

Storitev Supabase obdeluje podatke znotraj EU (Irska), prenos v tretje države v okviru običajne uporabe ne nastopi.

6. Roki hrambe

Računi, slike, dokumenti in profil: do izbrisa uporabniškega računa.
Sejni piškotek (session): 30 dni od zadnje prijave; ob odjavi se izbriše takoj.
Tehnični piškotek za prijavo z Googlom (pkce_verifier): največ 10 minut.
Samodejne varnostne kopije obdelovalca Supabase: do 30 dni v okviru običajnih ciklov rotacije.
Zapis o sprejetju pogojev in politike zasebnosti: hrani se kot dokazilo o privolitvi do izbrisa računa.

Po izbrisu uporabniškega računa se vsi povezani podatki takoj in nepovratno izbrišejo iz baze in shrambe; izjema so zgolj tehnične varnostne kopije, ki se zavržejo v okviru zgornjega cikla.

7. Vaše pravice

Kot posameznik, na katerega se nanašajo osebni podatki, imate v skladu z GDPR pravico:

do seznanitve s svojimi podatki (čl. 15);
do popravka netočnih podatkov (čl. 16);
do izbrisa ("pravica do pozabe", čl. 17) — uveljavite jo lahko neposredno z izbrisom računa v profilu;
do omejitve obdelave (čl. 18);
do prenosljivosti podatkov (čl. 20);
do ugovora obdelavi na podlagi zakonitega interesa (čl. 21);
do preklica privolitve, kadar je obdelava temeljila na privolitvi.

Pravice uveljavite z e-poštnim sporočilom na info@zkode.si. Na zahtevo bomo odgovorili najkasneje v 30 dneh. Za zagotovitev varnosti vaših podatkov lahko zahtevamo dodatno potrditev vaše identitete.

Če menite, da pri obdelavi vaših podatkov kršimo predpise, imate pravico vložiti pritožbo pri nadzornem organu:

Informacijski pooblaščenec Republike Slovenije
Dunajska cesta 22, 1000 Ljubljana
E-pošta: gp.ip@ip-rs.si
Spletna stran: www.ip-rs.si

8. Piškotki

Spletna aplikacija uporablja izključno tehnično nujne piškotke, ki so potrebni za delovanje prijave in varnost. Za njihovo uporabo privolitev ni potrebna (ePrivacy direktiva, čl. 5(3)).

Piškotek	Namen	Trajanje
`session`	Vzdrževanje prijavljene seje uporabnika.	30 dni
`pkce_verifier`	Varnost postopka prijave z Google računom (PKCE).	10 minut

Sledilnih, oglaševalskih ali analitičnih piškotkov ne uporabljamo.

9. Varnost

Izvajamo organizacijske in tehnične ukrepe za varnost vaših podatkov, med drugim:

šifriran prenos podatkov (HTTPS/TLS);
zgoščevanje gesel s sodobnimi algoritmi pri obdelovalcu Supabase;
strogo ločevanje podatkov med uporabniki na ravni baze (Row Level Security);
omejen krog dostopa do produkcijske infrastrukture.

Kljub temu nobena spletna storitev ne more zagotoviti popolne varnosti. Na sume varnostnih incidentov se odzovemo brez nepotrebnega odlašanja in po potrebi obvestimo tudi pristojni nadzorni organ in prizadete uporabnike v skladu s čl. 33 in 34 GDPR.

10. Spremembe politike

Politiko zasebnosti lahko občasno posodobimo. Veljavna verzija je vselej dostopna na tej strani. O bistvenih spremembah vas bomo obvestili prek e-pošte ali znotraj Storitve. Zgodovino verzij hranimo zaradi dokazila.

11. Stik

Za vsa vprašanja glede obdelave osebnih podatkov nas kontaktirajte na info@zkode.si.

← Nazaj na moji-racuni.si