01Upravljavec in kontakt
Upravljavec osebnih podatkov je REDOK EDI d.o.o. (v nadaljevanju: REDOK), s sedežem v Republiki Sloveniji.
- Davčna številka: (navedena v Pogodbi)
- E-pošta za varstvo podatkov: privacy@redok.si
- DPO (pooblaščena oseba za varstvo osebnih podatkov): dostopen na isti e-pošti
V razmerju do osebnih podatkov, ki se nahajajo znotraj poslovnih dokumentov Naročnika (Dokumenti), REDOK deluje kot obdelovalec, medtem ko je sam Naročnik upravljavec teh podatkov. Ta Politika opisuje obe vlogi — upravljavca za REDOK platformske podatke in obdelovalca za vsebino naročnika.
02Kategorije podatkov, ki jih obdelujemo
REDOK obdeluje naslednje kategorije podatkov:
- Podatki o uporabniškem računu — ime in priimek, poslovna e-pošta, telefon, naziv podjetja, davčna številka, GLN, vloga v organizaciji.
- Podatki o uporabi — IP naslov, čas prijave, vrsta naprave, uporabniški agent, log zapis o izvedenih akcijah znotraj portala. Uporabljajo se za varnost in analitiko.
- Podatki o plačilih — referenčna številka računa, zgodovina transakcij, bančni račun (samo za nakazila REDOK-u).
- Vsebina naročnika — vsebina poslovnih dokumentov, ki prehajajo skozi REDOK platformo. Lahko vsebuje osebne podatke (npr. ime kontaktne osebe na naročilnici, e-pošto za dostavo računa). REDOK te podatke obdeluje samo za usmerjanje, e-SLOG izmenjavo in zakonsko predpisan arhiv — brez branja vsebine za druge namene.
- Komunikacija — vsebina e-pošte, posredovana helpdesk kanalu, zapisi telefonskih pogovorov s helpdesk ekipo (kadar se izrecno napove snemanje).
03Pravne podlage obdelave
Obdelava osebnih podatkov temelji na naslednjih pravnih podlagah iz člena 6. GDPR:
- Pogodba (čl. 6(1)(b)) — za podatke, potrebne za izvajanje Pogodbe in zagotavljanje Storitve (podatki o računu, plačilih, vsebina naročnika kot obdelovalec).
- Pravna obveznost (čl. 6(1)(c)) — za hrambo e-računov v e-arhivu najmanj 10 let (zakonski rok), za e-SLOG poročanje FURS, za AML/KYC obveznosti.
- Zakoniti interes (čl. 6(1)(f)) — za podatke o uporabi (log zapisi, varnost, odkrivanje prevar), za splošno analitiko uporabe platforme brez profiliranja posameznika.
- Privolitev (čl. 6(1)(a)) — za marketinško komunikacijo (newsletter, webinari). Privolitev se lahko prekliče v katerem koli trenutku.
04Nameni obdelave
REDOK obdeluje osebne podatke za naslednje namene:
- Zagotavljanje, vzdrževanje in izboljševanje Storitve.
- Komunikacija z Naročnikom o Pogodbi, računih, incidentih, načrtovanem vzdrževanju in regulatornih obvestilih.
- Izpolnjevanje zakonskih obveznosti, vključno z davčnimi, računovodskimi in regulatornimi (e-SLOG 2.0, Peppol Access Point obveznosti).
- Varnost: odkrivanje nepooblaščenega dostopa, preprečevanje zlorab, forenzika v primeru incidenta.
- Marketing (samo s privolitvijo): newsletter o novih funkcionalnostih in regulatornih spremembah v EDI/e-račun domeni.
05Sub-obdelovalci in čezmejni prenos
REDOK uporablja naslednje sub-obdelovalce za zagotavljanje Storitve. Vsi sub-obdelovalci so pod pogodbo o obdelavi podatkov (DPA), usklajeno z GDPR:
- Amazon Web Services EMEA SARL (cloud hosting, eu-central-1 regija — Frankfurt, Nemčija). Podatki ne zapustijo EU.
- Vercel Inc. (hosting javnih spletnih strani in Studio vmesnika). EU regije privzeto.
- Sanity.io ApS (CMS za vsebino spletnih strani). EU regija.
- Resend Inc. (transakcijska e-pošta). Standard Contractual Clauses za morebitne prenose izven EU.
- Cloudflare Inc. (CDN in DNS). Standard Contractual Clauses.
Aktualen seznam sub-obdelovalcev z lokacijami obdelave in ustreznimi pogodbenimi mehanizmi je na voljo na zahtevo na privacy@redok.si. Naročnik lahko vloži razumen ugovor proti novemu sub-obdelovalcu; v tem primeru REDOK in Naročnik iščeta alternativno rešitev, in če ta ni mogoča, ima Naročnik pravico odpovedati Pogodbo brez doplačila.
06Roki hrambe
Roki hrambe podatkov:
- E-računi v e-arhivu: 10 let (zakonski rok skladno z ZDDV-1 in slovenskimi računovodskimi predpisi).
- Ostali poslovni dokumenti (naročilnice, dobavnice, ASN): najmanj za trajanje Pogodbe + 6 let, če Naročnik ne zahteva zgodnejšega izbrisa. Največ do izteka zakonskega obdobja za poslovno dokumentacijo.
- Logi dostopa in varnosti: 12 mesecev, razen v primeru odprtega incidenta, kjer se hranijo do njegovega zaprtja.
- Računi in podatki o plačilih: 10 let (računovodski predpisi).
- Marketinška komunikacija (newsletter): do preklica privolitve; podatek o privolitvi se hrani 5 let po preklicu zaradi dokazov.
07Pravice posameznika
Skladno z GDPR ima posameznik naslednje pravice:
- Pravica do dostopa — izvedeti, ali se vaši podatki obdelujejo, in pridobiti njihovo kopijo.
- Pravica do popravka — zahtevati popravek netočnih podatkov.
- Pravica do izbrisa — zahtevati izbris podatkov, omejeno s pravnimi obveznostmi hrambe (npr. e-računi 10 let).
- Pravica do omejitve obdelave — zahtevati pavziranje obdelave, dokler ni rešen ugovor.
- Pravica do prenosljivosti — prejeti lastne podatke v strukturiranem, strojno berljivem formatu.
- Pravica do ugovora — proti obdelavi, ki temelji na zakonitem interesu.
- Pravica do preklica privolitve — kadar koli za marketinško komunikacijo.
- Pravica do pritožbe nadzornemu organu — Informacijskemu pooblaščencu Republike Slovenije (IP-RS), Dunajska cesta 22, 1000 Ljubljana, ip-rs.si.
Zahteve pošljite na privacy@redok.si. Odgovarjamo v 30 dneh skladno z GDPR; v primeru kompleksnih zahtev se rok lahko podaljša za dodatna 2 meseca s predhodnim obvestilom.
08Varnostni ukrepi
REDOK izvaja tehnične in organizacijske ukrepe, usklajene s ISO/IEC 27001 standardom:
- Šifriranje v prenosu (TLS 1.3) in v mirovanju (AES-256).
- Dostop po načelu najmanjše privilegije, MFA za vse administrativne račune.
- Redni penetracijski testi (najmanj enkrat letno).
- Postopek upravljanja incidentov z obvestilom Naročniku v roku 72 ur v primeru kršitve osebnih podatkov.
- Redne varnostne kopije v geografsko ločenih AWS regijah (EU).
- Izobraževanje zaposlenih o varstvu podatkov najmanj enkrat letno.
09Piškotki (cookies)
REDOK uporablja naslednje kategorije piškotkov na svojih spletnih straneh in portalu:
- Nujni — seja, varnost, CSRF zaščita. Postavljajo se brez privolitve, ker so tehnično nujni za delovanje strani.
- Analitični — Plausible Analytics (privacy-friendly, brez sledenja posamezniku, EU hosting). Aktivni samo s privolitvijo preko cookie pasice.
- Funkcionalni — pomnjenje jezika in dostopnosti.
Privolitev lahko kontrolirate skozi cookie pasico ob prvem obisku ali preko nastavitev brskalnika.
10Spremembe Politike zasebnosti
Ta Politika se lahko spremeni zaradi uskladitve s predpisi ali poslovnimi potrebami. Materialne spremembe se napovedo najmanj 30 dni vnaprej preko e-pošte registriranim Naročnikom in banner obvestilom na portalu.
Trenutno verzijo lahko vedno najdete na tej strani. Pretekle verzije in changelog so na voljo na zahtevo na privacy@redok.si.