Preskoči na vsebino
GDPR · Zasebnost

Politika zasebnosti

Zadnja posodobitev: 28. maj 2026

Spoštujemo vašo zasebnost. Ta dokument opisuje, kako spletna aplikacija Avtoizvid obdeluje osebne podatke v skladu s Splošno uredbo o varstvu osebnih podatkov (GDPR, EU 2016/679) in slovenskim Zakonom o varstvu osebnih podatkov (ZVOP-2).

01 · Upravljavec osebnih podatkov

Upravljavec osebnih podatkov je:

02 · Katere podatke zbiramo

V2 (28. maj 2026): privacy politika odraža realno stanje aplikacije, ki zdaj vključuje uporabniške račune, predplačana poročila in plačljivo storitev (v pripravi).

Podatki računa (po registraciji)

  • Email naslov — za prijavo + potrditveni email + pomembne sistemske obvestila.
  • Hash gesla (bcrypt) — shranjen, ni berljiv niti pri nas.
  • Identifikator uporabnika (UUID) — interni.
  • Časovne oznake: registracija, zadnja prijava, potrditev emaila.
  • Izbirno: prikazno ime in lokalizacija — če jih nastavite v profilu.

Poročila in plačila

  • Stanje poročil in zgodovina porabe (credit_events): vsak dogodek porabe poročila z datumom in povezavo na raziskavo.
  • Transakcije (po vključitvi Stripe): Stripe payment_intent ID, znesek, valuta, status, čas. Brez podatkov o kartici (te hrani izključno Stripe).
  • Davčni podatki na računu: ZOI (zaščitna oznaka izdajatelja računa) in EOR (evidenčna oznaka računa) — slovenska davčna zahteva.
  • Privolitveni zapis za 135. čl. ZVPot-1 (waiver pravice do odstopa) — besedilo, IP, user-agent, čas, verzija pogojev.

Raziskave

  • Vnosi vozila (znamka, model, letnik, motor) — povezani na vaš račun.
  • Polno poročilo (napake, ocena zanesljivosti, viri, slika modela) — shranjeno v vaši zgodovini.
  • Metapodatki raziskave: število virov, čas izvedbe, model AI, strošek poročila.

Tehnični (samodejni) podatki

  • IP naslov in user-agent (za rate-limiting in varnost; logirano);
  • čas obiska in trajanje seje;
  • strani v aplikaciji.

Česar NE zbiramo

  • Polnih podatkov o kartici (ti gredo neposredno na Stripe);
  • Biometričnih podatkov;
  • Lokacijskih podatkov (GPS);
  • Podatkov s tretjih oseb (npr. iz socialnih omrežij).

03 · Namen in pravna podlaga obdelave

  • Zagotavljanje storitve (GDPR čl. 6(1)(b) — izvajanje pogodbe): registracija računa, izvajanje raziskav, shranjevanje rezultatov, dodelitev in poraba poročil, izdaja računov.
  • Zakonska obveznost (GDPR čl. 6(1)(c)): hramba davčnih in računovodskih podatkov (ZDavP-2 — 10 let), izdaja računov (Pravilnik o davčni potrditvi računov).
  • Zakoniti interes (GDPR čl. 6(1)(f)): tehnično delovanje, varnost, preprečevanje zlorab (rate-limit), preprečevanje goljufij (Stripe Radar), revizija credit_events ledgerja.

04 · Obdelovalci in prejemniki podatkov

Za zagotavljanje storitve uporabljamo zunanje pogodbene obdelovalce (data processors). Z vsemi imamo sklenjeno pogodbo o obdelavi podatkov (Data Processing Agreement) na podlagi 28. čl. GDPR.

  • Supabase Inc. (ZDA) — avtentikacija, podatkovna baza (Postgres), shranjevanje. EU regija strežnika. Pravni okvir: SCC 2021/914 + dodatni zaščitni ukrepi.
  • Anthropic PBC (ZDA) — obdelava poizvedb (Claude). Prenos na podlagi standardnih pogodbenih klavzul (SCC, Sklep 2021/914) skupaj z dodatnimi varovalnimi ukrepi (Transfer Impact Assessment). Anthropic ob standardni API rabi vhodnih podatkov ne uporablja za treniranje modelov (preveriti DPA pred plačljivim launchom; razmisliti o zero-retention enterprise tier-u).
  • Tavily Inc. (ZDA) — iskanje po spletnih virih. Prenos na podlagi SCC 2021/914 + TIA; DPF certifikacija še ni potrjena (preverjamo pred plačljivim launchom).
  • Netlify Inc. ali Cloudflare Inc. (ZDA) — gostovanje aplikacije in dostava vsebine. SCC + DPF.
  • Stripe Payments Europe Ltd. (Irska, EU) — obdelava plačil. Stripe hrani podatke o kartici (mi prejmemo le payment_intent_id, znesek, status). Stripe Privacy Center: stripe.com/privacy.
  • Račun123 d.o.o. ali e-računi.com d.o.o. (Slovenija) — izdaja in fiskalizacija računov. Davčni podatki računa (znesek, ZOI, EOR) se posredujejo FURS-u v skladu z zakonsko obveznostjo.
  • Resend Inc. (ZDA) — pošiljanje transakcijskih emailov (potrditveni, magic link, reset gesla, račun). SCC.

Prenos podatkov izven EU

Nekateri obdelovalci so v ZDA. Pravni okvir prenosa:

  • Standardne pogodbene klavzule (SCC, Sklep 2021/914) — uporabljamo za vse ZDA obdelovalce, skupaj s Transfer Impact Assessment (TIA) v skladu s smernicami EDPB.
  • EU-U.S. Data Privacy Framework (DPF) — kjer je obdelovalec certificiran (preverjamo aktualni status pred plačljivim launchom in posodobimo to politiko).

05 · Obdobje hrambe

Hranimo podatke le toliko časa, kot je potrebno za namen obdelave.

  • Račun + profil + stanje poročil: dokler obstaja vaš račun. Po brisanju računa: takojšen izbris (čl. 17 GDPR).
  • Transakcije in računi (znesek, payment_intent_id, ZOI, EOR, časi): 10 let od izdaje (ZDavP-2 — zakonska obveznost; carve-out po čl. 17(3)(b) in (e) GDPR). Po brisanju računa se PII v transakcijah anonimizira (user_id, email_snapshot, display_name_snapshot → NULL), ostane le finančni del.
  • Raziskave (vnosi + poročila): dokler obstaja vaš račun. Po brisanju računa: takojšen izbris.
  • credit_events audit ledger: 3 leta od dogodka (za reševanje sporov in revizijo).
  • Cache rezultatov (catalog_cache, neosebno): do 90 dni.
  • Strežniški logi (IP, user-agent): do 30 dni; nato anonimizacija ali izbris.
  • Privolitveni zapisi (waiver, terms_version): hranjeni v transakciji za dokaz pravnega temelja.

06 · Vaše pravice po GDPR

  • Pravica do dostopa (čl. 15 GDPR) — izvoz vseh osebnih podatkov v JSON formatu prek«Izvozi moje podatke» v profilu.
  • Pravica do popravka (čl. 16 GDPR) — uredite profil ali nas kontaktirajte.
  • Pravica do izbrisa (čl. 17 GDPR) — prek «Izbriši moj račun». Tax-relevantne transakcije ostanejo (anonimno) zaradi zakonske obveznosti hrambe (10 let, ZDavP-2).
  • Pravica do omejitve obdelave (čl. 18 GDPR).
  • Pravica do prenosljivosti (čl. 20 GDPR) — strojno berljiv JSON izvoz.
  • Pravica do ugovora (čl. 21 GDPR).
  • Pravica do umika privolitve — kjer je obdelava zasnovana na privolitvi.

Za uveljavitev pravic: info@avtoizvid.si. Odgovorimo v zakonsko predpisanem roku (najpozneje 30 dni; možno podaljšanje za 60 dni z obvestilom).

07 · Pravica do pritožbe

Pritožbo lahko vložite pri nadzornem organu (po čl. 77 GDPR — pravica do pritožbe v lastni državi članici EU):

  • Informacijski pooblaščenec RS — Dunajska cesta 22, 1000 Ljubljana
  • Spletna stran: ip-rs.si
  • Email: gp.ip@ip-rs.si

08 · Piškotki (cookies)

Aplikacija uporablja samo strogo potrebne piškotke za delovanje (avtentikacijski piškotki Supabase). Po ePrivacy direktivi čl. 5(3) ti piškotki ne potrebujejo privolitve.

Aplikacija NE uporablja sledilnih ali oglaševalskih piškotkov (Google Analytics, Meta Pixel itd.). Če bomo dodali kakšne, vas bomo vnaprej obvestili in pridobili izrecno privolitev (cookie banner).

09 · AI obdelava (čl. 13(2)(f) GDPR + EU AI Act)

Vaše poizvedbe se obdelajo z velikim jezikovnim modelom Anthropic Claude. Gre za pomoč pri sintezi javno dostopnih informacij — NE GRE za avtomatizirano sprejemanje odločitev v smislu 22. člena GDPR, ker poročilo ne ustvarja pravnih ali podobno znatnih učinkov za vas.

V skladu s čl. 50 EU AI Act je vsako AI-generirano poročilo označeno z "AI-generirano" oznako na rezultatu. Zaradi narave LLM-jev so možne napake (halucinacije); pred odločitvami o nakupu vedno preverite podatke v dodatnih virih (mehanik, uradne baze odpoklicev NHTSA / KBA / EU Safety Gate).

10 · Varnost podatkov

Promet je šifriran (HTTPS/TLS 1.3 + HSTS). API ključi in service-role ključi so server-only, nikoli izpostavljeni v brskalniku. Postgres Row-Level Security (RLS) zagotavlja, da uporabniki vidijo le svoje podatke. Vstop v račun je zaščiten z geslom (bcrypt hash) in po pre-launch fazi tudi z reCAPTCHA / Turnstile za boj proti botom.

V primeru kršitve varstva osebnih podatkov bomo obvestili Informacijskega pooblaščenca v 72 urah (čl. 33 GDPR) in vplivane uporabnike brez nepotrebnega odlašanja (čl. 34 GDPR).

11 · Otroci

Storitev ni namenjena osebam mlajšim od 15 let (po slovenskem ZVOP-2). Pri registraciji potrjujete, da imate vsaj 15 let. Če bi izvedeli za obdelavo podatkov mladoletnika brez ustreznega soglasja, podatke nemudoma izbrišemo.

12 · Spreminjanje politike

Politiko lahko občasno posodobimo. Bistvene spremembe bomo objavili na vidnem mestu v aplikaciji in/ali poslali po emailu. Verzija dokumenta: 2026-05-29-beta. Datum zadnje posodobitve na vrhu dokumenta.

13 · Stiki

Ta politika zasebnosti je pripravljena v skladu z GDPR, slovenskim ZVOP-2 in EU AI Act (čl. 50 transparency). Pred plačljivim launchom bo dokument pregledan s strani odvetnika, specializiranega za varstvo osebnih podatkov.

Politika zasebnosti | Avtoizvid