Pravno

Politika zasebnosti

Skladnost z Uredbo (EU) 2016/679 (GDPR) in Zakonom o varstvu osebnih podatkov (ZVOP-2). Veljavnost: 21. april 2026.

1. Upravljavec osebnih podatkov

Upravljavec osebnih podatkov (v nadaljevanju "upravljavec") je:

CSA d.o.o.
Italijanska ulica 8, PTC Diamant (BTC), 1000 Ljubljana, Slovenija
Matična številka: 9517191000
E-pošta: info@csadvisory.si
Telefon: +386 41 330 496

2. Kontakt za vprašanja o zasebnosti

Za vsa vprašanja, zahtevke in pritožbe v zvezi z obdelavo osebnih podatkov se lahko obrnete na: info@csadvisory.si (zadeva: "GDPR zahtevek").

3. Katere osebne podatke zbiramo

V okviru delovanja platforme obdelujemo naslednje kategorije osebnih podatkov:

3.1. Podatki, ki jih posredujete ob registraciji in uporabi

  • Ime in priimek
  • E-poštni naslov
  • Telefonska številka (neobvezno)
  • Podjetje in funkcija (neobvezno)
  • Zgoščena vrednost gesla (hash) — izvornega gesla ne hranimo

3.2. Podatki, ki jih vnesete za cenitev

  • Podatki o podjetju, za katerega izvajate cenitev (naziv, matična številka, razlog cenitve, delež lastništva)
  • Podatki o morebitnih povpraševanjih, povzetek zanimanja, sporočila

3.3. Podatki, ki nastanejo samodejno pri uporabi

  • IP-naslov, brskalnik, operacijski sistem (agent), čas dostopa, obiskane strani
  • Podatki iz piškotkov (glej Politiko piškotkov)
  • Dnevniki aktivnosti in napak (logs) za zagotovitev varnosti platforme

3.4. Podatki iz javnih virov

Ko v cenitvi uporabite matično številko podjetja, platforma samodejno pridobi javno dostopne podatke iz AJPES, Poslovnega registra Slovenije. Ti podatki se nanašajo na pravne osebe in ne na fizične osebe kot subjekte GDPR — razen v obsegu, kjer javni podatek razkriva zastopnika ali drugega posameznika.

4. Nameni in pravne podlage obdelave

Osebne podatke obdelujemo izključno za navedene namene in na naslednjih pravnih podlagah (čl. 6 GDPR):

Namen obdelavePravna podlagaRok hrambe
Registracija in vzdrževanje uporabniškega računaPogodba o uporabi storitve — čl. 6(1)(b) GDPRDo ukinitve računa + 12 mesecev
Izvedba cenitve in priprava poročilaPogodba — čl. 6(1)(b) GDPR10 let (računovodska dokumentacija)
Obračun storitev in računovodstvoZakonska obveznost — čl. 6(1)(c) GDPR (ZDavP-2, računovodski standardi)10 let
Obveščanje o pomembnih spremembah storitveZakoniti interes — čl. 6(1)(f) GDPRDo ugovora
Tržno komuniciranje (newsletter)Privolitev — čl. 6(1)(a) GDPRDo preklica privolitve
Analitika uporabe platformePrivolitev (za neobvezne piškotke) / zakoniti interes za osnovne logsDo preklica oz. 24 mesecev
Zagotavljanje varnosti in preprečevanje zlorabZakoniti interes — čl. 6(1)(f) GDPR12 mesecev

5. Prejemniki osebnih podatkov

Osebnih podatkov ne prodajamo in jih ne delimo s tretjimi osebami za njihove lastne marketinške namene. V okviru izvajanja storitve osebne podatke obdelujejo naslednji kategorije prejemnikov:

  • Pogodbeni obdelovalci (izvajalci IT infrastrukture, gostovanja, pošiljanja e-pošte, plačilne storitve) — na podlagi pogodbe o obdelavi osebnih podatkov (čl. 28 GDPR). Trenutno ključni obdelovalci:
    • Vercel Inc. (hosting in dostavna mreža)
    • Neon / gostovalec baze podatkov (PostgreSQL)
    • Ponudnik poštnih storitev (transakcijska e-pošta)
  • Zunanji svetovalci (odvetniki, računovodje, revizorji) na podlagi zakonske obveznosti ali zakonitega interesa.
  • Državni organi, kadar to zahteva veljavna zakonodaja ali sodni akt (npr. DURS, sodišča, IP-RS).

6. Prenosi podatkov v tretje države

Nekateri obdelovalci (npr. ponudniki oblačnih storitev) so lahko locirani v tretjih državah izven EU/EGP. V takih primerih zagotavljamo ustrezne zaščitne ukrepe skladno s čl. 44–49 GDPR:

  • Sklep Evropske komisije o ustreznosti (adekvatnosti) ravni varstva; ali
  • Standardne pogodbene klavzule (SCC) v skladu s sklepom Evropske komisije (EU) 2021/914; ali
  • Dodatni ukrepi (šifriranje, psevdonimizacija, omejevanje dostopa).

7. Vaše pravice

Kot posameznik, na katerega se nanašajo osebni podatki, imate v skladu z GDPR naslednje pravice:

  • Pravica do dostopa (čl. 15): informacija o tem, ali obdelujemo vaše osebne podatke, kateri to so in kako jih uporabljamo.
  • Pravica do popravka (čl. 16): popravek netočnih ali dopolnitev nepopolnih osebnih podatkov.
  • Pravica do izbrisa / "pravica do pozabe" (čl. 17): izbris osebnih podatkov pod pogoji iz čl. 17 GDPR.
  • Pravica do omejitve obdelave (čl. 18).
  • Pravica do prenosljivosti (čl. 20): strukturiran, strojno berljiv izvoz vaših podatkov.
  • Pravica do ugovora (čl. 21) obdelavi, ki temelji na zakonitem interesu ali za namene neposrednega trženja.
  • Pravica do preklica privolitve kadarkoli (če obdelava temelji na privolitvi), brez vpliva na zakonitost obdelave pred preklicem.
  • Pravica, da za vas ne velja odločitev, sprejeta izključno na podlagi avtomatizirane obdelave (čl. 22) — ki ima pravne ali primerljivo pomembne posledice. Platforma ne izvaja avtomatiziranih odločitev s pravnimi posledicami za posameznika.

Zahtevek uveljavljate s pisnim sporočilom na info@csadvisory.si. Na zahtevek odgovorimo v enem mesecu od prejema; rok lahko izjemoma podaljšamo za dva meseca, o čemer vas obvestimo.

8. Pravica do pritožbe pri nadzornem organu

Če menite, da pri obdelavi vaših osebnih podatkov kršimo določbe GDPR ali ZVOP-2, imate pravico vložiti pritožbo pri nadzornem organu:

Informacijski pooblaščenec Republike Slovenije
Dunajska cesta 22, 1000 Ljubljana
E-pošta: gp.ip@ip-rs.si
Telefon: +386 1 230 97 30
Spletna stran: www.ip-rs.si

9. Varnost osebnih podatkov

Vaše osebne podatke varujemo s primernimi tehničnimi in organizacijskimi ukrepi, med drugim:

  • Šifriranje prometa s TLS 1.2+ (HTTPS);
  • Šifriranje podatkovne baze v mirovanju;
  • Hash gesel (bcrypt) — izvornega gesla ne hranimo;
  • Omejen dostop zaposlenih po principu need-to-know;
  • Varnostne kopije in ločevanje okolij;
  • Redne varnostne posodobitve programske opreme in pregled dnevnikov.

V primeru varnostnega incidenta s tveganjem za pravice in svoboščine posameznikov bomo o kršitvi obvestili nadzorni organ (IP-RS) v 72 urah od zaznave, kot to določa čl. 33 GDPR, in po potrebi tudi prizadete posameznike (čl. 34).

10. Profiliranje in avtomatizirano odločanje

Platforma izvaja izračune cenitve po vnaprej določenih, javno razkritih metodoloških pravilih. Rezultat cenitve ni avtomatizirana odločitev v smislu čl. 22 GDPR, ki bi imela pravne ali primerljivo pomembne posledice za posameznika. Je informativno finančno poročilo, ki ga uporabnik uporabi po lastni presoji.

11. Mladoletne osebe

Platforma je namenjena polnoletnim osebam (18+). Zavestno ne zbiramo osebnih podatkov mladoletnih oseb. Če ugotovimo, da smo takšne podatke zbrali, jih bomo brez odlašanja izbrisali.

12. Spremembe politike zasebnosti

Politiko zasebnosti lahko spreminjamo. O bistvenih spremembah vas bomo obvestili po e-pošti ali na platformi vsaj 15 dni pred začetkom veljavnosti. Aktualna različica je vedno dostopna na tej strani.

Datum zadnje posodobitve: 21. april 2026.