business
eFascikelPrijava →

Pogodba o obdelavi osebnih podatkov

Data Processing Agreement (DPA) v skladu s čl. 28 GDPR · Zadnja posodobitev: maj 2026

1. Stranki pogodbe

  • Upravljavec: naročnik storitve eFascikel (v nadaljevanju: »naročnik«)
  • Obdelovalec: IT TARMAN, programska oprema in svetovanje, d.o.o., Planina pod Golico 52, 4270 Jesenice (v nadaljevanju: »ponudnik«)

2. Predmet in trajanje

Ponudnik obdeluje osebne podatke v imenu naročnika za namen zagotavljanja storitve eFascikel (izdaja računov, vodenje poslovne dokumentacije, davčno poročanje). Obdelava traja za čas veljavnosti naročnine.

3. Kategorije osebnih podatkov

  • Podatki o strankah naročnika: ime, naslov, davčna, e-pošta, telefon
  • Podatki o zaposlenih naročnika (če jih vnese): ime, priimek, EMŠO, davčna številka, plačni podatki
  • Finančni podatki: računi, plačila, bančni izpiski

4. Obveznosti ponudnika

  • Obdeluje podatke izključno po navodilih naročnika in za namen zagotavljanja storitve
  • Zagotavlja zaupnost — vsi zaposleni in pogodbeni sodelavci so zavezani k zaupnosti
  • Izvaja ustrezne tehnične in organizacijske ukrepe (čl. 32 GDPR)
  • Ne angažira podizvajalcev brez predhodnega pisnega soglasja naročnika (seznam podizvajalcev je naveden spodaj)
  • Pomaga naročniku pri izpolnjevanju obveznosti iz čl. 32–36 GDPR
  • Po prenehanju pogodbe izbriše ali vrne vse osebne podatke (z izjemo zakonsko zahtevane hrambe)

5. Tehnični in organizacijski ukrepi

  • Šifriranje: AES-256-GCM za občutljive podatke (EMŠO, davčne, certifikati)
  • Nadzor dostopa: ločitev podatkov po najemnikih (multi-tenancy z tenantId)
  • Avtentikacija: šifrirani sejni piškotki (iron-session), bcrypt gesla
  • Prenos: HTTPS (TLS 1.2+), Cloudflare tunel
  • Varnostno kopiranje: dnevno (02:00), 90-dnevna retencija
  • Revizijska sled: dnevnik revizije za administrativne operacije

6. Podizvajalci obdelave

PodizvajalecNamenLokacija
Cloudflare, Inc.CDN, DDoS zaščita, tunelGlobalno (EU SCCs)
Revolut Payments UABObdelava plačil naročninEU (Litva)
OpenRouter, Inc. / Alibaba Cloud Int.Rezervni vizualni AI model za skeniranje prejetih računov — uporabljen samo, kadar lokalni model ne deluje. Lokalna obdelava je primarna.ZDA / Singapur (SCCs)

Naročnik s sprejetjem te pogodbe soglaša z navedenimi podizvajalci. Ponudnik bo naročnika obvestil o morebitnih spremembah vsaj 30 dni vnaprej.

7. Obvestilo o kršitvi varnosti

Ponudnik bo naročnika obvestil o kršitvi varnosti osebnih podatkov v 72 urah po odkritju, v skladu s čl. 33 GDPR. Obvestilo bo vključevalo naravo kršitve, prizadete kategorije podatkov, verjetne posledice in sprejete ukrepe.

8. Izbris podatkov

Ob prenehanju naročnine ponudnik izbriše vse podatke naročnika v 30 dneh, razen:

  • Računi in davčna dokumentacija: hramba 10 let (ZDDV-1, čl. 86)
  • Dnevniki revizije: hramba 2 leti

9. Kontakt

Za vprašanja v zvezi z obdelavo podatkov: [email protected]