Skip to content
Plačaj zdaj

Pravne informacije

Pogodba o obdelavi osebnih podatkov (DPA)

Velja od: 2026-05-18

Ta Pogodba o obdelavi osebnih podatkov (v nadaljevanju "DPA") dopolnjuje Splošne pogoje uporabe in ureja obdelavo osebnih podatkov v skladu s 28. členom Splošne uredbe o varstvu podatkov (GDPR). DPA velja od trenutka, ko uporabnik v storitev Plačaj zdaj vnese kakršne koli osebne podatke (npr. ime, e-naslov, davčno ali ID za DDV svoje stranke, kontaktne podatke).

1. Stranki in vloge

  • Upravljavec: uporabnik storitve (s.p. ali pravna oseba), ki v storitev vnese osebne podatke svojih strank.
  • Obdelovalec: Jaka German s.p., davčna št. SI 30128927, sedež v Sloveniji, e-pošta jaka.german@gmail.com.

2. Predmet in trajanje obdelave

Obdelava poteka, dokler velja pogodba med upravljavcem in obdelovalcem na podlagi Splošnih pogojev uporabe, ter v razumnem dodatnem obdobju (do 60 dni) za izvoz, vračilo ali izbris podatkov ob prenehanju.

3. Narava in namen obdelave

Obdelovalec obdeluje osebne podatke izključno za potrebe zagotavljanja SaaS storitve izdajanja računov (priprava, pošiljanje, hramba, samodejno ponavljanje, dostava PDF in e-SLOG XML, vodenje seznama strank, sledenje ogledom računov, pošiljanje opomnikov za zapadle račune), v skladu z dokumentiranimi navodili upravljavca, ki so podana z uporabo funkcionalnosti storitve.

4. Vrste osebnih podatkov in kategorije posameznikov

Vrste podatkov: ime, naziv podjetja, naslov, davčna št. / ID za DDV, e-naslov, telefon, podatki o računih (številka, znesek, postavke, datum), zapiski povezani s stranko, e-poštni dnevniki (dostava, odprtje, ogled povezave).

Kategorije posameznikov: stranke upravljavca, kontaktne osebe pri strankah, posamezniki, ki so prejemniki računov.

5. Obveznosti obdelovalca

  • obdelovati osebne podatke izključno po dokumentiranih navodilih upravljavca;
  • zagotoviti zaupnost (pogodbeni zavezanci k zaupnosti);
  • sprejeti ustrezne tehnične in organizacijske ukrepe iz 32. člena GDPR (glej Prilogo II);
  • v primeru kršitve varnosti obvestiti upravljavca brez nepotrebnega odlašanja, najkasneje v 72 urah;
  • upravljavcu pomagati pri odgovarjanju na zahteve posameznikov (13.–22. člen GDPR);
  • po koncu storitve, po izbiri upravljavca, vrniti ali izbrisati osebne podatke, razen kjer je hramba obvezna po pravu EU ali Republike Slovenije (npr. davčni in računovodski predpisi);
  • upravljavcu na razumno zahtevo dati na voljo dokumentacijo, ki dokazuje skladnost (vključno z revizijami največ enkrat letno, na stroške upravljavca, razen v primeru utemeljenega suma kršitve).

6. Pod-obdelovalci

Upravljavec daje obdelovalcu splošno pisno odobritev za uporabo pod-obdelovalcev, navedenih v Prilogi I. Obdelovalec bo upravljavca o nameravani spremembi ali zamenjavi pod-obdelovalca obvestil najmanj 30 dni vnaprej (po e-pošti ali z objavo na strani placajzdaj.si/legal/dpa); v tem roku lahko upravljavec ugovarja iz utemeljenih razlogov. Če se s spremembo ne strinja, lahko brez stroškov odpove pogodbo.

7. Mednarodni prenosi

Kjer pod-obdelovalec obdeluje podatke izven EU/EGP, obdelovalec zagotovi ustrezne zaščitne ukrepe v skladu s 46. členom GDPR (npr. standardne pogodbene klavzule).

8. Odgovornost

Vsaka stranka odgovarja za škodo, ki jo povzroči s kršitvijo GDPR, v skladu z 82. členom GDPR. Skupna pogodbena odgovornost obdelovalca iz naslova obdelave je omejena, kot je določeno v Splošnih pogojih uporabe.

9. Prednost in končna določila

V primeru neskladja med to DPA in Splošnimi pogoji uporabe glede obdelave osebnih podatkov prevlada DPA. Za vse drugo se uporabljajo Splošni pogoji uporabe.

Priloga I: Pod-obdelovalci

Pod-obdelovalecNamenLokacija
Railway Corp.Gostovanje aplikacije in podatkovne baze.EU regija
Stripe Payments Europe, Ltd.Obdelava plačil naročnin.Irska / ZDA (SCC)
Resend, Inc.Dostava transakcijske e-pošte.ZDA (SCC)

Priloga II: Tehnični in organizacijski ukrepi

  • TLS šifriranje prometa (HSTS, TLS 1.2+).
  • Šifrirana hramba (encryption at rest) na ravni podatkovne baze.
  • Gesla hranjena z bcrypt; seje šifrirane s knjižnico iron-session.
  • Močna avtentikacija (2FA) za dostope do infrastrukturnih plošč (gostovanje, plačila, e-pošta).
  • Načelo najmanjših pravic za dostop do produkcije.
  • Dnevniško beleženje varnostno relevantnih dogodkov.
  • Redne varnostne posodobitve odvisnosti in nadzor ranljivosti.
  • Postopki za prepoznavo in priglasitev kršitev varnosti osebnih podatkov.
  • Rezervne kopije baze in redno preverjanje obnovitve.