PRAVILNIK O ZASEBNOSTI – GDPR

Pravilnik o zasebnosti in varstvu osebnih podatkov spletne trgovine aladdin.si

1. Uvodne določbe

Namen pravilnika

Ta Pravilnik o zasebnosti in varstvu osebnih podatkov (v nadaljevanju “pravilnik”) določa načine zbiranja, obdelave, hrambe in varovanja osebnih podatkov, ki jih spletna trgovina aladdin.si (v nadaljevanju “upravljavec” ali “mi”) zbira od uporabnikov in kupcev (v nadaljevanju “posameznik” ali “vi”) svoje spletne strani.

Namen tega dokumenta je celovito, pregledno in na razumljiv način seznaniti posameznike z vsemi vidiki obdelave njihovih osebnih podatkov. Upravljavec se zavezuje k zakoniti, pošteni in pregledni obdelavi osebnih podatkov v skladu z veljavno zakonodajo.

Vsi postopki obdelave osebnih podatkov so skladni z naslednjimi ključnimi predpisi:

  • Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju “Splošna uredba o varstvu podatkov” ali “GDPR”).
  • Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju “ZVOP-2”).
  • Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22; v nadaljevanju “ZEKom-2”), zlasti v delu, ki ureja uporabo piškotkov in drugih sledilnih tehnologij.

Definicije ključnih pojmov

Za lažje razumevanje tega pravilnika so spodaj opredeljeni ključni pojmi, ki se uporabljajo v skladu z GDPR :

  • Osebni podatek: Pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (imetnikom podatkov); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
  • Obdelava: Pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
  • Upravljavec: Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; v tem primeru je to Aleš Žlavs s.p.
  • Obdelovalec: Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (npr. dostavna služba, računovodski servis).
  • Posameznik, na katerega se nanašajo osebni podatki: Pomeni fizično osebo, katere osebni podatki se obdelujejo (uporabnik spletne strani, kupec).
  • Privolitev: Pomeni vsako prostovoljno, specifično, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov v zvezi z njim.
  • Piškotek: Je majhna besedilna datoteka, ki jo spletna stran ob obisku shrani na vaš računalnik ali mobilno napravo. Omogoča, da si spletna stran za določeno časovno obdobje zapomni vaša dejanja in nastavitve.

2. Upravljavec osebnih podatkov in kontakt za varstvo podatkov

Za obdelavo osebnih podatkov, opisanih v tem pravilniku, je odgovoren upravljavec:

  • Polno ime: Aleš Žlavs s.p.
  • Naslov: Dol pod Gojko 21B, 3213 Frankolovo, Slovenija
  • Matična številka: 3969584000
  • Davčna številka: SI16980204

Upravljavec v skladu z ZVOP-2 ni zavezan k imenovanju pooblaščene osebe za varstvo podatkov (DPO), saj obseg in narava obdelave podatkov ne izpolnjujeta zakonsko določenih pogojev. Kljub temu smo zavezani k visokemu standardu varstva podatkov, zato smo za vsa vprašanja, zahteve ali uveljavljanje pravic v zvezi z vašimi osebnimi podatki določili namenski kontakt:

  • E-poštni naslov: info@aladdin.si
  • Telefonska številka: 068 162 600

Na ta kontakt se lahko obrnete glede vseh vprašanj, povezanih z obdelavo vaših osebnih podatkov in uresničevanjem vaših pravic.

3. Pravne podlage, nameni obdelave in vrste osebnih podatkov

Vaše osebne podatke zbiramo in obdelujemo izključno na podlagi vnaprej določenih in zakonitih namenov ter ustreznih pravnih podlag, ki jih določa GDPR. V nadaljevanju so podrobneje opisane pravne podlage in nameni obdelave.

Pojasnilo pravnih podlag

Obdelava vaših osebnih podatkov temelji na eni od naslednjih pravnih podlag:

  1. Izvajanje pogodbe (člen 6(1)(b) GDPR): To podlago uporabljamo, kadar je obdelava vaših podatkov nujna za izvedbo naročila, ki ste ga oddali, ali za izvedbo ukrepov pred sklenitvijo pogodbe (npr. registracija uporabniškega računa). Sem sodi obdelava podatkov za dostavo, plačilo in komunikacijo v zvezi z naročilom.
  2. Zakonska obveznost (člen 6(1)(c) GDPR): V določenih primerih nam obdelavo podatkov nalaga zakonodaja. Najpomembnejši primer je izdajanje in hramba računov v skladu z davčnimi predpisi, kot je Zakon o davku na dodano vrednost (ZDDV-1).
  3. Privolitev (člen 6(1)(a) GDPR): Za določene namene, kot je pošiljanje trženjskih e-sporočil (e-novic) ali uporaba nenujnih piškotkov (npr. za analitiko ali trženje), bomo vaše podatke obdelovali le na podlagi vaše izrecne, prostovoljne in informirane privolitve. Privolitev lahko kadarkoli enostavno prekličete, kar ne vpliva na zakonitost obdelave pred preklicem.
  4. Zakoniti interes (člen 6(1)(f) GDPR): Vaše podatke lahko obdelujemo tudi na podlagi naših zakonitih interesov, razen kadar nad temi interesi prevladajo vaši interesi ali temeljne pravice in svoboščine. Primeri takšne obdelave vključujejo izboljšanje naših storitev, preprečevanje goljufij in upravljanje primerov neprevzetih paketov, s čimer ščitimo naše poslovanje pred škodo.

Pregled dejavnosti obdelave osebnih podatkov

Za zagotovitev maksimalne preglednosti so v spodnji tabeli sistematično predstavljeni nameni obdelave, vrste osebnih podatkov, ki se pri tem zbirajo, ustrezna pravna podlaga in roki hrambe.

Namen obdelaveVrste osebnih podatkovPravna podlagaRok hrambe
Izvedba nakupa, obdelava naročila in dostava blagaIme, priimek, naslov za dostavo, e-poštni naslov, telefonska številka, podatki o naročenih izdelkih.Izvajanje pogodbe (člen 6(1)(b) GDPR)5 let po zaključku pogodbenega razmerja (splošni zastaralni rok po Obligacijskem zakoniku).
Izdaja in hramba računovIme, priimek, naslov, davčna številka (če je posredovana), podatki o nakupu.Zakonska obveznost (člen 6(1)(c) GDPR; ZDDV-1)10 let po poteku leta, na katerega se račun nanaša.
Registracija in upravljanje uporabniškega računaIme, priimek, e-poštni naslov, geslo (v šifrirani obliki).Izvajanje pogodbe (zagotavljanje storitve uporabniškega računa)Do izbrisa računa s strani uporabnika.
Komunikacija s strankami (podpora uporabnikom)Ime, priimek, e-poštni naslov, telefonska številka, vsebina komunikacije.Zakoniti interes (zagotavljanje kakovostne podpore) ali Izvajanje pogodbe (če se nanaša na obstoječe naročilo).Do rešitve poizvedbe in še 1 leto za namene evidence.
Pošiljanje e-novic in trženjskih sporočilE-poštni naslov.Privolitev (člen 6(1)(a) GDPR)Do preklica privolitve.
Upravljanje primerov neprevzetih paketovIme, priimek, zgodovina naročil in plačil.Zakoniti interes (zaščita pred poslovno škodo in zlorabami)5 let od dogodka.
Analiza delovanja spletne strani in izboljšanje uporabniške izkušnjePsevdonimizirani podatki (npr. IP naslov, podatki o napravi, brskalniku, ogledanih straneh).Privolitev (za namestitev analitičnih piškotkov)V skladu z življenjsko dobo posameznega piškotka.

4. Uporabniki osebnih podatkov in prenos v tretje države

Vaših osebnih podatkov ne prodajamo in ne posredujemo nepooblaščenim tretjim osebam. Podatke delimo izključno z zaupanja vrednimi partnerji (pogodbenimi obdelovalci), ki nam pomagajo pri izvajanju našega poslovanja in so pogodbeno zavezani k varovanju vaših podatkov.

Kategorije uporabnikov vaših osebnih podatkov so:

  • Ponudniki poštnih in dostavnih storitev: Za potrebe dostave vašega naročila vaše podatke (ime, priimek, naslov, telefon) posredujemo našemu pogodbenemu partnerju, Pošti Slovenije.
  • Ponudniki plačilnih storitev: Pri plačilu s kreditnimi karticami ali preko sistema PayPal se podatki o plačilu varno obdelajo preko njihovih plačilnih sistemov (npr. Visa, Maestro, MasterCard, PayPal).  Mi ne hranimo podatkov o vaši kreditni kartici.
  • Ponudniki IT storitev: Za nemoteno delovanje spletne trgovine sodelujemo z zunanjim ponudnikom gostovanja. Strežniki, na katerih se hranijo vaši podatki, se nahajajo v Sloveniji, kar zagotavlja višjo raven varnosti.
  • Računovodski servis: Za izpolnjevanje zakonskih obveznosti s področja računovodstva in davkov.
  • Državni organi: V primeru zakonske zahteve (npr. s strani davčne uprave, sodišča ali policije) smo dolžni posredovati zahtevane osebne podatke.

Prenos podatkov v tretje države

Načeloma vaših osebnih podatkov ne prenašamo izven Evropskega gospodarskega prostora (EGP). Izjema lahko nastane, če se odločite za komunikacijo z nami preko platform, ki jih upravljajo podjetja s sedežem v tretjih državah, kot so Združene države Amerike. Naša spletna trgovina omogoča oddajo naročila tudi preko aplikacije WhatsApp , ki je v lasti podjetja Meta Platforms, Inc.

S tem, ko sami iniciirate komunikacijo preko takšne platforme, se strinjate z njihovimi pogoji uporabe in politiko zasebnosti, kar lahko vključuje prenos vaših podatkov (npr. telefonske številke, vsebine sporočil) na strežnike v ZDA. Na te prenose nimamo vpliva in zanje ne moremo prevzeti odgovornosti. Priporočamo, da se seznanite s politikami zasebnosti teh ponudnikov.

5. Roki hrambe osebnih podatkov

Vaše osebne podatke hranimo le toliko časa, kolikor je nujno potrebno za izpolnitev namena, za katerega so bili zbrani, ali kolikor to določajo veljavni predpisi. To je v skladu z načelom omejitve hrambe iz GDPR.  Po preteku roka hrambe se podatki trajno izbrišejo, uničijo ali anonimizirajo.

Specifični roki hrambe so:

  • Podatki na izdanih računih: V skladu z Zakonom o davku na dodano vrednost (ZDDV-1) moramo račune in z njimi povezane podatke hraniti 10 let po poteku leta, na katerega se nanašajo.
  • Podatki v zvezi s sklenjeno pogodbo (naročilom): Podatke, ki so potrebni za dokazovanje izpolnjevanja pogodbenih obveznosti (npr. v primeru reklamacij ali uveljavljanja garancije), hranimo 5 let od izpolnitve pogodbe, kar ustreza splošnemu zastaralnemu roku po Obligacijskem zakoniku.
  • Podatki, zbrani na podlagi privolitve: Podatke, ki jih obdelujemo na podlagi vaše privolitve (npr. e-poštni naslov za e-novice), hranimo do vašega preklica privolitve. Po preklicu podatke nemudoma in trajno izbrišemo.
  • Podatki v uporabniškem računu: Hranijo se, dokler je vaš uporabniški račun aktiven. Ob vaši zahtevi za izbris računa se podatki izbrišejo.

6. Politika piškotkov (Cookies)

Naša spletna stran uporablja piškotke za zagotavljanje boljše uporabniške izkušnje, funkcionalnosti in varnosti. Uporaba piškotkov je skladna z določbami Zakona o elektronskih komunikacijah (ZEKom-2) in GDPR.

Kaj so piškotki?

Piškotki so majhne besedilne datoteke, ki jih večina spletnih mest shrani na naprave uporabnikov, s katerimi dostopajo do interneta, z namenom prepoznavanja posameznih naprav, ki so jih uporabniki uporabili pri dostopu.

Upravljanje s privolitvijo za piškotke

Ob prvem obisku naše spletne strani se vam prikaže obvestilo o piškotkih, kjer lahko s svojo izrecno privolitvijo (aktivnim dejanjem) dovolite namestitev nenujnih piškotkov. Za namestitev piškotkov, ki niso nujno potrebni za delovanje spletne strani, vedno potrebujemo vašo privolitev (načelo opt-in). Na voljo so vam naslednje možnosti:

  • Sprejmi vse: Soglasje za uporabo vseh vrst piškotkov.
  • Zavrni vse: Uporabljali se bodo le nujno potrebni piškotki.
  • Nastavitve: Možnost izbire, katere vrste piškotkov dovolite.

Predhodno označena polja za privolitev niso dovoljena in jih ne uporabljamo. Svoje nastavitve glede piškotkov lahko kadarkoli spremenite preko povezave na naši spletni strani.

Vrste piškotkov, ki jih uporabljamo

  1. Nujno potrebni piškotki: Ti piškotki so ključni za delovanje spletne strani in njenih osnovnih funkcij, kot so navigacija, dostop do varnih območij in delovanje nakupovalne košarice. Zanje vaša privolitev ni potrebna.
  2. Analitični piškotki: Ti piškotki nam omogočajo zbiranje anonimiziranih podatkov o tem, kako obiskovalci uporabljajo našo spletno stran. Pomagajo nam razumeti število obiskovalcev, najbolj obiskane vsebine in izboljšati delovanje strani. Zanje je potrebna vaša privolitev.
  3. Funkcionalni piškotki: Ti piškotki omogočajo naprednejše funkcionalnosti in personalizacijo, na primer shranjevanje vaših nastavitev (npr. izbira jezika). Zanje je potrebna vaša privolitev.
  4. Marketinški piškotki: Te piškotke uporabljamo mi ali naši partnerji za prikazovanje oglasov, ki so bolj relevantni za vas in vaša zanimanja. Uporabljajo se tudi za merjenje učinkovitosti oglaševalskih kampanj. Zanje je potrebna vaša privolitev.

Seznam uporabljenih piškotkov

Spodnja tabela prikazuje primere piškotkov, ki se lahko uporabljajo na naši spletni strani. Celoten in ažuriran seznam piškotkov, vključno z njihovimi ponudniki, nameni in trajanjem, je vedno na voljo v orodju za upravljanje piškotkov na naši spletni strani.

Ime piškotkaPonudnikNamenVrstaTrajanje
woocommerce_cart_hashWooCommerceZagotavljanje delovanja nakupovalne košarice.NujniSeja
_ga, _gidGoogle AnalyticsStatistična analiza obiska in vedenja uporabnikov.Analitični2 leti, 24 ur
_fbpFacebook (Meta)Sledenje za namene prilagojenega trženja na platformah Meta.Marketinški3 meseci

7. Pravice posameznikov

Splošna uredba o varstvu podatkov (GDPR) vam podeljuje vrsto pravic v zvezi z vašimi osebnimi podatki. Zavezujemo se, da bomo omogočili enostavno in učinkovito uveljavljanje teh pravic.

Vaše pravice so:

  • Pravica do dostopa do podatkov (člen 15 GDPR): Imate pravico od nas pridobiti potrditev, ali se v zvezi z vami obdelujejo osebni podatki, in kadar je temu tako, dostop do teh podatkov ter dodatne informacije (o namenih obdelave, vrstah podatkov, uporabnikih, rokih hrambe itd.).
  • Pravica do popravka (člen 16 GDPR): Imate pravico doseči, da brez nepotrebnega odlašanja popravimo netočne osebne podatke v zvezi z vami. Ob upoštevanju namenov obdelave imate tudi pravico do dopolnitve nepopolnih osebnih podatkov.
  • Pravica do izbrisa (“pravica do pozabe”) (člen 17 GDPR): Imate pravico doseči, da vaše osebne podatke izbrišemo brez nepotrebnega odlašanja, če obstaja eden od razlogov za izbris (npr. podatki niso več potrebni za namene, za katere so bili zbrani, preklicali ste privolitev, obdelava je bila nezakonita).
  • Pravica do omejitve obdelave (člen 18 GDPR): Imate pravico doseči, da omejimo obdelavo vaših podatkov, če oporekate njihovi točnosti, če je obdelava nezakonita, a nasprotujete izbrisu, ali če ste vložili ugovor v zvezi z obdelavo.
  • Pravica do prenosljivosti podatkov (člen 20 GDPR): Imate pravico, da prejmete osebne podatke v zvezi z vami, ki ste nam jih posredovali, v strukturirani, splošno uporabljani in strojno berljivi obliki, ter pravico, da te podatke posredujete drugemu upravljavcu, kadar obdelava temelji na privolitvi ali pogodbi in poteka z avtomatiziranimi sredstvi.
  • Pravica do ugovora (člen 21 GDPR): Kadar vaše podatke obdelujemo na podlagi zakonitega interesa, imate pravico, da iz razlogov, povezanih z vašim posebnim položajem, kadarkoli ugovarjate takšni obdelavi. V primeru ugovora neposrednemu trženju bomo obdelavo takoj prenehali.
  • Pravica do preklica privolitve: Kadar obdelava temelji na vaši privolitvi, imate pravico, da to privolitev kadarkoli prekličete. Preklic ne vpliva na zakonitost obdelave, ki se je izvajala na podlagi privolitve pred njenim preklicem. 7

Postopek za uveljavljanje pravic

Svoje pravice lahko uveljavljate tako, da nam pošljete pisno zahtevo na e-poštni naslov: info@aladdin.si.

Na vašo zahtevo bomo odgovorili brez nepotrebnega odlašanja in najpozneje v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. O vsakem takšnem podaljšanju vas bomo obvestili v enem mesecu po prejemu zahteve, skupaj z razlogi za zamudo.

8. Pravica do pritožbe pri nadzornem organu

Če menite, da obdelava vaših osebnih podatkov krši določbe Splošne uredbe o varstvu podatkov ali ZVOP-2, imate pravico vložiti pritožbo pri pristojnem nadzornem organu za varstvo osebnih podatkov.

Pristojni nadzorni organ v Republiki Sloveniji je:

  • Ime: Informacijski pooblaščenec
  • Naslov: Dunajska cesta 22, 1000 Ljubljana
  • E-pošta: gp.ip@ip-rs.si
  • Telefon: 01 230 97 30
  • Spletna stran: www.ip-rs.si

9. Varnost podatkov

Zavezujemo se k zagotavljanju najvišje ravni varnosti vaših osebnih podatkov. Za preprečevanje nepooblaščenega dostopa, razkritja, spreminjanja ali uničenja podatkov izvajamo ustrezne tehnične in organizacijske ukrepe v skladu s 32. členom GDPR.

Ti ukrepi vključujejo:

  • Tehnični ukrepi:
    • Uporaba tehnologije šifriranja SSL (Secure Socket Layer) za zaščito prenosa podatkov med vašim brskalnikom in našo spletno stranjo.
    • Zaščita strežnikov s požarnimi zidovi in drugimi varnostnimi mehanizmi. Naši strežniki se nahajajo v varnem podatkovnem centru v Sloveniji.
    • Redno posodabljanje programske opreme in varnostnih sistemov.
    • Šifriranje (angl. hashing) gesel uporabnikov za preprečevanje njihovega razkritja.
  • Organizacijski ukrepi:
    • Omejen dostop do osebnih podatkov samo na pooblaščeno osebje, ki podatke potrebuje za opravljanje svojega dela (načelo “need-to-know”).
    • Zavezanost vseh zaposlenih in pogodbenih partnerjev k zaupnosti podatkov.
    • Vzpostavljeni postopki za ravnanje v primeru varnostnih incidentov, vključno s pravočasnim obveščanjem nadzornega organa (v 72 urah po seznanitvi s kršitvijo, če je verjetno, da kršitev pomeni tveganje za pravice in svoboščine posameznikov). 3
    • Redno preverjanje in posodabljanje naših varnostnih politik in praks.

10. Končne določbe

Spremembe pravilnika

Pridržujemo si pravico, da ta pravilnik o zasebnosti občasno posodobimo, da bo odražal spremembe v našem poslovanju, zakonodaji ali tehnologiji. Vsaka sprememba bo objavljena na tej spletni strani. O pomembnejših spremembah vas bomo obvestili na primeren način, na primer z obvestilom na spletni strani ali po e-pošti. Priporočamo, da redno pregledujete ta pravilnik.

Veljavnost

Ta pravilnik velja od 01.01.2026 in nadomešča vse predhodne različice.