Politika zasebnosti

---

POVZETEK ZA UPORABNIKA

Ta politika zasebnosti pojasnjuje, kako Sosedko.si zbira, uporablja in varuje vaše osebne podatke.

• GDPR + ZVOP-2 veljata za vse vaše osebne podatke
• Pravice: dostop, popravek, izbris, prenosljivost, ugovor (čl. 5)
• Hramba: konkretni roki za vsako kategorijo (čl. 2.3)
• Tretji obdelovalci: Firebase, Stripe, Google Maps, SendGrid (čl. 3.2)
• Pritožba: Informacijski pooblaščenec RS (ip-rs.si)

---

1. KDO SMO IN KAKO NAS KONTAKTIRATI

1.1 Upravljavec osebnih podatkov

• Naziv: [Ime podjetja / s.p.]
• Naslov: [Ulica, hišna številka, poštna številka, kraj]
• Matična številka: [številka]
• Davčna številka: SI[številka]
• E-pošta za zasebnost: zasebnost@sosedko.si
• Spletna stran: www.sosedko.si

1.2 Kontakt

Za vsa vprašanja ali zahteve v zvezi z varstvom vaših osebnih podatkov nam pišite na: zasebnost@sosedko.si.

Na vaše zahteve bomo odgovorili v roku 30 dni (lahko podaljšamo na 60 dni pri zapletenih zahtevah, z obvestilom).

1.3 Pravna podlaga delovanja

• Sosedko.si je upravljavec vaših osebnih podatkov (GDPR čl. 4(7))
• Tretji obdelovalci (Firebase, Stripe, Maps, SendGrid) so naši obdelovalci (GDPR čl. 4(8))
• Vsi obdelovalci imajo veljavne DPA (Data Processing Agreements)

1.4 DPO (Data Protection Officer)

Sosedko.si NI dolžan imenovati DPO po čl. 37 GDPR, ker:

• Je mikropodjetje (< 10 zaposlenih, < 2M € letni promet)
• NE obdeluje občutljivih podatkov v velikem obsegu
• NE profilira sistematično uporabnikov
• NI javni organ

Vsa vprašanja glede zasebnosti naslovite na: zasebnost@sosedko.si.

1.5 STAROSTNA OMEJITEV (18+)

Sosedko.si je platforma izključno za polnoletne osebe (18 let in več). Z registracijo izjavljate:

1. Da ste dopolnili 18 let
2. Da imate polno poslovno sposobnost za sklepanje pogodb (OZ čl. 18)

Zakaj 18+?

Platforma vključuje fizično srečevanje z neznanci v zasebnih prostorih, plačilne transakcije prek Stripe Connect (z zahtevo po KYC), reklamacije in spore. Vse to ni primerno za mladoletne osebe.

Kaj če uporabnik ni polnoleten?

Če ugotovimo, da je uporabnik mlajši od 18 let:

• Račun takoj deaktiviramo
• Osebne podatke izbrišemo v 30 dneh (GDPR čl. 17 — pravica do izbrisa)
• Hranimo le audit log incidenta (5 let), brez identifikacijskih podatkov mladoletne osebe

Pravna podlaga obdelave podatkov mladoletne osebe pred izbrisom: zakoniti interes (GDPR čl. 6/1/f) — varnost platforme + zaščita mladoletne osebe.

Pravna podlaga 18+ omejitve: OZ čl. 18 (poslovna sposobnost), GDPR čl. 8, ZVOP-2 čl. 7, DSA čl. 28.

---

2. KATERI PODATKI SE ZBIRAJO IN ZAKAJ

2.1 Podatki, ki jih posredujete sami

Za vse uporabnike (naročniki in izvajalci):

• Ime in priimek — identifikacija v aplikaciji — izpolnitev pogodbe (čl. 6/1/b) — hramba: do izbrisa računa
• E-poštni naslov — prijava, obvestila, komunikacija — izpolnitev pogodbe (čl. 6/1/b) — hramba: do izbrisa računa
• Telefonska številka — komunikacija med strankami — izpolnitev pogodbe (čl. 6/1/b) — hramba: do izbrisa računa
• Fotografija profila — zaupanje in prepoznavnost — vaše soglasje (čl. 6/1/a) — hramba: do izbrisa računa
• Lokacija / naslov dela — ujemanje z bližnjimi izvajalci — izpolnitev pogodbe (čl. 6/1/b) — hramba: do zaključka oglasa
• Ocene in komentarji — sistem zaupanja na platformi — zakoniti interes (čl. 6/1/f) — hramba: do izbrisa + anonimizacija
• Slike opravljenega dela — dokumentacija projekta — vaše soglasje (čl. 6/1/a) — hramba: 1 leto po zaključku
• Sporočila (klepet) — komunikacija + reševanje sporov — pogodba (čl. 6/1/b) + zakoniti interes (čl. 6/1/f) — hramba: 90 dni od zadnjega sporočila / 1 leto pri reklamaciji
• Zgodovina transakcij — računovodstvo + davčni namen — zakonska obveznost (čl. 6/1/c) — hramba: 10 let (ZDavP-2)

Samo za izvajalce (dodatni podatki):

• Identitetni dokumenti (ID, selfie) — drži Stripe Payments Europe Ltd. (sub-processor) skladno z lastno politiko hrambe (do 7 let, AML zakonodaja). Sosedko.si TEH DOKUMENTOV NE PREJME — drži samo status verifikacije (active/pending/restricted) prek webhook-a.
• Foto osebnega dokumenta (KYC, LEGACY) — pred uvedbo Stripe Identity (maj 2026) so izvajalci nalagali ID direktno na Sosedko.si Storage. Zakoniti interes (čl. 6/1/f) + DSA čl. 30 — hramba: IZBRIS V 30 DNEH po verifikaciji. Novi izvajalci od maja 2026 NE nalagajo več osebnih dokumentov na Sosedko.si.
• Foto AJPES dokumenta (LEGACY) — pred uvedbo Stripe Identity. Zakoniti interes (čl. 6/1/f) — hramba: 1 leto po zaprtju računa. Novi izvajalci NE nalagajo AJPES PDF; Stripe pridobi poslovne podatke avtomatsko ali ročno.
• IBAN bančni račun — drži Stripe za izvedbo plačil (Stripe Connect destination charges). Sosedko.si dodatno hrani 10 let za davčno računovodstvo (ZDavP-2). Izpolnitev pogodbe (čl. 6/1/b).
• Davčna številka — zakonska obveznost (čl. 6/1/c) — hramba: 10 let (ZDavP-2). Stripe prav tako drži za KYC.
• Pravna oblika izvajalca (POPOLDANSKI_SP / REDNI_SP / DOO) — Stripe pridobi za AML compliance, Sosedko.si pa za PDF račune in tier-based provizijo. Zakoniti interes (čl. 6/1/f) — hramba: do izbrisa računa.

2.2 Podatki, ki se zbirajo samodejno

• IP naslov — varnost in preprečevanje zlorab — zakoniti interes (čl. 6/1/f) — hramba: 90 dni
• GPS lokacija (med sejo) — iskanje del v vaši bližini — vaše soglasje (čl. 6/1/a) — NE SHRANIMO, samo med sejo
• Potisni tokeni (FCM) — pošiljanje obvestil — izpolnitev pogodbe (čl. 6/1/b) — hramba: do odjave od obvestil
• Podatki o uporabi aplikacije — izboljšava delovanja — vaše soglasje (čl. 6/1/a) — hramba: 26 mesecev (Google)
• Dnevniki dostopa — varnost sistema — zakoniti interes (čl. 6/1/f) — hramba: 90 dni
• Audit logi (admin dostop, KYC, security) — zakonska obveznost (čl. 6/1/c) — hramba: 5 let

POMEMBNO — GPS LOKACIJA: Vaša GPS lokacija se procesira izključno v pomnilniku naprave med aktivno sejo. Nikoli ne shranjujemo zgodovine vaših lokacij. V naši bazi se shrani samo splošno območje (npr. "Ljubljana — Šiška") za namen iskanja bližnjih del.

2.3 Retention politika

• Aktiven račun: do izbrisa s strani uporabnika
• Neaktiven račun (12 mes brez prijave): email opozorilo + 30 dni → auto-delete
• Računi in finance: 10 let (ZDavP-2) — anonimizirano po izbrisu
• Audit logi (admin dostop, KYC, security): 5 let
• Klepet — aktivni: 90 dni od zadnjega sporočila
• Klepet — povezan z reklamacijo: 1 leto od zaključka spora
• KYC dokumenti pri Stripe (ID, selfie, DOB): hramba pri Stripe Payments Europe Ltd. po lastni politiki (do 7 let, AML zakonodaja). Po izbrisu uporabnikovega Sosedko.si računa se Stripe Express račun samodejno izbriše po 14d reactivation oknu (purgeDeletedAccounts Cloud Function).
• KYC dokumenti — LEGACY (Sosedko.si Storage, izvajalci pred majem 2026): 30 dni po verifikaciji → izbris
• AJPES dokumentacija — LEGACY (Sosedko.si Storage, izvajalci pred majem 2026): 1 leto po zaprtju računa. Novi izvajalci nimajo AJPES na Sosedko.si.
• Slike opravljenega dela: 1 leto po zaključku
• IP naslovi (security): 90 dni
• FCM tokeni: do odjave od obvestil

2.4 Inactivity auto-delete postopek

Po 12 mesecih neaktivnosti (zadnja prijava):

1. Dan 0: Email opozorilo: "Vaš račun je bil neaktiven 12 mesecev. Brez prijave bo izbrisan v 30 dneh."
2. Dan 15: Reminder email
3. Dan 30: Avtomatski izbris računa (z izjemo finančnih podatkov, ki ostanejo 10 let — anonimizirano)

Uporabnik lahko kadarkoli prepreči izbris s prijavo v aplikacijo.

---

3. S KOM DELIMO VAŠE PODATKE

Vaših podatkov NE prodajamo in ne trgujemo z njimi. Podatki se delijo samo v naslednjih primerih:

3.1 Med uporabniki platforme

• Naročnik vidi: ime, fotografijo profila in SPLOŠNO lokacijo izvajalca (NE točnega naslova)
• Izvajalec vidi: ime, fotografijo profila naročnika in opis dela
• Točni kontaktni podatki so vidni šele po vzpostavitvi dogovora prek platforme

3.2 Zunanji obdelovalci (Data Processing Agreements)

• Google Firebase (Auth, Firestore, FCM) — hramba in obdelava podatkov aplikacije — EU strežniki (europe-west1) — SCC + TIA
• Stripe Payments Europe Ltd. (Stripe Connect Express + Stripe Identity) — obdelava plačil, KYC verifikacija identitete izvajalcev (ID, selfie, DOB), escrow + payouts — EU (Irska) + ZDA — SCC + PCI DSS Level 1 + TIA. Stripe drži ID dokumente do 7 let (AML zakonodaja). Po izbrisu Sosedko.si računa se Stripe Express račun samodejno izbriše po 14d reactivation oknu.
• Google Maps — prikaz lokacij na zemljevidu — ZDA — SCC + TIA
• Google Analytics — analitika uporabe (z vašim soglasjem) — ZDA — SCC + TIA + IP anonymization
• SendGrid (Twilio) — pošiljanje transakcijskih emails — ZDA — SCC + TIA
• Cloud Functions / Cloud Logging — server-side procesiranje + logi — EU (europe-west1) — DPA Google

3.3 Organi in zakonske obveznosti

• FURS (Finančna uprava RS) — pri zakonski obveznosti poročanja
• Sodišča in policija — izključno na podlagi sodne odredbe
• Informacijski pooblaščenec RS — pri nadzoru in kršitvah
• TIRS (Tržni inšpektorat RS) — pri ZVPot-1 kršitvah

---

4. KAKO VARUJEMO VAŠE PODATKE

4.1 Tehnični ukrepi

• Šifriranje podatkov med prenosom (HTTPS / TLS 1.3)
• Firebase Security Rules — vsak uporabnik dostopa samo do svojih podatkov
• Gesla nikoli niso shranjena v čistem besedilu (Firebase Auth + bcrypt)
• Identifikacijski dokumenti shranjeni v ločenem zasebnem prostoru z omejenim dostopom + audit log
• Firebase App Check za preprečevanje zlorab API-ja
• Stripe webhook signature verification za vse plačilne dogodke
• Redne varnostne posodobitve infrastrukture

4.2 Organizacijski ukrepi

• Dostop do osebnih podatkov imajo samo pooblaščene osebe
• Identifikacijski dokumenti dostopni izključno za namen verifikacije
• Identifikacijski dokumenti se samodejno izbrišejo v 30 dneh po uspešni verifikaciji
• Audit log dostopa do KYC dokumentov: kdo, kdaj, zakaj — hramba 5 let
• Interni postopek za obravnavo varnostnih incidentov

4.3 Pravne ocene za obdelave

Za ključne obdelave smo izvedli formalne pravne ocene:

• TIA (Transfer Impact Assessment) — EU→ZDA prenosi (Stripe, Google, SendGrid) — pred zagonom Q3 2026
• DPIA (Data Protection Impact Assessment) — KYC verifikacija (ID dokumenti) — pred zagonom Q3 2026
• LIA (Legitimate Interest Assessment) — ocene/komentarji + sporočila + KYC — pred zagonom Q3 2026
• ROPA (Records of Processing Activities) — splošna evidenca — pred zagonom Q3 2026

Vsi dokumenti so dostopni IP-RS na zahtevo. Posameznik lahko zahteva povzetek na zasebnost@sosedko.si.

4.4 Profiling in avtomatizirano odločanje

POMEMBNO: Sosedko.si NE izvaja avtomatiziranega odločanja, ki bi imelo pravne učinke ali podobno pomembno vplivalo na vas (čl. 22 GDPR).

Avtomatizirani sistemi platforme:

• Razvrščanje izvajalcev v iskanju je po izbiri uporabnika (oddaljenost / cena / ocena)
• Filtriranje vsebin v klepetu (anti-bypass) — tehnični filter, ne sankcija
• Detekcija anomalij v transakcijah — opozorilo adminu, ne avtomatska blokada

Nobena pomembna odločitev (refund, blokada, suspenz) NE temelji izključno na algoritmu. Vsaka pomembna odločitev gre skozi človeški pregled (admin).

Imate pravico:

• Do razlage vsake avtomatizirane odločitve (zahteva na podpora@sosedko.si)
• Do človeškega pregleda vsake negativne odločitve v 14 dneh
• Do izpodbijanja odločitve s pravico do pisne obrazložitve

4.5 Obvestilo o kršitvi varnosti (Breach Notification)

V primeru kršitve varnosti osebnih podatkov:

(a) IP-RS obvestilo: v 72 urah po odkritju (GDPR čl. 33), razen če kršitev verjetno ne bo povzročila tveganja za pravice posameznikov.

(b) Vaše osebno obvestilo: brez nepotrebnega odlašanja, če je kršitev verjetno povzročila visoko tveganje za vaše pravice (GDPR čl. 34).

Vsebina obvestila:

• Narava kršitve
• Kontaktna oseba (zasebnost@sosedko.si)
• Verjetne posledice
• Sprejeti ukrepi
• Priporočila za vaše ukrepe (npr. menjava gesla)

(c) Interni postopek: vodimo Incident Log register vseh kršitev (tudi neprijavljenih). Pregled vsak mesec.

---

5. VAŠE GDPR PRAVICE IN POSTOPEK UVELJAVLJANJA

5.1 Pregled pravic

Skladno z GDPR imate naslednje pravice. Za uveljavljanje katerekoli pravice nas kontaktirajte na zasebnost@sosedko.si. Odgovorili vam bomo v roku 30 dni.

• Dostop (čl. 15) — prejeti kopijo vseh podatkov, ki jih hranimo o vas — Nastavitve → "Prenesi moje podatke"
• Popravek (čl. 16) — popraviti netočne ali nepopolne podatke — Nastavitve → Urejanje profila
• Izbris (čl. 17) — zahtevati izbris podatkov ("pravica do pozabe") — z izjemami (čl. 5.3) — Nastavitve → "Izbriši račun"
• Omejitev (čl. 18) — začasno omejiti obdelavo vaših podatkov — pišite na zasebnost@sosedko.si
• Prenosljivost (čl. 20) — prejeti podatke v strojno berljivi obliki (JSON) — Nastavitve → "Prenesi moje podatke"
• Ugovor (čl. 21) — ugovarjati analitiki in marketinškim sporočilom — Nastavitve → "Zasebnost"
• Avtomatizirane odločitve (čl. 22) — zahtevati človeški pregled vsake avtomatske odločitve — kontakt: podpora@sosedko.si
• Pritožba (čl. 77) — vložiti pritožbo pri nadzornem organu — IP-RS, EDPB

5.2 Postopek uveljavljanja pravic

(1) Identifikacija: pošljite zahtevo na zasebnost@sosedko.si z registrirano e-pošto + osebnim dokumentom (ali preverite v aplikaciji prek "Nastavitve → Zasebnost").

(2) Časovni okvir: odgovorimo v roku 30 dni (lahko podaljšamo na 60 dni pri zapletenih zahtevah, z obvestilom).

(3) Brezplačno: prva zahteva v koledarskem letu je brezplačna. Pri ponavljajočih zahtevah lahko zahtevamo razumne stroške (čl. 12(5) GDPR).

(4) Možnost zavrnitve: lahko zavrnemo zahtevo, če ne moremo identificirati uporabnika, je zahteva očitno neutemeljena ali pretirana, ali bi izpolnitev posegla v pravice tretjih oseb (GDPR čl. 23).

(5) Pritožba: če niste zadovoljni z našim odgovorom, lahko vložite pritožbo pri Informacijskem pooblaščencu RS (ip-rs.si) ali EDPB za EU-cross-border vprašanja (edpb.europa.eu).

5.3 Pravica do izbrisa — izjeme

Po izbrisu računa:

• Finančni podatki (transakcije, računi) ostanejo 10 let v anonimizirani obliki (ZDavP-2)
• Audit logi ostanejo 5 let (ZVOP-2)
• Stripe transakcijski podatki po Stripe pravilih + finančna zakonodaja
• AJPES dokumentacija ostane 1 leto po zaprtju računa
• Vsi ostali podatki popolnoma izbrisani

Anonimizacija pomeni: brez možnosti povezave nazaj do vas. Računi imajo namesto vašega imena oznako "Stranka #X".

5.4 Informacijski pooblaščenec RS

• Naslov: Dunajska cesta 22, 1000 Ljubljana
• E-pošta: gp.ip@ip-rs.si
• Telefon: 01 230 97 30
• Spletna stran: www.ip-rs.si

---

1. PIŠKOTKI (samo www.sosedko.si)

6.1 Mobilna aplikacija (Android / iOS)

Aplikacija Sosedko.si je mobilna aplikacija in NE uporablja spletnih piškotkov (cookies). Namesto tega uporablja:

• Lokalno shranjevanje na napravi (SharedPreferences) — za nastavitve aplikacije in prijavo
• Firebase SDK — za analitiko in funkcionalnost (z vašim soglasjem)

Analitično sledenje (Firebase Analytics) je privzeto izklopljeno. Aktivirate ga samo z vašim izrecnim soglasjem ob registraciji ali v nastavitvah aplikacije pod "Zasebnost".

6.2 Spletna stran (www.sosedko.si)

Spletna stran Sosedko.si uporablja piškotke. Podrobnosti so v ločenem dokumentu Cookie Policy: www.sosedko.si/piskotki

Ob prvem obisku se prikaže Cookie Banner s tremi enako vidnimi gumbi:

• "Sprejmi vse"
• "Zavrni vse"
• "Nastavitve" (granularna izbira)

Brez vašega soglasja se ne nastavijo nepotrebni piškotki (analitika, marketing).

---

7. SPREMEMBE POLITIKE ZASEBNOSTI

7.1 Postopek

Kadar bistveno spremenimo to politiko, vas bomo obvestili:

• Z obvestilom v aplikaciji vsaj 30 dni pred uveljavitvijo sprememb
• Po e-pošti na vaš registrirani naslov
• Z zahtevo po ponovnem soglasju, kadar to zahteva GDPR

7.2 Arhiv

Vse predhodne različice politike so dostopne na www.sosedko.si/zasebnost/arhiv ali na zahtevo prek zasebnost@sosedko.si.

7.3 Sledljivost

• Različica: 2.0
• Predhodna različica: 1.0 (april 2026, ni bila objavljena)
• Datum zadnje spremembe: [datum uveljavitve v2.0]

---

8. KONTAKT

• E-pošta za vprašanja o zasebnosti: zasebnost@sosedko.si
• Spletna stran: www.sosedko.si/zasebnost
• Upravljavec: [Ime podjetja / s.p.], [naslov]
• Kontakt za pritožbe: TIRS (tirs.gov.si) za ZVPot-1, IP-RS (ip-rs.si) za GDPR

---

Sosedko.si — Sosed sosedu pomaga, varno in zaupanja vredno.

Vodimo evidenco dejavnosti obdelave (ROPA po čl. 30 GDPR). Dostopna IP-RS na zahtevo.

Datum uveljavitve: [datum] | Različica 2.0