Politika piškotkov
Zadnja posodobitev: 9. 3. 2026
Velja od: 18. 02. 2026
Zadnja posodobitev: 9. 3. 2026
Vsebina
- 1. Kratek povzetek v preprostem jeziku
- 2. Upravljavec in kontakt
- 3. Kaj so piškotki in podobne tehnologije
- 4. Katere vrste piškotkov/identifikatorjev uporabljamo
- 5. Kako upravljate privolitve
- 6. Kateri piškotki/identifikatorji se uporabljajo
- 7. Tretje osebe in prejemniki
- 8. Prenosi izven EGP
- 9. Kako dolgo trajajo piškotki/identifikatorji
- 10. Spremembe politike
- 11. Evidenca piškotkov in identifikatorjev
- 12. Tehnična izvedba pasice in evidence privolitev
- 12.1 Ključne zahteve za banner in nastavitve
- 12.2 Primer besedila pasice
- 12.3 Blokiranje skript pred privolitvijo
- 12.4 Evidenca privolitev (consent records) in izvoz
- 13. Mermaid diagram toka privolitve
- 14. Pravna utemeljitev
- 14.1 Kaj zahteva ePrivacy in ZEKom-2
- 14.2 Kateri identifikatorji običajno zahtevajo privolitev
- 14.3 Kako se to poveže z GDPR
- 15. Kakovost privolitve in “dark patterns” (kaj se izogibati)
1. Kratek povzetek v preprostem jeziku
Ko uporabljate Lexoro, moramo v vaš brskalnik ali aplikacijo shraniti nekaj podatkov (npr. za prijavo in varnost). Temu rečemo “piškotki” ali podobne tehnologije (npr. localStorage).
Nujne identifikatorje uporabljamo vedno, ker brez njih storitev ne deluje. Za analitiko delovanja (da izboljšamo izdelek) piškotke/identifikatorje uporabimo samo, če nam to dovolite.
Svojo izbiro lahko kadarkoli spremenite v Nastavitvah piškotkov.
2. Upravljavec in kontakt
Lexora, Anej Žaler s.p., Vojkova cesta 58, 1000 Ljubljana, Slovenija, matična št. 9727990000, davčna št. 39164608
E-pošta za zasebnost: info@lexora.si
3. Kaj so piškotki in podobne tehnologije
“Piškotek” je majhna datoteka, ki jo spletna stran shrani v brskalnik. Poleg piškotkov lahko uporabljamo tudi druge tehnologije shranjevanja ali dostopa do podatkov v vaši napravi, npr. localStorage ali podobne identifikatorje (v tem dokumentu vse skupaj imenujemo “piškotki/identifikatorji”).
4. Katere vrste piškotkov/identifikatorjev uporabljamo
Lexora uporablja naslednje kategorije:
Nujni (strogo potrebni)
Omogočajo delovanje storitve: prijava, varnost, upravljanje seje, zaščita pred zlorabami. Te identifikatorje nastavimo vedno.
Funkcionalni (nastavitve in udobje)
Zapomnijo si vaše nastavitve v aplikaciji (npr. izbira AI modela, tema). Brez njih Lexora deluje, vendar si ne zapomni določenih nastavitev ali deluje manj udobno.
Analitični (produktna analitika)
Pomagajo razumeti uporabo funkcij (npr. katere funkcije uporabniki uporabljajo) in izboljšati izdelek. Analitične identifikatorje nastavimo samo po vaši privolitvi.
Marketinški (oglaševalski)
Na dan veljavnosti te politike Lexora ne uporablja marketinških/oglaševalskih piškotkov. Če bi jih kdaj uvedli, bomo politiko posodobili in pridobili ustrezne privolitve.
5. Kako upravljate privolitve
Ko prvič obiščete Lexoro (spletno stran ali aplikacijo), se prikaže pasica za piškotke, kjer lahko:
Sprejmete vse,
Zavrnete nenujne,
ali izberete Nastavitve (granularno: funkcionalni / analitični).
Preklic ali sprememba privolitve:
Privolitev lahko kadarkoli spremenite ali prekličete prek povezave “Nastavitve piškotkov” v nogi strani ali v nastavitvah aplikacije. Preklic ne vpliva na zakonitost uporabe pred preklicem.
Nastavitve brskalnika:
Piškotke lahko izbrišete ali blokirate tudi v nastavitvah brskalnika. To lahko vpliva na delovanje Lexore (npr. odjava, ponovna prijava).
6. Kateri piškotki/identifikatorji se uporabljajo
Seznam piškotkov/identifikatorjev in njihovih namenov je objavljen v tabeli v nadaljevanju (“Evidenca piškotkov in identifikatorjev”).
7. Tretje osebe in prejemniki
Nekateri podatki, povezani z analitiko ali infrastrukturo, se lahko prenesejo ponudnikom storitev, ki Lexori pomagajo pri delovanju:
ponudnik infrastrukture/gostovanja: (npr. Vercel),
ponudnik produktne analitike: PostHog (samo po privolitvi).
Podrobnosti o obdelovalcih in prenosih izven EGP so v Politiki zasebnosti
8. Prenosi izven EGP
Če so prejemniki izven Evropskega gospodarskega prostora (npr. ZDA), Lexora uporablja ustrezne zaščitne mehanizme (npr. standardne pogodbene klavzule). Podrobnosti so v Politiki zasebnosti.
9. Kako dolgo trajajo piškotki/identifikatorji
Trajanje je navedeno v tabeli. Nekateri identifikatorji trajajo le do konca seje, drugi dlje (npr. nastavitev teme), analitični pa so nastavljeni po konfiguraciji in vaši izbiri.
10. Spremembe politike
To politiko lahko občasno posodobimo. Ob večjih spremembah vas bomo obvestili na običajen način (npr. v aplikaciji).
11. Evidenca piškotkov in identifikatorjev
Tabela vsebuje (A) identifikatorje iz vaše Cookie Map in (B) tipične SaaS identifikatorje, kjer natančno ime v produkciji lahko odstopa.
| Ime piškotka/ključa | Tehnologija | Namen | Kategorija | Trajanje | Ali zahteva privolitev? | Tretja oseba / prejemnik |
|---|---|---|---|---|---|---|
| better-auth.session_token | piškotek ali ekvivalentni identifikator | avtenticirana seja (prijava) | nujni | 7 dni | ne (nujno za storitev) | Lexora; infrastruktura |
| chat-model | localStorage | zapomnitev izbranega AI modela | funkcionalni | seja | priporočeno da (če se nastavlja brez aktivne izbire); sicer lahko brez, ko uporabnik to izrecno zahteva | Lexora |
| theme | localStorage | zapomnitev teme (dark/light) | funkcionalni | trajno (do izbrisa) | priporočeno da (če se nastavlja brez aktivne izbire); sicer lahko brez, ko uporabnik to izrecno zahteva | Lexora |
| PostHog localStorage | localStorage | produktna analitika uporabe | analitični | trajno (do izbrisa / po nastavitvah) | da | PostHog (EU ali ZDA – odvisno od namestitve) |
| cookie_consent_state | piškotek ali localStorage | hramba vaše izbire piškotkov (da pasice ne kažemo vsakič) | nujni | 6–12 mesecev | ne | Lexora |
| csrf_token | piškotek | zaščita pred CSRF napadi | nujni | seja | ne | Lexora |
| auth_refresh_token | piškotek (HttpOnly) | ohranjanje prijave (varno osveževanje seje) | nujni | (npr. 30 dni) | ne | Lexora |
| feature_flag / onboarding_state | localStorage | delovanje izbranih funkcij / onboarding stanje | funkcionalni | odvisno (če ni strogo nujno) | Lexora | |
| analytics_distinct_id | localStorage/piškotek | anon. ali psevdo-ID za analitiko | analitični | da | PostHog |
12. Tehnična izvedba pasice in evidence privolitev
Spodaj je praktičen checklist za engineering ekipo, da bo implementacija skladna z ZEKom-2/ePrivacy in GDPR (dokazljivost privolitev, blokiranje pred privolitvijo, umik).
12.1 Ključne zahteve za banner in nastavitve
Pasica se prikaže ob prvem obisku ali po poteku veljavnosti izbire; nenujni identifikatorji se ne nastavljajo pred izbiro.
Izbire morajo biti granularne (ločeno: nujni / funkcionalni / analitika / marketing).
Ne uporabljajte vnaprej označenih (pre-ticked) izbir; “scroll = consent” ni veljavno.
“Zavrni nenujne” mora biti prava možnost (brez cookie wall): storitev ne sme biti pogojena z nenujnim sledenjem.
Umik mora biti enako enostaven kot podaja (npr. isti UI v aplikaciji/na strani).
12.2 Primer besedila pasice
Kratek tekst:
“Lexora uporablja nujne piškotke za delovanje storitve. Za analitiko in izboljšave uporabljamo dodatne identifikatorje samo z vašim dovoljenjem. Izbiro lahko kadarkoli spremenite v Nastavitvah piškotkov.”
Gumbi:
“Sprejmi vse”
“Zavrni nenujne”
“Nastavitve”
12.3 Blokiranje skript pred privolitvijo
PostHog SDK/script in povezani localStorage ključi naj se inicializirajo šele po opt-in. (To je neposredna posledica pravila o predhodni privolitvi za dostop/shranjevanje na terminalski opremi.)
Funkcionalni ključi (npr. theme, chat-model) naj se:
ali nastavijo šele po aktivni izbiri uporabnika (in se utemeljijo kot “storitev, ki jo uporabnik izrecno zahteva”),
ali vključijo pod “Funkcionalni” toggle in se blokirajo do privolitve.
12.4 Evidenca privolitev (consent records) in izvoz
Za dokazljivost privolitev (audit-ready) hranite najmanj:
časovni žig, izbrane kategorije, verzijo politike/besedila, način (banner/nastavitve), “consent_id” (psevdo identifikator), ter dokaz, da privolitev ni bila predizbrana; upravljavec mora biti sposoben dokazati privolitev.
možnost izvoza evidenc (CSV/JSON) za revizijo in inšpekcijski nadzor (ter notranjo sledljivost).
13. Mermaid diagram toka privolitve
flowchart TD
A["Prvi obisk Lexore"] --> B["Prikaz pasice za piškotke"]
B --> C["Sprejmi vse"]
B --> D["Zavrni nenujne"]
B --> E["Odpri nastavitve"]
C --> F["Omogoči nujne, funkcionalne in analitične identifikatorje"]
D --> G["Omogoči samo nujne identifikatorje"]
E --> H["Uporabnik granularno izbere kategorije"]
H --> I["Shrani izbiro in consent record"]
F --> I
G --> I
I --> J["Naloži samo dovoljene skripte in ključe"]
J --> K["Uporabnik lahko kasneje spremeni izbiro v nastavitvah"]14. Pravna utemeljitev
14.1 Kaj zahteva ePrivacy in ZEKom-2
ePrivacy Direktiva 2002/58/ES, 5(3) določa, da je shranjevanje ali dostop do informacij v terminalski opremi uporabnika dovoljeno le, če je uporabnik ustrezno obveščen in ima možnost zavrnitve, pri čemer obstajajo izjeme za prenos komunikacije ali storitev, ki jo uporabnik izrecno zahteva.
V Sloveniji to pravilo implementira ZEKom-2, 225. člen, ki izrecno zahteva privolitev po predhodnem jasnem in izčrpnem obvestilu, z izjemama (prenos sporočila; nujno potrebno za storitev, ki jo uporabnik izrecno zahteva). Nadzor nad tem členom izvaja Informacijski pooblaščenec.
Smernice EDPB glede tehničnega obsega 5(3) pojasnjujejo, da se pravilo nanaša na “informacije” (širše od osebnih podatkov) in pokriva tudi “podobne tehnologije” in različne use case (npr. lokalna obdelava, unikatni identifikatorji).
14.2 Kateri identifikatorji običajno zahtevajo privolitev
Praktično (konzervativno skladno) razmejitev za Lexora:
Nujni (brez privolitve): sejni/avtentikacijski piškotki, varnostni/CSRF piškotki, piškotek za hrambo izbire privolitve, če je potreben za spoštovanje uporabnikove odločitve. To se utemeljuje z izjemo “nujno potrebno za storitev” iz ZEKom-2 225(2).
Funkcionalni (odvisno, priporočeno opt-in): trajne nastavitve (tema, izbira modela) – če se nastavljajo pred aktivno izbiro uporabnika, je varneje uporabiti privolitev. Če se nastavijo šele po izbiri uporabnika, se lahko utemeljijo kot nujni za storitev, ki jo uporabnik izrecno zahteva.
Analitični (privolitev): PostHog localStorage in analitika uporabe. Privolitev mora biti aktivna, brez pre-ticked izbir, brez pogojevanja dostopa (“cookie wall”).
14.3 Kako se to poveže z GDPR
Ko piškotki/identifikatorji vodijo do obdelave osebnih podatkov (npr. IP, user ID, dogodki uporabe), mora obdelava imeti pravno podlago po GDPR 6. členu.
Pri analitiki, kjer ZEKom-2/ePrivacy zahteva privolitev za namestitev/dostop, je v praksi najbolj dosledno uporabiti tudi GDPR 6(1)(a) privolitev za nadaljnjo analitiko. Pri tem je treba voditi evidenco privolitev in omogočiti umik.
Pri nujnih piškotkih (prijava, varnost) se GDPR pravna podlaga običajno utemeljuje z izvajanjem pogodbe (6(1)(b)) ali zakonitim interesom (6(1)(f)) za varnost in integriteto storitve, vendar to ne nadomesti ePrivacy/ZEKom-2 pravil za samo shranjevanje/dostop v terminalski opremi.
15. Kakovost privolitve in “dark patterns” (kaj se izogibati)
Pre-ticked polja in opt-out konstrukcije niso veljavna privolitev.
“Soglašate z nadaljnjo uporabo/scrollanjem” ni veljavno.
Dostop do storitve ne sme biti pogojen s privolitvijo v nenujne identifikatorje (cookie walls).
Umik mora biti enostaven in brez poslabšanja storitve zaradi samega umika (razen funkcionalnih posledic, npr. nehranjenje nastavitev).