Pogodba o obdelavi osebnih podatkov

Zadnja posodobitev: 9. 3. 2026

Datum veljavnosti: 18. 02. 2026

Zadnja posodobitev: 9. 3. 2026

Anej Žaler s.p. (Lexora), Vojkova cesta 58, 1000 Ljubljana, Slovenija, matična št. 9727990000, davčna št. 39164608, ki ga zastopa Anej Žaler (v nadaljevanju: Obdelovalec)

in Uporabnikom storitve, ki je sprejel Splošne pogoje (v nadaljevanju: Upravljavec).

Vsebina

1. člen: Predmet in namen

Pogodba ureja obdelavo osebnih podatkov v okviru SaaS aplikacije Lexora. Obdelovalec obdeluje podatke izključno v imenu Upravljavca za namen pravne analize, iskanja po spisu in priprave dokumentov. Ta pogodba prevlada nad Splošnimi pogoji v delu, ki se nanaša na varstvo podatkov

2. člen: Vrste podatkov in kategorije posameznikov

● Vrste: Identifikacijski, kontaktni, finančni ter posebne vrste podatkov (9. člen GDPR) in podatki o kazenskih obsodbah (10. člen GDPR), ki so del pravnih spisov.

● Posamezniki: Stranke upravljavca, nasprotne stranke, priče, zaposleni in drugi udeleženci v postopkih.

3. člen: Obveznosti Obdelovalca

1. Navodila: Obdelovalec obdeluje podatke le po dokumentiranih navodilih Upravljavca.

2. Zaupnost in ZOdv: Zaposleni Obdelovalca so zavezani k molčečnosti. Obdelovalec se zavezuje, da bo storitev izvajal na način, ki Upravljavcu (odvetniku) omogoča polno varovanje odvetniške poklicne skrivnosti po 6. členu Zakona o odvetništvu (ZOdv).

3. Varnost (32. člen GDPR): Izvajanje ukrepov iz Priloge B, vključno s šifriranjem in revizijskimi sledmi po 22. členu ZVOP-2.

4. AI omejitve: Obdelovalec jamči, da se osebni podatki iz naloženih dokumentov ne bodo uporabljali za učenje, izboljševanje ali prilagajanje (fine-tuning) osnovnih modelov umetne inteligence Obdelovalca ali tretjih oseb.

4. člen: Pod-obdelovalci

Upravljavec daje splošno pooblastilo za vključitev pod-obdelovalcev (npr. OpenAI, Vercel, Stripe). Obdelovalec mora Upravljavca obvestiti o spremembah vsaj 14 dni prej. Upravljavec lahko ugovarja iz utemeljenih razlogov. Seznam pod-obdelovalcev je dostopen v Politiki zasebnosti.

5. člen: Pomoč in pravice posameznikov

Obdelovalec bo Upravljavcu pomagal pri:

● izpolnjevanju zahtevkov posameznikov (dostop, izbris, ipd.),

● izvajanju ocen učinkov na varstvo podatkov (DPIA),

● pripravi ocene tveganja prenosov (TIA) v primeru uporabe pod-obdelovalcev iz tretjih držav (npr. ZDA).

6. člen: Obveščanje o kršitvah

Obdelovalec bo Upravljavca o kršitvi varstva podatkov obvestil brez nepotrebnega odlašanja, najpozneje pa v 48 urah po ugotovitvi kršitve.

7. člen: Revizija

Obdelovalec enkrat letno omogoči pregled ali revizijo, ki jo izvaja Upravljavec ali pooblaščeni neodvisni revizor. Stroške krije Upravljavec.

8. člen: Prenos v tretje države

V primeru prenosov izven EGP bo Obdelovalec zagotovil uporabo Standardnih pogodbenih klavzul (SCC) ali se oprl na EU-U.S. Data Privacy Framework (DPF) certifikacijo pod-obdelovalca.

9. člen: Trajanje in izbris

Pogodba velja do prenehanja uporabe storitve. Po prenehanju bo Obdelovalec:

1. Upravljavcu omogočil izvoz podatkov v roku 30 dni.

2. Po tem roku varno izbrisal vse kopije, razen če zakon (npr. računovodski) zahteva daljšo hrambo.

PRILOGA B: Tehnični in organizacijski ukrepi (TOMs)

● Šifriranje: TLS 1.3 med prenosom.

● Revizijske sledi (22. člen ZVOP-2): Avtomatizirano beleženje časa vpogleda, osebe, ki je vpogledala, in identifikacije podatkov. Sledi se hranijo 2 leti (oziroma po zakonu).

● Izolacija: Logična ločenost podatkov med različnimi naročniki (multi-tenancy isolation).