Politika zasebnosti
Zadnja posodobitev: 9. 3. 2026
Velja od: 18. 02. 2026
Zadnja posodobitev: 9. 3. 2026
Vsebina
- 1. Upravljavec osebnih podatkov in kontakt
- 2. Vloge po GDPR: kdaj je Lexora upravljavec in kdaj obdelovalec
- 2.1 Lexora kot UPRAVLJAVEC
- 2.2 Lexora kot OBDELOVALEC (B2B uporaba)
- 3. Katere podatke obdelujemo
- 3.1 Podatki računa in uporabnika
- 3.2 Podatki v aplikaciji (vsebina)
- 3.3 AI obdelava, AI izhod in učenje modelov (ključna pojasnila)
- 3.4 Analitični in uporovni podatki (s privolitvijo)
- 3.5 Varnostni in tehnološki podatki
- 4. Nameni obdelave in pravne podlage
- 5. Posredovanje podatkov (prejemniki) in podobdelovalci
- 5.1 Podobdelovalci (tabela)
- 5.2 Obvestila o spremembah podobdelovalcev (B2B)
- 6. Mednarodni prenosi (izven EGP)
- 7. Piškotki in localStorage (ZEKom-2)
- 7.1 Kategorije piškotkov
- 7.2 localStorage
- 8. Upravljanje privolitve za piškotke
- 8.1 Evidenca soglasij (dokazovanje privolitve – GDPR 7(1))
- 9. Hranjenje podatkov (roki hrambe)
- 10. Varnostni ukrepi
- 10.1 Sentry sanitizacija (primer)
- 11. Pravice posameznika
- 12. DPIA in TIA (upravljanje tveganj)
- 13. Posodobitve politike
- 14. Pravni viri (informativno)
Anej Žaler s.p., računalniško programiranje (v nadaljevanju "Lexora", "mi" ali "nas") spoštuje vašo zasebnost in varuje osebne podatke skladno z veljavno zakonodajo in smernicami (GDPR, ZVOP-2, ZEKom-2, smernice EDPB). Ta dokument pojasnjuje, katere podatke obdelujemo, za katere namene, na kateri pravni podlagi, komu jih razkrivamo, koliko časa jih hranimo, kako jih varujemo in katere pravice imate.
1. Upravljavec osebnih podatkov in kontakt
Upravljavec (za obdelave, kjer Lexora nastopa kot upravljavec v smislu GDPR) je:
Anej Žaler s.p., računalniško programiranje
Sedež: Vojkova cesta 58, 1000 Ljubljana, Slovenija
Matična št.: 9727990000
Davčna št.: 39164608
Kontakt za varstvo podatkov / uveljavljanje pravic: info@lexora.si
2. Vloge po GDPR: kdaj je Lexora upravljavec in kdaj obdelovalec
Lexora lahko v različnih scenarijih nastopa v različnih vlogah:
2.1 Lexora kot UPRAVLJAVEC
Lexora nastopa kot upravljavec predvsem za:
podatke o uporabniškem računu in dostopu,
obračun/plačila in izpolnjevanje zakonskih obveznosti,
varnost, preprečevanje zlorab, stabilnost storitve,
neposredno trženje in analitiko na podlagi privolitve.
2.2 Lexora kot OBDELOVALEC (B2B uporaba)
Ko odvetnik/odvetniška pisarna ali druga poslovna stranka v Lexoro naloži dokumente, spise ali vnese vsebino za obdelavo, Lexora praviloma nastopa kot obdelovalec, poslovna stranka pa kot upravljavec (v skladu z DPA in Pogoji uporabe).
Če uveljavljate pravice glede osebnih podatkov, ki se nahajajo v dokumentih/spisih, bomo (kjer je to primerno) zahtevo usmerili na ustreznega upravljavca (npr. odvetniško pisarno), saj je ta pristojen za vsebinske odločitve o obdelavi.
3. Katere podatke obdelujemo
3.1 Podatki računa in uporabnika
Registracijski podatki: ime in priimek, elektronski naslov, naziv pravne osebe, geslo (hashirano).
Avtentikacija in seje: žetoni (tokeni) za sejo (npr. better-auth.session_token) in piškotki CSRF za varnost.
Finančni podatki: podrobnosti o naročilih, transakcijah in fakturah (npr. podatki iz Stripe).
Pravna podlaga: izpolnitev pogodbe (GDPR 6(1)(b)) in zakonske obveznosti (GDPR 6(1)(c)).
3.2 Podatki v aplikaciji (vsebina)
Vnešena vsebina: vsebina klepeta, opisi primerov, naloženi dokumenti in priloge.
Nastavitve aplikacije: barvna tema, izbran AI model, osnutki besedil.
Pomembno – posebne vrste podatkov:
Zaradi narave pravnih gradiv lahko naložena vsebina vsebuje posebne vrste osebnih podatkov (npr. zdravstveni podatki po 9. členu GDPR) in tudi podatke v zvezi s kazenskimi obsodbami in prekrški (10. člen GDPR). Takšne podatke obdelujemo izključno za izvedbo storitve po navodilih upravljavca in z okrepljenimi tehničnimi in organizacijskimi ukrepi.
Pravna podlaga: izpolnitev pogodbe (GDPR 6(1)(b)); v razmerju obdelovalec-upravljavec se obdelava izvaja po DPA in dokumentiranih navodilih upravljavca.
3.3 AI obdelava, AI izhod in učenje modelov (ključna pojasnila)
Storitev uporablja AI modele za generiranje odgovorov, povzetkov in osnutkov dokumentov.
Privzeto NE uporabljamo vsebin (dokumentov in klepetov) za učenje, fine-tuning ali izboljševanje temeljnih AI modelov Lexore ali tretjih oseb.
Vsebina se lahko začasno obdeluje (procesira) pri izbranih ponudnikih AI API, kadar je to potrebno za izvedbo funkcionalnosti, in skladno z našimi pogodbenimi zavezami (DPA/SCC/DPF, kjer relevantno).
Če bi kadarkoli želeli omogočiti dodatno obdelavo vsebine za namen izboljšav, bi to bilo predmet ločene, jasne komunikacije in (kjer zahtevano) ustrezne pravne podlage (npr. opt-in privolitev ali pogodbeni dogovor v B2B).
3.4 Analitični in uporovni podatki (s privolitvijo)
Produktna analitika: anonimni/psevdonimizirani dogodki o uporabi funkcij (npr. št. poslanih vprašanj, trajanje sej). Beleži PostHog ali podobno orodje.
Identifikatorji seje: npr. distinct_id za ločevanje sej.
Ne beležimo vsebine dokumentov ali klepetov za namene analitike.
Pravna podlaga: privolitev (GDPR 6(1)(a)); brez privolitve analitičnih piškotkov ne nastavimo.
3.5 Varnostni in tehnološki podatki
IP in logi: IP naslov, podatki o napravi, strežniški logi (prijave, napake) za varnost, preprečevanje zlorab in reševanje incidentov.
Napake sistema: tehnični podatki o napakah (npr. stack trace) v Sentry (EU regija), brez namerne obdelave vsebin.
Pravna podlaga: zakoniti interes (GDPR 6(1)(f)) – zaščita sistema in uporabnikov.
4. Nameni obdelave in pravne podlage
Izpolnitev pogodbe (GDPR 6(1)(b)): ustvarjanje in upravljanje računa, zagotavljanje funkcionalnosti storitve, obdelava vnosov za generiranje rezultatov.
Zakonske obveznosti (GDPR 6(1)(c)): računovodstvo in davčne obveznosti (hramba računov, transakcij).
Analiza in izboljšave (GDPR 6(1)(a), privolitev): agregirane metrike uporabe za izboljšanje produkta (brez vsebine dokumentov/kletov).
Varnost (GDPR 6(1)(f)): preprečevanje zlorab, odkrivanje incidentov, stabilnost in diagnostika.
Neposredno trženje (GDPR 6(1)(a), privolitev): obveščanje o novostih, če ste privolili. Privolitev ni pogoj za uporabo storitve.
Upoštevamo načelo minimizacije: obdelujemo le podatke, ki so potrebni za dosego namena.
5. Posredovanje podatkov (prejemniki) in podobdelovalci
Uporabljamo zunanje ponudnike, ki podatke obdelujejo v našem imenu. Glavni so:
5.1 Podobdelovalci (tabela)
| Ponudnik | Namen | Lokacija strežnikov | Varstvo pri prenosu |
|---|---|---|---|
| Vercel, Inc. | Gostovanje spletne aplikacije | EU | EU SCC |
| Neon Inc. | PostgreSQL baza | EU | EU SCC |
| OpenAI, L.L.C. | AI jezikovni modeli | ZDA | OpenAI DPA + EU SCC |
| Google LLC (Gemini) | AI modeli / OCR | ZDA / EU | Google DPA + EU SCC |
| xAI Corp. (Grok) | AI jezikovni modeli | ZDA | EU SCC |
| Soniox Inc. | Prepoznavanje govora | ZDA | EU SCC |
| PostHog Inc. | Produktna analitika | EU (Nemčija) | - (v EU) |
| Stripe Inc. | Plačilna infrastruktura | ZDA / EU | Stripe DPA + EU SCC |
| Sentry (Functional Software) | Napake in logi | EU (Nemčija) | - (v EU) |
| Resend (ali drugo) | Pošiljanje e-pošte / OTP | EU / ZDA | EU SCC |
| Upstash | Cache / pomnjenje | ZDA / EU | EU SCC |
| Exa Labs | Iskanje pravnih virov (API) | ZDA | EU SCC |
| Slack Technologies LLC | Interna komunikacija/feedback | ZDA | Slack DPA + EU SCC |
Z vsemi pod-obdelovalci imamo sklenjene elektronske Pogodbe o obdelavi podatkov (DPA), ki so po 28(9). členu GDPR pravno zavezujoče v elektronski obliki.
5.2 Obvestila o spremembah podobdelovalcev (B2B)
Če ste poslovna stranka in Lexora nastopa kot obdelovalec, se pravila o vključevanju in ugovoru podobdelovalcem uporabljajo skladno z DPA.
6. Mednarodni prenosi (izven EGP)
Nekateri naši ponudniki imajo sedež ali izvajajo dele obdelave v tretjih državah (npr. ZDA). Podatki lahko fizično prehajajo izven EGP ali pa so od tam dostopni (npr. v primeru tehnične podpore ali uporabe AI API-jev).
Za zagotavljanje varstva vaših podatkov pri teh prenosih uporabljamo naslednje pravne mehanizme:
EU-U.S. Data Privacy Framework (DPF): Za ponudnike iz ZDA, ki so aktivno certificirani pri Ministrstvu za trgovino ZDA. Status certifikacije naših ponudnikov (npr. OpenAI, Google, Stripe) lahko preverite v uradnem registru na www.dataprivacyframework.gov .
Standardne pogodbene klavzule (SCC): Za prenose k ponudnikom, ki niso vključeni v DPF ali kadar to zahteva narava prenosa, uporabljamo najnovejše SCC module (2021/914), ki jih je sprejela Evropska komisija. Lexora uporablja specifične module za razmerje med obdelovalci (Modul 3). Kopije uporabljenih klavzul so vam na voljo na zahtevo prek našega kontaktnega e-naslova .
Transfer Impact Assessment (TIA): Skladno s standardi iz sodbe Schrems II za vsak prenos v tretjo državo ocenimo tveganja in zakonodajo te države ter zagotovimo, da raven varstva ni zmanjšana. Te ocene redno posodabljamo .
Dopolnilni ukrepi: Zaščito pri prenosih krepimo s šifriranjem podatkov med prenosom (TLS 1.3), psevdonimizacijo in strogim nadzorom dostopa po načelu najmanjših privilegijev .
Lokalizacija podatkov: Kjer ponudniki to tehnično omogočajo (npr. Neon database, Vercel, PostHog), so naši sistemi konfigurirani za primarno hrambo in obdelavo podatkov na strežnikih znotraj Evropske unije (najpogosteje v regiji Frankfurt, Nemčija), s čimer minimiziramo obseg prenosov v tretje države .
7. Piškotki in localStorage (ZEKom-2)
Lexora uporablja piškotke in lokalno shrambo (localStorage) za delovanje in izboljšanje uporabniške izkušnje.
7.1 Kategorije piškotkov
Strogo nujni piškotki: potrebni za prijavo in varnost (npr. better-auth.session_token). Nastavijo se brez privolitve. Uporabljamo varnostne atribute (Secure, HttpOnly, SameSite).
Piškotki soglasij: shranijo vašo odločitev o privolitvi (sprejeto/zavrnjeno) - nastavljeni so zato, da si sistem zapomni vaše nastavitve.
Funkcionalni piškotki: npr. sidebar_state, chat-model, theme. Nastavijo se le, če jih uporabnik izrecno zahteva (npr. z nastavitvijo).
Analitični piškotki: npr. PostHog identifikatorji. Nastavimo jih šele po opt-in privolitvi. Ob preklicu privolitve analitične identifikatorje izbrišemo (npr. posthog.reset()).
7.2 localStorage
Podatki, shranjeni v localStorage (npr. tema, osnutki), so namenjeni uporabniški izkušnji. Če je v implementaciji predvidena zgolj lokalna hramba, se ti podatki ne prenašajo na strežnik.
Več podrobnosti o piškotkih je zapisano v politiki piškotkov.
8. Upravljanje privolitve za piškotke
Ob prvem obisku se prikaže pasica z možnostmi:
Sprejmi vse
Zavrni nenujne
Nastavitve piškotkov (granularno upravljanje)
Privolitev je aktivna (brez vnaprej označenih polj) in brez "cookie wall".
8.1 Evidenca soglasij (dokazovanje privolitve – GDPR 7(1))
Odločitev zabeležimo v strežniško evidenco (primer SQL):
CREATE TABLE ConsentLog (
id SERIAL PRIMARY KEY,
user_id VARCHAR(255) NULL,
categories JSON NOT NULL, -- {"analytics": true/false, "functional": true/false}
consent_timestamp TIMESTAMP NOT NULL,
ip_address VARCHAR(45),
policy_version VARCHAR(10)
);Rok hrambe evidence soglasij: vsaj 3 leta (oziroma dlje, če je potrebno zaradi uveljavljanja/obrambe zahtevkov).
9. Hranjenje podatkov (roki hrambe)
Podatke hranimo le toliko časa, kot je potrebno za namen obdelave:
| Podatki | Rok hrambe | Pravna podlaga |
|---|---|---|
| Računi in plačilni zapisi | 10 let | Zakonska obveznost (ZDDV-1, ZGD-1) |
| Podatki o uporabniških računih | Čas obstoja računa + 3 leta | Zakoniti interes (OZ – zaščita pred zahtevki po prenehanju) |
| Revizijske sledi (vpogledi v podatke) | 2 leti po koncu koledarskega leta | Zakonska obveznost (22. člen ZVOP-2) |
| Varnostni in tehnični logi (napake) | 1 leto | Zakoniti interes (varnost sistema) |
| Evidenca soglasij za piškotke | Vsaj 3 leta | Izpolnjevanje dokaznega bremena (7(1). člen GDPR) |
| Analitični podatki (npr. PostHog) | 12 mesecev | Privolitev (po tem roku anonimizirano) |
| Osnutki dokumentov v lokalni hrambi | Do izbrisa s strani uporabnika | Izključna kontrola uporabnika (localStorage) |
Po izteku roka podatke trajno izbrišemo ali anonimiziramo.
10. Varnostni ukrepi
Uporabljamo ustrezne tehnične in organizacijske ukrepe, npr.:
TLS/HTTPS šifriranje,
omejitve dostopa in MFA,
varnostne preglede in posodobitve,
10.1 Sentry sanitizacija (primer)
Sentry.init({
dsn: '[TO BE COMPLETED]',
beforeSend(event) {
if (event.request) delete event.request;
if (event.user) delete event.user;
return event;
}
});11. Pravice posameznika
Skladno z GDPR imate pravico do:
dostopa (čl. 15),
popravka (čl. 16),
izbrisa (čl. 17),
omejitve (čl. 18),
prenosljivosti (čl. 20),
ugovora (čl. 21),
preklica privolitve (kadar je podlaga privolitev).
Kontakt: info@lexora.si. Odgovorimo najpozneje v 1 tednu.
Pritožba: Informacijski pooblaščenec RS.
Če Lexora nastopa kot obdelovalec za vsebine dokumentov/spisov, bomo zahtevo (kjer je to primerno) posredovali upravljavcu.
12. DPIA in TIA (upravljanje tveganj)
Zaradi obdelave občutljivih pravnih vsebin izvajamo oziroma priporočamo:
DPIA (presoja vpliva na varstvo podatkov), kadar so izpolnjeni pogoji (npr. obsežna obdelava občutljivih podatkov).
TIA (ocena vpliva prenosa) za prenose v tretje države, skladno s Schrems II.
13. Posodobitve politike
Politiko lahko posodobimo (npr. zaradi sprememb storitve ali predpisov). Spremembe objavimo z datumom posodobitve; o pomembnih spremembah obvestimo v aplikaciji ali po e-pošti.
14. Pravni viri (informativno)
GDPR (EU 2016/679) – zlasti čl. 6, 7, 13–21, 32–34
ePrivacy direktiva 2002/58/ES, čl. 5(3) in ZEKom-2, 225. člen
CJEU Planet49 (C-673/17)
EDPB smernice o privolitvi (05/2020)
Schrems II (C-311/18)
EU SCC (Uredba 2021/914)
EU-ZDA Data Privacy Framework (2023)