English 
Български 
Deutsch 
العربية 
Čeština 
Dansk 
Ελληνικά 
Español 
Eesti 
Suomi 
Русский 
Türkçe 
Français 
Magyar 
Bahasa Indonesia 
Italiano 
日本語 
한국어 
Lietuvių 
Latviešu 
Norsk Bokmål 
Nederlands 
Polski 
Português 
Română 
Slovenčina 
Slovenščina 
Svenska 
Ukrainian 
中文 
Srpski 
Hrvatski 
Politika zasebnosti & GDPR
2026-05-17 · v2.0 / maj 2026
Findes Group & Partners (v nadaljevanju: upravljavec) spoštuje vašo zasebnost in se zavezuje k varstvu vaših osebnih podatkov v skladu z Uredbo (EU) 2016/679 (GDPR), Zakonom o varstvu osebnih podatkov (ZVOP-2) in vsemi relevantnimi predpisi EU. Dokument je bil temeljito revidiran v skladu z najnovejšimi smernicami Evropskega odbora za varstvo podatkov (EDPB) in prakso Informacijskega pooblaščenca RS (IP RS).
1. Upravljavec osebnih podatkov in pooblaščenec za varstvo podatkov (DPO)
1.1 Primarni upravljavec
Findes Marketing d.o.o.
Litostrojska cesta 44A, 1000 Ljubljana, Slovenija
Matična številka: 8304912000 | Davčna številka: SI12345678
E-pošta: info@findes.si
Spletna stran: https://findes.si
1.2 Pooblaščenec za varstvo podatkov (DPO)
Kontakt DPO
V skladu s členom 37 GDPR je Findes Group imenovala pooblaščenca za varstvo podatkov (DPO).
DPO Findes Group
E-pošta: dpo@findes.si
Naslov: Litostrojska cesta 44A, 1000 Ljubljana (oznaka: DPO)
Odzivni čas: 5 delovnih dni
DPO je neodvisen, ne prejema navodil glede izvajanja nalog in poroča neposredno upravi. Kontaktirati ga lahko neposredno za vse zadeve v zvezi z varstvom osebnih podatkov.
1.3 Kdaj je DPO obvezen (člen 37 GDPR)
| Pogoj | Veljavnost za Findes Group |
|---|---|
| Javni organ ali telo | Ne velja |
| Obsežno sistematično spremljanje posameznikov | Da — spletna analitika, CRM, AI priporočila |
| Obsežna obdelava posebnih kategorij podatkov | Delno — finančni podatki, KYC |
| Prostovoljno imenovanje | Da — Findes Group je DPO imenovala prostovoljno za vse subjekte |
2. Katere osebne podatke zbiramo
2.1 Kategorije osebnih podatkov
| Kategorija | Primeri podatkov | Namen obdelave | Pravna podlaga |
|---|---|---|---|
| Identifikacijski podatki | Ime, priimek, datum rojstva, EMŠO (za KYC) | Sklenitev pogodbe, KYC/AML | Člen 6(1)(b)(c) |
| Kontaktni podatki | E-pošta, telefon, naslov, poštna številka | Komunikacija, dostava dokumentov | Člen 6(1)(b) |
| Finančni podatki | IBAN, davčna številka, dohodek (za investicije) | Plačila, poročanje FURS, MiFID II | Člen 6(1)(b)(c) |
| Podatki o uporabi | IP naslov, piškotki, vedenje na spletni strani, čas obiska | Analitika, varnost, personalizacija | Člen 6(1)(a)(f) |
| Komunikacijski podatki | E-pošta, sporočila, klici (posneti z obvestilom) | Podpora, dokumentacija, kakovost | Člen 6(1)(b)(f) |
| Pogodbeni podatki | Vsebina pogodb, naročil, računov | Izvajanje pogodbe, računovodstvo | Člen 6(1)(b)(c) |
| Podatki o izobraževanju | Napredek v tečajih, rezultati kvizov, certifikati | Akademija, certifikacija | Člen 6(1)(b) |
| Podatki o nepremičninah | Preference iskanja, ogledani oglasi, povpraševanja | Posredovanje, Investra.io platforma | Člen 6(1)(b)(f) |
2.2 Podatki, ki jih NE zbiramo
Izjava o neobdelavi
Findes Group ne zbira in ne obdeluje naslednjih kategorij podatkov brez izrecne privolitve ali zakonske obveznosti:
- Podatki o zdravstvenem stanju ali genetski podatki
- Biometrični podatki za identifikacijo
- Podatki o rasnem ali etničnem poreklu
- Podatki o kaznivih dejanjih (razen obveznega KYC/AML preverjanja)
- Podatki o otrocih, mlajših od 16 let, brez starševskega soglasja
3. Pravne podlage za obdelavo (člen 6 GDPR)
| Pravna podlaga | Člen GDPR | Primeri uporabe pri Findes Group |
|---|---|---|
| Izvajanje pogodbe | 6(1)(b) | Opravljanje storitev, dostava produktov, izstavitev računov |
| Zakonska obveznost | 6(1)(c) | Davčno poročanje (FURS), AML/KYC (ZPPDFT-2), računovodstvo (ZGD-1) |
| Zakoniti interes | 6(1)(f) | Preprečevanje goljufij, varnost IT sistemov, direktni marketing obstoječim strankam, analitika |
| Privolitev | 6(1)(a) | Glasilo (newsletter), marketinška sporočila novim kontaktom, piškotki za analitiko |
| Vitalni interesi | 6(1)(d) | Izjemoma — v nujnih primerih (npr. medicinska nujnost) |
| Javna naloga | 6(1)(e) | Ne velja za Findes Group |
Test tehtanja zakonitih interesov (LIA)
Kadar Findes Group obdeluje podatke na podlagi zakonitega interesa (člen 6(1)(f)), izvede test tehtanja (Legitimate Interest Assessment — LIA), ki dokumentira, da naš interes ne prevlada nad pravicami in svoboščinami posameznikov. LIA je na voljo na zahtevo pri DPO.
4. Posebne kategorije podatkov (člen 9 GDPR)
Izjava o posebnih kategorijah
Findes Group praviloma ne obdeluje posebnih kategorij osebnih podatkov v smislu člena 9(1) GDPR (zdravstveni podatki, biometrični podatki, podatki o rasnem poreklu, verskih prepričanjih, spolni usmerjenosti itd.).
4.1 Izjeme — kdaj se posebne kategorije lahko pojavijo
| Scenarij | Pravna podlaga (člen 9(2)) | Ukrep |
|---|---|---|
| Stranka prostovoljno razkrije zdravstvene podatke (npr. pri zavarovanju) | 9(2)(a) — izrecna privolitev | Posebna privolitev, omejen dostop |
| AML/KYC zahteva politično izpostavljene osebe (PEP) | 9(2)(g) — javni interes, ZPPDFT-2 | Obvezno po zakonu, DPIA |
| Kadrovski podatki o zdravstvenem stanju | 9(2)(b) — delovno pravo | Omejen dostop, HR only |
5. Roki hrambe osebnih podatkov
| Vrsta podatkov | Rok hrambe | Pravna osnova |
|---|---|---|
| Pogodbeni podatki | 10 let po prenehanju pogodbe | ZGD-1, člen 86 |
| Računovodski dokumenti | 10 let | ZGD-1, člen 54 |
| Davčna dokumentacija | 10 let | ZDavP-2 |
| AML/KYC dokumentacija | 5 let po koncu poslovnega razmerja | ZPPDFT-2, člen 157 |
| Marketinška privolitev | Do preklica privolitve + 1 leto | GDPR člen 7(1) |
| Podatki spletnih obiskovalcev (piškotki) | 13 mesecev | GDPR, smernice EDPB 03/2022 |
| Kadrovski podatki | 5 let po prenehanju delovnega razmerja | ZDR-1 |
| Podatki o izobraževanju (Akademija) | 3 leta po zadnji aktivnosti | Pogodba |
| Varnostni dnevniki (logs) | 12 mesecev | NIS2 direktiva |
| Video posnetki (varnostne kamere) | 30 dni | ZVOP-2, člen 77 |
| Podatki o pritožbah | 5 let | ZVPot-1 |
Postopek izbrisa
Po izteku roka hrambe Findes Group podatke varno izbriše ali anonimizira v skladu z ISO 27001 standardom. Za digitalne podatke se uporablja metoda varnega brisanja (secure wipe), za fizične dokumente pa certificirano uničevanje.
6. Vaše pravice (DSAR — Data Subject Access Rights)
| Pravica | Člen GDPR | Opis | Rok odgovora |
|---|---|---|---|
| Pravica do dostopa | Člen 15 | Kopija vaših osebnih podatkov + informacije o obdelavi | 30 dni |
| Pravica do popravka | Člen 16 | Popravek netočnih ali nepopolnih podatkov | 30 dni |
| Pravica do izbrisa | Člen 17 | »Pravica do pozabe« — izbris podatkov, kadar ni zakonske obveznosti hrambe | 30 dni |
| Pravica do omejitve | Člen 18 | Omejitev obdelave v spornih primerih | 30 dni |
| Pravica do prenosljivosti | Člen 20 | Prenos podatkov v strojno berljivi obliki (JSON, CSV, XML) | 30 dni |
| Pravica do ugovora | Člen 21 | Ugovor obdelavi na podlagi zakonitega interesa ali za namene direktnega marketinga | Takoj (marketing), 30 dni (ostalo) |
| Preklic privolitve | Člen 7(3) | Kadarkoli prekličete privolitev za marketing ali piškotke | Takoj |
| Ugovor avtomatiziranim odločitvam | Člen 22 | Zahteva za ročni pregled avtomatiziranih odločitev z bistvenim učinkom | 30 dni |
6.1 Postopek uveljavljanja pravic (DSAR postopek)
- Oddaja zahteve: Pisno na dpo@findes.si z zadevo »DSAR zahteva« ali po pošti na naslov upravljavca.
- Identifikacija: Predložite kopijo osebnega dokumenta (za zaščito pred nepooblaščenim dostopom). Findes Group ne zahteva originalov.
- Potrditev prejema: V 5 delovnih dneh prejmete potrditev in referenčno številko zahteve.
- Obdelava: Zahtevo obdelamo v 30 dneh. V kompleksnih primerih se rok podaljša za 60 dni z obvestilom.
- Odgovor: Pisni odgovor po e-pošti ali pošti, brezplačno.
- Pritožba: Če ste nezadovoljni z odgovorom, se pritožite pri IP RS (ip-rs.si).
Brezplačnost
Uveljavljanje pravic je brezplačno. Izjema: pri očitno neutemeljenih ali pretiranih zahtevah si Findes Group pridržuje pravico zaračunati razumno pristojbino ali zavrniti zahtevo (člen 12(5) GDPR).
7. Posredovanje osebnih podatkov tretjim osebam
7.1 Kategorije prejemnikov
| Prejemnik | Namen | Pravna podlaga | Zaščitni ukrepi |
|---|---|---|---|
| Pogodbeni obdelovalci (IT, računovodstvo, pravniki) | Izvajanje storitev | Člen 28 GDPR — DPA pogodba | DPA, NDA, revizija |
| FURS (Finančna uprava RS) | Davčno poročanje | Zakonska obveznost | — |
| AML organi (UOIM) | Preprečevanje pranja denarja | ZPPDFT-2 | — |
| Banke in plačilni ponudniki | Plačilne transakcije | Pogodba, zakonska obveznost | PSD2, PCI-DSS |
| Partnerji v EU/EGP | Posredovanje storitev | Člen 6(1)(b), ustrezne zaščite | SCCs ali Adequacy |
| Sodišča in organi pregona | Zakonska obveznost | Člen 6(1)(c) | — |
7.2 Prodaja podatkov tretjim osebam
Izjava
Findes Group nikoli ne prodaja, ne oddaja v najem in ne trguje z osebnimi podatki strank tretjim osebam za komercialne namene. Vsak prenos podatkov temelji na zakoniti pravni podlagi in je dokumentiran.
8. Varnost osebnih podatkov
8.1 Tehnični ukrepi
| Ukrep | Standard/Protokol | Namen |
|---|---|---|
| Šifriranje prenosa | TLS 1.3 | Zaščita podatkov med prenosom |
| Šifriranje hrambe | AES-256 | Zaščita podatkov v mirovanju |
| Upravljanje gesel | bcrypt (cost factor ≥12) | Zaščita gesel |
| Dvofaktorska avtentikacija | TOTP / WebAuthn | Zaščita dostopa do sistemov |
| Varnostno kopiranje | 3-2-1 pravilo, dnevno | Obnova po incidentu |
| Penetracijsko testiranje | OWASP Top 10, letno | Odkrivanje ranljivosti |
| Požarni zid in IDS/IPS | WAF + SIEM | Zaznavanje napadov |
8.2 Organizacijski ukrepi
- Politika minimalnega dostopa (need-to-know principle) — vsak zaposleni dostopa samo do podatkov, ki jih potrebuje.
- Obvezno usposabljanje zaposlenih o varstvu podatkov (letno, dokumentirano).
- NDA (pogodba o zaupnosti) za vse zaposlene in pogodbene delavce.
- Postopek za upravljanje dostopnih pravic (onboarding/offboarding).
- Politika čiste mize in čistega zaslona (clean desk/screen policy).
- Redne notranje revizije varnosti podatkov (vsaj 1× letno).
9. Skupno upravljanje podatkov (Joint Controllership — člen 26 GDPR)
V skladu s 26. členom GDPR so med naslednjimi subjekti sklenjene interne pogodbe o skupnem upravljanju osebnih podatkov:
| Upravljavec | Vloga | Kontakt DPO |
|---|---|---|
| Findes Marketing d.o.o. | Primarni upravljavec (spletna stran, marketing, CRM, IT) | dpo@findes.si |
| Findes plus d.o.o. | Upravljavec zavarovalniških podatkov strank | dpo@findes.si |
| Findes plus 2 d.o.o. | Upravljavec zavarovalniških podatkov strank | dpo@findes.si |
Pretok podatkov med partnerskimi portali
Osebni podatki, ki jih posredujete na spletni strani Findes.si, se ne prenašajo samodejno na partnerske portale (Investra.io, Unifyr.space). Vsak prenos podatkov zahteva vaše izrecno soglasje ali zakonito pravno podlago.
9.1 Posebno obvestilo — Zavarovalniške storitve
Ločitev odgovornosti za zavarovalniške storitve
Zavarovalno zastopanje in svetovanje na platformah Findes Group izvajata izključno registrirani zavarovalniški agentki:
- Findes plus d.o.o. (matična: 8304912000) — registrirana pri AZN
- Findes plus 2 d.o.o. (matična: 8955042000) — registrirana pri AZN
Findes Marketing d.o.o. izvaja zgolj informativne in marketinške aktivnosti ter ne nudi zavarovalniških nasvetov.
10. Čezmejni prenosi osebnih podatkov (člen 44–49 GDPR)
10.1 Prenos podatkov izven EU/EGP
Findes Group pri svojem poslovanju sodeluje s partnerji in ponudniki storitev v državah izven EU/EGP. Vsak prenos podatkov temelji na ustreznih zaščitnih ukrepih:
| Država/regija | Mehanizem zaščite | Pravna podlaga |
|---|---|---|
| Združeno kraljestvo (UK) | Adequacy Decision — EU Komisija, junij 2021 | Člen 45 GDPR |
| Švica | Adequacy Decision | Člen 45 GDPR |
| Turčija | Standardne pogodbene klavzule (SCCs) — Sklep EU 2021/914 | Člen 46(2)(c) GDPR |
| Srbija | Standardne pogodbene klavzule (SCCs) | Člen 46(2)(c) GDPR |
| UAE (Dubaj) | Standardne pogodbene klavzule (SCCs) + dodatni ukrepi | Člen 46(2)(c) GDPR |
| ZDA | EU-US Data Privacy Framework (DPF) — od julija 2023 | Člen 45 GDPR |
| Ostale države | Izrecna privolitev posameznika ali nujnost za pogodbo | Člen 49 GDPR |
Prenos podatkov v UK po Schrems II
Kljub Adequacy Decision za UK Findes Group izvaja redne ocene tveganja (Transfer Impact Assessment — TIA) za zagotovitev ustrezne ravni varstva. V primeru spremembe statusa ustreznosti bomo stranke nemudoma obvestili.
11. Avtomatizirano odločanje, profiliranje in umetna inteligenca
11.1 Kdaj Findes Group uporablja avtomatizirano odločanje
| Sistem | Namen | Bistveni učinek? | Pravna podlaga |
|---|---|---|---|
| AI priporočila nepremičnin (Investra.io) | Personalizacija oglasov | Ne — samo priporočila | Člen 6(1)(f) — zakoniti interes |
| Segmentacija strank (CRM) | Ciljani marketing | Ne — samo segmentacija | Člen 6(1)(a) — privolitev |
| Ocena kreditne sposobnosti (investicije) | MiFID II ustreznost | Da — vpliva na dostop do produktov | Člen 22(2)(a) — nujnost za pogodbo |
| AML/KYC screening | Preprečevanje pranja denarja | Da — vpliva na poslovni odnos | Člen 22(2)(b) — zakonska obveznost |
11.2 Vaše pravice pri avtomatiziranem odločanju
Kadar avtomatizirano odločanje ima bistveni učinek na vas (npr. zavrnitev dostopa do storitve), imate pravico:
- Zahtevati ročni pregled odločitve s strani usposobljenega zaposlenega.
- Izraziti svoje stališče in predložiti dodatne informacije.
- Izpodbijati odločitev z obrazložitvijo.
- Zahtevati razlago logike, pomena in predvidenih posledic avtomatiziranega odločanja.
Zahtevo naslovite na: dpo@findes.si z zadevo »Ugovor avtomatizirani odločitvi«.
11.3 EU AI Act skladnost
Findes Group razvija in uporablja AI sisteme v skladu z Uredbo EU 2024/1689 (EU AI Act). AI sistemi, ki vplivajo na posameznike, so razvrščeni po ravni tveganja. Za visoko tvegane AI sisteme (npr. ocena kreditne sposobnosti) izvajamo obvezno oceno temeljnih pravic (FRIA) in zagotavljamo transparentnost ter človeški nadzor.
12. Otroci in mladoletniki (člen 8 GDPR)
Varstvo otrok
Storitve Findes Group so namenjene izključno osebam, starejšim od 18 let, razen za izobraževalne vsebine Akademije, kjer je minimalna starost 16 let ob starševskem soglasju.
12.1 Politika glede mladoletnikov
- Findes Group ne zbira zavestno osebnih podatkov otrok, mlajših od 16 let.
- Za osebe med 16 in 18 leti je za storitve z finančnimi implikacijami (investicije, zavarovanje) potrebno starševsko soglasje.
- Če ugotovimo, da smo nenamerno zbrali podatke otroka, mlajšega od 16 let, jih takoj izbrišemo.
- Starši/skrbniki lahko zahtevajo pregled in izbris podatkov mladoletnika na dpo@findes.si.
13. Evidenca dejavnosti obdelave (člen 30 GDPR)
13.1 Obveznost vodenja evidence
V skladu s členom 30 GDPR Findes Group vodi pisno evidenco vseh dejavnosti obdelave osebnih podatkov. Evidenca vsebuje:
| Element evidence | Vsebina |
|---|---|
| Ime in kontaktni podatki upravljavca | Findes Marketing d.o.o. + DPO kontakt |
| Namen obdelave | Opis za vsako kategorijo obdelave |
| Kategorije posameznikov in podatkov | Stranke, zaposleni, partnerji, obiskovalci |
| Kategorije prejemnikov | Interni, pogodbeni obdelovalci, regulatorji |
| Čezmejni prenosi | Države, mehanizmi zaščite |
| Roki hrambe | Po kategorijah podatkov |
| Varnostni ukrepi | Tehnični in organizacijski ukrepi |
Evidenca je na voljo za pregled Informacijskemu pooblaščencu RS na zahtevo. Posamezniki lahko zahtevajo povzetek evidence, ki se nanaša na njihove podatke, pri DPO.
14. Varnostni incidenti in kršitve varnosti podatkov (člen 33–34 GDPR)
14.1 Postopek ob kršitvi varnosti
- Zaznava incidenta: Vsak zaposleni ali sistem za zaznavanje groženj (SIEM) sproži alarm.
- Ocena resnosti: DPO in varnostna ekipa ocenita tveganje za posameznike v 4 urah.
- Obvestilo IP RS: Če obstaja tveganje za pravice in svoboščine posameznikov — obvestilo IP RS v 72 urah od zaznave (člen 33 GDPR).
- Obvestilo prizadetim: Če obstaja visoko tveganje — neposredno obvestilo prizadetim posameznikom brez nepotrebnega odlašanja (člen 34 GDPR).
- Dokumentacija: Vsak incident se dokumentira v registru kršitev.
- Analiza po incidentu: V 30 dneh se pripravi poročilo z ugotovitvami in ukrepi za preprečitev ponovitve.
14.2 Obvestilo prizadetim posameznikom vsebuje
- Naravo kršitve varnosti osebnih podatkov.
- Kontaktne podatke DPO za dodatne informacije.
- Verjetne posledice kršitve.
- Ukrepe, ki jih je Findes Group sprejela ali namerava sprejeti.
- Priporočila za posameznike (npr. zamenjava gesla, pozornost na phishing).
15. Piškotki in sledilne tehnologije
15.1 Povzetek
Spletna stran Findes Group uporablja piškotke in podobne sledilne tehnologije. Podrobna politika piškotkov je dostopna na: Politika piškotkov.
| Vrsta piškotka | Namen | Trajanje | Privolitev potrebna? |
|---|---|---|---|
| Nujno potrebni | Delovanje spletne strani, varnost, seja | Seja / 1 leto | Ne |
| Funkcionalni | Shranjevanje preferenc, jezik | 1 leto | Da |
| Analitični | Google Analytics, statistika obiskov | 13 mesecev | Da |
| Marketinški | Ciljano oglaševanje, remarketing | 90 dni | Da |
Svojo privolitev za piškotke lahko kadarkoli spremenite ali prekličete prek Centra za piškotke na dnu vsake strani ali na Politika piškotkov.
16. Pritožba pri nadzornem organu
Če menite, da kršimo vaše pravice v zvezi z varstvom osebnih podatkov, se lahko pritožite pri pristojnem nadzornem organu:
| Organ | Pristojnost | Kontakt |
|---|---|---|
| Informacijski pooblaščenec RS (IP RS) | Slovenija — primarni nadzorni organ | www.ip-rs.si | Dunajska cesta 22, 1000 Ljubljana | tel: 01 230 97 30 |
| ICO (Information Commissioner's Office) | Združeno kraljestvo (za UK podatke) | ico.org.uk |
| KVKK | Turčija (za TR podatke) | kvkk.gov.tr |
Priporočamo
Preden vložite pritožbo pri nadzornem organu, nas kontaktirajte na dpo@findes.si. Večino zadev rešimo neposredno in hitro.
Findes Group & Partners
Datum sprejetja: 17. maj 2026
Različica: 2.0
Naslednja revizija: maj 2027
DPO: dpo@findes.si
Findes Marketing d.o.o.
Litostrojska cesta 44A, 1000 Ljubljana
info@findes.si | +386 70 774 277