Politika zasebnosti

Podana v skladu s členoma 13 in 14 Uredbe (EU) 2016/679 («GDPR») ter veljavno nacionalno zakonodajo na področju varstva osebnih podatkov.

Zadnja posodobitev · 26. april 2026

Ta prevod je zgolj informativne narave. Merodajna je italijanska različica: v primeru razhajanj ta prevlada nad tem prevodom. Odpri italijansko različico.

Ta politika («Politika») opisuje načine, na katere Rifuel («Rifuel», «mi») obdeluje osebne podatke uporabnikov («Uporabnik», «vi»), ki dostopajo do mobilne aplikacije Rifuel in z njo povezanega institucionalnega spletnega mesta ter jih uporabljajo (skupaj «Storitev»). Politika je sestavni del Pogojev storitve in velja za vsakogar, ki uporablja Storitev kot posameznik, na katerega se nanašajo osebni podatki v smislu GDPR.

1. Upravljavec

Upravljavec osebnih podatkov je Enzo Corsiero, s sedežem na naslovu Via Cesare Battisti 168, 20099 Sesto San Giovanni (MI), Italija, dosegljiv za vsako zahtevo v zvezi z varstvom podatkov na naslednjem naslovu: personal@enzocorsiero.com.

Pooblaščena oseba za varstvo podatkov («DPO») ni bila imenovana, saj niso izpolnjeni pogoji za obveznost imenovanja v skladu s členom 37 GDPR. Upravljavec kljub temu ostaja edini pristojni sogovornik za vsa vprašanja v zvezi z obdelavo.

2. Opredelitve pojmov

Če ni določeno drugače, imajo izrazi z veliko začetnico pomen, ki jim ga pripisuje GDPR. Zlasti:

  • Osebni podatek: vsaka informacija v zvezi z določeno ali določljivo fizično osebo (člen 4, točka 1, GDPR).
  • Obdelava: vsako dejanje, izvedeno v zvezi z osebnimi podatki (člen 4, točka 2, GDPR).
  • Obdelovalec: fizična ali pravna oseba, ki obdeluje osebne podatke v imenu Upravljavca (člen 4, točka 8, GDPR).
  • Posameznik, na katerega se nanašajo osebni podatki: fizična oseba, na katero se nanašajo osebni podatki.

3. Področje uporabe

Storitev je namenjena polnoletnim uporabnikom s prebivališčem v Evropskem gospodarskem prostoru («EGP»), zlasti na trgih Italije, Francije, Avstrije, Slovenije, Španije in Portugalske, ter uporabnikom s prebivališčem v Švici. Obdelava se izvaja v skladu z GDPR in, kjer je to primerno, v skladu s švicarskim zveznim zakonom o varstvu podatkov (nZVP) na podlagi priznanja ustreznosti med EU in Švicarsko konfederacijo.

4. Kategorije obdelovanih podatkov

V okviru zagotavljanja Storitve lahko Rifuel obdeluje naslednje kategorije osebnih podatkov:

  • Podatki o registraciji in identifikatorji računa: e-poštni naslov, ime in priimek (če sta posredovana prek Apple ali Google Sign-In), enolični identifikator (UUID), ki ga ustvari sistem za avtentikacijo.
  • Poverilnice za dostop: geslo, shranjeno v šifrirani obliki s kriptografsko varnimi algoritmi zgoščevanja (bcrypt) pri ponudniku storitve avtentikacije. Geslo v čitljivi obliki Upravljavcu nikoli ni dostopno.
  • Podatki o natančni geolokaciji: koordinate GPS, ki jih naprava zajame izključno, kadar je aplikacija v ospredju, z namenom izračuna razdalje do bencinskih servisov in zagotavljanja ustreznih rezultatov. Trenutne koordinate, zajete v realnem času, se ne shranjujejo na strežnikih Upravljavca.
  • Naslov prebivališča/običajnega bivališča: zemljepisna širina in dolžina kraja, ki ga Uporabnik navede kot «dom», shranjena na strežnikih Upravljavca le, če ju Uporabnik prostovoljno vnese v nastavitve profila.
  • Podatki o vozilih: naziv, vrsta goriva, prostornina rezervoarja, prijavljena poraba, kilometrina, ki jih vnese Uporabnik.
  • Podatki o polnjenjih in stroških: cena na liter, natočeni litri, znesek, kilometrina, referenčni servis, opombe, datum in ura.
  • Vsebine, ki jih ustvari Uporabnik (UGC): podatki o prijavljenih bencinskih servisih (naziv, naslov, znamka, koordinate, navedene cene, delovni čas, storitve).
  • Žeton za potisna obvestila (žeton FCM): identifikator, ki ga izda Firebase Cloud Messaging, povezan z računom Uporabnika za dostavo obvestil na napravo. Žeton je predmet postopkov menjave in usklajevanja med več napravami.
  • Nastavitve Storitve: jezik, valuta, priljubljeno gorivo, polmer iskanja, konfiguracija opozoril.
  • Tehnični in diagnostični dnevniki: podatki o infrastrukturi, potrebni za zagotavljanje varnosti, neprekinjenega delovanja in celovitosti Storitve (npr. dnevniki ponudnikov gostovanja), obdelani v skladu s pogodbenimi pogoji z njimi.

Rifuel ne obdeluje posebnih vrst podatkov v smislu člena 9 GDPR niti podatkov o kazenskih obsodbah in prekrških v smislu člena 10 GDPR.

5. Nameni in pravne podlage obdelave

Podatki se obdelujejo za spodaj navedene namene, od katerih vsak temelji na ustrezni pravni podlagi v skladu s členom 6 GDPR:

  • (a) Zagotavljanje Storitve in povezane funkcije (ustvarjanje in upravljanje računa, avtentikacija, sinhronizacija med napravami, iskanje in prikaz servisov, načrtovanje poti, beleženje polnjenj, izračun porabe). Pravna podlaga: izvajanje pogodbe, katere pogodbena stranka je Uporabnik (člen 6(1)(b) GDPR).
  • (b) Geolokacija naprave v realnem času. Pravna podlaga: izrecna privolitev Uporabnika, pridobljena prek mehanizmov za dovoljenja operacijskega sistema (člen 6(1)(a) GDPR). Privolitev je mogoče kadar koli preklicati prek nastavitev naprave.
  • (c) Pošiljanje potisnih obvestil v zvezi s Storitvijo (opozorila o cenah, tržne anomalije, prilagojeni cenovni prag). Pravna podlaga: privolitev (člen 6(1)(a) GDPR), z možnostjo izklopa v nastavitvah aplikacije ali operacijskega sistema.
  • (d) Upravljanje uporabniških prijav o bencinskih servisih in ustrezna faza pregleda/moderiranja. Pravna podlaga: izvajanje pogodbe in zakoniti interes Upravljavca za ohranjanje kakovosti in celovitosti podatkovne zbirke (člen 6(1)(b) in (f) GDPR).
  • (e) Varnost, preprečevanje goljufij, zaščita pred zlorabami (odkrivanje neobičajnih dostopov, preprečevanje napadov). Pravna podlaga: zakoniti interes Upravljavca za zagotavljanje varnosti Storitve in Uporabnikov (člen 6(1)(f) GDPR).
  • (f) Izpolnjevanje zakonskih obveznosti (odziv na zahteve organov, hramba dokumentacije, obravnava morebitnih sporov). Pravna podlaga: zakonska obveznost (člen 6(1)(c) GDPR).
  • (g) Izboljšanje Storitve z združenimi in anonimnimi analizami (statistika uporabe, ki je ni mogoče pripisati posameznim Uporabnikom). Pravna podlaga: zakoniti interes (člen 6(1)(f) GDPR).

Uporabnik lahko kadar koli ugovarja obdelavam, ki temeljijo na zakonitem interesu, in prekliče dane privolitve, pri čemer preklic ne vpliva na zakonitost obdelav, izvedenih pred preklicem.

6. Narava posredovanja podatkov

Posredovanje podatkov, ki so nujno potrebni za izvajanje pogodbe (npr. e-poštni naslov za ustvarjanje računa), je obvezno: morebitna zavrnitev pomeni nezmožnost dostopa do ustreznih funkcij Storitve. Posredovanje podatkov, za katere je potrebna privolitev (geolokacija, potisna obvestila, naslov prebivališča), je prostovoljno: zavrnitev pomeni le omejitev funkcij, ki zahtevajo te podatke, brez kakršnega koli vpliva na preostale funkcionalnosti.

7. Načini obdelave

Obdelava se izvaja z elektronskimi orodji in po logiki, strogo povezani z zgoraj navedenimi nameni, ob spoštovanju načel zakonitosti, poštenosti, preglednosti, najmanjšega obsega podatkov, točnosti, omejitve hrambe, celovitosti in zaupnosti (člen 5 GDPR). Sprejeti so ustrezni tehnični in organizacijski ukrepi, med drugim šifriranje pri prenosu (TLS), nadzor dostopa z avtentikacijo, ločevanje vlog, pravilniki Row-Level Security na ravni podatkovne zbirke in postopki varnostnega kopiranja.

8. Roki hrambe

Podatki se hranijo toliko časa, kolikor je nujno potrebno za dosego namenov, za katere so bili zbrani, in v vsakem primeru po spodaj navedenih merilih:

  • Podatki o računu in profilu: celotno obdobje pogodbenega razmerja in do trideset (30) dni od zahteve za izbris, razen če zakon določa drugače.
  • Podatki o vozilih, polnjenjih, stroških in iskanjih: do izbrisa računa ali ročne odstranitve s strani Uporabnika; v primeru prenehanja odstranjeni ali anonimizirani v tridesetih (30) dneh.
  • Koordinate GPS, zajete v realnem času: obdelane v pomnilniku in ne shranjene na strežnikih Upravljavca.
  • Žetoni FCM: hranjeni do izklopa obvestil, odstranitve aplikacije ali izbrisa računa.
  • Dnevniki obvestil: največ dvanajst (12) mesecev.
  • Prijave servisov: odobrene vsebine lahko ostanejo za nedoločen čas v obliki, ločeni od identitete prijavitelja, in se vključijo v operativno podatkovno zbirko Storitve. Zavrnjene prijave se izbrišejo v devetdesetih (90) dneh.
  • Anonimni in združeni podatki: se lahko hranijo brez časovnih omejitev, saj jih ni več mogoče pripisati določeni ali določljivi osebi.
  • Podatki, obdelani zaradi zakonskih obveznosti ali potreb obrambe v sodnem postopku: za obdobje, ki ga določa veljavna zakonodaja, oziroma do pravnomočnosti ustrezne odločbe.

9. Prejemniki in obdelovalci

Osebni podatki se ne razširjajo in se ne posredujejo tretjim osebam za namene trženja. Lahko se posredujejo naslednjim subjektom, ustrezno imenovanim za obdelovalce v skladu s členom 28 GDPR oziroma opredeljivim kot samostojni upravljavci, kadar delujejo v tej vlogi:

  • Supabase, Inc.— ponudnik platforme za avtentikacijo in podatkovno zbirko, s strežniki v Evropski uniji (Frankfurt, Nemčija) za uporabljeno instanco.
  • Vercel, Inc.— ponudnik storitve gostovanja za zaledje in spletno mesto, z izvajanjem funkcij v regiji Frankfurt (Nemčija).
  • Google LLC / Google Ireland Ltd.— ponudnik Firebase Cloud Messaging za potisna obvestila in, kadar Uporabnik to izbere, storitve Google Sign-In.
  • Apple Inc. / Apple Distribution International Ltd.— kadar Uporabnik izbere Sign in with Apple kot način avtentikacije.
  • OpenStreetMap Foundation in CARTO— ponudnika zemljevidnih ploščic. Ta subjekta prejemata le tehnične zahteve za ploščice, brez podatkov, ki neposredno identificirajo Uporabnika; kljub temu lahko obdelujeta IP-naslov povezave v skladu s svojima politikama.
  • Institucionalni subjekti, ki jim je posredovanje obvezno po zakonu, na zahtevo sodnega organa ali drugih pristojnih organov.
  • Pravni, davčni svetovalci in pooblaščeni strokovnjaki, v mejah, potrebnih za izpolnjevanje njihovih pooblastil.

10. Prenosi podatkov izven Evropskega gospodarskega prostora

Podatki se obdelujejo predvsem znotraj EGP. Če nekateri ponudniki (zlasti tisti s sedežem v Združenih državah Amerike, kot sta Google in Apple za storitve v njuni pristojnosti) izvajajo prenose izven EGP, ti potekajo na podlagi ustreznih zaščitnih ukrepov v skladu s členi 44 in nasl. GDPR, vključno, odvisno od primera, s sklepi Evropske komisije o ustreznosti (npr. EU-US Data Privacy Framework) in/ali standardnimi pogodbenimi klavzulami («SPK»), ki jih je odobrila Komisija, po potrebi dopolnjenimi z dodatnimi ukrepi. Kopijo zaščitnih ukrepov je mogoče zahtevati pri Upravljavcu s pisnim zaprosilom na naslov, naveden v §1.

11. Pravice posameznika

Kot posameznik, na katerega se nanašajo osebni podatki, lahko kadar koli, brezplačno in na olajšan način uveljavljate pravice iz členov 15 do 22 GDPR, zlasti pravico do:

  • dostopa do osebnih podatkov in informacij iz člena 15 GDPR;
  • popravka netočnih podatkov in dopolnitve nepopolnih (člen 16 GDPR);
  • izbrisa(«pravica do pozabe») v skladu s členom 17 GDPR; izbris računa je na voljo neposredno v aplikaciji;
  • omejitve obdelave v primerih iz člena 18 GDPR;
  • prenosljivosti posredovanih podatkov v strukturirani, splošno uporabljani in strojno berljivi obliki (člen 20 GDPR);
  • ugovora obdelavi, ki temelji na zakonitem interesu, tudi iz razlogov, povezanih z osebnim položajem (člen 21 GDPR);
  • preklica privolitve kadar koli, brez poseganja v zakonitost obdelave, ki je temeljila na privolitvi, dani pred preklicem (člen 7(3) GDPR).

Zahteve je mogoče nasloviti na personal@enzocorsiero.com. Upravljavec bo na zahtevo odgovoril brez nepotrebnega odlašanja in v vsakem primeru v enem (1) mesecu od prejema, kar je mogoče podaljšati za dodatna dva (2) meseca v primerih posebne zapletenosti.

12. Pritožba pri nadzornem organu

Brez poseganja v katero koli drugo upravno ali sodno sredstvo ima posameznik, ki meni, da je obdelava nezakonita, pravico vložiti pritožbo pri pristojnem nadzornem organu: v Italiji pri Garante per la protezione dei dati personali (www.garanteprivacy.it), oziroma pri organu svoje države članice prebivališča ali kraja domnevne kršitve (člen 77 GDPR).

13. Mladoletniki

Storitev ni namenjena mladoletnikom, mlajšim od šestnajst (16) let. Upravljavec zavestno ne zbira osebnih podatkov oseb, mlajših od meje, določene v členu 8 GDPR in nacionalni zakonodaji za prenos (v Italiji štirinajst (14) let v skladu s členom 2-quinquies zakonske uredbe 196/2003). Če Upravljavec izve za obdelavo, ki se nanaša na podatke mladoletnikov, jih bo nemudoma izbrisal, razen če je bila dana privolitev nosilca starševske odgovornosti.

14. Varnost podatkov

Sprejeti so ustrezni tehnični in organizacijski ukrepi za zagotovitev ravni varnosti, primerne tveganju (člen 32 GDPR), med njimi:

  • šifriranje podatkov pri prenosu s protokoli TLS 1.2 ali novejšimi;
  • hramba gesel z robustnimi kriptografskimi algoritmi zgoščevanja;
  • nadzor dostopa na podlagi vlog in pravilniki Row-Level Security;
  • avtentikacija prek OAuth 2.0 s tokovi PKCE za tretje ponudnike;
  • shranjevanje sejnega žetona v varno shrambo na ravni operacijskega sistema;
  • postopki varnostnega kopiranja, spremljanja in obnovitve;
  • procesi upravljanja ranljivosti in odzivanja na incidente.

V primeru kršitve varstva osebnih podatkov («data breach»), ki lahko povzroči tveganje za pravice in svoboščine fizičnih oseb, bo Upravljavec izpolnil obveznosti uradnega obveščanja nadzornega organa (člen 33 GDPR) in po potrebi sporočanja posameznikom (člen 34 GDPR) v zakonskih rokih.

Mobilna aplikacija ne uporablja piškotkov v tehničnem pomenu, kot ga opredeljuje Direktiva 2002/58/ES s poznejšimi spremembami, niti orodij za profiliranje tretjih oseb za namene trženja. Institucionalno spletno mesto ne namešča analitičnih piškotkov niti piškotkov za sledenje; uporabljajo se izključno morebitni tehnični identifikatorji, nujno potrebni za delovanje strani, ki so oproščeni obveznosti privolitve v skladu s členom 5(3) Direktive o e-zasebnosti in smernicami Garanteja.

V skladu z okvirom App Tracking Transparency družbe Apple Rifuel izjavlja, da ne izvaja sledenja Uporabnika med aplikacijami in spletnimi mesti tretjih oseb; posledično se v skladu s politikami Apple ne prikaže noben poziv ATT.

16. Avtomatizirano odločanje in profiliranje

Upravljavec ne izvaja v celoti avtomatiziranih postopkov odločanja, vključno s profiliranjem, ki bi imeli pravne učinke ali podobno pomembno vplivali na Uporabnika v smislu člena 22 GDPR. Morebitne statistične obdelave in računski algoritmi (npr. določanje ugodnih servisov ali opozoril o cenovnih anomalijah) imajo zgolj informativno funkcijo in ne vplivajo na pravni položaj Uporabnika.

17. Spremembe Politike

Upravljavec si pridržuje pravico, da to Politiko posodobi, da bo odražala normativne, tehnične ali organizacijske spremembe. Veljavna različica je vedno na voljo v aplikaciji in na institucionalnem spletnem mestu, z navedbo datuma zadnje posodobitve. V primeru bistvenih sprememb bo Uporabnik pravočasno obveščen prek Storitve ali s sporočilom na e-poštni naslov ob registraciji.

18. Stik

Za vsako informacijo, zahtevo ali uveljavljanje pravic iz §11 lahko Uporabnik stopi v stik z Upravljavcem na naslovu: personal@enzocorsiero.com.