← Vsi članki
GDPR

EU regulativa za spletne strani 2026: GDPR, DSA, EAA in več

16. april 20268 min branja
Avtor: Matej Spevan / CreateAI. Članek temelji na praktičnih SEO, GEO in AI implementacijah za slovenska podjetja.

Vaša spletna stran mora biti skladna ne le z GDPR, ampak s šestimi različnimi EU regulativami v 2026. Vsaka ima svoje zahteve, roke in kazni. Mnogi slovenski lastniki spletnih strani vedo za GDPR, redki pa za DSA, EAA ali NIS2 – vendar so vse že v veljavi. Tukaj je sistematični pregled vsega, kar mora vaša stran imeti urejeno.

Pregled vseh EU regulativ za spletne strani

V 2026 je za slovenske spletne strani relevantnih šest glavnih EU regulativ:

Regulativa Velja od Kdo zavezuje Maksimalna kazen
GDPR (2016/679) maj 2018 Vsi z obdelavo EU podatkov 20M EUR / 4 % prometa
ePrivacy (2002/58) 2002, posodobitev 2009 Vsi s piškotki 20M EUR / 4 % prometa
DSA (2022/2065) feb 2024 Posredniške storitve 6 % globalnega prometa
EAA (2019/882) jun 2025 E-commerce, finance, mediji Določa vsaka država
NIS2 (2022/2555) okt 2024 Srednja+velika v kritičnih sektorjih 10M EUR / 2 % prometa
E-Commerce direktive (2000/31 + 2011/83) dolgoletna Spletne trgovine Določa vsaka država

V Sloveniji nadzira Informacijski pooblaščenec (IP RS) za GDPR in ePrivacy. Druge regulative nadzirajo različni organi.

1. GDPR – Splošna uredba o varstvu podatkov

Velja od: 25. maja 2018 Slovenska implementacija: ZVOP-2

GDPR je najbolj poznana in najbolj pogosto kršena. Zahteva, da vsaka obdelava osebnih podatkov rezidentov EU ima pravno podlago.

Najpomembnejše zahteve:

1. Pravna podlaga (člen 6). Vsaka obdelava potrebuje eno od šestih pravnih podlag (privolitev, pogodba, pravna obveznost, vitalni interesi, javna naloga, legitimni interesi).

2. Politika zasebnosti (člen 13). Vidna, razumljiva politika z vsemi 10 obveznimi elementi.

3. Pravice posameznikov. Dostop, popravek, izbris, omejitev, prenosljivost, ugovor – vse v 30 dneh.

4. Prijava varnostnih incidentov. V 72 urah IP RS, eventualno tudi posameznikom.

5. DPO. Za javne organe in podjetja, ki obsežno obdelujejo občutljive podatke.

6. Prenosi v tretje države. Adequacy decision (ZDA: Data Privacy Framework), SCC ali BCR.

Najpogostejše kršitve v Sloveniji:

  • Politika zasebnosti iz interneta brez prilagoditve
  • Nalaganje GA/Pixel pred privolitvijo
  • Manjkajoče DPA z obdelovalci
  • Newsletter brez ločene privolitve
  • Manjkajoča evidenca obdelav

Podrobni 12-točkovni GDPR test in brezplačni audit →

2. ePrivacy direktiva – Piškotki

Velja od: 2002, posodobitev 2009 Slovenska implementacija: ZVOP-2 + ZEKom-2

ePrivacy je "starejši brat" GDPR, ki regulira piškotke in elektronske komunikacije.

Najpomembnejše zahteve:

1. Privolitev pred nalaganjem nebistvenih piškotkov. Aktivno dejanje, ne pre-checked checkboxi.

2. Granularne kategorije. Uporabnik mora moči odobriti ali zavrniti vsako kategorijo posebej (nujni, funkcionalni, analitični, oglaševalski, družbeni).

3. "Zavrni vse" enako vidno kot "Sprejmi vse". Dark patterns prepovedani.

4. Politika piškotkov. Detajlni seznam vseh piškotkov z imenom, namenom, trajanjem, upravljavcem.

5. Trajanje privolitve. Priporočena obnova vsakih 12 mesecev.

6. Evidenca privolitev. Kdaj, kaj, kateri uporabnik.

Najpogostejše kršitve:

  • "Sprejmi vse" gumb svetlejši/večji od "Zavrni vse"
  • GA naložen pred privolitvijo
  • Cookie wall (blokiranje dostopa do strani)
  • Brez detajlne politike piškotkov

Cookie banner brezplačni generator →

3. DSA – Zakon o digitalnih storitvah

Velja od: 17. februarja 2024 Slovenski nadzor: AKOS (Agencija za komunikacijska omrežja in storitve)

DSA je novejša regulativa, ki je v 2024 spremenila pravila za vse posredniške storitve – od hostinga do socialnih medijev.

Kdo mora upoštevati:

  • Vsi posredniški spletni servisi (hosting, marketplaces, social media)
  • Dodatne obveznosti za VLOP/VLOSE (45+ milijonov EU uporabnikov)

Najpomembnejše zahteve za majhne strani:

1. Kontaktna točka za organe. Email naslov, ki ga lahko organi kontaktirajo.

2. Mehanizem za prijavo nezakonitih vsebin. Gumb ali obrazec, kjer lahko uporabniki prijavijo vsebine, ki kršijo zakon.

3. Transparentnost algoritmov. Če uporabljate algoritmično priporočanje vsebin, opišite, kako deluje.

4. Razkritje oglasov. Plačani vsebinski elementi morajo biti jasno označeni kot oglasi.

Posebej za marketplaces:

  • KYC (Know Your Customer) – preveri identiteto vsakega prodajalca
  • Sledljivost poslovnih uporabnikov
  • Prijava sumljivih vzorcev organom

Kazni:

  • Do 6 % globalnega letnega prometa
  • Za sistemske kršitve: prepoved opravljanja storitev v EU

4. EAA – Evropski akt o dostopnosti

Rok skladnosti: 28. junij 2025 (zasebni sektor) Slovenska implementacija: Zakon o dostopnosti

EAA je morda najmanj poznana, vendar najbolj impactna za e-commerce v 2025-2026.

Kdo mora upoštevati:

  • Spletne trgovine (e-commerce)
  • Bančne storitve online
  • E-knjige in e-bralniki
  • Avdiovizualne medijske storitve
  • Transportne storitve (ticketing)

Izjeme:

  • Mikropodjetja (< 10 zaposlenih, < 2M EUR letnega prometa) – za nekatere zahteve
  • Nesorazmerno breme – z dokumentirano utemeljitvijo

WCAG 2.1 AA zahteve:

Zaznavanje (Perceivable):

  • Alt tekst za vse pomembne slike
  • Podnapisi za vse video vsebine
  • Barvni kontrast min. 4.5:1 za normalno besedilo, 3:1 za velika
  • Besedilo povečljivo do 200 % brez izgube funkcionalnosti

Upravljanje (Operable):

  • Polna navigacija s tipkovnico (Tab, Enter, ESC)
  • Brez migetanja, ki bi povzročilo epileptične napade
  • Dovolj časa za branje (možnost podaljšanja)
  • Skip navigation linki

Razumljivost (Understandable):

  • Jezik strani določen (<html lang="sl">)
  • Jasne napake v obrazcih z navodili za popravek
  • Konsistentna navigacija po spletni strani

Robustnost (Robust):

  • Veljavna HTML semantika
  • ARIA oznake kjer potrebno
  • Združljivost z asistivnimi tehnologijami

Orodja za testiranje:

  • WAVE (wave.webaim.org) – brezplačno
  • axe DevTools – Chrome extension, brezplačno
  • Lighthouse – Chrome DevTools, brezplačno
  • Siteimprove Accessibility Checker – plačljivo

Kazni:

Določa vsaka država. V Sloveniji zakon predvideva globe od 1.000 do 100.000 EUR glede na velikost podjetja in resnost kršitve.

5. NIS2 – Varnost omrežij in informacij

Velja od: 18. oktobra 2024 Slovenska implementacija: ZInfV-1

NIS2 zadeva predvsem srednja in velika podjetja v kritičnih sektorjih.

Kdo mora upoštevati:

  • Srednja podjetja (50-250 zaposlenih) in velika (250+) v kritičnih sektorjih:
    • Energetika
    • Transport
    • Zdravstvo
    • Finance
    • Pitna voda
    • Digitalna infrastruktura (hosting, cloud, CDN)
    • Javna uprava
    • Vesoljska infrastruktura

Za "navadne" spletne strani:

NIS2 ni direktna obveznost. Vendar:

  • Hosting/cloud ponudniki so zavezani
  • Vsako podjetje mora preveriti svojega ponudnika
  • Pogodba mora vsebovati varnostne klavzule

Osnovne varnostne prakse (priporočene vsem):

  • HTTPS obvezen
  • Redne varnostne posodobitve CMS
  • Močna gesla + 2FA za admin
  • Avtomatske varnostne kopije
  • Penetracijski testi (za zavezance)
  • Prijava incidentov v 24 urah (za zavezance)

Kazni:

  • Do 10M EUR ali 2 % globalnega prometa
  • Osebna odgovornost direktorjev (lahko prepoved opravljanja funkcije)

6. E-Commerce direktive

Velja: dolgoletna Direktive: 2000/31/ES + 2011/83/EU (Consumer Rights)

Za spletne trgovine.

Obvezne informacije (člen 5):

  • Polno ime in naslov podjetja
  • Email + telefon
  • Matična številka + davčna številka
  • Pristojni nadzorni organ
  • Poklicne organizacije (kjer relevantno)

Cene in plačila:

  • Vse cene z DDV
  • Stroški dostave navedeni pred nakupom
  • Skupna cena pred potrditvijo

Pravica do odstopa (14 dni):

Kupec ima pravico odstopiti od pogodbe v 14 dneh brez navedbe razloga.

ROK: 14 dni od prejema blaga
POVRAČILO: v 14 dneh od prejema vrnjenega blaga
STROŠKI VRAČILA: na kupca (razen če drugače določeno)

Izjeme od pravice do odstopa:

  • Pokvarljivo blago
  • Digitalna vsebina (takoj po aktivaciji z eksplicitno privolitvijo)
  • Posebej prilagojen produkt
  • Zapečatena avdio/video/programska oprema (odprta)

Akcijski načrt: kako biti skladen z vsemi regulativami

Sistematični pristop, urejen po prioriteti:

Faza 1: Osnova (1-2 tedna)

Cilj: Pokriti GDPR in ePrivacy – največja kazenska tveganja.

  • SSL certifikat aktiven
  • Politika zasebnosti pripravljena (vseh 10 GDPR elementov)
  • Cookie banner skladen (Zavrni vse = Sprejmi vse vidno)
  • GA in tracking ne nalagajo pred privolitvijo
  • DPA podpisane s ključnimi obdelovalci (hosting, email, GA)
  • Process za zahteve posameznikov

Brezplačna orodja:

Faza 2: DSA (1 teden)

Cilj: Skladnost s pravili za posredniške storitve.

  • Kontaktna točka za organe (email v footer-ju)
  • Mehanizem za prijavo nezakonitih vsebin (obrazec)
  • Razkritje oglasov
  • Transparentnost algoritmov (če uporabljate priporočanje)

Faza 3: EAA dostopnost (2-4 tedne)

Cilj: WCAG 2.1 AA skladnost za e-commerce in regulirane sektorje.

  • WAVE / Lighthouse audit
  • Alt teksti za slike
  • Barvni kontrast (4.5:1)
  • Keyboard navigation
  • Jezik strani določen
  • ARIA oznake
  • Izjava o dostopnosti na spletni strani

Faza 4: E-Commerce direktive (1 teden, samo za trgovine)

  • Obvezne informacije v footer-ju
  • Cene z DDV
  • Stroški dostave pred nakupom
  • Postopek odstopa v 14 dneh dokumentiran
  • Obrazec za reklamacije

Faza 5: NIS2 (samo zavezanci)

  • Audit varnostnih ukrepov
  • Postopek za incidente (24h prijava)
  • Imenovan varnostni koordinator
  • Redni penetracijski testi

Brezplačno orodje za celostni EU compliance audit

Naše orodje EU Compliance Check preveri skladnost z vsemi šestimi regulativami:

  1. Vstavite URL spletne strani
  2. Orodje skenira:
    • GDPR temelje (politika, banner, tracking)
    • DSA elemente (kontaktna točka, mehanizem prijav)
    • EAA dostopnost (WCAG 2.1 AA test)
    • E-commerce zahteve (če e-commerce spletna stran)
  3. V 2 minutah dobite:
    • Compliance Score po vsaki regulativi
    • Skupni risk score
    • Konkretne kršitve s prioriteto
    • PDF poročilo za interne ali zunanje deležnike

Začnite na createai.si/orodja/eu-compliance.

Pogosta vprašanja o EU regulativi

Ali vse regulative veljajo za malo slovensko podjetje? GDPR in ePrivacy: vedno. DSA in EAA: odvisno od tipa storitve. NIS2: samo srednja+velika v kritičnih sektorjih. E-commerce direktive: samo za trgovine.

Kolikšne so realne kazni v Sloveniji? Manjše kršitve: 1.000-30.000 EUR. Resne kršitve: 30.000-100.000 EUR za majhna podjetja. Maksimumi (milijoni) so redko izrečeni in običajno za sistemske kršitve velikih podjetij.

Ali rabim pravnega svetovalca za EU compliance? Za standardne spletne strani ne. Brezplačna orodja + dober self-audit pokrijejo 90 %. Za kompleksne (financne storitve, zdravstvo, scale-up s tisočimi uporabniki) priporočamo strokovno pomoč.

Kdaj velja EAA za moj e-commerce? Skladnost je obvezna od 28. junija 2025. Mikropodjetja so delno izvzeta, vendar morajo še vedno imeti osnovne dostopnostne elemente.

Kaj je razlika med GDPR in ePrivacy? GDPR je o osebnih podatkih na splošno. ePrivacy je o piškotkih in elektronskih komunikacijah specifično. Oba veljata istočasno. Cookie banner pokriva ePrivacy, politika zasebnosti pokriva GDPR.

Ali rabim DPO za moj spletna stran? DPO je obvezen samo za javne organe in podjetja, ki obsežno obdelujejo občutljive podatke. Tipičen B2B SaaS ali e-commerce ne potrebuje DPO.

Kako pogosto naj preverjam skladnost? Najmanj enkrat letno. Boljše: ob vsaki spremembi (nov tool, nov obdelovalec, nov produkt). Avtomatizirana orodja za mesečno spremljanje so priporočena.

Zaključek

EU regulativa za spletne strani ni statična – v 2024-2025 so dodali DSA, EAA, NIS2. V 2026 prihaja AI Act, ki bo regulirano tudi AI sisteme.

Sistematični pristop:

  1. Pokrijte GDPR + ePrivacy temelje (največje tveganje)
  2. Dodajte DSA elemente (preprosto)
  3. Implementirajte EAA dostopnost (najbolj kompleksno, vendar obvezno za e-com)
  4. Vsako leto preverite, ali so prišle nove regulative

Začnite z brezplačnim EU Compliance Check na createai.si/orodja/eu-compliance. V 2 minutah ugotovite, kje stojite po vseh šestih regulativah.

Za polno EU compliance svetovanje (audit, dokumentacija, implementacija), stopite v stik – pomagamo slovenskim podjetjem zagotoviti polno skladnost brez stresa.

Opozorilo: Ta članek je informativen. Ne predstavlja pravnega svetovanja. Za pravno zavezujoče primere se posvetujte s pravnim svetovalcem ali certificiranim DPO.

🛠 Uporabite orodje, ki spremlja ta vodič

EU Compliance Check — brezplačno orodje, ki implementira priporočila iz tega članka.

Odprite EU Compliance Check

Sorodni članki

GDPR
NIS2 direktiva v Sloveniji: Ali vaša spletna stran ustreza novim varnostnim standardom?
Kaj prinaša evropska NIS2 direktiva za slovenska podjetja? Spoznajte ključne varnostne zahteve za spletne strani in kako preprečiti astronomske globe.
GDPR
Ali je vaša spletna stran GDPR skladna? 12-točkovni test (2026)
Sistematični test GDPR skladnosti za slovensko spletno stran. 12 ključnih točk, kazni in brezplačno orodje za preverjanje.
GDPR
GDPR skladen cookie banner v Sloveniji: kompletni vodič 2026
Kako narediti pravilen cookie banner za slovensko spletno stran. GDPR + ePrivacy zahteve, primeri, knjižnice in brezplačni generator.

Potrebujete pomoč pri implementaciji?

Brezplačen 30-minutni posvet z našo ekipo.

Brezplačen posvet →