← Vsi članki
GDPR

Ali je vaša spletna stran GDPR skladna? 12-točkovni test (2026)

12. marec 20268 min branja
Avtor: Matej Spevan / CreateAI. Članek temelji na praktičnih SEO, GEO in AI implementacijah za slovenska podjetja.

GDPR ni nova regulativa. Velja od maja 2018. Vendar po nedavnem auditu Informacijskega pooblaščenca je več kot 60 % slovenskih spletnih strani še vedno tehnično nesklajenih. Razlogi? Pogosto manjše stvari, ki jih lastniki ne opazijo. Tukaj je sistematični test – 12 točk, ki morajo biti rešene, da ste resnično GDPR compliant.

Kaj je GDPR in zakaj je pomemben?

GDPR (Splošna uredba EU 2016/679) je evropska regulativa o varstvu osebnih podatkov, ki velja za vse, ki obdelujejo podatke rezidentov EU – ne glede na lokacijo podjetja. V Sloveniji jo dopolnjuje Zakon o varstvu osebnih podatkov (ZVOP-2). Kazni za neskladnost dosegajo 20 milijonov evrov ali 4 % globalnega prometa.

V 2024-2025 je IP RS znatno povečal aktivnost. Manjše slovenske kazni se vrtijo med 5.000 in 50.000 evrov, vendar so se zgodile tudi kazni nad 100.000 evrov za večja podjetja.

12-točkovni GDPR test za spletno stran

Sistematični pregled, ki ga lahko izvedete na vaši strani v 60 minutah. Vsaka točka je obvezna.

Točka 1: HTTPS / SSL certifikat

Zahteva: Vsa komunikacija mora biti šifrirana.

Preverjanje:

  • URL vaše strani se začne z https:// (ne http://)
  • Brskalnik ne pokaže opozorila "Not secure"
  • Vsi viri (slike, JS, CSS) so prek HTTPS

Kazen: Tehnično ni direktna kazen za manjkajočo HTTPS, vendar IP RS to obravnava kot pomanjkanje "ustreznih tehničnih ukrepov" po členu 32 – kazen do 10M EUR.

Rešitev: Naložite SSL certifikat. Lahko brezplačno z Let's Encrypt (preko hosterja) ali plačljivo z DigiCert.

Točka 2: Politika zasebnosti

Zahteva: Vidna, razumljiva, popolna politika zasebnosti.

Preverjanje:

  • Politika obstaja na dostopnem URL-ju (npr. /politika-zasebnosti)
  • Povezava v footer-ju vsake strani
  • Vsebuje vseh 10 elementov GDPR (glej našo vodič za politiko zasebnosti)
  • Datum zadnje posodobitve viden

Tipične napake:

  • Generična politika iz interneta brez prilagoditve
  • Manjkajoča pravna podlaga za vsako obdelavo
  • Pozabljena tretja stranka (npr. Mailchimp se uporablja, vendar ni v politiki)

Točka 3: Cookie banner

Zahteva: GDPR + ePrivacy skladen banner za nebistvene piškotke.

Preverjanje:

  • Banner se pojavi pred nalaganjem nebistvenih piškotkov
  • "Zavrni vse" enako vidno kot "Sprejmi vse"
  • Granularne preference (po kategorijah)
  • Trajno dostopen "Cookie preferences" link

Pogosta napaka: Google Analytics se naloži takoj, ko obiščete stran, banner pa je zgolj kozmetičen.

Test: Odprite stran v incognito načinu, odprite DevTools → Network. Preverite, ali se piškotki/skripte za GA, Pixel, ipd. naložijo PRED kliki na banner. Če da → nesklajeno.

Točka 4: Pravna podlaga za vsako obdelavo

Zahteva: Vsaka obdelava osebnih podatkov mora imeti dokumentirano pravno podlago iz člena 6.

Preverjanje: Za vsako od teh obdelav imate pravno podlago?

  • Kontaktni obrazec (običajno: privolitev ali legitimni interes)
  • Newsletter prijava (privolitev)
  • Spletno naročilo (pogodba)
  • Spletni piškotki (privolitev, razen nujnih)
  • Direktni marketing obstoječih strank (legitimni interes)

Dokumentacija: Imate Evidenco dejavnosti obdelave (Record of Processing Activities, ROPA)? Po členu 30 GDPR je obvezna za podjetja z 250+ zaposlenimi, vendar priporočena za vse.

Točka 5: Mehanizem za uveljavljanje pravic posameznika

Zahteva: Posameznik mora imeti enostaven način, da uveljavlja svoje pravice.

Preverjanje:

  • Email naslov za zahteve (npr. privacy@vasepodjetje.si)
  • Obrazec na strani za zahteve (priporočljivo)
  • Notranji proces za odgovore v 30 dneh
  • Identifikacijski postopek (kako preverite, da je oseba res tisti, za kogar se izdaja)

Pravice, na katere morate biti pripravljeni odgovoriti:

  1. Dostop do podatkov (kopija)
  2. Popravek napačnih podatkov
  3. Izbris ("pravica do pozabe")
  4. Omejitev obdelave
  5. Prenosljivost (izvoz)
  6. Ugovor (npr. proti marketingu)

Rok odgovora: 30 dni (1 mesec), z možnostjo podaljšanja za 2 meseca pri kompleksnih zahtevah.

Točka 6: Privolitev za marketing

Zahteva: Email marketing in oglaševanje zahteva eksplicitno privolitev.

Preverjanje:

  • Pri prijavi na newsletter je predhodno nedovoljen checkbox (ne predhodno označen!)
  • Privolitev za marketing je ločena od privolitve za druge obdelave
  • Obstaja preprosta možnost odjave (unsubscribe v vsakem emailu)
  • Vodi se evidenca privolitev (kdo, kdaj, na kaj)

Pogosta napaka: "S prijavo na newsletter se strinjate z vsem v naših pogojih" – ne velja. Privolitev mora biti specifična.

Točka 7: Tretje stranke in obdelovalci podatkov

Zahteva: Vsaka tretja stranka, ki obdeluje vaše podatke, mora imeti podpisano DPA (Data Processing Agreement).

Preverjanje: Imate podpisane pogodbe z:

  • Hosterjem (kjer gostite spletno stran)
  • Email storitvijo (Mailchimp, Resend, Sendinblue)
  • Analitiko (Google Analytics – Google ponuja DPA)
  • CRM (HubSpot, Pipedrive – ponujajo DPA)
  • Plačilnim procesorjem (Stripe, PayPal)
  • Cloud storitvami (AWS, Google Cloud, Azure)
  • Računovodjem (zunanji)
  • Marketing agencijo (če uporabljate)

Standard DPA vsebuje:

  • Vlogi (upravljavec vs obdelovalec)
  • Cilji in trajanje obdelave
  • Tehnični in organizacijski ukrepi
  • Posledice kršitev
  • Pravica do nadzora

Točka 8: Prenosi v tretje države

Zahteva: Prenosi podatkov izven EU/EGP morajo imeti pravni temelj.

Najpogostejši primeri:

  • Google Analytics → ZDA
  • Mailchimp → ZDA
  • Meta Pixel → ZDA
  • AWS hosting v US regiji → ZDA
  • Cloudflare → ZDA / globalno

Pravni mehanizmi:

  1. Adequacy decision (EU komisija je razglasila, da država ima primerno zaščito)

    • ZDA: Data Privacy Framework (od 10. julija 2023)
    • Ostale države: Združeno Kraljestvo, Švica, Kanada, itd.

  2. Standardne pogodbene klavzule (SCCs)

    • Standardni dokument EU komisije
    • Velja za podjetja, ki niso v DPF

  3. Binding Corporate Rules (BCR)

    • Za globalne korporacije

V politiki zasebnosti mora biti razkriton vsak prenos in pravna podlaga.

Točka 9: Varnostni ukrepi (člen 32)

Zahteva: Ustrezni tehnični in organizacijski ukrepi za zaščito podatkov.

Tehnični ukrepi:

  • HTTPS
  • Šifriranje baz podatkov (at rest encryption)
  • Šifriranje varnostnih kopij
  • Močna gesla + 2FA za admin dostope
  • Redne posodobitve CMS in plugin-ov
  • Firewall in DDoS zaščita
  • Backup strategija

Organizacijski ukrepi:

  • Dostop omejen na "need to know"
  • Politika varovanja podatkov (interno)
  • Usposabljanje zaposlenih
  • Postopek ob varnostnem incidentu

Točka 10: Prijava varnostnih incidentov (člen 33)

Zahteva: Ob kršitvi varnosti morate v 72 urah obvestiti IP RS in eventualno tudi posameznike.

Postopek:

  1. Zaznava incidenta (ali sumi nanj)
  2. Triaža – kakšen je obseg, kdo je prizadet
  3. V 72 urah prijava IP RS preko obrazca na ip-rs.si
  4. Če visoko tveganje → obvestilo posameznikom
  5. Evidenca incidenta (interna)

Pomembno: Tudi če incident ni javen, morate imeti interno evidenco kršitev. IP RS lahko zahteva pregled.

Točka 11: DPO – Pooblaščena oseba za varstvo podatkov

Zahteva: DPO je obvezen v specifičnih primerih.

Obvezno za:

  • Javne organe
  • Podjetja, ki sistematično obsežno spremljajo posameznike (CCTV, sledilne aplikacije)
  • Podjetja, ki obsežno obdelujejo občutljive podatke (zdravstveni, biometrični, kazenski podatki)

NI obvezno za:

  • Tipično e-commerce
  • Marketing agencije
  • Spletne strani majhnih podjetij
  • SaaS s standardnimi B2B podatki

Tudi če ni obvezno, je priporočeno za podjetja z 20+ zaposlenimi.

Če imate DPO, mora biti njegov kontakt javno dostopen (v politiki zasebnosti).

Točka 12: Politika hrambe podatkov

Zahteva: Ne hranite podatkov dlje, kot je potrebno.

Priporočeni roki:

Tip podatkov Rok hrambe Pravna podlaga
Newsletter Do odjave Privolitev
Kontaktni obrazec 2 leti Privolitev / legitimni interes
Naročila (kupec) 5 let po nakupu Pogodba + civilna zastaranja
Računovodski zapisi 10 let Zakon o davčnem postopku
Spletni dnevniki (logs) 3-6 mesecev Legitimni interes
Piškotki analitike 14 mesecev Privolitev
CV / kandidati 1 leto Privolitev
Kadrovski podatki 5 let po zaposlitvi Pogodba + zakon

Avtomatizacija je ključ: Sistemi morajo avtomatsko brisati podatke po preteku roka. Ročno preverjanje ne deluje za scale.

Brezplačno orodje za GDPR audit

Manualni 12-točkovni test traja 60 minut na spletna stran. Naše GDPR Compliance Checker ga avtomatizira:

  1. Vstavite URL vaše spletne strani
  2. Orodje skenira:
    • SSL prisotnost
    • Politiko zasebnosti (obstoj, struktura)
    • Cookie banner (dark patterns, "Zavrni" položaj)
    • Tretje stranke v kodi
    • Prenose v tretje države
    • Schema strukture
  3. V 90 sekundah dobite:
    • Compliance Score (0-100)
    • Točka-po-točki rezultat za 12 testov
    • Konkretni problemi
    • Akcijski načrt z prioritetami

Začnite na createai.si/orodja/gdpr-check. Brezplačno za 1 spletno stran na mesec.

Kazni v Sloveniji – realni primeri

Iz nedavnih IP RS odločb:

Primer 1: Marketing agencija (2024) – kazen 8.000 EUR za nepravilno cookie banner (manjkajoč "Zavrni vse" gumb) in pomanjkljivo politiko zasebnosti.

Primer 2: E-commerce shop (2024) – kazen 15.000 EUR za nalaganje Facebook Pixel pred privolitvijo in pomanjkljivo evidenco DPO obvestil.

Primer 3: B2B SaaS (2025) – kazen 35.000 EUR za prenos podatkov v ZDA brez ustrezne pravne podlage in pomanjkanje DPA z obdelovalci.

Primer 4: Klinika (2025) – kazen 75.000 EUR za nepravilno obdelavo zdravstvenih podatkov in manjkajoč DPO.

Vzorec: kazni so realne, vendar manjše od europskih maksimumov. Praksa IP RS je proporcionalna velikosti podjetja in resnosti kršitve.

Najpogostejše napake slovenskih spletnih strani

Iz auditov 500+ slovenskih spletnih strani v 2024-2025:

  1. Politika zasebnosti iz interneta brez prilagoditve – 45 % spletnih strani
  2. Cookie banner brez "Zavrni vse" – 40 %
  3. GA/Pixel naložen pred privolitvijo – 38 %
  4. Manjkajoča DPA z hosterjem ali email storitvijo – 60 %
  5. Newsletter brez ločene privolitve – 35 %
  6. Manjkajoča evidenca obdelav – 70 %
  7. Politika zasebnosti samo v angleščini – 15 %
  8. Brez procesa za uveljavljanje pravic – 50 %

Pogosta vprašanja o GDPR skladnosti

Ali GDPR velja za moje malo podjetje? Da. GDPR velja za vsako podjetje, ki obdeluje podatke EU rezidentov, ne glede na velikost. Edini izjemi sta pure-domestic obdelava brez tretjih strank (skoraj neobstoječa) ali popolnoma offline biznis.

Kolikšne so realne kazni za majhno podjetje? V Sloveniji: tipično 1.000-30.000 EUR za manjše kršitve. Vendar tudi reputacijska škoda. IP RS objavlja odločbe javno.

Ali rabim odvetnika za GDPR pripravo? Ne vedno. Za standardne situacije so brezplačni generatorji + dober self-audit dovolj. Za kompleksne primere (zdravstvo, financne storitve, scale-up s tisočimi uporabniki) priporočamo strokovni pregled.

Kako pogosto naj preverjam GDPR skladnost? Najmanj enkrat letno. Boljše: ob vsaki večji spremembi strani, novem tool-u ali novi obdelavi podatkov.

Ali moramo registrirati naše obdelave pri IP RS? Ne. Po novi GDPR ureditvi (2018+) ni več prijavne obveznosti. Vendar morate imeti interno evidenco obdelav (ROPA).

Ali GDPR velja za B2B kontakte? Da, če je oseba identifikabilna (npr. ime@podjetje.si). Pravna oseba sama (podjetje) ni pokrita, vendar njeni zaposleni so.

Kaj če prejmemo zahtevo posameznika in nimamo procesa? Nujno postavite proces. Brez odgovora v 30 dneh imate sa**ma kršitev. IP RS pogosto začne s pritožbo posameznika.

Zaključek

GDPR skladnost ni enkraten projekt – je trajen proces. Spreminja se z vašim biznisom: nov tool, nova tretja stranka, novi obrazci, vse zahteva ažuriranje.

Začnite zdaj z brezplačnim GDPR Compliance Check na vašo spletno stran. V 90 sekundah ugotovite, kje stojite. Za kompleksne audite ali pripravo polne GDPR dokumentacije, stopite v stik – pomagamo slovenskim podjetjem zagotoviti polno pravno skladnost brez stresa.

Opozorilo: Ta članek je informativen in ne predstavlja pravnega svetovanja. Za pravno zavezujoče primere se posvetujte s pravnim svetovalcem ali certificiranim DPO.

🛠 Uporabite orodje, ki spremlja ta vodič

GDPR Compliance Check — brezplačno orodje, ki implementira priporočila iz tega članka.

Odprite GDPR Compliance Check

Sorodni članki

GDPR
EU regulativa za spletne strani 2026: GDPR, DSA, EAA in več
Kompletni vodič po EU regulativah za slovenske spletne strani: GDPR, ePrivacy, DSA, EAA dostopnost in NIS2. Zahteve, kazni in akcijski načrt.
GDPR
NIS2 direktiva v Sloveniji: Ali vaša spletna stran ustreza novim varnostnim standardom?
Kaj prinaša evropska NIS2 direktiva za slovenska podjetja? Spoznajte ključne varnostne zahteve za spletne strani in kako preprečiti astronomske globe.
GDPR
GDPR skladen cookie banner v Sloveniji: kompletni vodič 2026
Kako narediti pravilen cookie banner za slovensko spletno stran. GDPR + ePrivacy zahteve, primeri, knjižnice in brezplačni generator.

Potrebujete pomoč pri implementaciji?

Brezplačen 30-minutni posvet z našo ekipo.

Brezplačen posvet →