← Vsi članki
GDPR

Ali je vaša spletna stran GDPR skladna? 12-točkovni test (2026)

12. marec 20269 min branja
Avtor: Matej Spevan / CreateAI. Članek temelji na praktičnih SEO, GEO in AI implementacijah za slovenska podjetja.

GDPR ni nova regulativa. Velja od maja 2018. Vendar po nedavnem auditu Informacijskega pooblaščenca je več kot 60 % slovenskih spletnih strani še vedno tehnično nesklajenih. Razlogi? Pogosto manjše stvari, ki jih lastniki ne opazijo. Tukaj je sistematični test – 12 točk, ki morajo biti rešene, da ste resnično GDPR compliant.

Kaj je GDPR in zakaj je pomemben?

GDPR (Splošna uredba EU 2016/679) je evropska regulativa o varstvu osebnih podatkov, ki velja za vse, ki obdelujejo podatke rezidentov EU – ne glede na lokacijo podjetja. V Sloveniji jo dopolnjuje Zakon o varstvu osebnih podatkov (ZVOP-2). Kazni za neskladnost dosegajo 20 milijonov evrov ali 4 % globalnega prometa.

V 2024-2025 je IP RS znatno povečal aktivnost. Manjše slovenske kazni se vrtijo med 5.000 in 50.000 evrov, vendar so se zgodile tudi kazni nad 100.000 evrov za večja podjetja.

12-točkovni GDPR test za spletno stran

Sistematični pregled, ki ga lahko izvedete na vaši strani v 60 minutah. Vsaka točka je obvezna.

Točka 1: HTTPS / SSL certifikat

Zahteva: Vsa komunikacija mora biti šifrirana.

Preverjanje:

  • URL vaše strani se začne z https:// (ne http://)
  • Brskalnik ne pokaže opozorila "Not secure"
  • Vsi viri (slike, JS, CSS) so prek HTTPS

Kazen: Tehnično ni direktna kazen za manjkajočo HTTPS, vendar IP RS to obravnava kot pomanjkanje "ustreznih tehničnih ukrepov" po členu 32 – kazen do 10M EUR.

Rešitev: Naložite SSL certifikat. Lahko brezplačno z Let's Encrypt (preko hosterja) ali plačljivo z DigiCert.

Točka 2: Politika zasebnosti

Zahteva: Vidna, razumljiva, popolna politika zasebnosti.

Preverjanje:

  • Politika obstaja na dostopnem URL-ju (npr. /politika-zasebnosti)
  • Povezava v footer-ju vsake strani
  • Vsebuje vseh 10 elementov GDPR (glej našo vodič za politiko zasebnosti)
  • Datum zadnje posodobitve viden

Tipične napake:

  • Generična politika iz interneta brez prilagoditve
  • Manjkajoča pravna podlaga za vsako obdelavo
  • Pozabljena tretja stranka (npr. Mailchimp se uporablja, vendar ni v politiki)

Točka 3: Cookie banner

Zahteva: GDPR + ePrivacy skladen banner za nebistvene piškotke.

Preverjanje:

  • Banner se pojavi pred nalaganjem nebistvenih piškotkov
  • "Zavrni vse" enako vidno kot "Sprejmi vse"
  • Granularne preference (po kategorijah)
  • Trajno dostopen "Cookie preferences" link

Pogosta napaka: Google Analytics se naloži takoj, ko obiščete stran, banner pa je zgolj kozmetičen.

Test: Odprite stran v incognito načinu, odprite DevTools → Network. Preverite, ali se piškotki/skripte za GA, Pixel, ipd. naložijo PRED kliki na banner. Če da → nesklajeno.

Točka 4: Pravna podlaga za vsako obdelavo

Zahteva: Vsaka obdelava osebnih podatkov mora imeti dokumentirano pravno podlago iz člena 6.

Preverjanje: Za vsako od teh obdelav imate pravno podlago?

  • Kontaktni obrazec (običajno: privolitev ali legitimni interes)
  • Newsletter prijava (privolitev)
  • Spletno naročilo (pogodba)
  • Spletni piškotki (privolitev, razen nujnih)
  • Direktni marketing obstoječih strank (legitimni interes)

Dokumentacija: Imate Evidenco dejavnosti obdelave (Record of Processing Activities, ROPA)? Po členu 30 GDPR je obvezna za podjetja z 250+ zaposlenimi, vendar priporočena za vse.

Točka 5: Mehanizem za uveljavljanje pravic posameznika

Zahteva: Posameznik mora imeti enostaven način, da uveljavlja svoje pravice.

Preverjanje:

  • Email naslov za zahteve (npr. privacy@vasepodjetje.si)
  • Obrazec na strani za zahteve (priporočljivo)
  • Notranji proces za odgovore v 30 dneh
  • Identifikacijski postopek (kako preverite, da je oseba res tisti, za kogar se izdaja)

Pravice, na katere morate biti pripravljeni odgovoriti:

  1. Dostop do podatkov (kopija)
  2. Popravek napačnih podatkov
  3. Izbris ("pravica do pozabe")
  4. Omejitev obdelave
  5. Prenosljivost (izvoz)
  6. Ugovor (npr. proti marketingu)

Rok odgovora: 30 dni (1 mesec), z možnostjo podaljšanja za 2 meseca pri kompleksnih zahtevah.

Točka 6: Privolitev za marketing

Zahteva: Email marketing in oglaševanje zahteva eksplicitno privolitev.

Preverjanje:

  • Pri prijavi na newsletter je predhodno nedovoljen checkbox (ne predhodno označen!)
  • Privolitev za marketing je ločena od privolitve za druge obdelave
  • Obstaja preprosta možnost odjave (unsubscribe v vsakem emailu)
  • Vodi se evidenca privolitev (kdo, kdaj, na kaj)

Pogosta napaka: "S prijavo na newsletter se strinjate z vsem v naših pogojih" – ne velja. Privolitev mora biti specifična.

Točka 7: Tretje stranke in obdelovalci podatkov

Zahteva: Vsaka tretja stranka, ki obdeluje vaše podatke, mora imeti podpisano DPA (Data Processing Agreement).

Preverjanje: Imate podpisane pogodbe z:

  • Hosterjem (kjer gostite spletno stran)
  • Email storitvijo (Mailchimp, Resend, Sendinblue)
  • Analitiko (Google Analytics – Google ponuja DPA)
  • CRM (HubSpot, Pipedrive – ponujajo DPA)
  • Plačilnim procesorjem (Stripe, PayPal)
  • Cloud storitvami (AWS, Google Cloud, Azure)
  • Računovodjem (zunanji)
  • Marketing agencijo (če uporabljate)

Standard DPA vsebuje:

  • Vlogi (upravljavec vs obdelovalec)
  • Cilji in trajanje obdelave
  • Tehnični in organizacijski ukrepi
  • Posledice kršitev
  • Pravica do nadzora

Točka 8: Prenosi v tretje države

Zahteva: Prenosi podatkov izven EU/EGP morajo imeti pravni temelj.

Najpogostejši primeri:

  • Google Analytics → ZDA
  • Mailchimp → ZDA
  • Meta Pixel → ZDA
  • AWS hosting v US regiji → ZDA
  • Cloudflare → ZDA / globalno

Pravni mehanizmi:

  1. Adequacy decision (EU komisija je razglasila, da država ima primerno zaščito)

    • ZDA: Data Privacy Framework (od 10. julija 2023)
    • Ostale države: Združeno Kraljestvo, Švica, Kanada, itd.
  2. Standardne pogodbene klavzule (SCCs)

    • Standardni dokument EU komisije
    • Velja za podjetja, ki niso v DPF
  3. Binding Corporate Rules (BCR)

    • Za globalne korporacije

V politiki zasebnosti mora biti razkriton vsak prenos in pravna podlaga.

Točka 9: Varnostni ukrepi (člen 32)

Zahteva: Ustrezni tehnični in organizacijski ukrepi za zaščito podatkov.

Tehnični ukrepi:

  • HTTPS
  • Šifriranje baz podatkov (at rest encryption)
  • Šifriranje varnostnih kopij
  • Močna gesla + 2FA za admin dostope
  • Redne posodobitve CMS in plugin-ov
  • Firewall in DDoS zaščita
  • Backup strategija

Organizacijski ukrepi:

  • Dostop omejen na "need to know"
  • Politika varovanja podatkov (interno)
  • Usposabljanje zaposlenih
  • Postopek ob varnostnem incidentu

Točka 10: Prijava varnostnih incidentov (člen 33)

Zahteva: Ob kršitvi varnosti morate v 72 urah obvestiti IP RS in eventualno tudi posameznike.

Postopek:

  1. Zaznava incidenta (ali sumi nanj)
  2. Triaža – kakšen je obseg, kdo je prizadet
  3. V 72 urah prijava IP RS preko obrazca na ip-rs.si
  4. Če visoko tveganje → obvestilo posameznikom
  5. Evidenca incidenta (interna)

Pomembno: Tudi če incident ni javen, morate imeti interno evidenco kršitev. IP RS lahko zahteva pregled.

Točka 11: DPO – Pooblaščena oseba za varstvo podatkov

Zahteva: DPO je obvezen v specifičnih primerih.

Obvezno za:

  • Javne organe
  • Podjetja, ki sistematično obsežno spremljajo posameznike (CCTV, sledilne aplikacije)
  • Podjetja, ki obsežno obdelujejo občutljive podatke (zdravstveni, biometrični, kazenski podatki)

NI obvezno za:

  • Tipično e-commerce
  • Marketing agencije
  • Spletne strani majhnih podjetij
  • SaaS s standardnimi B2B podatki

Tudi če ni obvezno, je priporočeno za podjetja z 20+ zaposlenimi.

Če imate DPO, mora biti njegov kontakt javno dostopen (v politiki zasebnosti).

Točka 12: Politika hrambe podatkov

Zahteva: Ne hranite podatkov dlje, kot je potrebno.

Priporočeni roki:

Tip podatkov Rok hrambe Pravna podlaga
Newsletter Do odjave Privolitev
Kontaktni obrazec 2 leti Privolitev / legitimni interes
Naročila (kupec) 5 let po nakupu Pogodba + civilna zastaranja
Računovodski zapisi 10 let Zakon o davčnem postopku
Spletni dnevniki (logs) 3-6 mesecev Legitimni interes
Piškotki analitike 14 mesecev Privolitev
CV / kandidati 1 leto Privolitev
Kadrovski podatki 5 let po zaposlitvi Pogodba + zakon

Avtomatizacija je ključ: Sistemi morajo avtomatsko brisati podatke po preteku roka. Ročno preverjanje ne deluje za scale.

Brezplačno orodje za GDPR audit

Manualni 12-točkovni test traja 60 minut na spletna stran. Naše GDPR Compliance Checker ga avtomatizira:

  1. Vstavite URL vaše spletne strani
  2. Orodje skenira:
    • SSL prisotnost
    • Politiko zasebnosti (obstoj, struktura)
    • Cookie banner (dark patterns, "Zavrni" položaj)
    • Tretje stranke v kodi
    • Prenose v tretje države
    • Schema strukture
  3. V 90 sekundah dobite:
    • Compliance Score (0-100)
    • Točka-po-točki rezultat za 12 testov
    • Konkretni problemi
    • Akcijski načrt z prioritetami

Začnite na createai.si/orodja/gdpr-check. Brezplačno za 1 spletno stran na mesec.

Kazni v Sloveniji – realni primeri

Iz nedavnih IP RS odločb:

Primer 1: Marketing agencija (2024) – kazen 8.000 EUR za nepravilno cookie banner (manjkajoč "Zavrni vse" gumb) in pomanjkljivo politiko zasebnosti.

Primer 2: E-commerce shop (2024) – kazen 15.000 EUR za nalaganje Facebook Pixel pred privolitvijo in pomanjkljivo evidenco DPO obvestil.

Primer 3: B2B SaaS (2025) – kazen 35.000 EUR za prenos podatkov v ZDA brez ustrezne pravne podlage in pomanjkanje DPA z obdelovalci.

Primer 4: Klinika (2025) – kazen 75.000 EUR za nepravilno obdelavo zdravstvenih podatkov in manjkajoč DPO.

Vzorec: kazni so realne, vendar manjše od europskih maksimumov. Praksa IP RS je proporcionalna velikosti podjetja in resnosti kršitve.

Najpogostejše napake slovenskih spletnih strani

Iz auditov 500+ slovenskih spletnih strani v 2024-2025:

  1. Politika zasebnosti iz interneta brez prilagoditve – 45 % spletnih strani
  2. Cookie banner brez "Zavrni vse" – 40 %
  3. GA/Pixel naložen pred privolitvijo – 38 %
  4. Manjkajoča DPA z hosterjem ali email storitvijo – 60 %
  5. Newsletter brez ločene privolitve – 35 %
  6. Manjkajoča evidenca obdelav – 70 %
  7. Politika zasebnosti samo v angleščini – 15 %
  8. Brez procesa za uveljavljanje pravic – 50 %

Pogosta vprašanja o GDPR skladnosti

Ali GDPR velja za moje malo podjetje? Da. GDPR velja za vsako podjetje, ki obdeluje podatke EU rezidentov, ne glede na velikost. Edini izjemi sta pure-domestic obdelava brez tretjih strank (skoraj neobstoječa) ali popolnoma offline biznis.

Kolikšne so realne kazni za majhno podjetje? V Sloveniji: tipično 1.000-30.000 EUR za manjše kršitve. Vendar tudi reputacijska škoda. IP RS objavlja odločbe javno.

Ali rabim odvetnika za GDPR pripravo? Ne vedno. Za standardne situacije so brezplačni generatorji + dober self-audit dovolj. Za kompleksne primere (zdravstvo, financne storitve, scale-up s tisočimi uporabniki) priporočamo strokovni pregled.

Kako pogosto naj preverjam GDPR skladnost? Najmanj enkrat letno. Boljše: ob vsaki večji spremembi strani, novem tool-u ali novi obdelavi podatkov.

Ali moramo registrirati naše obdelave pri IP RS? Ne. Po novi GDPR ureditvi (2018+) ni več prijavne obveznosti. Vendar morate imeti interno evidenco obdelav (ROPA).

Ali GDPR velja za B2B kontakte? Da, če je oseba identifikabilna (npr. ime@podjetje.si). Pravna oseba sama (podjetje) ni pokrita, vendar njeni zaposleni so.

Kaj če prejmemo zahtevo posameznika in nimamo procesa? Nujno postavite proces. Brez odgovora v 30 dneh imate sa**ma kršitev. IP RS pogosto začne s pritožbo posameznika.

Zaključek

GDPR skladnost ni enkraten projekt – je trajen proces. Spreminja se z vašim biznisom: nov tool, nova tretja stranka, novi obrazci, vse zahteva ažuriranje.

Začnite zdaj z brezplačnim GDPR Compliance Check na vašo spletno stran. V 90 sekundah ugotovite, kje stojite. Za kompleksne audite ali pripravo polne GDPR dokumentacije, stopite v stik – pomagamo slovenskim podjetjem zagotoviti polno pravno skladnost brez stresa.

Sorodno branje: EU skladnost za podjetja – kateri zakoni veljajo za vas in pregled EU regulativ za spletne strani.


Opozorilo: Ta članek je informativne narave in ne predstavlja pravnega nasveta. Navedeni roki, pragovi in zneski veljajo ob času pisanja in se lahko spremenijo – pred odločitvami preverite aktualne uradne vire (EUR-Lex, pristojne slovenske organe) ali se posvetujte s pravnim strokovnjakom.

📋 Brezplačni EU Compliance Checklist (2026)

Praktičen kontrolni seznam čez vse ključne EU predpise (GDPR, NIS2, AI Act, EAA, DSA). Vnesite email in pošljemo vam ga takoj.

Z oddajo se strinjate z obdelavo emaila za pošiljanje gradiva. Politika zasebnosti.

🛠 Uporabite orodje, ki spremlja ta vodič

GDPR Compliance Check — brezplačno orodje, ki implementira priporočila iz tega članka.

Odprite GDPR Compliance Check

Sorodni članki

GDPR
EU skladnost za slovenska podjetja 2026: kateri zakoni veljajo za vas
Kateri EU predpisi veljajo za slovensko podjetje v 2026 – GDPR, NIS2, AI Act, EAA in DSA. Kdo potrebuje kaj, roki, kazni in akcijski načrt.
GDPR
EAA dostopnost spletnih strani: kaj morajo podjetja urediti (2026)
Evropski akt o dostopnosti (EAA) velja od junija 2025. Kdo je zavezan, katere zahteve veljajo za spletne strani in trgovine ter kako uskladiti.
GDPR
EU regulativa za spletne strani 2026: GDPR, DSA, EAA in več
Kompletni vodič po EU regulativah za slovenske spletne strani: GDPR, ePrivacy, DSA, EAA dostopnost in NIS2. Zahteve, kazni in akcijski načrt.

Potrebujete pomoč pri implementaciji?

Brezplačen 30-minutni posvet z našo ekipo.

Brezplačen posvet →