← Vsi članki
GDPR

Politika zasebnosti za spletno stran: kaj mora vsebovati (vzorec 2026)

26. februar 20268 min branja
Avtor: Matej Spevan / CreateAI. Članek temelji na praktičnih SEO, GEO in AI implementacijah za slovenska podjetja.

Vsaka slovenska spletna stran, ki obdeluje osebne podatke (in to je praktično vsaka stran z obrazcem, piškotki ali analitiko), mora imeti politiko zasebnosti. Brez nje tvegate kazen do 20 milijonov evrov po GDPR. Tukaj je seznam vsega, kar mora vaša politika vsebovati, z vzorcem in brezplačnim generatorjem.

Kaj je politika zasebnosti?

Politika zasebnosti je pravni dokument, ki uporabnikom razloži, katere osebne podatke zbira spletna stran, zakaj jih zbira, kako jih uporablja, komu jih posreduje in kakšne pravice imajo posamezniki glede svojih podatkov. Po GDPR (Uredba EU 2016/679) in slovenskem ZVOP-2 je obvezna za vse spletne strani, ki obdelujejo osebne podatke rezidentov EU.

Kdaj je politika zasebnosti obvezna

Politika zasebnosti je obvezna takoj, ko obdelujete kakršne koli osebne podatke. To vključuje:

  • Kontaktni obrazci (ime, email, telefon)
  • Naročilo na newsletter
  • Spletna nakupovalna košarica
  • Avtentikacija uporabnikov (prijava, registracija)
  • Piškotki za analitiko (Google Analytics, Matomo)
  • Oglaševalski piškotki (Facebook Pixel, Google Ads)
  • Live chat sistemi
  • Komentarji na blogu
  • Beleženje IP naslovov v logih

Skratka: praktično vsaka spletna stran. Edina izjema bi bila popolnoma statična brošurna stran brez piškotkov, analitike ali obrazcev – kar je v praksi izredno redko.

Kazni za pomanjkanje ali nepopolno politiko zasebnosti

GDPR razlikuje dve ravni kršitev:

Tehnične zahteve (člen 83/4): do 10 milijonov EUR ali 2 % globalnega letnega prometa podjetja, kar koli je višje. To vključuje pomanjkanje obvezne dokumentacije.

Temeljne zahteve (člen 83/5): do 20 milijonov EUR ali 4 % globalnega letnega prometa. Vključuje kršitve pravic posameznikov.

V Sloveniji nadzira Informacijski pooblaščenec (IP RS). Manjše kršitve so kaznovane od 1.000 EUR. Realne kazni za malo slovensko podjetje so običajno v razponu 5.000-50.000 EUR.

Obvezna vsebina politike zasebnosti po GDPR členu 13

GDPR natančno predpisuje 10 elementov, ki MORAJO biti v vsaki politiki zasebnosti:

1. Identiteta upravljavca

Polno uradno ime podjetja, naslov sedeža, matična številka, kontakt.

Primer:

Upravljavec osebnih podatkov: Vaše Podjetje d.o.o., Slovenska cesta 10, 1000 Ljubljana, Slovenija. Matična številka: 1234567000. Email: info@vasepodjetje.si. Telefon: +386 1 234 5678.

2. Kontakt DPO (če obstaja)

Če imate Data Protection Officer (Pooblaščeno osebo za varstvo podatkov), morate navesti kontaktne podatke.

Kdo mora imeti DPO:

  • Javne institucije
  • Podjetja, ki obsežno spremljajo posameznike (npr. sledilne aplikacije)
  • Podjetja, ki obdelujejo občutljive podatke (zdravstveni, biometrični, kazenski)

Za večino majhnih slovenskih podjetij DPO ni obvezen, vendar priporočen.

3. Namen in pravna podlaga obdelave

Za vsako kategorijo podatkov morate navesti:

  • Zakaj jih zbirate (namen)
  • Po katerem členu GDPR (pravna podlaga)

Šest možnih pravnih podlag (člen 6):

  1. Privolitev – jasna, specifična, preklicljiva
  2. Pogodba – nujno za izvajanje pogodbe (npr. dostava izdelka)
  3. Pravna obveznost – zakonska zahteva (npr. davčna zakonodaja)
  4. Vitalni interesi – zaščita življenja
  5. Javna naloga – javne institucije
  6. Legitimni interesi – potrebujete dokumentacijo, da je interes legitimen

Primer:

Obdelava podatkov v kontaktnem obrazcu temelji na privolitvi (člen 6(1)(a) GDPR). Namen: odgovor na vaša povpraševanja in nadaljnja komunikacija.

4. Kategorije podatkov

Naštejte tipe osebnih podatkov, ki jih zbirate:

  • Identifikacijski podatki (ime, priimek, naslov)
  • Kontaktni podatki (email, telefon)
  • Tehnični podatki (IP naslov, brskalnik, naprava)
  • Vedenjski podatki (klikne navade, čas na strani)
  • Plačilni podatki (če e-commerce)
  • Občutljivi podatki (zdravje, religija, spol identiteta) – zahteva eksplicitno privolitev

5. Prejemniki podatkov

Komu posredujete podatke?

Notranji prejemniki: zaposleni, ki potrebujejo dostop za delo.

Zunanji prejemniki:

  • Hosting ponudnik (npr. AWS, Google Cloud, lokalni hosting)
  • Email storitev (Mailchimp, Sendinblue, Resend)
  • Analitika (Google Analytics, Matomo)
  • Oglaševalske platforme (Meta, Google Ads)
  • Plačilni procesorji (Stripe, PayPal, slovenski bančni servisi)
  • CRM sistem (HubSpot, Salesforce, Pipedrive)
  • Računovodstvo (zunanji računovodja)

Za vsakega navedite ime in lokacijo (država).

6. Prenos podatkov v tretje države

Če pošiljate podatke izven EU (npr. Google Analytics v ZDA), morate navesti:

  • V katero državo
  • Pravni mehanizem (Standardne pogodbene klavzule, Adequacy decision, Data Privacy Framework)

Primer:

Google Analytics prenaša podatke v ZDA na podlagi Data Privacy Framework (DPF) odločbe EU komisije iz julija 2023.

7. Rok hrambe

Za vsako kategorijo podatkov navedete, koliko časa hranite.

Tipični roki:

Tip podatkov Priporočen rok
Newsletter prijava Do odjave
Kontaktni obrazec 2 leti
Naročilo (kupec) Trajanje + 5 let
Računovodski zapisi 10 let (zakonska zahteva)
Spletni dnevniki (logs) 3-6 mesecev
Piškotki - analitika 14 mesecev
Piškotki - oglaševanje 90 dni - 13 mesecev

8. Pravice posameznika

Morate izčrpno opisati vse pravice:

Pravica do dostopa (člen 15): Posameznik lahko zahteva kopijo vseh podatkov, ki jih hranite o njem. Rok odgovora: 30 dni.

Pravica do popravka (člen 16): Popravek nepravilnih ali nepopolnih podatkov.

Pravica do izbrisa (člen 17): "Pravica do pozabe" – izbris vseh podatkov.

Pravica do omejitve (člen 18): Začasna ustavitev obdelave.

Pravica do prenosljivosti (člen 20): Izvoz podatkov v strojno berljivi obliki.

Pravica do ugovora (člen 21): Proti obdelavi za marketing – takojšen efekt.

Pravica do preklica privolitve: Kjer je obdelava na podlagi privolitve.

9. Pravica do pritožbe pri nadzornem organu

V Sloveniji je nadzorni organ Informacijski pooblaščenec.

Kontakt:

Informacijski pooblaščenec RS
Dunajska cesta 22, 1000 Ljubljana
Email: gp.ip@ip-rs.si
Telefon: 01 230 97 30
Spletna stran: www.ip-rs.si

10. Avtomatizirano odločanje / profiliranje

Če uporabljate algoritme, ki avtomatsko odločajo o stvareh, ki imajo pravne učinke za posameznika (npr. odobritev kredita, ceno, dostop do storitve), morate to izrecno razkriti.

Velika večina spletnih strani ne potrebuje tega razdelka, vendar nekateri SaaS produkti (AI scoring, dynamic pricing) ga potrebujejo.

Dodatni elementi politike zasebnosti

Poleg obveznih 10 elementov GDPR, dobra politika zasebnosti vključuje tudi:

Piškotki (ePrivacy direktiva)

Ločeno opišite vse piškotke:

  • Ime piškotka
  • Namen
  • Trajanje
  • Upravljavec (vi ali tretja stranka)
  • Kako preklicati privolitev

Pogosto je smiselno ločena Politika piškotkov (cookie policy), na katero se sklicuje glavna politika zasebnosti.

Varnostni ukrepi

Opišite, kako varujete podatke:

  • HTTPS (SSL šifriranje)
  • Šifriranje baz podatkov
  • Dostop omejen na avtorizirane osebe
  • Redne varnostne kopije
  • Penetracijski testi (če veliki)

Prijava varnostnih incidentov

Pojasnite postopek ob kršitvi varnosti:

  • Notificirate IP RS v 72 urah
  • Obvestite prizadete uporabnike (če visoko tveganje)

Vzorec uvoda politike zasebnosti

V skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 
27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov 
in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov, 
GDPR) ter Zakonom o varstvu osebnih podatkov (ZVOP-2), vas obveščamo 
o obdelavi vaših osebnih podatkov na spletni strani [vaša domena].

Upravljavec osebnih podatkov: [Polno ime podjetja]
Naslov: [Naslov sedeža]
Email: [kontakt]
Telefon: [telefon]
Matična številka: [številka]

Veljavna od: [datum]
Zadnja posodobitev: [datum]

Brezplačni generator politike zasebnosti

Pisanje politike zasebnosti od nule je tehnično delo, ki zahteva poznavanje GDPR členov. Naše brezplačno orodje generira prilagojen dokument v 5 minutah:

  1. Izpolnite podatke o vašem podjetju
  2. Označite, katere podatke zbirate (kontaktni obrazec, newsletter, e-commerce, itd.)
  3. Označite uporabljene tretje stranke (Google Analytics, Mailchimp, Stripe, itd.)
  4. Izberete jezike (slovenščina, angleščina, nemščina)
  5. Prenesete dokument v Word ali HTML

Orodje pokriva vse 10 obveznih GDPR elementov in tipično e-commerce situacijo. Začnite na createai.si/orodja/politika-zasebnosti.

Opozorilo: Brezplačni generator je odličen izhodišče za 90 % spletnih strani. Vendar za kompleksne primere (financne storitve, zdravstvo, mednarodne operacije) priporočamo pregled s strani pravnega svetovalca.

Kje umestiti politiko zasebnosti na spletni strani

GDPR zahteva, da je politika enostavno dostopna. Praktične smernice:

Obvezna mesta:

  • Footer (noga) – povezava na vsaki strani
  • Vsak obrazec – sklic na politiko z opcijsko privolitvijo
  • Cookie banner – povezava na politiko

Priporočena mesta:

  • Stranska menijska struktura (sidebar)
  • Registracijska stran
  • Stran s pogoji uporabe (poleg "Pogojev poslovanja")

URL naj bo intuitiven: /politika-zasebnosti ali /privacy-policy.

Pogoste napake pri politiki zasebnosti

Napaka 1: Generično besedilo iz interneta. Kopiranje politike iz drugega spletne strani brez prilagoditve vašemu poslovnemu modelu. Vsako podjetje obdeluje drugačne podatke.

Napaka 2: Pomanjkanje pravne podlage za vsako obdelavo. "Naša pravna podlaga je GDPR" ni dovolj. Vsak namen mora imeti specifičen člen.

Napaka 3: Pozabljen newsletter ali analitika. Pogosto se dodajo orodja kot Mailchimp ali GA brez posodobitve politike. Ažurirajte ob vsaki novi tretji stranki.

Napaka 4: Zelo strokovno besedilo. GDPR zahteva, da je politika razumljivo napisana. Sodišča so zavrnila politike, ki so bile tako pravne, da povprečen uporabnik ni razumel.

Napaka 5: Pozabljena posodobitev. Spreminjate poslovni proces, vendar politika ostaja iz leta 2020. Vedno preverite ob vseh spremembah.

Napaka 6: Ni datum zadnje posodobitve. Posameznik mora vedeti, kdaj je bila politika zadnjič spremenjena.

Pogosta vprašanja o politiki zasebnosti

Ali politika zasebnosti velja samo za fizične osebe? GDPR ščiti fizične osebe. Pravne osebe (podjetja) niso pokrite z GDPR. Vendar v praksi politika običajno opisuje vse obdelave – tudi B2B kontakti so pogosto identifikabilni posamezniki.

Ali rabim ločeno politiko za B2B in B2C? Običajno ne. Lahko imate eno politiko, ki pokriva obe vlogi. Vendar mora biti jasno, katere obdelave veljajo za katero situacijo.

Ali se politika spremeni, ko dodam nov tool? Da. Vsaka sprememba tretje stranke ali nove obdelave zahteva ažuriranje politike. Dobra praksa: revizija ob vsaki spremembi infrastrukture ali quartalno.

Kdo mora podpisati politiko zasebnosti? Politika ni pogodba med stranko in podjetjem – je informativna izjava upravljavca. Stranke je ne podpišejo. Sama objava na spletni strani zadošča.

Ali rabim politiko, če uporabljam samo Google Analytics? Da. Google Analytics zbira IP naslove in vedenjske podatke, kar so osebni podatki po GDPR. Politika je obvezna.

Kaj če imam politiko samo v angleščini? Za slovensko spletno stran s slovenskimi uporabniki je obveznost slovenska različica. Lahko imate več jezikov, vendar slovenščina mora biti dostopna.

Ali politika velja tudi za zaposlene? Politika zasebnosti je za zunanje uporabnike (stranke, obiskovalce). Za zaposlene potrebujete ločeno Politiko zasebnosti za zaposlene ali kadrovski pravilnik.

Zaključek

Politika zasebnosti je obvezen pravni dokument vaše spletne strani. Brez nje tvegate kazni do 20 milijonov evrov. Z dobro pripravljeno politiko gradite zaupanje uporabnikov in dokazujete pravno skladnost.

Začnite z našim brezplačnim generatorjem – v 5 minutah imate prilagojen dokument za vašo spletno stran. Za kompleksne situacije ali integracijo z drugimi EU regulativami (DSA, EAA, NIS2), stopite v stik za strokovno svetovanje.

Pomembno opozorilo: Ta članek je informativen. Ne predstavlja pravnega svetovanja. Za pravno zavezujoče primere se posvetujte s pravnim svetovalcem ali certificiranim DPO.

🛠 Uporabite orodje, ki spremlja ta vodič

Generator politike zasebnosti — brezplačno orodje, ki implementira priporočila iz tega članka.

Odprite Generator politike zasebnosti

Sorodni članki

GDPR
EU regulativa za spletne strani 2026: GDPR, DSA, EAA in več
Kompletni vodič po EU regulativah za slovenske spletne strani: GDPR, ePrivacy, DSA, EAA dostopnost in NIS2. Zahteve, kazni in akcijski načrt.
GDPR
NIS2 direktiva v Sloveniji: Ali vaša spletna stran ustreza novim varnostnim standardom?
Kaj prinaša evropska NIS2 direktiva za slovenska podjetja? Spoznajte ključne varnostne zahteve za spletne strani in kako preprečiti astronomske globe.
GDPR
Ali je vaša spletna stran GDPR skladna? 12-točkovni test (2026)
Sistematični test GDPR skladnosti za slovensko spletno stran. 12 ključnih točk, kazni in brezplačno orodje za preverjanje.

Potrebujete pomoč pri implementaciji?

Brezplačen 30-minutni posvet z našo ekipo.

Brezplačen posvet →