01.06.2026
GDPR v spletnem okolju: vodnik za podjetja 2026
Odkrijte, kaj je GDPR v spletnem okolju in kako zagotoviti skladnost vašega podjetja. Preberite naš vodnik za uspeh v letu 2026!
GDPR v spletnem okolju: vodnik za podjetja 2026
TL;DR:
- GDPR zahteva, da podjetja zagotavljajo zakonito, pregledno in varno obdelavo osebnih podatkov na spletnih straneh. Podjetja morajo vzpostaviti politiko zasebnosti, voditi evidenco dejavnosti in vzpostaviti tehnične ukrepe za zaščito podatkov ter zagotoviti ustrezno soglasje za piškotke. Pri tem je pomembno spremljati pravice posameznikov, kot je pravica do izbrisa, in imeti jasno imenovano pooblaščeno osebo za varstvo podatkov.
Splošna uredba o varstvu podatkov (GDPR) je evropska zakonodaja, ki določa pravila zakonite, pregledne in varne obdelave osebnih podatkov v spletnem okolju. Vsakič, ko vaša spletna stran zbira e-poštne naslove, beleži vedenje obiskovalcev ali shranjuje podatke strank, ste zavezani k spoštovanju teh pravil. V Sloveniji se GDPR izvaja skupaj z ZVOP-2, ki ureja dodatna vprašanja obdelave in varstva podatkov na nacionalni ravni. Za podjetnike in vodje srednje velikih podjetij to pomeni konkretne obveznosti pri vsakem digitalnem stičišču s strankami, od spletnih obrazcev do analitičnih orodij in e-poštnega marketinga.
Kaj je GDPR v spletnem okolju in katere obveznosti nalaga podjetjem?
GDPR v spletnem poslovanju pomeni, da mora vsako podjetje, ki zbira ali obdeluje osebne podatke prek spleta, imeti jasno pravno podlago za vsako posamezno dejavnost obdelave. Pravne podlage so tri najpogostejše: privolitev posameznika, izpolnitev pogodbe in legitimni interes upravljavca. Vsaka od teh zahteva drugačen pristop pri dokumentaciji in informiranju uporabnikov.
Obveznosti, ki jih GDPR nalaga spletnim podjetjem, vključujejo:
- Politika zasebnosti: Dokument mora jasno navajati namen obdelave, pravno podlago, rok hrambe, morebitne prenose podatkov v tretje države in pravice posameznikov. Politika zasebnosti ni le formalni dokument, ampak mora odražati dejanske prakse podjetja.
- Evidenca dejavnosti obdelav: Vsako podjetje z več kot 250 zaposlenimi jo mora voditi obvezno, manjša podjetja pa jo potrebujejo, kadar obdelujejo posebne kategorije podatkov ali tvegane obdelave.
- Tehnični in organizacijski ukrepi (TOM): Sem sodijo šifriranje podatkov, nadzor dostopov, varnostne kopije in postopki za odziv na kršitve.
- Pogodbe z obdelovalci: Vsak zunanji ponudnik, ki obdeluje podatke v vašem imenu (npr. ponudnik e-poštnega marketinga ali analitičnih orodij), mora imeti z vami sklenjeno pogodbo o obdelavi podatkov.
- Transparentnost do uporabnikov: Obiskovalci spletne strani morajo biti jasno obveščeni, katere podatke zbirate, zakaj in kako dolgo jih hranite.
Strokovni nasvet: Preden pripravite politiko zasebnosti, naredite popis vseh točk, kjer vaša spletna stran zbira podatke. To vključuje kontaktne obrazce, naročnino na novice, analitiko (npr. Google Analytics), piškotke in morebitne integracije s CRM sistemi. Šele nato je mogoče napisati politiko, ki dejansko ustreza vašim praksam.
Neskladje med tem, kar politika zasebnosti obljublja, in tem, kar podjetje dejansko počne, je najpogostejša ugotovitev nadzornih organov pri revizijah. To pomeni, da formalna dokumentacija brez ustreznih notranjih procesov ne zadostuje za skladnost.
Kako GDPR ureja piškotke in soglasja na spletnih straneh?
Upravljanje piškotkov je področje, kjer se GDPR in ePrivacy direktiva prekrivata in skupaj določata stroge zahteve. GDPR ureja zakonitost obdelave osebnih podatkov, medtem ko ePrivacy direktiva posebej ureja dostop do naprave uporabnika in shranjevanje piškotkov. Skupaj zahtevata, da noben sledilni ali marketinški piškotek ne sme biti aktiviran, preden uporabnik da aktivno privolitev.
Piškotki se delijo na nujno potrebne (tehnični piškotki za delovanje strani) in neobvezne (analitični, marketinški, piškotki tretjih oseb). Za nujno potrebne piškotke privolitev ni potrebna, za vse ostale pa je obvezna. Cookie banner mora omogočati jasno aktivno privolitev in enakovredno možnost zavrnitve, brez manipulativnih pristopov, ki bi uporabnika vodili k sprejetju.
Pogoste napake pri upravljanju soglasij:
- Gumb “Zavrni vse” je skrit ali vizualno manj opazen od gumba “Sprejmi vse”.
- Piškotki se naložijo takoj ob obisku strani, še preden uporabnik karkoli klikne.
- Soglasje je pridobljeno za celotno kategorijo, brez možnosti granularnega izbora.
- Ni mehanizma za umik soglasja, ki bi bil enako enostaven kot njegova podelitev.
Sodba Planet49 iz leta 2019 in smernice Evropskega odbora za varstvo podatkov (EDPB) izrecno zahtevajo, da so metode privolitve jasne, aktivne in brez “temnih vzorcev”. Vnaprej označena polja ali zavajujoče oblikovanje niso zakonita podlaga za soglasje.
Strokovni nasvet: Uporabite namensko orodje za upravljanje soglasij, kot je Cookiebot, OneTrust ali podobno rešitev, ki samodejno beleži in arhivira vsa soglasja z datumom, uro in vsebino. Ta evidenca je vaše dokazilo v primeru nadzora s strani Informacijskega pooblaščenca.
Za pravilno upravljanje piškotkov je ključno, da redno preverjate, ali so vsi piškotki na vaši strani pravilno kategorizirani in ali je vaš banner skladen z aktualnimi zahtevami.
Kaj pomeni pravica do izbrisa in kako jo uresničiti?
Pravica do izbrisa, znana tudi kot “pravica do pozabe”, posamezniku omogoča, da zahteva popolno odstranitev svojih osebnih podatkov iz vseh sistemov podjetja. Pravica do izbrisa zahteva večplastno tehnično izvedbo, saj morajo biti podatki izbrisani v vseh sistemih, ne samo vidno odstranjeni. To je področje, kjer podjetja najpogosteje naredijo napako.
Praktični koraki za skladno izvajanje pravice do izbrisa:
- Popis vseh sistemov: Identificirajte vse baze podatkov, CRM sisteme, e-poštne platforme, varnostne kopije in arhive, kjer so shranjeni osebni podatki stranke.
- Vzpostavitev postopka: Določite odgovorno osebo, rok za odziv (30 dni po GDPR) in obrazec ali kanal, prek katerega stranke vložijo zahtevo.
- Dejanski izbris: Podatke izbrišite iz vseh sistemov, vključno z varnostnimi kopijami, kjer je to tehnično izvedljivo, in iz sistemov obdelovalcev.
- Dokumentacija: Zabeležite datum zahteve, datum izbrisa, kateri sistemi so bili zajeti in morebitne izjeme (npr. zakonska obveznost hrambe računov).
- Obvestilo posamezniku: Potrdite izvedbo izbrisa in pojasnite morebitne izjeme.
| Korak |
Opis |
Pogosta napaka |
| Identifikacija sistemov |
Popis vseh mest hrambe podatkov |
Pozabljene varnostne kopije in arhivi |
| Izvedba izbrisa |
Dejanski izbris iz vseh sistemov |
Zgolj deaktivacija računa brez izbrisa |
| Dokumentacija |
Evidenca zahtev in izvedenih izbrisov |
Odsotnost revizijske sledi |
| Obvestilo |
Pisna potrditev posamezniku |
Neobveščanje ali napačne informacije |
Poročilo skupne evropske akcije CEF 2025 je pokazalo, da ponudniki digitalnih storitev pogosto omejijo izbris na vidne spremembe, ne pa na dejanski izbris iz vseh sistemov. To je neposredna kršitev GDPR in povod za globe.
Kdaj in kako imenovati pooblaščeno osebo za varstvo podatkov (DPO)?
Pooblaščena oseba za varstvo podatkov (DPO) je vloga, ki jo GDPR in ZVOP-2 zahtevata za določene kategorije organizacij. Imenovanje DPO je obvezno za javne organe, podjetja, ki v velikem obsegu sistematično spremljajo posameznike, in podjetja, ki obdelujejo posebne kategorije podatkov (zdravstveni podatki, biometrični podatki ipd.). Za srednje velika podjetja z intenzivnim spletnim poslovanjem je imenovanje DPO pogosto priporočljivo tudi tam, kjer ni strogo obvezno.
Naloge DPO pri spletnih projektih zajemajo:
- Svetovanje in nadzor: DPO svetuje upravljavcu glede skladnosti in nadzira izvajanje GDPR v vsakodnevnih procesih.
- Stičišče z nadzornim organom: DPO je kontaktna oseba za Informacijskega pooblaščenca in mora biti prijavljen pri tem organu.
- Ocena tveganj: Pri uvedbi novih spletnih rešitev ali obdelav DPO izvede oceno učinka na varstvo podatkov (DPIA), kadar obstaja visoko tveganje.
- Izobraževanje: DPO skrbi za redno usposabljanje zaposlenih, ki obdelujejo osebne podatke.
ZVOP-2 in GDPR skupaj določata kriterije za imenovanje DPO ter obseg njegovih nalog, vključno z uporabo v spletnih storitvah. DPO je lahko zaposleni v podjetju ali zunanji strokovnjak, kar je za manjša in srednje velika podjetja pogosto bolj ekonomična rešitev. Ključno je, da DPO deluje neodvisno in ima neposreden dostop do vodstva.
Dobre prakse in pogoste napake pri uvajanju GDPR v spletno poslovanje
Podjetja, ki se GDPR lotijo celovito, dosegajo skladnost trajno. Tista, ki se omejijo na pripravo dokumentov brez spremembe procesov, pa se srečujejo s ponavljajočimi se neskladji. Življenjski cikel podatkov od zbiranja prek obdelave do izbrisa mora biti dosleden z GDPR in zajet v vseh spletnih sistemih podjetja. To je načelo, ki ga mnogi podcenjujejo.
Pogoste napake pri implementaciji:
- Politika zasebnosti je kopirana od drugega podjetja in ne odraža dejanskih praks.
- Zaposleni, ki obdelujejo podatke strank, niso bili usposobljeni za GDPR.
- Ni vzpostavljenega postopka za odziv na kršitve varnosti podatkov (obvezno obvestilo Informacijskemu pooblaščencu v 72 urah).
- Pogodbe z obdelovalci (npr. ponudniki oblačnih storitev) niso sklenjene ali so zastarele.
- Pravne podlage obdelave so različne na nivoju obrazcev, CRM, analitike in marketinških orodij, brez celovite uskladitve.
| Dobra praksa |
Pogosta napaka |
| Redna revizija politike zasebnosti |
Enkratna priprava brez posodobitev |
| Evidenca dejavnosti obdelav |
Odsotnost dokumentacije |
| Usposabljanje zaposlenih |
Zgolj vodstvo pozna GDPR |
| Pogodbe z vsemi obdelovalci |
Manjkajoče ali zastarele pogodbe |
| Postopek za kršitve varnosti |
Ni določenega odzivnega postopka |
Strokovni nasvet: Vsaj enkrat letno izvedite notranjo revizijo GDPR skladnosti. Preverite, ali so politike posodobljene, ali so vsi obdelovalci pogodbeno urejeni in ali zaposleni vedo, kako ravnati z zahtevami posameznikov. Orodja, kot so OneTrust, Osano ali DataGrail, lahko avtomatizirajo sledenje soglasjem in zahtevam za uveljavljanje pravic.
Za varno spletno infrastrukturo je ključno, da tehnični ukrepi, kot so HTTPS, šifriranje in nadzor dostopov, niso ločeni od pravnih zahtev GDPR, ampak del enotnega varnostnega sistema.
Ključne ugotovitve
GDPR v spletnem okolju zahteva celovit sistem, ki združuje pravno dokumentacijo, tehnične ukrepe, usposobljene zaposlene in jasne postopke za pravice posameznikov.
| Točka |
Podrobnosti |
| Pravna podlaga je obvezna |
Vsaka obdelava podatkov mora imeti jasno in dokumentirano pravno podlago. |
| Cookie banner mora biti skladen |
Privolitev mora biti aktivna, granularna in enako enostavno preklicljiva. |
| Pravica do izbrisa zahteva dejanski izbris |
Podatki morajo biti odstranjeni iz vseh sistemov, ne le vidno deaktivirani. |
| DPO je ključni partner |
Za srednje velika podjetja je zunanji DPO pogosto najučinkovitejša rešitev. |
| Skladnost je proces, ne dokument |
Redno usposabljanje, revizije in posodobitve so pogoj za trajno skladnost. |
GDPR in prihodnost spletnega poslovanja: moje izkušnje
Ko delam s srednje velikimi podjetji pri implementaciji GDPR, opazim isto vzorec: večina se loti projekta z mislijo, da gre za pripravo dokumentov. Politika zasebnosti je napisana, cookie banner je dodan, in vodstvo meni, da je zadeva urejena. Resničnost je drugačna. Nadzorni organi pri revizijah ne iščejo lepih dokumentov, ampak dokaze, da podjetje dejansko ravna v skladu s tem, kar je zapisano.
Posebej me skrbi področje umetne inteligence in avtomatiziranih odločitev. Podjetja vse pogosteje uvajajo AI orodja za analizo strank, personalizacijo in avtomatizirane odzive, ne da bi preverila, ali te obdelave sploh imajo ustrezno pravno podlago ali ali so bile izvedene ocene tveganj. GDPR ima za to jasna pravila, ki jih mnogi prezrejo.
Moje priporočilo za leto 2026 je jasno: obravnavajte GDPR kot del poslovne kulture, ne kot regulativno breme. Podjetja, ki to razumejo, gradijo zaupanje strank in se izognejo globam, ki v EU znašajo do 4 % letnega globalnega prometa. Zakonodajne spremembe, ki jih prinaša AI Act in revizija ePrivacy uredbe, bodo zahtevale še večjo prilagodljivost. Začnite z revizijo danes, ne ko pride nadzornik.
— Ziga
Kako vam Moxy-web pomaga pri skladnosti z GDPR
Moxy-web pri razvoju spletnih rešitev za podjetja GDPR skladnost obravnava kot sestavni del projekta, ne kot dodatek. Pri pripravi vaše spletne strani ali aplikacije poskrbimo za pravilno implementacijo cookie bannerja, pripravo politike zasebnosti, ki odraža dejanske prakse vašega podjetja, in tehnične ukrepe, ki ščitijo podatke vaših strank. Naše rešitve so prilagojene potrebam srednje velikih podjetij, ki potrebujejo konkretno podporo brez nepotrebne kompleksnosti. Če želite, da vaše spletno poslovanje deluje skladno z GDPR in ZVOP-2, nas kontaktirajte prek Moxy-web in skupaj poiščemo pravo rešitev za vaše podjetje.
FAQ
Kaj je GDPR in zakaj velja za spletne strani?
GDPR je evropska uredba, ki ureja varstvo osebnih podatkov in velja za vsako podjetje, ki zbira ali obdeluje podatke oseb v EU, ne glede na to, kje je podjetje registrirano. Vsaka spletna stran, ki zbira e-poštne naslove, beleži IP naslove ali uporablja sledilne piškotke, je zavezana k spoštovanju GDPR.
Kdaj potrebujem privolitev za piškotke?
Privolitev je potrebna za vse piškotke, ki niso nujno potrebni za tehnično delovanje spletne strani, torej za analitične, marketinške in piškotke tretjih oseb. Privolitev mora biti aktivna in dana pred nalaganjem teh piškotkov.
Kaj se zgodi, če podjetje krši GDPR?
Informacijski pooblaščenec lahko izreče globo do 20 milijonov EUR ali do 4 % letnega globalnega prometa podjetja, odvisno od tega, katera vrednost je višja. Poleg globe so možne tudi začasne prepovedi obdelave podatkov.
Ali moram imenovati DPO?
Imenovanje DPO je obvezno za javne organe, podjetja, ki sistematično in v velikem obsegu spremljajo posameznike, ter podjetja, ki obdelujejo posebne kategorije podatkov. Za ostala podjetja je priporočljivo, ni pa zakonsko obvezno.
Kako dolgo moram hraniti osebne podatke?
Rok hrambe mora biti določen za vsako vrsto podatkov posebej in mora biti naveden v politiki zasebnosti. Podatke smete hraniti le toliko časa, kolikor je potrebno za namen, za katerega so bili zbrani, ali kolikor zahteva zakon (npr. računovodski podatki 10 let).
Priporočeno
