GDPR in piškotki na spletni strani: kaj morate vedeti za skladnost

  • Home
  • GDPR in piškotki na spletni strani: kaj morate vedeti za skladnost
         
⚠ Pravna omejitev odgovornosti
Ta članek je informativen pregled, NE pravno svetovanje. Pri specifičnih pravnih vprašanjih, kompleksnih primerih obdelave podatkov ali pri pripravi politike zasebnosti za vaše podjetje se vedno posvetujte z odvetnikom specializiranim za varstvo osebnih podatkov. Pri AIE Media tehnično implementiramo skladnost (Complianz, GDPR formi, cookie consent), pravne nasvete pa prepuščamo strokovnjakom.

GDPR (General Data Protection Regulation) je evropska uredba o varstvu osebnih podatkov, ki velja od 25. maja 2018. Vpliva na vsako spletno stran, ki obdeluje osebne podatke EU državljanov — torej praktično vsako poslovno spletno stran v Sloveniji. Kazni za neskladnost so visoke (do 20 milijonov EUR ali 4 % letnega prometa), inšpekcijski nadzor (Informacijski pooblaščenec v Sloveniji) je aktiven.

Kaj je GDPR in zakaj velja za vašo spletno stran?

GDPR (General Data Protection Regulation) je evropska uredba o varstvu osebnih podatkov, ki velja od leta 2018. Velja za vsako organizacijo, ki obdeluje osebne podatke EU državljanov — ne glede na sedež. Spletna stran, ki vsebuje kontaktni obrazec, Google Analytics ali piškotke, je obvezana k spoštovanju GDPR. Kazni: do 20 milijonov EUR ali 4 % letnega prometa.

Osebni podatki po GDPR vključujejo: ime in priimek, e-mail naslov, telefonsko številko, IP naslov, geolokacijo, ID-je piškotkov, podatke o napravi, podatke o vedenju (kaj je uporabnik pregledoval, koliko časa je bil na strani). Vse to so osebni podatki — ne le ime in priimek.

V Sloveniji GDPR izvaja Informacijski pooblaščenec (ip-rs.si), ki vodi inšpekcijske preglede in nalaga kazni. V Sloveniji je poleg GDPR aktivna tudi Zakon o varstvu osebnih podatkov (ZVOP-2), ki je bil sprejet konec leta 2022 in usklajuje slovensko zakonodajo z GDPR.

Pet temeljnih pravic uporabnikov po GDPR

  • Pravica do informacije (uporabnik mora vedeti, kateri podatki se zbirajo).
  • Pravica do dostopa (uporabnik lahko zahteva kopijo svojih podatkov).
  • Pravica do popravka (uporabnik lahko zahteva popravo nepravilnih podatkov).
  • Pravica do izbrisa (‘pravica biti pozabljen’).
  • Pravica do prenosa podatkov k drugemu ponudniku.

Katere vrste piškotkov obstajajo in katere zahtevajo soglasje?

Piškotki se delijo v štiri kategorije: nujni (potrebni za delovanje strani — ne potrebujejo soglasja), funkcionalni (jezik, regija — opcijski, soglasje priporočljivo), analitični (Google Analytics, statistike — soglasje obvezno) in marketinški (Facebook Pixel, retargeting — soglasje obvezno). Brez ustreznega soglasja je nameščanje analitičnih in marketinških piškotkov nezakonito.

1. Nujni piškotki (Strictly necessary)

Brez teh piškotkov spletna stran ne more delovati. Primeri: nakupna košarica v spletni trgovini, prijavni token (login), izbrane GDPR nastavitve, varnostni token (CSRF protection). Ti piškotki ne potrebujejo soglasja uporabnika, vendar morajo biti v politiki zasebnosti popisani.

2. Funkcionalni piškotki (Functional)

Izboljšajo uporabniško izkušnjo, vendar niso nujni. Primeri: izbrana jezik (sl/en/de), izbrana regija ali valuta, video začetna nastavitev, ustni preferenco zvoka. Tehnično lahko delujejo brez soglasja, vendar previdnost svetuje, da soglasje pridobimo — interpretacije zakonodajalca se razlikujejo.

3. Analitični piškotki (Analytics)

Spremljajo, kako uporabniki uporabljajo stran. Najbolj znani primeri: Google Analytics 4 (_ga, _gid), Microsoft Clarity, Hotjar, Plausible, Matomo. **Vsi zahtevajo izrecno soglasje pred namestitvijo**. Pri nameščanju brez soglasja jih Informacijski pooblaščenec lahko označi kot kršitev GDPR. Trenutni standard: anonimizacija IP naslova v GA4 (privzeto vključeno).

4. Marketinški piškotki (Marketing/Advertising)

Spremljajo vedenje uporabnikov za potrebe oglaševanja. Najbolj znani: Facebook Pixel, Google Ads Conversion, LinkedIn Insight Tag, TikTok Pixel, retargeting kode. **Najobčutljivejša kategorija — strogo soglasje obvezno pred kakršnokoli namestitvijo**. Marketinški piškotki tipično spremljajo uporabnika med različnimi spletnimi stranmi, kar GDPR razume kot ‘obsežno obdelavo’ z visokim varstvom.

⚠ Pogosta kritična napaka
Številne slovenske spletne strani imajo Google Analytics in Facebook Pixel naloženi takoj ob obisku, brez čakanja na soglasje uporabnika. To je kršitev GDPR. Pravilna implementacija: ob obisku se naloži samo cookie consent banner, vsi analitični in marketinški skripti se naložijo šele po izrecnem soglasju uporabnika. Microsoft Clarity ima nedavno (2024) dodal GDPR mode — preverite pravilno konfiguracijo.

Kako pravilno implementirati cookie consent banner?

Cookie consent banner mora pred nameščanjem analitičnih in marketinških piškotkov pridobiti izrecno soglasje uporabnika. Mora biti enako enostavno zavrnitev kot soglasje, kategorije piškotkov ločene (nujni, funkcionalni, analitični, marketinški), brez ‘dark patterns’ (manipulacije). V WordPressu priporočamo Complianz vtičnik (avtomatska skladnost, slovenski jezik).

Pet pravil pravilne cookie consent implementacije

Po smernicah Evropskega odbora za varstvo podatkov (EDPB) in slovenskega Informacijskega pooblaščenca:

1. Izrecno soglasje (opt-in, ne opt-out)

Soglasje mora biti aktivno dejanje uporabnika — predoznačeni checkboxi NISO sprejemljivi. Uporabnik mora aktivno klikniti ‘Sprejmem’ za določeno kategorijo. Tihi pristanek (‘continued use of site equals consent’) ni veljaven po GDPR.

2. Enako enostavno zavrniti kot sprejeti

Banner mora imeti gumba ‘Sprejmem vse’ IN ‘Zavrnem vse’ enako vidna in dostopna. Pogosta napaka: gumb ‘Sprejmem’ je velik in obarvan, gumb ‘Zavrnem’ je skrit pod ‘Več nastavitev’. To je ‘dark pattern’ in je nezakonito (več kazni v EU 2023–2024).

3. Ločevanje kategorij

Uporabnik mora imeti možnost izbire posameznih kategorij — na primer dovoliti analitične, vendar zavrniti marketinške. Kategorije: nujni (ne moremo zavrniti, samo informativno), funkcionalni, analitični, marketinški. Vsaka kategorija s svojim toggle stikalom.

4. Možnost spremembe odločitve

Uporabnik mora imeti vedno dostop do spreminjanja svojih cookie nastavitev. Standard: ikona ali povezava ‘Cookie nastavitve’ v footerju strani, ki znova odpre consent banner. Brez možnosti spremembe je soglasje neveljavno.

5. Dokumentacija soglasij

V primeru inšpekcijskega nadzora morate dokazati, da ste pridobili veljavno soglasje. Profesionalni vtičniki (Complianz, CookieYes, Termly) hranijo log soglasij — datum, čas, IP, kategorije. Ta dokumentacija je vaša obramba.

Priporočena rešitev: Complianz vtičnik

Pri AIE Media na WordPress straneh uporabljamo Complianz vtičnik (od proizvajalca Complianz.io). Razlogi: avtomatsko skenira nameščene piškotke in jih klasificira v kategorije, ima slovensko prevodno (delno), redno posodobljeni z novimi zakonodajnimi spremembami, podpira EU/UK/CCPA standarde. Cena: brezplačna verzija zadošča za večino malih strani, premium ~50–150 EUR/leto za napredne funkcionalnosti.

Kaj mora vsebovati politika zasebnosti?

Politika zasebnosti mora vsebovati 8 elementov: identifikacijo upravljavca podatkov, namene obdelave, kategorije zbranih podatkov, pravne podlage obdelave, prejemnike podatkov, čas hranjenja, pravice uporabnikov in podatke o varnostnih ukrepih. Mora biti v slovenščini, dostopna z vsake podstrani in pisana v razumljivem jeziku — ne v pravniškem žargonu.

Spodnji elementi so obvezni v politiki zasebnosti vsake slovenske spletne strani:

  • Identifikacija upravljavca: polno ime podjetja, naslov, matična številka, kontakt (telefon, email).
  • Namene obdelave: zakaj zbirate podatke (npr. ‘odgovori na povpraševanja’, ‘pošiljanje newsletterja’, ‘analiza obiskovalcev’).
  • Kategorije podatkov: kaj točno zbirate (ime, email, telefon, IP, podatki vedenja, plačilni podatki).
  • Pravne podlage: zakaj smete obdelovati podatke (soglasje, izpolnitev pogodbe, zakonska obveznost, legitimen interes).
  • Prejemniki podatkov: katera tuja podjetja imajo dostop (Google Analytics, Mailchimp, plačilni procesorji, hosting ponudnik).
  • Čas hranjenja: kako dolgo hranijo podatke pred izbrisom (npr. ‘kontaktni obrazec 3 leta po zadnjem stiku’).
  • Pravice uporabnikov: dostop, popravek, izbris, prenos, ugovor — z navodili, kako uveljaviti.
  • Varnostni ukrepi: SSL, šifriranje, dostopne kontrole, redni varnostni pregledi.
Posebnosti za slovenske spletne strani
Po ZVOP-2 (slovenska implementacija GDPR) mora politika zasebnosti vključevati:• Identiteto pooblaščene osebe za varstvo podatkov (DPO), če je določena• Pravico do pritožbe pri Informacijskem pooblaščencu RS (ip-rs.si)• Slovenski jezik kot primarni• Dostop iz footerja vsake podstrani

Katere so 5 tipičnih GDPR napak slovenskih spletnih strani?

Pet tipičnih GDPR napak slovenskih spletnih strani: nameščanje analitičnih piškotkov pred soglasjem, predoznačeni checkboxi v obrazcih, manjkajoča ali generična politika zasebnosti, pomanjkanje GDPR consent v obrazcih in skritje gumba ‘Zavrnem vse’ v cookie consent banner-ju. Vse napake so občutljive na inšpekcijski pregled.

1. Nameščanje skript pred soglasjem

Najpogostejša kritična napaka. Google Analytics, Facebook Pixel, Hotjar — vse zahteva soglasje pred namestitvijo. Stran, ki naloži GA takoj ob obisku, krši GDPR. Test: odprite stran v incognito načinu, preverite Network zavihek v DevTools — če GA klic gre takoj, brez čakanja na soglasje, je implementacija napačna.

2. Predoznačeni soglasja v obrazcih

Kontaktni obrazec s predoznačenim ‘Strinjam se s prejemom marketinških sporočil’ krši GDPR. Uporabnik mora aktivno označiti checkbox. Ena izjema: privzeti checkbox ‘Strinjam se s splošnimi pogoji’ je dovoljen (ker je pogodbena obveznost), vendar ‘Marketinški consent’ nikakor.

3. Generična politika zasebnosti

Skopirana politika zasebnosti z drugega podjetja, ki ne odraža vaše dejanske obdelave podatkov, je nevarna. Inšpektor lahko zelo hitro odkrije neskladnost (npr. omenja Mailchimp, ki ga ne uporabljate, ali ne omenja vašega plačilnega procesorja). Politika zasebnosti je živi dokument, ki se posodablja ob vsaki novi integraciji.

4. Manjkajoč GDPR consent na obrazcih

Vsak obrazec, ki zbira osebne podatke (kontaktni obrazec, prijava na newsletter, registracija), mora vsebovati: GDPR consent checkbox (neoznačen), kratek opis namena obdelave, povezavo na politiko zasebnosti, kontakt za pravice uporabnika. Brez teh elementov je obrazec nezakonit.

5. Manipulativen cookie consent banner (‘dark patterns’)

Skrivanje gumba ‘Zavrnem vse’, velik gumb ‘Sprejmem vse’ v primerjavi z malim ‘Več nastavitev’, uporaba neusklajenega kontrasta — vse ‘dark patterns’ so v EU od 2023 strogo prepovedani. EU regulatorji so naložili kazni v milijonih EUR za platforme z manipulativnimi cookie banner-ji (Meta, Google so med njimi).

Pogosta vprašanja o GDPR in piškotkih

1. Kakšne so kazni za neskladnost z GDPR?

GDPR določa dve stopnji kazni. Lažje kršitve: do 10 milijonov EUR ali 2 % letnega svetovnega prometa. Težje kršitve (manipulativni consent, nezakonita obdelava): do 20 milijonov EUR ali 4 % letnega prometa. V praksi so kazni za majhna podjetja v Sloveniji nižje (1.000–10.000 EUR), vendar realne.

2. Ali GDPR velja tudi za male spletne strani?

Da, GDPR velja za vse, ki obdelujejo osebne podatke EU državljanov, ne glede na velikost. Mala spletna stran s kontaktnim obrazcem in Google Analytics mora biti enako skladna z zakonodajo kot velika korporacija. Različne so le pričakovane investicije v skladnost.

3. Ali Google Analytics 4 zahteva GDPR consent?

Da, GA4 sicer omogoča avtomatsko anonimizacijo IP naslovov, vendar še vedno zbira identifikatorje uporabnikov in cookie-je (_ga, _gid). Zato zahteva izrecno soglasje pred namestitvijo. Sodbe avstrijskih in francoskih sodišč 2022–2023 so to potrdile. Za polno skladnost: GA4 z Google Consent Mode V2.

4. Ali lahko sami napišem politiko zasebnosti?

Tehnično da, vendar je tveganje veliko. Generatorji politike zasebnosti (npr. iubenda, Termly) ponujajo dobro izhodišče, vendar zahtevajo prilagoditev vašemu konkretnemu poslovanju. Pri specifičnih primerih (e-commerce, B2B obdelava, mednarodne stranke) priporočamo pravnika. Cena: 200–500 EUR za ustrezno politiko.

5. Kaj je razlika med GDPR in ePrivacy?

GDPR je splošna uredba o varstvu podatkov, ePrivacy direktiva pa specifično ureja elektronske komunikacije in piškotke. Pri spletnih straneh oba sodelujeta — ePrivacy zahteva soglasje za nepotrebne piškotke, GDPR pa določa pravila za obdelavo osebnih podatkov. Nova ePrivacy uredba je v obravnavi že leta.

6. Ali potrebujem DPO (pooblaščeno osebo za varstvo podatkov)?

DPO je obvezen samo v določenih primerih: javne ustanove, organizacije, ki sistematično spremljajo posameznike (npr. zavarovalnice), in tiste, ki obdelujejo občutljive podatke v velikem obsegu. Mala in srednja podjetja v Sloveniji DPO običajno ne potrebujejo, vendar je priporočljivo imenovati odgovorno kontaktno osebo.

7. Koliko časa lahko hranim osebne podatke strank?

Po načelu ‘minimizacije podatkov’ samo toliko, kolikor je potrebno za namen obdelave. Tipični okvirji: kontaktni obrazec 3 leta po zadnjem stiku, računovodski podatki 10 let (zakonska obveznost), newsletter prijava do odjave, podatki spletne trgovine 5 let po zadnjem nakupu. V politiki zasebnosti morate ta obdobja jasno specificirati.

8. Ali so brezplačni cookie consent vtičniki dovolj?

Brezplačne verzije Complianz, CookieYes ali GDPR Cookie Consent zadoščajo za male predstavitvene strani. Pri kompleksnejših projektih (e-commerce, integracije s 10+ orodji, mednarodno občinstvo) je premium verzija (50–150 EUR/leto) smiselna investicija. Več o WordPress vtičnikih v članku WordPress spletna stran.

Optimizacija konverzij (CRO): kako iz obstoječega prometa pridobiti več strank

12 maja, 2026

Domena za spletno stran: kako izbrati pravo domeno za svoje podjetje

12 maja, 2026

Leave a comment