Članki · gdpr ·

GDPR blagajna za slovenske spletne trgovine: kaj v resnici mora biti urejeno

Onkraj piškotnega banerja — kaj IP-RS revizorji in Stripe compliance dejansko označijo pri slovenski WooCommerce blagajni. Sedem sistemov, sedem dolgočasnih tehničnih odločitev.

  • #gdpr
  • #e-commerce
  • #zvop-2
  • #woocommerce
  • #slovenija
  • #compliance

V dveh stavkih

  • ZVOP-2 (v veljavi od 2. februarja 2023) in Člen 7(3) GDPR pomenita, da je globa posledica neenakovrednega UI privolitve — velik zelen “Sprejmi vse” ob majhni sivi povezavi “Zavrni” — ne manjkajočega banerja. Enega od butikov je to stalo znesek v nizkem štirimestnem območju.
  • DPA Stripe, PayPal in Klaviyo so verzionirani. Trgovci, ki so onboardali pred septembrom 2023 (Stripe) ali 2022 (Klaviyo), sedijo na zastareli različici — od tod zamrznitve izplačil, ne prevare.
  • Vgrajeno WooCommerce orodje “Odstrani osebne podatke” spregleda Stripe customer objekt, Klaviyo profil, Mailgun dnevnike in opombe naročila. Prava pravica do pozabe zahteva sedemstopenjski API delovni tok, vse v 30 dneh.
  • FURS 10-letna hramba računa prevlada nad pravico do izbrisa — a samo za PDF računa. Ime, e-pošta in naslov morajo vseeno iz GA4, Klaviyo, wp_users in vsakega CRM.
Opomba: Primeri v tem razdelku so ponazoritvene mešanice, sestavljene iz ponavljajočih se vzorcev pri naših strankah in javnih odločb IP-RS; identifikacijski podrobnosti so anonimizirane, zneski v EUR pa zaokroženi.

Butik z izdelki iz naravnih tkanin je 14. oktobra 2024 prejel dopis Informacijskega pooblaščenca. Znesek: v nizkem štirimestnem območju. Razlog ni bil manjkajoč piškotni baner — tega so imeli. Razlog je bil, da je “Sprejmi vse” bil zelen gumb širine 240 pikslov, “Zavrni” pa siva povezava širine 11 pikslov v levem spodnjem kotu. Neenakovreden vnos privolitve. Uredba (EU) 2016/679 v Členu 7(3) in ZVOP-2 (v veljavi od 2. februarja 2023) zahtevata, da preklic privolitve ni bolj težaven od podelitve. Isto pravilo velja tudi za sam vnos.

Podobne primere smo letos videli še pri štirih strankah. Hotelu je Stripe začasno zamrznil trgovski račun, ker compliance ekipa Stripe ni našla podpisanega DPA za leto 2024 — trgovec je imel še različico iz 2019. Vinar je dobil opozorilo IP-RS, ker je hranil rojstni datum vsake stranke “za rojstnodnevni popust” — legitimna raba, brez pravne podlage. Knjigarni je izbris osebnih podatkov po zahtevi kupca vzel bistveno več kot 30-dnevni rok, ker je vgrajeno WooCommerce orodje spregledalo metapodatke naročila v treh sistemih.

Skladnost slovenske WooCommerce blagajne v letu 2026 ni več “dodaj baner”. Je nabor majhnih, dolgočasnih, tehničnih odločitev v sedmih različnih sistemih. Tekst je o tem, katere so.

Opozorilo: Butik iz zgornjega primera je imel baner. Globa je bila posledica stila — 240-pikselski zelen gumb “Sprejmi vse” ob 11-pikselski sivi tekstovni povezavi “Zavrni”. Po Členu 7(3) GDPR IP-RS to bere kot neenakovreden vnos privolitve. Enaka teža obeh gumbov, ali banerja sploh ne izdajaj.

Zakaj “dodali smo piškotni baner” ne zdrži

IP-RS je od uveljavitve ZVOP-2 (2. februar 2023) dosleden. Baner je element uporabniškega vmesnika; privolitev je pravno dejanje. Baner je en del dokaza, da je bila privolitev dana — ni pa sama privolitev.

Kaj vidimo na terenu:

  • Baner pokriva samo “analitične piškotke”, stran pa naloži Meta Pixel 200 ms pred prikazom banerja.
  • “Sprejmi vse” je stiliziran kričeče, “Prilagodi” je bleda tekstovna povezava.
  • Ni shranjenega dokaza — brez časovnega žiga, brez obsega izbire, brez hash-a različice pravilnika, ki je bila sprejeta.
  • Pravilnik piškotkov posodobljen aprila 2025, obstoječe privolitve iz 2023 nikoli ponovno pridobljene.

Letno poročilo IP-RS za 2024 uvršča pritožbe glede banerjev v tretjo največjo kategorijo, za marketinško elektronsko pošto in videonadzorom na delovnem mestu. Globe od 200 EUR za mikropodjetja do 50.000 EUR za srednja. Ne teoretično.

IlustracijaDiagram poteka obiskovalec → CMP baner → košarica → blagajna → plačilo → posodobitev ROPA
Vsaka puščica je revizijska sled. Če poti privolitve od banerja do ROPA ne znaš narisati, jo bo Informacijski pooblaščenec — slabo — narisal namesto tebe.

Privolitev: piškotki, marketing, analitika

Google Consent Mode v2 od marca 2024 sili k razlikovanju štirih signalov: ad_storage, analytics_storage, ad_user_data, ad_personalization. Starejše slovenske WooCommerce trgovine vse še vedno vodijo skozi eno samo “sprejmi vse” zastavico, oglaševalske kampanje pa se v Google Adsu tiho podhranijo, ker so konverzijski podatki dušeni.

Štirje sloji privolitve, ki jih dejansko potrebuješ:

  1. Nujno potrebni piškotki — košarica, seja, CSRF žeton, plačilni iframe. Brez privolitve. Brez stikala.
  2. Analitika — GA4, Matomo, Plausible. V EU zahteva opt-in. Anonimizacija IP naslovov sama po sebi obveznosti ne odpravi — Direktiva o zasebnosti elektronskih komunikacij 2002/58/EC ureja branje in pisanje v terminal, ne vsebine.
  3. Marketing in oglaševanje — Meta Pixel, Google Ads konverzijski tag, Klaviyo sledenje. Ločena privolitev.
  4. Nastavitve in personalizacija — nedavno ogledani izdelki, shranjena želja. Ločena privolitev, če ni nujno potrebno.

Vtičniki, ki smo jih zagnali v 2025–2026:

  • Complianz Premium (79 EUR/leto, 3 strani) — najboljši za trgovine, ki takoj potrebujejo Consent Mode v2. Sam sproža GTM tage po kategorijah.
  • Iubenda (27–99 EUR/leto glede na paket) — dobro, če stranka že uporablja Iubenda za generiranje pravilnika o zasebnosti; malce težji JS bundle.
  • CookieYes (brezplačna raven plus 10–55 EUR/mesec za auto-scan) — najcenejši, dostojen UI, šibkejši pri GA4 integraciji.
  • WP Cookie Notice — ne uporabljaj za slovensko trgovino; privzeto ne beleži dokaza privolitve.

IP-RS sprejme “predhodno informirano privolitev”, kadar trgovina lahko predloži: časovni žig, IP ali uporabniški ID, izbrano kategorijo, hash različice pravilnika v času privolitve. Complianz to shrani sam. Iubenda v svoji nadzorni plošči. CookieYes potrebuje ročno konfiguriran izvoz.

SistemSkladna privzeta rešitevPogosta napaka
UI privolitveEnako težka gumba “Sprejmi” in “Zavrni”; log časovni žig + hash pravilnikaZelen “Sprejmi vse” ob sivi tekstovni povezavi “Zavrni”
Analitika (GA4)Strežniški GTM s Consent Mode v2 osnovnimi signaliOdjemalski GA4 se sproži pred privolitvijo; anonimizacija IP kot nadomestek
Plačila (Stripe)Trenutni DPA v arhivu, ponovno podpisan po vsaki posodobitvi StripaDPA iz 2019 še vedno v arhivu iz prvotnega onboardinga
Marketing (Klaviyo)EU regija (klaviyo.com/eu), podpisan DPA, dokaz opt-in za vsak profilUvožen star seznam brez dokaza privolitve; ZDA regija brez SCC
Rezidenca podatkovEU gostovanje, EU regija SaaS, SCC za vse tretje državeCRM v ZDA, brez ocene vpliva prenosa

Minimizacija podatkov na blagajni

Najpogostejša slovenska WooCommerce blagajna vpraša za: ime, naslov, poštno številko, kraj, državo, telefon, e-pošto. V redu.

Kar še vedno vidimo na terenu in tam ne bi smelo biti:

  • Datum rojstva pri običajni e-prodaji
  • Izbira spola pri trgovini z oblačili, kjer velikost že pove odgovor
  • EMŠO polje na B2C blagajni — ali kot vedno vidno polje tudi pri B2B
  • Davčna številka kot obvezno polje na B2C blagajni
  • “Ime podjetja” kot obvezno pri B2C

GDPR Člen 5(1)(c). Minimizacija. Vsako polje na blagajni mora imeti namen, ki ga lahko braniš. Polje za rojstni dan zaradi “poslali vam bomo rojstnodnevni popust” ni pravna podlaga, razen če stranka posebej privoli takrat, ko datum vnese.

Rokovanje z davčno številko je polje, ki ga najpogosteje vidimo narobe. Pravila:

  • Pri B2C ne zbiraj. Nikoli. Ni fakturnega scenarija, ki bi to zahteval.
  • Pri B2B je potrebna za račun po FURS pravilih in za validacijo obrnjenega davčnega bremena. Shrani. Ne prikazuj v UI-ju uporabniškega računa brez razloga.
  • Nikoli davčne številke ne pošiljaj tretjim (analitika, marketing) — obravnavaj jo kot osebni identifikator.

WooCommerce Germanized in slovensko specifični WooCommerce vtičniki polje pogojno preklapljajo med B2C/B2B. Če se na tvoji blagajni davčna številka še vedno kaže kot vedno vidno polje, imaš problem z minimizacijo.

Zaslonski posnetekPredloga slovenskega piškotnega banerja z enakovrednima gumboma zavrni / sprejmi izbrane
Kako izgleda skladno v slovenščini: gumb zavrni je enako viden kot sprejmi, brez vnaprej označenih polj, ločena privolitev po namenu, preklic z enim klikom. Vsak element, ki ga revizor išče.

Problem DPA

Vsak obdelovalec osebnih podatkov, ki ni tvoj zaposleni, je “obdelovalec” po GDPR Členu 28. Torej Stripe, PayPal, Pošta Slovenije, GLS, Klaviyo, Google (prek GA4), Meta (prek Pixla), gostitelj in vsak zunanji razvijalec z dostopom do baze.

Vsak potrebuje podpisano pogodbo o obdelavi osebnih podatkov (DPA).

Kar pri revizijah najpogosteje najdemo:

  • Nikoli podpisan DPA s Stripom. Stripe DPA se samodejno sprejme z odkljukom med Stripe onboardingom, torej trgovec misli, da je urejeno. Je — vendar samo za različico, ki jo je sprejel. Stripe je DPA posodobil 12. septembra 2023 in ponovno 4. junija 2025. Trgovci, ki so onboardali prej, imajo zastarelo različico.
  • PayPal DPA nikoli obravnavan. Skrit je pod Pravnimi pogoji in potrebuje ročno sprejetje.
  • Klaviyo — DPA na klaviyo.com/legal/dpa. Podpiši. Starejši računi pred 2022 ga nimajo v arhivu.
  • Pošta Slovenije — trgovci so podpisali standardno pogodbo o pošiljanju, DPA (obrazec obravnave osebnih podatkov, posodobljen januarja 2024) pa nikoli. Večina slovenskih trgovin ima še različico iz 2021.
  • Zunanji razvijalec, ki je pred tremi leti izdelal trgovino in ima še vedno SSH dostop. Skoraj nikoli nima DPA. Skoraj vedno ima še kredencial.

Rešitev ni glamurozna. Sedi za eno popoldne, popiši vsakega obdelovalca, prenesi trenutni DPA vsakega, podpiši. Podpisane PDF hrani v eni mapi z različico in datumom. Revizorji IP-RS bodo zahtevali natanko to mapo.

FURS fakturiranje proti pravici do pozabe

Spor, ki ga večina slovenskih trgovcev ne vidi prihajati.

Davčno potrjevanje računov (v veljavi od 2. januarja 2016) zahteva, da se vsak račun v realnem času prenese na FURS in hrani 10 let po Zakonu o davku na dodano vrednost. GDPR Člen 17 daje kupcu pravico do izbrisa.

Pravili se ne izničita. GDPR Člen 17(3)(b) izvzame “izpolnjevanje pravne obveznosti” — 10-letna hramba prevlada. Ne moreš pa zahteve preprosto zavrniti. Moraš:

  • Potrditi prejem zahteve v enem mesecu (GDPR Člen 12(3))
  • Izbrisati vse razen tistega, kar zadrži obveznost hrambe računa
  • V odgovoru pojasniti, katere podatke zadržuješ, na kateri pravni podlagi in za koliko časa
  • Omejiti uporabo zadržanih podatkov — ne več za marketing, analitiko, profiliranje

IP-RS je 18. maja 2022 izdal smernico točno o tem sporu. Kupec ohrani zapis računa, njegovo ime, e-pošta in naslov pa se izbrišejo iz Klaviyo, iz mapiranja user-ID v GA4, iz tabele wp_users in iz vsakega CRM-ja. Ostane samo PDF računa in FURS prenos.

Vgrajeno WooCommerce orodje za izbris osebnih podatkov tega ne opravi pravilno. Izbriše uporabnika, sirota naredi račune in prekine FURS sled. Rabiš prilagojen eraser hook, ki iz živih sistemov redigira identiteto stranke, PDF računa pa ohrani kot davčni dokument.

Pošiljanje in prenosi v tretje države

Ko Pošta Slovenije preda tvoj paket DHL-u za dostavo v Srbijo, sta ime in naslov stranke pravkar zapustila EGP. Prenos po Poglavju V.

Pri večini paketov v EU države to ni relevantno — Pošta Slovenije ostane v EU. Ko pošiljaš v Srbijo, Bosno, VB, ZDA ali skozi DPD Balkan hub v Beogradu, izvajaš mednarodni prenos podatkov.

Kar mora biti urejeno:

  • DPA prevoznika mora imeti aneks s Standardnimi pogodbenimi klavzulami (SCC predloga 2021, modul Two: upravljavec-obdelovalec).
  • Za VB: UK IDTA ali dodatek k EU SCC.
  • Za ZDA: od Schrems II ni več avtomatike; prejemnik naj bo certificiran po Data Privacy Framework, sicer SCC plus ocena vpliva prenosa.
  • Pravilnik zasebnosti mora imenovati državo in zaščitni ukrep.

Aramex, DPD Balkan in nekateri manjši regionalni prevozniki imajo tanke DPA. Preberi jih. Če DPA ne omenja SCC, s tem prevoznikom ne pošiljaj mednarodno.

Pravica do pozabe v WooCommerce

Vgrajeno orodje pod WooCommerce → Stanje → Orodja → “Odstrani osebne podatke” odstrani:

  • Ime, e-pošto, naslov stranke na naročilu (zamenja z “Anonymous”)
  • Vrstico uporabnika v wp_users
  • Naslove za obračun in dostavo v usermeta

Ne odstrani:

  • PDF računa (pravilno — glej FURS zgoraj)
  • Stripe customer objekta na strani Stripe (potreben klic Stripe API, vtičnik tega ne stori)
  • E-pošte v transakcijskem dnevniku (Mailgun, Postmark, SendGrid)
  • Vrstice stranke v Klaviyo/Mailchimp (rabi ločen API klic)
  • WooCommerce Subscriptions metapodatkov, če je imela stranka naročnino
  • Opomb naročila, ki vsebujejo ime, telefon ali komentarje stranke
  • Gravity Forms oddaj s kontaktne strani

Pravi delovni tok pravice do pozabe potrebuje kontrolni seznam. Uporabljamo sedemstopenjski:

  1. Zaženi WooCommerce eraser
  2. API-izbriši Stripe customer objekt
  3. API-izbriši ali suppression-list Klaviyo/Mailchimp profil
  4. Izbriši Mailgun dnevnike, starejše od 30 dni, za ta e-mail
  5. Redigiraj opombe naročila (majhna prilagojena funkcija)
  6. Izbriši Gravity Forms oddaje z istega e-maila
  7. Zabeleži izbris v compliance dnevniku (datum, prosilec, dotaknjeni sistemi, zadržane postavke)

Vse skupaj v manj kot 30 dneh. Ura teče od prejema zahteve.

Pogosta vprašanja

Ali potrebujem DPO (pooblaščeno osebo za varstvo podatkov)? Samo, če redno in sistematično spremljaš posameznike v velikem obsegu ali kot glavno dejavnost obdeluješ posebne kategorije podatkov. Običajna e-trgovina DPO ne potrebuje. Zasebna klinika, ki prek spleta prodaja termine — da.

Kako dolgo lahko hranim podatke o strankah? Marketinška privolitev: dokler je veljavna. Podatki naročila: 10 let za račun po ZDDV, 5 let za garancijo. Analitika: 14 mesecev v GA4 privzeto. Marketinški angažma: dokler je potreben za kampanjo, in ne dlje kot 24 mesecev brez ponovne privolitve.

Ali lahko preteklim strankam pošiljam promocijska sporočila? Za obstoječe stranke velja “soft opt-in” po Členu 13(2) Direktive 2002/58/EC — lahko jim pošlješ o podobnih izdelkih ali storitvah, če so ob nakupu dobili jasno možnost odjave in če vsak e-mail nosi enostaven mehanizem odjave. Za nestranke na tvojem seznamu — trdi opt-in, brez izjeme.

Ali moram pravilnik o zasebnosti prevesti v angleščino, če prodajam po EU? Da, če dejavno ciljaš stranke na trgih, ki ne govorijo slovensko. GDPR zahteva, da je obvestilo razumljivo občinstvu, na katerega je usmerjeno.

Kaj, če stranka zahteva vse svoje podatke (SAR — subject access request)? Odgovori v enem mesecu. Podaj v običajni obliki (JSON, PDF). Vključi zgodovino naročil, marketinške nastavitve, zapise privolitve piškotkov, prepise klepetov, če jih hraniš, in vsako prosto zapisano opombo, ki jo je podpora zapisala o njej. Brezplačno — brez zaračunanja za prvi zahtevek.

Ali je Klaviyo skladen z GDPR? Klaviyo je kot obdelovalec ustrezen v EU, ima podpisan DPA na voljo in EU regija (klaviyo.com/eu) hrani podatke na Irskem. Sam Klaviyo je v redu. Kje slovenske trgovine padejo: uvažajo stare sezname strank brez dokaza privolitve ali uporabljajo funkcije “profile enrichment”, ki črpajo iz zunanjih virov brez pravne podlage.

Ali moram IP-RS obvestiti o kršitvi varnosti podatkov? V 72 urah, odkar si za kršitev izvedel, če je verjetno, da tvega pravice in svoboščine posameznikov. Da za razkrito bazo strank, ne za blokiran brute-force poskus. Notranji register kršitev vodi tudi, če ne prijaviš — IP-RS ga bo pri reviziji zahteval.

GA4 privolitev — strežniška ali odjemalska? Strežniški GTM prek Consent Mode v2 z osnovnimi signali privolitve je trenutna dobra praksa. Samo odjemalski način pomeni, da blokator oglasov ali stroga izbira piškotkov dušita analitiko na nič. Strežniški z osnovnimi signali daje modelirane konverzije in spoštuje izbiro stranke.


Skladnost ni marketinška zgodba. Je nabor majhnih tehničnih odločitev v sedmih sistemih, preverjenih enkrat na četrtletje. Če tvoja slovenska WooCommerce trgovina potrebuje pregled skladnosti proti ZVOP-2 in trenutnim smernicam IP-RS, to opravimo v okviru naše storitve za trgovine in tekočega vzdrževanja skladnosti. Mejna vprašanja glede DPO in četrtletni pregledi gredo pod strateško vodenje.

Pogovorimo se

Pripravljeni popraviti, zgraditi
ali skalirati?

30 minut, z mano osebno. Preberem vaš sistem kot dnevniško datoteko in povem, kaj bi naredil najprej. Brez prezentacij, brez prodajnega lijaka.

Davor Majc, ustanovitelj, Numen

Kaj dobite na klicu
→ enostranska diagnostika
→ 2–3 obliki rešitve, razvrščeni po učinku
→ okvirni strošek + časovnica za vsako
→ da/ne — ali sem prava izbira
+386 40 828 474 · Blejska Dobrava, SI