Happy Media

Web compliance · 8. maj 2026.

GDPR i ZZPL za srpski sajt 2026 — šta morate imati i kako ne dobiti kaznu

Marko Čović · CEO Happy Media · Vreme čitanja 11 min

TL;DR — kratak odgovor

Ako vaš sajt prikuplja bilo koje podatke (kontakt forma, newsletter, cookie tracking) — GDPR i ZZPL se odnose na vas. Treba: 1) cookie consent banner, 2) Privacy Policy prilagođen vašem biznisu, 3) Data Processing Agreement sa Google/Meta. Kazne idu od €1.000 do 4% godišnjeg prometa. Ovo je vodič za 2026. Naša usluga održavanja sajta i izrada sajtova uključuju GDPR usklađenost.

Razlika GDPR (EU) vs ZZPL (Srbija) — šta važi gde

Pre nego što kreneš da panično postavljaš cookie banner, treba razumeti šta se na tebe odnosi. U Srbiji u 2026. godini, postoje dva paralelna pravna okvira koja se primenjuju na veb-sajtove:

GDPR (General Data Protection Regulation) je EU regulativa iz maja 2018. Iako je EU regulativa, ima ekstrateritorijalni domet — primenjuje se na svaku obradu podataka građana EU, bez obzira gde se nalazi obrađivač. Ako vaš sajt:

  • Prodaje proizvode ili usluge EU klijentima
  • Cilja EU korisnike (npr. ima EUR cene, EU-jezike, EU dostavu)
  • Mereji ponašanje EU posetilaca (Google Analytics, Facebook Pixel)

...onda GDPR važi za vas. Bukvalno — agencije iz Beograda koje rade za EU klijente moraju da budu GDPR-compliant.

ZZPL (Zakon o zaštiti podataka o ličnosti) je srpski zakon iz 2018, harmonizovan sa GDPR-om. Pokriva sve obrade podataka u Srbiji — bilo da su podaci od Srba ili stranaca. Nadzorni organ je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti.

Praktično: ako uradite GDPR compliance pravilno, ZZPL je 95% pokriven. Razlike su uglavnom procesne (kome se prijavljuje, ko vodi spor).

Da li se GDPR/ZZPL odnosi na vas — checklist

Postavi sebi ova 3 pitanja:

1. Da li vaš sajt prikuplja BILO KAKAV podatak o korisnicima?

  • Kontakt forma sa imenom i emailom — DA
  • Newsletter prijavni obrazac — DA
  • Komentari na blog-u — DA
  • E-commerce checkout — DA
  • Login sistem — DA
  • Google Analytics ili neki drugi tracker — DA (IP adresa je lični podatak)
  • Facebook Pixel, TikTok Pixel — DA

Ako bilo koje od ovih važi — GDPR/ZZPL se primenjuje na vas. Što praktično znači — bukvalno svaki moderan sajt.

2. Da li ciljate ili primate posetioce iz EU? Ako vaš sajt ima posetioce iz EU (a većina srpskih sajtova ima — dijaspora, B2B EU klijenti) — GDPR se aktivira pored ZZPL-a. Imate dvostruku obavezu.

3. Imate li trenutno cookie banner i Privacy Policy? Ako je odgovor "ne" ili "imamo neki generic" — bukvalno ste u prekršaju. Vreme je da se sredite.

Ako planirate redizajn ili izradu novog sajta, GDPR usklađenost mora biti uključena od početka — naknadno dodavanje je 2-3x skuplje.

Cookie consent banner — kako ga ispravno postaviti

Cookie banner je verovatno najvažnija pojedinačna implementacija. Zahtevi su:

1. Mora se pojaviti pre nego što se učita BILO KOJI tracker. Ne smete učitati Google Analytics pre nego što korisnik pristane. Ovo je tehnički najteži deo.

2. Mora imati jasan "Prihvati sve" i "Odbij sve" dugme. Dugme "Odbij sve" mora biti jednako vidljivo kao "Prihvati sve". Trik sa malim sivim "X" u uglu je prekršaj — to se zove "dark pattern".

3. Mora dozvoljavati granularan izbor. Korisnik mora moći da prihvati npr. samo "neophodne" cookies, ali ne i marketing.

4. Mora biti opozivo. Ako korisnik kasnije želi da promeni izbor, mora postojati način (link u footeru "Cookie podešavanja").

Tehnička rešenja

Rešenje Cena Najbolje za
Cookiebot€20–€90/mesOzbiljne firme, automatsko skeniranje cookies-a
Klaro (open-source)€0Tehnički kompetentne firme, full kontrola
CookieYes€10–€55/mesWordPress sajtovi, jednostavna integracija
OneTrust€500+/mesEnterprise, multi-region kompleks
Custom development€500–€2.000 jednomSpecifični use case-ovi

Naša preporuka: za 80% srpskih malih i srednjih firmi, CookieYes ili besplatan Klaro su odlični. Cookiebot ako imate budget i ozbiljniji sajt sa 50+ third-party skripti.

Ako razmišljate o SEO optimizaciji, znajte da loš cookie banner može da naruši Core Web Vitals (kasno učitavanje, layout shift). Birajte rešenje koje radi async i ne pomera sadržaj.

Privacy Policy — 10 obaveznih sekcija

Privacy Policy nije generic dokument koji preuzmete sa nekog template sajta. Mora biti specifičan vašem biznisu. Po članu 13. GDPR-a (i ekvivalentnim u ZZPL-u), mora da sadrži:

  1. Identitet i kontakt podaci rukovaoca — ime firme, adresa, PIB, email za pitanja o zaštiti podataka
  2. Kontakt DPO (Data Protection Officer) ako ga imate — obavezno za firme sa >250 zaposlenih ili large-scale obradom
  3. Svrhe obrade — zašto prikupljate podatke (npr. "za odgovor na vaš upit", "za slanje newsletter-a", "za personalizaciju oglasa")
  4. Pravna osnova — pristanak, ugovor, legitimni interes, zakonska obaveza
  5. Primaoci podataka — sa kim delite podatke (Google, Meta, Mailchimp, vaš hosting provider)
  6. Da li podaci napuštaju EU — i ako da, kakvi su safeguardi (Standard Contractual Clauses, Data Privacy Framework)
  7. Period čuvanja — koliko dugo čuvate podatke i po kojoj logici
  8. Prava korisnika — pristup, ispravka, brisanje, prenosivost, prigovor
  9. Pravo na žalbu Povereniku za zaštitu podataka u Srbiji
  10. Detalji automatskog odlučivanja / profilisanja — ako koristite

Najčešća greška: kopirati Privacy Policy sa drugog sajta i samo promeniti ime firme. To je prekršaj. Pravilan Privacy Policy za malu firmu košta €200–€500 da ga napiše advokat. Za jednostavniji slučaj možete koristiti generator (Termly, iubenda) i prilagoditi — ali pročitajte i adaptirajte.

Data Processing Agreement (DPA) sa Google, Meta, Mailchimp

Ovo je deo koji 90% srpskih sajtova ne radi — i to je ozbiljan rizik.

DPA je ugovor između vas (Data Controller) i bilo kog servisa koji obrađuje podatke u vaše ime (Data Processor). Ako koristite:

  • Google Analytics, Google Ads, Google Workspace — DPA je ugrađen u njihove Terms (ali ga MORATE prihvatiti unutar Admin panela)
  • Meta (Facebook, Instagram) Ads — DPA prihvatate kroz Business Manager
  • Mailchimp, Brevo, MailerLite — automatski DPA u Terms
  • Vaš hosting provider (mts, EUnet, mCloud) — proverite da li imaju formalni DPA
  • Stripe, PayPal — DPA u Merchant Agreement-u

Akcija: napravite Excel listu svih third-party servisa koje koristite. Za svaki, pronađite gde se prihvata DPA i prihvatite ga. Sačuvajte screenshot/email kao dokaz. Ovo vas štiti u slučaju spora.

Right to be forgotten — kako implementirati

Po članu 17. GDPR-a, korisnik ima pravo da traži brisanje svojih podataka. Vi morate da:

  1. Imate jasan email/forma na sajtu za zahteve za brisanjem (najčešće: privacy@vaš-sajt.com)
  2. Odgovorite u roku od 30 dana (može se produžiti za 60 dodatnih u kompleksnim slučajevima)
  3. Verifikujete identitet podnosioca (da neko ne briše tuđe podatke)
  4. Brisanje obuhvati sve sisteme — vašu bazu, Mailchimp, CRM, backups (sa razumnim rokom)
  5. Obavestite sve treće strane sa kojima ste delili podatke

Praktično: napravite SOP (standard operating procedure) dokument sa konkretnim koracima — koji zaposleni radi šta, koje sisteme proverava, kako dokumentuje. Bez ovoga, kada zahtev stigne (a stići će), bićete u panici.

Kazne i poznati primeri u Srbiji

Realne kazne u Srbiji 2024-2025 prema podacima Poverenika:

  • Fizičko lice — kazna: 20.000–200.000 RSD (oko €170–€1.700)
  • Mala firma — najčešće: 100.000–500.000 RSD (€850–€4.250)
  • Srednja firma — najčešće: 500.000–1.500.000 RSD (€4.250–€12.750)
  • Velika firma / sistemski prekršaj — do 2.000.000 RSD (€17.000) po ZZPL-u, ali GDPR može da ide do 4% globalnog prometa

Najčešći razlozi kazni:

  1. Odsustvo cookie banner-a (ili dark pattern banner)
  2. Odsustvo Privacy Policy ili generic copy-paste
  3. Newsletter bez double opt-in
  4. Slanje marketinga osobama koje nisu pristale
  5. Nedovoljno obezbeđenje podataka (data breach koji je trebalo prijaviti)

EU primeri za referencu:

  • Amazon — €746M (2021, Luksemburg)
  • Meta — €1.2B (2023, Irska)
  • Google — €50M (2019, Francuska)

Iako su EU brojke senzacionalne, realne brojke za male firme u Srbiji su €1.000–€5.000 po prijavi. Ali što je gore — mnoge prijave dolaze od konkurenata ili nezadovoljnih bivših korisnika.

Kako proveriti da li ste compliant — besplatni alati

Pre nego što platite advokata €500 za audit, uradite samoprocenu:

1. CookieMetrix.com (besplatan) — skenira vaš sajt i pokazuje koje cookies se postavljaju pre nego što korisnik pristane. Ako vidite GA cookies pre klika na "Prihvati" — fail.

2. PrivacyScore.org — javni skenovi sigurnosti i privatnosti, daje rejting.

3. Google Search Console / Privacy Report — pokazuje da li su vaši third-party trackeri compliant.

4. Browser DevTools — otvorite svoj sajt, idite na Application → Cookies tab, učitajte u incognito mode, pre klika na cookie banner — koliko cookies se već postavilo? Treba da bude 0–2 strogo neophodnih.

5. Termly Privacy Policy Generator — checklist gde unosite šta vaš sajt radi, dobijate listu nedostataka.

Mit i istina — najčešći nesporazumi

Mit 1: "Mali smo, neće nas dirati". Istina: kazne za male firme u Srbiji su češće od kazni za velike. Velike firme imaju advokate koji rešavaju proaktivno.

Mit 2: "Imamo Privacy Policy iz template-a, dovoljno je". Istina: generic Privacy Policy je u prekršaju ako ne opisuje vaš stvarni proces. Mora biti prilagođen.

Mit 3: "Ne prikupljamo podatke, samo Google Analytics". Istina: GA prikuplja IP adrese (lični podatak). Banner je obavezan.

Mit 4: "GDPR ne važi za nas, mi smo u Srbiji". Istina: ZZPL je harmonizovan sa GDPR-om i pokriva 95% istih obaveza.

Mit 5: "Ako neko prizna da je iz EU, isključimo trackere". Istina: ne radi tako. Banner mora da bude SVAKOM korisniku.

Mit 6: "Stavili smo i-frame cookie banner sa drugog sajta, ok smo". Istina: i-frame banner ne radi za waše cookies. Mora biti tehnički integrisan.

Ako razmišljate o SEO optimizaciji, GDPR compliance utiče i na to — Google penalizuje sajtove koji forsiraju cookies. Sve je povezano. Više detalja kako odabrati pravu agenciju koja razume sve ovo u članku kako odabrati agenciju.

FAQ — često postavljana pitanja o GDPR/ZZPL

Da li GDPR važi za sajt registrovan u Srbiji?

Da, ako vaš sajt prima posetioce iz EU. GDPR ima ekstrateritorijalni domet — primenjuje se na svaku obradu podataka građana EU. Ako prodajete EU klijentima, ako merite saobraćaj iz EU, ako šaljete newsletter EU adresama — GDPR važi. Pored toga, u Srbiji važi ZZPL koji je harmonizovan sa GDPR-om. Ako razmišljate o redizajnu, naša izrada sajtova uključuje GDPR usklađenost od početka.

Šta je razlika između GDPR i ZZPL?

GDPR (General Data Protection Regulation) je EU regulativa iz 2018, primenjuje se na obradu podataka EU građana. ZZPL je srpski zakon iz 2018, harmonizovan sa GDPR-om. Praktično — ako ste compliant sa GDPR-om, najverovatnije ste i sa ZZPL-om. Glavne razlike su u nadzornom organu i u nekoliko procesnih pitanja. Većina pravnih obaveza je identična.

Da li mi treba cookie consent ako koristim samo Google Analytics?

Da, definitivno. Google Analytics koristi cookies i prikuplja IP adrese koje su lični podaci. MORATE imati: 1) cookie banner koji blokira GA dok korisnik ne pristane, 2) Privacy Policy koji opisuje kako koristite GA, 3) opt-in mehanizam (ne samo informisanje). Ako vam treba ovo da rešite, naša usluga GDPR usklađenosti pokriva tehničku implementaciju.

Kolika je kazna za GDPR prekršaj u Srbiji?

Po srpskom ZZPL: do 2 miliona dinara (oko €17.000) za pravna lica. Po GDPR-u: do €20M ili 4% globalnog godišnjeg prometa, šta god je veće. Realne kazne za male firme u Srbiji u 2024-2025: €1.000–€5.000 po prijavi. Najčešće za odsustvo cookie banner-a i Privacy Policy-ja. Pogledajte cene izrade sajta — uključivanje GDPR-a od početka košta manje od jedne kazne.

Da li je dovoljno da imam Privacy Policy iz template-a?

Ne. Generic template Privacy Policy je bolje od ničega, ali nije dovoljno. Privacy Policy mora specifično da opisuje VAŠU obradu podataka — koje podatke prikupljate, zašto, koliko ih čuvate, kome ih šaljete, prava korisnika. Generic Privacy Policy koji ne opisuje vaš stvaran proces je prekršaj. Mora da bude prilagođen, na srpskom, sa stvarnim kontaktima. Više detalja o ceni održavanja sa GDPR delom u članku cena održavanja sajta.

Šta sa newsletterom i double opt-in?

Po GDPR-u i ZZPL-u, newsletter zahteva eksplicitan opt-in. Best practice je double opt-in — korisnik unese email, dobija potvrdu na mail, klikne link da potvrdi. Single opt-in je dozvoljen ali rizičan. MailChimp, Brevo, MailerLite svi imaju double opt-in ugrađen. Pre-checked checkbox NIJE pristanak po GDPR-u. To je glavni razlog GDPR kazni za male firme.

Niste sigurni da li je vaš sajt GDPR-compliant?

Bez obaveze, bez sales pritiska. Pošaljite link sajta — vraćamo vam audit ključnih GDPR/ZZPL tačaka u roku od 48h, sa konkretnim koracima šta da uradite.

Zatraži besplatan GDPR audit →

Pročitajte i ovo

Povezani članci