Zakon o zaštiti podataka o ličnosti (FAQ)
Marketing agencije
1. Da li agencije spadaju pod GDPR iako nisu u EU?
Da, čim obrađuju podatke građana EU (npr. targetiranje publike u EU), moraju poštovati GDPR. Osim toga kod nas postoji ZZPL (Zakon o zaštiti podataka o ličnosti) koji je sinhronizovan sa GDPR-om, tako da i za obradu “naših” ljudi u obavezi ste da poštujete iste procedure kao za GDPR.
2. Ko je rukovalac, a ko obrađivač podataka u kontekstu agencija?
Klijent je rukovalac, agencija je obrađivač jer radi obradu u ime klijenta.
3. Mora li agencija imati DPA sa klijentima?
Da, Data Processing Agreement je obavezan za svaku obradu podataka u ime klijenta.
4. Da li agencija može koristiti leadove jednog klijenta za drugog?
Ne, to je ozbiljno kršenje GDPR-a i povlači velike kazne.
5. Koliko dugo agencija može čuvati podatke nakon raskida saradnje?
Ne sme – mora odmah obrisati ili vratiti klijentu.
6. Da li agencija sme da pokrene kampanju bez CMP-a na sajtu klijenta?
Ne, to je nelegalno jer kolačići rade bez dozvole.
7. Kako Consent Mode utiče na Google Ads kampanje?
Bez njega gube se konverzije, remarketing i deo smart bidding podataka.
8. Da li agencija mora da proveri da CMP i GTM rade zajedno?
Da, CMP bez GTM integracije je beskoristan.
9. Ko je odgovoran za edukaciju klijenta o GDPR-u – agencija ili klijent?
Oba. Agencija mora objasniti tehničke posledice, klijent je odgovoran za pravnu dokumentaciju.
10. Da li agencija može koristiti alate koji nisu GDPR-kompatibilni?
Ne, svi alati (analytics, CRM, chatbot) moraju biti provereni.
11. Kako agencija dokazuje da poštuje GDPR?
Kroz interne politike, DPA ugovore, logove i dokumentaciju procesa.
12. Da li je remarketing dozvoljen bez consent-a?
Ne, remarketing liste se mogu graditi samo uz saglasnost.
13. Šta se dešava ako korisnik odbije consent?
Tagovi za marketing i analitiku se ne smeju učitati.
14. Da li modeliranje konverzija rešava problem nedostatka consent-a?
Delimično – radi samo ako je Consent Mode implementiran.
15. Koliko često agencija treba da radi GDPR audit?
Preporuka je kvartalno.
16. Da li agencija mora obučavati svoje zaposlene o GDPR-u?
Da, svi koji rade sa podacima moraju znati osnove.
17. Može li agencija biti kažnjena ako CMP ne radi ispravno?
Da – jer je obrađivač i odgovoran je za tehničku implementaciju.
18. Šta znači retention politika za agencije?
Podaci se ne čuvaju beskonačno – leadovi i newsletter liste brišu se nakon 12–24 meseca neaktivnosti.
19. Šta je „shadow IT” greška?
Kada agencija instalira alate ili skripte bez znanja klijenta i provere GDPR usklađenosti.
20. Kako GDPR može biti prednost za agenciju?
Agencija koja zna GDPR i Consent Mode postaje strateški partner i gradi veće poverenje.
Data Protection Officer
21. Šta je primarna odgovornost DPO-a?
Da obezbedi usklađenost sa GDPR-om i ZZPL-om, kao i da nadgleda obradu podataka.
22. Da li DPO mora da implementira CMP?
Ne, to je zadatak IT/marketinga, ali DPO proverava da li CMP radi ispravno.
23. Mora li DPO biti pravnik?
Ne, ali mora razumeti i pravo i tehnologiju.
24. Šta je DPIA i kada je obavezna?
Procena uticaja na zaštitu podataka, obavezna kod visokorizičnih obrada (npr. zdravstveni podaci).
25. Kako DPO proverava Consent Mode?
Testira baner, GTM tagove i proverava consent logove.
26. Šta ako CMP baner radi, ali tagovi se ipak pale?
To je propust – DPO mora zahtevati ispravku jer je to nelegalna obrada.
27. Da li DPO određuje retention rokove?
On savetuje i dokumentuje, rukovalac donosi konačnu odluku.
28. Ko prijavljuje data breach?
DPO mora prijaviti nadležnom organu u roku od 72 sata i korisnicima ako postoji rizik.
29. Mora li DPO voditi evidenciju obrada?
Da, ili mora nadgledati da rukovalac to vodi.
30. Da li DPO snosi ličnu odgovornost?
Ne za odluke rukovaoca, ali može disciplinski odgovarati ako zanemari obaveze.
31. Ko edukuje zaposlene o GDPR-u?
DPO mora organizovati obuke i interne smernice.
32. Šta je „privacy by design”?
Princip da se zaštita podataka ugradi već u dizajn sistema i procesa.
33. Šta je „privacy by default”?
Podrazumevana podešavanja moraju štititi privatnost (npr. opt-in umesto opt-out).
34. Ko proverava ugovore sa trećim stranama?
DPO mora osigurati da postoje DPA ugovori i da partneri poštuju GDPR.
35. Mora li DPO imati kontakt sa nadzornim organom?
Da, on je zvanična kontakt tačka.
36. Može li DPO raditi i druge poslove u firmi?
Da, ali ne sme postojati sukob interesa (npr. ne može biti CMO).
37. Kako DPO kontroliše CRM sisteme?
Proverava retention, pristupe i usklađenost sa GDPR-om.
38. Kako DPO proverava sigurnost podataka?
Preko IT-a – SSL, 2FA, enkripcija, logovi pristupa.
39. Šta radi DPO kada se uvodi novi alat (npr. chatbot)?
Radi DPIA i proverava da li je alat GDPR-kompatibilan.
40. Kako DPO pomaže marketingu?
Objašnjava pravne rizike i osigurava da kampanje funkcionišu sa consent signalima.
Klijenti / vlasnici biznisa
41. Da li sam kao vlasnik sajta odgovoran za CMP?
Da – vi ste rukovalac podataka, CMP je obavezan.
42. Da li mi Google može blokirati Ads nalog ako nemam CMP?
Da – u skladu sa Google EU User Consent Policy.
43. Koja je razlika između Cookiebota i CookieYes-a?
Oba su Google-certifikovani CMP, razlikuju se u ceni i funkcijama (CookieYes popularniji za WordPress, Cookiebot globalno).
44. Da li CMP garantuje da neću dobiti kaznu?
CMP pomaže, ali morate imati i Politiku privatnosti, retention politiku i interne procedure.
45. Koliko dugo smem čuvati podatke o klijentima?
Samo dok je svrha obrade aktivna – za marketing leadove obično 12–24 meseca, za fakture 10 godina.
46. Šta ako korisnik zatraži brisanje podataka?
Morate obrisati u razumnom roku osim ako postoji zakonski osnov za čuvanje (npr. poreski podaci).
47. Da li mi CMP usporava sajt?
Minimalno – ali bez CMP-a rizikujete gubitak publike i kazne.
48. Kako znam da li moj CMP radi ispravno?
Ako se Ads, GA4 i Pixel tagovi ne pale kada korisnik odbije kolačiće.
49. Da li Consent Mode utiče na performanse kampanja?
Da – ako je implementiran, zadržavate optimizaciju; ako nije, performanse drastično padaju.
50. Da li moram imati Politiku privatnosti i Politiku kolačića?
Da – to je zakonska obaveza i CMP se mora pozivati na njih.
51. Mogu li koristiti newsletter bazu staru 5 godina?
Ne – data dozvola zastareva, liste starije od 24 meseca treba očistiti.
52. Da li moram obavestiti korisnika o kolačićima za analitiku?
Da – čak i analitički kolačići zahtevaju dozvolu(osim striktno nužnih).
53. Koja je kazna u Srbiji za kršenje ZZPL-a?
Do 2 miliona RSD za pravno lice i 500.000 RSD za odgovorno lice.
54. Zašto je Consent Mode v2 obavezan od 2024?
Google neće više obrađivati EU promet bez validnog consent signala.
55. Da li CMP može da poveća moju stopu konverzije?
Da – transparentnost povećava poverenje korisnika, a optimizovan baner povećava opt-in stope.