Kako uspešno implementirati GDPR i Google Consent Mode na sajtu Klinike ili Zubne Ordinacije
Zdravstvene ustanove, uključujući zubne ordinacije i privatne klinike, sve više koriste digitalne kanale da privuku pacijente. Kontakt forme za zakazivanje, online konsultacije, newsletter obaveštenja i remarketing kampanje postaju standard za njihove aktivnosti.
Međutim, od januara 2024. Google je uveo Consent Mode v2, dok evropski i domaći propisi (GDPR i Zakon o zaštiti podataka o ličnosti) zahtevaju strogu kontrolu obrade podataka, posebno kada se radi o zdravstvenim informacijama. Kršenje ovih pravila može da dovede do kazni i do 500.000 RSD, ali i do ozbiljnog narušavanja poverenja pacijenata, što je u praksi još skuplje od novčane kazne.
U nastavku donosimo vodič u 7 ključnih koraka koji će vam pomoći da uskladite svoj sajt sa GDPR-om i sačuvate performanse kampanja kroz Consent Mode v2.
1. Mapiranje podataka
Prvi korak je da znate tačno koje podatke sajt i vaša klinika/ordinacija prikupljaju. Kod zdravstvenih ustanova to može biti ime, prezime, telefon, email, ali i podaci o zdravlju (npr. razlog posete). Ovi podaci spadaju u kategoriju posebnih podataka o ličnosti i zahtevaju dodatnu pažnju.
Praktičan primer:
Kontakt forma „Zakažite pregled” prikuplja ime, email i telefon.
Forma za online konsultacije može sadržati polje „opis problema” → to je zdravstveni podatak.
Newsletter forma prikuplja email za obaveštenja o promocijama i popustima.
CRM beleži istoriju zakazivanja i poseta.
Odgovornost: vlasnik ordinacije i marketing tim.
Savet: Razdvojte obične kontakt podatke (ime, email, telefon) od osetljivih (opis simptoma). Za osetljive podatke potrebna je izričita dozvola pacijenta.
2. Pravna dokumentacija
Sajt ordinacije mora imati jasnu Politiku privatnosti i Politiku kolačića. U njima se mora naglasiti da se podaci koriste isključivo za zakazivanje, komunikaciju i marketing uz pristanak.
Praktičan primer:
Na sajtu napravite dve stranice:
„Politika privatnosti” – opisuje koje podatke prikupljate, koliko dugo ih čuvate i ko ima pristup (npr. lekari, IT).
„Politika kolačića” – objašnjava da koristite kolačiće za analitiku i remarketing, ali samo uz saglasnost pacijenata.
Odgovornost: Pravnik ili DPO.
Savet: Za osetljive podatke (npr. medicinske napomene) uvek jasno napišite da se obrađuju samo uz izričitu dozvolu i samo u svrhu pružanja zdravstvene usluge.
3. Consent Management (CMP)
CMP omogućava pacijentima da izaberu koje kolačiće prihvataju.
Google priznaje samo Google-certifikovane CMP-ove (npr. Cookiebot, CookieYes).
Praktičan primer:
Pacijent dođe na sajt ordinacije → pojavi se cookie baner → bira opciju „Prihvatam marketing kolačiće”. Tek tada se učitavaju Google Ads i Meta Pixel tagovi.
Odgovornost: IT i marketing tim.
Savet: Ako se registrujete preko naše platforme, dobijate 10% popusta na Cookiebot i CookieYes licence prve dve godine uz tutorijale na srpskom jeziku.
4. Google Tag Management
GTM mora biti podešen tako da svi marketing tagovi čekaju pristanak. Ako pacijent odbije, kolačići i tagovi ne treba da se aktiviraju.
Praktičan primer:
GA4 analitika radi samo ako je
analytics_storage = granted.Meta Pixel i Google Ads konverzioni tagovi rade samo ako je data saglasnost za marketing.
Odgovornost: Marketing tim.
Savet: Korišćenjem Consent Mode v2, čak i kada pacijent odbije kolačiće, Google može koristiti modelirane podatke (bez identifikacije pojedinca) kako bi vam dao uvid u performanse kampanja.
5. Sigurnost podataka
Zdravstveni podaci su osetljivi i kao takvi, zahtevaju maksimalnu zaštitu i privatnost.
Praktičan primer:
Sajt mora imati SSL sertifikat.
CRM i softver za zakazivanje moraju biti zaštićeni dvofaktorskom autentifikacijom.
Samo medicinsko osoblje ima pristup podacima o zdravlju.
Redovan backup i enkripcija podataka.
Odgovornost: IT sektor + medicinski menadžment.
Savet: Ugovorite DPA (Data Processing Agreement) sa eksternim softverskim i hosting provajderima.
6. Retention i brisanje podataka
Podaci pacijenata ne smeju se čuvati beskonačno.
Morate jasno razlikovati marketinške i kontakt podatke (leadovi, newsletter prijave) od zdravstvene dokumentacije i medicinskih kartona.
Pravni osnov:
GDPR čl. 5(1)(e) i ZZPL čl. 5(1) tačka 5: lični podaci se čuvaju samo dok je to neophodno za svrhu obrade.
Zakon o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva RS (Sl. glasnik RS br. 123/2014 i dr.) propisuje obavezne rokove čuvanja zdravstvene dokumentacije.
Praktičan primer:
Upiti i leadovi sa sajta (npr. zakazivanje pregleda, forme za kontakt): čuvaju se 12–24 meseca bez aktivnosti, nakon čega se brišu ili anonimizuju.
Newsletter liste: dok traje dozvola pacijenta ili maksimalno 24 meseca neaktivnosti.
Medicinska dokumentacija i kartoni pacijenata: moraju se čuvati u skladu sa posebnim propisima.
Izveštaji o lečenju i kartoni pacijenata: 10 godina od poslednjeg unosa.
Istorija bolesti i medicinska dokumentacija o hospitalizaciji: 30 godina.
Knjige rođenih, porođajni izveštaji, evidencije o vakcinaciji: trajno ili 50+ godina (zavisno od vrste evidencije).
Odgovornost: DPO (lice za zaštitu podataka o ličnosti), glavni lekar i CRM administrator.
Savet:
U softveru za zakazivanje i CRM-u podesite automatsko brisanje/anonimizaciju leadova nakon 12 meseci.
Za zdravstvenu dokumentaciju obavezno sledite rokove iz Zakona o zdravstvenoj dokumentaciji – npr. kartoni pacijenata 10 godina, istorija bolesti 30 godina.
U Politici privatnosti jasno razdvojite ove kategorije: marketing podaci (kraći rokovi) vs. medicinski podaci (zakonski propisani rokovi).
| Kategorija podataka | Osetljivi podaci | Svrha obrade | Rok čuvanja (primer) | Pravni osnov | Odgovornost |
|---|---|---|---|---|---|
| Upiti sa sajta / leadovi (zakazivanje, kontakt forma) | NE (obično); DA ako polje sadrži opis simptoma | Kontaktiranje pacijenta, zakazivanje pregleda | 12–24 meseca bez aktivnosti, potom brisanje/anonimizacija | GDPR/ZZPL: legitimni interes (čl. 6(1)(f)) ili dozvola(6(1)(a)); za zdravstvene podatke potrebna izričita dozvola (čl. 9) | DPO / CRM admin / Call centar |
| Newsletter lista (e-mail) | NE | Slanje obaveštenja i ponuda | Do povlačenja dozvole ili max. 24 meseca neaktivnosti | Dozvola(GDPR 6(1)(a)); pravo povlačenja u svakom trenutku | Marketing / DPO |
| Kolačići i online identifikatori (Analytics/Ads) | NE (ali lični podaci) | Analitika poseta i oglašavanje (remarketing) uz CMP | Do isteka kolačića (npr. 13 meseci za analitičke – smernice); marketing samo uz pristanak | Dozvola kroz CMP; Google Consent Mode v2; ePrivacy pravila | IT / Marketing |
| Termin/zakazivanje (kalendar, podsjetnici) | DA (može implicirati zdravstveno stanje) | Organizacija zdravstvene usluge | 3–5 godina nakon poslednje posete ili završetka lečenja (interno pravilo) * | GDPR 9(2)(h) (zdravstvena zaštita) + ZZPL; interni akt i medicinski propisi | Uprava ordinacije / DPO |
| Medicinski karton pacijenta (ambulantni karton) | DA – zdravstveni podaci (posebna kategorija) | Dijagnostika, lečenje, praćenje anamneze | Min. 10 godina od poslednjeg unosa (uobičajeno pravilo) | Sektorski propisi o zdravstvenoj dokumentaciji + GDPR 9(2)(h) | Glavni lekar / DPO / Arhiva |
| Istorija bolesti, izveštaji o hospitalizaciji | DA – zdravstveni podaci | Dokumentovanje toka lečenja | Do 30 godina (po vrsti dokumenta) * | Sektorski propisi; GDPR 9(2)(h) | Glavni lekar / Arhiva |
| Laboratorijski nalazi, radiološki snimci | DA – zdravstveni podaci | Dijagnostika i kontrola | 5–10 godina (zavisno od vrste nalaza/snimka) * | Sektorski propisi; GDPR 9(2)(h) | Laboratorija / Radiologija / Arhiva |
| Recepti, terapijski planovi | DA – zdravstveni podaci | Propisivanje i praćenje terapije | 5–10 godina (u skladu sa posebnim propisima) * | Sektorski propisi; GDPR 9(2)(h) | Odgovorni lekar / Arhiva |
| Finansijska dokumentacija (računi, fiskalni isečci) | NE (osim ako sadrži zdravstvene napomene) | Računovodstvo i porezi | 10 godina (računovodstveni propisi) | Zakon o računovodstvu RS | Računovodstvo / Uprava |
| Telefonski pozivi / snimci (ako se snimaju) | Moguće DA (ako sadrže zdravstvene informacije) | Poboljšanje kvaliteta usluge, dokaz komunikacije | 3–6 meseci (ako je opravdano i uz jasnu obaveštenost) | Legitimni interes + transparentnost; procena neophodnosti | Uprava / DPO |
| Video-nadzor (ako postoji u objektu, ne u ordinaciji) | NE (po pravilu) | Bezbjednost objekta (ne u prostorijama pregleda) | 15–30 dana (tipično), kraće ako nije neophodno | Legitimni interes; posebna obaveštenja i oznake | Uprava / Bezbednost |
Napomene * – Tačni rokovi za zdravstvenu dokumentaciju mogu varirati po vrsti evidencije i posebnim propisima.
Uvek proveriti važeće podzakonske akte i interni Pravilnik o arhiviranju (npr. karton min. 10 godina; istorija bolesti i do 30 godina; pojedine evidencije – duže/trajno).
Ovaj pregled je informativan i treba ga potvrditi sa pravnikom/DPO-om pre usvajanja u vašim politikama.
7. Monitoring i revizija
GDPR i Consent Mode zahtevaju stalnu proveru.
Praktičan primer:
Kvartalni GDPR audit – da li cookie baner radi ispravno, da li su politike ažurne.
Provera u Google Tag Assistant-u da li se tagovi učitavaju samo nakon pristanka.
Export logova o pristancima kroz CMP.
Odgovornost: DPO ili eksterni konsultant.
Savet: Napravite internu „checklistu” i radite reviziju bar jednom u tri meseca.
| Korak | Aktivnost | Praktičan primer | Odgovornost |
|---|---|---|---|
| 1. Mapiranje podataka | Identifikovati koje podatke sajt i ordinacija prikupljaju | Forma za zakazivanje (ime, telefon, email), opis problema u konsultaciji, CRM istorija | Vlasnik ordinacije + Marketing |
| 2. Pravna dokumentacija | Izraditi Politiku privatnosti i Politiku kolačića | Stranice koje objašnjavaju svrhe obrade i prava pacijenata | Pravnik / DPO |
| 3. Consent Management | Implementirati CMP (Cookiebot / CookieYes) | Cookie baner → CMP šalje signal Google Ads/GA4 | IT + Marketing |
| 4. Tag Management | Podešavanje GTM-a da čeka consent | GA4 i Ads tagovi aktivni samo kada je consent = granted | Marketing tim |
| 5. Sigurnost podataka | Tehničke i organizacione mere | SSL, firewall, 2FA, enkripcija, ograničen pristup medicinskom osoblju | IT + Uprava |
| 6. Retention i brisanje | Definisati rokove čuvanja leadova i medicinske dokumentacije | Leadovi 12–24 meseca, medicinska dokumentacija 10+ godina | DPO / CRM administrator |
| 7. Monitoring i revizija | Redovna provera CMP-a, tagova i evidencije pristanka | Kvartalni audit, export logova, GTM provera | DPO / Eksterni konsultant |
| 8. Google Consent Mode v2 | Uskladiti CMP sa zahtevima Google-a | Ako nema pristanka → koristi se modeliranje konverzija | Marketing + IT |
Zašto je Google Consent Mode v2 važan za klinike i ordinacije?
Ako ga ne implementirate:
❌ Google Ads neće meriti konverzije sa formi za zakazivanje.
❌ Remarketing publike („ljudi koji su gledali cene implanta”) neće se graditi.
❌ Smart bidding neće raditi precizno.
Ako ga implementirate:
✅ Tačno merite CPL (cost per lead).
✅ I dalje imate uvid kroz modelirane podatke u GA4 i Ads.
✅ Možete graditi publike i zadržati efikasnost kampanja.
Zaključak
Za ordinacije i klinike, gde je poverenje pacijenata ključno, GDPR i Consent Mode v2 nisu samo zakonska obaveza već i signal profesionalnosti. Pacijenti očekuju da se njihovi podaci čuvaju sigurno i da imaju kontrolu nad time.
Krenite redom: mapirajte podatke, obezbedite pravne dokumente, implementirajte CMP, postavite GTM tagove, osigurajte zaštitu i redovno radite reviziju.
Ako želite praktičnu podršku i dodatni benefit, preko naše platforme možete se registrovati za Cookiebot ili CookieYes uz 10% popusta prve dve godine, uz detaljne tutorijale na srpskom jeziku.