Šta DPO (Data Protection Officer) treba da znaju o GDPR i Consent Mode-u: obaveze, izazovi i kako ih uspešno postaviti

Uloga Data Protection Officer-a (DPO) postala je ključna od trenutka kada je GDPR stupio na snagu 2018. godine. Njihova odgovornost je da obezbede da kompanije obrađuju podatke u skladu sa zakonom i da zaštite prava građana.

Ali sa uvođenjem Google Consent Mode v2 početkom 2024. godine, DPO-i se suočavaju sa novim izazovom, a to je  kako pomiriti pravne obaveze zaštite podataka sa potrebama marketing timova za preciznim merenjem i oglašavanjem.

Ovaj članak daje sveobuhvatan vodič – šta DPO mora da zna o GDPR-u i Consent Mode-u, koje su njihove obaveze, kako da preduprede probleme i uspešno postave sistem zaštite podataka, a da marketing ne ispašta ni u jednom trenutku!

Vodič za buduće DPO-e: od marketing stručnjaka do eksperta za zaštitu podataka tj. DPO

Digitalni marketing i zaštita podataka nikada nisu bili bliži nego danas.

Marketer koji želi da postane Data Protection Officer (DPO) mora da napravi veliki iskorak – od kreiranja kampanja i optimizacije istih, do strateške odgovornosti za usklađenost sa GDPR-om i zaštitu prava korisnika.

Ovaj vodič ima za cilj da pruži praktičnu obuku: šta moraš da znaš, koje korake da savladaš i kako da postaneš kompetentan DPO, čak i ako dolaziš iz marketing sveta.

Osnove koje moraš da savladaš da bi postao DPO

GDPR i ZZPL

  • Upoznaj GDPR (EU Opšta uredba o zaštiti podataka) i Zakon o zaštiti podataka o ličnosti (Srbija).

  • Fokusiraj se na principе obrade podataka: zakonitost, minimizacija, transparentnost, ograničenje svrhe, tačnost, sigurnost i ograničenje čuvanja podataka.

  • Nauči razliku između rukovaoca i obrađivača podataka – u marketingu je klijent rukovalac, a agencija obrađivač.

 

ePrivacy i Consent

  • Razumi pravila o kolačićima (ePrivacy direktiva).

  • Shvati ulogu Consent Management Platformi (CMP) i kako rade (Cookiebot, CookieYes).

  • Nauči kako Google Consent Mode v2 funkcioniše i zašto je ključan za Google Ads, Meta Ads i GA4.

Veštine/ Skillovi koje DPO mora da poseduje

Pravne veštine

  • Osnovno razumevanje pravnih tekstova (GDPR, ZZPL).

  • Sposobnost da piše i revidira Politiku privatnosti i Politiku kolačića.

  • Veštinu da objasni pravne pojmove jednostavnim jezikom menadžmentu i zaposlenima.

Tehničke veštine

  • Osnovno razumevanje Google Tag Manager-a, odnosno da shvate kako određeni tagovi funkcionišu sa consent-om.

  • Znanje da testira implementaciju CMP-a (npr. kroz Google Tag Manager).

  • Razumevanje IT sigurnosti: SSL, enkripcija, 2FA, backup, kontrola pristupa.

Organizacione veštine

  • Postavljanje retention politika (koliko dugo se čuvaju podaci).

  • Pisanje procesa za incident response (šta raditi u slučaju data breach-a).

  • Organizovanje kvartalnih GDPR audita i vođenje evidencije.

Praktični zadaci koje DPO radi svakodnevno

  1. Mapiranje podataka

    • Gde i kako organizacija prikuplja podatke (forme, kolačići, CRM, offline event-i).

    • Dokumentovanje u „evidenciji obrada”.

  2. Procena rizika (DPIA)

    • Ako se uvodi novi alat (npr. Meta Pixel), procenjuje se rizik obrade podataka.

    • Analiziraju se svrha, pravni osnov, potencijalni rizici i mere zaštite.

  3. Konsultacije sa timovima

    • Marketing želi da pokrene remarketing → DPO proverava da li CMP pokriva Google Ads i GA4.

    • HR želi da obradi CV-ove → DPO postavlja rok čuvanja i način anonimizacije.

  4. Monitoring CMP-a i Consent Mode-a

    • Testiranje cookie banera.

    • Provera logova i dokumentovanje saglasnosti.

    • Validacija signala (ad_storage, analytics_storage).

  5. Obuka zaposlenih

    • Jednostavne radionice: „Šta znači GDPR u praksi?”

    • Uputstva za marketing tim: „Kada Google Tag i Pixel Tag npr. mogu da se aktiviraju?”

  6. Retencija i brisanje podataka

    • Leadovi i newsletter liste → max. 12–24 meseca.

    • Fakture i ugovori → 10 godina (računovodstvo).

    • Osetljivi podaci (npr. zdravstvo) → 10–30 godina (posebni propisi).

Incident response – šta radiš kad se desi problem?

Ako dođe do „data breach-a” (npr. hakovan sajt, izgubljena baza kontakata, neovlašćen pristup CRM-u):

  • DPO ima 72 sata da obavesti nadzorni organ.

  • Mora obavestiti pogođene korisnike ako postoji visok rizik.

  • Dokumentuje incident i predloži mere da se ne ponovi.

Budući DPO mora da zna kako da napravi Incident Response Plan.

Resursi koje DPO mora pratiti

  • Sajt Poverenika RS – lokalni propisi i mišljenja.

  • EDPB (European Data Protection Board) – smernice i tumačenja GDPR-a.

  • Google Consent Mode dokumentacija – tehnička uputstva.

  • CMP provider blogovi (Cookiebot, CookieYes, OneTrust).

Resursi koje DPO mora pratiti

  • Sajt Poverenika RS – lokalni propisi i mišljenja.

  • EDPB (European Data Protection Board) – smernice i tumačenja GDPR-a.

  • Google Consent Mode dokumentacija – tehnička uputstva.

  • CMP provider blogovi (Cookiebot, CookieYes, OneTrust).

DPO u praksi: Checklista za marketing stručnjake

  1. Nauči GDPR principe.

  2. Razumi CMP i Consent Mode.

  3. Postavi Politike privatnosti i kolačića.

  4. Potpiši DPA sa partnerima.

  5. Organizuj retention policy.

  6. Postavi incident response plan.

  7. Testiraj CMP i GTM kvartalno.

  8. Edukuj timove (HR, marketing, IT).

  9. Beleži odluke i procene.

  10. Budi spreman za inspekciju.

#Obaveza / AktivnostOpis zadatkaResurs / Link za učenje
1Nauči GDPR principeRazumi 7 osnovnih principa obrade podataka (transparentnost, ograničenje svrhe, tačnost, minimizacija, itd.)GDPR Art. 5 – Principles of processing
2Razumi CMP i Google Consent ModeShvati kako CMP platforme (Cookiebot, CookieYes) komuniciraju sa GTM i šalju consent signale prema Google alatima.Google Consent Mode developer guide
3Postavi Politike privatnosti i kolačićaOsiguraj da sajt ima jasno napisane politike koje opisuju svrhe obrade i vrste kolačića.Cookiebot Privacy Policy Template
4Potpiši DPA sa partnerimaSvaki partner koji ima pristup podacima (npr. agencija, hosting, CRM) mora imati potpisan Data Processing Agreement.GDPR.eu – Data Processing Agreement Guide
5Organizuj Retention PolicyDefiniši koliko dugo se čuvaju podaci o kupcima, leadovima i korisnicima. Postavi pravila brisanja ili anonimizacije.ICO – Data retention best practices
6Postavi Incident Response PlanPlaniraj kako ćeš reagovati ako dođe do curenja podataka (data breach). Moraš prijaviti u roku od 72h.CNIL – Data Breach Notification Guide
7Testiraj CMP i GTM kvartalnoRedovno proveravaj da li se tagovi učitavaju samo uz consent i da li CMP pravilno funkcioniše.Google Tag Assistant
8Edukuj timove (HR, marketing, IT)Održavaj obuke o osnovama GDPR-a, consent signalima i odgovornostima svakog odeljenja.EDPB – Guidelines and training materials
9Beleži odluke i proceneSve odluke o obradi podataka i procene rizika moraju biti dokumentovane (Accountability principle).ICO – Accountability and documentation
10Budi spreman za inspekcijuU svakom trenutku moraš moći dokazati da postoji dokumentacija, DPA, CMP logovi i politike privatnosti.Poverenik RS – Obaveze po ZZPL

Zaključak

Ako dolaziš iz marketing sveta, prelazak u DPO ulogu deluje kao veliki skok – ali zapravo poseduješ odličnu osnovu: razumeš podatke, korisničko ponašanje(UX) i digitalne alate.

DPO je most između biznisa, prava i tehnologije.
Ako savladaš principe GDPR-a, naučiš da koristiš CMP i GTM, usvojiš retention politike i vodiš dokumentaciju, postaćeš ne samo dobar DPO već i strateški partner biznisu.

U eri Consent Mode v2, DPO je garant da marketing može da se radi zakonito i profitabilno – i to je ogromna prilika za svakoga ko sada želi da se specijalizuje.