Šta marketing agencije treba da znaju o GDPR i Consent Mode?

Digitalni marketing je danas u potpunosti zasnovan na podacima.

Bilo da je reč o Google/Meta Ads kampanjama, remarketingu, GA4 analitici ili newsletter strategijama, svaki ozbiljan marketar zna da je ključ uspeha u kvalitetnim podacima i njihovom pravilnom korišćenju.

Međutim, od stupanja na snagu Opšte uredbe o zaštiti podataka o ličnosti (GDPR) 2018. godine, a posebno sa uvođenjem Google Consent Mode v2 u januaru 2024, pravila igre su se dramatično promenila.

Marketing agencije više ne mogu da posmatraju zaštitu podataka kao „pravnu obavezu klijenta”, već kao integralni deo svoje usluge.

Agencija koja ne ume da postavi GDPR i Consent Mode strategiju rizikuje da klijentu sruši performanse kampanja, ali i da se sama nađe u problemu zbog nesavesnog savetovanja.

Zašto je GDPR bitan za marketinške agencije?

GDPR je zakon Evropske unije koji reguliše prikupljanje i obradu ličnih podataka građana EU. Ali, iako je donet u EU, on se primenjuje i na sve firme izvan EU ako obrađuju podatke građana EU – što znači da čak i agencija iz Srbije koja vodi kampanje za klijenta sa kupcima iz EU mora biti usklađena.

Kazne nisu simbolične:

  • Do 20 miliona evra ili 4% godišnjeg globalnog prometa (u zavisnosti od toga šta je veće).

  • U Srbiji, kazne po Zakonu o zaštiti podataka o ličnosti dostižu od 500.000 RSD.

Ali osim zakonskog aspekta, GDPR je i biznis pitanje. Kompanija koja ne poštuje privatnost gubi poverenje korisnika.

A agencija koja postavi pravilnu GDPR strategiju postaje partner od poverenja, a ne samo „izvođač kampanja”.

Uloga marketinških agencija u GDPR i Consent Mode procesu

Agencije često misle da je GDPR „pravna stvar” klijenta. Istina je da je pravni deo klijentova odgovornost, ali tehnička i operativna implementacija je odgovornost agencije.

Agencija je procesor podataka (processor) jer u ime klijenta upravlja prikupljenim podacima, tagovima, analitikom i oglašavanjem. To povlači obaveze:

  • Potpisivanje Data Processing Agreement (DPA) sa klijentom.

  • Korišćenje samo onih alata i sistema koji su usklađeni sa GDPR-om.

  • Implementacija CMP-a (Cookiebot, CookieYes, OneTrust, i dr.).

  • Podešavanje Google Tag Manager-a da tagovi čekaju consent.

  • Edukacija klijenta o rokovima čuvanja podataka i transparentnosti.

Consent Mode v2: Šta znači za marketinške agencije?

Od januara 2024, Google je uveo Consent Mode v2, novu verziju mehanizma za prikupljanje podataka u skladu sa GDPR-om.

Ključne promene:

  • Google Ads i GA4 više ne mogu prikupljati podatke bez validne saglasnosti korisnika.

  • Consent signal se mora slati iz CMP (Consent Management Platform) – samo CMP-ovi koje je Google odobrio važe kao validni.

  • Ako consent nije dat, Google koristi modeliranje konverzija, ali samo ako postoji Consent Mode v2 implementacija.

Za agencije ovo znači:

  • Ako ne postave Consent Mode, klijent će izgubiti konverzije i remarketing publike.

  • Ako postave Consent Mode pogrešno, kampanje će raditi sa delimičnim ili nevalidnim podacima.

  • Ako uopšte ignorišu GDPR, rizikuju kazne i gubitak reputacije.

Najčešće greške marketinških agencija u vezi GDPR i Consent Mode-a

1. CMP implementacija samo „pro forme”

Agencije često instaliraju Cookiebot ili CookieYes baner, ali ne povežu pravilno tagove.

Rezultat: U praksi kada korisnik odbije kolačiće, Google Ads, Meta Pixel i GA4 tagovi se i dalje aktiviraju.

Posledica: Ozbiljno kršenje GDPR-a i ZZPL-a, a klijent misli da je zaštićen.

 

2. Nepovezanost CMP-a i Google Tag Manager-a

CMP radi, ali u GTM-u tagovi nisu uslovljeni consent signalom (ad_storage, analytics_storage).
Rezultat: CMP je „fasada”, ali podaci se i dalje šalju bez pristanka.

 

3. Ignorisanje retention politike

Agencije skladište newsletter baze, CSV fajlove i CRM podatke godinama bez svrhe i brisanja.
Zakonski problem: GDPR čl. 5(1)(e) i ZZPL čl. 5(1) tačka 5 zahtevaju ograničeno čuvanje podataka.
Poslovni problem: Spam baze, loši open rate-ovi i gubitak poverenja.

 

4. Ignorisanje lokalnih propisa

Agencije često gledaju samo na GDPR, a ignorišu domaće zakone.

U Srbiji ZZPL je obavezan, a Poverenik ima pravo da kazni i domaće i strane agencije koje obrađuju podatke građana Srbije.

 

5. Deljenje pristupa bez kontrole, provere i ugovora

Agencije često dele GA4, Google Ads ili CRM pristupe sa praktikantima, freelancerima ili eksternim saradnicima – bez NDA ugovora, bez logova i bez bilo kakvih ograničenja.

GDPR zahteva strogu kontrolu pristupa i odgovornost obrađivača podataka.

 

6. Pogrešno kreiranje publika za remarketing

Agencije grade remarketing publike bez obzira na consent. Na primer, korisnik odbije kolačiće, ali se i dalje doda u listu.

Rezultat: Kršenje prava korisnika i rizik od žalbi regulatoru i naravno ogroman rizik od novčane kazne.

 

7. Zadržavanje podataka posle završetka saradnje

Agencija čuva GA4 eksport, CRM kontakte ili Google Sheets sa leadovima i nakon završetka saradnje.
Po GDPR-u, podaci se moraju obrisati ili vratiti klijentu nakon završetka obrade.

 

8. Korišćenje jedne baze za više klijenata

Najopasnija praksa: agencije kombinuju leadove iz različitih klijenata kako bi pravile „lookalike” ili delile baze između projekata tj. accounta.
Rezultat: Direktno kršenje GDPR-a i ZZPL-a, moguće milionske kazne.

 

9. Nepostojanje interne GDPR politike u agenciji

Mnoge agencije nemaju sopstvenu Politiku privatnosti, procedure za obradu podataka zaposlenih i interne retention politike.
Ako se desi inspekcija, agencija nije zaštićena i ne može dokazati da postupa u skladu sa zakonom.

 

10. Nedovoljna edukacija zaposlenih

Agencije ne obučavaju svoje timove o GDPR-u.

Rezultat: npr. Account ne zna da objasni klijentu zašto Ads publike više ne rastu.
Edukacija o consent signalima i retention-u mora biti deo onboarding procesa.

 

11. „Shadow IT” alati i skripte

Agencije instaliraju dodatne skripte, chatbot-ove ili analitičke alate bez da obaveste klijenta i bez provere da li su GDPR-kompatibilni.

Primer: Korišćenje jeftinih tracking softvera izvan EU koji skladište podatke na nesigurnim serverima.

Zaključak

Najčešće greške marketinških agencija vezane za GDPR i Consent Mode proizlaze iz:

  • neznanja (ne razumeju Consent Mode),

  • nemara (ignorišu retention),

  • neodgovornosti (ne obaveštavaju klijenta o rizicima).

Za agencije koje žele da opstanu i rastu, usklađenost sa GDPR-om i Consent Mode-om nije opcija već obaveza i konkurentska prednost. Agencija koja pravilno implementira CMP, postavi Google Consent Mode v2 i edukuje klijente, pokazuje da je strateški partner a ne samo „izvođač oglasa”.

Konkretne obaveze marketing agencija

  1. DPA sa klijentima – agencija mora imati ugovor o obradi podataka.

  2. CMP setup – postavljanje Cookiebot-a ili CookieYes-a.

  3. Consent Mode testiranje – korišćenje Google Tag Assistant-a za validaciju.

  4. Edukacija klijenata – objašnjenje zašto se neki tagovi ne pale bez pristanka.

  5. Dokumentacija procesa – beleženje kako se obrađuju podaci, u slučaju inspekcije.

KorakAktivnostPrimer iz prakseOdgovornost
1. Mapiranje podatakaIdentifikovati izvore podatakaE-commerce checkout, real estate forma za obilazak, CRM integracijaAgencija + Klijent
2. Pravna dokumentacijaOsigurati da klijent ima PolitikePolitika privatnosti i Politika kolačića na sajtuKlijent (uz savet agencije)
3. CMP implementacijaPostaviti Cookiebot ili CookieYesBaner koji blokira Ads/Pixel dok nema consent-aAgencija
4. Consent Mode v2Povezati CMP i GTMad_storage = granted → Ads meri konverzijeAgencija
5. Sigurnost podatakaKontrolisati pristup nalozima i alatima2FA na Google Ads i GA4, password managerAgencija
6. Retention i brisanjeDefinisati rokove čuvanja leadovaNewsletter baze se čiste posle 24 mesecaKlijent (uz preporuku agencije)
7. MonitoringAudit CMP i GTMKvartalno testiranje kroz Tag AssistantAgencija