Šta Web Developeri i Web Administratori treba da znaju o GDPR i Consent Mode?

Web developeri i web administratori nisu više samo tehnička lica koja prave i održavaju sajtove, već je taj spektar zaduženja i odgovornosti jako širi od pomenutog.

U eri GDPR, ZZPL i sve strožih pravila privatnosti, developer je ključna karika u lancu usklađivanja.

Ako se sajt ne napravi i ne održava u skladu sa GDPR i ZZPL(Zakon o zaštiti podataka o ličnosti) pravilima, posledice trpe i vlasnik sajta i krajnji korisnici, ali odgovornost i rizik mogu pasti i na samog developera.

Ovaj tekst daje pregled šta web developeri treba da znaju o GDPR-u, kako se pravilno postavlja Consent Management Platform (CMP) kao što su Cookiebot i CookieYes, i koje su njihove odgovornosti u procesu.

Osnovna pravila GDPR-a za developere

GDPR (i srpski ZZPL) ne odnose se samo na advokate i DPO-e. Developer kao tehnički obrađivač podataka, ima nekoliko obaveza:

  • Privacy by design: zaštita podataka mora biti odrađena već u fazi dizajna i razvoja sajta.

  • Privacy by default: podrazumevana podešavanja sajta ne smeju skupljati više podataka nego što je nužno.

  • Ograničenje svrhe i obima: developer mora obezbediti da sajt prikuplja samo podatke koji su zaista potrebni.

  • Sigurnost: implementacija SSL sertifikata, redovan update pluginova, ograničen pristup admin panelu, i backup sistema.

Zaključak: Developer nije odgovoran za pisanje politike privatnosti, ali jeste za to da sajt tehnički funkcioniše u skladu sa propisima.

Šta developer mora implementirati u praksi:

1) Kontakt forme i baze podataka

  • Ne sme se skupljati više podataka nego što je potrebno (npr. telefon je opciono ako nije nužan).

  • Podaci moraju biti zaštićeni (CAPTCHA, enkripcija, SSL).

  • Uvek dodati checkbox za dozvolu ako se podaci koriste za newsletter ili marketing.

2) Newsletter integracije

  • Ako se Mailchimp, MailerLite ili drugi alati povezuju, developer mora osigurati da se dozvole sinhronizuju.

  • Svaki newsletter mora imati unsubscribe opciju.

3) Analytics i praćenje

  • Google Analytics 4, Meta Pixel i Google Ads tagovi moraju čekati consent signal.

  • Developer kroz GTM ili kod sajta mora implementirati Consent Mode v2 parametre (ad_storage, analytics_storage).

4) Kolačići i CMP baner

  • CMP (Cookiebot ili CookieYes) mora biti aktiviran pre nego što se kolačići učitaju.

  • Korisnik mora imati opciju: Prihvatam sve, Odbijam, Podešavanja.

  • Consent logovi moraju se čuvati kao dokaz.

Cookiebot i CookieYes implementacija

Dva najpoznatija CMP alata koja su Google-certifikovana i potpuno kompatibilna sa Consent Mode v2 su:

  • Cookiebot – poznat po detaljnom automatskom skeniranju kolačića i globalnoj upotrebi.

  • CookieYes – jednostavnija integracija, popularan među WordPress korisnicima.

 

Zaključak: Developer treba da zna oba načina implementacije:

  1. Direktno kroz WordPress plugin 

  2. Kroz Google Tag Manager 

📌 Detaljan tutorijal za Cookiebot implementaciju
📌 Detaljan tutorijal za CookieYes implementaciju

Odgovornost developera

1) Pravna odgovornost

Developer je u većini slučajeva obrađivač podataka.

To znači da je odgovoran da tehnički sprovodi GDPR pravila koja mu rukovalac (klijent) zada.

Ako developer namerno ignoriše ili zloupotrebi podatke, može odgovarati direktno.

2) Profesionalna odgovornost

  • Ako CMP nije pravilno postavljen, klijent može izgubiti remarketing i deo konverzija.

  • Ako se podaci ne štite (npr. sajber napad), odgovornost pada i na developera zbog loše implementacije.

3) Obavezna dokumentacija

Developer treba da dokumentuje:

  • gde se skladište podaci (baze, CRM, pluginovi),

  • kako CMP šalje consent signal,

  • kako se tagovi u GTM ponašaju.

Zaključak: To može spasiti developera u slučaju potencijalnog zakonskog spora ili inspekcije.

Najčešće greške developera

  • Postavljanje CMP bannera samo „pro forme” – tagovi rade i bez saglasnosti.

  • Ignorisanje Google Consent Mode signala u GTM-u.

  • Ostavljanje default polja u formama koja skupljaju previše podataka.

  • Korišćenje pluginova koji nisu GDPR-kompatibilni.

  • Neproveravanje gde pluginovi šalju podatke (npr. kontakt forme šalju na nebezbedan email).

KorakAktivnostPraktičan primerOdgovornost developera
1. Privacy by designUgraditi zaštitu podataka već u fazi razvoja sajtaForme imaju samo potrebna polja, podaci se šalju preko SSL-aDeveloper planira strukturu sajta i baze u skladu sa GDPR-om
2. Privacy by defaultPodrazumevana podešavanja sajta ne smeju skupljati više podataka nego što je nužnoKontakt forma bez nepotrebnih polja (npr. bez JMBG-a ako nije nužan)Developer uklanja nepotrebna polja i skripte
3. Sigurnost podatakaTehničke mere zaštite sajta i bazaSSL sertifikat, firewall, redovan backup, 2FA za admin panelDeveloper + IT tim
4. Consent Management Platform (CMP)Implementacija alata za upravljanje kolačićimaCookiebot ili CookieYes baner sa opcijama „Prihvatam”, „Odbijam”, „Podešavanja”Developer implementira CMP kroz plugin ili GTM
5. Google Consent Mode v2Postaviti tagove tako da čekaju consent signalGA4 i Google Ads rade samo ako je ad_storage = grantedDeveloper postavlja pravilne GTM trigger-e i consent signale
6. Newsletter i lead formePrikupljanje podataka uz validnu dozvoluCheckbox za newsletter nije unapred čekiranDeveloper dodaje checkbox i sinhronizuje sa CRM/newsletter alatom
7. Logovi i dokumentacijaEvidencija consenta i aktivnosti kolačićaConsent log se čuva u CMP dashboardu i može se izvestiDeveloper obezbeđuje tehnički log i dokumentuje implementaciju
8. Testiranje i monitoringRedovno proveravati da CMP i GTM funkcionišuTest u Google Tag Assistant-u pokazuje da se tagovi ne pale bez consent-aDeveloper testira i održava sistem
9. Korišćenje dodatnih alataProvera GDPR usklađenosti dodatnih pluginova i skriptiChatbot ili booking sistem se hostuje u EU i ima DPADeveloper proverava gde se šalju podaci
10. Odnos sa klijentomObaveštavanje klijenta o GDPR rizicimaDeveloper objašnjava da sajt bez CMP-a nije usklađen i da Ads publike neće raditiDeveloper savetuje, klijent donosi odluku