Dekodiranje GDPR-a: Sveobuhvatan pregled
Opća uredba o zaštiti podataka (GDPR) najutjecajniji je zakon o privatnosti na svijetu. Donesen od strane EU-a 2018. godine, promijenio je način na koji tvrtke diljem svijeta upravljaju osobnim podacima. Kako se provedba intenzivira u 2026., evo svega što trebate znati.
Što je GDPR?
GDPR je sveobuhvatan zakon o zaštiti podataka koji stanovnicima EU-a daje kontrolu nad njihovim osobnim podacima. Primjenjuje se na svaku organizaciju — bilo gdje u svijetu — koja obrađuje podatke stanovnika EU-a. Uredba obuhvaća prikupljanje, pohranu, obradu i dijeljenje podataka.
Ključna načela GDPR-a
- Zakonitost, poštenje i transparentnost: Podaci moraju biti obrađivani zakonito i transparentno.
- Ograničenje svrhe: Podaci se mogu prikupljati samo za određene, zakonite svrhe.
- Smanjenje podataka na minimum: Prikupljajte samo strogo neophodne podatke.
- Točnost: Osobni podaci moraju biti točni i ažurirani.
- Ograničenje pohrane: Podaci se ne smiju čuvati dulje nego što je potrebno.
- Cjelovitost i povjerljivost: Podaci moraju biti sigurno obrađivani.
- Odgovornost: Organizacije moraju proaktivno demonstrirati usklađenost.
Na koga se primjenjuje GDPR?
GDPR se primjenjuje na svaku organizaciju koja obrađuje osobne podatke pojedinaca u EU-u, bez obzira na sjedište organizacije. To uključuje tvrtke u SAD-u, Aziji ili bilo gdje drugdje koje imaju EU kupce, posjetitelje web stranica ili zaposlenike.
Individualna prava prema GDPR-u
- Pravo pristupa: Korisnici mogu zatražiti kopiju svojih podataka.
- Pravo ispravka: Korisnici mogu ispraviti netočne podatke.
- Pravo brisanja: "Pravo na zaborav".
- Pravo na prenosivost podataka: Korisnici mogu prenijeti svoje podatke drugoj usluzi.
- Pravo prigovora: Korisnici mogu prigovoriti određenim vrstama obrade.
- Pravo na ograničenje obrade: Korisnici mogu ograničiti način korištenja svojih podataka.
Sankcije za neusklađenost
Kršenja GDPR-a mogu rezultirati novčanim kaznama do 20 milijuna eura ili 4% godišnjeg globalnog prihoda, ovisno što je više. Od 2018. godine, regulatori su izrekli kazne veće od 4,5 milijardi eura — a velike tehnološke tvrtke dobile su neke od najvećih sankcija. Provedba se značajno ubrzala u 2025.-2026., a nacionalna tijela za zaštitu podataka povećavaju kako učestalost tako i veličinu kazni.
GDPR i Akt o digitalnim tržištima (DMA)
Od 2024. EU-ov Akt o digitalnim tržištima djeluje zajedno s GDPR-om u reguliranju načina na koji velike platforme upravljaju korisničkim podacima. DMA zahtijeva da određeni "čuvari prolaza" (poput Googlea, Applea i Mete) dobiju izričitu suglasnost prije kombiniranja korisničkih podataka između usluga. To ima izravne implikacije na način prikupljanja i prenošenja suglasnosti kroz lanac opskrbe oglašavanja.
GDPR i kolačići: Uloga upravljanja suglasnošću
Prema GDPR-u i Direktivi o e-privatnosti, web stranice moraju dobiti izričitu suglasnost prije postavljanja nebitnih kolačića. To znači da usklađeni banner za kolačiće nije opcionalan — on je zakonski zahtjev. Ključni aspekti uključuju:
- Nebitni kolačići (analitika, marketing, oglašavanje) moraju biti blokirani dok korisnik ne da izričitu suglasnost
- Suglasnost mora biti slobodno dana — bez unaprijed označenih polja ili "zidova kolačića" koji prisiljavaju na prihvaćanje
- Korisnici moraju moći povući suglasnost jednako lako kao što su je dali
- Zapisi o suglasnosti moraju biti pohranjeni i dostupni za reviziju
Google Consent Mode V2 i GDPR
Od ožujka 2024., Google zahtijeva da web stranice koje prikazuju oglase u Europskom gospodarskom prostoru (EGP) koriste Google certificiranu CMP i implementiraju Consent Mode V2. Ova integracija osigurava da se signali suglasnosti ispravno prenose Googleovim uslugama, omogućavajući usklađeno prikazivanje oglasa uz očuvanje mogućnosti mjerenja putem modeliranja koje štiti privatnost.
IAB TCF 2.3 i usklađenost s GDPR-om
IAB-ov Okvir za transparentnost i suglasnost (TCF) verzija 2.3 pruža standardizirani način prikupljanja i komunikacije suglasnosti u cijelom ekosustavu digitalnog oglašavanja. Korištenje CMP-a usklađenog s TCF 2.3, poput FlexyConsenta, osigurava da su signali suglasnosti ispravno formatirani i preneseni svim oglašivačima dobavljačima u lancu opskrbe.
Kako se uskladiti s GDPR-om u 2026.
- Revidirajte aktivnosti prikupljanja i obrade podataka
- Implementirajte Google certificiranu CMP poput FlexyConsenta
- Osigurajte da vaša CMP podržava IAB TCF 2.3 i Google Consent Mode V2
- Izradite jasne, dostupne politike privatnosti i kolačića
- Omogućite zahtjeve za pristup podataka ispitanika (DSAR)
- Obučite tim o odgovornostima zaštite podataka
- Imenujte Službenika za zaštitu podataka (DPO) ako je potrebno
- Implementirajte postupke obavješćivanja o povredi podataka (pravilo 72 sata)
- Provodite redovite procjene učinka na zaštitu podataka (DPIA)