Preskoči na sadržaj
Savjeti5. lipnja 2026.· 8 min čitanja

GDPR i kolačići: što web stranica mora imati po zakonu

Kontakt forma, Google Analytics i mali baner za kolačiće — i već ste u GDPR-u. Evo što vaša web stranica mora imati po zakonu, bez pravničkog jezika.

BO

Borna Orešković

Osnivač AppBiro-a · Full-stack developer · 5+ godina iskustva u izradi web rješenja za obrtnike i male tvrtke u Hrvatskoj

Laptop s katancem i zaštitom podataka — GDPR i obvezni podaci na web stranici

Dobra vijest: nećete u zatvor zbog web stranice. Loša vijest: onaj mali baner za kolačiće koji svi nervozno zatvaramo zapravo je zakonska obveza, a ne ukras. (Da, baš taj.) Ako vaša web stranica ima kontakt formu, Google Analytics ili ugrađenu Google kartu, već ste zagazili u GDPR — i tri stvari trebate posložiti. Dobra vijest broj dva: jednostavnije je nego što izgleda.

Kratki odgovor: tri stvari koje stranica mora imati

Ako prikupljate bilo kakav osobni podatak posjetitelja — a kontakt forma, newsletter ili analitika to rade — vaša stranica u pravilu treba ovo troje:

  1. Politiku privatnosti — dokument koji objašnjava koje podatke skupljate, zašto i koliko ih dugo čuvate.
  2. Obavijest i privolu za kolačiće — baner koji posjetitelju daje da odbije kolačiće jednako lako kao i da ih prihvati.
  3. Obvezne podatke o obrtu ili tvrtki — naziv, sjedište, OIB i kontakt, jasno i lako dostupno (često zvano „impressum”).

To je okosnica. Ostalo su detalji koji ovise o tome što stranica radi — webshop ima više obveza, obična vizitka puno manje. Krenimo redom, bez pravničkog jezika.

Što je GDPR i zašto se tiče i vas

Osoba ispunjava kontakt formu na laptopu — obrada osobnih podataka i GDPR na web stranici

GDPR je europska uredba o zaštiti osobnih podataka. Ključna riječ je „osobni podatak” — ime, e-mail, broj telefona, čak i IP adresa. Čim ih prikupljate ili obrađujete, GDPR se primjenjuje, bez obzira na to jeste li velika tvrtka ili solo obrtnik.

Mnogi misle da ih se to ne tiče jer „ništa ne skupljaju”. Skupljaju. Kontakt forma šalje ime i e-mail. Newsletter sprema adrese. Google Analytics bilježi IP adrese i ponašanje. Svaka od tih stvari je obrada osobnih podataka i traži dvije osnovne reakcije: imati pravnu osnovu za obradu i transparentno reći ljudima što s podacima radite — a to drugo upravo je politika privatnosti.

Maksimalne kazne zvuče zastrašujuće — GDPR predviđa do 20 milijuna eura ili 4% godišnjeg prometa. U stvarnosti se takvi iznosi izriču velikim korporacijama za teške propuste, a ne obrtniku s kontakt formom. Više o samoj uredbi i pravima ljudi objašnjava Europska komisija. Poanta nije strah, nego da su osnovne stvari lako rješive.

Kolačići: kada zaista treba privola

Web preglednik na laptopu — obavijest o kolačićima i privola na web stranici

Ovdje većina stranica griješi. Ne traže svi kolačići privolu — tehnički, nužni kolačići (oni koji drže košaricu, prijavu ili sigurnost) rade i bez pitanja. Ali kolačići koji prate ponašanje — Google Analytics, Facebook pixel, ugrađeni YouTube ili karte — traže privolu prije nego što se uopće učitaju.

Hrvatski AZOP (Agencija za zaštitu osobnih podataka) tu je vrlo jasan. Baner mora omogućiti da kolačiće odbijete jednako lako kao što ih prihvaćate. Prema AZOP-ovom vodiču, baner koji nudi samo „Prihvati sve” ili „OK”, bez ravnopravne opcije odbijanja, nije u skladu s pravilima. Unaprijed označene kvačice također ne prolaze.

Da ovo nije teoretiziranje: AZOP je već izricao novčane kazne izravno za neispravne kolačiće. Praktično, treba vam baner koji nudi „Prihvati” i „Odbij” jednako vidljivo, ne učitava analitiku dok posjetitelj ne pristane i pamti izbor. Postoji više besplatnih i jeftinih alata koji to rade — ne morate ništa programirati.

Politika privatnosti i politika kolačića

Čitanje politike privatnosti na laptopu — obvezni dokument na web stranici

Politika privatnosti je dokument koji ljudima govori što radite s njihovim podacima. Ne mora biti roman. Mora biti točan. Dobra politika kratko odgovara na: koje podatke skupljate, zašto, koliko ih dugo čuvate, s kim ih dijelite (npr. Google za analitiku) i kako osoba može tražiti njihov ispis ili brisanje.

Politika kolačića je s tim usko povezana — nabraja koje kolačiće stranica koristi i čemu služe. Često su dvije stvari spojene u jedan dokument, što je sasvim u redu.

Jedna zamka koju vidimo stalno: kopiranje tuđe politike privatnosti. AZOP izričito traži da dokument opisuje stvarno stanje vaše stranice — alate i kolačiće koje zaista koristite. Prepisana politika gotovo sigurno navodi krive podatke i ne pokriva vas. Bolje kratka i istinita nego duga i posuđena.

Obvezni podaci o obrtu ili tvrtki

Poslovni dokumenti na stolu — obvezni podaci o obrtu na web stranici

Ovaj dio nema veze s GDPR-om, nego s hrvatskim Zakonom o elektroničkoj trgovini. On traži da svaka stranica preko koje poslujete jasno i trajno prikaže osnovne podatke o tome tko stoji iza nje. Konkretno, prema članku 6.:

  • Naziv obrta ili tvrtke i sjedište (adresa).
  • Kontakt koji omogućuje brzu komunikaciju, uključujući e-mail.
  • OIB te broj pod kojim ste upisani u registar (obrtni ili sudski).
  • PDV broj ako ste u sustavu PDV-a te podatke o nadležnom tijelu ako vaša djelatnost podliježe posebnom nadzoru.

Za društva (d.o.o., j.d.o.o.) Zakon o trgovačkim društvima traži još i navođenje suda i matičnog broja te iznosa temeljnog kapitala. Najjednostavnije je sve to staviti u podnožje stranice i na stranicu „Kontakt” — tako je „trajno dostupno”, kako zakon traži.

Ako prodajete online, obveza je više: cijene s jasno naznačenim PDV-om i troškovima dostave, uvjeti kupnje i pravo na povrat u roku od 14 dana. O tome smo detaljnije pisali u tekstu o webshopu za male poduzetnike.

Kada se ne trebate pretjerano brinuti

Sad dio koji vam nitko tko prodaje „GDPR pakete” neće reći: ako imate običnu statičnu vizitku — nekoliko stranica teksta, bez forme, bez analitike, bez ugrađenih karti i videa — vama gotovo ništa od ovoga ne treba. Nema osobnih podataka, nema kolačića koji prate, nema privole. Dovoljni su vam obvezni podaci o obrtu u podnožju.

Tu je i naša jedna tvrdnja koju mislimo ozbiljno: najveći trošak GDPR-a za malog obrtnika nije kazna, nego skupi alati i „compliance” usluge koje mu ne trebaju. Za jednostavnu stranicu sve troje — politika, baner i obvezni podaci — posloži se jednom i košta blizu nule. Ako vam netko naplaćuje mjesečnu pretplatu za „GDPR usklađenost” obične vizitke, pitajte ga točno što time dobivate.

Kompleksnije postaje tek kad stvarno obrađujete puno podataka: webshop s tisućama kupaca, newsletter s velikom bazom ili osjetljivi podaci (zdravlje, djeca). Tada se isplati pravnik. Za većinu obrtnika — ne.

Gdje početi

Praktičan redoslijed za jedno popodne: napišite kratku, istinitu politiku privatnosti koja opisuje baš vaše alate; postavite baner za kolačiće s ravnopravnim „Prihvati” i „Odbij”; i stavite naziv, sjedište, OIB i kontakt u podnožje. Ako koristite Google Analytics, provjerite da se ne pokreće prije privole.

Iskreni dio: ovo je praktičan pregled, ne pravni savjet. Za webshop, veliku bazu kontakata ili osjetljive podatke provjerite s pravnikom ili krenite od izvora koje smo linkali — AZOP i Zakon o elektroničkoj trgovini.

Ako ne želite uopće razmišljati o tome, to je dio koji preuzimamo: uz svaku web stranicu za obrt dolaze politika privatnosti, ispravan baner za kolačiće i obvezni podaci, posloženi od prvog dana. Za postojeću stranicu koju treba uskladiti tu je tehničko savjetovanje, a kako sve to ostaje uredno s vremenom pišemo u tekstu o održavanju web stranice. Niste sigurni što vam točno treba? Javite se na besplatni 30-minutni razgovor i prođemo to zajedno.

Često postavljana pitanja

Treba li moja web stranica politiku privatnosti?

Treba ako prikupljate bilo kakve osobne podatke — kontakt forma, newsletter ili Google Analytics to već rade. Politika privatnosti mora opisati koje podatke skupljate, zašto i koliko ih dugo čuvate. Čisto statična stranica bez ijedne forme i bez analitike u praksi je ne treba, ali takvih je sve manje.

Trebam li baner za kolačiće na web stranici?

Trebate ako stranica koristi kolačiće koji nisu nužni — Google Analytics, Facebook pixel, ugrađeni YouTube ili Google karte. Tehnički, nužni kolačići ne traže privolu. Baner mora omogućiti odbijanje jednako lako kao i prihvaćanje; prema AZOP-u, samo opcija „Prihvati sve” nije u skladu s GDPR-om.

Koji su obvezni podaci na web stranici u Hrvatskoj?

Prema Zakonu o elektroničkoj trgovini (članak 6.), stranica preko koje poslujete mora jasno i trajno prikazati naziv obrta ili tvrtke, sjedište, kontakt s e-mailom, OIB te broj iz registra. Ako ste u sustavu PDV-a, navodi se i PDV broj. Za d.o.o. dodatno vrijedi i Zakon o trgovačkim društvima (sud, matični broj, temeljni kapital).

Kolike su kazne za GDPR i kolačiće?

GDPR teoretski predviđa kazne do 20 milijuna eura ili 4% godišnjeg prometa, no takvi se iznosi izriču velikim tvrtkama za teške propuste. AZOP je u Hrvatskoj već izricao novčane kazne konkretno za neispravne kolačiće. Poanta nije strah od maksimuma, nego da su osnovne stvari lako i jeftino rješive.

Mogu li kopirati politiku privatnosti s druge stranice?

Ne preporučuje se. AZOP traži da politika opisuje stvarno stanje vaše stranice — alate i kolačiće koje zaista koristite. Kopirana politika s tuđe stranice gotovo sigurno navodi krive podatke i ne pokriva vas. Bolje kratka i istinita nego duga i prepisana.

← Svi članci
↑ Natrag na vrhZatražite ponudu