Vlasnik ste male tvrtke ili obrta. Netko vam je prije par godina napravio sajt, lijepo je zaživio, biznis funkcionira. Na dnu ekrana imate onu traku „Ova stranica koristi kolačiće“ s gumbom „Slažem se“. Mislite — OK, pokrio sam to. Je li?

Kratki odgovor: skoro sigurno ne. Dugi odgovor — držite se, sve ćemo obraditi.

Kako uopće djeluje hrvatsko pravilo o kolačićima?

Dva glavna zakona: GDPR (EU Uredba 2016/679) i Zakon o elektroničkim komunikacijama (ZEK) kao hrvatska transpozicija ePrivacy direktive. Nadzorno tijelo je AZOP (Agencija za zaštitu osobnih podataka).

GDPR definira što je privola, ZEK kaže kada vam je ona potrebna za čitanje ili pisanje bilo čega na korisničkom uređaju (dakle i kolačića, i localStoragea, i fingerprinta).

Koji kolačići ne trebaju privolu?

Samo tzv. strictly necessary — oni bez kojih stranica tehnički ne može raditi:

  • Session kolačići za prijavu
  • Kolačić za košaricu na webshopu
  • CSRF tokeni (sigurnosni)
  • Kolačić koji pamti korisnikov izbor o kolačićima (ironično, ali da)
SVI ostali — Google Analytics, Facebook Pixel, YouTube embed, chat widgeti, A/B testing — trebaju privolu.
Analytics nije „neophodan za rad“. Social media widget nije „neophodan za rad“. Video embed nije „neophodan za rad“. Sve to mora čekati klik korisnika.

Kako mora izgledati pravilan cookie banner?

Ovo je check-lista koju AZOP efektivno provjerava:

  1. „Prihvati sve“ i „Odbij sve“ jednako istaknuti — isti stil, boja, veličina. Ako je „Odbij“ mali tekst ispod, dark pattern → nezakonito.
  2. Granularne opcije — korisnik mora moći posebno odabrati „analitički“ i „marketing“.
  3. Nikakvi kolačići prije klika — svaki skripta koja postavlja ne-neophodne kolačiće mora se učitati TEK nakon eksplicitne privole.
  4. Jednako lako opozvati — mora postojati „Postavke kolačića“ link u footeru koji ponovno otvara banner.
  5. Dokumentirano — morate čuvati zapis o tome tko je, kada i na što pristao (za slučaj da AZOP pita).
  6. Politika privatnosti — link na detaljnu politiku koja popisuje SVAKI kolačić, njegovu svrhu i trajanje.

Najčešće kazne i slučajevi

AZOP je u zadnje tri godine izrekao kazne od nekoliko tisuća do više stotina tisuća eura. Najčešći razlozi:

  • Google Analytics aktivira se prije privole
  • Nema gumba „Odbij sve“
  • Banner se može zatvoriti samo klikom na „Prihvati“
  • Politika privatnosti kopirana s druge stranice (očigledno, piše krivi naziv tvrtke)
  • Kontakt forma šalje podatke, a nikome ne stiže email (tzv. „dead letter“ kazna)

Realno, što vi trebate napraviti

  1. Otvorite svoj sajt u inkognito prozoru i pogledajte što se učitava u Network tabu prije nego ste kliknuli bilo što. Ako vidite google-analytics.com, facebook.com/tr ili slično — problem.
  2. Kliknite „Odbij sve“ (ako gumb postoji). Provjerite ponovno. Ako se 3rd-party skripte i dalje učitavaju — problem.
  3. Pročitajte svoju Politiku privatnosti. Ako piše „We, ABC Ltd.“ a vi ste „Vedran obrt“ — problem.
  4. Provjerite footer. Ako nemate link „Postavke kolačića“ — problem.
Dobra vijest
Većina problema rješiva je za manje od dana rada. Teži dio je održavanje usklađenosti kad se doda novi marketinški alat, novi plugin ili kad se ažuriraju zakoni. Tu nastupa kontinuirana zaštita.

Nisi siguran je li tvoj sajt OK?

Zen IT radi besplatnu 14-dnevnu pravnu reviziju. Pogledamo bančore, kolačiće, Impressum, Politiku privatnosti i dajemo konkretne korake — nevezano za to jesi li naš klijent ili ne.