Privacy Policy — Kako napisati politiku privatnosti

Kompletni vodic: sta MORA da sadrzi, template, generatori, srpski ZZPL i prakticni saveti

Cl. 13-14
GDPR clanci koji regulisu Privacy Policy
9
Obaveznih informacija po GDPR-u
30 dana
Rok za odgovor na zahtev korisnika
2018
Srpski ZZPL usvojen

Sadrzaj

  1. Zasto je Privacy Policy obavezan
  2. 9 obaveznih informacija po GDPR-u
  3. Template po sekcijama
  4. Privacy Policy generatori
  5. Gde i kako postaviti na sajtu
  6. Azuriranje i obavestavanje
  7. Srpski ZZPL
  8. Najcesce greske
  9. Reference i resursi

1. Zasto je Privacy Policy obavezan

GDPR (clanci 13 i 14) zahteva da svaki sajt koji prikuplja licne podatke ima jasnu i razumljivu politiku privatnosti. Licni podaci ukljucuju:

  • Ime, email, telefon (kontakt forme, registracija)
  • IP adresa, kolacici, browser fingerprint (automatski se prikupljaju)
  • Podaci o ponasanju (Google Analytics, Hotjar, heatmaps)
  • Podaci za placanje (e-commerce)
  • Lokacija (GPS, IP geolokacija)
Cim imate sajt sa Google Analytics, kontakt formom ili kolacicima — zakonski ste obavezni da imate Privacy Policy. Cak i "obican" blog koji koristi AdSense prikuplja licne podatke kroz kolacice.

2. 9 obaveznih informacija po GDPR-u (Clan 13)

#InformacijaSta napisatiPrimer
1Identitet kontroloraKo ste vi (ime, adresa, kontakt)"Web Security Scanner, Beograd, info@vasajt.rs"
2Kontakt DPOData Protection Officer (ako ga imate)"DPO: dpo@vasajt.rs" ili "Nemamo DPO"
3Svrhe obradeZASTO prikupljate podatke"Analitika, poboljsanje usluge, marketing"
4Pravni osnovNa osnovu cega obradjujete"Saglasnost (cl. 6.1.a), Legitimni interes (cl. 6.1.f)"
5PrimaociKo jos dobija podatke"Google (Analytics), Cloudflare (CDN), Stripe (placanja)"
6Transfer van EUDa li podaci idu izvan EU"Google serveri u SAD, zastita: EU-US DPF"
7Period cuvanjaKoliko dugo cuvate podatke"Analytics: 26 meseci, Nalog: dok se ne obrise"
8Prava korisnikaLista svih prava"Pristup, ispravka, brisanje, prenosivost, prigovor"
9Pravo na zalbuKome se zaliti"Poverenik za informacije od javnog znacaja, Beograd"

3. Template po sekcijama

Evo strukture koja pokriva sve GDPR zahteve:

1. Ko smo mi
   - Naziv, adresa, email, telefon
   - DPO kontakt (ako postoji)

2. Koje podatke prikupljamo
   - Podatke koje vi dajete: ime, email, telefon (forme)
   - Automatski prikupljeni: IP, browser, OS, kolacici
   - Podaci od trecih strana: Google Analytics, Facebook

3. Zasto prikupljamo podatke (svrhe)
   - Pruzanje usluge
   - Poboljsanje sajta (analitika)
   - Marketing (ako primenjivo)
   - Zakonske obaveze

4. Pravni osnov obrade
   - Saglasnost (cl. 6.1.a) — kolacici, newsletter
   - Izvrsenje ugovora (cl. 6.1.b) — e-shop narudzbine
   - Legitimni interes (cl. 6.1.f) — osnovna analitika
   - Zakonska obaveza (cl. 6.1.c) — poreske evidencije

5. Kolacici
   - Tipovi kolacica (link na Cookie Policy)
   - Kako upravljati (link na cookie podesavanja)

6. Trece strane (primaoci podataka)
   - Google Analytics — analitika
   - Cloudflare — CDN, bezbednost
   - Stripe/PayPal — placanja
   - Mailchimp — newsletter

7. Transfer podataka van EU
   - Koje trece strane su van EU
   - Mehanizmi zastite (DPF, SCC)

8. Period cuvanja
   - Po tipu podataka: koliko dugo

9. Vasa prava
   - Pristup, ispravka, brisanje, prenosivost
   - Ogranicenje obrade, prigovor
   - Kako ostvariti: email/forma
   - Rok: 30 dana

10. Pravo na zalbu
    - Poverenik za informacije (Srbija)
    - Ili nadlezni DPA u EU

11. Promene politike
    - Kako obavestimo o promenama
    - Datum poslednje izmene

12. Kontakt
    - Email, adresa, telefon

4. Privacy Policy generatori

GeneratorCenaJeziciGDPRNapomena
TermlyBesplatan basicEN + 10DaNajpopularniji, dobra SR podrska
IubendaOd €9/god10+ jezikaDaAuto-update kad se zakon promeni
GetTermsBesplatanENDaJednostavan, brz
PrivacyPolicies.comOd $13ENDaDetaljan, pokriva CCPA takodje
CookiebotOd €9/mesec40+DaUkljucuje i Cookie Policy
Upozorenje: Generator je dobra OSNOVA ali ga MORATE prilagoditi vasem sajtu. Nijedan generator ne zna tacno koje servise koristite, kako obradjujete podatke i koliko dugo ih cuvate. Za e-commerce i osetljive podatke, konsultujte advokata.

5. Gde i kako postaviti na sajtu

  • Footer link — OBAVEZNO. Link "Politika privatnosti" ili "Privacy Policy" mora biti u footeru SVAKE stranice sajta.
  • Zasebna stranica — Ne staviti u popup ili modal. Mora biti stalna stranica sa sopstvenim URL-om (npr. /privacy ili /politika-privatnosti).
  • Kontakt forma — Link na Privacy Policy pored Submit dugmeta: "Slanjem ovog formulara prihvatate nasu Politiku privatnosti".
  • Registracija — Checkbox sa linkom na Privacy Policy pre kreiranja naloga.
  • Cookie banner — Link na punu Privacy Policy iz cookie consent banera.
  • Google Play / App Store — Ako imate aplikaciju, Privacy Policy URL je obavezan pri objavi.

6. Azuriranje i obavestavanje korisnika

  • Datum poslednje izmene — UVEK navedite na vrhu dokumenta: "Poslednje azuriranje: 9. april 2026."
  • Email obavestenje — Za znacajne promene, obavestite registrovane korisnike emailom.
  • Banner na sajtu — "Azurirali smo Politiku privatnosti. Saznajte vise."
  • Verzioniranje — Opciono ali preporuceno: cuvajte prethodne verzije dostupne (v1, v2, v3).
  • Grace period — Dajte korisnicima 14-30 dana da pregledaju promene pre stupanja na snagu.

7. Srpski ZZPL (Zakon o zastiti podataka o licnosti)

Srbija je 2018. usvojila Zakon o zastiti podataka o licnosti (ZZPL) koji u velikoj meri prati GDPR:

  • Nadlezni organ: Poverenik za informacije od javnog znacaja i zastitu podataka o licnosti
  • Prava korisnika: Ista kao GDPR — pristup, ispravka, brisanje, prenosivost, prigovor
  • Rok za odgovor: 30 dana (produziv na 60 za slozene zahteve)
  • Obavezne informacije: Iste kao GDPR clan 13-14
  • Razlike od GDPR: Kazne su manje (do 2M RSD za pravna lica), ali princip je isti
  • Transfer podataka: ZZPL zahteva adekvatan nivo zastite za transfer van Srbije, slicno GDPR-u
Prakticno: Ako vas sajt postuje GDPR, automatski postuje i srpski ZZPL jer je ZZPL zasnovan na GDPR-u. Jedina razlika: navadite srpskog Poverenika kao nadlezni organ umesto EU DPA.

8. Najcesce greske

  • Nema Privacy Policy uopste — #1 greska. Zakonski je obavezan cim prikupljate podatke.
  • Copy-paste od drugog sajta — Drugi sajt ima druge servise, svrhe, primacoce. Vas PP mora odgovarati VASEM sajtu.
  • Pravnicki zargon — GDPR zahteva "jasnu i razumljivu" politiku. Pisati jednostavnim jezikom.
  • Nedostaje footer link — Privacy Policy mora biti dostupan sa SVAKE stranice sajta.
  • Zastareo — Dodali ste Google Analytics ali niste azurirali PP. Uvek azurirajte kad menjate servise.
  • Nedostaju primaoci — Ne navesti Google, Facebook, Cloudflare kao primaoce podataka.
  • Nema kontakt informacija — Korisnik mora znati KOME da se obrati za svoja prava.
  • Nema datuma — Bez "poslednje azuriranje" datuma, niko ne zna da li je aktuelan.

9. Reference i resursi

Proverite Privacy Policy na vasem sajtu →

Privacy Policy — How to Write One for GDPR Compliance

Complete guide: required information, templates, generators, and practical advice

Art. 13-14
GDPR articles governing Privacy Policy
9
Required pieces of information
30 days
Deadline to respond to user requests
2018
Serbian ZZPL adopted

Table of Contents

  1. Why Privacy Policy is mandatory
  2. 9 required pieces of information
  3. Template by sections
  4. Privacy Policy generators
  5. Where to place on your site
  6. Updating and notifying users
  7. Serbian ZZPL
  8. Common mistakes
  9. References

1. Why Privacy Policy is mandatory

GDPR (Articles 13-14) requires every site collecting personal data to have a clear privacy policy. Personal data includes: name, email, IP address, cookies, behavioral data, payment info, location.

If you have Google Analytics, a contact form, or cookies — you're legally required to have a Privacy Policy.

2. 9 required pieces of information (Art. 13)

#InformationExample
1Controller identityCompany name, address, email
2DPO contactdpo@yoursite.com (if applicable)
3Processing purposesAnalytics, service improvement, marketing
4Legal basisConsent (6.1.a), Legitimate interest (6.1.f)
5RecipientsGoogle, Cloudflare, Stripe
6Transfers outside EUGoogle servers in US, protected by EU-US DPF
7Retention periodAnalytics: 26 months, Account: until deleted
8User rightsAccess, rectification, erasure, portability, objection
9Right to complainSupervisory authority contact

3. Template by sections

Structure covering all GDPR requirements: Who we are → What data we collect → Why → Legal basis → Cookies → Third parties → Transfers → Retention → Your rights → Complaint → Changes → Contact.

4. Privacy Policy generators

GeneratorPriceGDPRNote
TermlyFree basicYesMost popular
IubendaFrom €9/yrYesAuto-updates with law changes
GetTermsFreeYesSimple, fast
CookiebotFrom €9/moYesIncludes Cookie Policy
Warning: Generators are a good BASE but you MUST customize for your site. No generator knows exactly what services you use. For e-commerce and sensitive data, consult a lawyer.

5. Where to place on your site

  • Footer link — MANDATORY on every page
  • Dedicated page — not a popup, must have its own URL
  • Contact form — link next to Submit button
  • Registration — checkbox with Privacy Policy link
  • Cookie banner — link to full Privacy Policy

6. Updating and notifying users

  • Always show "Last updated: [date]" at the top
  • Email registered users about significant changes
  • Banner notification on site
  • Keep previous versions accessible
  • 14-30 day grace period before changes take effect

7. Serbian ZZPL

Serbia adopted the Law on Personal Data Protection (ZZPL) in 2018, largely mirroring GDPR. Supervisory authority: Commissioner for Information of Public Importance and Personal Data Protection. If your site complies with GDPR, it automatically complies with ZZPL.

8. Common mistakes

  • No Privacy Policy at all — legally required
  • Copy-paste from another site — doesn't match YOUR services
  • Legal jargon — GDPR requires "clear and understandable" language
  • Missing footer link — must be accessible from every page
  • Outdated — added new services but didn't update PP
  • Missing recipients — must list Google, Facebook, etc.
  • No contact info — users must know who to contact
  • No date — must show when last updated

9. References and resources

Check Privacy Policy on your site →
GDPR vodicGDPR Guide Cookie ConsentCookie Consent Third-Party TrackeriThird-Party Trackers Prava korisnikaUser Rights GDPR KazneGDPR Fines Politika privatnostiPrivacy Policy