GDPR i ZZPL za malu firmu u Srbiji 2026: obaveze, kazne, praktični vodič
Mala firma u Srbiji 2026 mora imati politiku privatnosti, cookie banner, DPA ugovore sa obradivačima, evidenciju aktivnosti obrade i postupak za prava subjekata. Kazne do 2 miliona RSD (ZZPL), 20 miliona EUR (GDPR).
Sadržaj
Ukratko: GDPR i srpski Zakon o zaštiti podataka o ličnosti (ZZPL) obavezuju i male firme u Srbiji da pravilno upravljaju ličnim podacima zaposlenih, klijenata i posetilaca sajta. Globalna kazna može biti do 20 miliona EUR ili 4% godišnjeg prometa (GDPR), domaće do 2 miliona RSD (ZZPL). Mala firma 2026 mora imati: politiku privatnosti na sajtu, cookie banner, obrazac za saglasnost zaposlenih, evidenciju aktivnosti obrade, DPA ugovore sa obradivačima (hosting, email, analitika), i postupak za zahteve subjekata (pravo na pristup, brisanje, ispravku). Osnovne usaglasenosti za malu firmu košta 100.000 do 300.000 RSD jednokratno + 50.000 do 150.000 RSD godišnje održavanje.
1. Šta je GDPR, ZZPL i koga obavezuje
GDPR (General Data Protection Regulation) je evropska regulativa o zaštiti podataka od 2018. ZZPL je srpski Zakon o zaštiti podataka o ličnosti, koji preuzima većinu GDPR principa. Obavezuje sve firme u Srbiji bez obzira na veličinu, ako:
- Obrađujete lične podatke fizičkih lica (klijenata, zaposlenih, posetilaca)
- Imate sajt sa formularima, newsletter-om, ili cookie-jima
- Prikupljate kontakt podatke (email, telefon, adresa)
- Vodite evidenciju zaposlenih
- Imate CCTV nadzor
- Šaljete marketing mailove
- Pružate usluge klijentima iz EU (tada se primenjuje i GDPR direktno)
"Mala firma" nije izuzeta. Ako imate 5 zaposlenih ili 5.000, principi su isti. Razlikuje se samo obim dokumentacije.
2. Šest osnovnih principa zaštite podataka
| Princip | Šta znači |
|---|---|
| Zakonitost, pravičnost, transparentnost | Obrada mora imati zakonsku osnovu, biti transparentna prema subjektima |
| Ograničenje svrhe | Podaci se prikupljaju samo za specifične i jasno definisane svrhe |
| Minimizacija podataka | Prikupljate samo što je neophodno, ne više |
| Tačnost | Podaci moraju biti tačni i ažurirani |
| Ograničenje roka čuvanja | Čuvate samo dok je potrebno za svrhu, posle brišete |
| Integritet i poverljivost | Sigurnost podataka kroz tehničke i organizacione mere |
3. Šest zakonskih osnova za obradu podataka
- Saglasnost subjekta: aktivna, dobrovoljna, specifična (npr. newsletter prijava)
- Izvršenje Ugovor o radung>: kupoprodaja, ugovor o radu
- Zakonska obaveza: poreske evidencije, evidencije zaposlenih za PIO i RZZO
- Zaštita vitalnih interesa: hitne situacije, zdravstvene ekstremije
- Javni interes: dela u opštem interesu (retko za male firme)
- Legitimni interesi: marketing postojećim klijentima, IT sigurnost (treba balans test)
4. Šta mala firma mora da ima dokumentaciono
Politika privatnosti na sajtu
Vidljiv, lako dostupan link sa svake stranice. Mora sadržati:
- Identitet firme (PIB, adresa)
- Koje podatke prikupljate (email, telefon, IP, cookies)
- Zašto ih prikupljate (svrha obrade)
- Zakonska osnova obrade
- Treća lica kojima dajete podatke (hosting, email provider, analytics)
- Koliko dugo čuvate
- Prava subjekata (pristup, ispravka, brisanje, ograničenje, prenošenje)
- Kako da kontaktiraju vas ili poverenika za informacije od javnog značaja
Cookie banner
Mora biti:
- Vidljiv pre nego što se cookie-ji postavljaju
- Sa jasnim "Prihvati" i "Odbaci" dugmićima (jednako vidljivi)
- Opcijom za granularno biranje (analitika, marketing)
- Linkom na cookie politiku sa detaljima
- Bez dark patterns (predizabranih opcija "prihvati sve")
Evidencija aktivnosti obrade
Interna lista koja sadrži:
- Sve procese gde obrađujete lične podatke
- Svrhe i zakonske osnove
- Kategorije subjekata (klijenti, zaposleni, dobavljači)
- Kategorije podataka (kontakti, finansijski, zdravstveni)
- Treća lica kojima dajete podatke
- Rokove čuvanja
- Bezbednosne mere
DPA ugovori sa obradivačima
Svaki put kad treća strana obrađuje vaše podatke, mora postojati Data Processing Agreement (DPA). Tipični obradivači:
| Obradivač | DPA potreban | Gde naći |
|---|---|---|
| Hosting (mcloud.rs, Hetzner, AWS) | Da | Standardni DPA šablon provider |
| Email provider (Mailchimp, SendGrid) | Da | Standardni DPA |
| Analitika (Google Analytics, Plausible) | Da | Google Workspace ima ugrađen DPA |
| Knjigovođa | Da | Ugovor o knjigovodstvenim uslugama sa DPA klauzulom |
| Marketing agencija | Da | Standardni DPA |
| CRM softver (Salesforce, HubSpot) | Da | Standardni DPA |
| Payment provider (Stripe, NestPay) | Da | Standardni DPA |
Saglasnost zaposlenih
Zaposleni mora dati pisanu saglasnost za:
- Obradu ličnih podataka koja nije neophodna za ugovor o radu (npr. korporativna fotografija na sajtu)
- CCTV nadzor (sa transparentnim obaveštenjem)
- Praćenje email-a i interneta (sa jasnim pravilima)
5. Pravila za sajtove i online prodavnice
| Element | Obavezan / Preporučen |
|---|---|
| Politika privatnosti | Obavezan |
| Cookie banner | Obavezan |
| Cookie politika | Obavezan |
| Newsletter sa dvostrukom potvrdom (opt-in) | Preporučen |
| Saglasnost na kontakt formama | Obavezna |
| Pravila korišćenja | Obavezan |
| Postupak za brisanje naloga | Obavezan |
| SSL sertifikat (HTTPS) | Obavezan |
| IP geolokacija provera (za EU posetioce) | Preporučen |
6. Prava subjekata i kako ih izvršiti
| Pravo | Šta znači | Rok odgovora |
|---|---|---|
| Pravo na pristup | Subjekt traži kopiju svih podataka koje imate o njemu | 30 dana |
| Pravo na ispravku | Tražite ispravku netačnih podataka | 30 dana |
| Pravo na brisanje (zaborav) | Brisanje podataka kad nisu više potrebni | 30 dana |
| Pravo na ograničenje | Privremeno zaustavljanje obrade | 30 dana |
| Pravo na prenošenje (portabilnost) | Subjekt dobija svoje podatke u standardnom formatu | 30 dana |
| Pravo na prigovor | Subjekt se protivi obradi (npr. marketing) | 30 dana |
| Pravo na žalbu povereniku | Ako odbijete ili kasnite, subjekt može pisati Povereniku | 30 dana |
Pripremite interni postupak: ko prima zahteve, ko ih proverava, ko odgovara, u kom roku. Email "info@firma.rs" sa odgovornim licem je minimum.
7. Posebne kategorije podataka, dodatni oprez
Po članu 17 ZZPL, određene kategorije podataka su strožije zaštićene:
- Zdravstveni podaci
- Verske ili filozofske ubeđenja
- Politička ubeđenja
- Rasno ili etničko poreklo
- Genetski i biometrijski podaci
- Podaci o seksualnoj orijentaciji
- Podaci o sindikalnom članstvu
Obrada ovih podataka je u principu zabranjena, sa retkim izuzecima (eksplicitna saglasnost, zakonska obaveza, vitalni interesi). Mala firma uglavnom ne treba ove podatke, izbegavajte ih.
8. Sigurnosne mere
Tehničke mere
- HTTPS na sajtu (SSL sertifikat, besplatan Let's Encrypt)
- Jaki passwordi za sve naloge (minimum 12 znakova, kombinacija slova i brojeva)
- Dvofaktorska autentifikacija za važne sisteme
- Redovni backupi (dnevni za baze podataka)
- Ograničen pristup po principu "najmanje potrebnog" (least privilege)
- Enkripcija podataka u tranzitu i mirovanju
- Antivirus na svim mašinama
- Redovna ažuriranja softvera
Organizacione mere
- Pisana politika zaštite podataka, distribuirana svim zaposlenima
- Obuke zaposlenih (godišnje)
- Postupak za incidente (proboj podataka response plan)
- Pravila za rad od kuće (BYOD politika)
- Pravila za brisanje podataka (data zadržavanje korisnika)
- Pravila za odlaganje opreme (siguran data wipe pre prodaje hard diskova)
9. Šta da uradite u slučaju proboja podataka (proboj podataka)
| Korak | Rok |
|---|---|
| Otkrijte i procenite obim | Odmah, prvih 24 sata |
| Zaustavite proboj (security patch, change passwords) | Prvih 24 sata |
| Dokumentujte sve interno | Tokom procesa |
| Obavestite Poverenika | 72 sata od saznanja (ako ima rizik za subjekte) |
| Obavestite pogođene subjekte | Bez nepotrebnog odlaganja (ako visok rizik) |
| Sprovedite postupak (forenzika, advokat, audit) | Tokom nedelja |
| Implementirajte popravke | Posle analize |
Bez obavještavanja Poverenika u roku od 72 sata, kazne se značajno povećavaju. Šablon obrasca za prijavu je dostupan na poverenik.rs.
10. Kazne za nepoštovanje
| Prekršaj | Kazna (RSD) |
|---|---|
| Obrada bez zakonske osnove | 200.000 do 2.000.000 |
| Nepoštovanje prava subjekta | 100.000 do 1.500.000 |
| Nepravilan transfer u inostranstvo | 200.000 do 2.000.000 |
| Nepravilna saglasnost | 100.000 do 1.000.000 |
| Bez politike privatnosti | 50.000 do 500.000 |
| Bez DPA sa obradivačem | 100.000 do 1.000.000 |
| Neprijavljen proboj podataka | 200.000 do 2.000.000 |
| Nepostojanje evidencije obrade | 50.000 do 500.000 |
Za firme koje rade sa EU klijentima, GDPR kazne idu do 20 miliona EUR ili 4% godišnjeg prometa (šta god je veće).
11. DPO (Data Protection Officer), da li mi treba
DPO (lice za zaštitu podataka) je obavezan za:
- Državne organe
- Firme koje sistemski prate subjekte (praćenje, profiling)
- Firme koje obrađuju velike količine posebnih kategorija podataka
Većini malih firmi DPO nije obavezan, ali je preporučen za firme sa preko 20 zaposlenih ili sa kompleksnim podacima.
Eksterni DPO kao alternativa
Mala firma može da unajmi eksterni DPO (advokatska kancelarija ili specijalizovana firma) umesto da zaposli internog. Cena 30.000 do 80.000 RSD mesečno.
12. Praktični prvi koraci za malu firmu
- Inventarizacija podataka: napravite spisak svih podataka koje obrađujete (sajt, email, baza klijenata, evidencija zaposlenih). 1 do 2 dana rada.
- Politika privatnosti i cookie banner: postavite na sajtu. Šabloni dostupni online. 1 do 2 dana.
- Provera trećih strana: lista svih SaaS i obradivača, prikupljanje DPA. 1 nedelja.
- Evidencija obrade: dokument koji opisuje sve aktivnosti. Šablon dostupan, 2 do 3 dana popunjavanja.
- Postupak za prava subjekata: email "privacy@firma.rs" i internalni postupak. 1 dan.
- Postupak za incidente: plan šta raditi u slučaju proboja. 1 dan.
- Obuka zaposlenih: 1 sat sastanak, mesečna podsetnik mailom.
Realno trajanje uspostavljanja minimalne usaglasenosti za malu firmu: 2 do 4 nedelje. Trošak 100.000 do 300.000 RSD ako idete preko advokata ili konsultanta, ili 0 ako uradite sami koristeći šablone.
13. Najčešće greške male firme
| # | Greška | Posledica |
|---|---|---|
| 1 | "Mi smo mali, GDPR nas ne tiče" | Iste obaveze kao za veće firme |
| 2 | Cookie banner sa "prihvati sve" predizabranim | Dark pattern, nevažeća saglasnost |
| 3 | Newsletter bez dvostruka potvrda (opt-in) | Spam pritužbe, kazne |
| 4 | Bez DPA ugovora sa hosting providerom | Direktan prekršaj ZZPL |
| 5 | Čuvanje podataka neograničeno | Princip ograničenja roka |
| 6 | Bez postupka za prava subjekata | Kazne pri prvom zahtevu |
| 7 | Nepravilan transfer u SAD (npr. Mailchimp) | Treba Standardne ugovorne klauzule (SCC) |
14. Specifični slučajevi po industriji
Sajt internet trgovina
- Saglasnost za marketinški mail uz online prodavnicu
- Sigurni payment processor (PCI DSS sertifikovan)
- Brisanje podataka klijenata posle 5 godina (poreska obaveza minimum)
- Više detalja u našem vodiču o online prodaji
Zdravstvene ordinacije
- Posebne kategorije podataka (zdravlje)
- Eksplicitna saglasnost za obradu
- Veoma stroga sigurnost (enkripcija, ograničen pristup)
- Često obavezan DPO
HR i evidencija zaposlenih
- Pisana saglasnost zaposlenih za sve što nije neophodno za ugovor o radu
- Brisanje podataka 5 godina posle prestanka radnog odnosa
- Više u HR vodiču za male firme
15. Šta dalje, korak po korak
- Otvorite poverenik.rs i pročitajte ključne vodiče
- Šabloni politike privatnosti su slobodno dostupni online (npr. Termsfeed, Iubenda)
- Konsultacija advokata za prilagođavanje šablona vašoj firmi je 5.000 do 15.000 RSD
- Specijalizovani GDPR konsultant 30.000 do 80.000 RSD za kompletnu podešavanje
- Software za upravljanje saglasnostima (OneTrust, Iubenda) 50 do 200 EUR mesečno
Za pravne aspekte, pogledajte naš vodič o izboru advokata. Za cyber security komponentu, pogledajte cyber security za male firme. Pravna struktura firme bitna je za nivo odgovornosti, pogledajte kako izabrati pravnu formu.
Zaključak
GDPR i ZZPL nisu samo "papirologija" za velike firme. Svaka mala firma u Srbiji 2026 mora imati osnovnu usaglasenost sa zakonom, sa kaznama do 2 miliona RSD za prekršaje. Praktični prvi koraci (politika privatnosti, cookie banner, DPA sa obradivačima, evidencija obrade, postupak za prava subjekata) mogu se uspostaviti za 2 do 4 nedelje, sa ili bez konsultanta. Investicija u privatnost je investicija u poverenje klijenata i pravnu sigurnost firme.
Za sledeće korake pogledajte naše vodiče cyber security za male firme, HR za male firme i kako pisati uslove korišćenja. Verifikovane advokate specijalizovane za GDPR možete naći u Feruvi direktorijumu.
Direktorijum
Pronađi verifikovanu firmu
Feruvi direktorijum trenutno ima 749 verifikovanih firmi sa proverenim kontaktima, adresama i radnim vremenom. Filtriraj po delatnosti i gradu.
Pretraži firmeČesto postavljana pitanja
Da li GDPR važi za malu firmu u Srbiji?
Da, GDPR i srpski ZZPL obavezuju sve firme u Srbiji bez obzira na veličinu ako obrađuju lične podatke (klijenata, zaposlenih, posetilaca). "Mala firma" nije izuzeta. Razlikuje se samo obim dokumentacije. Ako pružate usluge klijentima iz EU, primenjuje se i GDPR direktno sa kaznama do 20 miliona EUR ili 4% godišnjeg prometa.
Šta minimalno mora mala firma da ima?
Politika privatnosti na sajtu, cookie banner, evidencija aktivnosti obrade, DPA ugovori sa obradivačima (hosting, email, analytics, knjigovođa), postupak za zahteve subjekata (pravo na pristup, brisanje, ispravku), pisana saglasnost zaposlenih gde je potrebno, plan za data breach incident, osnovne sigurnosne mere (HTTPS, jaki passwordi, backupi). Realno se uspostavi za 2 do 4 nedelje.
Koliko košta usaglasenost sa GDPR i ZZPL?
Osnovna usaglasenost preko šablona (uradi sam): 0 RSD ali 2 do 4 nedelje vremena. Sa konsultacijom advokata: 100.000 do 300.000 RSD jednokratno. Specijalizovani GDPR konsultant: 30.000 do 80.000 RSD za kompletnu postavku. Eksterni DPO: 30.000 do 80.000 RSD mesečno. Software za upravljanje saglasnostima (OneTrust, Iubenda): 50 do 200 EUR mesečno. Godišnje održavanje 50.000 do 150.000 RSD.
Kakve su kazne za nepoštovanje?
ZZPL: obrada bez zakonske osnove 200.000 do 2.000.000 RSD, nepoštovanje prava subjekta 100.000 do 1.500.000 RSD, neprijavljen data breach 200.000 do 2.000.000 RSD, bez politike privatnosti 50.000 do 500.000 RSD. GDPR za firme sa EU klijentima: do 20 miliona EUR ili 4% godišnjeg prometa (šta god je veće). Posebno ozbiljno: nepravilan transfer u SAD bez SCC klauzula.
Šta je cookie banner i kako mora da izgleda?
Cookie banner mora biti vidljiv pre nego što se postavljaju cookie-ji, sa jasnim "Prihvati" i "Odbaci" dugmićima JEDNAKO vidljivim (bez dark patterns), opcijom za granularno biranje (analitika, marketing), linkom na cookie politiku sa detaljima, bez predizabranih opcija "prihvati sve". Saglasnost mora biti aktivna, dobrovoljna i specifična, ne implicitna.
Šta da uradim u slučaju proboja podataka (data breach)?
Otkrijte i zaustavite proboj u prvih 24 sata. Dokumentujte sve interno. Obavestite Poverenika u roku od 72 sata od saznanja (ako ima rizik za subjekte). Obavestite pogođene subjekte bez nepotrebnog odlaganja (ako je visok rizik). Sprovedite forenziku i implementirajte popravke. Šablon obrasca za prijavu je na poverenik.rs. Bez obavještavanja u roku od 72 sata, kazne se značajno povećavaju.
Koja prava ima subjekat ličnih podataka?
Pravo na pristup (kopija svih podataka), pravo na ispravku (netačni podaci), pravo na brisanje (zaborav), pravo na ograničenje obrade, pravo na prenošenje u standardnom formatu, pravo na prigovor (npr. marketing), pravo na žalbu Povereniku. Sve sa rokom odgovora od 30 dana. Mala firma mora imati interni postupak (email "privacy@firma.rs", odgovorno lice, dokumentacija odgovora).
Da li mi treba DPO (Data Protection Officer)?
DPO je obavezan za državne organe, firme koje sistemski prate subjekte (praćenje, profiling), i firme koje obrađuju velike količine posebnih kategorija podataka. Većini malih firmi DPO nije obavezan, ali je preporučen za firme sa preko 20 zaposlenih ili kompleksnim podacima. Mala firma može da unajmi eksternog DPO (advokatska kancelarija) umesto da zaposli internog, cena 30.000 do 80.000 RSD mesečno.
Šta je DPA i sa kim moram da ga potpišem?
Data Processing Agreement (DPA) je ugovor sa svakom trećom stranom koja obrađuje vaše podatke. Tipični obradivači: hosting (mcloud.rs, Hetzner, AWS), email provider (Mailchimp, SendGrid), analytics (Google Analytics), knjigovođa, marketing agencija, CRM softver, payment provider. Provideri imaju standardne DPA šablone koje treba samo potpisati. Bez DPA, obrada je nezakonita.
Da li mogu da šaljem marketing mailove klijentima?
Postojećim klijentima da, na osnovu legitimnog interesa (pravna lica (B2B) kontakti, postojeći kupci). Novim ljudima samo uz eksplicitnu saglasnost (newsletter sa dvostruka potvrda (opt-in). Saglasnost mora biti aktivna, ne unapred označena. Svaki email mora imati lako dostupan link za odjavljivanje. Bez ovih elementa, kazna 100.000 do 1.500.000 RSD plus spam pritužbe. Više u vodiču o newsletter strategiji.
O autoru
Marko RistićPreduzetnik. Osnivač i vlasnik Feruvi-ja.
Marko Ristić je preduzetnik. Svaki svoj projekat vodi od početka do kraja uz pomoć saradnika koji mu pomažu u procesu. Marko vodi razvoj strategija, arhitekture, dizajna, izrade softvera, odabira i implementacije tehnologija, osmišljavanje funkcionalnosti i celokupne marketinške aktivnosti, kao i svakodnevnu operativu. Veštačka inteligencija je sastavni deo procesa rada.
Marko je osnivač i vlasnik Feruvi-ja, internet platforme za oglase, smeštaj, vozila, nekretnine, poslove i firme, sve na jednom mestu. Trenutno je dostupna vertikala Firme, ostalih šest ulazi u plan razvoja. Sopstveni pretraživač, administratorski sistem, sistem za upravljanje sadržajem i sistem za promocije, sve napravljeno u sopstvenoj režiji.
Pored Feruvi-ja, vodi i druge digitalne projekte: 3DTapete.rs (elektronska prodavnica 3D zidnih tapeta), Manastiri.rs (platforma za tradicionalne porodične proslave i običaje), i mrežu sajtova za roditelje ExtremeKids.rs, DecjiSvet.rs, Balon.rs, TvojIzbor.rs. Kao i mnogo toga drugog, budući da je višegodišnji preduzetnik koji se bavi marketingom i sarađuje direktno sa klijentima iz inostranstva, pretežno američkog tržišta, kao i tržišta Italije, Švedske, Španije, Izraela, Finske i Nemačke.