Veliki dio cookie bannera na webovima u EU 2026. još uvijek krše zakon — usprkos tome što su "profesionalno" postavljeni i izgledaju kao da su urađeni po pravilima. Razlog je jednostavan: generički banner koji samo kaže "prihvati ili odbij" sa dvije tipke nije isto što i pravna usklađenost. EU regulatori (CNIL u Francuskoj, AEPD u Španjolskoj, Garante u Italiji, AZOP u Hrvatskoj) izriču višeznamenkaste kazne tvrtkama koje su "imale banner".
Ovaj vodič pokriva što e-Privacy direktiva (i GDPR za personal data dio) stvarno traže od cookie consent mehanizma u 2026, koje su najčešće greške, i kako postaviti banner koji ne otvara pravnu izloženost.
Koji zakon zapravo regulira cookie?
e-Privacy direktiva (2002/58/EC, izmijenjena 2009/136/EC) — "Cookie Law". Ona traži pristanak prije postavljanja bilo kojeg ne-esencijalnog cookie-a ili sličnog trackera.
GDPR (679/2016) ulazi u igru čim cookie obrađuje osobne podatke (IP adresa, user ID, behavioral data). Za većinu trackera (Google Analytics, Meta Pixel, Hotjar) to znači oboje — e-Privacy traži consent za postavljanje, GDPR regulira što radiš s prikupljenim podacima.
e-Privacy Regulation (zamjena za direktivu) još nije usvojena u svom finalnom obliku 2026, ali draft tekstovi pokazuju strožiji ton: implicirani pristanak postaje praktički mrtav, browser-level signali (Global Privacy Control) postaju obavezni, fingerprinting eksplicitno zahtjeva consent.
Koji cookie smiješ postaviti BEZ pristanka
Samo oni koji su strictly necessary za funkcioniranje servisa koji je korisnik tražio:
- Session cookie za login / cart
- Cookie za jezičnu lokalizaciju (ako korisnik klikne "prebaci na hrvatski")
- Cookie za bandwidth load balancing
- Cookie sa CSRF tokenom
- Cookie za consent state-a (ironično — banner mora pamtiti tvoj izbor)
Sve ostalo (analytics, ads, social embeds, A/B test, heatmaps, chatbot tracking) zahtijeva pristanak prije nego što se cookie postavi.
5 najčešćih grešaka koje banner čine ilegalnim
1. Pre-checked checkbox za marketing/analytics
EU sud (Planet49, C-673/17) je 2019. eksplicitno presudio: pristanak mora biti aktivna radnja. Pre-checked box = nije pristanak. Korisnik mora sam kliknuti da uključi opciju.
2. "Accept all" gumb veliki, "Reject all" gumb skriven ili nepostojeći
CNIL i druge agencije više puta presudile da odbijanje mora biti jednako lako kao prihvaćanje. Ako je "Prihvati sve" zelena tipka u centru, a "Odbij sve" sive male linkove u footeru — to nije slobodan izbor.
Praktično 2026: Banner mora imati i "Prihvati sve" i "Odbij sve" gumb, iste veličine, istih boja, na istom mjestu.
3. Cookie postavljen prije nego što je korisnik kliknuo
Tipičan klasik: Google Analytics učitan u <head> page-a prije nego banner uopće prikazan. Korisnik vidi banner, klikne "Odbij" — analytics je već poslao prvi pageview event. Nezakonito.
Tehničko rješenje: svi tracking script-ovi moraju biti uvjetno učitani tek nakon pristanka. Većina consent managementa (Cookiebot, Iubenda, Complianz) to radi automatski — ali samo ako ih ispravno integrišeš.
4. "Nastavak korištenja sajta = pristanak"
Implicirani pristanak je mrtav. Korisnik koji scroll-a stranicu nije pristao. CNIL je 2020. eksplicitno odbacio ovu praksu.
5. Nema mogućnosti povlačenja pristanka
Korisnik koji je jednom kliknuo "Prihvati" mora moći u bilo kojem trenutku doći do iste opcije i isključit cookie. Tipično: stalan link u footeru "Cookie postavke" ili plutajući gumb.
Što mora sadržavati pravno valjan cookie banner
- Jasna izjava što se postavlja i zašto (npr. "Koristimo cookie-je za analytics i personalizaciju oglasa").
- Granularan izbor — barem 3-4 kategorije: Essential (off, auto), Analytics, Marketing, Functional. Korisnik može uključit/isključit svaku zasebno.
- "Prihvati sve" i "Odbij sve" gumb istog vizualnog tretmana.
- Link na cookie policy sa popisom svakog cookie-a (ime, svrha, trajanje, treća strana).
- Mogućnost povlačenja u bilo kojem trenutku (perzistentni gumb/link u footeru).
- Zapis pristanka — vrijeme, IP (anonimizirana), verzija policy-ja, koje kategorije su prihvaćene. Ovo je dokaz za regulator ako pita.
- Re-consent svakih 6-12 mjeseci — pristanak nije zauvijek, posebno ako se mijenjaju cookie ili partneri.
Tehnička arhitektura — što stvarno radi 2026
Opcija 1: Open-source / DIY
- Klaro! (open-source consent manager) — besplatno, JavaScript widget, integracija s Google Tag Manager-om
- cookie-consent (vanilla JS library) — ako trebaš full kontrolu
Opcija 2: SaaS consent management (najlakše)
- Cookiebot — €11-25/mj, IAB TCF 2.2 podržan, automatic cookie scan, multi-language
- Iubenda — €27-99/mj, paket sa privacy policy generatorom, dobro za EU compliance
- Complianz (WP plugin) — freemium, native WP integration, €99/god Pro
- Usercentrics / Cookie Information — enterprise, €50+/mj, IAB TCF i Google Consent Mode v2 podržani
Google Consent Mode v2 — obavezno za Google Ads u EU od 2024
Ako koristiš Google Ads, Google Analytics ili YouTube embed na sajtu, moraš implementirat Consent Mode v2. Bez toga Google prestaje dijelit conversion podatke i remarketing audience-i s tobom. Većina SaaS rješenja (Cookiebot, Iubenda) to podržava out-of-the-box.
Najveće promjene 2026 — što se sprema
- e-Privacy Regulation finalizacija: stroži zahtjevi, manje fleksibilnosti u interpretaciji.
- Browser-level consent signali (Global Privacy Control, GPC): browser šalje preference da korisnik ne želi tracking. Regulatori sve više zahtijevaju da sajt to poštuje, ne samo banner.
- Cookie-less tracking: pomak prema server-side analytics (Plausible, Matomo), fingerprinting (gore za korisnika, ali zahtjeva consent), first-party data.
- EU AI Act presjeci: ako koristiš AI personalizaciju koja koristi cookie podatke, dodatni zahtjevi za transparency dolaze.
Checklist prije lansiranja bannera
- Skenirao si sajt — znaš svaki cookie i tracker koji se postavlja? (Cookiebot, Hyperaudit, Burp Suite + browser DevTools)
- Banner se prikazuje na prvi page load, prije bilo kojeg ne-esencijalnog cookie-a?
- "Prihvati sve" i "Odbij sve" iste veličine, na istom nivou?
- Granularni izbor po kategorijama?
- Cookie policy stranica linkana iz bannera s detaljnim popisom?
- Postoji "Cookie postavke" link/gumb dostupan stalno (footer)?
- Consent log se sprema?
- Tracking script-ovi učitavaju se uvjetno, samo nakon pristanka?
- Google Consent Mode v2 implementiran (ako koristi Google ekosustav)?
- Re-consent mehanizam kad se cookie policy promijeni?
Kazne — što stvarno staje
Indikativni recent precedenti:
- Google: €150M (CNIL, 2022) — "Odbij" gumb nije bio jednako lak kao "Prihvati"
- Meta: €60M (CNIL, 2022) — isto
- TikTok: €5M (CNIL, 2023) — cookie postavljen bez consent
- Manje tvrtke u EU: tipično €5k-50k za AZOP-tipne agencije, brzo eskalira ako se ignorira
Većina malih i srednjih tvrtki neće privući pažnju regulatora bez user complaint-a. Ali jedna pritužba (od konkurencije, bivšeg zaposlenika, nezadovoljnog kupca) može pokrenuti audit. Bolje je biti čist.
Kako WMD pomaže
Na našem hostingu možemo postavit Cookiebot ili Complianz instalaciju u jednom satu kao dio onboarding-a. Imaš WordPress + WooCommerce → Complianz Pro je standardna preporuka. Imaš headless + custom front-end → Cookiebot ili Klaro DIY integracija. Za potpunu pravnu reviziju: surađujemo s odvjetničkim uredima koji rade EU privacy compliance.
Najčešća pitanja
Trebam li banner ako koristim samo Google Analytics?
Da. GA postavlja _ga cookie i prikuplja IP — oboje zahtijeva consent u EU. Iznimka: ako koristiš anonimizirani Plausible ili Matomo bez cookieja, banner nije obavezan (ali transparency notice u footeru je dobra praksa).
Što s YouTube embed-om?
YouTube cookie-je postavlja kad embed učita. Ili koristi youtube-nocookie.com embed (privacy-enhanced mode) ili učitavaj iframe tek nakon pristanka.
Mogu li koristit isti banner za EU i ne-EU?
Tehnički da, ali komercijalno često ne. Geo-detection (npr. preko Cloudflare) ti omogućuje da prikazujеš stroži banner samo EU posjetiteljima, a olakšaš ne-EU korisnicima. Pažljivo s VPN korisnicima.
Hrvatska AZOP — koliko često kontrolira?
Reaktivno na pritužbe, ali se sve više pojavljuju i preventivne provjere kod većih sajtova. Globalna marka koja posluje u HR-u s lošim bannerom = lakša meta nego mali lokalni biznis.