Analytics tržište doživjelo je fundamentalnu promjenu u protekle dvije godine. Odluke europskih nadzornih tijela (CNIL, DPC, Garante), dilema oko Schrems II, te postupno uvođenje EU-US Data Privacy Framework-a pomaknuli su liniju toga što je legalno — i reputacijski prihvatljivo — za web analytics u EU. Ovaj tekst je kratak praktični vodič za 2026.

Zašto je ovo uopće pitanje

GDPR (Članak 6. i 7.) zahtijeva valjanu pravnu osnovu za obradu osobnih podataka. Za analytics, ta je osnova najčešće privola — izričita, specifična, informirana, slobodno dana. ePrivacy direktiva (i hrvatski ZOEK) zahtijevaju privolu za svaki non-essential pristup uređaju korisnika — uključujući tracking cookies i slične tehnologije (localStorage, fingerprinting).

Schrems II (2020.) dodatno je otežao situaciju za alate koji šalju podatke u SAD, osim ako postoje "additional safeguards" ili je pošiljatelj osobnih podataka pokriven DPF-om (Data Privacy Framework, 2023.).

Google Analytics 4 (GA4) u 2026.

GA4 može biti usklađen s GDPR-om uz konkretne uvjete:

• Consent Mode v2 je obavezan od ožujka 2024. za advertiser features — bez njega Google ad audiences se sužavaju
• Google je u 2023. usklađen kroz EU-US Data Privacy Framework — što donekle rješava Schrems II pitanje za transferom podataka u SAD
• IP anonimizacija je u GA4 default, ali ne rješava sve primjedbe nadzornih tijela
• Još uvijek trebate privolu korisnika prije učitavanja GA4 skripte
• Austrijski, talijanski i francuski DPA su u 2022.-2023. presudili protiv Universal Analytics (UA); GA4 je u "sivoj zoni", ali rizik nije nula

Praktično: GA4 ostaje u igri ako imate ozbiljan Consent Management Platform (CMP), ako pošteno čekate privolu, i ako prihvaćate reputacijski rizik ako dođe do novih odluka nadzornih tijela.

Plausible

Open source, hostan u EU (njemački i estonski DC, ovisno o planu), bez cookies, bez perzonalnog identifikatora. Ne zahtijeva privolu po tumačenju CNIL-a i DPC-a jer ne koristi perzistentne identifikatore niti profilira pojedince.

Prednosti:

• EU hosting by default, podaci ne napuštaju EU
• Jednostavan dashboard, minimum noise
• Lightweight skripta (~1 kB) — SEO i Core Web Vitals friendly
• Transparentan model — open source, možete self-host

Nedostatci:

• Manje bogat feature set od GA4 (no user explorer, slabija integracija s Google Ads)
• Plaća se (€9+ mjesečno za hosted plan); self-host je besplatan ali zahtijeva administraciju
• Bez e-commerce tracking dubine kakvu daje GA4

Matomo

Najzreliji GDPR-friendly analytics. Može biti self-hosted (potpuna kontrola nad podacima) ili u Matomo Cloud (EU hosting). Feature-rich — heatmaps, session recordings, A/B testing, tag manager, funnels.

Dvije važne konfiguracije:

• Matomo s cookies isključenim + anonymize IP + ne-perzistentni visitor ID — obično ne zahtijeva privolu (prema tumačenju CNIL-a za "exempted" analytics konfiguracije)
• Matomo s standardnom konfiguracijom (cookies, user IDs) — zahtijeva privolu

Self-host je besplatan (Matomo Community), cloud je €23+/mj. Za ozbiljne e-commerce sajtove koji trebaju funnele i segmente, Matomo je najkompletnija GDPR-first opcija.

Ostale opcije vrijedne spomena

• Fathom Analytics — sličan Plausible, kanadski vendor s EU hostingom (isolated EU pod)
• Simple Analytics — nizozemski, privacy-first
• Umami — open source, self-host, minimalna konfiguracija
• PostHog — product analytics, self-host mogućnost; treba konfigurirati za EU compliance

Što odabrati — kratka matrica

Ako vodite content web ili blog bez teške e-commerce analize: Plausible ili Umami. Bez privole, čist Core Web Vitals impact, minimalna konfiguracija.

Ako ste e-commerce i trebate funnele / cohorts / A/B: Matomo (self-host ili cloud). Ako se baš ne odričete Google Ads-a, tada uz Matomo za analytics i Google Ads (samo s privolom) za ad tracking.

Ako ste već duboko u Google ekosustavu: GA4 + ozbiljan CMP (Cookiebot, Usercentrics, Iubenda, OneTrust), pošten blokiranje skripte prije privole, i dokumentiran DPIA. Ali imajte plan B.

Zaboravi ove mitove

• "GA4 je sad automatski legalan" — nije. Privola je i dalje obavezna. DPF smanjuje rizik za transfer, ne mijenja potrebu za privolom.
• "Mi smo mali, nitko nas neće kazniti" — CNIL i HR AZOP su u 2023.-2025. išli i na male oglašivače i WordPress blogove. Kazne su rasle.
• "Dovoljno je cookie banner" — cookie banner bez pravog mehanizma (load script tek nakon klika) je pokazan problem u svim presudama.

Ako trebate rješenje s minimalnim pravnim rizikom i sajtom koji ne treba complex funnele — odaberite Plausible ili Matomo. Ako držite GA4, postavite Consent Mode v2 i kvalitetan CMP, i dokumentirajte odluku u internom DPIA.