DPIA — Procjena učinka na zaštitu podataka: Kada je obvezna i kako je provesti
21. veljače 2026.
Ažurirano: 22. veljače 2026.
18 min čitanja
GDPR
Procjena učinka na zaštitu podataka (engl. Data Protection Impact Assessment — DPIA) alat je koji GDPR zahtijeva kada obrada osobnih podataka može rezultirati visokim rizikom za prava i slobode pojedinaca. U praksi, mnoge hrvatske organizacije ne znaju kada je DPIA obvezna i kako je provesti. Ovaj vodič objašnjava sve — od pravnog temelja do konkretnih koraka provedbe.
Sažetak i ključne točke
DPIA je obvezna kada obrada može rezultirati visokim rizikom za ispitanike (čl. 35. GDPR-a).
AZOP je objavio popis vrsta obrada za koje je DPIA obvezna u Hrvatskoj.
DPIA nije jednokratni dokument — ažurira se kada se promijene okolnosti obrade.
Provodi je voditelj obrade, uz savjetovanje s DPO-om.
Ako DPIA pokaže da rizik ostaje visok nakon mjera — obvezna je prethodna konzultacija s AZOP-om.
Neprovođenje DPIA kada je obvezna kaznivo je kaznom do 10 mil. EUR ili 2 % prometa.
DPIA (Procjena učinka na zaštitu podataka) sustavni je postupak procjene potencijalnih utjecaja planirane obrade osobnih podataka na privatnost ispitanika. Pravna osnova je članak 35. GDPR-a.
Pojam
Značenje
DPIA
Data Protection Impact Assessment — procjena učinka na zaštitu podataka
Visok rizik
Vjerojatnost da obrada značajno utječe na prava i slobode fizičkih osoba
Voditelj obrade
Organizacija koja određuje svrhe i sredstva obrade
DPO
Službenik za zaštitu podataka — obvezno se savjetuje pri DPIA
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Prethodna konzultacija
Obveza konzultiranja AZOP-a ako DPIA pokaže neprihvatljiv rizik
Čl. 35. GDPR-a
Pravna osnova za obvezu provedbe DPIA
Zašto je DPIA važna?
Razlog
Objašnjenje
Zakonska obveza
GDPR izričito zahtijeva DPIA za visokorizične obrade
Prevencija rizika
Identificira probleme prije početka obrade
Dokazivanje usklađenosti
Dokument koji pokazuje da ste poduzeli mjere (načelo odgovornosti)
Povjerenje korisnika
Transparentan pristup zaštiti podataka
Izbjegavanje kazni
Neprovođenje DPIA može rezultirati kaznom do 10 mil. EUR
Kada je DPIA obvezna?
Opće pravilo
DPIA je obvezna kada je vjerojatno da će obrada rezultirati visokim rizikom za prava i slobode fizičkih osoba, posebno pri korištenju novih tehnologija (čl. 35. st. 1.).
Tri situacije u kojima je DPIA uvijek obvezna (čl. 35. st. 3.)
Situacija
Primjer
Automatizirano odlučivanje s pravnim učinkom
Automatsko odbijanje kredita, profiliranje za zapošljavanje
Obrada posebnih kategorija u velikom opsegu
Zdravstveni podaci pacijenata bolnice, biometrijska identifikacija
Sustavno praćenje javno dostupnog prostora u velikom opsegu
Video nadzor trgovačkog centra, praćenje prometa
EDPB kriteriji — pravilo „dva od devet"
Europski odbor za zaštitu podataka (EDPB) definirao je 9 kriterija. Ako obrada ispunjava dva ili više, DPIA je vjerojatno potrebna:
#
Kriterij
Primjer
1
Profiliranje ili ocjenjivanje
Kreditni scoring, analiza ponašanja korisnika
2
Automatizirano odlučivanje s pravnim učinkom
Automatsko odbijanje zahtjeva za osiguranje
3
Sustavno praćenje
Video nadzor, praćenje aktivnosti zaposlenika
4
Osjetljivi podaci
Zdravstveni, biometrijski, genetski podaci
5
Obrada u velikom opsegu
Obrada podataka cijele populacije grada/regije
6
Spajanje skupova podataka
Povezivanje podataka iz različitih izvora
7
Ranjivi ispitanici
Djeca, zaposlenici, pacijenti, tražitelji azila
8
Inovativna uporaba novih tehnologija
AI za donošenje odluka, biometrija, IoT
9
Obrada koja sprječava ispitanike u ostvarivanju prava
Blokiranje pristupa usluzi na temelju profiliranja
AZOP-ov popis obrada
AZOP je objavio popis vrsta obrada za koje je DPIA obvezna u Hrvatskoj. Popis uključuje, među ostalim:
Vrsta obrade
Opis
Video nadzor velikih prostora
Trgovački centri, poslovne zgrade, javni prostori
Biometrijska identifikacija
Otisci prstiju, prepoznavanje lica za kontrolu pristupa
Profiliranje korisnika
Analiza ponašanja za ciljano oglašavanje
Praćenje zaposlenika
Praćenje aktivnosti na računalu, GPS praćenje vozila
Obrada zdravstvenih podataka
Elektronički zdravstveni zapisi u velikom opsegu
Automatizirano odlučivanje
Sustavi koji automatski donose odluke o pravima osoba
Obrada podataka djece
Aplikacije i usluge namijenjene maloljetnicima
Korištenje AI sustava
Strojno učenje koje obrađuje osobne podatke
Geolokacijsko praćenje
Praćenje lokacije zaposlenika ili korisnika
Spajanje baza podataka
Kombiniranje podataka iz više izvora za novo profiliranje
Napomena: AZOP-ov popis nije konačan. Organizacije trebaju samostalno procjenjivati rizike svake obrade koristeći EDPB kriterije.
Tko provodi DPIA?
Uloga
Odgovornost
Voditelj obrade
Konačna odgovornost za provedbu DPIA
DPO
Savjetuje i nadzire provedbu (čl. 35. st. 2.)
Tim za provedbu
IT, pravni, poslovni stručnjaci koji sudjeluju u procjeni
Vanjski stručnjaci
Konzultanti za složenije procjene
Izvršitelj obrade
Pomaže voditelju prema ugovoru (čl. 28. st. 3.f)
Praktična organizacija
Za manje organizacije DPIA može provesti DPO uz podršku voditelja relevantnog odjela. Za složenije obrade preporučuje se multidisciplinarni tim:
Pravnik — pravni temelj, usklađenost
IT stručnjak — tehničke mjere zaštite
Poslovni vlasnik — svrha i nužnost obrade
DPO — koordinacija, neovisno mišljenje
Koraci provedbe
Korak 1: Opis obrade
Detaljno opišite planiranu obradu:
Element
Pitanja
Svrha
Zašto obrađujete podatke?
Pravni temelj
Koji je pravni temelj (privola, ugovor, legitimni interes...)?
Kategorije podataka
Koje osobne podatke prikupljate?
Kategorije ispitanika
Čije podatke obrađujete (klijenti, zaposlenici, djeca...)?
Primatelji
Kome prosljeđujete podatke?
Rok čuvanja
Koliko dugo čuvate podatke?
Tehnička sredstva
Koji sustavi i tehnologije se koriste?
Korak 2: Procjena nužnosti i proporcionalnosti
Pitanje
Što provjeriti
Je li obrada nužna za postizanje svrhe?
Može li se svrha postići s manje podataka?
Je li obrada proporcionalna svrsi?
Je li korist razmjerna riziku za ispitanike?
Je li pravni temelj valjan i dokumentiran?
Ispunjava li privola sve uvjete?
Jesu li ispitanici informirani?
Politika privatnosti, obavijesti
Mogu li ispitanici ostvariti prava?
Pristup, ispravak, brisanje, prigovor
Korak 3: Identifikacija i procjena rizika
Za svaki identificirani rizik procijenite:
Faktor
Skala
Vjerojatnost
Niska — Srednja — Visoka
Utjecaj
Nizak — Srednji — Visok
Razina rizika
Kombinacija vjerojatnosti × utjecaj
Primjeri rizika:
Neovlašteni pristup osobnim podacima
Gubitak ili uništenje podataka
Otkrivanje podataka trećim stranama
Diskriminacija na temelju profiliranja
Financijska šteta za ispitanike
Reputacijska šteta
Korak 4: Mjere za smanjenje rizika
Za svaki rizik definirajte mjere ublažavanja:
Vrsta mjere
Primjeri
Tehničke
Šifriranje, pseudonimizacija, kontrola pristupa, logiranje
Organizacijske
Politike, edukacija, ograničenje pristupa na need-to-know
Pravne
Ugovori s izvršiteljima, privola, obavijesti ispitanicima
Fizičke
Zaključani prostori, zaštita opreme
Korak 5: Dokumentacija i odluka
Dokumentirajte zaključke i odluku:
Ako su rizici prihvatljivi nakon mjera → nastavite s obradom
Ako rizici ostaju visoki → obvezna prethodna konzultacija s AZOP-om (čl. 36.)
Sadržaj DPIA dokumenta
GDPR u članku 35. stavku 7. propisuje minimalni sadržaj:
Element
Opis
Sustavni opis obrade
Svrha, opseg, kontekst, kategorije podataka
Procjena nužnosti i proporcionalnosti
Zašto je obrada potrebna i razmjerna
Procjena rizika
Identificirani rizici za prava i slobode
Predviđene mjere
Tehničke i organizacijske mjere za smanjenje rizika
Mišljenje DPO-a
Savjet službenika za zaštitu podataka
Stav ispitanika
Ako je primjenjivo — rezultati konzultacija s ispitanicima
Savjet: DPIA ne mora biti dugačak akademski rad. Bitno je da bude sustavna, dokumentirana i ažurna. Za većinu obrada dovoljan je dokument od 5–15 stranica.
Ako DPIA pokaže da obrada rezultira visokim rizikom koji se ne može smanjiti primjerenim mjerama, voditelj obrade mora konzultirati AZOP prije početka obrade (čl. 36. GDPR-a).
Postupak
Korak
Opis
1
Podnijeti zahtjev AZOP-u s DPIA dokumentom
2
AZOP ima 8 tjedana za odgovor (produživo za 6 tjedana)
3
AZOP može dati pisani savjet, zatražiti dodatne informacije ili zabraniti obradu
Što priložiti zahtjevu
Potpuna DPIA dokumentacija
Opis svrha i sredstava obrade
Predviđene mjere zaštite
Kontaktni podaci DPO-a
Eventualna mišljenja ispitanika
U praksi: Prethodne konzultacije su rijetke jer većina organizacija uspije smanjiti rizike mjerama. Ako je DPIA ispravno provedena i mjere su primjerene, konzultacija obično nije potrebna.
DPIA i nove tehnologije
Umjetna inteligencija
EU AI Act (Uredba o umjetnoj inteligenciji) u sinergiji s GDPR-om zahtijeva posebnu pozornost:
AI primjena
DPIA obvezna?
AI za donošenje odluka o zaposlenicima
Da — automatizirano odlučivanje + ranjivi ispitanici
Chatbot koji prikuplja osobne podatke
Vjerojatno — nova tehnologija + obrada osobnih podataka
AI analiza medicinskih snimki
Da — osjetljivi podaci + nova tehnologija
AI za prijevod teksta (bez osobnih podataka)
Ne — nema osobnih podataka
Internet stvari (IoT)
IoT uređaji koji prikupljaju podatke o korisnicima (pametni satovi, senzori u uredima, pametne kamere) često zahtijevaju DPIA zbog sustavnog praćenja i novih tehnologija.
Biometrija
Biometrijski podaci spadaju u posebne kategorije (čl. 9. GDPR-a). Obrada biometrijskih podataka za identifikaciju gotovo uvijek zahtijeva DPIA.
Najčešće pogreške
1. DPIA se provodi nakon početka obrade
DPIA se mora provesti prije početka obrade, ne retroaktivno.
2. Površna procjena rizika
Generičke procjene bez konkretnih rizika za konkretnu obradu ne ispunjavaju zahtjeve.
3. Izostanak DPO-a
DPO mora biti konzultiran pri provedbi DPIA. Izostavljanje DPO-a krši čl. 35. st. 2.
4. Jednokratni dokument
DPIA se mora ažurirati kada se promijene okolnosti obrade — nova tehnologija, novi podaci, novi rizici.
5. Nedostatak konkretnih mjera
Identificiranje rizika bez definiranja konkretnih mjera ublažavanja čini DPIA beskorisnom.
6. Neprovođenje DPIA uopće
Najčešća pogreška — organizacija uopće ne prepoznaje potrebu za DPIA ili je svjesno ignorira.
FAQ
Koliko traje provedba DPIA?
Za jednostavniju obradu 1–2 tjedna, za složenije (AI, biometrija, veliki opseg) 4–8 tjedana. Ovisi o dostupnosti informacija i složenosti obrade.
Trebam li DPIA za svaku obradu?
Ne. DPIA je obvezna samo za obrade koje mogu rezultirati visokim rizikom. Za rutinske obrade (plaće, kontaktni obrasci) nije potrebna.
Može li se DPIA koristiti za više sličnih obrada?
Da. Ako više obrada koristi sličnu tehnologiju za sličnu svrhu, može se izraditi jedna DPIA koja pokriva sve — npr. video nadzor na više lokacija iste tvrtke.
Što ako ne provedem DPIA kada je obvezna?
Kazna do 10 mil. EUR ili 2 % godišnjeg prometa (čl. 83. st. 4. GDPR-a). Osim toga, AZOP može zabraniti obradu dok se DPIA ne provede.
Postoji li službeni predložak za DPIA?
GDPR ne propisuje format. AZOP i EDPB nude smjernice. Postoje i besplatni predlošci od CNIL-a (francuski regulator) i ICO-a (britanski regulator) koji se mogu prilagoditi.
Zaključak
DPIA nije samo formalnost — to je praktičan alat koji pomaže organizacijama identificirati i smanjiti rizike prije nego što nastane šteta. U doba novih tehnologija, AI-ja i opsežnog prikupljanja podataka, procjena učinka postaje sve važnija.
Ključne poruke: (1) Provjerite AZOP-ov popis — je li vaša obrada na njemu. (2) Koristite EDPB kriterije za procjenu. (3) Uključite DPO-a od početka. (4) Dokumentirajte sve — rizike i mjere. (5) Ažurirajte DPIA kada se okolnosti promijene.
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.
