Procjena učinka na zaštitu podataka (engl. Data Protection Impact Assessment, DPIA) alat je koji GDPR zahtijeva kada obrada osobnih podataka može rezultirati visokim rizikom za prava i slobode pojedinaca. U praksi, mnoge hrvatske organizacije ne znaju kada je DPIA obvezna i kako je provesti. Ovaj vodič objašnjava sve, od pravnog temelja do konkretnih koraka provedbe.
Sažetak i ključne točke
- DPIA je obvezna kada obrada može rezultirati visokim rizikom za ispitanike (čl. 35. GDPR-a).
- AZOP je objavio popis vrsta obrada za koje je DPIA obvezna u Hrvatskoj.
- DPIA nije jednokratni dokument. Ažurira se kada se promijene okolnosti obrade.
- Provodi je voditelj obrade, uz savjetovanje s DPO-om.
- Ako DPIA pokaže da rizik ostaje visok nakon mjera, obvezna je prethodna konzultacija s AZOP-om.
- Neprovođenje DPIA kada je obvezna kaznivo je kaznom do 10 mil. EUR ili 2 % prometa.
Sadržaj
- Što je DPIA?
- Kada je DPIA obvezna?
- AZOP-ov popis obrada
- Tko provodi DPIA?
- Koraci provedbe DPIA
- Sadržaj DPIA dokumenta
- Primjeri iz prakse
- Prethodna konzultacija s AZOP-om
- DPIA i nove tehnologije
- Najčešće pogreške
- FAQ
- Zaključak
Što je DPIA?
DPIA (Procjena učinka na zaštitu podataka) sustavni je postupak procjene potencijalnih utjecaja planirane obrade osobnih podataka na privatnost ispitanika. Pravna osnova je članak 35. GDPR-a.
| Pojam | Značenje |
|---|---|
| DPIA | Data Protection Impact Assessment, procjena učinka na zaštitu podataka |
| Visok rizik | Vjerojatnost da obrada značajno utječe na prava i slobode fizičkih osoba |
| Voditelj obrade | Organizacija koja određuje svrhe i sredstva obrade |
| DPO | Službenik za zaštitu podataka, obvezno se savjetuje pri DPIA |
| Prethodna konzultacija | Obveza konzultiranja AZOP-a ako DPIA pokaže neprihvatljiv rizik |
| Čl. 35. GDPR-a | Pravna osnova za obvezu provedbe DPIA |
Zašto je DPIA važna?
| Razlog | Objašnjenje |
|---|---|
| Zakonska obveza | GDPR izričito zahtijeva DPIA za visokorizične obrade |
| Prevencija rizika | Identificira probleme prije početka obrade |
| Dokazivanje usklađenosti | Dokument koji pokazuje da ste poduzeli mjere (načelo odgovornosti) |
| Povjerenje korisnika | Transparentan pristup zaštiti podataka |
| Izbjegavanje kazni | Neprovođenje DPIA može rezultirati kaznom do 10 mil. EUR |
Kada je DPIA obvezna?
Opće pravilo
DPIA je obvezna kada je vjerojatno da će obrada rezultirati visokim rizikom za prava i slobode fizičkih osoba, posebno pri korištenju novih tehnologija (čl. 35. st. 1.).
Tri situacije u kojima je DPIA uvijek obvezna (čl. 35. st. 3.)
| Situacija | Primjer |
|---|---|
| Automatizirano odlučivanje s pravnim učinkom | Automatsko odbijanje kredita, profiliranje za zapošljavanje |
| Obrada posebnih kategorija u velikom opsegu | Zdravstveni podaci pacijenata bolnice, biometrijska identifikacija |
| Sustavno praćenje javno dostupnog prostora u velikom opsegu | Video nadzor trgovačkog centra, praćenje prometa |
EDPB kriteriji: pravilo „dva od devet"
Europski odbor za zaštitu podataka (EDPB) definirao je 9 kriterija. Ako obrada ispunjava dva ili više, DPIA je vjerojatno potrebna:
| # | Kriterij | Primjer |
|---|---|---|
| 1 | Profiliranje ili ocjenjivanje | Kreditni scoring, analiza ponašanja korisnika |
| 2 | Automatizirano odlučivanje s pravnim učinkom | Automatsko odbijanje zahtjeva za osiguranje |
| 3 | Sustavno praćenje | Video nadzor, praćenje aktivnosti zaposlenika |
| 4 | Osjetljivi podaci | Zdravstveni, biometrijski, genetski podaci |
| 5 | Obrada u velikom opsegu | Obrada podataka cijele populacije grada/regije |
| 6 | Spajanje skupova podataka | Povezivanje podataka iz različitih izvora |
| 7 | Ranjivi ispitanici | Djeca, zaposlenici, pacijenti, tražitelji azila |
| 8 | Inovativna uporaba novih tehnologija | AI za donošenje odluka, biometrija, IoT |
| 9 | Obrada koja sprječava ispitanike u ostvarivanju prava | Blokiranje pristupa usluzi na temelju profiliranja |
AZOP-ov popis obrada
AZOP je objavio popis vrsta obrada za koje je DPIA obvezna u Hrvatskoj. Popis uključuje, među ostalim:
| Vrsta obrade | Opis |
|---|---|
| Video nadzor velikih prostora | Trgovački centri, poslovne zgrade, javni prostori |
| Biometrijska identifikacija | Otisci prstiju, prepoznavanje lica za kontrolu pristupa |
| Profiliranje korisnika | Analiza ponašanja za ciljano oglašavanje |
| Praćenje zaposlenika | Praćenje aktivnosti na računalu, GPS praćenje vozila |
| Obrada zdravstvenih podataka | Elektronički zdravstveni zapisi u velikom opsegu |
| Automatizirano odlučivanje | Sustavi koji automatski donose odluke o pravima osoba |
| Obrada podataka djece | Aplikacije i usluge namijenjene maloljetnicima |
| Korištenje AI sustava | Strojno učenje koje obrađuje osobne podatke |
| Geolokacijsko praćenje | Praćenje lokacije zaposlenika ili korisnika |
| Spajanje baza podataka | Kombiniranje podataka iz više izvora za novo profiliranje |
Napomena: AZOP-ov popis nije konačan. Organizacije trebaju samostalno procjenjivati rizike svake obrade koristeći EDPB kriterije.
Tko provodi DPIA?
| Uloga | Odgovornost |
|---|---|
| Voditelj obrade | Konačna odgovornost za provedbu DPIA |
| DPO | Savjetuje i nadzire provedbu (čl. 35. st. 2.) |
| Tim za provedbu | IT, pravni, poslovni stručnjaci koji sudjeluju u procjeni |
| Vanjski stručnjaci | Konzultanti za složenije procjene |
| Izvršitelj obrade | Pomaže voditelju prema ugovoru (čl. 28. st. 3.f) |
Praktična organizacija
Za manje organizacije DPIA može provesti DPO uz podršku voditelja relevantnog odjela. Za složenije obrade preporučuje se multidisciplinarni tim:
- Pravnik: pravni temelj, usklađenost
- IT stručnjak: tehničke mjere zaštite
- Poslovni vlasnik: svrha i nužnost obrade
- DPO: koordinacija, neovisno mišljenje
Koraci provedbe
Korak 1: Opis obrade
Detaljno opišite planiranu obradu:
| Element | Pitanja |
|---|---|
| Svrha | Zašto obrađujete podatke? |
| Pravni temelj | Koji je pravni temelj (privola, ugovor, legitimni interes...)? |
| Kategorije podataka | Koje osobne podatke prikupljate? |
| Kategorije ispitanika | Čije podatke obrađujete (klijenti, zaposlenici, djeca...)? |
| Primatelji | Kome prosljeđujete podatke? |
| Rok čuvanja | Koliko dugo čuvate podatke? |
| Tehnička sredstva | Koji sustavi i tehnologije se koriste? |
Korak 2: Procjena nužnosti i proporcionalnosti
| Pitanje | Što provjeriti |
|---|---|
| Je li obrada nužna za postizanje svrhe? | Može li se svrha postići s manje podataka? |
| Je li obrada proporcionalna svrsi? | Je li korist razmjerna riziku za ispitanike? |
| Je li pravni temelj valjan i dokumentiran? | Ispunjava li privola sve uvjete? |
| Jesu li ispitanici informirani? | Politika privatnosti, obavijesti |
| Mogu li ispitanici ostvariti prava? | Pristup, ispravak, brisanje, prigovor |
Korak 3: Identifikacija i procjena rizika
Za svaki identificirani rizik procijenite:
| Faktor | Skala |
|---|---|
| Vjerojatnost | Niska, Srednja, Visoka |
| Utjecaj | Nizak, Srednji, Visok |
| Razina rizika | Kombinacija vjerojatnosti × utjecaj |
Primjeri rizika:
- Neovlašteni pristup osobnim podacima
- Gubitak ili uništenje podataka
- Otkrivanje podataka trećim stranama
- Diskriminacija na temelju profiliranja
- Financijska šteta za ispitanike
- Reputacijska šteta
Korak 4: Mjere za smanjenje rizika
Za svaki rizik definirajte mjere ublažavanja:
| Vrsta mjere | Primjeri |
|---|---|
| Tehničke | Šifriranje, pseudonimizacija, kontrola pristupa, logiranje |
| Organizacijske | Politike, edukacija, ograničenje pristupa na need-to-know |
| Pravne | Ugovori s izvršiteljima, privola, obavijesti ispitanicima |
| Fizičke | Zaključani prostori, zaštita opreme |
Korak 5: Dokumentacija i odluka
Dokumentirajte zaključke i odluku:
- Ako su rizici prihvatljivi nakon mjera → nastavite s obradom
- Ako rizici ostaju visoki → obvezna prethodna konzultacija s AZOP-om (čl. 36.)
Sadržaj DPIA dokumenta
GDPR u članku 35. stavku 7. propisuje minimalni sadržaj:
| Element | Opis |
|---|---|
| Sustavni opis obrade | Svrha, opseg, kontekst, kategorije podataka |
| Procjena nužnosti i proporcionalnosti | Zašto je obrada potrebna i razmjerna |
| Procjena rizika | Identificirani rizici za prava i slobode |
| Predviđene mjere | Tehničke i organizacijske mjere za smanjenje rizika |
| Mišljenje DPO-a | Savjet službenika za zaštitu podataka |
| Stav ispitanika | Ako je primjenjivo, rezultati konzultacija s ispitanicima |
Savjet: DPIA ne mora biti dugačak akademski rad. Bitno je da bude sustavna, dokumentirana i ažurna. Za većinu obrada dovoljan je dokument od 5 do 15 stranica.
Primjeri iz prakse
Kada TREBATE DPIA
| Scenarij | Kriteriji EDPB |
|---|---|
| Video nadzor poslovnog prostora | Sustavno praćenje + ranjivi ispitanici (zaposlenici) |
| HR analitika s profiliranjem | Profiliranje + ranjivi ispitanici (zaposlenici) + automatizirane odluke |
| Zdravstveni informacijski sustav | Osjetljivi podaci + veliki opseg |
| AI chatbot za korisničku podršku | Nova tehnologija + automatizirano odlučivanje |
| Program vjernosti s analizom kupovnih navika | Profiliranje + veliki opseg + spajanje podataka |
| Biometrijska kontrola pristupa | Osjetljivi podaci + sustavno praćenje |
Kada DPIA vjerojatno NIJE potrebna
| Scenarij | Razlog |
|---|---|
| Obrada plaća zaposlenika | Zakonska obveza, nije visok rizik |
| Kontaktni obrazac na web stranici | Mali opseg, osnovni podaci |
| Evidencija posjetitelja u recepciji | Mali opseg, ograničeno čuvanje |
| Newsletter s privolom | Jednostavna obrada, nema profiliranja |
Više o video nadzoru: Video nadzor i GDPR.
Prethodna konzultacija
Ako DPIA pokaže da obrada rezultira visokim rizikom koji se ne može smanjiti primjerenim mjerama, voditelj obrade mora konzultirati AZOP prije početka obrade (čl. 36. GDPR-a).
Postupak
| Korak | Opis |
|---|---|
| 1 | Podnijeti zahtjev AZOP-u s DPIA dokumentom |
| 2 | AZOP ima 8 tjedana za odgovor (produživo za 6 tjedana) |
| 3 | AZOP može dati pisani savjet, zatražiti dodatne informacije ili zabraniti obradu |
Što priložiti zahtjevu
- Potpuna DPIA dokumentacija
- Opis svrha i sredstava obrade
- Predviđene mjere zaštite
- Kontaktni podaci DPO-a
- Eventualna mišljenja ispitanika
U praksi: Prethodne konzultacije su rijetke jer većina organizacija uspije smanjiti rizike mjerama. Ako je DPIA ispravno provedena i mjere su primjerene, konzultacija obično nije potrebna.
DPIA i nove tehnologije
Umjetna inteligencija
EU AI Act (Uredba o umjetnoj inteligenciji) u sinergiji s GDPR-om zahtijeva posebnu pozornost:
| AI primjena | DPIA obvezna? |
|---|---|
| AI za donošenje odluka o zaposlenicima | Da, automatizirano odlučivanje + ranjivi ispitanici |
| Chatbot koji prikuplja osobne podatke | Vjerojatno, nova tehnologija + obrada osobnih podataka |
| AI analiza medicinskih snimki | Da, osjetljivi podaci + nova tehnologija |
| AI za prijevod teksta (bez osobnih podataka) | Ne, nema osobnih podataka |
Internet stvari (IoT)
IoT uređaji koji prikupljaju podatke o korisnicima (pametni satovi, senzori u uredima, pametne kamere) često zahtijevaju DPIA zbog sustavnog praćenja i novih tehnologija.
Biometrija
Biometrijski podaci spadaju u posebne kategorije (čl. 9. GDPR-a). Obrada biometrijskih podataka za identifikaciju gotovo uvijek zahtijeva DPIA.
Najčešće pogreške
1. DPIA se provodi nakon početka obrade
DPIA se mora provesti prije početka obrade, ne retroaktivno.
2. Površna procjena rizika
Generičke procjene bez konkretnih rizika za konkretnu obradu ne ispunjavaju zahtjeve.
3. Izostanak DPO-a
DPO mora biti konzultiran pri provedbi DPIA. Izostavljanje DPO-a krši čl. 35. st. 2.
4. Jednokratni dokument
DPIA se mora ažurirati kada se promijene okolnosti obrade: nova tehnologija, novi podaci, novi rizici.
5. Nedostatak konkretnih mjera
Identificiranje rizika bez definiranja konkretnih mjera ublažavanja čini DPIA beskorisnom.
6. Neprovođenje DPIA uopće
Najčešća pogreška: organizacija uopće ne prepoznaje potrebu za DPIA ili je svjesno ignorira.
FAQ
Kada je DPIA obvezna?
DPIA je obvezna kada obrada vjerojatno predstavlja visok rizik za prava ispitanika. To uključuje sustavno praćenje, obradu posebnih kategorija na velikoj razini i profiliranje s pravnim učinkom. AZOP objavljuje popis obrada koje uvijek traže DPIA-u. Trebate DPIA-u?.
Tko provodi DPIA-u?
Za DPIA-u odgovara voditelj obrade, uz savjet DPO-a. Možete je provesti interno ili uz konzultanta koji vodi procjenu i dokumentaciju. Rezultat mora izdržati nadzor AZOP-a.
Što ako DPIA pokaže visok rizik?
Ako mjere ne smanjuju rizik na prihvatljivu razinu, prije obrade savjetujete se s AZOP-om. Većina rizika rješava se dodatnim mjerama bez savjetovanja. Ključ je dokumentirati odluke.
Koliko traje provedba DPIA?
Za jednostavniju obradu 1 do 2 tjedna, za složenije (AI, biometrija, veliki opseg) 4 do 8 tjedana. Ovisi o dostupnosti informacija i složenosti obrade.
Trebam li DPIA za svaku obradu?
Ne. DPIA je obvezna samo za obrade koje mogu rezultirati visokim rizikom. Za rutinske obrade (plaće, kontaktni obrasci) nije potrebna.
Može li se DPIA koristiti za više sličnih obrada?
Da. Ako više obrada koristi sličnu tehnologiju za sličnu svrhu, može se izraditi jedna DPIA koja pokriva sve, npr. video nadzor na više lokacija iste tvrtke.
Što ako ne provedem DPIA kada je obvezna?
Kazna do 10 mil. EUR ili 2 % godišnjeg prometa (čl. 83. st. 4. GDPR-a). Osim toga, AZOP može zabraniti obradu dok se DPIA ne provede.
Postoji li službeni predložak za DPIA?
GDPR ne propisuje format. AZOP i EDPB nude smjernice. Postoje i besplatni predlošci od CNIL-a (francuski regulator) i ICO-a (britanski regulator) koji se mogu prilagoditi.
Zaključak
DPIA nije samo formalnost. To je praktičan alat koji pomaže organizacijama identificirati i smanjiti rizike prije nego što nastane šteta. U doba novih tehnologija, AI-ja i opsežnog prikupljanja podataka, procjena učinka postaje sve važnija.
Ključne poruke: (1) Provjerite AZOP-ov popis, je li vaša obrada na njemu. (2) Koristite EDPB kriterije za procjenu. (3) Uključite DPO-a od početka. (4) Dokumentirajte sve, rizike i mjere. (5) Ažurirajte DPIA kada se okolnosti promijene.
Trebate pomoć s DPIA? Vision Compliance nudi zaštitu podataka, uključujući provedbu DPIA, savjetovanje o GDPR-u i pripremu dokumentacije. Zakažite besplatnu konzultaciju.
Povezani članci
- Što je GDPR? Kompletni vodič za 2026.: Temeljna uredba koja propisuje DPIA obvezu
- DPO: Službenik za zaštitu podataka: Uloga DPO-a u provedbi procjene učinka
- GDPR obrasci i privole: Primjeri i predlošci: Praktični obrasci za GDPR usklađenost
Izvori: GDPR (Uredba EU 2016/679, čl. 35.-36.), AZOP, EDPB smjernice WP 248 rev.01, CNIL DPIA metodologija
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.