DPO — Službenik za zaštitu podataka: Uloga, obveze i imenovanje u Hrvatskoj
21. veljače 2026.
Ažurirano: 22. veljače 2026.
18 min čitanja
GDPR
Službenik za zaštitu podataka (DPO) osoba je zadužena za nadzor usklađenosti organizacije s GDPR-om. Obvezan je za javna tijela, organizacije koje sustavno prate ispitanike u velikom opsegu i one koje obrađuju posebne kategorije podataka. Može biti zaposlenik ili vanjski stručnjak. Mora biti neovisan i izravno odgovarati upravi.
Ključne činjenice
DPO je obvezan za tijela javne vlasti, organizacije koje sustavno prate ispitanike u velikom opsegu i one koje obrađuju posebne kategorije podataka u velikom opsegu.
DPO može biti zaposlenik ili vanjski stručnjak (pojedinac ili tvrtka).
DPO ne smije primati upute glede obavljanja svojih zadaća — mora biti neovisan.
Imenovanje se prijavljuje AZOP-u putem obrasca ili e-mail adrese.
GDPR propisuje zaštitu od otkaza — DPO se ne smije kazniti zbog obavljanja svojih dužnosti.
Jedna osoba može biti DPO za više organizacija (grupa poduzetnika ili više javnih tijela).
Službenik za zaštitu podataka (DPO) je osoba zadužena za nadzor usklađenosti organizacije s GDPR-om i drugim propisima o zaštiti osobnih podataka. DPO je kontaktna točka između organizacije, ispitanika i nadzornog tijela (AZOP-a).
Aspekt
Detalj
Pravna osnova
Članci 37.–39. GDPR-a
Hrvatski naziv
Službenik za zaštitu podataka
Engleski naziv
Data Protection Officer (DPO)
Status
Može biti zaposlenik ili vanjski stručnjak
Odgovara
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Izravno upravi / najvišoj razini vodstva
Neovisnost
Ne smije primati upute glede obavljanja zadaća
GDPR ne zahtijeva da DPO bude odvjetnik ili da ima specifičnu certifikaciju. Zahtijeva stručno znanje o pravu i praksi zaštite podataka primjereno organizaciji.
Kada je imenovanje obvezno?
Prema članku 37. GDPR-a, DPO je obvezan u tri slučaja:
1. Tijela javne vlasti
Sva tijela javne vlasti i javna tijela koja obrađuju osobne podatke (osim sudova u sudskoj funkciji).
Primjeri u Hrvatskoj
Ministarstva i vladina tijela
Jedinice lokalne i regionalne samouprave (gradovi, općine, županije)
Organizacije čija temeljna djelatnost uključuje redovito i sustavno praćenje ispitanika u velikom opsegu.
Primjeri
Telekomunikacijski operatori
Banke i osiguravajuća društva
Tvrtke za online oglašavanje i praćenje
Programi vjernosti s praćenjem kupovnih navika
Sigurnosne tvrtke s video nadzorom
3. Obrada posebnih kategorija u velikom opsegu
Organizacije čija temeljna djelatnost uključuje obradu posebnih kategorija podataka ili podataka o kaznenim presudama u velikom opsegu.
Posebne kategorije podataka (čl. 9.)
Zdravstveni podaci
Biometrijski podaci za identifikaciju
Genetski podaci
Rasno ili etničko podrijetlo
Političko mišljenje, vjersko uvjerenje
Članstvo u sindikatu
Podaci o seksualnom životu
Pojam "veliki opseg" GDPR ne definira precizno. EDPB (Europski odbor za zaštitu podataka) navodi faktore: broj ispitanika, obujam podataka, trajanje obrade i zemljopisno područje. Pojedinačni liječnik nije veliki opseg; lanac bolnica jest.
Kada DPO nije obvezan, ali je preporučljiv
Situacija
Zašto je korisno
Srednje tvrtke s bazama klijenata
Osigurava pravilno upravljanje podacima
E-commerce s marketingom
Kontrolira privole i kolačiće
Tvrtke u opskrbnom lancu velikih partnera
Partneri često zahtijevaju DPO-a
Start-upovi koji razvijaju aplikacije
Ugrađuje privatnost od početka (privacy by design)
Zadaće DPO-a
Prema članku 39. GDPR-a, DPO ima sljedeće zadaće:
Zadaća
Opis
Informiranje i savjetovanje
Savjetuje voditelja obrade, izvršitelje i zaposlenike o obvezama prema GDPR-u
Nadzor usklađenosti
Prati primjenu GDPR-a, internih politika i procedura
Savjetovanje o DPIA
Pruža mišljenje o procjeni učinka na zaštitu podataka
Suradnja s AZOP-om
Djeluje kao kontaktna točka za nadzorno tijelo
Kontakt za ispitanike
Prima zahtjeve i pitanja građana u vezi njihovih podataka
Vođenje evidencija
Pomaže u vođenju evidencije aktivnosti obrade (čl. 30.)
Edukacija
Organizira ili koordinira edukaciju zaposlenika
Što DPO ne radi
Pogrešno razumijevanje
Stvarnost
"DPO je odgovoran za usklađenost"
Voditelj obrade je odgovoran; DPO savjetuje i nadzire
"DPO donosi odluke o obradi"
DPO savjetuje; uprava odlučuje
"DPO sam provodi sve mjere"
DPO koordinira; zaposlenici provode
"DPO može blokirati obradu"
DPO upozorava na rizike; nema ovlast zabraniti
Ključno: DPO je savjetnik i nadzornik, ne izvršitelj. Odgovornost za usklađenost ostaje na voditelju obrade (upravi).
Kvalifikacije i kompetencije
GDPR zahtijeva "stručno znanje o pravu i praksi zaštite podataka" (čl. 37. st. 5.). Razina znanja mora odgovarati složenosti i osjetljivosti obrade.
Potrebne kompetencije
Područje
Primjeri znanja
Pravno
GDPR, Zakon o provedbi, sektorski propisi (npr. ZoEK, ZZP)
Tehničko
Osnove informacijske sigurnosti, šifriranje, kontrola pristupa
Organizacijsko
Upravljanje rizicima, procesi, dokumentacija
Komunikacijsko
Suradnja s upravom, zaposlenicima, AZOP-om i ispitanicima
Sektorsko
Specifičnosti industrije (zdravstvo, financije, IT)
Certifikacije (korisne, ali ne obvezne)
Certifikacija
Izdavač
CIPP/E
IAPP (International Association of Privacy Professionals)
CIPM
IAPP
CDPO
ECPC (European Centre for Privacy and Cybersecurity)
ISO 27001 Lead Auditor/Implementer
PECB, BSI, TÜV
GDPR DPO
Razni pružatelji (TÜV, PECB)
AZOP ne zahtijeva specifičnu certifikaciju za DPO-a. Međutim, certifikacija demonstrira stručnost i može biti prednost pri imenovanju.
Interni vs. vanjski DPO
Usporedba
Kriterij
Interni DPO
Vanjski DPO
Status
Zaposlenik organizacije
Ugovorni odnos (fizička ili pravna osoba)
Poznavanje organizacije
Duboko
Mora se upoznati
Neovisnost
Rizik sukoba interesa ako ima i druge uloge
Veća neovisnost
Troškovi
Plaća + edukacija
Mjesečna/godišnja naknada
Dostupnost
Svakodnevna
Prema ugovoru
Stručnost
Ovisi o osobi
Često šira, iz rada s više klijenata
Prikladnost
Veće organizacije
Male i srednje tvrtke
Kada izabrati vanjskog DPO-a?
Nemate zaposlenika s potrebnim znanjem
Obrada nije složena ili opsežna
Trebate odmah i bez investicije u edukaciju
Želite veću neovisnost DPO-a
Kada izabrati internog DPO-a?
Imate složenu obradu koja zahtijeva svakodnevnu prisutnost
Dovoljno ste veliki za posvećenu ulogu
Organizacijska kultura zahtijeva stalnu integraciju zaštite podataka
Kombinirani pristup: Neke organizacije imenuju internog DPO-a uz podršku vanjskih konzultanata za specijalistička pitanja. Vision Compliance nudi usluge zaštite podataka uključujući podršku DPO-a.
Neovisnost i zaštita
GDPR propisuje stroga pravila o neovisnosti DPO-a:
Zahtjevi neovisnosti (čl. 38.)
Pravilo
Objašnjenje
Bez uputa
DPO ne smije primati upute o obavljanju svojih zadaća
Izravno izvješćivanje
DPO izvješćuje izravno upravu (najvišu razinu)
Zaštita od otkaza
Ne smije se kazniti ili otpustiti zbog obavljanja dužnosti
Bez sukoba interesa
DPO ne smije imati položaj u kojem odlučuje o svrhama i sredstvima obrade
Resursi
Organizacija mora osigurati potrebne resurse za obavljanje zadaća
Položaji nespojivi s ulogom DPO-a
Funkcija
Razlog nespojivosti
CEO / direktor
Odlučuje o svrhama obrade
Voditelj IT-ja
Odlučuje o sredstvima obrade
Voditelj HR-a
Odlučuje o obradi podataka zaposlenika
Voditelj marketinga
Odlučuje o obradi podataka klijenata
Voditelj sigurnosti
Odlučuje o tehničkim mjerama obrade
AZOP-ovo stajalište: Funkcija DPO-a ne smije biti spojena s funkcijom koja uključuje donošenje odluka o svrhama i sredstvima obrade osobnih podataka. To je jedan od najčešćih prekršaja u praksi.
Imenovanje i prijava AZOP-u
Postupak imenovanja
Utvrdite obvezu — provjerite je li imenovanje DPO-a obvezno za vašu organizaciju
Odredite profil — definirajte potrebne kompetencije i model (interni/vanjski)
Odaberite osobu — na temelju stručnosti i neovisnosti
Dodijelite resurse — osigurajte pristup svim potrebnim informacijama i sustavima
Formalizirajte imenovanje — interni akt ili ugovor s jasno definiranim zadaćama
Objavite kontaktne podatke — na web stranici i u politici privatnosti
Prijavite AZOP-u — obavijestite nadzorno tijelo o imenovanju
Prijava AZOP-u
Podatak
Što prijaviti
Ime i prezime DPO-a
Ime imenovane osobe
Kontaktni podaci
E-mail i telefon DPO-a
Naziv organizacije
Puni naziv voditelja obrade
OIB organizacije
Identifikacijski broj
Datum imenovanja
Kada je DPO imenovan
Prijava se podnosi AZOP-u putem e-maila (azop@azop.hr) ili putem obrasca na web stranici. Promjene (novi DPO, prestanak imenovanja) također se prijavljuju.
DPO i NIS2
NIS2 direktiva (Zakon o kibernetičkoj sigurnosti, NN 14/24) ne uvodi vlastitu ulogu DPO-a, ali postoje sinergije:
Aspekt
DPO (GDPR)
NIS2 zahtjev
Upravljanje rizicima
Rizici zaštite podataka
Rizici kibernetičke sigurnosti
Prijava incidenata
AZOP-u u 72 sata
CERT-u u 24/72 sata
Edukacija
Zaposlenici o zaštiti podataka
Zaposlenici o kibernetičkoj sigurnosti
Dokumentacija
Evidencije obrade, DPIA
Politike sigurnosti, planovi oporavka
Preporuka: U organizacijama koje podliježu i GDPR-u i NIS2, DPO i osoba zadužena za kibernetičku sigurnost trebaju blisko surađivati. U manjim organizacijama to može biti ista osoba, uz pažnju na sukob interesa. Više o NIS2: NIS2 direktiva — vodič.
Najčešće pogreške
1. DPO „na papiru"
Imenovanje DPO-a koji nema stvarnu ulogu ni resurse. GDPR zahtijeva da DPO aktivno obavlja zadaće.
2. Sukob interesa
Imenovanje voditelja IT-ja, HR-a ili marketinga kao DPO-a — te osobe odlučuju o obradi podataka.
3. Nedostatak pristupa informacijama
DPO mora imati pristup svim aktivnostima obrade u organizaciji. Bez toga ne može obavljati nadzor.
4. Nedovoljna stručnost
Imenovanje osobe bez znanja o zaštiti podataka ili bez osiguranja edukacije.
5. Kažnjavanje DPO-a
Penaliziranje DPO-a za upozorenja ili mišljenja koja nisu ugodna upravi. GDPR izričito zabranjuje takvo postupanje.
6. Neprijavljivanje AZOP-u
Imenovanje DPO-a bez obavještavanja nadzornog tijela. Podatke o DPO-u potrebno je prijaviti AZOP-u.
FAQ
Koliko DPO košta?
Interni DPO: Plaća ovisi o tržištu — u Hrvatskoj od 1.500 do 4.000 EUR bruto mjesečno za posvećenu ulogu. Vanjski DPO: Od 300 do 2.000 EUR mjesečno, ovisno o opsegu i složenosti organizacije.
Može li DPO biti zaposlenik koji ima i druge zadaće?
Da, ali ne smije postojati sukob interesa. DPO ne smije odlučivati o svrhama i sredstvima obrade. U malim organizacijama DPO može imati i druge zadaće (npr. pravnik, compliance officer) ako nema sukoba.
Može li jedna osoba biti DPO za više tvrtki?
Da. GDPR izričito dopušta da jedna osoba bude DPO za grupu poduzetnika ili za više javnih tijela (čl. 37. st. 2. i 3.), pod uvjetom da je dostupna svakoj od njih.
Što ako nemam obvezu imenovanja DPO-a?
Čak i kad DPO nije obvezan, netko u organizaciji mora razumjeti GDPR obveze i koordinirati usklađenost. Možete angažirati vanjskog konzultanta za savjetovanje bez formalnog imenovanja.
Može li AZOP kazniti za neimenovanje DPO-a?
Da. Neimenovanje DPO-a kada je obvezan spada u kršenja iz članka 83. stavka 4. GDPR-a — kazna do 10 mil. EUR ili 2 % globalnog prometa.
Zaključak
Službenik za zaštitu podataka više nije luksuz — za mnoge organizacije je zakonska obveza, a za sve ostale je korisna investicija u usklađenost i povjerenje klijenata. Pravilno imenovan i podržan DPO štiti organizaciju od regulatornih rizika i pomaže u izgradnji kulture zaštite podataka.
Ključne poruke: (1) Provjerite jeste li obvezni imenovati DPO-a. (2) Osigurajte neovisnost — bez sukoba interesa. (3) Pružite DPO-u resurse i pristup informacijama. (4) Prijavite imenovanje AZOP-u. (5) Vanjski DPO je praktično rješenje za manje organizacije.
Izvori: GDPR (Uredba EU 2016/679, čl. 37.–39.), AZOP smjernice, EDPB smjernice o DPO-u (WP 243 rev.01)
Ivana Ludiga·Suradnica·mag. iur.
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.
