Službenik za zaštitu podataka (DPO) osoba je zadužena za nadzor usklađenosti organizacije s GDPR-om. Obvezan je za javna tijela, organizacije koje sustavno prate ispitanike u velikom opsegu i one koje obrađuju posebne kategorije podataka. Može biti zaposlenik ili vanjski stručnjak. Mora biti neovisan i izravno odgovarati upravi.
Ključne činjenice
- DPO je obvezan za tijela javne vlasti, organizacije koje sustavno prate ispitanike u velikom opsegu i one koje obrađuju posebne kategorije podataka u velikom opsegu.
- DPO može biti zaposlenik ili vanjski stručnjak (pojedinac ili tvrtka).
- DPO ne smije primati upute glede obavljanja svojih zadaća. Mora biti neovisan.
- Imenovanje se prijavljuje AZOP-u putem obrasca ili e-mail adrese.
- GDPR propisuje zaštitu od otkaza: DPO se ne smije kazniti zbog obavljanja svojih dužnosti.
- Jedna osoba može biti DPO za više organizacija (grupa poduzetnika ili više javnih tijela).
Sadržaj
- Što je DPO?
- Kada je imenovanje DPO-a obvezno?
- Zadaće DPO-a
- Kvalifikacije i kompetencije
- Interni vs. vanjski DPO
- Neovisnost i zaštita DPO-a
- Imenovanje i prijava AZOP-u
- DPO i NIS2
- Najčešće pogreške
- FAQ
- Zaključak
Što je DPO?
Službenik za zaštitu podataka (DPO) je osoba zadužena za nadzor usklađenosti organizacije s GDPR-om i drugim propisima o zaštiti osobnih podataka. DPO je kontaktna točka između organizacije, ispitanika i nadzornog tijela (AZOP-a).
| Aspekt | Detalj |
|---|---|
| Pravna osnova | Članci 37.-39. GDPR-a |
| Hrvatski naziv | Službenik za zaštitu podataka |
| Engleski naziv | Data Protection Officer (DPO) |
| Status | Može biti zaposlenik ili vanjski stručnjak |
| Odgovara | Izravno upravi / najvišoj razini vodstva |
| Neovisnost | Ne smije primati upute glede obavljanja zadaća |
GDPR ne zahtijeva da DPO bude odvjetnik ili da ima specifičnu certifikaciju. Zahtijeva stručno znanje o pravu i praksi zaštite podataka primjereno organizaciji.
Kada je imenovanje obvezno?
Prema članku 37. GDPR-a, DPO je obvezan u tri slučaja:
1. Tijela javne vlasti
Sva tijela javne vlasti i javna tijela koja obrađuju osobne podatke (osim sudova u sudskoj funkciji).
| Primjeri u Hrvatskoj |
|---|
| Ministarstva i vladina tijela |
| Jedinice lokalne i regionalne samouprave (gradovi, općine, županije) |
| Javne ustanove (škole, bolnice, muzeji, knjižnice) |
| Regulatorna tijela i agencije |
| Javna poduzeća |
2. Sustavno praćenje ispitanika u velikom opsegu
Organizacije čija temeljna djelatnost uključuje redovito i sustavno praćenje ispitanika u velikom opsegu.
| Primjeri |
|---|
| Telekomunikacijski operatori |
| Banke i osiguravajuća društva |
| Tvrtke za online oglašavanje i praćenje |
| Programi vjernosti s praćenjem kupovnih navika |
| Sigurnosne tvrtke s video nadzorom |
3. Obrada posebnih kategorija u velikom opsegu
Organizacije čija temeljna djelatnost uključuje obradu posebnih kategorija podataka ili podataka o kaznenim presudama u velikom opsegu.
| Posebne kategorije podataka (čl. 9.) |
|---|
| Zdravstveni podaci |
| Biometrijski podaci za identifikaciju |
| Genetski podaci |
| Rasno ili etničko podrijetlo |
| Političko mišljenje, vjersko uvjerenje |
| Članstvo u sindikatu |
| Podaci o seksualnom životu |
Pojam "veliki opseg" GDPR ne definira precizno. EDPB (Europski odbor za zaštitu podataka) navodi faktore: broj ispitanika, obujam podataka, trajanje obrade i zemljopisno područje. Pojedinačni liječnik nije veliki opseg; lanac bolnica jest.
Kada DPO nije obvezan, ali je preporučljiv
| Situacija | Zašto je korisno |
|---|---|
| Srednje tvrtke s bazama klijenata | Osigurava pravilno upravljanje podacima |
| E-commerce s marketingom | Kontrolira privole i kolačiće |
| Tvrtke u opskrbnom lancu velikih partnera | Partneri često zahtijevaju DPO-a |
| Start-upovi koji razvijaju aplikacije | Ugrađuje privatnost od početka (privacy by design) |
Zadaće DPO-a
Prema članku 39. GDPR-a, DPO ima sljedeće zadaće:
| Zadaća | Opis |
|---|---|
| Informiranje i savjetovanje | Savjetuje voditelja obrade, izvršitelje i zaposlenike o obvezama prema GDPR-u |
| Nadzor usklađenosti | Prati primjenu GDPR-a, internih politika i procedura |
| Savjetovanje o DPIA | Pruža mišljenje o procjeni učinka na zaštitu podataka |
| Suradnja s AZOP-om | Djeluje kao kontaktna točka za nadzorno tijelo |
| Kontakt za ispitanike | Prima zahtjeve i pitanja građana u vezi njihovih podataka |
| Vođenje evidencija | Pomaže u vođenju evidencije aktivnosti obrade (čl. 30.) |
| Edukacija | Organizira ili koordinira edukaciju zaposlenika |
Što DPO ne radi
| Pogrešno razumijevanje | Stvarnost |
|---|---|
| "DPO je odgovoran za usklađenost" | Voditelj obrade je odgovoran; DPO savjetuje i nadzire |
| "DPO donosi odluke o obradi" | DPO savjetuje; uprava odlučuje |
| "DPO sam provodi sve mjere" | DPO koordinira; zaposlenici provode |
| "DPO može blokirati obradu" | DPO upozorava na rizike; nema ovlast zabraniti |
Ključno: DPO je savjetnik i nadzornik, ne izvršitelj. Odgovornost za usklađenost ostaje na voditelju obrade (upravi).
Kvalifikacije i kompetencije
GDPR zahtijeva "stručno znanje o pravu i praksi zaštite podataka" (čl. 37. st. 5.). Razina znanja mora odgovarati složenosti i osjetljivosti obrade.
Potrebne kompetencije
| Područje | Primjeri znanja |
|---|---|
| Pravno | GDPR, Zakon o provedbi, sektorski propisi (npr. ZoEK, ZZP) |
| Tehničko | Osnove informacijske sigurnosti, šifriranje, kontrola pristupa |
| Organizacijsko | Upravljanje rizicima, procesi, dokumentacija |
| Komunikacijsko | Suradnja s upravom, zaposlenicima, AZOP-om i ispitanicima |
| Sektorsko | Specifičnosti industrije (zdravstvo, financije, IT) |
Certifikacije (korisne, ali ne obvezne)
| Certifikacija | Izdavač |
|---|---|
| CIPP/E | IAPP (International Association of Privacy Professionals) |
| CIPM | IAPP |
| CDPO | ECPC (European Centre for Privacy and Cybersecurity) |
| ISO 27001 Lead Auditor/Implementer | PECB, BSI, TÜV |
| GDPR DPO | Razni pružatelji (TÜV, PECB) |
AZOP ne zahtijeva specifičnu certifikaciju za DPO-a. Međutim, certifikacija demonstrira stručnost i može biti prednost pri imenovanju.
Interni vs. vanjski DPO
Usporedba
| Kriterij | Interni DPO | Vanjski DPO |
|---|---|---|
| Status | Zaposlenik organizacije | Ugovorni odnos (fizička ili pravna osoba) |
| Poznavanje organizacije | Duboko | Mora se upoznati |
| Neovisnost | Rizik sukoba interesa ako ima i druge uloge | Veća neovisnost |
| Troškovi | Plaća + edukacija | Mjesečna/godišnja naknada |
| Dostupnost | Svakodnevna | Prema ugovoru |
| Stručnost | Ovisi o osobi | Često šira, iz rada s više klijenata |
| Prikladnost | Veće organizacije | Male i srednje tvrtke |
Kada izabrati vanjskog DPO-a?
- Nemate zaposlenika s potrebnim znanjem
- Obrada nije složena ili opsežna
- Trebate odmah i bez investicije u edukaciju
- Želite veću neovisnost DPO-a
Kada izabrati internog DPO-a?
- Imate složenu obradu koja zahtijeva svakodnevnu prisutnost
- Dovoljno ste veliki za posvećenu ulogu
- Organizacijska kultura zahtijeva stalnu integraciju zaštite podataka
Kombinirani pristup: Neke organizacije imenuju internog DPO-a uz podršku vanjskih konzultanata za specijalistička pitanja. Vision Compliance nudi usluge zaštite podataka uključujući podršku DPO-a.
Razmišljate o vanjskom DPO-u? Vision Compliance pruža uslugu vanjskog službenika za zaštitu podataka: vodimo evidencije, DPIA-e, komunikaciju s AZOP-om i edukaciju zaposlenika uz mjesečnu paušalnu naknadu. Vanjski DPO i DPO usluge →
Neovisnost i zaštita
GDPR propisuje stroga pravila o neovisnosti DPO-a:
Zahtjevi neovisnosti (čl. 38.)
| Pravilo | Objašnjenje |
|---|---|
| Bez uputa | DPO ne smije primati upute o obavljanju svojih zadaća |
| Izravno izvješćivanje | DPO izvješćuje izravno upravu (najvišu razinu) |
| Zaštita od otkaza | Ne smije se kazniti ili otpustiti zbog obavljanja dužnosti |
| Bez sukoba interesa | DPO ne smije imati položaj u kojem odlučuje o svrhama i sredstvima obrade |
| Resursi | Organizacija mora osigurati potrebne resurse za obavljanje zadaća |
Položaji nespojivi s ulogom DPO-a
| Funkcija | Razlog nespojivosti |
|---|---|
| CEO / direktor | Odlučuje o svrhama obrade |
| Voditelj IT-ja | Odlučuje o sredstvima obrade |
| Voditelj HR-a | Odlučuje o obradi podataka zaposlenika |
| Voditelj marketinga | Odlučuje o obradi podataka klijenata |
| Voditelj sigurnosti | Odlučuje o tehničkim mjerama obrade |
AZOP-ovo stajalište: Funkcija DPO-a ne smije biti spojena s funkcijom koja uključuje donošenje odluka o svrhama i sredstvima obrade osobnih podataka. To je jedan od najčešćih prekršaja u praksi.
Imenovanje i prijava AZOP-u
Postupak imenovanja
- Utvrdite obvezu: provjerite je li imenovanje DPO-a obvezno za vašu organizaciju
- Odredite profil: definirajte potrebne kompetencije i model (interni/vanjski)
- Odaberite osobu: na temelju stručnosti i neovisnosti
- Dodijelite resurse: osigurajte pristup svim potrebnim informacijama i sustavima
- Formalizirajte imenovanje: interni akt ili ugovor s jasno definiranim zadaćama
- Objavite kontaktne podatke: na web stranici i u politici privatnosti
- Prijavite AZOP-u: obavijestite nadzorno tijelo o imenovanju
Prijava AZOP-u
| Podatak | Što prijaviti |
|---|---|
| Ime i prezime DPO-a | Ime imenovane osobe |
| Kontaktni podaci | E-mail i telefon DPO-a |
| Naziv organizacije | Puni naziv voditelja obrade |
| OIB organizacije | Identifikacijski broj |
| Datum imenovanja | Kada je DPO imenovan |
Prijava se podnosi AZOP-u putem e-maila (azop@azop.hr) ili putem obrasca na web stranici. Promjene (novi DPO, prestanak imenovanja) također se prijavljuju.
DPO i NIS2
NIS2 direktiva (Zakon o kibernetičkoj sigurnosti, NN 14/24) ne uvodi vlastitu ulogu DPO-a, ali postoje sinergije:
| Aspekt | DPO (GDPR) | NIS2 zahtjev |
|---|---|---|
| Upravljanje rizicima | Rizici zaštite podataka | Rizici kibernetičke sigurnosti |
| Prijava incidenata | AZOP-u u 72 sata | CERT-u u 24/72 sata |
| Edukacija | Zaposlenici o zaštiti podataka | Zaposlenici o kibernetičkoj sigurnosti |
| Dokumentacija | Evidencije obrade, DPIA | Politike sigurnosti, planovi oporavka |
Preporuka: U organizacijama koje podliježu i GDPR-u i NIS2, DPO i osoba zadužena za kibernetičku sigurnost trebaju blisko surađivati. U manjim organizacijama to može biti ista osoba, uz pažnju na sukob interesa. Više o NIS2: NIS2 direktiva: vodič.
Najčešće pogreške
1. DPO „na papiru"
Imenovanje DPO-a koji nema stvarnu ulogu ni resurse. GDPR zahtijeva da DPO aktivno obavlja zadaće.
2. Sukob interesa
Imenovanje voditelja IT-ja, HR-a ili marketinga kao DPO-a. Te osobe odlučuju o obradi podataka.
3. Nedostatak pristupa informacijama
DPO mora imati pristup svim aktivnostima obrade u organizaciji. Bez toga ne može obavljati nadzor.
4. Nedovoljna stručnost
Imenovanje osobe bez znanja o zaštiti podataka ili bez osiguranja edukacije.
5. Kažnjavanje DPO-a
Penaliziranje DPO-a za upozorenja ili mišljenja koja nisu ugodna upravi. GDPR izričito zabranjuje takvo postupanje.
6. Neprijavljivanje AZOP-u
Imenovanje DPO-a bez obavještavanja nadzornog tijela. Podatke o DPO-u potrebno je prijaviti AZOP-u.
FAQ
Moramo li imenovati DPO-a?
DPO je obvezan za tijela javne vlasti i organizacije čija osnovna djelatnost uključuje sustavno praćenje na velikoj razini ili obradu posebnih kategorija podataka. Mnoge tvrtke imenuju DPO-a i dobrovoljno, radi povjerenja. Procjena obveze traje kratko. Provjerite obvezu.
Što je vanjski DPO i kome se isplati?
Vanjski DPO je usluga u kojoj specijalist preuzima ulogu službenika za zaštitu podataka. Isplati se kada interno nema dovoljno znanja ili kapaciteta. Dobivate stručnost, neovisnost i kontinuitet bez troška zaposlenika. Saznajte o vanjskom DPO-u.
Koliko košta vanjski DPO?
Cijena ovisi o veličini organizacije, broju obrada i razini podrške. Najčešće je riječ o mjesečnoj naknadi nižoj od plaće stalnog stručnjaka. Točan opseg definira se nakon kratke procjene.
Koliko DPO košta?
Interni DPO: Plaća ovisi o tržištu, u Hrvatskoj od 1.500 do 4.000 EUR bruto mjesečno za posvećenu ulogu. Vanjski DPO: Od 300 do 2.000 EUR mjesečno, ovisno o opsegu i složenosti organizacije.
Može li DPO biti zaposlenik koji ima i druge zadaće?
Da, ali ne smije postojati sukob interesa. DPO ne smije odlučivati o svrhama i sredstvima obrade. U malim organizacijama DPO može imati i druge zadaće (npr. pravnik, compliance officer) ako nema sukoba.
Može li jedna osoba biti DPO za više tvrtki?
Da. GDPR izričito dopušta da jedna osoba bude DPO za grupu poduzetnika ili za više javnih tijela (čl. 37. st. 2. i 3.), pod uvjetom da je dostupna svakoj od njih.
Što ako nemam obvezu imenovanja DPO-a?
Čak i kad DPO nije obvezan, netko u organizaciji mora razumjeti GDPR obveze i koordinirati usklađenost. Možete angažirati vanjskog konzultanta za savjetovanje bez formalnog imenovanja.
Može li AZOP kazniti za neimenovanje DPO-a?
Da. Neimenovanje DPO-a kada je obvezan spada u kršenja iz članka 83. stavka 4. GDPR-a: kazna do 10 mil. EUR ili 2 % globalnog prometa.
Zaključak
Službenik za zaštitu podataka više nije luksuz. Za mnoge organizacije je zakonska obveza, a za sve ostale je korisna investicija u usklađenost i povjerenje klijenata. Pravilno imenovan i podržan DPO štiti organizaciju od regulatornih rizika i pomaže u izgradnji kulture zaštite podataka.
Ključne poruke: (1) Provjerite jeste li obvezni imenovati DPO-a. (2) Osigurajte neovisnost, bez sukoba interesa. (3) Pružite DPO-u resurse i pristup informacijama. (4) Prijavite imenovanje AZOP-u. (5) Vanjski DPO je praktično rješenje za manje organizacije.
Trebate pomoć? Vision Compliance nudi zaštitu podataka uključujući usluge vanjskog DPO-a, savjetovanje o GDPR-u i pripremu dokumentacije. Zakažite besplatnu konzultaciju.
Povezani članci
- Što je GDPR? Kompletni vodič za 2026.: Sve o GDPR-u i obvezama organizacija
- DPIA: Procjena učinka na zaštitu podataka: Kada je obvezna i kako je provesti
- AZOP: Vodič za građane i tvrtke: Uloga AZOP-a i podnošenje pritužbi
Izvori: GDPR (Uredba EU 2016/679, čl. 37.-39.), AZOP smjernice, EDPB smjernice o DPO-u (WP 243 rev.01)
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.