Za hrvatske tvrtke GDPR nije teorija, nego skup obveza koje AZOP nadzire i kažnjava. Ovaj vodič pokazuje kako uskladiti poslovanje korak po korak: od evidencije obrade i pravnih osnova do dokumentacije i pripreme za nadzor. Definicije i prava ispitanika obrađujemo u kompletnom vodiču o GDPR-u. Ovdje je fokus na praktičnoj usklađenosti tvrtke.
Brzi pregled: GDPR u Hrvatskoj
| Činjenica | Detalj |
|---|---|
| Primjena | Od 25. svibnja 2018. (izravno u RH) |
| Nadzorno tijelo | AZOP, Agencija za zaštitu osobnih podataka |
| Kazne (lakša kršenja) | Do 10 mil. EUR ili 2 % godišnjeg prometa |
| Kazne (teža kršenja) | Do 20 mil. EUR ili 4 % godišnjeg prometa |
| Rok za odgovor ispitaniku | 30 dana |
| Prijava povrede AZOP-u | 72 sata ako postoji rizik za prava |
| Zakon o provedbi | NN 42/18 (OIB, prekršaji, nadzor) |
Zašto je ovo važno? GDPR se izravno primjenjuje u Hrvatskoj. AZOP provodi nadzor, prima pritužbe i izriče kazne, a dokumentacija i brz odgovor na zahtjeve ispitanika ključni su za smanjenje rizika.
Sadržaj
- GDPR i hrvatsko zakonodavstvo
- AZOP: nadzorno tijelo
- Kazne za kršenje GDPR-a
- Tko mora poštivati GDPR?
- Pravni temelji obrade
- Praktični koraci za usklađivanje
- Prava građana i pritužbe
- Posebne situacije: video nadzor, OIB, marketing
- FAQ i službeni izvori
GDPR i hrvatsko zakonodavstvo
GDPR (Opća uredba o zaštiti podataka, Uredba EU 2016/679) uređuje prikupljanje, obradu i zaštitu osobnih podataka u EU. Kao uredba, izravno se primjenjuje u svim državama članicama, uključujući Hrvatsku.
Uz GDPR u Hrvatskoj je na snazi Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18), koji:
- Uređuje postupanje AZOP-a (nacionalno nadzorno tijelo)
- Propisuje prekršajne odredbe i kazne
- Definira specifična pravila (npr. obrada OIB-a)
- Uređuje akreditaciju i certifikaciju
AZOP: nadzorno tijelo
Agencija za zaštitu osobnih podataka (AZOP) neovisno je nadzorno tijelo odgovorno za praćenje primjene GDPR-a u Hrvatskoj. AZOP provodi inspekcijske nadzore, rješava pritužbe građana, izriče kazne i pruža stručno savjetovanje voditeljima obrade.
Za cjelovite informacije o AZOP-u (kontakt podaci, radno vrijeme, postupak podnošenja pritužbe, Help-Desk i primjeri kazni) pogledajte naš poseban vodič: AZOP: Vodič za građane i tvrtke.
Napomena: Tijela javne vlasti u Hrvatskoj nisu podložna administrativnim novčanim kaznama prema čl. 83. st. 7. GDPR-a (opcija korištena u nacionalnom zakonu).
Kazne za kršenje GDPR-a
Raspon kazni
| Vrsta kršenja | Maksimalna kazna |
|---|---|
| Lakša (tehničke i organizacijske mjere, evidencije) | Do 10 milijuna EUR ili 2 % godišnjeg globalnog prometa |
| Teža (načela obrade, prava ispitanika, prijenosi) | Do 20 milijuna EUR ili 4 % godišnjeg globalnog prometa |
Za mala i srednja poduzeća primjenjuje se proporcionalnost: kazne se prilagođavaju veličini i financijskoj sposobnosti.
Najčešći razlozi za kazne (EU praksa)
- Neovlaštena obrada: obrada bez pravnog temelja
- Nedostatne sigurnosne mjere: povrede zbog slabe zaštite
- Kršenje prava ispitanika: neodgovaranje na zahtjeve za pristup ili brisanje
- Nedostatak valjane privole: marketing bez privole ili s unaprijed označenim kutijicama
- Video nadzor: nepravilno postavljanje, označavanje ili opseg
- Neovlašteno otkrivanje: dijeljenje podataka bez temelja
Tko mora poštivati GDPR?
Obveznici uključuju:
- Sve pravne osobe u Hrvatskoj koje obrađuju osobne podatke
- Obrtnike i slobodna zanimanja s evidencijama klijenata
- Udruge i neprofitne organizacije s članovima ili korisnicima
- Tijela javne vlasti na svim razinama
- Strane tvrtke koje nude robu ili usluge osobama u Hrvatskoj (ili prate njihovo ponašanje)
Izuzeća: Obrada isključivo za osobne ili kućne potrebe, u svrhe nacionalne sigurnosti te od strane nadležnih tijela u kaznenim postupcima.
Pravni temelji obrade
Za svaku svrhu obrade osobnih podataka potreban je pravni temelj iz članka 6. GDPR-a. Šest mogućih pravnih osnova su: privola, ugovor, zakonska obveza, vitalni interes, javni interes i legitimni interes. U hrvatskom kontekstu najčešće se koriste ugovor (zapošljavanje, pružanje usluga), zakonska obveza (računovodstvo, porezne prijave) i privola (marketing, kolačići).
Detaljni pregled svih šest pravnih temelja s primjerima i tablicama pogledajte u: Što je GDPR: kompletni vodič.
Praktični koraci za usklađivanje
1. Mapiranje obrade
Identificirajte: koje podatke prikupljate, zašto, gdje su pohranjeni, tko ima pristup i koliko dugo ih čuvate.
2. Određivanje pravnog temelja
Za svaku svrhu odredite jedan od šest pravnih temelja i dokumentirajte ga.
3. Dokumentacija
| Dokument | Kada je obvezan |
|---|---|
| Evidencija aktivnosti obrade (čl. 30.) | Tvrtke s 250+ zaposlenika, ili obrađujete osjetljive podatke / obrada nije povremena |
| Politika privatnosti | Svaka web stranica / poslovni prostor koji prikuplja podatke |
| Interne politike | Politika zaštite podataka, procedure za povrede i zahtjeve ispitanika |
4. DPO (službenik za zaštitu podataka)
Obvezan za: tijela javne vlasti (osim sudova), organizacije koje redovito i sustavno prate ispitanike u velikom opsegu te organizacije koje obrađuju posebne kategorije podataka u velikom opsegu. Za ostale je koristan kao kontaktna točka za AZOP i ispitanike.
5. Tehničke i organizacijske mjere
Šifriranje, kontrola pristupa, sigurnosne kopije, antivirusna zaštita, vatrozid; edukacija zaposlenika, ograničenje pristupa, ugovori s izvršiteljima obrade (DPA).
6. Upravljanje povredama
Otkrivanje, zatim procjena opsega i rizika, prijava AZOP-u u 72 sata ako postoji rizik za prava, obavještavanje ispitanika ako je visok rizik, te dokumentiranje i mjere da se ne ponovi.
Ključna pravila: Odgovor ispitaniku u 30 dana; prijava povrede 72 sata; dokumentacija dokazuje da ste poduzeli mjere.
Što AZOP provjerava u nadzoru
AZOP nadzor pokreće se nakon pritužbe, prijavljene povrede ili u sklopu sektorskih provjera. Inspektori traže dokaze, ne objašnjenja. Zato dokumentaciju pripremite unaprijed.
U nadzoru se najčešće traži:
- Evidencija aktivnosti obrade prema članku 30. Pokazuje koje podatke obrađujete, zašto i na kojoj pravnoj osnovi.
- Pravne osnove za svaku svrhu, posebno za marketing i video nadzor.
- Obavijest o privatnosti koja opisuje vaše stvarne obrade, a ne generički predložak.
- Ugovori o obradi (DPA) sa svim izvršiteljima, primjerice pružateljima IT-a i marketinga.
- Postupak za prava ispitanika i dokaz da odgovarate u roku od 30 dana.
- Mjere sigurnosti i evidencija povreda podataka.
Tvrtka s urednim dokumentacijskim paketom prolazi nadzor mirno. Najveći rizik nose oni koji sve drže u glavi. Pripremite se za AZOP nadzor.
Najčešće pogreške u GDPR usklađivanju
Iste pogreške ponavljaju se u većini tvrtki. Većina se rješava bez velikog troška.
- Privola kao zadana pravna osnova. Za zaposlenike i kupce češće vrijede ugovor ili zakonska obveza. Pogrešna osnova ruši cijelu obradu.
- Nema evidencije obrade. Bez nje ne možete dokazati usklađenost ni odgovoriti na nadzor.
- Nema ugovora o obradi s dobavljačima. Svaki vanjski obrađivač podataka treba DPA. Odgovornost ostaje na vama.
- Generička obavijest o privatnosti. Kopiran tekst koji ne opisuje vaše obrade nije valjan.
- Nema postupka za zahtjeve ispitanika. Propušten rok od 30 dana čest je razlog pritužbe AZOP-u.
- Predugo čuvanje podataka. Podatke čuvajte samo dok traje svrha i zakonski rok.
Zatražite gap analizu i utvrdite koje od ovih pogrešaka postoje u vašoj organizaciji.
Prava građana i pritužbe
GDPR jamči osam temeljnih prava ispitanika, od prava na pristup i brisanje do prava na prenosivost podataka. Cjeloviti pregled svih prava s primjerima iz prakse pogledajte u: Što je GDPR: kompletni vodič.
Kako građanin ostvaruje prava u Hrvatskoj?
- Podnijeti zahtjev voditelju obrade (tvrtki).
- Voditelj mora odgovoriti u 30 dana.
- Ako nije zadovoljan, podnosi prigovor AZOP-u (online, e-mail, pošta). Detaljan postupak podnošenja pritužbe opisan je u: AZOP vodič.
Aplikacija "GDPR Hrvatska" (Android/iOS) besplatna je AZOP aplikacija s informacijama o pravima, vijestima i kontaktom.
Posebne situacije: video nadzor, OIB, marketing
Video nadzor
- Pravni temelj: najčešće legitimni interes (sigurnost).
- Oznake: vidljive oznake o snimanju na ulazima.
- Opseg: samo vlastiti prostor, ne javne površine.
- Pristup: ograničen; čuvanje: obično do 30 dana.
OIB
OIB je osobni podatak: prikupljati samo kada je zakonski potrebno, ne koristiti kao univerzalni identifikator, zaštititi od neovlaštenog pristupa.
Marketing i kolačići
Za direktni e-mail marketing: privola (ili legitimni interes za slične proizvode postojećim kupcima) i mogućnost odjave u svakoj poruci. Za kolačiće koji nisu nužni potrebna je privola za kolačiće prema GDPR-u. Više: GDPR obrasci privole: primjeri.
FAQ i službeni izvori
Kako uskladiti tvrtku s GDPR-om?
Krenite od evidencije obrada i pravnih osnova. Uredite obavijesti o privatnosti, ugovore o obradi i postupke za prava ispitanika. Dodajte mjere sigurnosti i plan za povredu podataka. Zatražite gap analizu.
Koliko traje GDPR usklađivanje?
Za malu organizaciju osnovno usklađivanje obično traje nekoliko tjedana. Veći opseg obrada i sustava produljuje rok. Najviše vremena traži evidencija obrada i ugovori s obrađivačima.
Trebamo li GDPR savjetnika?
Nije obvezan, ali ubrzava posao i smanjuje rizik pogrešaka. Savjetnik donosi predloške, iskustvo iz nadzora i neovisnu procjenu. Zatražite savjetovanje.
Trebam li DPO ako imam malu tvrtku?
Ako niste tijelo javne vlasti i ne obrađujete osjetljive podatke u velikom opsegu niti sustavno ne pratite ispitanike, DPO nije obvezan. No, netko u tvrtki mora razumjeti obveze iz GDPR-a.
Koliko dugo mogu čuvati osobne podatke?
Nema univerzalnog roka, onoliko koliko je potrebno za svrhu. Računovodstvo: 11 godina; marketinški podaci: do povlačenja privole.
Moram li prijaviti svaku povredu AZOP-u?
Samo one za koje postoji rizik za prava i slobode fizičkih osoba. Sve povrede morate dokumentirati interno.
Službeni izvori
| Izvor | Poveznica |
|---|---|
| AZOP | azop.hr |
| Zakon o provedbi (NN 42/18) | Narodne novine |
| GDPR (EUR-Lex) | CELEX 32016R0679 |
| GDPR Hrvatska aplikacija |
Zaključak
GDPR se u Hrvatskoj primjenjuje od 25. svibnja 2018. Usklađenost nije izbor, nego zakonska obveza.
Ključne poruke: (1) AZOP je nadležan: prijavite povrede, odgovarajte na upite. (2) Dokumentacija pokazuje da ste poduzeli mjere. (3) Edukacija zaposlenika smanjuje ljudske pogreške. (4) 30 dana za odgovor ispitaniku. (5) 72 sata za prijavu povrede ako postoji rizik.
Trebate pomoć? Vision Compliance nudi zaštitu podataka i GDPR usluge te besplatne konzultacije.
Povezani članci
- Što je GDPR? Kompletni vodič za 2026.: Značenje, zakon i prava ispitanika
- AZOP: Vodič za građane i tvrtke: Kako podnijeti pritužbu i prijaviti povredu
- GDPR obrasci i privole: Primjeri i predlošci: Praktični obrasci za usklađenost
Izvori: AZOP, NN 42/18, EUR-Lex (GDPR)
Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.