GDPR u Hrvatskoj 2025: Vodič za usklađivanje, AZOP i izbjegavanje kazni
28. kolovoza 2025.
Ažurirano: 22. veljače 2026.
14 min čitanja
GDPR
Brzi pregled — GDPR u Hrvatskoj
Činjenica
Detalj
Primjena
Od 25. svibnja 2018. (izravno u RH)
Nadzorno tijelo
AZOP — Agencija za zaštitu osobnih podataka
Kazne (lakša kršenja)
Do 10 mil. EUR ili 2 % godišnjeg prometa
Kazne (teža kršenja)
Do 20 mil. EUR ili 4 % godišnjeg prometa
Rok za odgovor ispitaniku
30 dana
Prijava povrede AZOP-u
72 sata ako postoji rizik za prava
Zakon o provedbi
NN 42/18 (OIB, prekršaji, nadzor)
Zašto je ovo važno? GDPR se izravno primjenjuje u Hrvatskoj. AZOP provodi nadzor, prima pritužbe i izriče kazne, a dokumentacija i brz odgovor na zahtjeve ispitanika ključni su za smanjenje rizika.
GDPR (Opća uredba o zaštiti podataka — Uredba EU 2016/679) uređuje prikupljanje, obradu i zaštitu osobnih podataka u EU. Kao uredba, izravno se primjenjuje u svim državama članicama, uključujući Hrvatsku.
Uz GDPR u Hrvatskoj je na snazi Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18), koji:
Agencija za zaštitu osobnih podataka (AZOP) neovisno je nadzorno tijelo odgovorno za praćenje primjene GDPR-a u Hrvatskoj. AZOP provodi inspekcijske nadzore, rješava pritužbe građana, izriče kazne i pruža stručno savjetovanje voditeljima obrade.
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Za cjelovite informacije o AZOP-u — kontakt podaci, radno vrijeme, postupak podnošenja pritužbe, Help-Desk i primjeri kazni — pogledajte naš poseban vodič: AZOP: Vodič za građane i tvrtke.
Napomena: Tijela javne vlasti u Hrvatskoj nisu podložna administrativnim novčanim kaznama prema čl. 83. st. 7. GDPR-a (opcija korištena u nacionalnom zakonu).
Kazne za kršenje GDPR-a
Raspon kazni
Vrsta kršenja
Maksimalna kazna
Lakša (tehničke i organizacijske mjere, evidencije)
Do 10 milijuna EUR ili 2 % godišnjeg globalnog prometa
Teža (načela obrade, prava ispitanika, prijenosi)
Do 20 milijuna EUR ili 4 % godišnjeg globalnog prometa
Za mala i srednja poduzeća primjenjuje se proporcionalnost — kazne se prilagođavaju veličini i financijskoj sposobnosti.
Najčešći razlozi za kazne (EU praksa)
Neovlaštena obrada — obrada bez pravnog temelja
Nedostatne sigurnosne mjere — povrede zbog slabe zaštite
Kršenje prava ispitanika — neodgovaranje na zahtjeve za pristup ili brisanje
Nedostatak valjane privole — marketing bez privole ili s unaprijed označenim kutijicama
Video nadzor — nepravilno postavljanje, označavanje ili opseg
Neovlašteno otkrivanje — dijeljenje podataka bez temelja
Tko mora poštivati GDPR?
Obveznici uključuju:
Sve pravne osobe u Hrvatskoj koje obrađuju osobne podatke
Obrtnike i slobodna zanimanja s evidencijama klijenata
Udruge i neprofitne organizacije s članovima ili korisnicima
Tijela javne vlasti na svim razinama
Strane tvrtke koje nude robu ili usluge osobama u Hrvatskoj (ili prate njihovo ponašanje)
Izuzeća: Obrada isključivo za osobne ili kućne potrebe, u svrhe nacionalne sigurnosti te od strane nadležnih tijela u kaznenim postupcima.
Pravni temelji obrade
Za svaku svrhu obrade osobnih podataka potreban je pravni temelj iz članka 6. GDPR-a. Šest mogućih pravnih osnova su: privola, ugovor, zakonska obveza, vitalni interes, javni interes i legitimni interes. U hrvatskom kontekstu najčešće se koriste ugovor (zapošljavanje, pružanje usluga), zakonska obveza (računovodstvo, porezne prijave) i privola (marketing, kolačići).
Identificirajte: koje podatke prikupljate, zašto, gdje su pohranjeni, tko ima pristup i koliko dugo ih čuvate.
2. Određivanje pravnog temelja
Za svaku svrhu odredite jedan od šest pravnih temelja i dokumentirajte ga.
3. Dokumentacija
Dokument
Kada je obvezan
Evidencija aktivnosti obrade (čl. 30.)
Tvrtke s 250+ zaposlenika, ili obrađujete osjetljive podatke / obrada nije povremena
Politika privatnosti
Svaka web stranica / poslovni prostor koji prikuplja podatke
Interne politike
Politika zaštite podataka, procedure za povrede i zahtjeve ispitanika
4. DPO (službenik za zaštitu podataka)
Obvezan za: tijela javne vlasti (osim sudova), organizacije koje redovito i sustavno prate ispitanike u velikom opsegu te organizacije koje obrađuju posebne kategorije podataka u velikom opsegu. Za ostale je koristan kao kontaktna točka za AZOP i ispitanike.
5. Tehničke i organizacijske mjere
Šifriranje, kontrola pristupa, sigurnosne kopije, antivirusna zaštita, vatrozid; edukacija zaposlenika, ograničenje pristupa, ugovori s izvršiteljima obrade (DPA).
6. Upravljanje povredama
Otkrivanje, zatim procjena opsega i rizika, prijava AZOP-u u 72 sata ako postoji rizik za prava, obavještavanje ispitanika ako je visok rizik, te dokumentiranje i mjere da se ne ponovi.
Ključna pravila: Odgovor ispitaniku u 30 dana; prijava povrede 72 sata; dokumentacija dokazuje da ste poduzeli mjere.
Prava građana i pritužbe
GDPR jamči osam temeljnih prava ispitanika — od prava na pristup i brisanje do prava na prenosivost podataka. Cjeloviti pregled svih prava s primjerima iz prakse pogledajte u: Što je GDPR — kompletni vodič.
Kako građanin ostvaruje prava u Hrvatskoj?
Podnijeti zahtjev voditelju obrade (tvrtki).
Voditelj mora odgovoriti u 30 dana.
Ako nije zadovoljan — prigovor AZOP-u (online, e-mail, pošta). Detaljan postupak podnošenja pritužbe opisan je u: AZOP vodič.
Aplikacija "GDPR Hrvatska" (Android/iOS) — besplatna AZOP aplikacija s informacijama o pravima, vijestima i kontaktom.
Posebne situacije: video nadzor, OIB, marketing
Video nadzor
Pravni temelj — najčešće legitimni interes (sigurnost).
Oznake — vidljive oznake o snimanju na ulazima.
Opseg — samo vlastiti prostor, ne javne površine.
Pristup — ograničen; čuvanje — obično do 30 dana.
OIB
OIB je osobni podatak: prikupljati samo kada je zakonski potrebno, ne koristiti kao univerzalni identifikator, zaštititi od neovlaštenog pristupa.
Marketing i kolačići
Za direktni e-mail marketing: privola (ili legitimni interes za slične proizvode postojećim kupcima) i mogućnost odjave u svakoj poruci. Za kolačiće koji nisu nužni potrebna je privola za kolačiće prema GDPR-u. Više: GDPR obrasci privole — primjeri.
FAQ i službeni izvori
Trebam li DPO ako imam malu tvrtku?
Ako niste tijelo javne vlasti i ne obrađujete osjetljive podatke u velikom opsegu niti sustavno ne pratite ispitanike, DPO nije obvezan. No, netko u tvrtki mora razumjeti obveze iz GDPR-a.
Koliko dugo mogu čuvati osobne podatke?
Nema univerzalnog roka — onoliko koliko je potrebno za svrhu. Računovodstvo: 11 godina; marketinški podaci: do povlačenja privole.
Moram li prijaviti svaku povredu AZOP-u?
Samo one za koje postoji rizik za prava i slobode fizičkih osoba. Sve povrede morate dokumentirati interno.
GDPR se u Hrvatskoj primjenjuje od 25. svibnja 2018. Usklađenost nije izbor, nego zakonska obveza.
Ključne poruke: (1) AZOP je nadležan — prijavite povrede, odgovarajte na upite. (2) Dokumentacija pokazuje da ste poduzeli mjere. (3) Edukacija zaposlenika smanjuje ljudske pogreške. (4) 30 dana za odgovor ispitaniku. (5) 72 sata za prijavu povrede ako postoji rizik.
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.
