Od stupanja na snagu GDPR-a 2018. godine, europska nadzorna tijela izrekla su više od 5 milijardi EUR kazni. Kazne pogađaju i tehnološke gigante i male tvrtke. Nitko nije imun. U ovom vodiču analiziramo najveće kazne, najčešće razloge za kažnjavanje i konkretne korake za zaštitu vaše organizacije.
Sažetak i ključne točke
- Ukupno izrečeno više od 5 mlrd. EUR GDPR kazni od 2018. do 2025.
- Najveća pojedinačna kazna: 1,2 mlrd. EUR (Meta, Irska, 2023.).
- Kršenje načela obrade i nedostatak pravnog temelja najčešći su razlozi.
- Kazne dosežu do 20 mil. EUR ili 4 % globalnog prometa (što je više).
- I male tvrtke dobivaju kazne. Proporcionalnost ne znači imunitet.
- AZOP u Hrvatskoj aktivno provodi nadzor i izriče kazne.
Sadržaj
- Kako GDPR kazne funkcioniraju
- Raspon kazni prema čl. 83. GDPR-a
- Najveće GDPR kazne u Europi
- Najčešći razlozi za kazne
- GDPR kazne u Hrvatskoj
- Kako nadzorna tijela određuju visinu kazne
- Kazne za male i srednje tvrtke
- Kako izbjeći GDPR kazne
- Što učiniti ako dobijete kaznu
- FAQ
- Zaključak
Kako GDPR kazne funkcioniraju
GDPR daje nadzornim tijelima (u Hrvatskoj: AZOP) ovlast za izricanje administrativnih novčanih kazni. Kazne su osmišljene da budu učinkovite, proporcionalne i odvraćajuće.
| Pojam | Objašnjenje |
|---|---|
| Nadzorno tijelo | Nacionalni regulator zaštite podataka (AZOP u Hrvatskoj) |
| Administrativna kazna | Novčana kazna izrečena temeljem čl. 83. GDPR-a |
| Korektivne mjere | Upozorenja, zabrane obrade, nalozi za brisanje (čl. 58.) |
| Vodeće nadzorno tijelo | Tijelo nadležno za prekogranične slučajeve (npr. irski DPC za Meta-u) |
| Mehanizam konzistentnosti | EDPB osigurava ujednačenu primjenu GDPR-a u EU |
Napomena: Osim novčanih kazni, nadzorna tijela mogu izreći i korektivne mjere: upozorenje, zabranu obrade, nalog za brisanje podataka ili obavještavanje ispitanika. Te mjere mogu biti jednako bolne kao sama kazna.
Raspon kazni
GDPR propisuje dva raspona kazni prema članku 83:
| Kategorija | Maksimalna kazna | Primjeri kršenja |
|---|---|---|
| Niži raspon (čl. 83. st. 4.) | Do 10 mil. EUR ili 2 % godišnjeg globalnog prometa | Obveze voditelja/izvršitelja, evidencije obrade, DPO, sigurnosne mjere, certifikacija |
| Viši raspon (čl. 83. st. 5.) | Do 20 mil. EUR ili 4 % godišnjeg globalnog prometa | Načela obrade, pravni temelji, privola, prava ispitanika, prijenosi u treće zemlje |
Za tvrtke: Primjenjuje se veći iznos: postotak prometa ili fiksni iznos. Za korporaciju s prometom od 1 mlrd. EUR, 4 % znači kaznu do 40 mil. EUR.
Najveće GDPR kazne u Europi
Top 10 kazni (zaključno s 2025.)
| # | Tvrtka | Kazna | Zemlja | Godina | Razlog |
|---|---|---|---|---|---|
| 1 | Meta (Facebook) | 1.200 mil. EUR | Irska | 2023. | Prijenos podataka u SAD bez odgovarajućih zaštita |
| 2 | Amazon | 746 mil. EUR | Luksemburg | 2021. | Neusklađen sustav ciljane reklame |
| 3 | Meta (Instagram) | 405 mil. EUR | Irska | 2022. | Obrada podataka djece |
| 4 | Meta (Facebook) | 390 mil. EUR | Irska | 2023. | Neispravan pravni temelj za personalizirane oglase |
| 5 | TikTok | 345 mil. EUR | Irska | 2023. | Obrada podataka maloljetnika |
| 6 | Meta (WhatsApp) | 225 mil. EUR | Irska | 2021. | Netransparentno informiranje korisnika |
| 7 | 150 mil. EUR | Francuska | 2022. | Nepravilnosti pri upravljanju kolačićima | |
| 8 | Criteo | 40 mil. EUR | Francuska | 2023. | Nedostatak valjane privole za praćenje |
| 9 | H&M | 35,3 mil. EUR | Njemačka | 2020. | Prekomjerno praćenje zaposlenika |
| 10 | Clearview AI | 20 mil. EUR | Italija/Francuska/Grčka | 2022. | Biometrijska obrada bez pravnog temelja |
Što možemo naučiti?
| Lekcija | Objašnjenje |
|---|---|
| Prijenosi u treće zemlje su rizični | Najveća kazna (Meta, 1,2 mlrd.): prijenos u SAD |
| Djeca i maloljetnici su posebno zaštićeni | Instagram i TikTok: obrada podataka djece |
| Privola mora biti valjana | Google i Criteo: neispravna ili nedovoljna privola |
| Transparentnost nije izbor | WhatsApp: nejasno informiranje korisnika |
| Zaposlenici imaju prava | H&M: tajno praćenje zaposlenika |
Najčešći razlozi za kazne
Analiza po kategorijama
| Razlog | Udio u kaznama | Primjeri |
|---|---|---|
| Nedostatak pravnog temelja | ~30 % | Obrada bez privole ili legitimnog interesa |
| Kršenje načela obrade | ~25 % | Prikupljanje više podataka nego potrebno, nedefinirana svrha |
| Nedostatne sigurnosne mjere | ~20 % | Povrede podataka zbog slabe zaštite |
| Kršenje prava ispitanika | ~15 % | Neodgovaranje na zahtjeve za pristup/brisanje |
| Nedovoljna transparentnost | ~10 % | Nejasne ili nepotpune politike privatnosti |
Detaljniji pregled
1. Nedostatak pravnog temelja (čl. 6.)
- Obrada osobnih podataka bez ijednog od šest pravnih temelja
- Korištenje legitimnog interesa bez procjene ravnoteže
- Privola koja ne ispunjava uvjete (unaprijed označena, uvjetovana, nespecifična)
2. Kršenje načela obrade (čl. 5.)
- Minimizacija: prikupljanje previše podataka
- Ograničenje svrhe: korištenje podataka u nepredviđene svrhe
- Točnost: zastarjeli ili netočni podaci
- Ograničenje pohrane: čuvanje podataka dulje nego potrebno
3. Nedostatne sigurnosne mjere (čl. 32.)
- Nešifrirani osobni podaci
- Slabe lozinke bez MFA
- Neažurirani sustavi s poznatim ranjivostima
- Nedostatak plana odgovora na incidente
GDPR kazne u Hrvatskoj
AZOP (Agencija za zaštitu osobnih podataka) nadležna je za provedbu GDPR-a u Hrvatskoj.
Primjeri kazni i mjera
| Godina | Subjekt | Kazna / mjera | Razlog |
|---|---|---|---|
| 2024. | Telekomunikacijski operator | Upozorenje + nalog | Nedostatna zaštita osobnih podataka korisnika |
| 2024. | Zdravstvena ustanova | Korektivna mjera | Neovlašteni pristup medicinskim podacima |
| 2023. | Privatna tvrtka | Novčana kazna | Nepravilnosti u video nadzoru |
| 2023. | Web shop | Nalog za brisanje | Čuvanje podataka nakon povlačenja privole |
| 2022. | Javna ustanova | Upozorenje | Neažurirane evidencije obrade |
Napomena: AZOP još ne objavljuje sve kazne detaljno kao neka druga europska tijela. Trend je prema sve aktivnijem nadzoru i višim kaznama, posebno u području video nadzora, marketinga i sigurnosti podataka. Više o AZOP-u: AZOP vodič.
Specifičnosti hrvatskog sustava
- Tijela javne vlasti nisu podložna novčanim kaznama prema čl. 83. st. 7. (Hrvatska je koristila tu opciju)
- Zakon o provedbi (NN 42/18) propisuje i prekršajne kazne za fizičke osobe
- AZOP surađuje s drugim EU tijelima kroz mehanizam konzistentnosti
Bojite se GDPR kazne ili ste već u nadzoru AZOP-a? Vision Compliance pruža GDPR reviziju, gap analizu, pripremu dokumentacije i pravnu podršku tijekom AZOP nadzora. Zero kazni za naše klijente. GDPR savjetovanje i revizija →
Kako se određuje visina kazne
GDPR u članku 83. stavku 2. navodi 11 kriterija koje nadzorno tijelo uzima u obzir:
| Kriterij | Objašnjenje |
|---|---|
| Priroda i težina kršenja | Koliko je ozbiljno i koliko je osoba pogođeno |
| Namjera ili nemar | Namjerno kršenje kažnjava se strože |
| Mjere za ublažavanje štete | Je li organizacija poduzela korake da smanji utjecaj |
| Stupanj odgovornosti | Kakve je tehničke i organizacijske mjere imala |
| Prethodna kršenja | Ponavljanje kršenja povećava kaznu |
| Suradnja s nadzornim tijelom | Aktivna suradnja može smanjiti kaznu |
| Kategorije podataka | Osjetljivi podaci (zdravstveni, biometrijski) znače veće kazne |
| Način otkrivanja | Je li organizacija sama prijavila ili je otkriveno naknadno |
| Prethodni nalozi | Kršenje prethodno izrečenih korektivnih mjera |
| Certifikacija | ISO 27001, BCR i sl. mogu ublažiti kaznu |
| Otegotne/olakotne okolnosti | Financijska korist od kršenja, sprečavanje štete |
Ključno: Suradnja s nadzornim tijelom, brza reakcija i dokumentirane mjere zaštite mogu značajno smanjiti kaznu. Organizacije koje same prijave povredu i pokažu da su poduzele mjere tipično dobivaju manje kazne.
Kazne za male i srednje tvrtke
Čest je mit da GDPR kazne pogađaju samo velike korporacije. U stvarnosti, male i srednje tvrtke također dobivaju kazne, premda u proporcionalno manjim iznosima.
| Veličina tvrtke | Tipične kazne | Primjeri razloga |
|---|---|---|
| Mikro (1-9 zaposlenih) | 500-5.000 EUR | Nepravilnosti u video nadzoru, nedostatak politike privatnosti |
| Mala (10-49) | 5.000-50.000 EUR | Nedostatna zaštita, obrada bez temelja, neodgovaranje na zahtjeve |
| Srednja (50-250) | 50.000-500.000 EUR | Povrede podataka, nedostatak DPO-a kad je obvezan |
| Velika (250+) | 500.000+ EUR | Sustavna kršenja, nedostatna sigurnost |
Primjeri manjih kazni u EU
| Zemlja | Kazna | Razlog |
|---|---|---|
| Španjolska | 1.500 EUR | Kamera usmjerena na javnu površinu |
| Rumunjska | 3.000 EUR | Slanje marketinških e-mailova bez privole |
| Poljska | 5.000 EUR | Nepravodobni odgovor na zahtjev za pristup |
| Mađarska | 11.000 EUR | Neovlašteno otkrivanje podataka zaposlenika |
| Austrija | 18.000 EUR | Nedostatna zaštita u web aplikaciji |
Poruka za mala poduzeća: Kazna od 5.000 EUR može biti jednako bolna za malu tvrtku kao kazna od 5 mil. EUR za korporaciju. Proporcionalnost ne znači imunitet, znači razmjernost.
Kako izbjeći GDPR kazne
10 ključnih koraka
| # | Korak | Prioritet |
|---|---|---|
| 1 | Odredite pravni temelj za svaku obradu | Kritičan |
| 2 | Izradite politiku privatnosti koja je jasna, potpuna i ažurna | Kritičan |
| 3 | Odgovarajte na zahtjeve ispitanika u roku od 30 dana | Kritičan |
| 4 | Prijavite povrede AZOP-u u 72 sata | Kritičan |
| 5 | Vodite evidencije aktivnosti obrade (čl. 30.) | Visok |
| 6 | Provedite procjenu učinka (DPIA) za visokorizične obrade | Visok |
| 7 | Imenujte DPO-a ako je obvezan | Visok |
| 8 | Primijenite tehničke mjere: šifriranje, kontrola pristupa, MFA | Visok |
| 9 | Educirajte zaposlenike: redovito i dokumentirano | Srednji |
| 10 | Provjerite dobavljače: ugovori o obradi podataka (DPA) | Srednji |
Dokumentacija kao zaštita
GDPR zahtijeva načelo odgovornosti (accountability): morate moći dokazati usklađenost. Ključni dokumenti:
- Evidencija aktivnosti obrade
- Politika privatnosti (web + interna)
- Ugovori s izvršiteljima obrade
- Zapisi o privolama
- Procjene učinka (DPIA)
- Evidencija povreda (i onih neprijavljenih)
- Zapisi o edukaciji zaposlenika
Savjet: Dokumentacija ne mora biti savršena, ali mora postojati i biti ažurna. Organizacija koja pokaže sustavni pristup i dobru namjeru ima značajno manju šansu za visoku kaznu. Trebate pomoć? Zaštita podataka i GDPR usluge.
Što učiniti ako dobijete kaznu
Vaše opcije
| Opcija | Rok | Opis |
|---|---|---|
| Prihvatiti kaznu | - | Platiti i provesti tražene korektivne mjere |
| Uložiti žalbu | 30 dana (u Hrvatskoj) | Žalba na Visoki upravni sud |
| Sudski postupak | Prema nacionalnom pravu | Osporavati pred sudom |
Koraci nakon primitka kazne
- Analizirajte rješenje: razumijte koje su povrede utvrđene
- Procijenite osnovanost: konzultirajte pravnika za zaštitu podataka
- Provedite korektivne mjere: bez obzira na žalbu, otklonite utvrđene nedostatke
- Dokumentirajte promjene: pokažite da ste poduzeli mjere
- Spriječite ponavljanje: ažurirajte politike, procedure i edukaciju
FAQ
Kolike su GDPR kazne?
Kazne dosežu do 20 milijuna eura ili 4% globalnog godišnjeg prometa, ovisno o tome što je veće. Lakše povrede kažnjavaju se do 10 milijuna eura ili 2%. Visina ovisi o težini, namjeri i suradnji s nadzornim tijelom.
Kako smanjiti rizik od GDPR kazne?
Dokumentirajte obrade, pravne osnove i mjere sigurnosti. Uspostavite postupke za prava ispitanika i prijavu povrede u 72 sata. Sustavan pristup i dobra namjera značajno snižavaju kaznu. Smanjite rizik.
Može li AZOP kazniti malu tvrtku?
Da. GDPR ne izuzima male tvrtke. AZOP u praksi gleda težinu povrede i suradnju, no obveze vrijede neovisno o veličini. I male organizacije trebaju osnovnu dokumentaciju.
Može li AZOP kazniti tvrtku bez prethodnog upozorenja?
Da, GDPR dopušta izravno izricanje kazne. Međutim, u praksi AZOP često prvo izdaje upozorenje ili korektivnu mjeru, a kaznu izriče za teže ili ponovljene povrede.
Kolika je prosječna GDPR kazna?
Prosječna kazna u EU iznosi oko 1,74 mil. EUR (2024.), ali medijan je značajno niži, oko 20.000 EUR. Razlika nastaje zbog nekoliko mega-kazni koje podižu prosjek.
Trebam li se brinuti ako imam malu tvrtku?
Da, ali proporcionalno. Fokusirajte se na osnove: pravni temelji, politika privatnosti, odgovor na zahtjeve ispitanika i sigurnosne mjere. Te mjere ne zahtijevaju velike investicije, a značajno smanjuju rizik.
Utječe li ISO 27001 certifikat na visinu kazne?
ISO 27001 može biti olakotna okolnost jer pokazuje da je organizacija poduzela mjere za zaštitu informacija. Međutim, certifikat sam po sebi ne garantira izbjegavanje kazne.
Što ako ne mogu platiti kaznu?
Nadzorno tijelo uzima u obzir financijsku sposobnost organizacije. U nekim slučajevima moguće je dogovoriti obročno plaćanje ili smanjenje kazne na temelju financijskih okolnosti.
Zaključak
GDPR kazne nisu teorijska prijetnja. To su stvarne financijske sankcije koje pogađaju organizacije svih veličina u cijeloj Europi, uključujući Hrvatsku. Trend je jasan: kazne rastu i po iznosu i po učestalosti.
Ključne poruke: (1) Pravni temelj za svaku obradu je temelj usklađenosti. (2) Dokumentacija je vaša najbolja obrana. (3) Brza reakcija na povrede i zahtjeve ispitanika smanjuje rizik. (4) Suradnja s AZOP-om olakotna je okolnost. (5) Ulaganje u usklađenost košta manje od kazne.
Trebate pomoć s GDPR usklađenošću? Vision Compliance nudi zaštitu podataka i GDPR usluge, od procjene usklađenosti do izrade dokumentacije i edukacije zaposlenika. Zakažite besplatnu konzultaciju.
Povezani članci
- Što je GDPR? Kompletni vodič za 2026.: Sve o GDPR-u, pravima i obvezama
- GDPR u Hrvatskoj: Vodič za usklađivanje: Primjena GDPR-a i uloga AZOP-a u praksi
- NIS2 kazne i osobna odgovornost uprave: Usporedba kaznenih okvira NIS2 i GDPR
Izvori: GDPR Enforcement Tracker, EDPB, AZOP, GDPR (Uredba EU 2016/679), Zakon o provedbi (NN 42/18)
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.