GDPR kazne: Najveće kazne u Europi, primjeri i kako ih izbjeći
21. veljače 2026.
Ažurirano: 22. veljače 2026.
20 min čitanja
GDPR
Od stupanja na snagu GDPR-a 2018. godine, europska nadzorna tijela izrekla su više od 5 milijardi EUR kazni. Kazne pogađaju i tehnološke gigante i male tvrtke — nitko nije imun. U ovom vodiču analiziramo najveće kazne, najčešće razloge za kažnjavanje i konkretne korake za zaštitu vaše organizacije.
Sažetak i ključne točke
Ukupno izrečeno više od 5 mlrd. EUR GDPR kazni od 2018. do 2025.
Najveća pojedinačna kazna: 1,2 mlrd. EUR (Meta, Irska, 2023.).
Kršenje načela obrade i nedostatak pravnog temelja najčešći su razlozi.
Kazne dosežu do 20 mil. EUR ili 4 % globalnog prometa (što je više).
I male tvrtke dobivaju kazne — proporcionalnost ne znači imunitet.
AZOP u Hrvatskoj aktivno provodi nadzor i izriče kazne.
GDPR daje nadzornim tijelima (u Hrvatskoj: AZOP) ovlast za izricanje administrativnih novčanih kazni. Kazne su osmišljene da budu učinkovite, proporcionalne i odvraćajuće.
Pojam
Objašnjenje
Nadzorno tijelo
Nacionalni regulator zaštite podataka (AZOP u Hrvatskoj)
Administrativna kazna
Novčana kazna izrečena temeljem čl. 83. GDPR-a
Korektivne mjere
Upozorenja, zabrane obrade, nalozi za brisanje (čl. 58.)
Vodeće nadzorno tijelo
Tijelo nadležno za prekogranične slučajeve (npr. irski DPC za Meta-u)
Mehanizam konzistentnosti
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
EDPB osigurava ujednačenu primjenu GDPR-a u EU
Napomena: Osim novčanih kazni, nadzorna tijela mogu izreći i korektivne mjere — upozorenje, zabranu obrade, nalog za brisanje podataka ili obavještavanje ispitanika. Te mjere mogu biti jednako bolne kao sama kazna.
Raspon kazni
GDPR propisuje dva raspona kazni prema članku 83:
Kategorija
Maksimalna kazna
Primjeri kršenja
Niži raspon (čl. 83. st. 4.)
Do 10 mil. EUR ili 2 % godišnjeg globalnog prometa
Do 20 mil. EUR ili 4 % godišnjeg globalnog prometa
Načela obrade, pravni temelji, privola, prava ispitanika, prijenosi u treće zemlje
Za tvrtke: Primjenjuje se veći iznos — postotak prometa ili fiksni iznos. Za korporaciju s prometom od 1 mlrd. EUR, 4 % znači kaznu do 40 mil. EUR.
Najveće GDPR kazne u Europi
Top 10 kazni (zaključno s 2025.)
#
Tvrtka
Kazna
Zemlja
Godina
Razlog
1
Meta (Facebook)
1.200 mil. EUR
Irska
2023.
Prijenos podataka u SAD bez odgovarajućih zaštita
2
Amazon
746 mil. EUR
Luksemburg
2021.
Neusklađen sustav ciljane reklame
3
Meta (Instagram)
405 mil. EUR
Irska
2022.
Obrada podataka djece
4
Meta (Facebook)
390 mil. EUR
Irska
2023.
Neispravan pravni temelj za personalizirane oglase
5
TikTok
345 mil. EUR
Irska
2023.
Obrada podataka maloljetnika
6
Meta (WhatsApp)
225 mil. EUR
Irska
2021.
Netransparentno informiranje korisnika
7
Google
150 mil. EUR
Francuska
2022.
Nepravilnosti pri upravljanju kolačićima
8
Criteo
40 mil. EUR
Francuska
2023.
Nedostatak valjane privole za praćenje
9
H&M
35,3 mil. EUR
Njemačka
2020.
Prekomjerno praćenje zaposlenika
10
Clearview AI
20 mil. EUR
Italija/Francuska/Grčka
2022.
Biometrijska obrada bez pravnog temelja
Što možemo naučiti?
Lekcija
Objašnjenje
Prijenosi u treće zemlje su rizični
Najveća kazna (Meta, 1,2 mlrd.) — prijenos u SAD
Djeca i maloljetnici su posebno zaštićeni
Instagram i TikTok — obrada podataka djece
Privola mora biti valjana
Google i Criteo — neispravna ili nedovoljna privola
Transparentnost nije izbor
WhatsApp — nejasno informiranje korisnika
Zaposlenici imaju prava
H&M — tajno praćenje zaposlenika
Najčešći razlozi za kazne
Analiza po kategorijama
Razlog
Udio u kaznama
Primjeri
Nedostatak pravnog temelja
~30 %
Obrada bez privole ili legitimnog interesa
Kršenje načela obrade
~25 %
Prikupljanje više podataka nego potrebno, nedefinirana svrha
Nedostatne sigurnosne mjere
~20 %
Povrede podataka zbog slabe zaštite
Kršenje prava ispitanika
~15 %
Neodgovaranje na zahtjeve za pristup/brisanje
Nedovoljna transparentnost
~10 %
Nejasne ili nepotpune politike privatnosti
Detaljniji pregled
1. Nedostatak pravnog temelja (čl. 6.)
Obrada osobnih podataka bez ijednog od šest pravnih temelja
Korištenje legitimnog interesa bez procjene ravnoteže
Privola koja ne ispunjava uvjete (unaprijed označena, uvjetovana, nespecifična)
2. Kršenje načela obrade (čl. 5.)
Minimizacija — prikupljanje previše podataka
Ograničenje svrhe — korištenje podataka u nepredviđene svrhe
Točnost — zastarjeli ili netočni podaci
Ograničenje pohrane — čuvanje podataka dulje nego potrebno
3. Nedostatne sigurnosne mjere (čl. 32.)
Nešifrirani osobni podaci
Slabe lozinke bez MFA
Neažurirani sustavi s poznatim ranjivostima
Nedostatak plana odgovora na incidente
GDPR kazne u Hrvatskoj
AZOP (Agencija za zaštitu osobnih podataka) nadležna je za provedbu GDPR-a u Hrvatskoj.
Primjeri kazni i mjera
Godina
Subjekt
Kazna / mjera
Razlog
2024.
Telekomunikacijski operator
Upozorenje + nalog
Nedostatna zaštita osobnih podataka korisnika
2024.
Zdravstvena ustanova
Korektivna mjera
Neovlašteni pristup medicinskim podacima
2023.
Privatna tvrtka
Novčana kazna
Nepravilnosti u video nadzoru
2023.
Web shop
Nalog za brisanje
Čuvanje podataka nakon povlačenja privole
2022.
Javna ustanova
Upozorenje
Neažurirane evidencije obrade
Napomena: AZOP još ne objavljuje sve kazne detaljno kao neka druga europska tijela. Trend je prema sve aktivnijem nadzoru i višim kaznama, posebno u području video nadzora, marketinga i sigurnosti podataka. Više o AZOP-u: AZOP vodič.
Specifičnosti hrvatskog sustava
Tijela javne vlasti nisu podložna novčanim kaznama prema čl. 83. st. 7. (Hrvatska je koristila tu opciju)
Zakon o provedbi (NN 42/18) propisuje i prekršajne kazne za fizičke osobe
AZOP surađuje s drugim EU tijelima kroz mehanizam konzistentnosti
Kako se određuje visina kazne
GDPR u članku 83. stavku 2. navodi 11 kriterija koje nadzorno tijelo uzima u obzir:
Kriterij
Objašnjenje
Priroda i težina kršenja
Koliko je ozbiljno i koliko je osoba pogođeno
Namjera ili nemar
Namjerno kršenje kažnjava se strože
Mjere za ublažavanje štete
Je li organizacija poduzela korake da smanji utjecaj
Stupanj odgovornosti
Kakve je tehničke i organizacijske mjere imala
Prethodna kršenja
Ponavljanje kršenja povećava kaznu
Suradnja s nadzornim tijelom
Aktivna suradnja može smanjiti kaznu
Kategorije podataka
Osjetljivi podaci (zdravstveni, biometrijski) znače veće kazne
Način otkrivanja
Je li organizacija sama prijavila ili je otkriveno naknadno
Prethodni nalozi
Kršenje prethodno izrečenih korektivnih mjera
Certifikacija
ISO 27001, BCR i sl. mogu ublažiti kaznu
Otegotne/olakotne okolnosti
Financijska korist od kršenja, sprečavanje štete
Ključno: Suradnja s nadzornim tijelom, brza reakcija i dokumentirane mjere zaštite mogu značajno smanjiti kaznu. Organizacije koje same prijave povredu i pokažu da su poduzele mjere tipično dobivaju manje kazne.
Kazne za male i srednje tvrtke
Čest je mit da GDPR kazne pogađaju samo velike korporacije. U stvarnosti, male i srednje tvrtke također dobivaju kazne, premda u proporcionalno manjim iznosima.
Veličina tvrtke
Tipične kazne
Primjeri razloga
Mikro (1–9 zaposlenih)
500–5.000 EUR
Nepravilnosti u video nadzoru, nedostatak politike privatnosti
Mala (10–49)
5.000–50.000 EUR
Nedostatna zaštita, obrada bez temelja, neodgovaranje na zahtjeve
Srednja (50–250)
50.000–500.000 EUR
Povrede podataka, nedostatak DPO-a kad je obvezan
Velika (250+)
500.000+ EUR
Sustavna kršenja, nedostatna sigurnost
Primjeri manjih kazni u EU
Zemlja
Kazna
Razlog
Španjolska
1.500 EUR
Kamera usmjerena na javnu površinu
Rumunjska
3.000 EUR
Slanje marketinških e-mailova bez privole
Poljska
5.000 EUR
Nepravodobni odgovor na zahtjev za pristup
Mađarska
11.000 EUR
Neovlašteno otkrivanje podataka zaposlenika
Austrija
18.000 EUR
Nedostatna zaštita u web aplikaciji
Poruka za mala poduzeća: Kazna od 5.000 EUR može biti jednako bolna za malu tvrtku kao kazna od 5 mil. EUR za korporaciju. Proporcionalnost ne znači imunitet — znači razmjernost.
Kako izbjeći GDPR kazne
10 ključnih koraka
#
Korak
Prioritet
1
Odredite pravni temelj za svaku obradu
Kritičan
2
Izradite politiku privatnosti koja je jasna, potpuna i ažurna
Kritičan
3
Odgovarajte na zahtjeve ispitanika u roku od 30 dana
Kritičan
4
Prijavite povrede AZOP-u u 72 sata
Kritičan
5
Vodite evidencije aktivnosti obrade (čl. 30.)
Visok
6
Provedite procjenu učinka (DPIA) za visokorizične obrade
Visok
7
Imenujte DPO-a ako je obvezan
Visok
8
Primijenite tehničke mjere — šifriranje, kontrola pristupa, MFA
Visok
9
Educirajte zaposlenike — redovito i dokumentirano
Srednji
10
Provjerite dobavljače — ugovori o obradi podataka (DPA)
Savjet: Dokumentacija ne mora biti savršena — mora postojati i biti ažurna. Organizacija koja pokaže sustavni pristup i dobru namjeru ima značajno manju šansu za visoku kaznu. Trebate pomoć? Zaštita podataka i GDPR usluge.
Što učiniti ako dobijete kaznu
Vaše opcije
Opcija
Rok
Opis
Prihvatiti kaznu
—
Platiti i provesti tražene korektivne mjere
Uložiti žalbu
30 dana (u Hrvatskoj)
Žalba na Visoki upravni sud
Sudski postupak
Prema nacionalnom pravu
Osporavati pred sudom
Koraci nakon primitka kazne
Analizirajte rješenje — razumijte koje su povrede utvrđene
Procijenite osnovanost — konzultirajte pravnika za zaštitu podataka
Provedite korektivne mjere — bez obzira na žalbu, otklonite utvrđene nedostatke
Dokumentirajte promjene — pokažite da ste poduzeli mjere
Spriječite ponavljanje — ažurirajte politike, procedure i edukaciju
FAQ
Može li AZOP kazniti tvrtku bez prethodnog upozorenja?
Da, GDPR dopušta izravno izricanje kazne. Međutim, u praksi AZOP često prvo izdaje upozorenje ili korektivnu mjeru, a kaznu izriče za teže ili ponovljene povrede.
Kolika je prosječna GDPR kazna?
Prosječna kazna u EU iznosi oko 1,74 mil. EUR (2024.), ali medijan je značajno niži — oko 20.000 EUR. Razlika nastaje zbog nekoliko mega-kazni koje podižu prosjek.
Trebam li se brinuti ako imam malu tvrtku?
Da, ali proporcionalno. Fokusirajte se na osnove: pravni temelji, politika privatnosti, odgovor na zahtjeve ispitanika i sigurnosne mjere. Te mjere ne zahtijevaju velike investicije, a značajno smanjuju rizik.
Utječe li ISO 27001 certifikat na visinu kazne?
ISO 27001 može biti olakotna okolnost jer pokazuje da je organizacija poduzela mjere za zaštitu informacija. Međutim, certifikat sam po sebi ne garantira izbjegavanje kazne.
Što ako ne mogu platiti kaznu?
Nadzorno tijelo uzima u obzir financijsku sposobnost organizacije. U nekim slučajevima moguće je dogovoriti obročno plaćanje ili smanjenje kazne na temelju financijskih okolnosti.
Zaključak
GDPR kazne nisu teorijska prijetnja — to su stvarne financijske sankcije koje pogađaju organizacije svih veličina u cijeloj Europi, uključujući Hrvatsku. Trend je jasan: kazne rastu i po iznosu i po učestalosti.
Ključne poruke: (1) Pravni temelj za svaku obradu je temelj usklađenosti. (2) Dokumentacija je vaša najbolja obrana. (3) Brza reakcija na povrede i zahtjeve ispitanika smanjuje rizik. (4) Suradnja s AZOP-om olakotna je okolnost. (5) Ulaganje u usklađenost košta manje od kazne.
Izvori: GDPR Enforcement Tracker, EDPB, AZOP, GDPR (Uredba EU 2016/679), Zakon o provedbi (NN 42/18)
Ivana Ludiga·Suradnica·mag. iur.
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.
