Što je GDPR? Značenje, zakon i kompletni vodič za 2026.
5. kolovoza 2025.
Ažurirano: 22. veljače 2026.
14 min čitanja
Zaštita podataka
GDPR (Opća uredba o zaštiti podataka) sveobuhvatni je europski zakon koji uređuje prikupljanje, obradu i pohranu osobnih podataka građana EU. Izravno se primjenjuje u Hrvatskoj od 25. svibnja 2018. Vrijedi za sve organizacije koje obrađuju osobne podatke, neovisno o veličini ili lokaciji, s kaznama do 20 milijuna EUR ili 4% globalnog prometa.
Ključne činjenice
GDPR se izravno primjenjuje u Hrvatskoj od 25. svibnja 2018.
Primjenjuje se na sve organizacije koje obrađuju osobne podatke građana EU — neovisno o veličini ili lokaciji.
Kazne dosežu do 20 milijuna EUR ili 4% globalnog godišnjeg prometa.
GDPR jamči 8 temeljnih prava ispitanika, uključujući pravo na brisanje i prenosivost podataka.
Usklađenost nije jednokratni projekt, nego kontinuirani proces koji zahtijeva redovitu reviziju.
GDPR (eng. General Data Protection Regulation) ili Opća uredba o zaštiti podataka (Uredba (EU) 2016/679) je sveobuhvatni europski zakon koji regulira prikupljanje, obradu i pohranu osobnih podataka fizičkih osoba unutar Europske unije i Europskog gospodarskog prostora.
GDPR se izravno primjenjuje u Republici Hrvatskoj i svim državama članicama EU od 25. svibnja 2018. godine. Za razliku od direktiva, uredba ne zahtijeva nacionalnu provedbu jer njezine odredbe vrijede jednako u svim državama članicama.
Značenje GDPR-a za poslovanje: Svaka organizacija koja prikuplja ili obrađuje osobne podatke građana EU — bilo da se radi o imenu klijenta, e-mail adresi zaposlenika ili IP adresi posjetitelja web stranice — mora poštovati GDPR. Kršenje može rezultirati kaznama koje dosežu milijune eura.
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Ključna statistika
Prema podacima Europskog odbora za zaštitu podataka (EDPB), od 2018. do 2025. godine izrečeno je više od 5 milijardi EUR ukupnih kazni temeljem GDPR-a diljem Europe.
Zašto je GDPR donesen?
U posljednjih dvadesetak godina drastično se ubrzao protok podataka. Prethodni zakonodavni okvir iz 1995. godine (Direktiva 95/46/EZ) više nije mogao odgovoriti na izazove digitalnog doba — društvene mreže, računalstvo u oblaku, IoT uređaji i prekogranični protok podataka zahtijevali su moderniji pristup.
Nakon više od četiri godine opsežnih pregovora, Europski parlament i Vijeće donijeli su GDPR s pet glavnih ciljeva:
Zaštititi osobne podatke fizičkih osoba u digitalno doba
Pružiti kontrolu građanima nad njihovim osobnim podacima
Stvoriti ujednačenu razinu zaštite podataka u cijeloj EU
Olakšati poduzećima prekogranično poslovanje na jedinstvenom digitalnom tržištu
Uspostaviti snažan mehanizam provedbe s odvraćajućim kaznama
Zašto je GDPR važan za hrvatska poduzeća u 2026.?
Zaštita osobnih podataka više nije samo pravna obveza — to je poslovna nužnost. U 2026. godini, tri ključna trenda čine GDPR usklađenost kritičnom za hrvatska poduzeća:
Pojačani nadzor AZOP-a. Agencija za zaštitu osobnih podataka pojačava inspekcijske aktivnosti, s posebnim fokusom na digitalni marketing, sustave videonadzora i obradu podataka zaposlenika.
Rastuća svijest građana. Sve više ispitanika koristi svoja prava — zahtjevi za pristup podacima, brisanje i prenosivost postaju svakodnevica za tvrtke svih veličina.
Poslovni partneri zahtijevaju usklađenost. EU poduzeća sve češće traže dokaze o GDPR usklađenosti prije sklapanja ugovora, čineći usklađenost preduvjetom za pristup europskom tržištu.
Zlatno pravilo
GDPR usklađenost nije trošak — to je ulaganje u povjerenje klijenata i konkurentsku prednost. Organizacije koje proaktivno pristupaju zaštiti podataka grade snažniji poslovni ugled i smanjuju rizik od skupih incidenata.
Ključni pokazatelji
72 sata — Rok za prijavu povrede podataka nadzornom tijelu (AZOP)
€20M — Maksimalna kazna za najteže povrede GDPR-a
4% — Alternativna kazna izračunata kao postotak globalnog godišnjeg prometa
8 — Broj temeljnih prava koja GDPR jamči svakom građaninu EU
Osnovni pojmovi koje morate poznavati
Što su osobni podaci?
Prema GDPR-u, osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ("ispitanik"). To uključuje ime, OIB, e-mail, IP adresu, podatke o lokaciji, biometričke podatke i sve identifikatore koji mogu izravno ili neizravno identificirati osobu.
Kategorija
Primjeri
Identifikacijski podaci
Ime, prezime, OIB, broj osobne iskaznice
Kontaktni podaci
Adresa, e-mail, broj telefona
Digitalni identifikatori
IP adresa, kolačići, podaci o lokaciji
Biometrički podaci
Otisak prsta, prepoznavanje lica
Financijski podaci
Bankovni računi, kreditne kartice
Zdravstveni podaci
Dijagnoze, recepti, povijest bolesti
Posebne kategorije osobnih podataka (osjetljivi podaci) uživaju dodatnu zaštitu. To uključuje podatke o rasnom ili etničkom podrijetlu, političkim stajalištima, vjerskim uvjerenjima, sindikalnom članstvu, genetske podatke, biometričke podatke za identifikaciju, podatke o zdravlju te podatke o spolnom životu ili seksualnoj orijentaciji.
Važno
Već sama pohrana popisa klijenata s imenima i e-mail adresama — bilo digitalno ili na papiru — smatra se obradom osobnih podataka prema GDPR-u i podliježe svim obvezama iz Uredbe.
Što NISU osobni podaci: Matični broj pravne osobe (OIB tvrtke), naziv pravne osobe, poštanska adresa tvrtke, e-mail pravne osobe (npr. info@tvrtka.hr) i podaci o umrlim osobama.
Ključni sudionici u obradi podataka
Ispitanik je fizička osoba čiji se identitet može utvrditi izravno ili neizravno — svaka osoba čije podatke netko obrađuje.
Voditelj obrade je fizička ili pravna osoba koja određuje svrhe i sredstva obrade osobnih podataka. Primjeri: poslodavac koji obrađuje podatke zaposlenika, banka koja obrađuje podatke klijenata, web shop koji obrađuje podatke kupaca.
Izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade, prema njegovim uputama. Primjeri: knjigovodstveni servis, pružatelj usluga u oblaku, marketinška agencija koja šalje elektroničke novosti.
Što je obrada osobnih podataka?
Obrada obuhvaća svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima — prikupljanje, bilježenje, organizacija, pohrana, prilagodba, pronalaženje, uvid, uporaba, otkrivanje prijenosom, brisanje ili uništavanje. Obrada može biti automatizirana ili neautomatizirana.
Na koga se GDPR primjenjuje?
Obveznici primjene
Svi poslovni subjekti i pojedinci koji obavljaju bilo kakvu aktivnost prikupljanja i/ili obrade osobnih podataka moraju uskladiti svoje procese s GDPR-om:
Trgovačka društva (d.o.o., d.d., j.d.o.o.)
Obrti i slobodne profesije
Banke i financijske institucije
Bolnice i zdravstvene ustanove
Hoteli i turistički objekti
Marketinške agencije i IT tvrtke
Udruge i neprofitne organizacije
Državna tijela i javne ustanove
Web shopovi i online platforme
GDPR se primjenjuje i na fizičke osobe kad obrađuju osobne podatke izvan okvira isključivo osobne ili kućne aktivnosti — primjerice, fizička osoba koja iznajmljuje apartmanski smještaj i prikuplja podatke gostiju.
Teritorijalna primjena
Scenarij
Primjenjuje se GDPR?
Tvrtka sa sjedištem u EU obrađuje podatke
Da — neovisno o tome gdje se obrada obavlja
Tvrtka izvan EU nudi robu/usluge građanima EU
Da — čak i bez naplate
Tvrtka izvan EU prati ponašanje osoba u EU
Da — npr. praćenje web posjetitelja
Fizička osoba obrađuje podatke za osobne potrebe
Ne — izuzeće za kućne aktivnosti
Primjer iz prakse
Američka SaaS kompanija koja nudi softver hrvatskim poduzećima i pritom prikuplja osobne podatke korisnika mora u potpunosti poštovati GDPR — bez obzira na to što nema fizičku prisutnost u EU.
8 temeljnih prava ispitanika
GDPR jamči građanima EU osam temeljnih prava nad njihovim osobnim podacima. Svaka organizacija mora uspostaviti postupke za ostvarivanje tih prava.
Pravo
Članak
Opis
Pravo na informiranje
čl. 13-14
Organizacije moraju jasno informirati o svrsi, pravnom temelju i trajanju obrade
Pravo na pristup
čl. 15
Ispitanik može zatražiti potvrdu i kopiju svojih podataka
Pravo na ispravak
čl. 16
Ispravak netočnih ili dopuna nepotpunih podataka
Pravo na brisanje
čl. 17
"Pravo na zaborav" — brisanje kad podaci više nisu potrebni
Pravo na ograničenje obrade
čl. 18
Privremeno ograničavanje obrade u spornim situacijama
Pravo na prenosivost
čl. 20
Prijenos podataka u strojno čitljivom formatu drugom voditelju
Pravo na prigovor
čl. 21
Prigovor na obradu, osobito za izravni marketing
Pravo vezano uz automatizirano odlučivanje
čl. 22
Pravo ne biti predmet isključivo automatiziranih odluka
Upozorenje
Organizacije moraju odgovoriti na zahtjev ispitanika u roku od 30 dana. Neodgovaranje ili neopravdano odbijanje zahtjeva može rezultirati pritužbom AZOP-u i potencijalnim kaznama.
Praktični primjeri ostvarivanja prava
Pravo na ispravak: Banka ima pogrešan podatak da ste srčani bolesnik, što utječe na premiju životnog osiguranja. Imate pravo zahtijevati ispravak.
Pravo na brisanje: Možete zatražiti od pretraživača uklanjanje zastarjelih informacija o vama iz rezultata pretraživanja.
Pravo na prenosivost: Mijenjate teleoperatera i želite prenijeti svoje podatke novom operateru u strukturiranom formatu.
Pravo na prigovor: Možete zatražiti da vas tvrtka trajno ukloni s liste za slanje promotivnih materijala.
Automatizirano odlučivanje: Ako vam banka automatski odbije kredit temeljem algoritma, imate pravo zahtijevati ljudsku intervenciju i obrazloženje odluke.
Obveze organizacija prema GDPR-u
7 temeljnih načela obrade podataka
Članak 5. GDPR-a uspostavlja sedam načela koja čine temelj svake zakonite obrade osobnih podataka:
Zakonitost, poštenost i transparentnost — podaci se moraju obrađivati zakonito i transparentno
Ograničavanje svrhe — prikupljeni za određene, izričite i zakonite svrhe
Smanjenje količine podataka — primjereni, relevantni i ograničeni na ono što je nužno
Točnost — točni i ažurni, uz obvezu ispravka netočnih podataka
Ograničenje pohrane — čuvani samo onoliko dugo koliko je potrebno za svrhu
Cjelovitost i povjerljivost — odgovarajuća sigurnost tehničkim i organizacijskim mjerama
Pouzdanost — voditelj obrade mora moći dokazati usklađenost sa svim načelima
Stručni savjet
Načelo pouzdanosti ("accountability") je ono koje organizacije najčešće zanemaruju. Nije dovoljno biti usklađen — morate to moći i dokumentirano dokazati. Bez evidencije aktivnosti obrade, procjena učinka i politika privatnosti, usklađenost postaje nemoguća za dokazati pred regulatorom.
Pravne osnove za obradu
Obrada osobnih podataka zakonita je samo ako se temelji na jednoj od šest pravnih osnova iz članka 6. GDPR-a:
Pravna osnova
Primjer primjene
Napomena
Privola
Newsletter pretplata, kolačići
Mora biti slobodna, specifična, informirana i nedvosmislena
Ugovor
Obrada za isporuku naručenog proizvoda
Samo podaci nužni za izvršenje ugovora
Pravna obveza
Čuvanje računovodstvene dokumentacije
Zakon nalaže obradu
Vitalni interesi
Medicinska hitnoća
Iznimno rijetko primjenjiva osnova
Javni interes
Obrada od strane javnih tijela
Za izvršavanje javnih ovlasti
Legitimni interes
Sprječavanje prijevara, IT sigurnost
Zahtijeva test ravnoteže interesa
Službenik za zaštitu podataka (DPO)
Imenovanje službenika za zaštitu podataka obvezno je za:
Javna tijela i javne ustanove — bez iznimke
Organizacije čija osnovna djelatnost uključuje redovito i sustavno praćenje ispitanika u velikoj mjeri
Organizacije koje obrađuju posebne kategorije podataka u velikoj mjeri
Procjena učinka na zaštitu podataka (DPIA)
DPIA je obvezna kad obrada vjerojatno uzrokuje visoki rizik za prava i slobode pojedinaca. To uključuje sustavno i opsežno profiliranje, obradu osjetljivih podataka u velikoj mjeri i sustavno praćenje javno dostupnih područja.
Obveza prijave povrede podataka
U slučaju povrede osobnih podataka, voditelj obrade mora:
U roku od 72 sata prijaviti povredu nadzornom tijelu (AZOP)
Bez nepotrebnog odlaganja obavijestiti ispitanike ako povreda vjerojatno uzrokuje visoki rizik za njihova prava
GDPR kazne i sankcije
GDPR predviđa dvostupanjski sustav kazni s maksimalnim iznosima do 20 milijuna EUR ili 4% globalnog godišnjeg prometa za teža kršenja, odnosno do 10 milijuna EUR ili 2% za lakša. Od 2018. do danas, regulatori diljem Europe izrekli su ukupno više od 5 milijardi EUR kazni, što GDPR čini jednim od najstrožih regulatornih okvira na svijetu.
Detaljni pregled najvećih kazni, primjera iz prakse i čimbenika koji utječu na visinu kazne pogledajte u našem posebnom članku: GDPR kazne — primjeri i iznosi.
AZOP kao nadzorno tijelo u Hrvatskoj
Agencija za zaštitu osobnih podataka (AZOP) je nezavisno državno tijelo nadležno za nadzor primjene GDPR-a u Republici Hrvatskoj. AZOP ima ovlasti provoditi inspekcijske nadzore, izdavati upozorenja, naređivati usklađivanje obrade i izricati novčane kazne.
Za detaljan vodič o AZOP-u — kontakt podaci, postupak podnošenja pritužbe, Help-Desk i primjeri kazni u Hrvatskoj — pogledajte: AZOP vodič.
Praktični koraci za usklađivanje s GDPR-om
Usklađivanje s GDPR-om zahtijeva sustavni pristup koji obuhvaća mapiranje podataka, ažuriranje dokumentacije, tehničke mjere zaštite, provedbu prava ispitanika i kontinuirano praćenje. Posebno je važno razumjeti specifičnosti primjene u hrvatskom pravnom okviru, uključujući ulogu AZOP-a i Zakona o provedbi (NN 42/18).
Cjeloviti praktični vodič s koracima prilagođenima hrvatskim poduzećima — od mapiranja obrade do pripreme za inspekcijski nadzor — pogledajte u članku: GDPR u Hrvatskoj — vodič za usklađivanje.
Česta pitanja o GDPR-u
Odnosi li se GDPR na moju tvrtku?
Ako prikupljate ili obrađujete osobne podatke građana EU — da, GDPR se odnosi na vašu tvrtku, neovisno o njezinoj veličini. Čak i mikro poduzeća i obrtnici koji prikupljaju podatke klijenata moraju poštovati temeljne obveze.
Moram li imati službenika za zaštitu podataka?
Ne svaka organizacija. DPO je obvezan za javna tijela, organizacije koje sustavno prate ispitanike u velikoj mjeri ili obrađuju osjetljive podatke u velikoj mjeri. Međutim, imenovanje DPO-a preporučuje se i kad nije obvezno.
Koliko dugo mogu čuvati podatke?
Samo onoliko koliko je potrebno za svrhu za koju su prikupljeni. Definirajte konkretne rokove čuvanja za svaku kategoriju podataka u svojoj politici privatnosti i evidenciji aktivnosti obrade.
Što ako dođe do povrede podataka?
Morate prijaviti povredu AZOP-u u roku od 72 sata od saznanja. Ako povreda predstavlja visoki rizik za prava ispitanika, morate bez nepotrebnog odlaganja obavijestiti i same ispitanike.
Kako dobiti privolu koja je u skladu s GDPR-om?
Valjana privola mora biti:
Slobodna — bez prisile ili negativnih posljedica za odbijanje
Specifična — za konkretnu, jasno definiranu svrhu
Informirana — ispitanik razumije za što daje privolu
Nedvosmislena — jasna afirmativna radnja (unaprijed označeni okviri nisu dopušteni)
Jednostavna za povlačenje — povlačenje mora biti jednako jednostavno kao davanje privole
Zaključak
GDPR nije samo pravna obveza, nego i strateška prilika za izgradnju povjerenja s klijentima, partnerima i zaposlenicima. U 2026. godini, zaštita osobnih podataka postala je ključni faktor poslovnog ugleda i preduvjet za pristup europskom tržištu.
Organizacije koje ozbiljno shvaćaju zakon o zaštiti osobnih podataka grade konkurentsku prednost, smanjuju rizik od skupih incidenata i kazni te demonstriraju odgovornost prema svim dionicima.
Ključno je razumjeti da usklađenost s GDPR-om nije jednokratni projekt, nego kontinuirani proces koji zahtijeva redovito preispitivanje, prilagodbu i ulaganje u ljude, procese i tehnologiju.
Strateški zaključci za 2026.
Dokumentacija je dokaz. Bez evidencije aktivnosti obrade i procjena učinka, usklađenost je nemoguće dokazati.
Prava ispitanika su operativni prioritet. Uspostavite automatizirane postupke za obradu zahtjeva.
Edukacija je kontinuirana. Ljudska pogreška ostaje najčešći uzrok povreda podataka.
Proaktivni pristup štedi. Troškovi usklađivanja značajno su manji od potencijalnih kazni i gubitka ugleda.
Trebate pomoć s GDPR usklađenošću?
Vision Compliance nudi stručno savjetovanje za usklađivanje s GDPR-om u Hrvatskoj i EU:
GDPR procjena — Analiza trenutnog stanja i gap analiza
Izrada dokumentacije — Politike privatnosti, privole, ugovori o obradi
DPO podrška — Vanjski službenik za zaštitu podataka
Edukacija zaposlenika — Radionice i treninzi prilagođeni vašoj industriji
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.
