Što je GDPR? Kompletni vodič za 2026. godinu

GDPR (eng. General Data Protection Regulation) ili Opća uredba o zaštiti podataka je europski zakon koji štiti osobne podatke svih građana EU. U ovom vodiču objašnjavamo sve što trebate znati o GDPR-u u Hrvatskoj - od osnovnih definicija do praktičnih koraka za usklađivanje.

Što je GDPR i zašto je važan?

Opća uredba o zaštiti podataka (UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016.) je sveobuhvatni zakonodavni okvir za zaštitu osobnih podataka koji se izravno primjenjuje u Republici Hrvatskoj i svim državama članicama Europske unije od 25. svibnja 2018. godine.

Zašto je GDPR nastao?

U posljednjih dvadesetak godina drastično se ubrzao protok podataka, a količine podataka koje se svakodnevno generiraju mjere se u terabajtima. Tehnološki napredak i globalizacija u potpunosti su izmijenili načine prikupljanja i korištenja osobnih podataka.

Prethodni zakonodavni okvir iz 1995. godine (Direktiva 95/46/EZ) više nije mogao odgovoriti na izazove digitalnog doba, pa je nakon gotovo tri godine opsežnih pregovora donesena nova Uredba.

Glavni ciljevi GDPR-a

1. Zaštititi osobne podatke fizičkih osoba
2. Pružiti kontrolu građanima nad njihovim osobnim podacima
3. Stvoriti ujednačenu razinu zaštite podataka u cijeloj EU
4. Olakšati poduzećima poslovanje na jedinstvenom digitalnom tržištu
5. Olakšati prekogranični protok osobnih podataka

Osnovni pojmovi koje morate poznavati

Što su osobni podaci?

Prema GDPR-u, osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ("ispitanik"). Pojedinac se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su:

Primjeri osobnih podataka:

• Ime i prezime
• Adresa stanovanja
• E-mail adresa
• Broj telefona
• OIB (osobni identifikacijski broj)
• IP adresa
• Podaci o lokaciji
• Podaci o zdravlju
• Broj osobne iskaznice ili putovnice
• Bankovni računi
• Fotografije osobe
• Biometrički podaci (otisak prsta, prepoznavanje lica)

Posebne kategorije osobnih podataka (osjetljivi podaci):

• Rasno ili etničko podrijetlo
• Politička stajališta
• Vjerska ili druga uvjerenja
• Sindikalno članstvo
• Genetski podaci
• Biometrički podaci za identifikaciju
• Podaci o zdravlju
• Podaci o spolnom životu ili seksualnoj orijentaciji

Što NISU osobni podaci:

• Matični broj pravne osobe (OIB tvrtke)
• Naziv pravne osobe
• Poštanska adresa pravne osobe
• E-mail pravne osobe (npr. info@tvrtka.hr)
• Financijski podaci pravne osobe
• Podaci o umrlim osobama

Tko je ispitanik?

Ispitanik je fizička osoba čiji se identitet može utvrditi izravno ili neizravno. Drugim riječima - to ste Vi, ja i svaka druga osoba čije podatke netko obrađuje.

Tko je voditelj obrade?

Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje određuje svrhe i sredstva obrade osobnih podataka.

Primjeri voditelja obrade:

• Poslodavac koji obrađuje podatke svojih zaposlenika
• Banka koja obrađuje podatke klijenata
• Bolnica koja obrađuje podatke pacijenata
• Web shop koji obrađuje podatke kupaca
• Udruga koja obrađuje podatke članova
• Iznajmljivač apartmana

Tko je izvršitelj obrade?

Izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom s voditeljem obrade.

Primjeri izvršitelja obrade:

• Knjigovodstveni servis koji obrađuje plaće za poslodavca
• Cloud provider koji pohranjuje podatke za klijenta
• Marketing agencija koja šalje newslettere u ime tvrtke
• IT tvrtka koja održava sustav s osobnim podacima

Što je obrada osobnih podataka?

Obrada obuhvaća svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima, bilo automatiziranim bilo neautomatiziranim sredstvima:

• Prikupljanje
• Bilježenje
• Organizacija
• Strukturiranje
• Pohrana
• Prilagodba ili izmjena
• Pronalaženje
• Obavljanje uvida
• Uporaba
• Otkrivanje prijenosom
• Širenje ili stavljanje na raspolaganje
• Usklađivanje ili kombiniranje
• Ograničavanje
• Brisanje ili uništavanje

Važno: Već sama pohrana popisa klijenata s imenima i e-mail adresama (digitalno ili na papiru) smatra se obradom osobnih podataka!

Na koga se GDPR primjenjuje?

Obveznici primjene GDPR-a

Svi poslovni subjekti i pojedinci koji obavljaju bilo kakvu aktivnost prikupljanja i/ili obrade osobnih podataka moraju uskladiti svoje poslovne procese s GDPR-om:

• Trgovačka društva (d.o.o., d.d., j.d.o.o.)
• Obrti
• Banke i financijske institucije
• Bolnice i zdravstvene ustanove
• Osiguravajuća društva
• Hoteli i turistički objekti
• Marketinške agencije
• Udruge i neprofitne organizacije
• Državna tijela i javne ustanove
• Web shopovi i online platforme
• Društvene mreže

Fizičke osobe kao voditelji obrade

GDPR se primjenjuje i na fizičke osobe kad obrađuju osobne podatke izvan okvira isključivo osobne ili kućne aktivnosti te ako je obrada povezana s profesionalnom ili komercijalnom djelatnošću.

Primjer: Fizička osoba koja iznajmljuje apartmanski smještaj i prikuplja podatke gostiju.

Teritorijalna primjena

GDPR se primjenjuje na:

1. Sve voditelje i izvršitelje obrade s poslovnim nastanom u EU - neovisno o tome obavlja li se sama obrada u Europskoj uniji

2. Voditelje i izvršitelje izvan EU koji nude robu ili usluge građanima EU ili prate njihovo ponašanje

Primjer: Američka tehnološka kompanija koja nudi usluge građanima EU mora poštovati GDPR.

8 Temeljnih prava ispitanika

GDPR jamči građanima sljedeća prava:

1. Pravo na informiranje (članci 13. i 14.)

Organizacije vas moraju na jasan i sažet način informirati o uporabi vaših podataka:

• Za koju svrhu će se podaci koristiti
• Koji je pravni temelj za obradu
• Koliko dugo će podaci biti pohranjeni
• S kime će se podaci dijeliti
• Hoće li se podaci prenositi izvan EU
• Kako povući privolu
• Kontakt podaci voditelja obrade

2. Pravo na pristup (članak 15.)

Imate pravo dobiti potvrdu obrađuju li se vaši osobni podaci te, ako da, pristupiti tim podacima i dobiti informacije o:

• Svrhama obrade
• Kategorijama osobnih podataka
• Primateljima podataka
• Predviđenom razdoblju pohrane
• Postojanju prava na ispravak ili brisanje

3. Pravo na ispravak (članak 16.)

Imate pravo zatražiti ispravak netočnih podataka i dopunjavanje nepotpunih podataka.

Primjer: Banka ima pogrešan podatak da ste srčani bolesnik, što utječe na premiju životnog osiguranja. Imate pravo tražiti ispravak.

4. Pravo na brisanje - "pravo na zaborav" (članak 17.)

Možete zatražiti brisanje svojih podataka ako:

• Podaci više nisu potrebni za svrhu za koju su prikupljeni
• Povučete privolu i nema druge pravne osnove
• Uložite prigovor na obradu
• Podaci su nezakonito obrađeni
• Brisanje je potrebno radi ispunjenja pravne obveze

Primjer: Možete zatražiti od Google-a uklanjanje zastarjelih informacija o vama iz rezultata pretraživanja.

5. Pravo na ograničenje obrade (članak 18.)

Možete zatražiti ograničenje obrade ako:

• Osporavate točnost podataka
• Obrada je nezakonita, ali protivite se brisanju
• Voditelj više ne treba podatke, ali vi ih trebate za pravne zahtjeve
• Uložili ste prigovor na obradu

6. Pravo na prenosivost podataka (članak 20.)

Imate pravo primiti svoje osobne podatke u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ih prenijeti drugom voditelju obrade.

Primjer: Mijenjate teleoperatera i želite prenijeti svoje podatke novom operateru.

7. Pravo na prigovor (članak 21.)

Možete uložiti prigovor na obradu vaših podataka, osobito:

• Kad se podaci obrađuju za izvršavanje zadaća od javnog interesa
• Kad se temelji na legitimnom interesu
• Za potrebe izravnog marketinga

Primjer: Možete zatražiti da vas tvrtka ukloni s liste za slanje promotivnih materijala.

8. Pravo u vezi automatiziranog donošenja odluka (članak 22.)

Imate pravo ne biti predmet odluke koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja na vas značajno utječe.

Primjer: Ako vam banka automatski odbije kredit temeljem algoritma, imate pravo tražiti ljudsku intervenciju i obrazloženje.

Obveze organizacija prema GDPR-u

Temeljna načela obrade (članak 5.)

Svaka obrada osobnih podataka mora poštovati:

1. Zakonitost, poštenost i transparentnost - podaci se moraju obrađivati zakonito i transparentno
2. Ograničavanje svrhe - prikupljeni za određene, izričite i zakonite svrhe
3. Smanjenje količine podataka - primjereni, relevantni i ograničeni na ono što je nužno
4. Točnost - točni i ažurni
5. Ograničenje pohrane - čuvani samo onoliko dugo koliko je potrebno
6. Cjelovitost i povjerljivost - odgovarajuća sigurnost podataka
7. Pouzdanost - voditelj obrade mora moći dokazati usklađenost

Pravne osnove za obradu (članak 6.)

Obrada osobnih podataka zakonita je samo ako se temelji na jednoj od sljedećih osnova:

Pravna osnova	Primjer
Privola	Newsletter pretplata
Ugovor	Obrada podataka za isporuku naručenog proizvoda
Pravna obveza	Čuvanje računovodstvene dokumentacije
Vitalni interesi	Medicinska hitnoća
Javni interes	Obrada od strane javnih tijela
Legitimni interes	Sprječavanje prijevara

Službenik za zaštitu podataka (DPO)

Imenovanje službenika za zaštitu podataka obvezno je za:

• Javna tijela i javne ustanove
• Organizacije čija osnovna djelatnost uključuje redovito i sustavno praćenje ispitanika
• Organizacije koje obrađuju posebne kategorije podataka u velikoj mjeri

Evidencija aktivnosti obrade

Voditelji i izvršitelji obrade s više od 250 zaposlenika, ili koji obrađuju osjetljive podatke, moraju voditi evidenciju aktivnosti obrade.

Procjena učinka na zaštitu podataka (DPIA)

DPIA je obvezna kad obrada vjerojatno uzrokuje visoki rizik za prava i slobode pojedinaca, osobito kod:

• Sustavnog i opsežnog profiliranja
• Obrade posebnih kategorija podataka u velikoj mjeri
• Sustavnog praćenja javno dostupnih područja u velikoj mjeri

Obveza prijave povrede podataka

U slučaju povrede osobnih podataka, voditelj obrade mora:

• U roku od 72 sata prijaviti povredu nadzornom tijelu (AZOP)
• Obavijestiti ispitanike ako povreda vjerojatno uzrokuje visoki rizik za njihova prava

GDPR kazne i sankcije

GDPR predviđa značajne kazne za neusklađenost:

Niža razina kazni (članak 83. stavak 4.)

• Do 10 milijuna EUR ili
• Do 2% ukupnog godišnjeg prometa (ovisno što je veće)

Za povrede odredbi o:

• Obvezama voditelja i izvršitelja obrade
• Certifikacijskom tijelu
• Tijelu za praćenje

Viša razina kazni (članak 83. stavak 5.)

• Do 20 milijuna EUR ili
• Do 4% ukupnog godišnjeg prometa (ovisno što je veće)

Za povrede:

• Temeljnih načela obrade
• Prava ispitanika
• Prijenosa podataka u treće zemlje
• Naredbi nadzornog tijela

AZOP kao nadzorno tijelo u Hrvatskoj

Agencija za zaštitu osobnih podataka (AZOP) je nezavisno državno tijelo nadležno za nadzor primjene GDPR-a u Hrvatskoj.

AZOP ima ovlasti:

• Provoditi inspekcijske nadzore
• Izdavati upozorenja i opomene
• Naređivati usklađivanje
• Izricati novčane kazne
• Privremeno ili trajno ograničiti obradu

Praktični koraci za usklađivanje s GDPR-om

Korak 1: Mapiranje podataka

• Identificirajte sve osobne podatke koje prikupljate
• Dokumentirajte svrhe obrade
• Identificirajte pravne osnove
• Mapirati tokove podataka

Korak 2: Ažuriranje dokumentacije

• Izjava o privatnosti (Privacy Policy)
• Politika kolačića
• Uvjeti korištenja
• Obrasci privole
• Ugovori o obradi podataka

Korak 3: Tehničke i organizacijske mjere

• Enkripcija podataka
• Kontrola pristupa
• Redovite sigurnosne kopije
• Edukacija zaposlenika
• Plan odgovora na incidente

Korak 4: Implementacija prava ispitanika

• Postupak za pristup podacima
• Postupak za brisanje
• Postupak za ispravak
• Postupak za prijenos podataka

Korak 5: Kontinuirano praćenje

• Redovite revizije usklađenosti
• Ažuriranje dokumentacije
• Praćenje regulatornih promjena
• Edukacija i osvještavanje

Česta pitanja o GDPR-u

Odnosi li se GDPR na moju tvrtku?

Ako prikupljate ili obrađujete osobne podatke građana EU - da, GDPR se odnosi na vašu tvrtku, neovisno o veličini.

Moram li imati službenika za zaštitu podataka?

Ne svaka organizacija. DPO je obvezan za javna tijela, organizacije koje sustavno prate ispitanike u velikoj mjeri, ili obrađuju osjetljive podatke.

Koliko dugo mogu čuvati podatke?

Samo onoliko koliko je potrebno za svrhu za koju su prikupljeni. Definirajte rokove čuvanja u svojoj politici privatnosti.

Što ako dođe do povrede podataka?

Morate prijaviti povredu AZOP-u u roku od 72 sata i obavijestiti ispitanike ako postoji visoki rizik za njihova prava.

Kako dobiti privolu koja je u skladu s GDPR-om?

Privola mora biti:

• Slobodna (bez prisile)
• Specifična (za konkretnu svrhu)
• Informirana (ispitanik razumije za što daje privolu)
• Nedvosmislena (jasna afirmativna radnja)
• Jednostavna za povlačenje

Zaključak

GDPR nije samo pravna obveza - to je prilika za izgradnju povjerenja s klijentima i partnerima. Organizacije koje ozbiljno shvaćaju zaštitu podataka grade konkurentsku prednost i smanjuju rizik od skupih incidenata i kazni.

Ključno je razumjeti da usklađenost s GDPR-om nije jednokratni projekt, već kontinuirani proces koji zahtijeva redovito preispitivanje i prilagodbu.

---

Trebate pomoć s GDPR usklađenošću?

Vision Compliance nudi stručno savjetovanje za usklađivanje s GDPR-om:

• GDPR procjena - Analiza trenutnog stanja i gap analiza
• Izrada dokumentacije - Politike privatnosti, privole, ugovori
• DPO podrška - Vanjski službenik za zaštitu podataka
• Edukacija zaposlenika - Radionice i treninzi
• Odgovor na incidente - Pomoć kod povreda podataka

Zatražite besplatne konzultacije →

---

Izvori:

• Opća uredba o zaštiti podataka (GDPR) - EUR-Lex
• Agencija za zaštitu osobnih podataka (AZOP)
• Prava ispitanika - AZOP
• Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18)