Zadnje ažuriranje: 30. ožujka 2026.
Vrijeme čitanja: 15 minuta.
Želite izbjeći AZOP kazne? Pregledajte naše GDPR tečajeve ili kontaktirajte nas za procjenu usklađenosti vaše tvrtke.
Izvršni sažetak
- godina označila je prekretnicu u AZOP-ovom pristupu provođenju GDPR-a u Hrvatskoj. Nakon godina relativno niskih kazni, AZOP je dramatično pojačao enforcement, i to ne u broju kazni, nego u njihovim iznosima.
Prema AZOP-ovim podacima, u 2025. godini izrečeno je 13 kazni u ukupnom iznosu od 6.725.500 eura. Za usporedbu, u cijeloj 2024. godini izrečeno je 38 kazni u ukupnom iznosu od samo 538.200 eura.
Prosječna kazna porasla je s 14.163 eura (2024.) na 517.346 eura (2025.), porast od 36 puta.
Poruka je jasna: AZOP više ne tolerira formalna kršenja s simboličnim kaznama. Pristup je sada usklađen s europskom praksom, ciljane inspekcije velikih tvrtki s visokim kaznama koje služe kao odvraćajući primjer.
"Samo u zadnjih godinu dana izrečene su kazne u iznosu od 8,27 milijuna eura."
, Netokracija, povodom 20 godina AZOP-a
AZOP kazne 2025: potpuni pregled
Najveće kazne u 2025.
| Redni br. | Tvrtka/sektor | Iznos kazne | Kršenje |
|---|---|---|---|
| 1. | Telemach Hrvatska (teleoperator) | 4.500.000 € | Nezakonita obrada osobnih dokumenata zaposlenika |
| 2. | Erste&Steiermärkische banka | 1.500.000 € | Skeniranje instaliranih aplikacija s mobitela klijenata |
| 3. | Sportska kladionica | 175.000 € | Neadekvatne tehničke mjere zaštite |
| 4. | Hrvatski ured za osiguranje (HUO) | 101.000 € | Kršenje GDPR odredbi |
| 5-13. | Različiti subjekti | ~449.500 € | Razna kršenja (video nadzor, kolačići, neovlaštena obrada) |
Ukupna statistika
| Pokazatelj | 2024. | 2025. | Promjena |
|---|---|---|---|
| Broj kazni | 38 | 13 | -66% |
| Ukupni iznos | 538.200 € | 6.725.500 € | +1.149% |
| Prosječna kazna | 14.163 € | 517.346 € | +3.553% |
| Najveća pojedinačna | ~80.000 € | 4.500.000 € | +5.525% |
Slučaj Telemach: 4,5 milijuna eura
Što se dogodilo
AZOP je izrekao kaznu od 4,5 milijuna eura teleoperatoru Telemach Hrvatska zbog kršenja više odredbi GDPR-a.
Ključna kršenja:
- Obrada kopija osobnih dokumenata zaposlenika (osobne iskaznice, potvrde iz kaznene evidencije) bez valjane pravne osnove
- Nedostatak odgovarajuće prethodne kontrole obrađivača podataka
- Podaci gotovo 900.000 korisnika bili su potencijalno ugroženi
Reakcija tvrtke
Telemach je odbacio navode AZOP-a, izjavivši da "korisnički podaci u Hrvatskoj su sigurni" i da "nije bilo curenja podataka". Tvrtka je najavila pokretanje upravnog spora.
Naučene lekcije
- Pravna osnova za obradu podataka zaposlenika, poslodavci ne mogu kopirati osobne dokumente zaposlenika "za svaki slučaj". Potrebna je jasna pravna osnova i svrha.
- Kontrola obrađivača, tvrtka mora provjeriti i nadzirati kako vanjski obrađivači postupaju s osobnim podacima.
- Opseg ne umanjuje odgovornost, čak i bez potvrđenog curenja, sam čin nezakonite obrade dovodi do kazne.
Slučaj Erste banka: 1,5 milijuna eura
Što se dogodilo
AZOP je kaznio Erste&Steiermärkische banku s 1,5 milijuna eura jer je banka putem mobilne aplikacije prikupljala popise svih instaliranih aplikacija s mobitela 433.922 klijenta, bez pravne osnove i bez odgovarajuće transparentnosti.
Ključna kršenja:
- Prikupljanje podataka bez pravne osnove, aplikacija je skenirala sve instalirane aplikacije na mobilnom uređaju korisnika
- Nedostatak transparentnosti, korisnici nisu bili adekvatno informirani o ovoj obradi
- Kršenje načela minimizacije podataka, prikupljani su podaci koji nisu bili nužni za pružanje bankarske usluge
Reakcija tvrtke
Erste banka je najavila da će "iskoristiti sva sredstva kako bi zaštitili svoje interese" i pokrenula je upravni spor pred nadležnim sudom.
Naučene lekcije
- Mobilne aplikacije su visokorezično područje, sve što aplikacija prikuplja s uređaja korisnika mora imati jasnu pravnu osnovu i svrhu
- Načelo minimizacije, prikupljajte samo podatke koji su nužni za uslugu koju pružate
- Informiranje korisnika, politika privatnosti mora jasno opisati sve obrade, posebno one koje uključuju podatke s uređaja
- Broj pogođenih osoba, 433.922 klijenata značajno je otegotna okolnost pri određivanju kazne
Slučaj HUO i sportske kladionice: 350.500 eura
Što se dogodilo
U jednom krugu odluka, AZOP je izrekao osam kazni u ukupnom iznosu od 350.500 eura:
- Hrvatski ured za osiguranje (HUO), 101.000 eura
- Sportska kladionica, 175.000 eura za nepoduzimanje tehničkih mjera zaštite i nepropisno čuvanje osobnih podataka
- Šest manjih kazni, za razna kršenja uključujući nepravilno označavanje video nadzora
Naučene lekcije
- Tehničke mjere zaštite nisu opcija, AZOP kažnjava i za nedostatak tehničkih mjera, ne samo za curenje podataka
- Video nadzor, čest razlog za kazne. Svaki sustav video nadzora mora biti pravilno označen, s jasnom svrhom i rokom čuvanja snimki
- Sektor kockanja i klađenja, posebno pod nadzorom zbog velike količine osobnih podataka korisnika
Trend: usporedba 2024. i 2025.
Evolucija AZOP-ovih kazni
| Godina | Broj kazni | Ukupni iznos | Prosječna kazna | Najveća kazna |
|---|---|---|---|---|
| 2020. | 2 | ~50.000 € | ~25.000 € | ~30.000 € |
| 2021. | 5 | ~100.000 € | ~20.000 € | ~30.000 € |
| 2022. | 8 | ~200.000 € | ~25.000 € | ~80.000 € |
| 2023. | 13 | 2.300.000 € | 176.923 € | 2.260.000 € |
| 2024. | 38 | 538.200 € | 14.163 € | ~80.000 € |
| 2025. | 13 | 6.725.500 € | 517.346 € | 4.500.000 € |
Što nam govore brojke
2023. je bila godina B2 Kapitala (2,26 mil. €), jedna velika kazna podigla je ukupni iznos.
2024. je bila godina masovnog kažnjavanja, 38 kazni, ali relativno niskih iznosa. AZOP se fokusirao na širok raspon manjih kršitelja.
2025. je godina velikih igrača, manje kazni, ali ciljano na velike tvrtke (telekomi, banke, osiguranja) s visokim iznosima.
Zaključak: AZOP je prešao s pristupa "kazniti što više kršitelja" na pristup "kazniti ozbiljno one koji najviše krše". Ovo je usklađeno s europskim trendom gdje nadzorna tijela fokusiraju resurse na slučajeve s najvećim utjecajem.
Najčešća kršenja koja vode do kazni
Na temelju analize svih AZOP-ovih kazni, ovo su najčešći razlozi:
1. Obrada bez valjane pravne osnove
Tvrtke obrađuju podatke bez jedne od šest zakonskih osnova iz članka 6 GDPR-a. Najčešće: prikupljanje podataka "za svaki slučaj", obrada podataka zaposlenika bez jasne svrhe, korištenje podataka za svrhe za koje nisu prikupljeni.
2. Neadekvatne tehničke mjere zaštite
Nedostatak enkripcije, slabe kontrole pristupa, nezaštićene baze podataka, nepravilan backup. AZOP kažnjava i ako do curenja nije došlo, sam nedostatak mjera je kršenje.
3. Kršenje načela transparentnosti
Korisnici nisu adekvatno informirani o tome kako se njihovi podaci obrađuju. Politike privatnosti su nepotpune, teško razumljive ili nedostupne.
4. Nepravilno upravljanje pristankom
Unaprijed označeni checkboxi, privola za sve svrhe odjednom, otežano povlačenje privole. Detaljnije o pravilnom prikupljanju pristanka u našem vodiču o GDPR privoli.
5. Video nadzor bez pravilne dokumentacije
Nepravilno označavanje kamera, pretjerano čuvanje snimki, nedostatak procjene utjecaja na zaštitu podataka. Ovo je daleko najčešće kršenje po broju kazni.
6. Nepravilna obrada podataka zaposlenika
Kopiranje osobnih dokumenata, prekomjerni nadzor, obrada zdravstvenih podataka bez zakonske osnove.
Kazne po sektorima
| Sektor | Broj kazni (2024-2025) | Trend |
|---|---|---|
| Telekomunikacije | Visok iznos, nizak broj | Rastući (Telemach 4,5M€) |
| Bankarstvo i financije | Visok iznos | Rastući (Erste 1,5M€) |
| Kockanje i klađenje | Srednji iznos, čest | Stabilan |
| Osiguranje | Srednji iznos | Rastući (HUO 101K€) |
| Javni sektor | Nizak iznos, opomene | Stabilan |
| Maloprodaja i usluge | Nizak iznos, čest | Stabilan |
| Zdravstvo | Nizak broj | Potencijalno rastući |
Što možemo naučiti iz ovih slučajeva
Lekcija 1: Mobilne aplikacije i digitalni kanali su pod povećalom
I Telemach i Erste banka kažnjeni su za probleme vezane uz digitalne kanale (mobilna aplikacija, obrada digitalnih dokumenata). Svaka tvrtka koja ima mobilnu aplikaciju ili digitalni servis mora provjeriti:
- Koje podatke aplikacija prikuplja s uređaja korisnika
- Postoji li jasna pravna osnova za svaku obradu
- Jesu li korisnici transparentno informirani
Lekcija 2: Podaci zaposlenika nisu manje zaštićeni
Telemachova kazna uključuje obradu podataka zaposlenika. Poslodavci često podcjenjuju GDPR obveze prema zaposlenicima, kopiraju osobne iskaznice, prikupljaju potvrde iz kaznene evidencije bez jasne osnove, pretjerano nadziru zaposlenike. Sve ovo podliježe istim pravilima kao i obrada podataka klijenata.
Lekcija 3: Broj pogođenih osoba dramatično utječe na kaznu
Erste, 433.922 klijenata → 1,5 mil. €. Telemach, 900.000 korisnika → 4,5 mil. €. Manje tvrtke s manjim brojem pogođenih osoba dobivaju proporcionalno niže kazne.
Lekcija 4: Tehničke mjere nisu opcija
AZOP kažnjava i za nedostatak tehničkih mjera zaštite, čak i ako do curenja podataka nije došlo. Sama činjenica da mjere nisu na mjestu je kršenje članka 32 GDPR-a.
Lekcija 5: Žalba ne ukida obvezu plaćanja
I Telemach i Erste najavili su pravne korake, ali kazne su izrečene. Upravni spor može trajati godinama. U međuvremenu, reputacijska šteta je nastala, medijski napisi sa "4,5 milijuna eura kazne" već su objavljeni.
Kako zaštititi svoju tvrtku
Prioritetne mjere
- Provedite inventuru obrade podataka, Znate li točno koje osobne podatke prikupljate, zašto i na kojoj pravnoj osnovi?
- Provjerite mobilne aplikacije i digitalne kanale, Koje podatke vaša aplikacija prikuplja s korisničkih uređaja?
- Revidirajte obradu podataka zaposlenika, Kopirate li osobne dokumente? Imate li pravnu osnovu?
- Osigurajte tehničke mjere, Enkripcija, kontrole pristupa, redoviti sigurnosni pregledi
- Educirajte zaposlenike, Kibernetička sigurnost i zaštita podataka moraju biti dio redovite edukacije
- Ažurirajte politiku privatnosti, Transparentno opišite sve obrade podataka
- Provjerite dobavljače, Imate li ugovore o obradi podataka sa svim obrađivačima?
Kontrolna lista za prevenciju
| Mjera | Provjereno | Status |
|---|---|---|
| Evidencija obrade podataka (čl. 30) | ☐ | |
| Pravna osnova za svaku obradu (čl. 6) | ☐ | |
| Politika privatnosti ažurirana (čl. 13-14) | ☐ | |
| Tehničke mjere zaštite (čl. 32) | ☐ | |
| Ugovori s obrađivačima (čl. 28) | ☐ | |
| Proces upravljanja privolama | ☐ | |
| Video nadzor pravilno označen | ☐ | |
| Obrada podataka zaposlenika dokumentirana | ☐ | |
| Mobilna aplikacija provjerena | ☐ | |
| DPO imenovan (ako je primjenjivo) | ☐ | |
| Edukacija zaposlenika provedena | ☐ | |
| Procjena utjecaja za rizične obrade (čl. 35) | ☐ |
Često postavljana pitanja
Je li AZOP pojačao enforcement u 2025.?
Da, drastično. Ukupni iznos kazni u 2025. (6,7 mil. €) je 12 puta veći nego u cijeloj 2024. (538.200 €). AZOP se fokusirao na manje, ali značajnije slučajeve.
Može li moja tvrtka dobiti kaznu od nekoliko milijuna eura?
Maksimalne kazne prema GDPR-u iznose do 20 milijuna eura ili 4% globalnog prometa. U praksi, AZOP visoke kazne izriče velikim tvrtkama s velikim brojem pogođenih osoba. Male tvrtke obično dobivaju kazne u rasponu od 5.000 do 50.000 eura.
Što učiniti ako AZOP pokrene postupak protiv moje tvrtke?
Surađujte u potpunosti. Suradnja tijekom istrage je olakotna okolnost. Odmah angažirajte pravnog savjetnika specijaliziranog za zaštitu podataka. Dokumentirajte sve mjere koje poduzimate za ispravljanje kršenja.
Mogu li se žaliti na AZOP-ovu kaznu?
Da. Možete pokrenuti upravni spor pred Visokim upravnim sudom. Međutim, žalba ne odgađa automatski izvršenje kazne. Postupak može trajati godinama.
Koje su najčešće greške koje dovode do AZOP kazni?
Obrada bez pravne osnove, neadekvatne tehničke mjere, nepravilan video nadzor, nepoštivanje prava ispitanika i nedostatak ugovora s obrađivačima. Detaljnije u našem vodiču o prava ispitanika.
Kažnjava li AZOP i javni sektor?
Da. AZOP je izdao opomenu Gradu Zagrebu i zabranio obradu nakon javne objave osobnih podataka više od tisuću ispitanika. Javni sektor nije imun na kazne.
Koliko traje AZOP-ova inspekcija?
Inspekcija može trajati od nekoliko tjedana do nekoliko mjeseci, ovisno o složenosti slučaja. AZOP može pokrenuti inspekciju na temelju pritužbe građana ili vlastite inicijative.
Moram li prijaviti povredu podataka AZOP-u?
Da, ako povreda predstavlja rizik za prava pojedinaca. Rok je 72 sata od saznanja. Nepoštivanje roka za prijavu samo po sebi može rezultirati kaznom.
Utječe li broj pogođenih osoba na visinu kazne?
Da, značajno. Telemach (900.000 korisnika) kažnjen je s 4,5 mil. €, Erste (433.922 klijenata) s 1,5 mil. €. Broj pogođenih osoba je jedan od ključnih faktora pri određivanju kazne prema članku 83(2) GDPR-a.
Može li edukacija zaposlenika smanjiti rizik od kazne?
Da. Dokumentirani program edukacije o zaštiti podataka smatra se odgovarajućom organizacijskom mjerom (čl. 24 i 32 GDPR-a) i može biti olakotna okolnost ako do kršenja ipak dođe.
Izvori
- AZOP: Upravne novčane kazne, potpuni registar, službeni popis svih izrečenih kazni
- AZOP: Osam kazni u iznosu od 350.500 eura, odluka o HUO i kladionici
- N1: AZOP kazna Telemachu od 4,5 milijuna eura, medijski izvještaj
- HRT: Erste banka kažnjena s 1,5 mil. eura, medijski izvještaj
- Netokracija: 20 godina AZOP-a, pregled 20 godina rada AZOP-a
- GDPR, Uredba (EU) 2016/679 (EUR-Lex), puni tekst GDPR-a
- Index.hr: Telemach kažnjen s 4,5 milijuna eura, reakcija tvrtke
- Index.hr: Erste banka kažnjena s 1,5 milijuna eura, detalji slučaja
Ne čekajte da AZOP pokuca na vrata. CompliQuest nudi GDPR edukaciju za zaposlenike, procjenu usklađenosti i prilagođene programe za tvrtke svih veličina.
Pregledajte naše GDPR tečajeve | Kontaktirajte nas
Povezani članci
- GDPR privola: Kako pravilno prikupiti pristanak
- Prava ispitanika prema GDPR-u: Vodič za tvrtke
- Pojmovnik: Compliance termini i definicije
- Kibernetička sigurnost: Vodič za zaposlenike
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake specijalizirane za zaštitu osobnih podataka.