Data Protection

|13 min

AZOP kazne 2025: Pregled i analiza najnovijih slučajeva

AZOP je u 2025. godini izrekao 13 kazni u ukupnom iznosu od 6,7 milijuna eura — gotovo 12 puta više nego cijele 2024. godine. Telemach kažnjen s 4,5 milijuna eura, Erste banka s 1,5 milijuna. Ovaj članak analizira najveće slučajeve, najčešća kršenja i što tvrtke mogu naučiti iz tuđih grešaka.

Ana Horvat

Stručnjakinja za zaštitu podataka

30. ožujka 2026.

AZOP kazne 2025: Pregled i analiza najnovijih slučajeva

Zadnje ažuriranje: 30. ožujka 2026.

Brzi pregled: ukratko

AZOP je u 2025. izrekao 13 kazni u ukupnom iznosu od 6,7 milijuna eura
Za usporedbu: cijela 2024. — 38 kazni, 538.200 eura ukupno
Najveća kazna: Telemach Hrvatska — 4,5 milijuna eura (nezakonita obrada osobnih dokumenata zaposlenika)
Druga najveća: Erste banka — 1,5 milijuna eura (skeniranje aplikacija s mobitela klijenata)
HUO i kladionica: 101.000 € + 175.000 € u jednom krugu kazni
AZOP je u 20 godina postojanja izrekao kazne u iznosu od 8,27 milijuna eura — od čega većinu u zadnjih godinu dana
Trend je jasan: manje kazni, ali drastično veći iznosi

Sadržaj

Izvršni sažetak
AZOP kazne 2025: potpuni pregled
Slučaj Telemach: 4,5 milijuna eura
Slučaj Erste banka: 1,5 milijuna eura
Slučaj HUO i sportske kladionice: 350.500 eura
Trend: usporedba 2024. i 2025.
Najčešća kršenja koja vode do kazni
Kazne po sektorima
Što možemo naučiti iz ovih slučajeva
Kako zaštititi svoju tvrtku
Često postavljana pitanja
Izvori

Vrijeme čitanja: 15 minuta.

Želite izbjeći AZOP kazne? Pregledajte naše GDPR tečajeve ili kontaktirajte nas za procjenu usklađenosti vaše tvrtke.

Izvršni sažetak

godina označila je prekretnicu u AZOP-ovom pristupu provođenju GDPR-a u Hrvatskoj. Nakon godina relativno niskih kazni, AZOP je dramatično pojačao enforcement — i to ne u broju kazni, nego u njihovim iznosima.

Prema AZOP-ovim podacima, u 2025. godini izrečeno je 13 kazni u ukupnom iznosu od 6.725.500 eura. Za usporedbu, u cijeloj 2024. godini izrečeno je 38 kazni u ukupnom iznosu od samo 538.200 eura.

Prosječna kazna porasla je s 14.163 eura (2024.) na 517.346 eura (2025.) — porast od 36 puta.

Poruka je jasna: AZOP više ne tolerira formalna kršenja s simboličnim kaznama. Pristup je sada usklađen s europskom praksom — ciljane inspekcije velikih tvrtki s visokim kaznama koje služe kao odvraćajući primjer.

"Samo u zadnjih godinu dana izrečene su kazne u iznosu od 8,27 milijuna eura."
— Netokracija, povodom 20 godina AZOP-a

AZOP kazne 2025: potpuni pregled

Najveće kazne u 2025.

Redni br.	Tvrtka/sektor	Iznos kazne	Kršenje
1.	Telemach Hrvatska (teleoperator)	4.500.000 €	Nezakonita obrada osobnih dokumenata zaposlenika
2.	Erste&Steiermärkische banka	1.500.000 €	Skeniranje instaliranih aplikacija s mobitela klijenata
3.	Sportska kladionica	175.000 €	Neadekvatne tehničke mjere zaštite
4.	Hrvatski ured za osiguranje (HUO)	101.000 €	Kršenje GDPR odredbi
5-13.	Različiti subjekti	~449.500 €	Razna kršenja (video nadzor, kolačići, neovlaštena obrada)

Ukupna statistika

Pokazatelj	2024.	2025.	Promjena
Broj kazni	38	13	-66%
Ukupni iznos	538.200 €	6.725.500 €	+1.149%
Prosječna kazna	14.163 €	517.346 €	+3.553%
Najveća pojedinačna	~80.000 €	4.500.000 €	+5.525%

Slučaj Telemach: 4,5 milijuna eura

Što se dogodilo

AZOP je izrekao kaznu od 4,5 milijuna eura teleoperatoru Telemach Hrvatska zbog kršenja više odredbi GDPR-a.

Ključna kršenja:

Obrada kopija osobnih dokumenata zaposlenika (osobne iskaznice, potvrde iz kaznene evidencije) bez valjane pravne osnove
Nedostatak odgovarajuće prethodne kontrole obrađivača podataka
Podaci gotovo 900.000 korisnika bili su potencijalno ugroženi

Reakcija tvrtke

Telemach je odbacio navode AZOP-a, izjavivši da "korisnički podaci u Hrvatskoj su sigurni" i da "nije bilo curenja podataka". Tvrtka je najavila pokretanje upravnog spora.

Naučene lekcije

Pravna osnova za obradu podataka zaposlenika — poslodavci ne mogu kopirati osobne dokumente zaposlenika "za svaki slučaj". Potrebna je jasna pravna osnova i svrha.
Kontrola obrađivača — tvrtka mora provjeriti i nadzirati kako vanjski obrađivači postupaju s osobnim podacima.
Opseg ne umanjuje odgovornost — čak i bez potvrđenog curenja, sam čin nezakonite obrade dovodi do kazne.

Slučaj Erste banka: 1,5 milijuna eura

Što se dogodilo

AZOP je kaznio Erste&Steiermärkische banku s 1,5 milijuna eura jer je banka putem mobilne aplikacije prikupljala popise svih instaliranih aplikacija s mobitela 433.922 klijenta — bez pravne osnove i bez odgovarajuće transparentnosti.

Ključna kršenja:

Prikupljanje podataka bez pravne osnove — aplikacija je skenirala sve instalirane aplikacije na mobilnom uređaju korisnika
Nedostatak transparentnosti — korisnici nisu bili adekvatno informirani o ovoj obradi
Kršenje načela minimizacije podataka — prikupljani su podaci koji nisu bili nužni za pružanje bankarske usluge

Reakcija tvrtke

Erste banka je najavila da će "iskoristiti sva sredstva kako bi zaštitili svoje interese" i pokrenula je upravni spor pred nadležnim sudom.

Naučene lekcije

Mobilne aplikacije su visokorezično područje — sve što aplikacija prikuplja s uređaja korisnika mora imati jasnu pravnu osnovu i svrhu
Načelo minimizacije — prikupljajte samo podatke koji su nužni za uslugu koju pružate
Informiranje korisnika — politika privatnosti mora jasno opisati sve obrade, posebno one koje uključuju podatke s uređaja
Broj pogođenih osoba — 433.922 klijenata značajno je otegotna okolnost pri određivanju kazne

Slučaj HUO i sportske kladionice: 350.500 eura

Što se dogodilo

U jednom krugu odluka, AZOP je izrekao osam kazni u ukupnom iznosu od 350.500 eura:

Hrvatski ured za osiguranje (HUO) — 101.000 eura
Sportska kladionica — 175.000 eura za nepoduzimanje tehničkih mjera zaštite i nepropisno čuvanje osobnih podataka
Šest manjih kazni — za razna kršenja uključujući nepravilno označavanje video nadzora

Naučene lekcije

Tehničke mjere zaštite nisu opcija — AZOP kažnjava i za nedostatak tehničkih mjera, ne samo za curenje podataka
Video nadzor — čest razlog za kazne. Svaki sustav video nadzora mora biti pravilno označen, s jasnom svrhom i rokom čuvanja snimki
Sektor kockanja i klađenja — posebno pod nadzorom zbog velike količine osobnih podataka korisnika

Trend: usporedba 2024. i 2025.

Evolucija AZOP-ovih kazni

Godina	Broj kazni	Ukupni iznos	Prosječna kazna	Najveća kazna
2020.	2	~50.000 €	~25.000 €	~30.000 €
2021.	5	~100.000 €	~20.000 €	~30.000 €
2022.	8	~200.000 €	~25.000 €	~80.000 €
2023.	13	2.300.000 €	176.923 €	2.260.000 €
2024.	38	538.200 €	14.163 €	~80.000 €
2025.	13	6.725.500 €	517.346 €	4.500.000 €

Što nam govore brojke

2023. je bila godina B2 Kapitala (2,26 mil. €) — jedna velika kazna podigla je ukupni iznos.

2024. je bila godina masovnog kažnjavanja — 38 kazni, ali relativno niskih iznosa. AZOP se fokusirao na širok raspon manjih kršitelja.

2025. je godina velikih igrača — manje kazni, ali ciljano na velike tvrtke (telekomi, banke, osiguranja) s visokim iznosima.

Zaključak: AZOP je prešao s pristupa "kazniti što više kršitelja" na pristup "kazniti ozbiljno one koji najviše krše". Ovo je usklađeno s europskim trendom gdje nadzorna tijela fokusiraju resurse na slučajeve s najvećim utjecajem.

Najčešća kršenja koja vode do kazni

Na temelju analize svih AZOP-ovih kazni, ovo su najčešći razlozi:

1. Obrada bez valjane pravne osnove

Tvrtke obrađuju podatke bez jedne od šest zakonskih osnova iz članka 6 GDPR-a. Najčešće: prikupljanje podataka "za svaki slučaj", obrada podataka zaposlenika bez jasne svrhe, korištenje podataka za svrhe za koje nisu prikupljeni.

2. Neadekvatne tehničke mjere zaštite

Nedostatak enkripcije, slabe kontrole pristupa, nezaštićene baze podataka, nepravilan backup. AZOP kažnjava i ako do curenja nije došlo — sam nedostatak mjera je kršenje.

3. Kršenje načela transparentnosti

Korisnici nisu adekvatno informirani o tome kako se njihovi podaci obrađuju. Politike privatnosti su nepotpune, teško razumljive ili nedostupne.

4. Nepravilno upravljanje pristankom

Unaprijed označeni checkboxi, privola za sve svrhe odjednom, otežano povlačenje privole. Detaljnije o pravilnom prikupljanju pristanka u našem vodiču o GDPR privoli.

5. Video nadzor bez pravilne dokumentacije

Nepravilno označavanje kamera, pretjerano čuvanje snimki, nedostatak procjene utjecaja na zaštitu podataka. Ovo je daleko najčešće kršenje po broju kazni.

6. Nepravilna obrada podataka zaposlenika

Kopiranje osobnih dokumenata, prekomjerni nadzor, obrada zdravstvenih podataka bez zakonske osnove.

Kazne po sektorima

Sektor	Broj kazni (2024-2025)	Trend
Telekomunikacije	Visok iznos, nizak broj	Rastući (Telemach 4,5M€)
Bankarstvo i financije	Visok iznos	Rastući (Erste 1,5M€)
Kockanje i klađenje	Srednji iznos, čest	Stabilan
Osiguranje	Srednji iznos	Rastući (HUO 101K€)
Javni sektor	Nizak iznos, opomene	Stabilan
Maloprodaja i usluge	Nizak iznos, čest	Stabilan
Zdravstvo	Nizak broj	Potencijalno rastući

Što možemo naučiti iz ovih slučajeva

Lekcija 1: Mobilne aplikacije i digitalni kanali su pod povećalom

I Telemach i Erste banka kažnjeni su za probleme vezane uz digitalne kanale (mobilna aplikacija, obrada digitalnih dokumenata). Svaka tvrtka koja ima mobilnu aplikaciju ili digitalni servis mora provjeriti:

Koje podatke aplikacija prikuplja s uređaja korisnika
Postoji li jasna pravna osnova za svaku obradu
Jesu li korisnici transparentno informirani

Lekcija 2: Podaci zaposlenika nisu manje zaštićeni

Telemachova kazna uključuje obradu podataka zaposlenika. Poslodavci često podcjenjuju GDPR obveze prema zaposlenicima — kopiraju osobne iskaznice, prikupljaju potvrde iz kaznene evidencije bez jasne osnove, pretjerano nadziru zaposlenike. Sve ovo podliježe istim pravilima kao i obrada podataka klijenata.

Lekcija 3: Broj pogođenih osoba dramatično utječe na kaznu

Erste — 433.922 klijenata → 1,5 mil. €. Telemach — 900.000 korisnika → 4,5 mil. €. Manje tvrtke s manjim brojem pogođenih osoba dobivaju proporcionalno niže kazne.

Lekcija 4: Tehničke mjere nisu opcija

AZOP kažnjava i za nedostatak tehničkih mjera zaštite, čak i ako do curenja podataka nije došlo. Sama činjenica da mjere nisu na mjestu je kršenje članka 32 GDPR-a.

Lekcija 5: Žalba ne ukida obvezu plaćanja

I Telemach i Erste najavili su pravne korake, ali kazne su izrečene. Upravni spor može trajati godinama. U međuvremenu, reputacijska šteta je nastala — medijski napisi sa "4,5 milijuna eura kazne" već su objavljeni.

Kako zaštititi svoju tvrtku

Prioritetne mjere

Provedite inventuru obrade podataka — Znate li točno koje osobne podatke prikupljate, zašto i na kojoj pravnoj osnovi?
Provjerite mobilne aplikacije i digitalne kanale — Koje podatke vaša aplikacija prikuplja s korisničkih uređaja?
Revidirajte obradu podataka zaposlenika — Kopirate li osobne dokumente? Imate li pravnu osnovu?
Osigurajte tehničke mjere — Enkripcija, kontrole pristupa, redoviti sigurnosni pregledi
Educirajte zaposlenike — Kibernetička sigurnost i zaštita podataka moraju biti dio redovite edukacije
Ažurirajte politiku privatnosti — Transparentno opišite sve obrade podataka
Provjerite dobavljače — Imate li ugovore o obradi podataka sa svim obrađivačima?

Kontrolna lista za prevenciju

Mjera	Provjereno	Status
Evidencija obrade podataka (čl. 30)	☐
Pravna osnova za svaku obradu (čl. 6)	☐
Politika privatnosti ažurirana (čl. 13-14)	☐
Tehničke mjere zaštite (čl. 32)	☐
Ugovori s obrađivačima (čl. 28)	☐
Proces upravljanja privolama	☐
Video nadzor pravilno označen	☐
Obrada podataka zaposlenika dokumentirana	☐
Mobilna aplikacija provjerena	☐
DPO imenovan (ako je primjenjivo)	☐
Edukacija zaposlenika provedena	☐
Procjena utjecaja za rizične obrade (čl. 35)	☐

Često postavljana pitanja

Je li AZOP pojačao enforcement u 2025.?
Da, drastično. Ukupni iznos kazni u 2025. (6,7 mil. €) je 12 puta veći nego u cijeloj 2024. (538.200 €). AZOP se fokusirao na manje, ali značajnije slučajeve.

Može li moja tvrtka dobiti kaznu od nekoliko milijuna eura?
Maksimalne kazne prema GDPR-u iznose do 20 milijuna eura ili 4% globalnog prometa. U praksi, AZOP visoke kazne izriče velikim tvrtkama s velikim brojem pogođenih osoba. Male tvrtke obično dobivaju kazne u rasponu od 5.000 do 50.000 eura.

Što učiniti ako AZOP pokrene postupak protiv moje tvrtke?
Surađujte u potpunosti. Suradnja tijekom istrage je olakotna okolnost. Odmah angažirajte pravnog savjetnika specijaliziranog za zaštitu podataka. Dokumentirajte sve mjere koje poduzimate za ispravljanje kršenja.

Mogu li se žaliti na AZOP-ovu kaznu?
Da. Možete pokrenuti upravni spor pred Visokim upravnim sudom. Međutim, žalba ne odgađa automatski izvršenje kazne. Postupak može trajati godinama.

Koje su najčešće greške koje dovode do AZOP kazni?
Obrada bez pravne osnove, neadekvatne tehničke mjere, nepravilan video nadzor, nepoštivanje prava ispitanika i nedostatak ugovora s obrađivačima. Detaljnije u našem vodiču o prava ispitanika.

Kažnjava li AZOP i javni sektor?
Da. AZOP je izdao opomenu Gradu Zagrebu i zabranio obradu nakon javne objave osobnih podataka više od tisuću ispitanika. Javni sektor nije imun na kazne.

Koliko traje AZOP-ova inspekcija?
Inspekcija može trajati od nekoliko tjedana do nekoliko mjeseci, ovisno o složenosti slučaja. AZOP može pokrenuti inspekciju na temelju pritužbe građana ili vlastite inicijative.

Moram li prijaviti povredu podataka AZOP-u?
Da, ako povreda predstavlja rizik za prava pojedinaca. Rok je 72 sata od saznanja. Nepoštivanje roka za prijavu samo po sebi može rezultirati kaznom.

Utječe li broj pogođenih osoba na visinu kazne?
Da, značajno. Telemach (900.000 korisnika) kažnjen je s 4,5 mil. €, Erste (433.922 klijenata) s 1,5 mil. €. Broj pogođenih osoba je jedan od ključnih faktora pri određivanju kazne prema članku 83(2) GDPR-a.

Može li edukacija zaposlenika smanjiti rizik od kazne?
Da. Dokumentirani program edukacije o zaštiti podataka smatra se odgovarajućom organizacijskom mjerom (čl. 24 i 32 GDPR-a) i može biti olakotna okolnost ako do kršenja ipak dođe.

Izvori

AZOP: Upravne novčane kazne — potpuni registar — službeni popis svih izrečenih kazni
AZOP: Osam kazni u iznosu od 350.500 eura — odluka o HUO i kladionici
N1: AZOP kazna Telemachu od 4,5 milijuna eura — medijski izvještaj
HRT: Erste banka kažnjena s 1,5 mil. eura — medijski izvještaj
Netokracija: 20 godina AZOP-a — pregled 20 godina rada AZOP-a
GDPR — Uredba (EU) 2016/679 (EUR-Lex) — puni tekst GDPR-a
Index.hr: Telemach kažnjen s 4,5 milijuna eura — reakcija tvrtke
Index.hr: Erste banka kažnjena s 1,5 milijuna eura — detalji slučaja

Ne čekajte da AZOP pokuca na vrata. CompliQuest nudi GDPR edukaciju za zaposlenike, procjenu usklađenosti i prilagođene programe za tvrtke svih veličina.

Pregledajte naše GDPR tečajeve | Kontaktirajte nas

Povezani članci

Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake specijalizirane za zaštitu osobnih podataka.

Oznake

AZOP

GDPR kazne

zaštita podataka

Telemach

Erste banka

osobni podaci

kršenje GDPR-a

Hrvatska

2025

Autor

Ana Horvat

Stručnjakinja za zaštitu podataka

Ana Horvat stručnjakinja je za zaštitu osobnih podataka s više od 12 godina iskustva u implementaciji GDPR-a i savjetovanju organizacija diljem EU. Certificirana je službenica za zaštitu podataka (DPO) i redovito predaje na stručnim konferencijama o privatnosti i regulativi.

GDPRzaštita podatakaDPOprivatnostDPIA

Slični članci

Data Protection

GDPR kazne u Hrvatskoj 2025: kako zaštititi vašu tvrtku

AZOP je od 2020. godine izdao 32 upravne novčane kazne u ukupnom iznosu od 3,1 milijun eura. Većina tvrtki u Hrvatskoj i dalje ne razumije kako izbjeći GDPR kazne. Ovaj vodič otkriva najčešće greške koje koštaju milijune, s konkretnim primjerima iz hrvatskih slučajeva.

Data Protection

Prava ispitanika prema GDPR-u: Potpuni vodič za tvrtke 2026

[GDPR](https://eur-lex.europa.eu/eli/reg/2016/679/oj) daje pojedincima 8 ključnih prava nad njihovim osobnim podacima. Tvrtke moraju odgovoriti na zahtjeve ispitanika unutar 30 dana ili riskirati kazne do 20 milijuna eura. Ovaj vodič objašnjava svako pravo, kako postupati sa zahtjevima i kako uspostaviti učinkovit proces.

Data Protection

GDPR privola: Kako pravilno prikupiti pristanak 2026

Privola je jedna od 6 pravnih osnova za obradu osobnih podataka prema [GDPR-u](https://eur-lex.europa.eu/eli/reg/2016/679/oj)—i najčešći izvor [AZOP](https://azop.hr) kazni u Hrvatskoj. Neispravna privola je nevažeća privola. Ovaj vodič objašnjava što privola mora sadržavati, kako je pravilno prikupiti i najčešće greške koje tvrtke čine.

Data Protection

|13 min

AZOP kazne 2025: Pregled i analiza najnovijih slučajeva

Ana Horvat

Stručnjakinja za zaštitu podataka

30. ožujka 2026.

Zadnje ažuriranje: 30. ožujka 2026.

Brzi pregled: ukratko

AZOP je u 2025. izrekao 13 kazni u ukupnom iznosu od 6,7 milijuna eura
Za usporedbu: cijela 2024. — 38 kazni, 538.200 eura ukupno
Najveća kazna: Telemach Hrvatska — 4,5 milijuna eura (nezakonita obrada osobnih dokumenata zaposlenika)
Druga najveća: Erste banka — 1,5 milijuna eura (skeniranje aplikacija s mobitela klijenata)
HUO i kladionica: 101.000 € + 175.000 € u jednom krugu kazni
AZOP je u 20 godina postojanja izrekao kazne u iznosu od 8,27 milijuna eura — od čega većinu u zadnjih godinu dana
Trend je jasan: manje kazni, ali drastično veći iznosi

Sadržaj

Izvršni sažetak
AZOP kazne 2025: potpuni pregled
Slučaj Telemach: 4,5 milijuna eura
Slučaj Erste banka: 1,5 milijuna eura
Slučaj HUO i sportske kladionice: 350.500 eura
Trend: usporedba 2024. i 2025.
Najčešća kršenja koja vode do kazni
Kazne po sektorima
Što možemo naučiti iz ovih slučajeva
Kako zaštititi svoju tvrtku
Često postavljana pitanja
Izvori

Vrijeme čitanja: 15 minuta.

Želite izbjeći AZOP kazne? Pregledajte naše GDPR tečajeve ili kontaktirajte nas za procjenu usklađenosti vaše tvrtke.

Izvršni sažetak

godina označila je prekretnicu u AZOP-ovom pristupu provođenju GDPR-a u Hrvatskoj. Nakon godina relativno niskih kazni, AZOP je dramatično pojačao enforcement — i to ne u broju kazni, nego u njihovim iznosima.

Prosječna kazna porasla je s 14.163 eura (2024.) na 517.346 eura (2025.) — porast od 36 puta.

"Samo u zadnjih godinu dana izrečene su kazne u iznosu od 8,27 milijuna eura."
— Netokracija, povodom 20 godina AZOP-a

AZOP kazne 2025: potpuni pregled

Najveće kazne u 2025.

Redni br.	Tvrtka/sektor	Iznos kazne	Kršenje
1.	Telemach Hrvatska (teleoperator)	4.500.000 €	Nezakonita obrada osobnih dokumenata zaposlenika
2.	Erste&Steiermärkische banka	1.500.000 €	Skeniranje instaliranih aplikacija s mobitela klijenata
3.	Sportska kladionica	175.000 €	Neadekvatne tehničke mjere zaštite
4.	Hrvatski ured za osiguranje (HUO)	101.000 €	Kršenje GDPR odredbi
5-13.	Različiti subjekti	~449.500 €	Razna kršenja (video nadzor, kolačići, neovlaštena obrada)

Ukupna statistika

Pokazatelj	2024.	2025.	Promjena
Broj kazni	38	13	-66%
Ukupni iznos	538.200 €	6.725.500 €	+1.149%
Prosječna kazna	14.163 €	517.346 €	+3.553%
Najveća pojedinačna	~80.000 €	4.500.000 €	+5.525%

Slučaj Telemach: 4,5 milijuna eura

Što se dogodilo

AZOP je izrekao kaznu od 4,5 milijuna eura teleoperatoru Telemach Hrvatska zbog kršenja više odredbi GDPR-a.

Ključna kršenja:

Obrada kopija osobnih dokumenata zaposlenika (osobne iskaznice, potvrde iz kaznene evidencije) bez valjane pravne osnove
Nedostatak odgovarajuće prethodne kontrole obrađivača podataka
Podaci gotovo 900.000 korisnika bili su potencijalno ugroženi

Reakcija tvrtke

Telemach je odbacio navode AZOP-a, izjavivši da "korisnički podaci u Hrvatskoj su sigurni" i da "nije bilo curenja podataka". Tvrtka je najavila pokretanje upravnog spora.

Naučene lekcije

Pravna osnova za obradu podataka zaposlenika — poslodavci ne mogu kopirati osobne dokumente zaposlenika "za svaki slučaj". Potrebna je jasna pravna osnova i svrha.
Kontrola obrađivača — tvrtka mora provjeriti i nadzirati kako vanjski obrađivači postupaju s osobnim podacima.
Opseg ne umanjuje odgovornost — čak i bez potvrđenog curenja, sam čin nezakonite obrade dovodi do kazne.

Slučaj Erste banka: 1,5 milijuna eura

Što se dogodilo

Ključna kršenja:

Prikupljanje podataka bez pravne osnove — aplikacija je skenirala sve instalirane aplikacije na mobilnom uređaju korisnika
Nedostatak transparentnosti — korisnici nisu bili adekvatno informirani o ovoj obradi
Kršenje načela minimizacije podataka — prikupljani su podaci koji nisu bili nužni za pružanje bankarske usluge

Reakcija tvrtke

Erste banka je najavila da će "iskoristiti sva sredstva kako bi zaštitili svoje interese" i pokrenula je upravni spor pred nadležnim sudom.

Naučene lekcije

Mobilne aplikacije su visokorezično područje — sve što aplikacija prikuplja s uređaja korisnika mora imati jasnu pravnu osnovu i svrhu
Načelo minimizacije — prikupljajte samo podatke koji su nužni za uslugu koju pružate
Informiranje korisnika — politika privatnosti mora jasno opisati sve obrade, posebno one koje uključuju podatke s uređaja
Broj pogođenih osoba — 433.922 klijenata značajno je otegotna okolnost pri određivanju kazne

Slučaj HUO i sportske kladionice: 350.500 eura

Što se dogodilo

U jednom krugu odluka, AZOP je izrekao osam kazni u ukupnom iznosu od 350.500 eura:

Hrvatski ured za osiguranje (HUO) — 101.000 eura
Sportska kladionica — 175.000 eura za nepoduzimanje tehničkih mjera zaštite i nepropisno čuvanje osobnih podataka
Šest manjih kazni — za razna kršenja uključujući nepravilno označavanje video nadzora

Naučene lekcije

Tehničke mjere zaštite nisu opcija — AZOP kažnjava i za nedostatak tehničkih mjera, ne samo za curenje podataka
Video nadzor — čest razlog za kazne. Svaki sustav video nadzora mora biti pravilno označen, s jasnom svrhom i rokom čuvanja snimki
Sektor kockanja i klađenja — posebno pod nadzorom zbog velike količine osobnih podataka korisnika

Trend: usporedba 2024. i 2025.

Evolucija AZOP-ovih kazni

Godina	Broj kazni	Ukupni iznos	Prosječna kazna	Najveća kazna
2020.	2	~50.000 €	~25.000 €	~30.000 €
2021.	5	~100.000 €	~20.000 €	~30.000 €
2022.	8	~200.000 €	~25.000 €	~80.000 €
2023.	13	2.300.000 €	176.923 €	2.260.000 €
2024.	38	538.200 €	14.163 €	~80.000 €
2025.	13	6.725.500 €	517.346 €	4.500.000 €

Što nam govore brojke

2023. je bila godina B2 Kapitala (2,26 mil. €) — jedna velika kazna podigla je ukupni iznos.

2024. je bila godina masovnog kažnjavanja — 38 kazni, ali relativno niskih iznosa. AZOP se fokusirao na širok raspon manjih kršitelja.

2025. je godina velikih igrača — manje kazni, ali ciljano na velike tvrtke (telekomi, banke, osiguranja) s visokim iznosima.

Najčešća kršenja koja vode do kazni

Na temelju analize svih AZOP-ovih kazni, ovo su najčešći razlozi:

1. Obrada bez valjane pravne osnove

2. Neadekvatne tehničke mjere zaštite

Nedostatak enkripcije, slabe kontrole pristupa, nezaštićene baze podataka, nepravilan backup. AZOP kažnjava i ako do curenja nije došlo — sam nedostatak mjera je kršenje.

3. Kršenje načela transparentnosti

Korisnici nisu adekvatno informirani o tome kako se njihovi podaci obrađuju. Politike privatnosti su nepotpune, teško razumljive ili nedostupne.

4. Nepravilno upravljanje pristankom

Unaprijed označeni checkboxi, privola za sve svrhe odjednom, otežano povlačenje privole. Detaljnije o pravilnom prikupljanju pristanka u našem vodiču o GDPR privoli.

5. Video nadzor bez pravilne dokumentacije

Nepravilno označavanje kamera, pretjerano čuvanje snimki, nedostatak procjene utjecaja na zaštitu podataka. Ovo je daleko najčešće kršenje po broju kazni.

6. Nepravilna obrada podataka zaposlenika

Kopiranje osobnih dokumenata, prekomjerni nadzor, obrada zdravstvenih podataka bez zakonske osnove.

Kazne po sektorima

Sektor	Broj kazni (2024-2025)	Trend
Telekomunikacije	Visok iznos, nizak broj	Rastući (Telemach 4,5M€)
Bankarstvo i financije	Visok iznos	Rastući (Erste 1,5M€)
Kockanje i klađenje	Srednji iznos, čest	Stabilan
Osiguranje	Srednji iznos	Rastući (HUO 101K€)
Javni sektor	Nizak iznos, opomene	Stabilan
Maloprodaja i usluge	Nizak iznos, čest	Stabilan
Zdravstvo	Nizak broj	Potencijalno rastući

Što možemo naučiti iz ovih slučajeva

Lekcija 1: Mobilne aplikacije i digitalni kanali su pod povećalom

Koje podatke aplikacija prikuplja s uređaja korisnika
Postoji li jasna pravna osnova za svaku obradu
Jesu li korisnici transparentno informirani

Lekcija 2: Podaci zaposlenika nisu manje zaštićeni

Lekcija 3: Broj pogođenih osoba dramatično utječe na kaznu

Erste — 433.922 klijenata → 1,5 mil. €. Telemach — 900.000 korisnika → 4,5 mil. €. Manje tvrtke s manjim brojem pogođenih osoba dobivaju proporcionalno niže kazne.

Lekcija 4: Tehničke mjere nisu opcija

AZOP kažnjava i za nedostatak tehničkih mjera zaštite, čak i ako do curenja podataka nije došlo. Sama činjenica da mjere nisu na mjestu je kršenje članka 32 GDPR-a.

Lekcija 5: Žalba ne ukida obvezu plaćanja

Kako zaštititi svoju tvrtku

Prioritetne mjere

Provedite inventuru obrade podataka — Znate li točno koje osobne podatke prikupljate, zašto i na kojoj pravnoj osnovi?
Provjerite mobilne aplikacije i digitalne kanale — Koje podatke vaša aplikacija prikuplja s korisničkih uređaja?
Revidirajte obradu podataka zaposlenika — Kopirate li osobne dokumente? Imate li pravnu osnovu?
Osigurajte tehničke mjere — Enkripcija, kontrole pristupa, redoviti sigurnosni pregledi
Educirajte zaposlenike — Kibernetička sigurnost i zaštita podataka moraju biti dio redovite edukacije
Ažurirajte politiku privatnosti — Transparentno opišite sve obrade podataka
Provjerite dobavljače — Imate li ugovore o obradi podataka sa svim obrađivačima?

Kontrolna lista za prevenciju

Mjera	Provjereno	Status
Evidencija obrade podataka (čl. 30)	☐
Pravna osnova za svaku obradu (čl. 6)	☐
Politika privatnosti ažurirana (čl. 13-14)	☐
Tehničke mjere zaštite (čl. 32)	☐
Ugovori s obrađivačima (čl. 28)	☐
Proces upravljanja privolama	☐
Video nadzor pravilno označen	☐
Obrada podataka zaposlenika dokumentirana	☐
Mobilna aplikacija provjerena	☐
DPO imenovan (ako je primjenjivo)	☐
Edukacija zaposlenika provedena	☐
Procjena utjecaja za rizične obrade (čl. 35)	☐

Često postavljana pitanja

Mogu li se žaliti na AZOP-ovu kaznu?
Da. Možete pokrenuti upravni spor pred Visokim upravnim sudom. Međutim, žalba ne odgađa automatski izvršenje kazne. Postupak može trajati godinama.

Kažnjava li AZOP i javni sektor?
Da. AZOP je izdao opomenu Gradu Zagrebu i zabranio obradu nakon javne objave osobnih podataka više od tisuću ispitanika. Javni sektor nije imun na kazne.

Moram li prijaviti povredu podataka AZOP-u?
Da, ako povreda predstavlja rizik za prava pojedinaca. Rok je 72 sata od saznanja. Nepoštivanje roka za prijavu samo po sebi može rezultirati kaznom.

Izvori

AZOP: Upravne novčane kazne — potpuni registar — službeni popis svih izrečenih kazni
AZOP: Osam kazni u iznosu od 350.500 eura — odluka o HUO i kladionici
N1: AZOP kazna Telemachu od 4,5 milijuna eura — medijski izvještaj
HRT: Erste banka kažnjena s 1,5 mil. eura — medijski izvještaj
Netokracija: 20 godina AZOP-a — pregled 20 godina rada AZOP-a
GDPR — Uredba (EU) 2016/679 (EUR-Lex) — puni tekst GDPR-a
Index.hr: Telemach kažnjen s 4,5 milijuna eura — reakcija tvrtke
Index.hr: Erste banka kažnjena s 1,5 milijuna eura — detalji slučaja

Ne čekajte da AZOP pokuca na vrata. CompliQuest nudi GDPR edukaciju za zaposlenike, procjenu usklađenosti i prilagođene programe za tvrtke svih veličina.

Pregledajte naše GDPR tečajeve | Kontaktirajte nas

Povezani članci

Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake specijalizirane za zaštitu osobnih podataka.

Oznake

AZOP

GDPR kazne

zaštita podataka

Telemach

Erste banka

osobni podaci

kršenje GDPR-a

Hrvatska

2025

Autor

Ana Horvat

Stručnjakinja za zaštitu podataka

GDPRzaštita podatakaDPOprivatnostDPIA

Slični članci

Data Protection

GDPR kazne u Hrvatskoj 2025: kako zaštititi vašu tvrtku

Data Protection

Prava ispitanika prema GDPR-u: Potpuni vodič za tvrtke 2026

Data Protection

GDPR privola: Kako pravilno prikupiti pristanak 2026

AZOP kazne 2025: Telemach 4,5M€, Erste 1,5M€ — analiza | CompliQuest