DPIA – procjena učinka na zaštitu podataka: kako je provesti (2026.)

Kad tvrtka uvodi novu tehnologiju ili počinje obrađivati podatke na nov, rizičan način, GDPR od nje traži da unaprijed procijeni rizik za ljude čije podatke obrađuje. Taj se postupak zove procjena učinka na zaštitu podataka — DPIA. Mnoge ga tvrtke preskaču jer ne znaju kada je obavezan ni kako ga provesti. Ovaj vodič daje jasan, praktičan odgovor.

Što je DPIA

DPIA (engl. Data Protection Impact Assessment) je strukturiran postupak procjene rizika koje obrada osobnih podataka može predstavljati za prava i slobode pojedinaca, te utvrđivanja mjera kojima se taj rizik smanjuje. Uređena je člankom 35. GDPR-a i provodi se prije početka obrade — dakle u fazi planiranja, a ne nakon što je sustav već u upotrebi.

DPIA nije birokratska formalnost: dobro provedena procjena štedi novac i probleme jer otkriva rizike dok ih je još jeftino ispraviti. Ujedno je i ključan dokaz načela pouzdanosti — pokazuje da je tvrtka promišljeno pristupila zaštiti podataka.

Kada je DPIA obavezna

DPIA je obavezna kad je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca. GDPR navodi tri tipična slučaja:

1. Sustavna i opsežna procjena osobnih aspekata pojedinaca temeljena na automatiziranoj obradi, uključujući izradu profila, na temelju koje se donose odluke s pravnim ili sličnim učincima.
2. Opsežna obrada posebnih kategorija podataka (npr. podaci o zdravlju) ili podataka o kaznenim osudama.
3. Sustavno praćenje javno dostupnog područja u velikom opsegu (npr. opsežan videonadzor).

Europske i nacionalne smjernice dodaju i druge kriterije visokog rizika — primjerice korištenje novih tehnologija, povezivanje skupova podataka, obrada podataka ranjivih skupina (djeca, zaposlenici) i obrade koje sprječavaju ostvarivanje prava ili usluge. Pravilo palca: ako obrada zadovoljava dva ili više kriterija visokog rizika, gotovo sigurno trebate DPIA-u.

Tipični primjeri kad treba DPIA

• Uvođenje sustava za praćenje zaposlenika (lokacija, e-pošta, opsežan videonadzor)
• Profiliranje klijenata za ocjenu kreditne sposobnosti ili automatizirano odlučivanje
• Velike baze zdravstvenih ili biometrijskih podataka
• Nove aplikacije i platforme koje obrađuju veliku količinu osobnih podataka
• Opsežno korištenje umjetne inteligencije nad osobnim podacima

Kako provesti DPIA: koraci

1. Opišite obradu

Detaljno opišite što radite: koje podatke prikupljate, od koga, na koji način, u koju svrhu, koliko ih dugo čuvate i tko im ima pristup. Uključite dijagram toka podataka i popis uključenih sustava i izvršitelja obrade.

2. Procijenite nužnost i razmjernost

Pitajte se: je li obrada doista nužna za cilj i postoji li blaži način da se cilj postigne? Provjerite zakonitu osnovu, poštivanje načela (osobito smanjenje količine podataka i ograničenje pohrane) te kako ostvarujete prava ispitanika.

3. Identificirajte i ocijenite rizike

Za svaki rizik (npr. neovlašteni pristup, gubitak podataka, diskriminacija profiliranjem, gubitak kontrole nad podacima) ocijenite vjerojatnost i ozbiljnost posljedice za pojedince. Korisno je koristiti jednostavnu ljestvicu (nizak / srednji / visok) i fokusirati se na rizik za ljude, ne samo za tvrtku.

4. Odredite mjere za smanjenje rizika

Za svaki značajan rizik definirajte mjeru: pseudonimizaciju ili enkripciju, kontrolu pristupa i dvofaktorsku autentifikaciju, skraćivanje rokova čuvanja, dodatnu transparentnost ili jednostavno odustajanje od dijela obrade koji nije nužan.

5. Dokumentirajte i odlučite

Zabilježite preostali rizik nakon mjera. Ako je rizik sveden na prihvatljivu razinu, obrada može započeti. Ako visok rizik ostaje unatoč mjerama, GDPR čl. 36. zahtijeva prethodno savjetovanje s AZOP-om prije početka obrade.

6. Preispitujte

DPIA je živ dokument. Preispitajte ga kad se obrada značajno promijeni — nova svrha, novi sustav, novi dobavljač ili promjena opsega.

Tko provodi i tko je uključen

Za DPIA je odgovoran voditelj obrade, no u praksi je provodi tim. Ako je imenovan, službenik za zaštitu podataka (DPO) savjetuje o provedbi i prati ishod. U procjenu treba uključiti i osobe koje stvarno poznaju obradu — IT, vlasnika procesa i, prema potrebi, dobavljača. U određenim slučajevima preporučuje se i prikupljanje mišljenja ispitanika ili njihovih predstavnika.

DPIA i kibernetička sigurnost

DPIA se prirodno povezuje s kibernetičkom sigurnošću. Mnoge mjere za smanjenje rizika tehničke su prirode, a sigurnosni incident ili povreda podataka jedan su od glavnih rizika koje DPIA treba adresirati. Tvrtke koje uvode sustave bez procjene sigurnosti često naknadno otkriju da su podaci bili nedovoljno zaštićeni.

Primjer DPIA-e u praksi

Zamislimo srednju tvrtku koja uvodi sustav za praćenje učinka i lokacije terenskih djelatnika putem mobilne aplikacije. Evo kako bi izgledala procjena.

Opis obrade: aplikacija prikuplja lokaciju (GPS), vrijeme aktivnosti i podatke o izvršenim zadacima za 40 terenskih radnika, podaci se pohranjuju kod pružatelja u oblaku, čuvaju 12 mjeseci, a pristup imaju voditelji timova i ljudski resursi.

Nužnost i razmjernost: cilj je optimizacija ruta i obračun rada. Postavlja se pitanje je li stalno praćenje lokacije nužno ili je dovoljno bilježenje početka i kraja zadatka. Stalno praćenje izvan radnog vremena nije razmjerno — to je prvi nalaz procjene.

Rizici za radnike: osjećaj stalnog nadzora, mogućnost zlouporabe lokacijskih podataka, rizik curenja podataka, profiliranje radnika. Lokacija je osjetljiv podatak jer otkriva i privatne obrasce kretanja.

Mjere: ograničiti praćenje na radno vrijeme i radne zadatke, isključiti praćenje izvan smjene, skratiti rok čuvanja, ograničiti pristup, enkriptirati podatke, transparentno informirati radnike i sklopiti ugovor o obradi s pružateljem aplikacije.

Ishod: uz te mjere preostali je rizik sveden na prihvatljivu razinu i obrada može započeti — uz periodično preispitivanje. Da je tvrtka uvela stalno praćenje 0–24 bez procjene, gotovo sigurno bi se izložila pritužbama radnika i nalazu u nadzoru.

DPIA i umjetna inteligencija

Sve više obrada uključuje umjetnu inteligenciju — od automatiziranog ocjenjivanja kandidata do sustava preporuka i analize ponašanja korisnika. Takve obrade često zadovoljavaju više kriterija visokog rizika odjednom (automatizirano odlučivanje, profiliranje, nove tehnologije, opseg), pa gotovo redovito zahtijevaju DPIA-u.

Pritom valja imati na umu i EU Akt o umjetnoj inteligenciji, koji za visokorizične AI sustave uvodi vlastite obveze. DPIA prema GDPR-u i procjene prema AI Aktu nisu isto, ali se preklapaju — tvrtke koje uvode AI nad osobnim podacima trebaju gledati obje perspektive. Ključno pitanje DPIA-e ostaje isto: kakav je rizik za ljude i kako ga smanjiti.

Najčešće pogreške

• Provođenje DPIA-e prekasno — nakon što je sustav već uveden, kad su izmjene skupe.
• Fokus na rizik za tvrtku, a ne za pojedince čije se podatke obrađuje.
• Generička procjena koja ne opisuje stvarnu obradu, prepisana s predloška.
• Mjere bez provedbe — DPIA koja predlaže mjere koje nitko ne implementira.
• Izostanak preispitivanja nakon značajnih promjena obrade.

Brzi test: trebamo li DPIA-u?

Prije pune procjene korisno je provesti kratki "pred-pregled". Ako na dva ili više sljedećih pitanja odgovorite potvrdno, gotovo sigurno trebate DPIA-u:

• Donosimo li automatizirane odluke ili profiliramo ljude s učinkom na njih (npr. kreditna sposobnost, odabir kandidata)?
• Obrađujemo li osjetljive podatke (zdravlje, biometrija) ili podatke o kaznenim djelima u većem opsegu?
• Provodimo li sustavno praćenje (lokacija, ponašanje, opsežan videonadzor)?
• Obrađujemo li podatke djece ili zaposlenika u osjetljivom kontekstu?
• Koristimo li novu tehnologiju (npr. AI) ili povezujemo više skupova podataka?
• Može li obrada uskratiti ljudima pravo, uslugu ili ugovor?

Sam pred-pregled vrijedi dokumentirati — i kad zaključite da puni DPIA nije potreban, time pokazujete da ste pitanje promišljeno razmotrili.

Prethodno savjetovanje s AZOP-om

Ako nakon svih mjera visok rizik i dalje ostaje, GDPR čl. 36. zahtijeva da se prije početka obrade obratite AZOP-u radi prethodnog savjetovanja. To je razmjerno rijetka situacija — većina obrada uz dobre mjere svede rizik na prihvatljivu razinu — ali kad nastupi, ne smije se preskočiti.

U postupku savjetovanja AZOP-u dostavljate, među ostalim, opis obrade, procjenu rizika i mjere koje ste predvidjeli te ulogu službenika za zaštitu podataka. AZOP može dati pisani savjet ili, u krajnjem slučaju, upozoriti da bi obrada kršila GDPR. Cilj nije "tražiti dopuštenje" za svaku obradu, nego riješiti rijetke slučajeve preostalog visokog rizika prije nego što obrada krene i prouzroči štetu.

Često postavljana pitanja

Moramo li DPIA-u slati AZOP-u?
Ne automatski. DPIA se čuva interno kao dokaz usklađenosti. AZOP-u se obraćate (prethodno savjetovanje) samo ako nakon svih mjera visok rizik i dalje ostaje.

Treba li nam DPIA za svaku obradu?
Ne. DPIA je obavezna samo za obrade visokog rizika. No i za ostale obrade korisno je provesti kratku procjenu kako biste utvrdili je li puni DPIA potreban — i taj pred-pregled vrijedi dokumentirati.

Tko je odgovoran ako DPIA nije provedena, a trebala je?
Odgovornost je na voditelju obrade. Neprovođenje obavezne DPIA-e samo je po sebi povreda GDPR-a i može povlačiti kaznu, neovisno o tome je li došlo do incidenta.

Postoji li propisani obrazac?
Ne postoji jedan obavezni obrazac, ali procjena mora sadržavati elemente iz čl. 35. st. 7. (opis obrade, procjena nužnosti i razmjernosti, procjena rizika, mjere). Mnoge organizacije koriste strukturirani interni predložak.

Koliko traje izrada DPIA-e?
Ovisi o složenosti obrade — jednostavnija procjena može se izraditi u nekoliko dana, dok složeni sustavi (npr. AI ili opsežno praćenje) traže više tjedana i uključivanje IT-a, pravne službe i vlasnika procesa. Ključno je započeti dovoljno rano, prije nego što je tehnologija već nabavljena.

Možemo li jednom DPIA-om pokriti više sličnih obrada?
Da. GDPR dopušta da se jedna procjena odnosi na skup sličnih obrada koje predstavljaju slične rizike (npr. uvođenje iste tehnologije na više lokacija). Bitno je da procjena stvarno odgovara svim obuhvaćenim obradama.

Tko bi u tvrtki trebao znati provoditi DPIA-u?
U pravilu službenik za zaštitu podataka, uz vlasnike procesa i IT. U manjim tvrtkama tu ulogu preuzima osoba zadužena za usklađenost. Važno je da imaju i pravno i tehničko razumijevanje, što se postiže ciljanom edukacijom.

Trebamo li uključiti ispitanike u procjenu?
GDPR u određenim slučajevima preporučuje prikupljanje mišljenja ispitanika ili njihovih predstavnika (npr. radničkog vijeća kad se procjenjuje nadzor radnika). To nije uvijek obvezno, ali jača legitimitet procjene i pomaže uočiti rizike koje "iznutra" ne vidite.

Je li DPIA jednokratni dokument?
Nije. DPIA je živ dokument koji preispitujete kad se obrada značajno promijeni — nova svrha, novi sustav, novi izvršitelj obrade ili promjena opsega. Dobra praksa je i periodična provjera, čak i bez velikih promjena.

Kako DPIA pomaže u nadzoru?
Uredno provedena i dokumentirana DPIA snažan je dokaz načela pouzdanosti. Pokazuje da ste rizik prepoznali i njime upravljali prije početka obrade, što nadzorno tijelo cijeni — i suprotno, izostanak obavezne DPIA-e sam je po sebi povreda.

Može li nam DPIA uštedjeti novac?
Da, iako se to često zanemaruje. Provedena na vrijeme, DPIA otkriva rizike i nepotrebne obrade dok je izmjene još jeftino napraviti — prije nego što je sustav razvijen i uveden. Ispravak dizajna u fazi planiranja stoji djelić onoga što stoji prepravljanje sustava u produkciji ili sanacija incidenta. DPIA je zato i alat upravljanja troškom, ne samo usklađenosti.

DPIA i evidencija aktivnosti obrade

DPIA se prirodno nadovezuje na evidenciju aktivnosti obrade. Iz evidencije vidite koje obrade provodite i koje od njih nose visok rizik — upravo one koje traže procjenu učinka. Održavanje te dvije stvari povezanima znači da nove rizične obrade ne "promaknu" bez procjene, a procjene ostaju usklađene sa stvarnim stanjem obrade u organizaciji.

Tri česte zablude o DPIA-i

Prva zabluda jest da je DPIA isto što i evidencija aktivnosti obrade. Nije — evidencija je popis svih obrada koji vodite neovisno o riziku, dok je DPIA dubinska procjena samo onih obrada koje nose visok rizik. Evidencija odgovara na pitanje "što sve obrađujemo", a DPIA na pitanje "koliko je ova konkretna rizična obrada opasna za ljude i kako to smanjiti".

Druga zabluda jest da DPIA "legalizira" svaku obradu. Procjena ne čini obradu zakonitom sama po sebi — i dalje vam treba valjana zakonita osnova i poštivanje svih načela. DPIA je alat za upravljanje rizikom, a ne zamjena za osnovu obrade.

Treća zabluda jest da je DPIA jednokratni "papir za ladicu". Procjena ima smisla samo ako su predložene mjere stvarno provedene i ako se dokument preispituje kad se obrada promijeni. Najgori mogući ishod je DPIA koja zaključi da postoji rizik, predloži mjere — i potom je nitko ne provede. U slučaju incidenta, takav dokument postaje dokaz da ste rizik poznavali, a niste postupili.

Zaključak

DPIA nije prepreka inovaciji — to je alat koji vam omogućuje da nove obrade i tehnologije uvedete sigurno i dokazano usklađeno. Ključ je provesti je na vrijeme, fokusirati se na rizik za ljude i pretvoriti zaključke u stvarne mjere.

Ako želite da vaš tim — osobito DPO, IT i vlasnici procesa — samostalno provodi procjene učinka i razumije GDPR u praksi, pogledajte našu GDPR edukaciju za tvrtke ili specijaliziranu edukaciju za službenika za zaštitu podataka (DPO).