Brzi pregled: ukratko
- 32 upravne novčane kazne izrečene su od 2020. godine u ukupnom iznosu od 3,1 milijun eura
- Najveća kazna: 2,26 milijuna eura izrečena tvrtki B2 Kapital za višestruka kršenja GDPR-a
- 13 kazni u vrijednosti od 2,3 milijuna eura izrečeno je samo u prvih pet mjeseci 2023. godine
- 5 najčešćih grešaka koje pokreću kazne: neispravna privola, kršenje prava ispitanika, manjkava evidencija obrade, zakašnjela prijava povreda i nepostojanje ugovora s obrađivačima
- Prema članku 83. GDPR-a, kazne mogu doseći do 20 milijuna eura ili 4% ukupnog godišnjeg prometa na svjetskoj razini
- AZOP pojačava inspekcijski nadzor -- broj provjera raste iz godine u godinu, a planirani su i tematski nadzori za specifične sektore
- Hrvatske kazne su još uvijek niske u usporedbi s EU prosjekom, ali trend je jasno uzlazan
Sadržaj
- Izvršni sažetak
- Zašto GDPR kazne rastu u Hrvatskoj
- Što su GDPR kazne i kako se izračunavaju
- Najčešće greške koje vode do GDPR kazni
- GDPR kazne u EU: usporedba s Hrvatskom
- Kazne po sektorima u Hrvatskoj
- Kako izbjeći GDPR kazne: korak-po-korak vodič
- Kontrolna lista za GDPR usklađenost
- Što učiniti ako dobijete GDPR kaznu
- Zaključak
- Često postavljana pitanja (FAQ)
- Izvori
Izvršni sažetak
Zaštita osobnih podataka više nije pravna formalnost nego poslovni imperativ. Od početka primjene GDPR-a u Hrvatskoj, AZOP je dosljedno povećavao i broj i visinu izrečenih kazni. S ukupno 32 kazne u iznosu od 3,1 milijun eura -- od kojih samo jedna (B2 Kapital) čini gotovo tri četvrtine ukupnog iznosa -- jasno je da regulatorno tijelo ne preza od visokih sankcija kad utvrdi sustavna kršenja.
Za hrvatske tvrtke to znači konkretnu izloženost riziku. Pet vrsta grešaka ponavlja se u gotovo svim predmetima: neispravno prikupljanje privole, neodgovaranje na zahtjeve ispitanika, nepotpuna evidencija obrade, zakašnjela prijava povreda osobnih podataka i nedostatak ugovora s izvršiteljima obrade. Svaka od ovih grešaka može se spriječiti sustavnim pristupom usklađenosti, a upravo to je tema ovog vodiča.
Posebno je važno razumjeti da GDPR kazne nisu jedini trošak neusklađenosti. Prema IBM-ovom izvješću Cost of a Data Breach, prosječni trošak povrede podataka na globalnoj razini prelazi 4,4 milijuna dolara -- a to uključuje izravne troškove sanacije, gubitak poslovnih prilika, reputacijsku štetu i regulatorne kazne. Za hrvatske tvrtke koje posluju na europskom tržištu, neusklađenost može značiti i gubitak poslovnih partnerstava jer velike europske korporacije sve češće zahtijevaju dokaz GDPR usklađenosti od svojih dobavljača.
U nastavku ćete pronaći detaljnu analizu svih izrečenih kazni, usporedbu s europskim trendovima, praktičnu kontrolnu listu za usklađenost te odgovore na najčešća pitanja. Cilj nije stvoriti strah od kazni, nego pružiti alate za proaktivnu zaštitu vaše organizacije. Ako vas zanima širi kontekst regulatorne usklađenosti, pogledajte i naš pojmovnik compliance termina.
AZOP je od 2020. godine izdao 32 upravne novčane kazne u ukupnom iznosu od 3,1 milijun eura. Samo u prvih pet mjeseci 2023. godine izrečeno je 13 kazni u visini od 2,3 milijuna eura. Najveća kazna do sada iznosila je 2,26 milijuna eura.
Većina tvrtki u Hrvatskoj i dalje ne razumije kako izbjeći GDPR kazne. Ovaj vodič otkriva najčešće greške koje koštaju milijune, s konkretnim primjerima iz hrvatskih slučajeva. Naučit ćete što pokreće kazne, kako prepoznati ranjivosti u vašoj organizaciji i korak-po-korak rješenja koja možete implementirati već danas.
Vrijeme čitanja: 15 minuta.
Zašto GDPR kazne rastu u Hrvatskoj
AZOP (Agencija za zaštitu osobnih podataka) povećava broj provjera i strože primjenjuje propise. Od početka primjene GDPR-a u svibnju 2018. godine, broj izrečenih kazni u Hrvatskoj značajno je porastao.
Prema podacima AZOP-a, od 2020. godine izrečeno je 32 upravne novčane kazne. Ukupan iznos kazni doseže 3,1 milijun eura. Trend je zabrinjavajući: samo u prvih pet mjeseci 2023. godine izrečeno je 13 kazni u visini od 2,3 milijuna eura.
Ovaj porast nije izoliran. Diljem Europske unije nadzorna tijela pojačavaju aktivnosti, a NIS2 direktiva dodatno podiže ljestvicu zahtjeva za sigurnost podataka. AZOP surađuje s Europskim odborom za zaštitu podataka (EDPB), što znači da se metodologija nadzora usklađuje s najboljom europskom praksom.
Važno je napomenuti da AZOP pokreće postupke na tri načina: po službenoj dužnosti (tematski nadzori), po pritužbi građana i na temelju prijave povrede osobnih podataka. Pritužbe građana čine najveći udio pokretača postupaka, što znači da svaki nezadovoljni kupac, korisnik ili zaposlenik može pokrenuti inspekciju koja rezultira kaznom. Svijest građana o pravima raste, a broj pritužbi AZOP-u povećava se iz godine u godinu.
Najveće GDPR kazne u Hrvatskoj
Najveća kazna do sada izrečena u Hrvatskoj iznosila je 2,26 milijuna eura. Dodijeljena je agenciji za naplatu potraživanja B2 Kapital zbog kršenja više odredbi GDPR-a.
Druga najveća kazna iznosila je 30.000 eura za tvrtku iz sektora kockanja i klađenja zbog nezakonite obrade osobnih podataka putem kolačića. Treća najveća kazna iznosila je 20.000 eura, također za tvrtku iz istog sektora.
Ove kazne pokazuju da AZOP ne štedi ni velike ni male tvrtke. Svaka organizacija koja obrađuje osobne podatke mora biti usklađena s GDPR-om.
Osim novčanih kazni, AZOP ima ovlast izreći i korektivne mjere: upozorenje, opomenu, nalog za usklađivanje obrade, nalog za obavještavanje ispitanika, privremeno ili trajno ograničenje obrade, pa čak i zabranu obrade. Ove mjere mogu imati dalekosežnije posljedice od samih kazni jer mogu privremeno zaustaviti poslovne procese koji ovise o obradi osobnih podataka.
Što su GDPR kazne i kako se izračunavaju
Prema članku 83. GDPR-a, za najteža kršenja predviđene su kazne do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće.
AZOP razmatra nekoliko čimbenika pri određivanju visine kazne:
- Priroda i težina kršenja: Koliko je ozbiljno kršenje i koliko osoba je pogođeno
- Namjernost ili nepažnja: Je li kršenje bilo namjerno ili zbog nepažnje
- Mjere za sprječavanje kršenja: Je li tvrtka poduzela mjere za zaštitu podataka
- Povijest kršenja: Ima li tvrtka prethodne kazne
- Suradnja s AZOP-om: Kako je tvrtka surađivala tijekom istrage
Kategorije GDPR kazni
GDPR kazne dijele se u dvije kategorije:
Kategorija 1 - Do 10 milijuna eura ili 2% godišnjeg prometa:
- Neadekvatne tehničke i organizacijske mjere
- Neispravno vođenje evidencije obrade podataka
- Neispravno imenovanje DPO-a (Data Protection Officer)
- Neispravno provođenje procjene utjecaja na zaštitu podataka
Kategorija 2 - Do 20 milijuna eura ili 4% godišnjeg prometa:
- Kršenje osnovnih načela obrade podataka
- Neispravno dobivanje pristanka
- Neispravno rukovanje pravima pojedinaca
- Neispravno prenošenje podataka u treće zemlje
Najčešće greške koje vode do GDPR kazni
Prema analizi kazni izrečenih u Hrvatskoj, većina kršenja dolazi iz pet glavnih grešaka.
1. Neispravno upravljanje pristankom
Najčešća greška je neispravno dobivanje i upravljanje pristankom za obradu osobnih podataka. Tvrtke često:
- Traže pristanak za sve svrhe odjednom
- Ne omogućavaju lako povlačenje pristanka
- Ne vode evidenciju kada je pristanak dan
- Koriste pre-checked checkboxe (što nije valjani pristanak)
Primjer iz prakse: AZOP je izrekao kaznu od 30.000 eura tvrtki koja je koristila kolačiće bez valjanog pristanka. Tvrtka je imala pre-checked checkbox koji nije zadovoljavao GDPR zahtjeve.
Za detaljniji pregled svih aspekata valjanog pristanka -- uključujući razliku između izričitog i neizričitog pristanka, uvjete za pristanak maloljetnika i specifičnosti pristanka za kolačiće -- preporučujemo naš vodič: GDPR privola: Kako pravilno prikupiti pristanak.
2. Neispravno rukovanje pravima pojedinaca
GDPR daje pojedincima osam osnovnih prava. Tvrtke često ne poštuju ova prava:
- Pravo na pristup podacima
- Pravo na ispravak
- Pravo na brisanje ("pravo na zaborav")
- Pravo na ograničenje obrade
- Pravo na prenosivost podataka
- Pravo na prigovor
- Pravo na odluku o automatiziranoj obradi
- Pravo na obavještavanje o kršenju
U praksi, tvrtke najčešće griješe kod prava na pristup (ispitanik traži kopiju svih podataka koje tvrtka ima o njemu) i prava na brisanje (ispitanik traži brisanje svih svojih podataka). Za sveobuhvatan pregled postupanja po zahtjevima ispitanika, pogledajte naš vodič o pravima ispitanika.
3. Neispravno vođenje evidencije obrade podataka
Svaka tvrtka koja obrađuje osobne podatke mora voditi evidenciju obrade podataka. Većina tvrtki u Hrvatskoj ne vodi ovu evidenciju ili je vodi neispravno.
Evidencija mora sadržavati:
- Svrhu obrade podataka
- Kategorije osoba čiji se podaci obrađuju
- Kategorije osobnih podataka
- Primatelje podataka
- Rokove brisanja podataka
- Tehničke i organizacijske mjere zaštite
4. Neispravno rukovanje kršenjem podataka
Ako dođe do kršenja podataka koje predstavlja rizik za prava i slobode pojedinaca, morate obavijestiti AZOP unutar 72 sata. Ako je rizik visok, morate obavijestiti i pojedince čiji su podaci ugroženi. Sigurnosne povrede podataka sve su češće, a znanje o kibernetičkoj sigurnosti postaje nužno za sve zaposlenike.
Većina tvrtki:
- Ne prepoznaje što je kršenje podataka
- Ne obavještava AZOP na vrijeme
- Ne obavještava pojedince kada je potrebno
- Ne vodi evidenciju kršenja
Posebno je važno razumjeti da i phishing napadi mogu dovesti do povrede osobnih podataka, što aktivira obvezu prijave prema GDPR-u.
5. Neispravno upravljanje dobavljačima
Ako dijelite osobne podatke s dobavljačima (npr. hosting, marketing agencije), morate imati ugovor o obradi podataka. Većina tvrtki nema ove ugovore ili ih ima neispravno sastavljene.
Primjer iz prakse: Tvrtka je dijelila osobne podatke s marketing agencijom bez valjanog ugovora o obradi podataka. AZOP je izrekao kaznu jer tvrtka nije osigurala da dobavljač poštuje GDPR zahtjeve.
Važno je razumjeti da odgovornost ne prestaje sklapanjem ugovora. Voditelj obrade mora redovito provjeravati poštuje li izvršitelj obrade ugovorne obveze i GDPR zahtjeve. To uključuje pravo na reviziju, provjeru sigurnosnih mjera i praćenje postupanja s podacima.
GDPR kazne u EU: usporedba s Hrvatskom
Da bismo razumjeli kontekst hrvatskih kazni, korisno je pogledati kako se one odnose prema kaznama u drugim članicama EU. Prema DLA Piper GDPR Fines Survey-u, od početka primjene GDPR-a ukupno je izrečeno više od 5 milijardi eura kazni diljem Europske unije. Irska, Luksemburg i Francuska prednjače po ukupnim iznosima, dok Španjolska i Italija bilježe najveći broj pojedinačnih kazni.
Ova usporedba je posebno relevantna za hrvatske tvrtke koje posluju na europskom tržištu ili surađuju s partnerima iz drugih zemalja EU, jer načelo prekograničnog nadzora znači da i strano nadzorno tijelo može pokrenuti postupak protiv hrvatske tvrtke.
Najveće kazne u Europskoj uniji
| Država | Nadzorno tijelo | Tvrtka | Iznos kazne | Razlog |
|---|---|---|---|---|
| Irska | DPC | Meta (Facebook) | 1,2 mlrd. EUR | Nezakoniti prijenos podataka u SAD |
| Irska | DPC | Meta (WhatsApp) | 390 mil. EUR | Netransparentna obrada podataka |
| Irska | DPC | Meta (Instagram) | 405 mil. EUR | Obrada podataka maloljetnika |
| Francuska | CNIL | 150 mil. EUR | Neispravno upravljanje kolačićima | |
| Italija | Garante | TIM (Telecom Italia) | 27,8 mil. EUR | Neželjeni marketinški pozivi |
| Španjolska | AEPD | CaixaBank | 6 mil. EUR | Neispravna pravna osnova obrade |
| Hrvatska | AZOP | B2 Kapital | 2,26 mil. EUR | Višestruka kršenja GDPR-a |
Usporedba po broju kazni
Osim apsolutnog iznosa, zanimljiva je i usporedba po broju izrečenih kazni. Prema podacima dostupnim na GDPR Enforcement Tracker platformi:
| Država | Približan broj kazni (od 2018.) | Prosječni iznos kazne |
|---|---|---|
| Španjolska | 800+ | ~45.000 EUR |
| Italija | 300+ | ~200.000 EUR |
| Rumunjska | 90+ | ~15.000 EUR |
| Njemačka | 120+ | ~150.000 EUR |
| Hrvatska | 32 | ~97.000 EUR |
| Francuska | 40+ | ~8 mil. EUR |
| Irska | 20+ | ~100 mil. EUR |
Iz tablice je vidljivo da Hrvatska ima relativno mali broj kazni, ali prosječni iznos raste -- uglavnom zbog jedne iznimno visoke kazne (B2 Kapital). Bez te kazne, prosječni iznos bio bi znatno niži, što sugerira da AZOP za većinu kršenja izriče umjerene kazne. Međutim, upravo primjer B2 Kapitala pokazuje da AZOP može i zna izreći kaznu koja se mjeri u milijunima.
Što to znači za hrvatske tvrtke
Nekoliko je ključnih zaključaka iz ove usporedbe:
Hrvatske kazne su relativno niske, ali rastu. Dok irski DPC izriče kazne u stotinama milijuna eura, a talijanski Garante u desecima milijuna, AZOP je do sada bio umjereniji. Međutim, kazna od 2,26 milijuna eura za B2 Kapital pokazuje da AZOP ima kapacitet i volju za značajne sankcije.
Španjolski model je najbliži hrvatskom. AEPD (Agencia Espanola de Proteccion de Datos) izdaje velik broj kazni u relativno nižim iznosima -- slično AZOP-u. Španjolska je vodeća po broju izrečenih kazni u EU, a Hrvatska prati sličan pristup s fokusom na učestalost nadzora.
Trend je jasan. Sve zemlje članice povećavaju broj i visinu kazni. Prema EDPB-ovom godišnjem izvješću, ukupan iznos kazni raste u prosjeku 50% godišnje. Hrvatska nije iznimka -- skok od 13 kazni u samo pet mjeseci 2023. godine to potvrđuje.
AZOP se usklađuje s europskom praksom. Sudjelovanje u radu EDPB-a i koordinirane akcije nadzora znače da hrvatske tvrtke mogu očekivati sve strože standarde. Tvrtke koje posluju s partnerima u EU već sada moraju zadovoljiti zahtjeve koje postavljaju nadzorna tijela iz drugih zemalja članica.
Za tvrtke koje koriste digitalnu infrastrukturu, vrijedi napomenuti da se NIS2 direktiva i GDPR međusobno nadopunjuju -- kršenje sigurnosnih zahtjeva prema NIS2 može istodobno značiti i kršenje GDPR-a ako dođe do povrede osobnih podataka. Provjerite također tko potpada pod NIS2 kao kritična infrastruktura.
Kazne po sektorima u Hrvatskoj
Analiza dosadašnjih kazni AZOP-a otkriva da se kršenja ne raspodjeljuju ravnomjerno po sektorima. Određene industrije značajno su izloženije riziku.
Pregled kazni po sektorima
| Sektor | Broj kazni | Raspon iznosa | Najčešći razlog kršenja |
|---|---|---|---|
| Financijske usluge i naplata potraživanja | 5+ | Do 2,26 mil. EUR | Nezakonita obrada, nedostatak pravne osnove |
| Kockanje i klađenje | 3+ | Do 30.000 EUR | Nezakoniti kolačići, obrada bez privole |
| Zdravstvo | 2+ | Do 15.000 EUR | Neovlašteni pristup podacima pacijenata |
| Telekomunikacije | 2+ | Do 20.000 EUR | Neželjeni marketinški kontakti |
| Javni sektor | 3+ | Do 10.000 EUR | Neispravno objavljivanje osobnih podataka |
| Trgovina i usluge | 5+ | Do 15.000 EUR | Videoobrada, neispravna evidencija |
Financijske usluge i naplata potraživanja
Ovaj sektor nosi najveći rizik u Hrvatskoj. Kazna od 2,26 milijuna eura za B2 Kapital čini gotovo tri četvrtine svih izrečenih kazni. Tvrtke u ovom sektoru obrađuju velike količine osjetljivih financijskih podataka, a AZOP posebno pažljivo prati zakonitost obrade u kontekstu naplate potraživanja. Ključni problemi uključuju obradu podataka bez valjane pravne osnove, prekomjerno prikupljanje podataka i nedostatak transparentnosti prema ispitanicima.
Kockanje i klađenje
Sektor priređivanja igara na sreću bilježi više kazni za neispravno upravljanje kolačićima i praćenje korisnika bez valjanog pristanka. Online platforme za klađenje prikupljaju značajne količine osobnih podataka, uključujući financijske podatke i podatke o ponašanju korisnika. AZOP je pokazao da ovaj sektor stavlja pod pojačani nadzor.
Zdravstvo
Zdravstveni podaci spadaju u posebne kategorije osobnih podataka prema članku 9. GDPR-a, što znači da se na njih primjenjuju strože mjere zaštite. Najčešći problemi u hrvatskom zdravstvenom sektoru uključuju neovlašteni pristup medicinskim kartonima i dijeljenje podataka pacijenata bez odgovarajuće pravne osnove.
Digitalizacija zdravstva -- uključujući e-uputnice, e-recepte i sustave za telemedicinu -- značajno povećava površinu izloženosti. Zdravstvene ustanove moraju osigurati da pristup podacima pacijenata imaju samo ovlaštene osobe te da svaki pristup bude zabilježen u revizijskom tragu.
Telekomunikacije
Telekom operateri obrađuju masovne količine podataka o komunikaciji i lokaciji korisnika. U Hrvatskoj su kazne u ovom sektoru uglavnom vezane uz neželjene marketinške kontakte i neispravno upravljanje bazama korisnika. Dodatnu složenost donosi Zakon o elektroničkim komunikacijama koji postavlja specifične zahtjeve za zadržavanje podataka o komunikaciji.
S obzirom na to da telekom operateri nerijetko spadaju i pod NIS2 direktivu kao kritična infrastruktura, obveze usklađenosti u ovom sektoru su posebno zahtjevne.
Javni sektor
Iako se o kaznama u javnom sektoru rjeđe piše, AZOP provodi nadzore i nad tijelima javne vlasti. Najčešći problemi uključuju neispravno objavljivanje osobnih podataka na web stranicama, dijeljenje podataka između institucija bez pravne osnove i nedostatnu zaštitu podataka u digitalnim sustavima. Javna tijela imaju dodatnu obvezu imenovanja DPO-a.
Trgovina i usluge
Tvrtke u sektoru trgovine i usluga najčešće se susreću s problemima vezanim uz videooblikovanje (CCTV sustavi bez odgovarajuće pravne osnove i obavijesti), direktni marketing bez valjanog pristanka te neispravno vođenje baza podataka kupaca. Ovaj sektor bilježi najveći broj pritužbi građana upravo zbog širokog kontakta s krajnjim potrošačima.
Pouka za sve sektore
Bez obzira na industriju, GDPR se primjenjuje jednako. Tvrtke koje smatraju da su "premale" ili "neprimjetne" za AZOP-ovu pozornost izlažu se riziku. Pritužbe građana ostaju glavni pokretač inspekcija, a svaka pritužba može rezultirati postupkom nadzora. Edukacija zaposlenika, primjerice kroz e-learning programe, jedan je od najučinkovitijih načina smanjenja rizika u svim sektorima.
Podatak koji mnoge iznenadi: prema AZOP-ovim izvješćima, značajan broj inspekcija pokrenut je upravo u tvrtkama koje su smatrale da "nisu dovoljno velike" da ih se kontrolira. GDPR ne poznaje prag veličine -- obvezan je za svakoga tko obrađuje osobne podatke.
Kako izbjeći GDPR kazne: korak-po-korak vodič
Evo praktičnog vodiča kako zaštititi vašu tvrtku od GDPR kazni.
Korak 1: Provedite procjenu usklađenosti
Prvo, procijenite gdje se vaša tvrtka trenutno nalazi u odnosu na GDPR zahtjeve. Provedite internu provjeru ili angažirajte vanjskog stručnjaka. Gap analiza je temelj svake usklađenosti -- bez nje ne možete znati što trebate popraviti.
Provjerite:
- Imate li evidenciju obrade podataka
- Kako dobivate pristanak za obradu podataka
- Kako rješavate zahtjeve pojedinaca
- Imate li mjere zaštite podataka
- Imate li ugovore s dobavljačima
- Jeste li imenovali DPO-a (ako je obvezno)
- Imate li plan odgovora na sigurnosne incidente
- Jesu li zaposlenici educirani o GDPR obvezama
Praktični savjet: Dokumentirajte rezultate gap analize u pisanom obliku. Taj dokument služi kao polazište za plan usklađenosti, a može biti i dokaz dobre namjere ako dođe do inspekcije.
Korak 2: Implementirajte sustav upravljanja pristankom
Implementirajte sustav koji vam omogućuje:
- Dobivanje valjanog pristanka za svaku svrhu obrade
- Lako povlačenje pristanka
- Vođenje evidencije pristanka
- Razlikovanje između različitih vrsta pristanka
Korak 3: Postavite procese za rukovanje pravima pojedinaca
Postavite procese koji vam omogućuju da odgovorite na zahtjeve pojedinaca unutar 30 dana. Za detaljan pregled svih prava, pogledajte naš vodič: Prava ispitanika prema GDPR-u. To uključuje:
- Sustav za primanje zahtjeva
- Proces provjere identiteta pojedinca
- Proces prikupljanja i pripreme podataka
- Proces brisanja podataka kada je potrebno
Korak 4: Implementirajte mjere zaštite podataka
Implementirajte tehničke i organizacijske mjere zaštite podataka:
- Enkripcija podataka u prijenosu (TLS/SSL) i pohrani (AES-256)
- Kontrola pristupa podacima -- princip najmanjih ovlasti (least privilege)
- Redovite sigurnosne provjere i penetracijski testovi
- Obuka zaposlenika o zaštiti podataka i prepoznavanju prijetnji
- Plan odgovora na kršenje podataka s definiranim ulogama i rokovima
- Redovite sigurnosne kopije s testiranjem oporavka
- Dvostruka autentifikacija (2FA) za pristup sustavima s osobnim podacima
- Revizijski trag (audit log) za sve pristupe osobnim podacima
GDPR u članku 32. izričito zahtijeva "odgovarajuću razinu sigurnosti" koja odgovara riziku. To ne znači da morate implementirati najskuplju tehnologiju, ali morate pokazati da ste procijenili rizike i primijenili razmjerne mjere.
Ako niste sigurni od čega krenuti s edukacijom, naš vodič o kibernetičkoj sigurnosti za zaposlenike pokriva osnove koje svaki zaposlenik mora poznavati.
Korak 5: Osigurajte ugovore s dobavljačima
Osigurajte da svi vaši dobavljači koji obrađuju osobne podatke imaju valjane ugovore o obradi podataka (tzv. Data Processing Agreement -- DPA). Ugovor mora sadržavati:
- Svrhu i trajanje obrade podataka
- Vrstu podataka koje se obrađuju i kategorije ispitanika
- Dužnosti i prava voditelja obrade
- Obveze izvršitelja obrade (povjerljivost, sigurnost, suradnja)
- Mjere zaštite podataka koje izvršitelj mora implementirati
- Pravila za angažiranje podizvršitelja obrade
- Pravila povrata ili brisanja podataka po završetku ugovornog odnosa
- Obvezu izvršitelja da pomogne voditelju obrade u ispunjavanju GDPR obveza
Praktični savjet: Izradite standardni predložak ugovora o obradi podataka koji možete koristiti sa svim dobavljačima. Revidirajte ugovore najmanje jednom godišnje i provjerite da li se opseg obrade promijenio.
Kontrolna lista za GDPR usklađenost
Koristite ovu kontrolnu listu za praćenje napretka usklađenosti vaše tvrtke s GDPR-om. Za svaki zadatak odredite odgovornu osobu, rok i status provedbe. Preporuka je da kontrolnu listu pregledate najmanje jednom kvartalno i ažurirate status svakog zadatka.
Ako vam je potrebna sveobuhvatna kontrolna lista koja pokriva i zahtjeve informacijske sigurnosti, pogledajte i naš vodič o NIS2 direktivi koji sadrži komplementarnu listu za kibernetičku sigurnost.
Pravna osnova i dokumentacija
| Zadatak | Odgovorna osoba | Rok | Status |
|---|---|---|---|
| Izraditi evidenciju aktivnosti obrade (čl. 30.) | DPO / Pravna služba | -- | -- |
| Definirati pravnu osnovu za svaku obradu | DPO / Pravna služba | -- | -- |
| Izraditi politiku zaštite osobnih podataka | DPO / Uprava | -- | -- |
| Provesti procjenu utjecaja na zaštitu podataka (DPIA) za rizične obrade | DPO | -- | -- |
| Izraditi obavijesti o privatnosti (privacy notice) za sve kanale prikupljanja | DPO / Marketing | -- | -- |
| Pregledati i ažurirati ugovore s izvršiteljima obrade | Pravna služba | -- | -- |
Upravljanje privolom
| Zadatak | Odgovorna osoba | Rok | Status |
|---|---|---|---|
| Implementirati cookie consent mehanizam na web stranici | IT / Marketing | -- | -- |
| Osigurati granularni pristanak po svrhama obrade | IT / DPO | -- | -- |
| Uspostaviti sustav za bilježenje i čuvanje dokaza o privoli | IT | -- | -- |
| Omogućiti jednostavno povlačenje privole | IT / DPO | -- | -- |
| Pregledati postojeće privole za valjanost prema GDPR-u | DPO | -- | -- |
Prava ispitanika
| Zadatak | Odgovorna osoba | Rok | Status |
|---|---|---|---|
| Uspostaviti proces za zaprimanje zahtjeva ispitanika | DPO / IT | -- | -- |
| Definirati postupak provjere identiteta podnositelja zahtjeva | DPO | -- | -- |
| Osigurati odgovor na zahtjeve unutar 30 dana | DPO / svi odjeli | -- | -- |
| Implementirati proces za brisanje podataka ("pravo na zaborav") | IT / DPO | -- | -- |
| Implementirati proces za prenosivost podataka | IT | -- | -- |
| Dokumentirati sve zaprimljene zahtjeve i odgovore | DPO | -- | -- |
Sigurnost podataka
| Zadatak | Odgovorna osoba | Rok | Status |
|---|---|---|---|
| Provesti procjenu rizika informacijske sigurnosti | IT / CISO | -- | -- |
| Implementirati enkripciju podataka u prijenosu i pohrani | IT | -- | -- |
| Uspostaviti kontrolu pristupa na principu najmanjih ovlasti | IT | -- | -- |
| Provesti redovite penetracijske testove | IT / vanjski stručnjaci | -- | -- |
| Izraditi plan odgovora na sigurnosne incidente | IT / DPO / Uprava | -- | -- |
| Uspostaviti proces prijave povrede podataka AZOP-u (72 sata) | DPO | -- | -- |
Edukacija i organizacija
| Zadatak | Odgovorna osoba | Rok | Status |
|---|---|---|---|
| Imenovati službenika za zaštitu podataka (DPO) ako je obvezno | Uprava | -- | -- |
| Provesti početnu GDPR edukaciju za sve zaposlenike | DPO / HR | -- | -- |
| Planirati godišnju osvježavajuću edukaciju | DPO / HR | -- | -- |
| Provesti specijaliziranu obuku za odjele s visokim rizikom | DPO | -- | -- |
| Dokumentirati sve provedene edukacije | HR / DPO | -- | -- |
Dobavljači i treće strane
| Zadatak | Odgovorna osoba | Rok | Status |
|---|---|---|---|
| Izraditi registar svih izvršitelja obrade (procesora) | DPO / Nabava | -- | -- |
| Sklopiti ugovor o obradi podataka sa svakim izvršiteljem | Pravna služba | -- | -- |
| Provjeriti odgovarajuće zaštitne mjere za prijenos podataka u treće zemlje | DPO / Pravna služba | -- | -- |
| Provesti due diligence za nove dobavljače koji pristupaju osobnim podacima | DPO / Nabava | -- | -- |
| Planirati godišnji pregled usklađenosti ključnih dobavljača | DPO | -- | -- |
Što učiniti ako dobijete GDPR kaznu
Ako dobijete GDPR kaznu od AZOP-a, imate pravo na žalbu. Međutim, važno je da razumijete proces i svoje opcije.
Proces žalbe
Imate 15 dana da podnesete žalbu na kaznu. Žalbu možete podnijeti:
- Pismeno AZOP-u
- E-poštom na službenu adresu AZOP-a
- Putem e-građana
U žalbi morate obrazložiti zašto smatrate da kazna nije opravdana. Možete priložiti dokaze koji podupiru vašu žalbu.
Smanjenje kazne
AZOP može smanjiti kaznu ako:
- Tvrtka je surađivala tijekom istrage
- Tvrtka je poduzela mjere za ispravljanje kršenja
- Tvrtka nema prethodne kazne
- Kazna bi predstavljala neproporcionalan teret za tvrtku
Zaključak: zaštitite vašu tvrtku od GDPR kazni
GDPR kazne u Hrvatskoj rastu. AZOP je od 2020. godine izdao 32 kazne u ukupnom iznosu od 3,1 milijun eura. Najveća kazna iznosila je 2,26 milijuna eura.
Većina kazni dolazi iz pet glavnih grešaka:
- Neispravno upravljanje pristankom
- Neispravno rukovanje pravima pojedinaca
- Neispravno vođenje evidencije obrade podataka
- Neispravno rukovanje kršenjem podataka
- Neispravno upravljanje dobavljačima
Ključni zaključci:
- Provedite procjenu usklađenosti vaše tvrtke
- Implementirajte sustav upravljanja pristankom
- Postavite procese za rukovanje pravima pojedinaca
- Implementirajte mjere zaštite podataka
- Osigurajte ugovore s dobavljačima
Najbolji način da izbjegnete GDPR kazne je da budete proaktivni. Ne čekajte da AZOP provjeri vašu tvrtku. Provedite provjeru usklađenosti već danas i implementirajte potrebne mjere. Ako vaša organizacija potpada i pod zahtjeve za sprječavanje korupcije, razmislite o integriranom pristupu usklađenosti koji obuhvaća sve regulatorne obveze.
Usklađenost s GDPR-om nije jednokratni projekt nego kontinuirani proces. Regulatorni okvir se razvija, AZOP objavljuje nove smjernice, a tehnološke promjene donose nove rizike. Tvrtke koje ugrade GDPR usklađenost u svakodnevno poslovanje -- kroz redovite edukacije, periodične revizije i jasne interne procese -- ne samo da smanjuju rizik od kazni, nego grade povjerenje kod klijenata, partnera i zaposlenika. U poslovnom okruženju gdje je povjerenje sve važniji konkurentski faktor, usklađenost postaje strateška prednost.
Za sveobuhvatni pregled svih pojmova koji se pojavljuju u ovom vodiču, uključujući tehničke termine kao što su DPO, DPIA, izvršitelj obrade i voditelj obrade, posjetite naš pojmovnik compliance termina.
Skriveni troškovi neusklađenosti
Novčana kazna od AZOP-a samo je vrh ledenog brijega. Tvrtke koje doživljavaju povredu podataka ili regulatorni postupak suočavaju se s nizom dodatnih troškova:
- Reputacijska šteta: Vijesti o GDPR kaznama objavljuju se na AZOP-ovoj web stranici i često ih prenose mediji. Za tvrtke koje posluju s potrošačima (B2C), gubitak povjerenja može biti daleko skuplji od same kazne.
- Pravni troškovi: Angažiranje odvjetnika za postupak pred AZOP-om, priprema žalbe i eventualni upravni spor pred Visokim upravnim sudom generiraju značajne troškove.
- Operativni troškovi: AZOP može naložiti privremenu obustavu obrade podataka, što može paralizirati poslovne procese koji ovise o osobnim podacima (CRM, marketing, HR).
- Troškovi sanacije: Nakon utvrđenog kršenja, tvrtka mora implementirati korektivne mjere -- često u kratkom roku i pod nadzorom regulatora.
- Gubitak poslovnih partnera: Sve više tvrtki, posebno iz EU, zahtijeva dokaz GDPR usklađenosti od svojih poslovnih partnera i dobavljača.
- Civilne tužbe: Ispitanici čija su prava povrijeđena imaju pravo na naknadu štete prema članku 82. GDPR-a. Kolektivne tužbe postaju sve češće u EU.
Spremni za akciju? Provedite procjenu usklađenosti već danas. Identificirajte ranjivosti, implementirajte rješenja iz ovog vodiča i uspostavite kontinuirano praćenje usklađenosti.
Trebate pomoć? Pregledajte naše tečajeve ili kontaktirajte naš tim za stručno vodstvo.
Često postavljana pitanja (FAQ)
Koliko iznose GDPR kazne u Hrvatskoj?
AZOP je od 2020. godine izdao 32 kazne u ukupnom iznosu od 3,1 milijun eura. Najveća kazna u Hrvatskoj iznosila je 2,26 milijuna eura. Prema GDPR-u, kazne mogu iznositi do 20 milijuna eura ili 4% godišnjeg prometa.
Tko izdaje GDPR kazne u Hrvatskoj?
AZOP (Agencija za zaštitu osobnih podataka) je nadzorno tijelo za zaštitu podataka u Hrvatskoj. AZOP provodi nadzore, prima pritužbe građana i izriče upravne novčane kazne za kršenje GDPR-a.
Koje su najčešće GDPR greške koje dovode do kazni?
Pet najčešćih grešaka: 1) Neispravno prikupljanje privole, 2) Neodgovaranje na zahtjeve ispitanika u roku od 30 dana, 3) Nepravilno vođenje evidencije obrade, 4) Nepravovremena prijava povrede podataka, 5) Nedostatak ugovora s obrađivačima podataka.
Kako izbjeći GDPR kazne?
Ključni koraci: provedite gap analizu, implementirajte sustav upravljanja privolama, educirajte zaposlenike, uspostavite proces za zahtjeve ispitanika, i dokumentirajte sve aktivnosti obrade. Redoviti auditi ključni su za održavanje usklađenosti.
Može li se GDPR kazna smanjiti ili ukinuti?
Da. AZOP može smanjiti kaznu ako tvrtka surađuje tijekom istrage, poduzme korektivne mjere i nema prethodnih kršenja. Moguće je uložiti žalbu na kaznu u roku od 15 dana od primitka rješenja.
Koliko traje AZOP-ova inspekcija?
Trajanje inspekcije ovisi o složenosti predmeta. Jednostavniji postupci po pritužbi građana mogu se zaključiti u roku od nekoliko tjedana, dok složeniji nadzori -- primjerice oni koji uključuju analizu velikih sustava obrade -- mogu trajati i nekoliko mjeseci. AZOP ima pravo zatražiti svu potrebnu dokumentaciju, provesti uvid na licu mjesta i obaviti razgovore sa zaposlenicima. Tijekom inspekcije imate pravo na pravnog zastupnika, a suradnja s AZOP-om može pozitivno utjecati na ishod postupka.
Trebam li službenika za zaštitu podataka (DPO)?
Imenovanje DPO-a obvezno je u tri slučaja: 1) ako ste tijelo javne vlasti ili javno tijelo, 2) ako vaše ključne aktivnosti uključuju redovito i sustavno praćenje ispitanika u velikom opsegu, ili 3) ako obrađujete posebne kategorije podataka u velikom opsegu (npr. zdravstvene podatke, biometrijske podatke). Čak i kad imenovanje nije obvezno, mnoge tvrtke se odlučuju za dobrovoljno imenovanje DPO-a kao mjeru dobre prakse.
Moraju li male tvrtke biti usklađene s GDPR-om?
Da, GDPR se primjenjuje na sve tvrtke koje obrađuju osobne podatke, bez obzira na veličinu. Postoje određena izuzeća od vođenja evidencije obrade za tvrtke s manje od 250 zaposlenika, ali samo ako obrada nije redovita, ne uključuje posebne kategorije podataka i ne predstavlja rizik za ispitanike. U praksi, gotovo svaka tvrtka mora voditi evidenciju jer redovito obrađuje podatke zaposlenika i klijenata.
Kako se GDPR odnosi na podatke radnika?
Obrada osobnih podataka zaposlenika podliježe GDPR-u jednako kao i obrada podataka kupaca. Poslodavci moraju imati pravnu osnovu za obradu (najčešće izvršenje ugovora o radu ili zakonska obveza), moraju informirati zaposlenike o obradi njihovih podataka i poštovati sva njihova prava kao ispitanika. Posebnu pažnju treba obratiti na videooblikovanje radnog prostora, praćenje e-pošte i korištenje GPS-a u službenim vozilima. Detalje o zaštiti podataka zaposlenika pokrivamo u tečaju GDPR vodič za HR.
Što ako sam dobavljač velikoj tvrtki?
Ako obrađujete osobne podatke u ime druge tvrtke (kao izvršitelj obrade), GDPR se u potpunosti primjenjuje na vas. Morate sklopiti ugovor o obradi podataka s voditeljem obrade, implementirati odgovarajuće tehničke i organizacijske mjere te obrađivati podatke isključivo prema dokumentiranim uputama voditelja obrade. Velike tvrtke sve češće provode GDPR due diligence svojih dobavljača, pa neusklađenost može rezultirati ne samo kaznom od AZOP-a nego i gubitkom poslovnih partnerstava. Ako surađujete s kompanijama koje su obveznici NIS2 direktive, sigurnosni zahtjevi bit će još stroži.
Naši GDPR tečajevi
- GDPR usklađenost u reklamacijama -- Upravljanje upitima, incidentima i zaštita podataka.
- GDPR u praksi: Vodič za usklađenost -- Temeljna znanja za voditelje obrade.
- GDPR vodič za HR -- Zaštita podataka zaposlenika.
Izvori
AZOP -- Izrečene upravne novčane kazne. Agencija za zaštitu osobnih podataka. Registar svih izrečenih kazni u Hrvatskoj. azop.hr/izrecene-upravne-novcane-kazne
Uredba (EU) 2016/679 -- Opća uredba o zaštiti podataka (GDPR). Puni tekst uredbe na hrvatskom jeziku. EUR-Lex. eur-lex.europa.eu/eli/reg/2016/679/oj
DLA Piper GDPR Fines and Data Breach Survey. Godišnje izvješće o GDPR kaznama i povredama podataka u Europi. dlapiper.com/en/insights/publications/gdpr-fines-and-data-breach-survey
EDPB Annual Report. Europski odbor za zaštitu podataka -- godišnje izvješće o aktivnostima nadzornih tijela diljem EU. edpb.europa.eu/our-work-tools/our-documents/annual-report
IBM Cost of a Data Breach Report 2024. Godišnje istraživanje o troškovima povreda podataka na globalnoj razini. ibm.com/reports/data-breach
ENISA Threat Landscape Report. Europska agencija za kibernetičku sigurnost -- analiza prijetnji i statistika povreda podataka. enisa.europa.eu/publications/enisa-threat-landscape
AZOP -- Službena web stranica. Informacije o pravima ispitanika, obvezama voditelja obrade i aktualnim smjernicama. azop.hr
Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18). Hrvatski zakon koji dopunjuje GDPR na nacionalnoj razini. zakon.hr
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake.