Što je GDPR? Potpuni vodič za hrvatske tvrtke u 2026.

GDPR je najpoznatija i najutjecajnija regulativa o zaštiti podataka na svijetu, no za mnoge hrvatske tvrtke i dalje je izvor nesigurnosti. Što točno zahtijeva? Koga obvezuje? Koliko su stvarno visoke kazne — i što treba napraviti da budete usklađeni? Ovaj vodič daje cjelovit, praktičan odgovor prilagođen hrvatskom kontekstu i stanju u 2026. godini.

Što je GDPR?

GDPR (engl. General Data Protection Regulation), odnosno Opća uredba o zaštiti podataka (Uredba EU 2016/679), zakon je Europske unije koji uređuje kako organizacije prikupljaju, pohranjuju, obrađuju i dijele osobne podatke pojedinaca. Na snazi je od 25. svibnja 2018. i izravno se primjenjuje u svim državama članicama, uključujući Hrvatsku.

Ključno je razumjeti dvije stvari. Prvo, GDPR je uredba, a ne direktiva — to znači da se primjenjuje izravno, bez potrebe za prenošenjem u nacionalno pravo. U Hrvatskoj je dopunjen Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018), koji uređuje pojedina nacionalna pitanja, primjerice videonadzor i nadležnost AZOP-a. Drugo, GDPR ima širok teritorijalni doseg: primjenjuje se na svaku organizaciju koja obrađuje podatke osoba u Europskom gospodarskom prostoru (EGP), bez obzira na to gdje organizacija ima sjedište.

Što su osobni podaci?

Osobni podaci su sve informacije koje se odnose na fizičku osobu koju je moguće identificirati — izravno ili neizravno. To uključuje očito kao što su ime, OIB, adresa i e-pošta, ali i manje očito: IP adresu, lokacijske podatke, identifikatore kolačića, fotografije i snimke videonadzora.

Posebnu pažnju zahtijevaju posebne kategorije podataka (čl. 9.) — podaci o zdravlju, vjerskim ili političkim uvjerenjima, rasnom ili etničkom podrijetlu, spolnom životu, sindikalnom članstvu i biometrijski podaci. Njihova je obrada u načelu zabranjena, osim u točno propisanim slučajevima, i zahtijeva dodatne mjere zaštite.

Zašto je GDPR važan za hrvatske tvrtke?

U Hrvatskoj je za nadzor nad provedbom GDPR-a nadležna Agencija za zaštitu osobnih podataka (AZOP). AZOP zaprima pritužbe, provodi nadzore i izriče upravne novčane kazne. Posljednjih je godina broj pritužbi i nadzora u stalnom porastu, a posebno česti predmeti odnose se na videonadzor, obradu podataka zaposlenika, izravni marketing i nedostatne sigurnosne mjere.

Usklađenost nije samo izbjegavanje kazni. Sve više klijenata, partnera i javnih naručitelja u sklopu nabave traži dokaze o usklađenosti — politike privatnosti, ugovore o obradi i evidencije. Tvrtka koja ne može pokazati red u zaštiti podataka gubi poslove, ne samo zbog regulatora, nego i zbog tržišta.

Sedam načela GDPR-a

Sva obrada osobnih podataka mora poštivati sedam temeljnih načela iz članka 5.:

1. Zakonitost, poštenost i transparentnost — obrađujte podatke na zakonitoj osnovi i jasno informirajte ljude o tome što radite s njihovim podacima.
2. Ograničenje svrhe — prikupljajte podatke samo za određene, izričite i zakonite svrhe i ne koristite ih naknadno na nespojiv način.
3. Smanjenje količine podataka — prikupljajte samo ono što je doista potrebno za svrhu.
4. Točnost — održavajte podatke točnima i ažurnima te ispravljajte netočne.
5. Ograničenje pohrane — ne čuvajte podatke dulje nego što je potrebno.
6. Cjelovitost i povjerljivost — zaštitite podatke odgovarajućim tehničkim i organizacijskim mjerama.
7. Pouzdanost (odgovornost) — morate biti u stanju dokazati da poštujete sva navedena načela.

Načelo pouzdanosti najčešće se podcjenjuje. GDPR ne traži samo da budete usklađeni — traži da to možete dokumentirano dokazati. Upravo zato su evidencije, politike i dokazi o edukaciji zaposlenika ključni.

Zakonite osnove obrade

Nijedna obrada osobnih podataka nije dopuštena bez zakonite osnove iz članka 6. Postoji šest osnova:

• Privola ispitanika — dobrovoljna, informirana i nedvosmislena; mora se moći jednako lako povući kao i dati.
• Izvršavanje ugovora — obrada nužna za ugovor u kojem je ispitanik stranka.
• Pravna obveza — obrada nužna radi ispunjenja zakonske obveze (npr. porezni i radni propisi).
• Zaštita životno važnih interesa — u iznimnim situacijama zaštite života.
• Javni interes — za zadaće u javnom interesu ili pri izvršavanju javnih ovlasti.
• Legitimni interes — kad je obrada nužna za legitimne interese voditelja, uz uvjet da ne prevladavaju prava ispitanika; zahtijeva dokumentiranu procjenu.

Česta je pogreška oslanjanje na privolu ondje gdje je prikladnija druga osnova. Privola nije "zadana" osnova — često je najslabija, jer se može povući u svakom trenutku.

Prava ispitanika

GDPR daje pojedincima niz prava u odnosu na njihove podatke. Tvrtka mora znati prepoznati zahtjev i postupiti po njemu, u pravilu u roku od mjesec dana:

• Pravo na pristup — uvid u podatke i informacije o obradi.
• Pravo na ispravak — ispravljanje netočnih podataka.
• Pravo na brisanje ("pravo na zaborav") — brisanje pod određenim uvjetima.
• Pravo na ograničenje obrade — privremeno "zamrzavanje" obrade.
• Pravo na prenosivost — primanje podataka u strukturiranom, strojno čitljivom obliku.
• Pravo na prigovor — osobito na izravni marketing i obrade temeljene na legitimnom interesu.
• Prava u vezi s automatiziranim odlučivanjem — uključujući izradu profila.

Najčešći problem nije sadržaj prava, nego odgovor na vrijeme. Tvrtke bez internog postupka lako probiju rok od mjesec dana, što je samo po sebi povreda.

Ključne obveze tvrtke

Osim poštivanja načela, GDPR nameće niz konkretnih obveza:

• Evidencija aktivnosti obrade (čl. 30.) — popis svih obrada koje provodite, svrha, kategorija podataka i rokova čuvanja.
• Ugovori o obradi (DPA) — pisani ugovor sa svakim izvršiteljem obrade (npr. pružateljem IT usluga) prema čl. 28.
• Službenik za zaštitu podataka (DPO) — obvezan za tijela javne vlasti te organizacije koje provode opsežno praćenje ili obradu posebnih kategorija (čl. 37.).
• Procjena učinka (DPIA) — kad obrada vjerojatno predstavlja visok rizik za prava ispitanika (čl. 35.).
• Tehnička i integrirana zaštita (čl. 25.) — privatnost ugrađena u procese od početka.
• Sigurnost obrade (čl. 32.) — odgovarajuće mjere poput enkripcije, kontrole pristupa i dvofaktorske autentifikacije.
• Prijava povrede (čl. 33.–34.) — vidi nastavak.

Povreda osobnih podataka i rok od 72 sata

Povreda osobnih podataka je svako kršenje sigurnosti koje dovodi do uništenja, gubitka, izmjene ili neovlaštenog otkrivanja ili pristupa podacima. Tipični primjeri: pogrešno poslana e-pošta s podacima, izgubljeni laptop, ransomware napad ili phishing koji je doveo do kompromitacije računa.

Pravilo koje svaki zaposlenik mora znati: povredu treba prijaviti AZOP-u bez nepotrebne odgode, najkasnije u roku od 72 sata od saznanja, osim ako nije vjerojatno da predstavlja rizik za prava ispitanika. Ako je rizik visok, o povredi se obavještavaju i sami ispitanici. Zbog kratkog roka, presudno je da osoblje zna prepoznati i interno eskalirati incident u satima, a ne danima.

Kazne: koliko zapravo košta neusklađenost?

GDPR predviđa dvije razine upravnih novčanih kazni (čl. 83.):

• Do 10 milijuna eura ili 2% ukupnog godišnjeg prometa (ovisno o tome što je veće) — za povrede obveza poput evidencije, sigurnosti obrade i obveza prema izvršiteljima.
• Do 20 milijuna eura ili 4% ukupnog godišnjeg prometa — za teže povrede, primjerice kršenje načela, zakonitih osnova ili prava ispitanika.

Iako su najviše kazne rezervirane za velike slučajeve, AZOP redovito izriče kazne i hrvatskim tvrtkama, a uz novčani iznos dolazi i reputacijska šteta te trošak ispravljanja. Važno je naglasiti da i mala tvrtka može biti kažnjena — visina kazne uzima u obzir prirodu, težinu i trajanje povrede te stupanj suradnje.

Kako postići usklađenost: praktični koraci

Usklađenost s GDPR-om nije jednokratni projekt, nego trajan proces. Praktičan put obično izgleda ovako:

1. Popišite obrade — izradite evidenciju aktivnosti obrade: koje podatke prikupljate, zašto, na kojoj osnovi i koliko ih čuvate.
2. Provjerite zakonite osnove — za svaku obradu odredite ispravnu osnovu iz čl. 6.
3. Uredite odnose s dobavljačima — sklopite ugovore o obradi sa svim izvršiteljima.
4. Ažurirajte politike — politiku privatnosti, internu politiku zaštite podataka i postupanje s pravima ispitanika.
5. Uvedite sigurnosne mjere — enkripciju, kontrolu pristupa, sigurnosne kopije i dvofaktorsku autentifikaciju.
6. Pripremite se za povrede — uspostavite postupak prijave i eskalacije u roku od 72 sata.
7. Educirajte zaposlenike — jer većina povreda počinje ljudskom pogreškom.

GDPR u praksi: marketing, zaposlenici i web stranice

Teorija je jedno, ali većina pitanja koja tvrtke postavljaju odnosi se na tri svakodnevna područja.

Izravni marketing i newsletter. Slanje promotivnih poruka postojećim i potencijalnim klijentima jedno je od najosjetljivijih područja. Za newsletter prema novim kontaktima u pravilu je potrebna privola, dok se za postojeće klijente u određenim uvjetima može osloniti na legitimni interes uz jasnu mogućnost odjave u svakoj poruci. Pravo na prigovor na izravni marketing je apsolutno — kad ga ispitanik uloži, obrada u tu svrhu mora odmah prestati. Kupljene baze kontakata gotovo su uvijek problematične jer nedostaje valjana osnova i transparentnost.

Podaci zaposlenika. Radni odnos donosi opsežnu obradu — od ugovora i plaća do evidencije radnog vremena i, sve češće, videonadzora. Poslodavac ne može sve temeljiti na privoli, jer privola zaposlenika rijetko je doista dobrovoljna zbog odnosa podređenosti. Zato se obrada uglavnom temelji na ugovoru, pravnoj obvezi ili legitimnom interesu, uz obavezno informiranje radnika. Praćenje radnika (videonadzor, nadzor e-pošte, lokacije) dopušteno je samo uz ispunjene posebne uvjete i jasnu obavijest.

Web stranice i kolačići. Većina web stranica koristi kolačiće i slične tehnologije. Za sve kolačiće koji nisu nužni za rad stranice (analitika, marketing, društvene mreže) potrebna je prethodna privola korisnika putem ispravno postavljenog sustava privole — ne smiju se aktivirati prije nego korisnik pristane. Uz to, web stranica mora imati jasnu i dostupnu politiku privatnosti koja stvarno odgovara obradama koje provodite.

Tehnička i integrirana zaštita podataka

Članak 25. uvodi načela tehničke i integrirane zaštite podataka (engl. privacy by design and by default). U praksi to znači dvije stvari. Prvo, zaštitu podataka treba ugraditi u proizvode i procese od samog početka, a ne naknadno "zakrpati". Drugo, zadane postavke moraju biti najmanje nametljive — sustav prema zadanim postavkama prikuplja samo ono što je nužno, a ne maksimum podataka.

Za hrvatske tvrtke to je sve važnije jer se sve više poslovanja oslanja na digitalne alate. Prilikom uvođenja novog softvera, CRM-a ili aplikacije, pitanja poput "koje podatke ovaj alat prikuplja", "gdje se pohranjuju" i "tko im ima pristup" trebaju biti dio odluke o nabavi, a ne naknadno iznenađenje. Tu se GDPR dodiruje s kibernetičkom sigurnošću — bez tehničkih mjera poput enkripcije i kontrole pristupa, organizacijske politike ostaju mrtvo slovo na papiru.

Najčešće pogreške hrvatskih tvrtki

• Oslanjanje na privolu ondje gdje je prikladnija druga osnova.
• Politika privatnosti "preuzeta s interneta" koja ne odgovara stvarnim obradama.
• Nepostojanje ugovora o obradi s ključnim dobavljačima (npr. usluge u oblaku).
• Predugo ili neograničeno čuvanje podataka i snimki videonadzora.
• Izostanak edukacije — zaposlenici ne znaju prepoznati incident ni zahtjev ispitanika.

Često postavljana pitanja

Primjenjuje li se GDPR na male tvrtke i obrtnike?
Da. GDPR se primjenjuje neovisno o veličini organizacije. Manji subjekti imaju određene olakšice (npr. kod obveze vođenja evidencije u vrlo ograničenim slučajevima), ali temeljne obveze vrijede za sve koji obrađuju osobne podatke.

Trebamo li obavezno imenovati službenika za zaštitu podataka (DPO)?
Ne nužno. DPO je obvezan za tijela javne vlasti te organizacije koje provode opsežno praćenje ili obradu posebnih kategorija podataka. Mnoge tvrtke ipak imenuju DPO-a ili osobu za zaštitu podataka kao primjer dobre prakse.

Koliko dugo smijemo čuvati osobne podatke?
Onoliko koliko je potrebno za svrhu zbog koje su prikupljeni, odnosno koliko propisuju posebni zakoni (npr. računovodstveni i radni propisi). Trajno čuvanje "za svaki slučaj" nije u skladu s načelom ograničenja pohrane.

Što ako koristimo inozemne alate (npr. američke usluge u oblaku)?
Prijenos podataka izvan EGP-a dopušten je samo uz odgovarajuće mehanizme zaštite (npr. standardne ugovorne klauzule ili odluku o primjerenosti). Provjerite gdje vaš dobavljač pohranjuje podatke i koje jamstvo nudi.

Vrijedi li GDPR i za poslovne kontakte (B2B), ne samo za potrošače?
Da. GDPR štiti podatke fizičkih osoba, pa i kad je riječ o zaposlenicima ili kontakt-osobama poslovnih partnera. Poslovna e-pošta s imenom i prezimenom (npr. ime.prezime@tvrtka.hr) i dalje je osobni podatak. B2B kontekst ne isključuje GDPR — samo mijenja koja je zakonita osnova najprikladnija.

Je li dovoljno jednom uskladiti tvrtku s GDPR-om?
Nije. Usklađenost je trajan proces: obrade se mijenjaju, uvode se novi alati i dobavljači, a zaposlenici dolaze i odlaze. Zato su periodična provjera evidencije, ažuriranje politika i redovita edukacija nužni kako biste usklađenost održali, a ne samo jednom postigli.

Zaključak

GDPR nije birokratska prepreka, nego okvir povjerenja: tvrtke koje uredno postupaju s podacima lakše posluju, lakše prolaze nabavu i izbjegavaju skupe incidente. Najveći dio rizika u praksi ne dolazi od složenih pravnih pitanja, nego od svakodnevnih ljudskih pogrešaka — pogrešno poslane e-pošte, ponovno upotrijebljene lozinke ili nepoznavanja postupka prijave povrede.

Zato je educiran tim najisplativija mjera usklađenosti. Ako želite cijeli svoj tim brzo i dokumentirano educirati o GDPR-u, pogledajte našu GDPR edukaciju za tvrtke — gotov, vođen program s certifikatima spremnima za nadzor.