Ugovor o obradi (DPA): što mora sadržavati prema GDPR-u (2026.)

Gotovo svaka tvrtka danas povjerava obradu osobnih podataka nekom drugom — pružatelju usluga u oblaku, računovodstvenom servisu, agenciji za marketing, IT podršci ili platformi za e-poštu. U trenutku kad to učinite, GDPR zahtijeva poseban ugovor: ugovor o obradi. Bez njega kršite Uredbu već samim angažiranjem tog dobavljača. Evo što morate znati.

Voditelj i izvršitelj obrade: tko je tko

Da bismo razumjeli ugovor o obradi, prvo treba razlikovati dvije uloge:

• Voditelj obrade je onaj tko određuje svrhe i sredstva obrade — dakle vaša tvrtka koja odlučuje koje podatke prikuplja i zašto.
• Izvršitelj obrade je onaj tko obrađuje podatke u ime voditelja — primjerice pružatelj softvera u oblaku koji pohranjuje vaše podatke o klijentima.

Kad god postoji takav odnos, GDPR čl. 28. zahtijeva da bude uređen pisanim ugovorom o obradi (engl. Data Processing Agreement, DPA). To vrijedi neovisno o veličini dobavljača — i mali, "neformalni" pružatelji usluga su izvršitelji obrade ako rukuju vašim podacima.

Zašto je DPA obavezan

Ugovor o obradi nije formalnost. On:

• uspostavlja zakonitost angažiranja izvršitelja — bez njega obrada je protupravna,
• definira granice onoga što izvršitelj smije i ne smije raditi s podacima,
• raspoređuje odgovornosti za sigurnost, prijavu povreda i prava ispitanika,
• štiti voditelja jer izvršitelja obvezuje na postupanje po uputama i na povjerljivost.

Izostanak ugovora o obradi sam je po sebi povreda GDPR-a — i to neovisno o tome je li ikad došlo do incidenta. AZOP pri nadzoru redovito traži upravo te ugovore.

Obvezni sadržaj prema čl. 28.

GDPR propisuje minimalni sadržaj ugovora o obradi. On mora urediti:

• Predmet i trajanje obrade, te prirodu i svrhu obrade
• Vrstu osobnih podataka i kategorije ispitanika
• Obradu isključivo po dokumentiranim uputama voditelja (uključujući prijenose u treće zemlje)
• Obvezu povjerljivosti svih osoba koje obrađuju podatke
• Sigurnost obrade — tehničke i organizacijske mjere prema čl. 32. (npr. enkripcija, kontrola pristupa)
• Uvjete angažiranja podizvršitelja — uz prethodno pisano odobrenje voditelja i prenošenje istih obveza
• Pomoć voditelju kod ostvarivanja prava ispitanika
• Pomoć kod sigurnosti, prijave povreda i procjena učinka
• Brisanje ili povrat podataka po isteku usluge, prema izboru voditelja
• Omogućavanje revizija i stavljanje na raspolaganje svih informacija za dokazivanje usklađenosti

Podizvršitelji: lanac obrade

Većina modernih usluga oslanja se na druge dobavljače — primjerice SaaS platforma koristi infrastrukturu velikog pružatelja oblaka. Ti "dobavljači vašeg dobavljača" su podizvršitelji. Ugovor o obradi mora urediti pod kojim ih uvjetima izvršitelj smije angažirati (opće ili posebno odobrenje, obavještavanje o promjenama) te osigurati da i oni preuzmu jednake obveze zaštite podataka. Vrijedi voditi i ažuran popis podizvršitelja jer je to čest predmet provjere.

Prijenosi izvan EU-a

Ako izvršitelj ili podizvršitelj pohranjuje ili obrađuje podatke izvan Europskog gospodarskog prostora (npr. američke usluge u oblaku), potrebni su dodatni mehanizmi zaštite — primjerice standardne ugovorne klauzule ili oslanjanje na odluku o primjerenosti. Ugovor o obradi treba jasno navesti gdje se podaci obrađuju i koja jamstva osiguravaju zakonit prijenos.

DPA vs. opći uvjeti dobavljača

Mnogi pružatelji usluga nude vlastiti, unaprijed pripremljen ugovor o obradi (često kao prilog općim uvjetima). To je praktično, ali ne oslobađa vas odgovornosti da provjerite sadrži li taj dokument sve elemente iz čl. 28. i odgovara li stvarnoj obradi. Kao voditelj obrade, vi snosite odgovornost za odabir izvršitelja koji "u dovoljnoj mjeri jamči" provedbu odgovarajućih mjera.

Praktični koraci za usklađenost

1. Popišite sve dobavljače koji obrađuju osobne podatke u vaše ime (CRM, e-pošta, oblak, računovodstvo, marketing, HR alati).
2. Za svakog provjerite postoji li ugovor o obradi i sadrži li elemente iz čl. 28.
3. Provjerite gdje se podaci pohranjuju i postoje li prijenosi izvan EU-a.
4. Zatražite ili dopunite popis podizvršitelja.
5. Uskladite ugovore o obradi s vašom evidencijom aktivnosti obrade.
6. Uspostavite proces da novi dobavljač ne krene s radom prije sklopljenog ugovora.

Voditelj ili izvršitelj? Granični slučajevi

Najteže pitanje u praksi nije sadržaj ugovora, nego tko je tko. O tome ovisi treba li uopće ugovor o obradi ili neki drugi aranžman.

• Računovodstveni servis koji obrađuje podatke o vašim zaposlenicima po vašim uputama u pravilu je izvršitelj — treba ugovor o obradi. No za ispunjavanje vlastitih zakonskih obveza (npr. prijave poreznoj upravi) može djelovati i kao zaseban voditelj.
• Pružatelj softvera u oblaku koji pohranjuje vaše podatke o klijentima klasičan je izvršitelj.
• Banka, javni bilježnik ili odvjetnik najčešće su zasebni voditelji obrade jer obrađuju podatke radi vlastitih zakonskih obveza, a ne isključivo po vašim uputama — tada se ne sklapa ugovor o obradi, nego se odnos uređuje drukčije.
• Dvije tvrtke koje zajednički određuju svrhe i sredstva obrade mogu biti zajednički voditelji, što zahtijeva poseban sporazum prema čl. 26., a ne ugovor o obradi.

Pravilo za razlikovanje: tko odlučuje o svrsi i načinu obrade. Tko odlučuje — voditelj je. Tko izvršava po tuđim uputama — izvršitelj je.

Praktičan primjer: alat za e-poštu i newsletter

Zamislimo da tvrtka koristi popularnu platformu za slanje newslettera. Platforma pohranjuje e-adrese i podatke o ponašanju primatelja (otvaranja, klikovi) na serverima koji se mogu nalaziti izvan EU-a.

• Uloge: tvrtka je voditelj (odlučuje koga i čime kontaktira), platforma je izvršitelj.
• Ugovor o obradi: obavezan. Najčešće ga platforma nudi kao dio uvjeta — tvrtka ga mora provjeriti i prihvatiti, ne samo pretpostaviti da postoji.
• Podizvršitelji: platforma vjerojatno koristi infrastrukturu velikog pružatelja oblaka — provjerite popis podizvršitelja.
• Prijenos izvan EU-a: ako se podaci obrađuju u SAD-u, provjerite mehanizam zaštite (npr. standardne ugovorne klauzule ili odluku o primjerenosti).
• Brisanje: po prestanku korištenja platforme, podaci se moraju vratiti ili obrisati.

Bez provjere ovih točaka, tvrtka šalje podatke svojih kontakata trećoj strani bez zakonitog temelja — što je čest, a lako rješiv propust.

Kako provjeriti ugovor dobavljača u 5 minuta

Kad dobavljač ponudi svoj ugovor o obradi, brzo provjerite sadrži li:

1. Jasno definirane svrhe, vrste podataka i kategorije ispitanika.
2. Obvezu obrade samo po vašim uputama.
3. Sigurnosne mjere (čl. 32.) i obvezu povjerljivosti.
4. Pravila o podizvršiteljima (odobrenje i obavještavanje).
5. Pomoć kod prava ispitanika i prijave povreda.
6. Brisanje/povrat podataka na kraju i pravo na reviziju.
7. Podatke o lokaciji obrade i prijenosima izvan EU-a.

Ako neki od ovih elemenata nedostaje, zatražite dopunu prije početka korištenja usluge.

Najčešće pogreške

• Nepostojanje ugovora s ključnim dobavljačima (osobito uslugama u oblaku).
• Oslanjanje na opće uvjete bez provjere sadrže li elemente iz čl. 28.
• Ignoriranje podizvršitelja i prijenosa izvan EU-a.
• DPA koji ne odgovara stvarnoj obradi (pogrešne kategorije podataka ili svrhe).
• Izostanak brisanja ili povrata podataka nakon prestanka suradnje.

Što ako dobavljač odbije sklopiti ugovor o obradi

Dobavljač koji rukuje osobnim podacima, a odbija sklopiti ugovor o obradi ili dostaviti osnovne podatke o sigurnosti i podizvršiteljima, ozbiljan je znak upozorenja. Kao voditelj obrade, vi ste dužni angažirati samo izvršitelje koji "u dovoljnoj mjeri jamče" provedbu odgovarajućih mjera (čl. 28. st. 1.). Ako dobavljač to ne može ili ne želi dokazati, vi snosite rizik.

U praksi to znači: ugovor o obradi treba biti uvjet suradnje, jednako kao i komercijalni uvjeti. Za ključne usluge (oblak, e-pošta, HR i financijski alati) ne biste trebali započeti obradu prije nego što je ugovor sklopljen. Ako postojeći dobavljač odbija, to je razlog za ponovnu procjenu te suradnje — i argument koji ozbiljni dobavljači razumiju, jer i sami imaju iste obveze prema svojim klijentima.

Odgovornost: tko plaća kad nešto pođe po zlu

GDPR raspodjeljuje odgovornost između voditelja i izvršitelja, ali na različite načine:

• Prema ispitanicima i nadzornom tijelu, voditelj obrade snosi primarnu odgovornost za zakonitost obrade i odabir pouzdanog izvršitelja.
• Izvršitelj izravno odgovara za obveze koje GDPR propisuje upravo njemu (npr. sigurnost, postupanje po uputama, podizvršitelji) i može biti samostalno kažnjen.
• Međusobni odnos (tko koga obeštećuje) uređuje se ugovorom — zato ugovori o obradi često sadrže i odredbe o odgovornosti i naknadi štete.

Ključna poruka: postojanje ugovora o obradi ne prebacuje svu odgovornost na dobavljača. On je dokaz da ste postupili s dužnom pažnjom, ali vi kao voditelj i dalje morate birati pouzdane partnere i nadzirati ih. Povreda podataka kod izvršitelja i dalje je i vaš problem.

Ugovor o obradi i evidencija aktivnosti obrade

Ugovori o obradi usko su povezani s evidencijom aktivnosti obrade (čl. 30.). Evidencija bi trebala odražavati koje obrade povjeravate kojim izvršiteljima, a popis dobavljača (i njihovih podizvršitelja) prirodno proizlazi iz tog popisa. Održavanje te dvije stvari usklađenima daje vam u svakom trenutku jasnu sliku gdje se i kod koga vaši podaci obrađuju — što je upravo ono što nadzorno tijelo i poslovni partneri provjeravaju.

Često postavljana pitanja

Trebamo li ugovor o obradi i s malim, lokalnim dobavljačem?
Da. Veličina dobavljača nije bitna. Ako rukuje osobnim podacima u vaše ime, on je izvršitelj obrade i potreban je ugovor.

Tko je odgovoran ako izvršitelj uzrokuje povredu podataka?
Obje strane imaju obveze. Voditelj je odgovoran za odabir pouzdanog izvršitelja i jasne upute; izvršitelj za postupanje po ugovoru i sigurnost. Ugovor o obradi upravo raspodjeljuje te odgovornosti.

Je li dovoljno usmeno se dogovoriti?
Ne. GDPR zahtijeva pisani oblik (uključujući elektronički). Usmeni dogovor ne zadovoljava čl. 28.

Razlikuje li se DPA od ugovora o povjerljivosti (NDA)?
Da. NDA štiti povjerljive informacije općenito, dok DPA uređuje konkretne obveze obrade osobnih podataka prema GDPR-u. NDA ne zamjenjuje ugovor o obradi.

Trebamo li ugovor o obradi sa svojim zaposlenicima?
Ne. Zaposlenici nisu izvršitelji obrade — oni obrađuju podatke u okviru radnog odnosa, pod nadzorom poslodavca. Njihove obveze uređuju se ugovorom o radu, internim aktima i obvezom povjerljivosti, a ne ugovorom o obradi.

Vrijedi li nam jedan ugovor za sve usluge istog dobavljača?
Može, ako jasno pokriva sve usluge i pripadajuće obrade. Bitno je da opis obrade (svrhe, vrste podataka, kategorije ispitanika) stvarno odgovara svemu što dobavljač za vas radi. Kod proširenja usluge provjerite pokriva li je postojeći ugovor.

Tko je odgovoran za podizvršitelje koje angažira naš dobavljač?
Izvršitelj odgovara vama za svoje podizvršitelje i mora na njih prenijeti jednake obveze. Vi kao voditelj trebate biti obaviješteni o podizvršiteljima i imati mogućnost prigovora. Zato je popis podizvršitelja važan dio ugovora i dokumentacije.

Treba li ugovor o obradi biti na hrvatskom jeziku?
GDPR ne propisuje jezik, pa je valjan i ugovor na engleskom (čest kod inozemnih dobavljača). Bitno je da osobe koje ga prihvaćaju razumiju njegov sadržaj i obveze. Ako ugovor prihvaća netko tko ne barata jezikom ili materijom, raste rizik da se preuzmu obveze koje se ne mogu ispuniti — još jedan razlog za internu edukaciju ključnih timova.

Edukacija: tko u tvrtki treba razumjeti ugovore o obradi

Ugovori o obradi nisu samo posao pravne službe. Nabava bira dobavljače, IT uvodi alate, marketing i ljudski resursi koriste platforme koje obrađuju podatke. Ako te funkcije ne prepoznaju kada nastaje odnos voditelj–izvršitelj, ugovori o obradi se preskaču upravo ondje gdje su najpotrebniji. Kratka, praktična edukacija ključnih timova sprječava najčešći propust — dobavljača koji počne obrađivati podatke bez ijednog potpisanog ugovora.

Zašto se ugovori o obradi tako često zaboravljaju

U praksi ugovori o obradi najčešće izostanu ne zbog loše namjere, nego zbog brzine i fragmentiranosti. Marketinški tim u nekoliko minuta otvori račun na novoj platformi za newsletter. Voditelj projekta uvede alat za upravljanje zadacima koji pohranjuje podatke o klijentima. Netko iz ureda počne koristiti besplatni servis za prijenos velikih datoteka. Svaka od tih svakodnevnih odluka može pokrenuti novi odnos voditelj–izvršitelj — a ugovor o obradi nitko ne sklapa jer se "radi samo o alatu".

Upravo zato je ključno da ugovor o obradi ne bude izolirana zadaća pravne službe, nego dio procesa uvođenja svakog novog alata i dobavljača. Jednostavno pravilo — "ako alat dira osobne podatke, ne kreće prije sklopljenog ugovora o obradi" — sprječava većinu propusta. Uz to pomaže i središnji popis odobrenih alata te jasna točka kontakta kojoj se zaposlenici obraćaju prije nego što uvedu nešto novo. Tako usklađenost prati stvarno poslovanje, umjesto da zaostaje za njim.

Zaključak

Ugovor o obradi temelj je zakonitog odnosa sa svakim dobavljačem koji rukuje vašim podacima. Najveći rizik nije složeni pravni jezik, nego jednostavan propust — dobavljač koji radi bez ugovora ili ugovor koji nitko nije provjerio. Popis dobavljača i uredni ugovori o obradi među prvim su stvarima koje će tražiti i nadzorno tijelo i ozbiljan poslovni partner.

Ako želite da vaš tim — osobito IT, nabava i pravna služba — razumije odnos voditelja i izvršitelja te pravilno postupa s ugovorima o obradi, pogledajte našu GDPR edukaciju za tvrtke.