Raptoric Journal/Sigurnosni program i rizik

Sigurnosni program i rizik15. lipnja 2026. · 10 min čitanja

GDPR kazne: koliko su visoke i kako ih izbjeći

GDPR predviđa dvije razine upravnih kazni, do 20 milijuna eura ili 4 % svjetskog prometa. Evo kako se određuje visina, tko ih izriče u Hrvatskoj i kako ih izbjeći.

Stručnjak za usklađenost i direktor pregledavaju procjenu rizika i kazni za zaštitu podataka.

Autor

Ana Levantić

Sigurnosni program, rizik i usklađenost

Podijelite

LinkedInX / TwitterCopy link

Kazne su najvidljiviji dio GDPR-a i razlog zbog kojeg mnoge uprave prvi put sjednu i pitaju koliko nas to može koštati. Odgovor je velik broj: za teže povrede kazne dosežu do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. No kazna nije ni jedini ni uvijek najveći trošak povrede. Ovaj tekst objašnjava kako se visina određuje, tko kazne izriče u Hrvatskoj i, što je najvažnije, kako ih izbjeći.

Ovo je dio našeg potpunog vodiča kroz GDPR, usmjeren na kazne. Cijeli program zaštite podataka vodimo kroz sigurnosni program i rizik.

Dvije razine kazni

Članak 83. GDPR-a dijeli kazne u dvije razine prema tome koja je obveza prekršena. Navedeni iznosi su gornje granice, a stvarna kazna gotovo je uvijek niža.¹

Razina	Gornja granica	Tipične povrede
Niža	10 mil. € ili 2 % prometa	Evidencije obrade, obveze izvršitelja, prijava povrede, imenovanje DPO-a.
Viša	20 mil. € ili 4 % prometa	Kršenje načela obrade, pravnih osnova i prava ispitanika.

Dvije razine upravnih kazni prema članku 83. GDPR-a.

Uzima se iznos koji je veći, pa za velike grupe postotak prometa može daleko premašiti fiksni iznos. Za male tvrtke u praksi je relevantniji fiksni dio, ali to ne znači da su izuzete.

Što određuje visinu kazne

AZOP i drugi nadzornici ne izriču najveću kaznu automatski. Članak 83. propisuje niz čimbenika koji kaznu povećavaju ili smanjuju.¹

Narav, težina i trajanje povrede, uključujući broj pogođenih ispitanika i opseg štete.
Je li povreda počinjena namjerno ili iz nehaja.
Mjere koje ste poduzeli da ublažite štetu za ispitanike.
Stupanj odgovornosti s obzirom na tehničke i organizacijske mjere koje ste imali.
Ranije povrede i stupanj suradnje s nadzornim tijelom tijekom postupka.
Kategorije pogođenih podataka, posebno posebne kategorije poput zdravstvenih.

Tko izriče kazne u Hrvatskoj

U Hrvatskoj nadzor i kažnjavanje provodi Agencija za zaštitu osobnih podataka (AZOP). AZOP zaprima pritužbe ispitanika, provodi nadzore i izriče upravne mjere i kazne, na temelju GDPR-a i Zakona o provedbi Opće uredbe (NN 42/2018).²³ Postupak najčešće kreće od pritužbe ispitanika ili prijave povrede, pa je dobar odnos i suradnja s AZOP-om dio upravljanja rizikom.

Kazna nije jedini trošak

Tvrtke se često fokusiraju samo na iznos kazne, a previde da povreda podataka nosi i druge troškove. Gubitak povjerenja klijenata, troškovi obavještavanja i sanacije, mogući zastoj poslovanja i tužbe oštećenih pojedinaca zajedno često nadmaše samu kaznu. Za mnoge tvrtke reputacijska šteta najtrajnija je posljedica.

Kako izbjeći kazne

Najbolja obrana od kazne je usklađenost koja počiva na stvarnoj zaštiti podataka, a ne na dokumentaciji. Redoslijed je jasan.

01
Popišite obradu
Utvrdite koje osobne podatke obrađujete, zašto, na kojoj osnovi i koliko dugo, u evidenciji aktivnosti obrade.
02
Odredite pravne osnove
Za svaku obradu utvrdite valjanu pravnu osnovu; privola nije zadana i često nije najbolja.
03
Uvedite mjere
Primijenite tehničke i organizacijske mjere primjerene riziku, kako traži članak 32.
04
Pripremite postupke
Uvježbajte ostvarivanje prava ispitanika i prijavu povrede AZOP-u u roku od 72 sata.
05
Dokažite
Vodite zapise koji dokazuju da mjere postoje i rade, jer GDPR traži dokazivost.

Kako Raptoric pomaže

Usklađenost gradimo na stvarnoj sigurnosti obrade. Kroz sigurnosni program i rizik slažemo evidencije, pravne osnove i mjere koje opisuju vašu stvarnu tvrtku, a kroz penetracijsko testiranje dokazujemo da mjere iz članka 32. zaista rade. Dogovorite uvodni razgovor i reći ćemo vam gdje stojite.

Česta pitanja

Kolika je najveća GDPR kazna?

Za teže povrede, poput kršenja načela ili prava ispitanika, do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. Za lakše povrede gornja je granica 10 milijuna eura ili 2 %.

Tko izriče GDPR kazne u Hrvatskoj?

Agencija za zaštitu osobnih podataka (AZOP). Ona zaprima pritužbe, provodi nadzore i izriče upravne mjere i kazne na temelju GDPR-a i Zakona o provedbi Opće uredbe (NN 42/2018).

Mogu li male tvrtke dobiti kaznu?

Da. GDPR nema prag veličine. Stvarna kazna razmjerna je težini povrede i opsegu obrade, pa će manja tvrtka tipično biti izložena nižim iznosima, ali ne i izuzeta od odgovornosti.

Što najviše utječe na visinu kazne?

Narav, težina i trajanje povrede, je li bila namjerna, koje su mjere postojale, kategorije pogođenih podataka te suradnja s nadzornim tijelom. Dobra priprema i suradnja kaznu mogu znatno smanjiti.

Izvori

1Europski parlament i Vijeće EU-a. Uredba (EU) 2016/679 (GDPR), članak 83.. Službeni list Europske unije, 2016. Poveznica
2Hrvatski sabor. Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018). Narodne novine, svibanj 2018. Poveznica
3AZOP. Opća uredba o zaštiti podataka (GDPR). Agencija za zaštitu osobnih podataka, 2018. Poveznica

Želite li ovakvu provjeru na vlastitim sustavima?

Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.

Dogovorite razgovor

Nastavite čitati

Svi tekstovi →

01Sigurnosni program i rizik

Što je virtualni CISO (vCISO) i kada vam treba?

Čitajte →10 min čitanja

02Sigurnosni program i rizik

GDPR i zaštita osobnih podataka: vodič za tvrtke u Hrvatskoj

Čitajte →15 min čitanja

03Sigurnosni program i rizik

Prava ispitanika prema GDPR-u: što vaša tvrtka mora omogućiti

Čitajte →10 min čitanja