Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik15. lipnja 2026. · 10 min čitanja

GDPR za male tvrtke i obrtnike: što stvarno morate

GDPR nema prag veličine, pa se odnosi i na obrtnike i male tvrtke. Evo što stvarno morate, što su mitovi i kako se uskladiti bez nepotrebnog troška.
Vlasnica male tvrtke i savjetnik pregledavaju osnove zaštite osobnih podataka na prijenosnom računalu.
Autor
AL
Ana Levantić
Sigurnosni program, rizik i usklađenost
Podijelite
LinkedInX / TwitterCopy link

Mali poduzetnici često pretpostave da je GDPR briga velikih korporacija. Nije. Uredba nema prag veličine, pa se obrtnik s jednim zaposlenikom i mala tvrtka jednako smatraju obveznicima kao i velika kompanija. Dobra vijest je da je opseg obveza razmjeran riziku i količini obrade, pa mala tvrtka s jednostavnom obradom ima znatno lakše obveze, ali ne i nikakve. Ovaj tekst objašnjava što stvarno morate, što su česti mitovi i kako se uskladiti bez nepotrebnog troška.

Ovo je dio našeg potpunog vodiča kroz GDPR. Usklađivanje za male tvrtke vodimo kroz sigurnosni program i rizik.

Odnosi li se GDPR na male tvrtke

Da. Ako vodite popis kupaca, šaljete newsletter, imate zaposlenike ili snimate prostor videonadzorom, obrađujete osobne podatke i GDPR se na vas odnosi.1 Ne postoji izuzeće za male tvrtke, ali se obveze primjenjuju razmjerno. Tvrtka koja obrađuje malo podataka i niskog rizika nema iste obveze kao bolnica ili banka.

Minimalni set obveza

Za većinu malih tvrtki obveze se svode na nekoliko jasnih stavki. Upravo njih nadzorno tijelo prvo provjerava.1

ObvezaŠto znači u praksi
Evidencija obradePopis koje podatke obrađujete, zašto, na kojoj osnovi i koliko dugo.
Pravne osnoveZa svaku obradu valjana osnova: ugovor, zakonska obveza, legitimni interes ili privola.
Politika privatnostiJasna obavijest ispitanicima kako i zašto obrađujete njihove podatke.
Mjere zaštite (čl. 32.)Kontrola pristupa, sigurne lozinke, sigurnosne kopije, razmjerne riziku.
Ugovori s izvršiteljimaUgovor sa svakim vanjskim partnerom koji obrađuje podatke u vaše ime.
Postupci za prava i povredeNačin da odgovorite na zahtjev ispitanika i prijavite povredu u 72 sata.
Minimalni set GDPR obveza za malu tvrtku.

Što vam vjerojatno ne treba

Male tvrtke često troše novac na ono što im nije potrebno. Službenik za zaštitu podataka (DPO) obvezan je samo kod opsežne sustavne obrade, opsežne obrade posebnih kategorija ili kod tijela javne vlasti, što većinu malih tvrtki ne obuhvaća. Procjena učinka (DPIA) potrebna je samo za obrade visokog rizika. Ne kupujte složena rješenja prije nego što utvrdite stvarni rizik.

Prvi koraci

Usklađivanje ne mora biti skupo ni složeno ako krenete pravim redoslijedom.

  1. 01
    Popišite podatke
    Utvrdite koje osobne podatke prikupljate, gdje su i tko im pristupa.
  2. 02
    Odredite osnove i svrhe
    Za svaku obradu zapišite pravnu osnovu i svrhu u evidenciji aktivnosti obrade.
  3. 03
    Uredite obavijesti
    Napišite politiku privatnosti koja odgovara vašoj stvarnoj obradi.
  4. 04
    Uvedite osnovne mjere
    Kontrola pristupa, sigurne lozinke i sigurnosne kopije razmjerne riziku.
  5. 05
    Pripremite postupke
    Jednostavan način da odgovorite na zahtjev ispitanika i prijavite povredu u roku.
GDPR za malu tvrtku nije skup softver ni debela mapa politika. To je urednost: znati koje podatke imate, zašto ih imate i kako ih čuvate.

Kako Raptoric pomaže

Malim tvrtkama pomažemo da usklađenost svedu na ono što je stvarno potrebno, bez napuhanih projekata. Kroz sigurnosni program i rizik složimo evidenciju, osnove i mjere primjerene vašem riziku. Dogovorite uvodni razgovor i reći ćemo vam jasno što vam treba, a što ne.

Česta pitanja

Odnosi li se GDPR na obrtnike?
Da. GDPR nema prag veličine, pa se odnosi i na obrtnike. Ako obrađujete osobne podatke kupaca, zaposlenika ili korisnika, obveznik ste. Opseg obveza razmjeran je riziku i količini obrade.
Treba li mala tvrtka službenika za zaštitu podataka (DPO)?
Najčešće ne. DPO je obvezan kod opsežne sustavne obrade, opsežne obrade posebnih kategorija ili kod tijela javne vlasti. Mnoge male tvrtke ipak imenuju odgovornu osobu radi jasne odgovornosti.
Trebamo li politiku privatnosti?
Da. Politika privatnosti je obavijest ispitanicima o tome kako i zašto obrađujete njihove podatke. Mora odgovarati vašoj stvarnoj obradi, a ne biti prepisana s tuđe stranice.
Možemo li dobiti kaznu kao mala tvrtka?
Da. GDPR nema prag veličine, pa i male tvrtke mogu biti kažnjene. Iznos je razmjeran težini povrede i opsegu obrade, ali odgovornost postoji bez obzira na veličinu.

Izvori

  1. 1Europski parlament i Vijeće EU-a. Uredba (EU) 2016/679 (GDPR). Službeni list Europske unije, 2016. Poveznica
  2. 2AZOP. Opća uredba o zaštiti podataka (GDPR). Agencija za zaštitu osobnih podataka, 2018. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →