Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik15. lipnja 2026. · 15 min čitanja

GDPR i zaštita osobnih podataka: vodič za tvrtke u Hrvatskoj

Što GDPR traži, koja prava imaju ispitanici, kako prijaviti povredu u 72 sata i koliko su visoke kazne. Vodič iz perspektive sigurnosti, jer usklađenost koja ne počiva na stvarnoj zaštiti ne štiti ni od napada ni od kazne.
Stručnjak za zaštitu podataka pregledava evidenciju aktivnosti obrade i sigurnosne mjere u uredskom okruženju.
Autor
AL
Ana Levantić
Sigurnosni program, rizik i usklađenost
Podijelite
LinkedInX / TwitterCopy link

GDPR se često doživljava kao pravni teret, no u srži je propis o sigurnosti podataka. Članak 32. izričito traži tehničke i organizacijske mjere primjerene riziku, čime se zaštita osobnih podataka izravno povezuje s kibernetičkom sigurnošću.1 Dokumentacija koja opisuje mjere koje ne postoje ne štiti ni od napada ni od kazne. Ovaj vodič objašnjava što propis traži i kako se uskladiti tako da usklađenost znači i stvarnu sigurnost.

Pišemo iz perspektive inženjera koji grade i testiraju sigurnosne programe. Kroz cijeli tekst povezujemo zahtjeve uredbe s konkretnim tehničkim radom, a cijeli program zaštite podataka vodimo kroz sigurnosni program i rizik.

Što je GDPR i otkad se primjenjuje

GDPR je skraćenica engleskog naziva General Data Protection Regulation. Riječ je o uredbi, što znači da se primjenjuje izravno, bez prenošenja u nacionalno zakonodavstvo, za razliku od direktive poput NIS2. Stupila je na snagu 2016., a primjenjuje se od 25. svibnja 2018. Cilj joj je uskladiti zaštitu osobnih podataka u cijeloj Uniji i dati pojedincima veću kontrolu nad vlastitim podacima.1

U Hrvatskoj nadzor obavlja Agencija za zaštitu osobnih podataka (AZOP). AZOP zaprima pritužbe, provodi nadzore i izriče upravne mjere i kazne.3 Zakon o provedbi Opće uredbe (NN 42/2018) uređuje detalje koje uredba prepušta državama članicama, pa za konkretna pitanja postupka gledate uredbu i taj zakon zajedno.2

Na koga se GDPR odnosi

GDPR se odnosi na svaku organizaciju koja obrađuje osobne podatke pojedinaca u Europskoj uniji, bez obzira na veličinu. Ne postoji prag broja zaposlenih ili prometa ispod kojeg ste izuzeti. Mala tvrtka s jednim zaposlenikom koja vodi popis kupaca jednako je obveznik kao i velika korporacija. Što to konkretno znači za manje obveznike objašnjavamo u tekstu GDPR za male tvrtke i obrtnike.

Uredba ima i izvanteritorijalni doseg. Tvrtka izvan EU-a koja nudi robu ili usluge građanima Unije ili prati njihovo ponašanje također potpada pod GDPR.1 Hrvatska tvrtka koja posluje s inozemstvom i strana tvrtka koja cilja hrvatske korisnike imaju iste obveze.

Ključni pojmovi

Uredba precizno definira nekoliko pojmova o kojima ovisi tko za što odgovara.

PojamZnačenje
Osobni podatakSvaki podatak koji se odnosi na pojedinca čiji se identitet može utvrditi, od imena i e-maila do IP adrese i lokacije.
Posebne kategorijeOsjetljivi podaci (zdravstveni, biometrijski, o uvjerenjima) koji uživaju pojačanu zaštitu.
Voditelj obradeOrganizacija koja odlučuje zašto i kako se podaci obrađuju. Nosi glavnu odgovornost.
Izvršitelj obradeOrganizacija koja obrađuje podatke u ime voditelja, npr. pružatelj cloud usluge ili vanjski IT partner.
IspitanikPojedinac čiji se podaci obrađuju i kojem uredba dodjeljuje prava.
ObradaSvaka radnja nad podacima: prikupljanje, pohrana, uvid, izmjena, dijeljenje, brisanje.
Temeljni pojmovi GDPR-a. Izvor: Uredba (EU) 2016/679, članak 4.

Sedam načela obrade

Članak 5. postavlja sedam načela koja moraju biti zadovoljena pri svakoj obradi. Sva ostala pravila razrada su tih načela.1

  • Zakonitost, poštenost i transparentnost: obrada mora imati pravnu osnovu, a ispitanik mora znati što se s podacima događa.
  • Ograničenje svrhe: podatke prikupljate za jasno određenu svrhu i ne koristite ih za nešto nespojivo s njom.
  • Smanjenje količine podataka: prikupljate samo ono što vam je stvarno potrebno.
  • Točnost: podatke održavate ispravnima i ažurnima.
  • Ograničenje pohrane: podatke čuvate samo onoliko dugo koliko je potrebno za svrhu.
  • Cjelovitost i povjerljivost: podatke štitite sigurnosnim mjerama od neovlaštenog pristupa i gubitka.
  • Pouzdanost: kao voditelj obrade morate moći dokazati da se pridržavate svih načela.
GDPR ne traži samo da imate pravila. Traži da možete dokazati da ih provodite. Dokaz se gradi kroz sigurnost, ne kroz dokumentaciju koja opisuje stanje koje ne postoji.

Pravne osnove za obradu

Nijedna obrada nije dopuštena bez valjane pravne osnove. Članak 6. navodi šest osnova, a za svaku obradu morate znati na koju se oslanjate.1

Pravna osnovaKada se koristi
PrivolaDobrovoljan, informiran i jednostavno opoziv pristanak ispitanika.
UgovorObrada je nužna za sklapanje ili izvršenje ugovora s ispitanikom.
Zakonska obvezaPropis vas obvezuje na obradu, npr. za računovodstvo.
Životno važni interesiZaštita života ispitanika ili druge osobe.
Javni interesObavljanje zadaće od javnog interesa.
Legitimni interesOpravdan interes voditelja, uz uvjet da ne prevladavaju prava i slobode ispitanika.
Šest pravnih osnova za obradu prema članku 6. GDPR-a.

Prava ispitanika

GDPR daje pojedincima niz prava koja morate ispuniti, u pravilu u roku od mjesec dana. Ispitanik koji ih zatraži, a ne dobije odgovor, može podnijeti pritužbu AZOP-u, što često pokreće nadzor.4 Kako postupiti sa zahtjevom objašnjavamo u tekstu o pravima ispitanika prema GDPR-u.

PravoŠto znači
PristupUvid u vlastite podatke i informaciju o tome kako se obrađuju.
IspravakIspravak netočnih ili nepotpunih podataka.
Brisanje (zaborav)Brisanje podataka pod određenim uvjetima.
Ograničenje obradePrivremeno zaustavljanje obrade u određenim situacijama.
PrenosivostPrijenos podataka drugom voditelju obrade u strojno čitljivom obliku.
PrigovorPrigovor na obradu po legitimnom interesu ili na izravni marketing.
Povlačenje privoleOpoziv privole u svakom trenutku, jednako lako kao što je dana.
Prava ispitanika prema GDPR-u (članci 15.–22.).

Konkretne obveze tvrtke

Osim načela i pravnih osnova, GDPR nameće niz provjerljivih obveza. Upravo njih nadzorno tijelo prvo traži.1

  • Evidencija aktivnosti obrade (članak 30.): popis koje podatke obrađujete, zašto, na kojoj osnovi i koliko dugo.
  • Procjena učinka na zaštitu podataka (DPIA, članak 35.) za obrade visokog rizika, npr. opsežno praćenje ili osjetljive podatke.
  • Imenovanje službenika za zaštitu podataka (DPO, članak 37.) kad to uredba traži.
  • Ugovori s izvršiteljima obrade (članak 28.) koji vanjske partnere obvezuju na iste standarde.
  • Tehničke i organizacijske mjere (članak 32.), razmjerne riziku: enkripcija, kontrola pristupa, sposobnost oporavka.
  • Zaštita podataka već u fazi dizajna i prema zadanim postavkama (članak 25.).

Prijava povrede u 72 sata

Kod povrede osobnih podataka (curenje, krađa, neovlašteni pristup) GDPR propisuje kratke rokove. Povredu morate prijaviti AZOP-u bez nepotrebne odgode, a najkasnije u roku od 72 sata od saznanja, osim ako je malo vjerojatno da predstavlja rizik za prava i slobode pojedinaca. Ako je rizik visok, obavještavate i same ispitanike.1

72 h
Rok za prijavu povrede AZOP-u od saznanja.
Članak 33. GDPR-a.
20 mil. € / 4 %
Gornja granica kazne za teže povrede.
Ili 4 % svjetskog prometa, što je veće.
25. 5. 2018.
Datum od kojeg se GDPR primjenjuje.
Uredba (EU) 2016/679.

Rok od 72 sata nemoguće je ispuniti ako uopće ne primjećujete da se incident dogodio. Zato je sposobnost otkrivanja i odgovora preduvjet usklađenosti, a ne tek poželjna mogućnost. To pokrivamo kroz detekciju i odgovor na incidente.

Kazne za nepoštivanje

GDPR predviđa dvije razine upravnih kazni. Stvarna kazna ovisi o težini, trajanju i namjeri, a navedeni iznosi su gornje granice.1 Kako se visina određuje i tko ih izriče u Hrvatskoj objašnjavamo u tekstu o GDPR kaznama.

RazinaGornja granicaTipične povrede
Niža10 mil. € ili 2 % prometaEvidencije, obveze izvršitelja, prijava povrede, DPO.
Viša20 mil. € ili 4 % prometaKršenje načela, pravnih osnova i prava ispitanika.
Dvije razine upravnih kazni prema članku 83. GDPR-a.

Kazna nije jedini ni najveći rizik. Povreda donosi gubitak povjerenja klijenata, troškove sanacije i moguće tužbe. Za mnoge tvrtke reputacijska šteta nadmašuje samu kaznu.

GDPR i kibernetička sigurnost

Veza je najjasnija u članku 32. On traži sigurnost obrade, uključujući enkripciju, povjerljivost i cjelovitost sustava te redovito testiranje učinkovitosti tih mjera.1 GDPR od vas traži da zaštitu provjeravate, a ne samo opisujete.

Tu se zaštita podataka preklapa s drugim propisima. Obveznici NIS2 mnoge mjere grade jednom i koriste za oba okvira. Testiranje kroz penetracijsko testiranje i pregled sigurnosti aplikacija i clouda izravno potkrepljuje zahtjeve članka 32. Veza certifikacije i usklađenosti detaljnije je u tekstu o ISO 27001 u Hrvatskoj.

Kako se uskladiti, korak po korak

Usklađivanje nije jednokratan projekt, nego trajno stanje. Ipak, postoji jasan redoslijed koji daje rezultat i smanjuje rizik da kasnije otkrijete velik propust.

  1. 01
    Popišite podatke
    Utvrdite koje osobne podatke prikupljate, gdje su pohranjeni, tko im pristupa i s kim ih dijelite. Bez te slike svaka odluka je nagađanje.
  2. 02
    Odredite osnovu i svrhu
    Za svaku obradu utvrdite pravnu osnovu i svrhu te ih dokumentirajte u evidenciji aktivnosti obrade.
  3. 03
    Procijenite rizik
    Provedite procjenu učinka (DPIA) tamo gdje je obrada visokog rizika.
  4. 04
    Uvedite mjere
    Primijenite tehničke i organizacijske mjere razmjerne riziku, od kontrole pristupa i enkripcije do planova oporavka.
  5. 05
    Uredite izvršitelje
    Sklopite ugovore koji vanjske partnere obvezuju na iste standarde zaštite.
  6. 06
    Pripremite postupke
    Uvježbajte ostvarivanje prava ispitanika i prijavu povreda u roku od 72 sata.
  7. 07
    Testirajte i educirajte
    Testirajte mjere i educirajte zaposlenike, jer većina povreda počinje ljudskom pogreškom.

Najčešće pogreške

  • Oslanjanje na privolu za sve, iako su za poslovne obrade prikladniji ugovor ili legitimni interes.
  • Politike privatnosti koje nitko ne provodi i koje ne odgovaraju stvarnom stanju sustava.
  • Zanemarivanje izvršitelja obrade, iako vaš rizik uključuje i njihove sustave i propuste.
  • Tretiranje GDPR-a kao isključivo pravnog pitanja, bez tehničkih mjera koje propis traži.
  • Izostanak plana za prijavu povrede, pa se rok od 72 sata propusti jer postupak nije uvježban.

Kako Raptoric pomaže

Usklađenost gradimo na stvarnoj sigurnosti obrade. Kroz sigurnosni program i rizik slažemo evidencije, procjene i mjere tako da opisuju vašu stvarnu tvrtku, a kroz penetracijsko testiranje dokazujemo da mjere iz članka 32. zaista rade. Najbolji prvi korak je trezvena slika onoga što obrađujete i gdje su stvarne slabosti. Dogovorite uvodni razgovor i reći ćemo vam jasno gdje stojite i koji je sljedeći korak.

Česta pitanja

Odnosi li se GDPR na male tvrtke?
Da. GDPR nema prag veličine. Svaka organizacija koja obrađuje osobne podatke, uključujući obrtnike i male tvrtke, obveznik je. Opseg obveza razmjeran je riziku i opsegu obrade, pa će manja tvrtka imati lakše obveze, ali ne i nikakve.
Treba li svaka tvrtka imati DPO-a?
Ne. Službenik za zaštitu podataka obvezan je kod opsežne sustavne obrade, opsežne obrade posebnih kategorija ili kod tijela javne vlasti. Mnoge tvrtke nisu obvezne imenovati DPO-a, ali ipak imenuju odgovornu osobu radi jasne odgovornosti.
Je li privola uvijek potrebna za obradu?
Nije. Privola je samo jedna od šest pravnih osnova. Za većinu poslovnih obrada prikladniji su ugovor, zakonska obveza ili legitimni interes. Privolu tražite kad nijedna druga osnova ne odgovara.
Koja je razlika između GDPR-a i NIS2?
GDPR štiti osobne podatke pojedinaca, dok NIS2 podiže razinu kibernetičke sigurnosti u ključnim i važnim sektorima. Mogu se preklapati, a mjere uvedene za jedan okvir često zadovoljavaju i drugi, pa ih se isplati graditi zajedno.
U kojem roku moramo prijaviti povredu podataka?
Najkasnije 72 sata od saznanja prijavljujete AZOP-u, osim ako je malo vjerojatno da povreda predstavlja rizik za prava i slobode pojedinaca. Ako je rizik visok, obavještavate i same ispitanike.
Je li usklađenost s GDPR-om jednokratan posao?
Nije. Usklađenost je trajno stanje koje se održava kako se mijenjaju sustavi, obrade i propisi. Evidencije treba ažurirati, mjere testirati, a zaposlenike redovito educirati.

Izvori

  1. 1Europski parlament i Vijeće EU-a. Uredba (EU) 2016/679 (Opća uredba o zaštiti podataka, GDPR). Službeni list Europske unije, 2016. Poveznica
  2. 2Hrvatski sabor. Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018). Narodne novine, svibanj 2018. Poveznica
  3. 3AZOP. Opća uredba o zaštiti podataka (GDPR). Agencija za zaštitu osobnih podataka, 2018. Poveznica
  4. 4AZOP. Vaša prava (prava ispitanika). Agencija za zaštitu osobnih podataka, 2024. Poveznica
Povezana usluga
Sigurnosni program i rizik
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →