GDPR i ZOPOP za tvrtke u Hrvatskoj — kompletan vodič 2026.

GDPR (Opća uredba o zaštiti podataka EU 2016/679) i hrvatski ZOPOP (Zakon o provedbi Opće uredbe) primjenjuju se na svaku tvrtku koja obrađuje osobne podatke fizičkih osoba — što znači praktički svaku tvrtku s kupcima, zaposlenicima ili web stranicom.

Napomena: ovo je informativni vodič. Za konkretnu situaciju koristite AI Pravnog Asistenta ili specijaliziranog odvjetnika.

1. Što je GDPR i tko ga primjenjuje

Osnovni pojmovi

• Osobni podatak — bilo koja informacija o identificiranoj ili odredivoj fizičkoj osobi (ime, email, IP, kolačić, biometrija…)
• Voditelj obrade (Controller) — onaj koji odlučuje zašto i kako se podaci obrađuju (najčešće: vaša tvrtka)
• Izvršitelj obrade (Processor) — onaj koji podatke obrađuje po nalogu voditelja (npr. hosting, CRM, email-marketing alat)

Pravna osnova za obradu

Bez jedne od ovih 6 osnova obrada je nezakonita:

1. Privola ispitanika (slobodna, informirana, povlačiva)
2. Ugovor (potrebno za izvršenje ugovora)
3. Pravna obveza (npr. čuvanje računa po Zakonu o računovodstvu)
4. Životni interesi (rijetko za tvrtke)
5. Javni interes
6. Legitimni interes voditelja (uz test razmjernosti)

2. ZOPOP — hrvatska primjena

ZOPOP ne mijenja GDPR — dopunjava ga:

• Definira nadležno tijelo: AZOP (Agencija za zaštitu osobnih podataka)
• Definira nacionalne specifičnosti (npr. dob djeteta za privolu — 16 godina)
• Određuje prekršajne kazne dodatne uz GDPR kazne

3. Obveze tvrtke prema GDPR-u

a) Informiranje korisnika (Privacy Policy)

Svaka tvrtka mora imati politiku privatnosti na web stranici koja jasno navodi:

• Tko je voditelj obrade i kontakt
• Koje podatke prikuplja i zašto
• Pravnu osnovu
• Razdoblje čuvanja
• Prava ispitanika
• Tko su izvršitelji (Google, Meta, mailing tool, hosting…)

b) Prava ispitanika

Korisnik ima pravo na:

• Pristup svojim podacima
• Ispravak netočnih podataka
• Brisanje ("pravo na zaborav")
• Ograničenje obrade
• Prenosivost podataka
• Prigovor na obradu (osobito direktni marketing)

Rok za odgovor: 30 dana od zahtjeva (do 3 mjeseca uz obrazloženje).

c) Obavijest o povredi podataka (Data Breach)

Pri povredi koja može uzrokovati rizik za prava ispitanika:

• Obavještavate AZOP u roku 72 sata
• Ako je rizik visok — obavještavate i same ispitanike

d) DPO (Data Protection Officer)

Imenovanje DPO-a obvezno je ako:

• Vodite velikoplanu redovitu obradu osjetljivih podataka (zdravlje, biometrija)
• Obavljate sustavno praćenje ispitanika u velikom opsegu

Mali e-shop ili savjetnička firma _najčešće ne mora_ imenovati DPO-a — ali _mora_ imati odgovornu osobu interno.

4. Cookies i online praćenje

ZEK i smjernice AZOP-a zahtijevaju:

• Obavezni kolačići (nužni za rad stranice) — bez privole
• Analitički, marketinški, third-party kolačići — _samo s aktivnom privolom_ ("opt-in", ne unaprijed označeni checkbox)
• Banner mora ponuditi "Odbij sve" jednako vidljivo kao "Prihvati sve"

Što ide u cookie banner

• Popis kategorija kolačića
• Svrha svake kategorije
• Treće strane koje koriste podatke
• Mogućnost povlačenja privole jednako jednostavno kao davanja

5. Kazne za kršenje GDPR-a u Hrvatskoj

GDPR predviđa dva tier-a kazni:

• Do 10 mil. EUR ili 2 % godišnjeg svjetskog prometa (manje povrede)
• Do 20 mil. EUR ili 4 % godišnjeg svjetskog prometa (teže povrede)

AZOP u Hrvatskoj redovito izriče kazne u rasponu 2.000 – 50.000 EUR za male i srednje tvrtke, češće zbog:

• Nedostatka pravne osnove za marketing
• Nepravilnog cookie bannera
• Neispravnih privolih obrazaca
• Sporog odgovora na zahtjev za brisanje

6. GDPR checklista za male tvrtke

• [ ] Politika privatnosti na web stranici (na hrvatskom)
• [ ] Cookie banner s Prihvati / Odbij jednake vidljivosti
• [ ] Evidencija aktivnosti obrade (Članak 30 GDPR)
• [ ] Ugovori s izvršiteljima obrade (DPA) sa svim ključnim dobavljačima
• [ ] Privole prikupljene zasebno za marketing, newsletter, profiliranje
• [ ] Procedura za pravo na pristup, ispravak i brisanje (rok 30 dana)
• [ ] Procedura za prijavu povrede u 72 sata
• [ ] Periodična edukacija zaposlenika (godišnje minimum)
• [ ] Provjera trećih stranica (Google Analytics 4, Meta Pixel, TikTok…)

7. Kako AI pomaže u GDPR usklađenosti

AI Pravni Asistent može:

• Sastaviti nacrt politike privatnosti prilagođen vašoj djelatnosti
• Provjeriti je li vaša pravna osnova ispravna za određenu obradu
• Sastaviti odgovor na zahtjev ispitanika (pristup, brisanje)
• Pomoći u prijavi povrede AZOP-u s pravilnom strukturom

Praktični savjet

80 % tvrtki u Hrvatskoj koje su prošle AZOP nadzor pale su na trećoj točki — evidenciji aktivnosti obrade (Članak 30). Napravite je danas, čak i kao 2-stranicu Excel — to AZOP traži prvo.

Kupujete ili prodajete tvrtku? GDPR usklađenost je standardna točka [due diligencea](/blog/due-diligence-kupnja-firme) — nepoštivanje smanjuje cijenu. Pročitajte vodič kroz due diligence ili pregledajte aktivne oglase.