Zakoni o zaštiti podataka u Hrvatskoj: GDPR, provedba AZOP-a i vodič za usklađenost (2026.)

Hrvatska štiti osobne podatke putem Opće uredbe EU-a o zaštiti podataka (GDPR), koju dopunjuje Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) te ustavna jamstva iz članaka 35. i 37. Agencija za zaštitu osobnih podataka (AZOP) provodi ovaj zakon i tijekom 2025. izrekla je kazne u iznosu od gotovo 7 milijuna eura.
Hrvatska je izgradila jedan od odlučnijih sustava provedbe GDPR-a među novijim državama članicama EU-a. Agencija za zaštitu osobnih podataka (AZOP) izrekla je kazne u iznosu od gotovo 7 milijuna eura samo tijekom 2025., nakon rekordnih 10,5 milijuna eura kroz 97 odluka u 2024. Ustavna jamstva zemlje, detaljan nacionalni zakon o provedbi te nadzorno tijelo čiji ravnatelj sada sjedi u Europskom odboru za zaštitu podataka zajedno stvaraju strog okvir zaštite podataka.
Ovaj vodič obuhvaća cjelokupni pravni okvir: od ustavnih temelja i nacionalnog zakona o provedbi do konkretnih slučajeva provedbe, sustava identifikacijskog broja OIB, interakcije s Aktom EU-a o umjetnoj inteligenciji te praktičnih smjernica za usklađenost namijenjenih organizacijama koje posluju u Hrvatskoj.
Brzi odgovor: Kako Hrvatska štiti osobne podatke?
Hrvatska izravno primjenjuje Opću uredbu EU-a o zaštiti podataka kao obvezujući zakon, a dopunjuje je Zakonom o provedbi Opće uredbe o zaštiti podataka (Narodne novine, NN 42/2018). Nadzorno tijelo je AZOP, koji ima pune istražne, korektivne i savjetodavne ovlasti. Ustavna jamstva iz članaka 35. i 37. Ustava Republike Hrvatske temelj su cijelog ovog okvira. Primjenjuju se maksimalne kazne GDPR-a do 4% ukupnog godišnjeg globalnog prometa ili 20 milijuna eura, a AZOP je pokazao spremnost izricati visoke kazne u više različitih sektora.
Interne poveznice: Za širi kontekst EU-a pogledajte naš vodič o zakonima EU-a o zaštiti podataka. Za hrvatska pravila o privoli za snimanje pogledajte zakone o snimanju u Hrvatskoj.
Ustavni temelji
Hrvatsko pravo zaštite podataka temelji se na dvije ustavne odredbe.
Članak 35. svim građanima jamči pravo na poštovanje i pravnu zaštitu njihova osobnog i obiteljskog života, dostojanstva, ugleda i časti. Ovo opće pravo na privatnost oblikuje način na koji hrvatski sudovi tumače obveze zaštite podataka.
Članak 37. ide korak dalje i izričito se odnosi na osobne podatke. Svakome jamči sigurnost i tajnost osobnih podataka. Bez privole osobe na koju se podaci odnose, osobni se podaci mogu prikupljati, obrađivati i koristiti samo pod uvjetima određenim zakonom. Ključno je da članak 37. također zabranjuje korištenje osobnih podataka suprotno svrsi njihova prikupljanja, čime se načelo ograničenja svrhe ugrađuje već na ustavnoj razini. Zaštita podataka i nadzor nad informacijskim sustavima uređuju se zakonom.
Ove odredbe prethode GDPR-u i odražavaju vlastitu hrvatsku pravnu tradiciju prema kojoj se osobni podaci tretiraju kao temeljno pravo, a ne samo kao regulatorna obveza usklađenosti.
Pravni okvir: GDPR i nacionalni zakon o provedbi
Hrvatska je 1. srpnja 2013. pristupila EU-u, čime je postala obvezna primjenjivati pravo EU-a o zaštiti podataka. Kada je GDPR stupio na snagu 25. svibnja 2018., Hrvatski sabor već je donio Zakon o provedbi Opće uredbe o zaštiti podataka, koji je stupio na snagu istog dana.
Ovaj Zakon djeluje kao dopuna izravno primjenjivom GDPR-u. On ne zamjenjuje GDPR, već popunjava područja u kojima uredba državama članicama izričito dopušta donošenje dodatnih nacionalnih pravila.
Što nacionalni zakon dodaje
Zakon o provedbi obrađuje nekoliko posebnih područja koja GDPR prepušta nacionalnoj diskreciji.
Obrada podataka zaposlenika detaljno je uređena. Zakon definira uvjete pod kojima poslodavci mogu obrađivati osobne podatke zaposlenika, ograničavajući obradu na ono što je strogo nužno za radni odnos, zakonske obveze ili kolektivne ugovore.
Genetski podaci u životnom osiguranju posebno su uređeni. Zakon zabranjuje osiguravateljima korištenje genetskih podataka za izračun premija ili donošenje odluka o pokriću, čime se ide dalje od općih zaštita osjetljivih podataka predviđenih GDPR-om.
Obrada biometrijskih podataka podliježe pojačanim zahtjevima nadzora, osobito u kontekstu zapošljavanja i javnog sektora.
Videonadzor je detaljno uređen (razmatra se u posebnom odjeljku u nastavku).
Zakon također određuje dob digitalne privole u Hrvatskoj na 16 godina za usluge informacijskog društva, čime se preuzima zadana dobna granica iz GDPR-a umjesto korištenja mogućnosti njezina snižavanja na 13 godina.
Pravne osobe koje obavljaju javne funkcije podliježu izmijenjenom režimu kažnjavanja prema članku 44. Zakona: kazne protiv takvih subjekata ne smiju ugroziti obavljanje njihovih javnih dužnosti, što objašnjava zašto je Hrvatski ured za osiguranje dobio kaznu od 101.000 eura umjesto veće kazne, unatoč povredi podataka koja je pogodila više od milijun vlasnika vozila.
Stavljanje izvan snage prethodnog zakona
Zakon je stavio izvan snage bivši Zakon o zaštiti osobnih podataka (Narodne novine, NN 103/03 i naknadne izmjene), koji je uređivao zaštitu podataka u Hrvatskoj od 2003., zajedno s pripadajućim podzakonskim propisima.
AZOP: hrvatsko nadzorno tijelo
AZOP (Agencija za zaštitu osobnih podataka) jedino je neovisno javno nadzorno tijelo prema članku 51. GDPR-a. AZOP djeluje od 2004., što ga čini jednim od starijih tijela za zaštitu podataka u regiji.
AZOP odgovara Hrvatskom saboru, a ne izvršnoj vlasti, čime se čuva njegova operativna neovisnost od vlade.
Vodstvo i uloga na europskoj razini
Zdravko Vukić obnaša dužnost ravnatelja AZOP-a od 2020. te je u veljači 2024. ponovno izabran na novi četverogodišnji mandat. U lipnju 2024. članovi Europskog odbora za zaštitu podataka izabrali su Vukića za zamjenika predsjednika EDPB-a, čime je Hrvatska dobila značajnu ulogu u oblikovanju paneuropske politike zaštite podataka.
Anamarija Mladinić, voditeljica Sektora za EU i međunarodnu suradnju pri AZOP-u, istovremeno je 2024. izabrana za zamjenicu predsjednika Odbora Konvencije 108, čime je dodatno ojačan hrvatski profil u međunarodnom upravljanju zaštitom podataka.
Ovlasti AZOP-a
AZOP raspolaže cjelokupnim skupom ovlasti nadzornog tijela predviđenih GDPR-om.
Istražne ovlasti uključuju: zahtijevanje informacija od voditelja i izvršitelja obrade, provođenje revizija zaštite podataka, pristup prostorijama i opremi za obradu te pregled certifikata i odobrenih kodeksa ponašanja.
Korektivne ovlasti uključuju: izdavanje upozorenja i opomena, nalaganje voditeljima obrade da postupe po zahtjevima ispitanika, uvođenje privremenih ili trajnih ograničenja ili zabrana obrade, nalaganje ispravka ili brisanja podataka, oduzimanje certifikata i odobrenja te izricanje upravnih novčanih kazni prema članku 83. GDPR-a.
Savjetodavne ovlasti uključuju: davanje mišljenja Hrvatskom saboru i vladi o predloženim zakonima, izdavanje smjernica i uputa organizacijama, odobravanje kodeksa ponašanja, ovlašćivanje standardnih ugovornih klauzula za međunarodni prijenos podataka te postupanje po zahtjevima za prethodno savjetovanje kod obrade visokog rizika.
AZOP provodi istrage kako na temelju formalnih pritužbi tako i po vlastitoj inicijativi. Agencija je pokazala da čak i anonimne prijave mogu pokrenuti opsežne istrage koje rezultiraju kaznama u iznosu od više milijuna eura.
Pravne osnove i privola
U Hrvatskoj se primjenjuje svih šest pravnih osnova iz GDPR-a: privola (članak 6. stavak 1. točka (a)), izvršenje ugovora (točka (b)), zakonska obveza (točka (c)), zaštita životno važnih interesa (točka (d)), izvršavanje zadaće od javnog interesa (točka (e)) te legitimni interes (točka (f)).
Privola mora biti dobrovoljna, konkretna, informirana i nedvosmislena. AZOP je pomno nadzirao prakse davanja privole, osobito u digitalnom okruženju. Slučaj Erste banke pokazao je da ugrađivanje prikupljanja podataka unutar aplikacije bez transparentne obavijesti o privatnosti prilagođene toj aplikaciji ne predstavlja valjanu pravnu osnovu za obradu.
Osnova legitimnog interesa zahtijeva provođenje testa ravnoteže interesa. AZOP očekuje dokumentirane procjene koje pokazuju da legitimni interes ne nadjačava prava i slobode ispitanika.
Posebne kategorije podataka (zdravstveni, genetski i biometrijski podaci, rasno ili etničko podrijetlo, politička mišljenja, vjerska uvjerenja, članstvo u sindikatu, seksualna orijentacija) zahtijevaju ispunjenje jednog od uvjeta iz članka 9. uz pravnu osnovu iz članka 6.
Prava ispitanika
Stanovnici Hrvatske imaju sva prava ispitanika predviđena GDPR-om: pravo na pristup (članak 15.), ispravak (članak 16.), brisanje (članak 17.), ograničenje obrade (članak 18.), prenosivost podataka (članak 20.), prigovor (članak 21.) te prava vezana uz automatizirano donošenje odluka (članak 22.).

Voditelji obrade moraju odgovoriti na zahtjeve ispitanika u roku od mjesec dana, uz mogućnost produljenja za dodatna dva mjeseca kod složenih ili brojnih zahtjeva. AZOP aktivno provodi ove obveze odgovaranja. Neadekvatan odgovor na zahtjev ispitanika za pristup snimkama videonadzora bio je osnova za kaznu izrečenu energetskoj tvrtki u dokumentiranom slučaju iz 2022.
AZOP na svojim službenim internetskim stranicama pruža pristupačne informacije o pravima ispitanika, a stanovnici mogu izravno podnijeti pritužbu AZOP-u ako voditelj obrade ne poštuje njihova prava.
Prijava povrede osobnih podataka
Primjenjuje se standardni režim prijave povrede podataka iz GDPR-a. Voditelji obrade moraju obavijestiti AZOP u roku od 72 sata od saznanja o povredi osobnih podataka koja bi mogla dovesti do rizika za prava i slobode pojedinaca. Ako je rizik visok, o povredi bez nepotrebnog odgađanja moraju biti obaviješteni i pogođeni ispitanici.
Obavijest AZOP-u mora opisati narav povrede, približan broj pogođenih pojedinaca i zapisa, vjerojatne posljedice te poduzete ili predložene mjere za rješavanje povrede.
AZOP je potvrdio da temeljito istražuje curenja podataka čak i kada je obaviješten posrednim putem, primjerice anonimnim prijavama. Slučaj Hrvatskog ureda za osiguranje, u kojem je anonimno dostavljen USB uređaj s podacima o više od milijun vlasnika vozila, rezultirao je kaznom od 101.000 eura zbog neadekvatnih organizacijskih i tehničkih sigurnosnih mjera te izostanka definiranih rokova čuvanja podataka.
Izvršitelji obrade moraju bez nepotrebnog odgađanja obavijestiti voditelje obrade čim saznaju za povredu.
Službenici za zaštitu podataka
Većina srednje velikih i velikih organizacija koje posluju u Hrvatskoj mora imenovati službenika za zaštitu podataka prema članku 37. GDPR-a. Obvezne kategorije uključuju javna tijela i institucije (osim sudova u obavljanju sudbene funkcije), voditelje ili izvršitelje obrade čije glavne djelatnosti zahtijevaju opsežno sustavno praćenje pojedinaca te one čije glavne djelatnosti uključuju opsežnu obradu posebnih kategorija podataka.
Službenik za zaštitu podataka mora biti prijavljen AZOP-u. Kontaktni podaci moraju biti objavljeni i dostavljeni AZOP-u. Službenik mora posjedovati stručno znanje o pravu i praksi zaštite podataka.
Slučaj provedbe protiv telekomunikacijskog operatera zorno pokazuje važnost stvarnog poštovanja preporuka službenika za zaštitu podataka. AZOP-ova istraga utvrdila je da je operater zanemario preporuku vlastitog službenika prema kojoj je prikupljanje preslika osobnih iskaznica zaposlenika prekomjerno, što je pridonijelo težini izrečene kazne.
OIB: hrvatski osobni identifikacijski broj

Hrvatski osobni identifikacijski broj (OIB) je jedinstveni 11-znamenkasti identifikator koji se trajno dodjeljuje svim fizičkim osobama koje su hrvatski državljani ili koje u Hrvatskoj imaju prebivalište ili drugu pravnu poveznicu. OIB se koristi u javnoj upravi, oporezivanju, zdravstvu, javnobilježničkoj evidenciji, bankarstvu i u većini službenih transakcija.
Budući da OIB funkcionira kao univerzalni identifikator, njegovo otkrivanje predstavlja znatan rizik. Ako se OIB kombinira čak i s osnovnim osobnim podacima (ime, datum rođenja), takav kombinirani profil postaje vrlo koristan za krađu identiteta ili neovlašteno profiliranje.
AZOP neovlaštenu obradu ili objavu OIB-a tretira kao ozbiljnu povredu. Provedba je u tom pogledu dosljedna:
U slučaju B2 Kapital, agencija za naplatu potraživanja neovlašteno je obrađivala OIB brojeve 77.317 pojedinaca. Anonimna prijava uključivala je USB uređaj s tim podacima. AZOP je utvrdio povrede obveza transparentnosti (članak 13.), zahtjeva o ugovoru s izvršiteljem obrade (članak 28.) i sigurnosnih obveza (članak 32.), što je rezultiralo kaznom od 2,26 milijuna eura. Tvrtka nije ažurirala svoju politiku privatnosti od dana stupanja GDPR-a na snagu 2018.
AZOP je također poduzeo mjere protiv organizatora nagradne igre koji je na svojoj javnoj internetskoj stranici objavio OIB brojeve i kućne adrese dobitnika. Provedbena mjera uslijedila je čak i unatoč tome što je otkrivanje podataka bilo tek popratna okolnost promotivne kampanje.
Organizacije koje prikupljaju OIB u jednu svrhu (primjerice, poreznog izvještavanja) ne smiju ga koristiti u druge svrhe, moraju ga sigurno pohranjivati i ne smiju ga otkrivati bez valjane pravne osnove.
Pravila o videonadzoru
Hrvatski zakon o provedbi utvrđuje posebna pravila o videonadzoru koja dopunjuju opći okvir GDPR-a.
Videonadzor mora služiti jasno određenoj, legitimnoj svrsi. Najčešće prihvaćene svrhe su zaštita imovine i osobne sigurnosti. Opće praćenje bez određene svrhe nije zakonito.
Organizacije moraju postaviti jasnu i vidljivu oznaku prije ulaska u svako područje pod videonadzorom. Oznaka mora navesti tko provodi videonadzor, u koju svrhu i kako pojedinci mogu ostvariti svoja prava.
Rokovi čuvanja moraju biti određeni i proporcionalni. Zakon o provedbi propisuje opće ograničenje čuvanja snimki videonadzora, a organizacije moraju uspostaviti interne politike usklađene s tim ograničenjem.
Prije uvođenja opsežnih sustava videonadzora, osobito u javnim ili polujavnim prostorima, potrebno je provesti procjenu učinka na zaštitu podataka (DPIA).
Snimkama smiju pristupati samo ovlaštene osobe u određene svrhe. Slučaj energetske tvrtke, u kojem je AZOP kaznio organizaciju jer nije dostavila snimke videonadzora ispitaniku koji ih je zatražio na temelju članka 15., pokazuje da kontrole pristupa ne smiju sprječavati poštovanje legitimnih zahtjeva za ostvarivanje prava.
Obrada podataka zaposlenika
Nacionalni zakon o provedbi posebno uređuje podatke o zaposlenicima. Poslodavci smiju obrađivati osobne podatke zaposlenika kada je to strogo nužno za:
Izvršenje ugovora o radu ili predugovorne korake na zahtjev zaposlenika. Ispunjavanje zakonskih obveza koje se odnose na poslodavca. Kolektivne ugovore usklađene s propisima o zaštiti podataka.
Slučaj telekomunikacijskog operatera pokazao je rizike prekomjernog prikupljanja podataka u kontekstu zapošljavanja. AZOP je utvrdio da je operater prikupljao preslike osobnih iskaznica zaposlenika i potvrda o nekažnjavanju bez valjane pravne osnove i bez odgovarajuće procjene proporcionalnosti. Službenik za zaštitu podataka označio je te prakse kao prekomjerne, no tvrtka ih je nastavila provoditi. Ova konkretna povreda znatno je pridonijela ukupnoj kazni od 4,5 milijuna eura.
Poslodavci koji namjeravaju nadzirati zaposlenike, prikupljati zdravstvene podatke ili podatke o prošlosti, odnosno dijeliti podatke o zaposlenicima s pružateljima usluga izvan Hrvatske, moraju provesti pažljivu analizu pravne osnove te, gdje je to potrebno, procjenu učinka na zaštitu podataka.
Međunarodni prijenos podataka
Najznačajniji razvoj u hrvatskoj provedbi bila je kazna telekomunikacijskom operateru iz studenoga 2025., koja je prekogranični prijenos podataka stavila u središte usklađenosti s GDPR-om.
Primjenjuje se standardni okvir GDPR-a za prijenos podataka. Podaci se smiju prenositi izvan Europskog gospodarskog prostora samo ako je ispunjen jedan od sljedećih uvjeta: država odredišta ima odluku EU-a o primjerenosti, stranke su sklopile standardne ugovorne klauzule (SCC) koje je odobrila Europska komisija, organizacija posluje na temelju obvezujućih korporativnih pravila, ili se primjenjuje odgovarajuće odstupanje prema članku 49. GDPR-a.
U slučaju telekomunikacijskog operatera radilo se o konkretnom propustu: tvrtka je sklopila ugovor s izvršiteljem obrade u Srbiji (koja nije članica EGP-a i za koju ne postoji odluka EU-a o primjerenosti) te se u početku oslanjala na standardne ugovorne klauzule, no nakon 27. prosinca 2022. nastavila je prenositi podatke i nakon isteka tih klauzula, bez sklapanja novih. Izvršitelj obrade imao je pristup 847.862 korisnička zapisa s neograničenim administratorskim ovlastima. AZOP je utvrdio povrede članaka 44., 46. stavka 1., 12. stavka 1. i 13. stavka 1. točke (f).

Ključne pouke ovog slučaja: organizacije prije pokretanja prijenosa u treće zemlje moraju provesti procjenu rizika prijenosa; standardne ugovorne klauzule moraju se održavati i obnavljati po isteku; obavijesti o privatnosti moraju jasno i konkretno opisivati međunarodne prijenose umjesto korištenja neodređenih dopuštajućih formulacija; a dubinska analiza izvršitelja obrade mora uključivati provjeru stvarnih sigurnosnih mjera prije početka razmjene podataka.
Srbija i u 2026. ostaje treća zemlja u smislu propisa EU-a o prijenosu podataka. EU nije donio odluku o primjerenosti za Srbiju. Organizacije koje hrvatske osobne podatke usmjeravaju putem srpskih izvršitelja obrade moraju održavati valjane standardne ugovorne klauzule i redovito provoditi procjene rizika prijenosa.
Za prijenose unutar EGP-a (uključujući prema drugim državama članicama EU-a) nije potreban poseban mehanizam prijenosa. Hrvatsko članstvo u europodručju i schengenskom prostoru olakšava prekograničnu trgovinu, no obveze iz GDPR-a i dalje se u potpunosti primjenjuju na osobne podatke bez obzira gdje se oni kreću unutar EGP-a.
Članstvo u schengenskom prostoru i europodručju: implikacije za zaštitu podataka
Hrvatska je 1. siječnja 2023. pristupila i schengenskom prostoru i europodručju, čime je dovršila svoju integraciju u temeljne okvire EU-a nakon pristupanja Uniji 2013.
Schengenski sustavi podataka
Članstvo u schengenskom prostoru uključuje Hrvatsku u nekoliko zajedničkih sustava podataka EU-a za provedbu zakona:
Schengenski informacijski sustav (SIS II) zajednička je baza podataka o traženim osobama, nestalim osobama, ukradenoj imovini i zabranama ulaska, dostupna hrvatskoj policiji, graničnoj kontroli i tijelima za provedbu zakona. Podaci u SIS-u II uređeni su Uredbom (EU) 2018/1861 za potrebe provedbe zakona te posebnim pravilima zaštite podataka.
Biometrijska baza podataka otisaka prstiju EURODAC za zahtjeve za azil, Vizni informacijski sustav (VIS) te Sustav ulaska/izlaska (EES) postali su operativni u prosincu 2023. Hrvatska je između prosinca 2023. i veljače 2024. prošla svoje prvo periodično schengensko ocjenjivanje.
Obrada osobnih podataka unutar ovih sustava uređena je Direktivom 2016/680 (Direktiva o provedbi zakona), a ne GDPR-om, pri čemu AZOP zadržava nadzorne ovlasti nad korištenjem tih sustava od strane hrvatskih nacionalnih tijela.
Europodručje i financijski podaci
Uvođenjem eura kuna je prestala biti zakonsko sredstvo plaćanja, a Hrvatska je u potpunosti ušla u monetarni okvir ESB-a. Financijske institucije koje posluju u Hrvatskoj obrađuju platne podatke koji podliježu i zahtjevima GDPR-a i mjerodavnim financijskim propisima EU-a, uključujući Direktivu PSD2, koja sadrži vlastite odredbe o razmjeni podataka.
Preklapanje s Aktom EU-a o umjetnoj inteligenciji
Akt EU-a o umjetnoj inteligenciji (Uredba (EU) 2024/1689) stupio je na snagu 1. kolovoza 2024. i postupno se primjenjuje u državama članicama EU-a. Kao država članica EU-a, Hrvatska njegove odredbe primjenjuje prema istom vremenskom rasporedu kao i sve ostale države članice.
Akt o umjetnoj inteligenciji uvodi kategorije rizika za sustave umjetne inteligencije. Zabranjene prakse umjetne inteligencije (poput biometrijske identifikacije na daljinu u stvarnom vremenu na javnim mjestima, uz određene iznimke) postale su primjenjive od 2. veljače 2025. Visokorizični sustavi umjetne inteligencije koji se koriste u odlukama o zapošljavanju, kreditnom bodovanju, provedbi zakona, obrazovanju i kritičnoj infrastrukturi podliježu ocjeni sukladnosti i trajnim zahtjevima nadzora.
Hrvatska priprema nacionalne mjere za određivanje nadležnog nacionalnog tijela za nadzor tržišta umjetne inteligencije. AZOP je već izdao smjernice o provođenju procjena učinka na temeljna prava (FRIA), koje su obvezne za određenu primjenu visokorizične umjetne inteligencije u javnom sektoru.
AZOP i njemački Savezni povjerenik za zaštitu podataka objavili su zajedničko savjetovanje o zaštiti osobnih podataka korištenih za treniranje velikih jezičnih modela (LLM), čime je AZOP signalizirao namjeru uključivanja u pitanja zaštite podataka povezana s generativnom umjetnom inteligencijom na europskoj razini.
Organizacije koje u Hrvatskoj koriste sustave umjetne inteligencije koji obrađuju osobne podatke moraju istovremeno osigurati usklađenost s GDPR-om i s Aktom o umjetnoj inteligenciji. Kada sustav umjetne inteligencije provodi profiliranje, automatizirano donošenje odluka ili opsežnu obradu posebnih kategorija podataka, primjenjuju se oba okvira.
Akt EU-a o podacima i upravljanje podacima
Akt EU-a o podacima (Uredba (EU) 2023/2854) postao je primjenjiv 12. rujna 2025. Njime se uvode nova prava i obveze u vezi s podacima koje generiraju povezani uređaji, kao i obveze dijeljenja podataka za njihove posjednike.
Zasebno, Hrvatska je donijela Zakon o provedbi Akta o upravljanju podacima (NN 126/2025, na snazi od listopada 2025.) radi provedbe Akta EU-a o upravljanju podacima (Uredba (EU) 2022/868). Riječ je o dva odvojena instrumenta EU-a: Akt o upravljanju podacima uređuje usluge posredovanja podacima i organizacije za altruizam podataka, dok se Akt o podacima odnosi na dijeljenje podataka koji potječu od povezanih proizvoda i s njima povezanih usluga.
Oba instrumenta stupaju u interakciju s GDPR-om kada dijeljenje podataka uključuje osobne podatke: nijedan od njih ne nadilazi zahtjeve GDPR-a, pa organizacije koje dijele podatke na temelju obveza iz Akta o podacima ili Akta o upravljanju podacima moraju ispuniti mjerodavne pravne osnove iz GDPR-a.
Kazne i povijest provedbe
U Hrvatskoj se primjenjuje dvorazinska struktura kazni iz GDPR-a. Niža razina (do 10 milijuna eura ili 2% ukupnog godišnjeg globalnog prometa, ovisno o tome što je veće) obuhvaća povrede obveza poput sigurnosti podataka, prijave povrede, zahtjeva u vezi sa službenikom za zaštitu podataka te ugovora s izvršiteljima obrade. Viša razina (do 20 milijuna eura ili 4% globalnog prometa, ovisno o tome što je veće) obuhvaća povrede načela obrade, pravnih osnova, prava ispitanika i pravila o međunarodnom prijenosu podataka.
Provedba u 2025.
AZOP je tijekom 2025. izrekao kazne u iznosu od gotovo 7 milijuna eura kroz 13 ili više odluka, usmjerenih na telekomunikacije, bankarstvo, naplatu potraživanja, osiguranje i druge sektore.
Telekomunikacijski operater (4,5 milijuna eura, studeni 2025.) primio je najveću pojedinačnu GDPR kaznu izrečenu u Hrvatskoj u 2025. zbog nezakonitog prijenosa podataka u Srbiju, propusta u transparentnosti, prekomjernog prikupljanja podataka zaposlenika i propusta u provjeri sigurnosti izvršitelja obrade. Srpski izvršitelj obrade imao je neograničen administratorski pristup 847.862 korisnička zapisa.
Erste banka (1,5 milijuna eura, prosinac 2025.) kažnjena je zbog obrade osobnih podataka 433.922 korisnika putem softvera ugrađenog u Android i Huawei mobilne bankarske aplikacije, bez valjane pravne osnove. Softver je prikupljao potpune popise svih aplikacija instaliranih na uređajima korisnika. AZOP je utvrdio da obavijesti o privatnosti banke uopće ne spominju obradu putem mobilne aplikacije, čime su korisnici ostali neupućeni u opsežnu i nametljivu praksu prikupljanja podataka.
Hrvatski ured za osiguranje (101.000 eura, veljača 2025.) kažnjen je nakon što je u anonimnoj prijavi dostavljen USB uređaj s podacima o više od milijun vlasnika vozila iz nacionalnog registra registriranih vozila. AZOP je potvrdio da podaci odgovaraju bazi podataka HUO-a te utvrdio propuste u organizacijskim i tehničkim sigurnosnim mjerama, kao i izostanak definiranih rokova čuvanja podataka. Smanjeni iznos kazne odražava zakonsku zaštitu pravnih osoba koje obavljaju javne funkcije prema članku 44. nacionalnog zakona o provedbi.
Provedba u 2024.
AZOP je tijekom 2024. izrekao rekordnih 10,5 milijuna eura kazni kroz 97 odluka, što predstavlja značajnu eskalaciju koja potvrđuje kontinuirani višegodišnji rast provedbe. Ovaj ukupni iznos odražava kako velike pojedinačne kazne, tako i visok broj manjih provedbenih mjera u brojnim sektorima.
Ranije značajne kazne
EOS Matrix d.o.o. (5,47 milijuna eura, listopad 2023.) najveća je pojedinačna GDPR kazna koju je AZOP dosad izrekao, veća od svih kasnijih kazni iz 2025., uključujući slučaj telekomunikacijskog operatera. Agencija za naplatu potraživanja obrađivala je osobne podatke 181.641 pojedinca, uključujući osobe koje nisu bile dužnici te maloljetnike, bez pravne osnove prema članku 6. stavku 1., bilježila je zdravstvene podatke dužnika (uključujući napomene o terminalnoj bolesti) bez ispunjenja uvjeta iz članka 9. stavka 2. te nije provela odgovarajuće tehničke sigurnosne mjere prema članku 32. Istraga je pokrenuta na temelju anonimne prijave uz koju je dostavljen USB uređaj. AZOP je utvrdio povrede članaka 5., 6., 9., 12., 13. i 32. GDPR-a. Tvrtka je najavila da će osporiti kaznu.
B2 Kapital (2,26 milijuna eura, svibanj 2023.) bila je prva hrvatska GDPR kazna koja je u trenutku izricanja premašila sedmeroznamenkasti iznos. Agencija za naplatu potraživanja neovlašteno je obrađivala OIB brojeve i osobne podatke 77.317 pojedinaca, nije imala ugovor o obradi podataka sa svojim izvršiteljem obrade, a njezina politika privatnosti bila je zastarjela i nepromijenjena od stupanja GDPR-a na snagu 2018.
Energetska tvrtka dobila je kaznu od približno 120.000 eura jer nije postupila po zahtjevu ispitanika za pristup snimkama videonadzora na temelju članka 15.
Organizator nagradne igre kažnjen je zbog objave OIB brojeva i kućnih adresa dobitnika na svojoj javnoj internetskoj stranici bez valjane pravne osnove.
Zapažanja po sektorima
Telekomunikacije: Kazna od 4,5 milijuna eura pokazuje da telekomunikacijski operateri podliježu pojačanom nadzoru u pogledu međunarodnog prijenosa podataka i nadzora nad izvršiteljima obrade.
Bankarstvo i financijske usluge: Slučaj mobilne aplikacije Erste banke pokazuje spremnost AZOP-a da detaljno istražuje digitalne proizvode namijenjene potrošačima. Softverske komponente trećih strana ugrađene u bankarske aplikacije bit će ispitivane u odnosu na zahtjeve GDPR-a o transparentnosti i pravnoj osnovi.
Naplata potraživanja: Slučaj B2 Kapital pokazao je da agencije za naplatu potraživanja koje obrađuju OIB brojeve i financijske podatke velikog broja osoba nose znatan rizik izloženosti GDPR-u. Anonimne prijave mogu biti okidač za pokretanje postupka.
Osiguranje: Kazna izrečena HUO-u pokazuje da provedbi podliježu i subjekti s javnom funkcijom, iako poseban režim kažnjavanja ograničava najveći mogući iznos kazne kako se ne bi ugrozile ključne usluge.
Energetika: Videonadzor i prava ispitanika dokumentirana su područja provedbe u energetskom sektoru.
Usklađenost poslovanja: praktični koraci
Organizacije koje posluju u Hrvatskoj trebale bi provedbenu evidenciju iz razdoblja 2024. do 2025. promatrati kao izravan dokaz prioriteta i sposobnosti AZOP-a.
Odmah provjerite međunarodne prijenose podataka. Kazna telekomunikacijskom operateru pokazala je da će istekle standardne ugovorne klauzule, izostanak procjene rizika prijenosa i neodređene formulacije u obavijestima o privatnosti u vezi s međunarodnim prijenosima svaka zasebno rezultirati utvrđenim povredama. Mapirajte sve tokove podataka izvan EGP-a, potvrdite da postoje valjani mehanizmi prijenosa i provjerite da nisu istekli.
Ispitajte softverske komponente trećih strana. Slučaj Erste banke odnosio se na prikupljanje podataka na razini SDK-a ugrađenog u bankarsku aplikaciju. Svaka mobilna aplikacija, dodatak za internetsku stranicu ili integrirana usluga koja može prikupljati podatke korisnika zahtijeva vlastitu analizu pravne osnove i mora biti navedena u obavijesti o privatnosti specifičnoj za tu aplikaciju.
Zaštitite OIB kao osjetljivi identifikator. OIB tretirajte s istim mjerama kontrole kakve biste primijenili na brojeve financijskih računa. Nemojte ga objavljivati, nemojte ga dijeliti bez pravne osnove i provjerite ima li vaša obrada OIB-a dokumentiranu zakonitu svrhu.
Uspostavite i dokumentirajte rokove čuvanja podataka. I slučaj osiguravajuće kuće HUO i slučaj B2 Kapital uključivali su propust u određivanju najduljih rokova čuvanja. Dokumentirani raspored čuvanja s mehanizmima provedbe temeljna je obveza prema GDPR-u.
Ozbiljno shvatite preporuke službenika za zaštitu podataka. U slučaju telekomunikacijskog operatera izričito je navedeno da je tvrtka zanemarila savjet svog službenika. Dokumentirane preporuke službenika koje se ne poštuju smatrat će se otegotnom okolnošću u provedbenim postupcima.
Pripremite se za usklađenost s Aktom o umjetnoj inteligenciji. Organizacije koje u Hrvatskoj koriste sustave umjetne inteligencije koji obrađuju osobne podatke moraju procijeniti jesu li ti sustavi visokorizični prema Aktu o umjetnoj inteligenciji te provesti procjenu učinka na temeljna prava gdje je to potrebno. AZOP je najavio da je uključivanje u upravljanje umjetnom inteligencijom jedan od prioriteta.
Sveobuhvatno ažurirajte obavijesti o privatnosti. Više slučajeva provedbe iz 2025. uključivalo je obavijesti o privatnosti koje su bile općenite, zastarjele ili nisu obuhvaćale konkretne aktivnosti obrade. Obavijesti specifične za pojedinu aplikaciju, obavijesti o obradi podataka zaposlenika i objave o međunarodnim prijenosima zahtijevaju redovitu reviziju.
Anonimne prijave stvaran su okidač za pokretanje provedbe. AZOP je neke od svojih najvećih kazni izrekao upravo na temelju anonimnih prijava, uključujući USB uređaje koje su dostavile anonimne osobe. Organizacije se ne bi trebale oslanjati na nepostojanje identificiranog podnositelja prijave kao zaštitu od istrage.
Napomena: Ovaj članak pruža opće pravne informacije o hrvatskom okviru zaštite podataka i ne predstavlja pravni savjet. Propisi o zaštiti podataka i praksa provedbe često se mijenjaju. Za smjernice prilagođene vašoj konkretnoj situaciji obratite se kvalificiranom odvjetniku ovlaštenom za obavljanje odvjetništva u Hrvatskoj.
Frequently Asked Questions
Koje je nadzorno tijelo za zaštitu podataka u Hrvatskoj?
Jedino tijelo za zaštitu podataka u Hrvatskoj je AZOP (Agencija za zaštitu osobnih podataka), sa sjedištem u Zagrebu. AZOP je osnovan 2004. i raspolaže punim ovlastima za provedbu GDPR-a, uključujući provođenje revizija, izdavanje naloga, uvođenje zabrana obrade i izricanje upravnih novčanih kazni. Ravnatelj AZOP-a Zdravko Vukić izabran je za zamjenika predsjednika Europskog odbora za zaštitu podataka u lipnju 2024.
Koja je najveća GDPR kazna ikad izrečena u Hrvatskoj?
Najveća pojedinačna GDPR kazna u povijesti Hrvatske iznosi 5,47 milijuna eura, a AZOP ju je u listopadu 2023. izrekao agenciji za naplatu potraživanja EOS Matrix d.o.o. Povrede su uključivale obradu osobnih podataka 181.641 pojedinca (uključujući osobe koje nisu bile dužnici i maloljetnike) bez pravne osnove, bilježenje zdravstvenih podataka bez ispunjenja uvjeta iz članka 9. stavka 2. te propust u provedbi odgovarajućih tehničkih sigurnosnih mjera. Najveća kazna izrečena u 2025. iznosila je 4,5 milijuna eura i odnosila se na neimenovanog telekomunikacijskog operatera zbog nezakonitog prijenosa podataka srpskom izvršitelju obrade, propusta u transparentnosti i prekomjernog prikupljanja podataka zaposlenika.
Kakvu posebnu zaštitu Hrvatska pruža osobnom identifikacijskom broju OIB?
OIB (osobni identifikacijski broj) jedinstveni je 11-znamenkasti identifikator koji se dodjeljuje svim hrvatskim državljanima i osobama s prebivalištem u Hrvatskoj. Budući da se koristi u porezima, zdravstvu, bankarstvu i javnoj upravi, AZOP neovlaštenu obradu OIB-a smatra povećanim rizikom. Agencija je kažnjavala organizacije za objavu OIB-a bez pravne osnove (primjerice, na popisima dobitnika nagradnih igara) i izrekla kaznu od 2,26 milijuna eura tvrtki B2 Kapital zbog neovlaštene obrade OIB-a 77.317 pojedinaca. Organizacije moraju imati dokumentiranu pravnu osnovu za svaku obradu OIB-a.
Ima li Hrvatska posebno određenu dob digitalne privole?
Da. Hrvatska je odredila dob digitalne privole na 16 godina, preuzimajući zadanu granicu iz GDPR-a. Djeca mlađa od 16 godina ne mogu samostalno dati privolu za usluge informacijskog društva i potrebno je odobrenje roditelja ili skrbnika. Hrvatska nije iskoristila mogućnost iz članka 8. GDPR-a za snižavanje te granice na 13 godina.
Koji su mehanizmi prijenosa valjani za slanje podataka iz Hrvatske u treće zemlje?
Primjenjuju se standardni mehanizmi prijenosa iz GDPR-a: odluke Europske komisije o primjerenosti, standardne ugovorne klauzule (SCC), obvezujuća korporativna pravila ili odgovarajuća odstupanja prema članku 49. Srbija, odredište u kazni telekomunikacijskom operateru iz 2025., nema odluku EU-a o primjerenosti. Organizacije koje koriste standardne ugovorne klauzule moraju osigurati da one ostanu na snazi, provesti procjenu rizika prijenosa prije početka prijenosa te jasno navesti međunarodne prijenose u obavijestima o privatnosti.
Što hrvatski nacionalni zakon o provedbi GDPR-a dodaje uz sam GDPR?
Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) dodaje pravila o obradi podataka zaposlenika, ograničenja korištenja genetskih podataka u životnom osiguranju, zahtjeve za obradu biometrijskih podataka te detaljne obveze u vezi s videonadzorom. Određuje dob digitalne privole na 16 godina i sadrži poseban režim kažnjavanja za pravne osobe koje obavljaju javne funkcije, ograničavajući kazne na iznose koji ne ugrožavaju ključne javne usluge.
Kako hrvatsko članstvo u schengenskom prostoru utječe na zaštitu podataka?
Hrvatska je 1. siječnja 2023. pristupila schengenskom prostoru. Članstvo u schengenskom prostoru znači da hrvatska tijela sudjeluju u zajedničkim sustavima podataka EU-a za provedbu zakona, uključujući SIS II (tražene osobe), Vizni informacijski sustav i Sustav ulaska/izlaska koji je postao operativan u prosincu 2023. Obrada osobnih podataka unutar tih sustava podliježe Direktivi 2016/680 (Direktiva o provedbi zakona), a ne GDPR-u, pri čemu AZOP zadržava nadzor nad usklađenošću hrvatskih tijela.
Kako se Akt EU-a o umjetnoj inteligenciji odnosi prema hrvatskom pravu o zaštiti podataka?
Akt EU-a o umjetnoj inteligenciji izravno se primjenjuje u Hrvatskoj. Zabranjene prakse umjetne inteligencije postale su primjenjive od 2. veljače 2025., a zahtjevi za visokorizične sustave umjetne inteligencije primjenjuju se prema fazama uvođenja. AZOP je izdao smjernice o procjenama učinka na temeljna prava koje su obvezne za određenu primjenu umjetne inteligencije u javnom sektoru te je zajedno s njemačkim povjerenikom za zaštitu podataka objavio smjernice o korištenju osobnih podataka za treniranje velikih jezičnih modela. Organizacije koje koriste sustave umjetne inteligencije koji obrađuju osobne podatke moraju istovremeno ispuniti zahtjeve GDPR-a i Akta o umjetnoj inteligenciji.
Sources and References
- AZOP - Nacionalno zakonodavstvo(azop.hr).gov
- AZOP - O agenciji(azop.hr).gov
- AZOP - Kazna telekomunikacijskom operateru od 4,5 mil. eura (studeni 2025.)(azop.hr).gov
- AZOP - Kazna tvrtki B2 Kapital od 2,26 mil. eura(azop.hr).gov
- AZOP - Zdravko Vukić izabran za zamjenika predsjednika EDPB-a(azop.hr).gov
- EDPB - Objava o kazni tvrtki B2 Kapital(edpb.europa.eu).gov
- CMS Expert Guide - Zaštita podataka u Hrvatskoj(cms.law)
- OECD - Dokumentacija o hrvatskom OIB-u(oecd.org).gov
- Hrvatska vlada - Schengen i europodručje 2023.(vlada.gov.hr).gov
- IAPP - Hrvatski zakon o provedbi GDPR-a(iapp.org)
- GDPRhub - Odluka u predmetu Hrvatskog ureda za osiguranje (HUO)(gdprhub.eu)
- Lider Media - Kazna Erste banci od 1,5 mil. eura(en.lider.media)
- AZOP - Kazna tvrtki EOS Matrix od 5,47 mil. eura(azop.hr)
- EDPB - Objava o kazni tvrtki EOS Matrix(edpb.europa.eu)