post thumbnail

GDPR u praksi: najčešće pogreške (i kako ih ispraviti)

10/05/2026

GDPR usklađenje često “izgleda” riješeno jer postoji politika privatnosti na webu ili je potpisan poneki obrazac. U praksi, najviše rizika nastaje u operativnim procesima: HR, prodaja/marketing, IT, dobavljači i sigurnosni incidenti.

U nastavku su najčešće greške koje se ponavljaju u malim i srednjim poduzećima te start-upovima – i što napraviti da se brzo i smisleno isprave.

1) Nejasna ili pogrešna pravna osnova obrade

Jedna od najčešćih grešaka u praksi je da se sve pokušava pokriti “privolom”, iako za to nema potrebe (ili privola nije valjana). Privola je samo jedna od šest mogućih pravnih osnova za obradu podataka.

Osim privole, pravne osnove za obradu osobnih podataka su:

  • izvršavanje ugovornih obveza ili radnji prije sklapanja ugovora
  • poštivanje pravnih obveza voditelja obrade
  • zaštita ključnih interesa ispitanika ili druge fizičke osobe
  • obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade
  • legitimni interes

Kako bi se izbjegla navedena pogreška, potrebno je mapirati obrade podataka i odrediti pravnu osnovu (ugovor, zakonska obveza, legitimni interes, privola). Privolu treba koristiti selektivno i dokazivo.

2) Politika privatnosti nije usklađena sa stvarnim procesima

Česta pogreška je politika privatnosti sastavljena kao generički tekst koji ne opisuje realne svrhe, rokove, primatelje i prava ispitanika. Politike privatnosti se često rade “copy paste”, odnosno popunjavanjem “špranci”, pri čemu ne odražavaju poslovanje niti stvarne aktivnosti obrade osobnih podataka.

Kako bi se izbjegla navedena pogreška, potrebno je ažurirati obavijesti po kanalima(web, aplikacija, HR i sl) i uskladiti ih s evidencijama obrade.

3) Nema evidencije aktivnosti obrade (ROPA)

Iako nemaju svi voditelji obrade dužnost vođenja evidencije aktivnosti obrade podataka, u praksi se često pokazalo da ni oni koji imaju obvezu ne vode evidenciju ili je ne vode ispravno.

Preporuka je voditi evidenciju aktivnosti obrade čak i ako po Općoj uredbi o zaštiti podataka niste obavezni, jer ona predstavlja jedan od ključnih dokumenata kojim možete dokazati usklađenost.

Minimalno je preporučljivo uvesti evidenciju obrade koja sadrži:

  • svrhu
  • kategorije podataka
  • primatelje
  • prijenose
  • rokove
  • mjere sigurnosti

4) Ugovori s izvršiteljima obrade (DPA – Data Processing Agreement) su izostali ili loši

U praksi se često događa da se dobavljači usluga koriste bez DPA-a ili s DPA-om koji ne pokriva obveze iz GDPR-a. Kontrola izvršitelja obrade posebno je važna zbog odgovornosti voditelja obrade da angažira “jedino izvršitelje obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera”, na način da obrada udovoljava zahtjevima GDPR-a — uključujući sigurnost obrade — i osigurava zaštitu prava ispitanika.

Preporuka je uvesti ugovore s izvršiteljima obrade, provjeriti podizvršitelje i prekogranične prijenose, jer se u suprotnom podliježe strogim kaznama.

5) Rokovi čuvanja nisu definirani

Čuvanje osobnih podataka “zauvijek” kad nije potrebno, u suprotnosti je s ciljem i svrhom GDPR-a. Uredba naglašava da osobni podaci trebaju biti primjereni, bitni i ograničeni na ono što je nužno za svrhe obrade. Zbog toga je potrebno osigurati da je razdoblje pohrane ograničeno na strogi minimum.

Voditelj obrade treba odrediti rok za brisanje ili periodično preispitivanje te poduzeti razumne korake kako bi se netočni osobni podaci ispravili ili izbrisali.

Iako GDPR ne propisuje konkretne rokove čuvanja, oni su definirani zasebnim zakonima, ovisno o kategoriji (npr. računovodstvo, HR, marketing). Osim toga, iznimno je bitno uvesti sustav brisanja podataka i anonimizacije (tamo gdje je primjenjivo).

6) Neprepoznata obveza DPIA (procjena učinka)

Procjena učinka na zaštitu podataka (DPIA) je postupak osmišljen za:

  • opisivanje obrade
  • procjenu njezine nužnosti i proporcionalnosti
  • upravljanje rizicima za prava i slobode pojedinaca

GDPR propisuje da se DPIA mora provesti u slučajevima:

  • u cijelosti automatiziranog donošenja odluka, uključujući izradu profila
  • opsežne obrade osjetljivih podataka
  • opsežnog praćenja javno dostupnih područja (Čl. 35(3))

DPIA je važna i zbog odgovornosti, jer pomaže voditeljima obrade da se usklade sa zahtjevima Uredbe i da dokažu da su poduzete potrebne mjere za usklađenost. Procjenu treba provesti prije obrade, što je u skladu s načelima tehničke i integrirane zaštite podataka.

7) Prava ispitanika se rješavaju ad hoc i loša priprema u slučaju povrede osobnih podataka

Kada se zahtjevi ispitanika ne prepoznaju ili se kasni s odgovorom, postupa se protivno pravilima zaštite osobnih podataka. U takvim situacijama ispitanici se obraćaju izravno AZOP-u i podnose pritužbu, nakon čega može uslijediti nadzor i – ako je pritužba osnovana – sankcije.

Ako ispitanicima nastane šteta zbog obrade protivne GDPR-u, imaju pravo na naknadu materijalne i nematerijalne štete od voditelja ili izvršitelja obrade. Postupci se vode pred nadležnim sudovima (u RH nadležni su općinski sudovi).

Svakako se predlaže uspostaviti kanal i procese rješavanja zahtjeva i pritužbi ispitanika, uključujući:

  • rokove
  • identifikaciju
  • iznimke
  • evidenciju
  • evidencije incidenata
  • praćenje rokova za prijavu i povezane korake u slučaju povrede podataka

Želite saznati više? Započnite s člancima u nastavku:

Novosti 10/05/2026
Radno pravo i zaštita podataka: što
poslodavac smije prikupljati o radniku?
Novosti 10/05/2026
AI i compliance 2026: što donosi EU AI
Act i kako se pripremiti
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.