GDPRCybersecurityZaštita PodatakaPrivatnostCompliance
Zaštita Podataka i GDPR Usklađenost — Kompletan Vodič 2026
ProCode21. april 2026.
Cybersecurity & Compliance
Zaštita Podataka i GDPR Usklađenost — Kompletan Vodič 2026
Od uvođenja GDPR-a 2018. godine do danas, izrečene su kazne u ukupnom iznosu od 5,88 mlrd EUR — a regulatori tek ubrzavaju tempo.
Svaka kompanija koja obrađuje podatke građana Evropske unije — bez obzira na to gdje je registrovana — mora biti usklađena sa GDPR-om. Ovo nije samo pravna formalnost: radi se o sveobuhvatnom sistemu zaštite koji definiše kako se smiju prikupljati, čuvati, obrađivati i brisati lični podaci. Kazne za kršenje mogu dostići 20 miliona EUR ili 4% globalnog godišnjeg prihoda — što god je veće. U ovom vodiču prolazimo kroz sve ključne elemente GDPR usklađenosti: od politike privatnosti i DPO funkcije, do tehničke zaštite i konkretnih alata.
GDPR u Brojevima — Stanje 2025/2026.
Prema izvještaju CMS Enforcement Tracker (mart 2025), GDPR enforcement je u punom zamahu. Regulatori su prešli iz faze upozorenja u fazu aktivnog kažnjavanja — i to u svim sektorima, od tehnologije do zdravstva i telekomunikacija.
5,88 mlrd EUR
ukupne GDPR kazne od 2018.
Kumulativne kazne
Prema DLA Piper GDPR Fines and Data Breach Survey (januar 2025.), ukupne kazne od primjene GDPR-a iznose 5,88 mlrd EUR.
2.245+
zabilježenih kazni do marta 2025.
Broj kazni
CMS Enforcement Tracker bilježi 2.245 kazni, s tim da stvarni broj može biti i veći jer mnoge kazne nisu javno objavljene.
363/dan
prosječno prijavljenih povreda
Prijave povreda
Prosječan broj prijava povreda podataka porastao je na 363 dnevno, u poređenju sa 335 prethodne godine, prema DLA Piper anketi.
!
Jeste li znali?
Prema CMS Enforcement Tracker Report 2024/2025, najveća pojedinačna kazna ikad izrečena pod GDPR-om iznosi 1,2 mlrd EUR — izrečena je irskom DPC-om protiv Meta Platforms Ireland Limited 2023. godine zbog nezakonitog prenosa podataka EU korisnika u SAD. Irska ostaje vodeći izvršilac GDPR-a, sa ukupno 3,5 mlrd EUR kazni od 2018. godine — više od četiri puta više od drugoplasiranog Luksemburga.
Najveće GDPR Kazne — Pregled
Pregled najvećih kazni jasno pokazuje koji tipovi kršenja privlače najveću pažnju regulatora. Nezakonit prenos podataka, nedovoljna zaštita dječijih podataka i neadekvatna sigurnosna zaštita dominiraju listom.
| Kompanija | Kazna (EUR) | Razlog kršenja | Godina |
|---|---|---|---|
| Meta Platforms Ireland | 1,2 mlrd EUR | Nezakonit prenos EU podataka u SAD | 2023. |
| Amazon Europe Core | 746 mil. EUR | Neadekvatna obrada podataka | 2021. |
| LinkedIn Ireland | 310 mil. EUR | Bihevioralna analiza i ciljano oglašavanje | 2024. |
| Uber | 290 mil. EUR | Nezakonit prenos podataka vozača u SAD | 2024. |
| Meta Platforms Ireland | 251 mil. EUR | Sigurnosna povreda iz 2018. godine | 2024. |
| TikTok | 530 mil. EUR | Neovlašten pristup EEA podacima iz Kine | 2025. |
Izvor: DLA Piper GDPR Fines and Data Breach Survey, januar 2025; CMS Enforcement Tracker Report 2024/2025; Secure Privacy Blog, april 2026.
Struktura GDPR Kazni — Dva Nivoa
GDPR predviđa dvostepeni sistem kazni zavisno od težine kršenja. Razumijevanje ove strukture ključno je za procjenu rizika i prioritizaciju mjera usklađenosti.
Nivo 1 — Teža kršenja
Član 83(5) GDPR
Do 20 miliona EUR ili 4% globalnog godišnjeg prihoda — što god je veće.
Odnosi se na: kršenje osnovnih principa obrade, nezakonitu obradu, povredu prava ispitanika, prenos podataka u treće zemlje bez adekvatnih zaštitnih mjera.
Nivo 2 — Lakša kršenja
Član 83(4) GDPR
Do 10 miliona EUR ili 2% globalnog godišnjeg prihoda — što god je veće.
Odnosi se na: neispunjavanje obaveza kontrolora i obrađivača, neprijavljavanje povrede podataka, nepostavljanje DPO-a kada je obavezno.
Ko Mora Biti Usklađen sa GDPR-om?
GDPR ima ekstrateritorijalnu primjenu — važi za svaku organizaciju koja obrađuje lične podatke građana EU, bez obzira na to gdje je sjedište kompanije. Ako vaša kompanija nudi robu ili usluge EU korisnicima, ili prati njihovo ponašanje online, GDPR se primjenjuje na vas.
Prema zvaničnoj EU stranici, GDPR je "najtvrđi zakon o privatnosti i sigurnosti na svijetu". Čak i prikazivanje cijena u eurima ili korišćenje EU jezika na vašem sajtu može biti dovoljno da aktivira GDPR obaveze za ne-EU kompanije.
GDPR se primjenjuje kada:
- ✓ Vaša organizacija je registrovana u EU
- ✓ Nudite robu ili usluge EU građanima (čak i besplatno)
- ✓ Pratite ponašanje EU korisnika putem kolačića, analitike ili profilisanja
- ✓ Obrađujete lične podatke EU korisnika u bilo kojoj formi
- ✗ Iznimka: obrada isključivo za osobne, kućanske svrhe
Ključni Principi GDPR Obrade Podataka
GDPR uspostavlja stroge principe koje svaka organizacija mora poštovati pri obradi ličnih podataka. Ovi principi nisu puke smjernice — kršenje bilo kojeg od njih može rezultirati kaznama. Prema podacima Statista (septembar 2024.), neusklađenost s općim principima obrade podataka generisala je kazne u iznosu od više od 2,4 mlrd EUR — što je najveći pojedinačni razlog za izricanje GDPR kazni.
| Princip | Šta znači u praksi | Rizik kršenja |
|---|---|---|
| Zakonitost, pravičnost i transparentnost | Svaka obrada mora imati pravni osnov (saglasnost, ugovor, legitimni interes...) | Visok — Nivo 1 |
| Ograničenje svrhe | Podaci se smiju koristiti samo u svrhu za koju su prikupljeni | Visok — Nivo 1 |
| Minimizacija podataka | Prikupljati samo podatke koji su nužni za definisanu svrhu | Srednji |
| Tačnost | Podaci moraju biti tačni i ažurni; netačni podaci se moraju ispraviti ili izbrisati | Srednji |
| Ograničenje pohrane | Podaci se ne smiju čuvati duže nego što je potrebno za svrhu obrade | Srednji |
| Integritet i povjerljivost | Obrada mora biti sigurna — enkripcija, kontrola pristupa, pseudonimizacija | Visok — Nivo 1 |
| Odgovornost (Accountability) | Kontrolor mora moći dokazati usklađenost — dokumentacija, revizije, DPIA | Visok — Nivo 1 |
Prava Korisnika pod GDPR-om
Jedan od temeljnih stubova GDPR-a jeste davanje stvarne kontrole pojedincima nad njihovim podacima. Organizacije moraju uspostaviti konkretne procese i procedure za obradu zahtjeva korisnika — i to u zakonski propisanim rokovima. Prema EDPB-u (Evropski odbor za zaštitu podataka), kontrolor je obavezan odgovoriti na zahtjev ispitanika u roku od jednog mjeseca.
Pravo pristupa (Član 15)
Korisnik ima pravo dobiti besplatnu kopiju svih ličnih podataka koje organizacija obrađuje o njemu, kao i informacije o svrsi, kategorijama podataka i primaovcima.
Pravo na ispravku (Član 16)
Korisnik može zahtijevati ispravku netačnih ili nepotpunih podataka. Rok za odgovor i ispravku je jedan mjesec od primitka zahtjeva.
Pravo na brisanje — "Pravo na zaborav" (Član 17)
Korisnik može zahtijevati brisanje podataka u određenim okolnostima: povlačenje saglasnosti, prestanak svrhe, nezakonita obrada. Organizacija mora obavijestiti i treće strane kojima je proslijedila podatke.
Pravo na prenosivost podataka (Član 20)
Korisnik ima pravo primiti svoje podatke u strukturiranom, uobičajenom i mašinski čitljivom formatu, te ih prenijeti drugom kontroloru bez ometanja.
Pravo na prigovor (Član 21)
Korisnik može u bilo koje trenutku prigovoriti obradi svojih podataka, uključujući i direktni marketing. Povlačenje saglasnosti mora biti jednako lako kao i njeno davanje.
Pravo u vezi s automatizovanim odlučivanjem (Član 22)
Korisnici imaju pravo da ne budu predmet odluka zasnovanih isključivo na automatizovanoj obradi, uključujući profilisanje, koje ima značajne pravne posljedice po njih.
Dužnosnik za Zaštitu Podataka (DPO) — Ko Mora Imati?
Data Protection Officer (DPO) ili Dužnosnik za zaštitu podataka je ključna funkcija u GDPR arhitekturi. Prema Članu 37 GDPR-a, postavljanje DPO-a je obavezno u tri situacije. Važno je naglasiti: presudna nije veličina kompanije, nego priroda aktivnosti obrade podataka.
DPO je OBAVEZAN kada:
- ▸ Javni organ ili tijelo — sve javne vlasti i tijela moraju imati DPO-a, bez iznimke (osim sudova koji djeluju u sudskom kapacitetu).
- ▸ Sustavno praćenje na velikoj skali — organizacije čije su osnovne aktivnosti redovno i sustavno praćenje ispitanika na velikoj skali (npr. adtech, praćenje zaposlenih, telekomunikacije).
- ▸ Obrada osjetljivih podataka na velikoj skali — zdravstveni podaci, genetski podaci, biometrijski podaci, rasno ili etničko porijeklo, kaznene evidencije.
Napomena: Nepostavljanje DPO-a kada je to obavezno može rezultirati kaznama do 10 miliona EUR ili 2% globalnog godišnjeg prihoda (Nivo 2 kazne). Prema EDPB koordiniranoj akciji iz januara 2024. baziranoj na 17.490 odgovora organizacija, sedam ponavljajućih oblasti neusklađenosti uključuje nedovoljne resurse, sukobe interesa i nedovoljnu uključenost DPO-a u donošenje odluka.
DPO može biti interni zaposlenik ili eksterni pružalac usluga angažiran ugovorom. Mora direktno izvještavati najviši menadžment i ne smije primati instrukcije u pogledu obavljanja svojih zadataka. Ključne odgovornosti DPO-a uključuju: savjetovanje o GDPR obavezama, praćenje usklađenosti, provođenje revizija, savjetovanje o DPIA procjenama te djelovanje kao kontakt tačka prema nadzornom tijelu i ispitanicima podataka.
Čak i kada DPO nije zakonski obavezan, EDPB ga preporučuje kao dobru praksu. Mnoge organizacije dobrovoljno postavljaju DPO-a kako bi demonstrirale odgovornost i ojačale povjerenje klijenata.
Tehnička Zaštita Podataka — Što GDPR Zahtijeva
Član 32 GDPR-a zahtijeva od kontrolora i obrađivača implementaciju "odgovarajućih tehničkih i organizacijskih mjera" (TOM) za osiguravanje razine sigurnosti primjerene riziku. U 2025. godini, regulatori su značajno podigli letvicu onoga što se smatra "odgovarajućim" — enkripcija u prijenosu i pohrani više nije opcija, nego minimum.
Obavezne Tehničke Mjere (TOM) u 2025/2026:
- ✓ End-to-end enkripcija — TLS za podatke u prijenosu, AES-256 za podatke u pohrani
- ✓ Pseudonimizacija — zamjena identifikatora vještačkim pseudonimima (EDPB Smjernice 01/2025)
- ✓ Role-based access control (RBAC) — pristup podacima samo onima kojima je neophodan
- ✓ Multi-factor authentication (MFA) — za pristup sistemima koji obrađuju lične podatke
- ✓ SIEM monitoring — integrisan nadzor sigurnosnih događaja u realnom vremenu
- ✓ Data classification — kategorizacija podataka prema osjetljivosti
- ✓ Breach notification procedure — prijava povrede nadzornom tijelu u roku od 72 sata
- ✓ Privacy by Design & Default — zaštita privatnosti ugrađena od samog početka razvoja
- ✗ Zastarjeli protokoli (SSL) — strogo zabranjeni prema ICO smjernicama iz novembra 2025.
Prema ICO-u (UK Information Commissioner's Office), koji je ažurirao smjernice o enkripciji u novembru 2025., enkripcija nije formalno obavezna u svakom slučaju, ali se "treba široko koristiti jer je sada dostupna i pristupačna". Regulatori ne čekaju na kršenja — aktivno revidiraju kompanije. Ako partner, dobavljač ili cloud provajder uzrokuje povredu, primarni kontrolor podataka i dalje snosi odgovornost, osim ako su uspostavljeni eksplicitni tehnički zaštitni mehanizmi i ugovori o obradi.
"U 2025. godini, sigurnosni lideri moraju tretirati GDPR kao tehničku i arhitekturalnu obavezu, a ne samo kao administrativnu provjeru. Regulatori to već rade — i očekuju isto od kompanija.
— ACSMI Cybersecurity & GDPR Compliance Guide 2025
GDPR Compliance Checklist — Praktični Koraci
Usklađenost s GDPR-om nije jednokratni projekt — radi se o kontinuiranom procesu koji zahtijeva redovne revizije i ažuriranja. Evo konkretnih koraka koje svaka organizacija treba poduzeti.
1. Mapiranje podataka (Data Mapping)
Identificirajte i dokumentujte sve lične podatke koje obrađujete: gdje se nalaze, odakle dolaze, kome se dijele i kako se koriste. Data mapping je osnova principa odgovornosti.
2. Pravni osnov za obradu
Svaka aktivnost obrade mora imati dokumentovani pravni osnov: saglasnost, ugovor, zakonska obaveza, vitalni interesi, javni zadatak ili legitimni interes. Regulatori posebno provjeravaju ovaj element.
3. Politika privatnosti
Politika privatnosti mora biti jasna, sveobuhvatna i lako dostupna. Mora sadržavati: koje podatke prikupljate, zašto, koliko dugo ih čuvate, s kim ih dijelite i kako korisnici mogu ostvariti svoja prava.
4. Upravljanje saglasnostima (Consent Management)
Saglasnost mora biti eksplicitna i potvrdna — nema unaprijed označenih polja. Povlačenje saglasnosti mora biti jednako lako kao i njeno davanje. U 2025. godini, "dark patterns" su prioritet regulatora.
5. DPIA — Procjena utjecaja na zaštitu podataka
Data Protection Impact Assessment (DPIA) je obavezna za projekte koji uključuju visok rizik za prava ispitanika. Regulatori sve više zahtijevaju dokazanu DPIA dokumentaciju, posebno u zdravstvu.
6. Upravljanje trećim stranama
Ugovori s obrađivačima podataka (DPA — Data Processing Agreements) su obavezni. Redovno pratite usklađenost dobavljača. Ako cloud provajder uzrokuje povredu, vi ste i dalje odgovorni.
Alati za GDPR Usklađenost — Pregled Tržišta
Tržište softvera za GDPR usklađenost značajno se razvilo. Danas postoji niz specijalizovanih platformi koje automatizuju ključne aspekte usklađenosti — od upravljanja saglasnostima do mapiranja podataka i DPIA procjena.
| Alat | Fokus | Cijena (okvirno) | Najprikladniji za |
|---|---|---|---|
| OneTrust | Sveobuhvatna platforma: privacy, sigurnost, governance | Od 33–45 USD/mj. (jednostavniji planovi); enterprise po dogovoru | Velika poduzeća s kompleksnim zahtjevima |
| Cookiebot (Usercentrics) | Upravljanje kolačićima i saglasnostima | Od ~9 EUR/mj. po domeni (cijene udvostručene aug. 2025.) | SMB s jednom ili dvije domene, EU fokus |
| TrustArc | Privacy program management, procjene, vendor risk | 3.000–5.000 USD/mj. za puni paket | Enterprise alternativa OneTrustu |
| Didomi | Consent management, web, mobile, CTV | Enterprise pricing po dogovoru | Media i publishing s omnichannel potrebama |
| Sprinto / ComplyDog | Automatizacija usklađenosti, data mapping, DPIA | SaaS modeli — pricing po dogovoru | SaaS startupi i scale-up kompanije |
Izvor: Captain Compliance, Zeeg GDPR Compliance Software Guide 2026, Enzuzo OneTrust Alternatives 2026.
GDPR i EU AI Act — Dvostruke Obaveze u 2026.
Organizacije koje razvijaju ili koriste AI sisteme suočavaju se s dvostrukim regulatornim okvirom: GDPR i EU AI Act. Ova dva propisa su komplementarna, a ne alternativna — svaki AI sistem koji obrađuje lične podatke mora biti usklađen s oba.
Ključni datumi EU AI Act-a:
- ▸ Februar 2025. — Na snagu stupile zabrane za AI sisteme s neprihvatljivim rizicima
- ▸ August 2025. — Obaveze za pružaoce AI modela opće namjene (GPAI) postale primjenjive
- ▸ August 2026. — Kritični rok za visokorisične AI sisteme (Annex III) — zapošljavanje, finansijske odluke, obrazovanje, javna uprava
Upozorenje: Kazne za kršenje EU AI Act-a mogu biti i veće od GDPR-a — do 35 miliona EUR ili 7% globalnog prihoda za zabranjene AI sisteme, i do 15 miliona EUR ili 3% za visokorisične sisteme. Organizacije koje su uložile u GDPR infrastrukturu imaju prednost jer se mnoge obaveze preklapaju.
EDPB-ov izvještaj iz aprila 2025. pojašnjava da veliki jezički modeli (LLM) rijetko postižu standarde anonimizacije — kontrolori koji koriste LLM-ove trećih strana moraju provesti sveobuhvatne procjene legitimnih interesa. Organizacije koje tek počinju s AI compliance-om trebaju znati da je GDPR DPIA metodologija temelj za AI Act procjenu rizika, ali nije identična — AI Act procjena analizira rizike koji proistječu iz dizajna sistema i predviđene upotrebe kroz cijeli životni ciklus.
Najčešće Greške u GDPR Usklađenosti
Top 7 razloga za GDPR kazne:
- ✗ Nedovoljan pravni osnov za obradu podataka — najveći uzrok kazni (2,4+ mlrd EUR)
- ✗ Neadekvatne sigurnosne mjere — nedostatak enkripcije, MFA, RBAC
- ✗ Marketing bez saglasnosti ili s nevaljanom saglasnošću
- ✗ Kašnjenje u prijavi povrede podataka (rok: 72 sata od saznanja)
- ✗ Nezakonit prenos podataka u treće zemlje bez odgovarajućih zaštitnih mjera
- ✗ Nepoštivanje prava ispitanika — posebno prava na brisanje i pristup
- ✗ Nepostavljanje DPO-a kada je obavezno ili postavljanje DPO-a bez dovoljnih resursa
!
Novi trend: Lična odgovornost direktora
Prema DLA Piper GDPR Fines and Data Breach Survey (januar 2025.), holandska Agencija za zaštitu podataka (DPA) istraživala je mogućnost lične odgovornosti direktora Clearview AI za višestruka kršenja GDPR-a, nakon kazne od 30,5 miliona EUR izrečene kompaniji. Ovo signalizira potencijalno značajan pomak — odgovornost se više ne zaustavlja na nivou kompanije.
Prednosti GDPR Usklađenosti — Više od Izbjegavanja Kazni
GDPR usklađenost ne treba posmatrati isključivo kroz prizmu izbjegavanja kazni. Kompanije koje ozbiljno shvataju zaštitu podataka često otkrivaju da imaju konkurentsku prednost na tržištu. Za SaaS kompanije, GDPR usklađenost je često preduslov za ulazak u enterprise ugovore, posebno s evropskim klijentima.
Povjerenje
klijenata i partnera
Transparentna politika privatnosti i demonstrirana usklađenost grade dugoročno povjerenje korisnika i otvaraju vrata enterprise tržištu.
Sigurnost
podataka i infrastrukture
Tehničke mjere zahtijevane GDPR-om (enkripcija, MFA, monitoring) istovremeno štite kompaniju od cyber napada i troškova povreda podataka.
Pripremljenost
za EU AI Act 2026.
Organizacije s jakom GDPR infrastrukturom imaju materijalni prednost u ispunjavanju EU AI Act obaveza — procesi i dokumentacija se nadograđuju, ne grade od nule.
GDPR usklađenost u 2026. godini zahtijeva evoluciju od reaktivnog pristupa prema proaktivnom inžinjeringu privatnosti. Sa ukupnim kaznama koje su prešle 5,88 mlrd EUR i prosječnom kaznama od 2,36 miliona EUR po slučaju, troškovi neusklađenosti daleko premašuju investiciju u implementaciju odgovarajućih mjera. Ključni elementi uspješnog GDPR programa su: sveobuhvatno mapiranje podataka, jasni pravni osnovi za svaku aktivnost obrade, robustne tehničke mjere zaštite, educiran tim i DPO koji ima stvarne resurse i nezavisnost. Kompanije koje ugrade privatnost u svoju tehničku arhitekturu i organizacijsku kulturu ne samo da izbjegavaju kazne — one grade osnovu za dugoročnu poslovnu otpornost i povjerenje na globalnom tržištu.
