„Mi smo mali, GDPR se ne odnosi na nas.“ Ovo je najčešća zabluda u hrvatskom poslovnom svijetu — i najčešći razlog zašto ljudi dobiju neugodno pismo iz AZOP-a.

Istina: GDPR se primjenjuje na svaku organizaciju koja obrađuje osobne podatke EU građana. Čim imate kontakt formu, klijentsku bazu ili Excel s emailovima — GDPR priča o vama.

1. Što je uopće osobni podatak?

Sve što (direktno ili indirektno) identificira živu fizičku osobu:

  • Ime, prezime, email, telefon
  • IP adresa (da, i ona)
  • Foto ili video s prepoznatljivom osobom
  • OIB, broj računa, podaci iz osobne
  • Geolokacija, cookie ID-evi
  • Audio snimke (npr. pozivi klijenata)
B2B podaci su također osobni
Email [email protected] je osobni podatak, čak i ako pišete iz posla u posao. GDPR ne razlikuje B2B i B2C — gleda samo je li osoba identificirana.

2. Pravna osnova — bez ove ne smijete početi

Svaka obrada mora imati jednu od 6 pravnih osnova iz članka 6. GDPR-a. U praksi, za male tvrtke:

Privola (konsenzus)

Newsletter, marketinški emailovi, opcionalni kolačići. Mora biti dobrovoljna, informirana, eksplicitna i povuciva.

Ugovor

Podaci klijenta s kojima ste potpisali ugovor / izdali račun. Ne treba privola — ne možete klijentu izdati račun bez imena i OIB-a.

Legitimni interes

Zlouporabljeni najčešće. Smijete se pozvati na to samo ako možete obraniti: (a) ima stvarni interes, (b) nužno je, (c) ne nadvladava interes korisnika. Marketing ka talacima koji nisu vaši klijenti — NE može biti legitimni interes.

Pravna obveza

Porezna čuva račune 11 godina — to je pravna obveza, ne morate imati privolu klijenta za to.

3. Evidencija aktivnosti obrade (RoPA)

Dokument koji interno vodite — popis SVIH načina na koje obrađujete podatke. AZOP ima pravo tražiti ga u svakom trenutku (čl. 30 GDPR).

Za svaku aktivnost obrade navodite:

  • Svrhu (zašto)
  • Kategorije ispitanika (tko)
  • Kategorije podataka (što)
  • Primatelje (kome se prenosi)
  • Rok čuvanja
  • Sigurnosne mjere
  • Pravnu osnovu
Ne morate imati DPO-a
Mali obrti i tvrtke ne moraju imati formalnog Službenika za zaštitu podataka (DPO). Morate ga imati samo ako je vaša osnovna djelatnost sistemsko praćenje ljudi u velikim opsezima ili obrada posebnih kategorija podataka.

4. Prava ispitanika — morate biti spremni odgovoriti

Ako vam klijent pošalje email „Molim uvid u sve osobne podatke koje posjedujete o meni“, imate 30 dana za odgovor. Bez iznimke, bez izgovora.

  • Pravo na pristup (što imate o meni?)
  • Pravo na ispravak (ovo je pogrešno)
  • Pravo na brisanje (obrišite me)
  • Pravo na prenosivost (prešaljite mi u strojno-čitljivom formatu)
  • Pravo na prigovor (prestanite me kontaktirati)
  • Pravo na ograničavanje (zamrznite moje podatke dok se ne utvrdi)

5. Rokovi čuvanja — ne smijete čuvati zauvijek

Koliko dugo smijete čuvati podatke? Toliko dugo koliko je potrebno za svrhu. Primjeri:

  • Upit s kontakt forme — obično 6 do 12 mjeseci, ako nije postao klijent
  • Klijentski podaci — sve dok traje poslovni odnos + zakonski propisani rok nakon (u HR: 11 godina za računovodstvene podatke)
  • Newsletter — sve dok korisnik ne opozove privolu
  • CV prijava — obično 6 mjeseci nakon zatvaranja natječaja

6. Povrede podataka — 72 sata

Ako vam netko provali u bazu, ukrade laptop s podacima ili dođe do ozbiljnog curenja — imate 72 sata da obavijestite AZOP. Ako su podaci ozbiljno ugroženi — morate obavijestiti i korisnike.

Minimum koji morate imati kao mali biznis u 2026.

  1. Politika privatnosti na web stranici
  2. Valjan cookie banner (s gumbom „Odbij sve“)
  3. Impressum (poseban članak o tome)
  4. Evidencija aktivnosti obrade (interni dokument)
  5. Definirani rokovi čuvanja po kategoriji podataka
  6. Procedura odgovaranja na zahtjeve ispitanika
  7. Osnovne sigurnosne mjere (SSL, zaporke, rezervne kopije)
  8. Ugovori o obradi podataka s dobavljačima (npr. Mailchimp, Google)

Ovo zvuči kao pola radnog dana — tko će to napraviti?

Zen IT pokriva sve gore navedene stavke u sklopu paketa Redizajn (99 € jednokratno + 22 €/mj). Održavamo vašu usklađenost kontinuirano — čak i kad se zakoni mijenjaju.