U 2025. godini hrvatska Agencija za zaštitu osobnih podataka izrekla je 13 kazni u ukupnom iznosu od 6,7 milijuna eura. Dvije godine ranije: 8,3 milijuna. Za usporedbu, 2021. cijela godišnja žetva iznosila je 103 tisuće eura. Krivulja je jasna kao malo koja u hrvatskoj regulativi: GDPR je prestao biti mrtvo slovo s europskim pečatom i postao propis koji se naplaćuje. A opet, prosječan mali poduzetnik o njemu zna uglavnom dvije stvari: da postoji i da ga se boji. Obje su točne, ali između njih stane cijeli priručnik onoga što se stvarno traži — i poprilična hrpa mitova koje prodavači "GDPR paketa" rado održavaju na životu.
Prvo rušenje mita: GDPR nije zabranio podatke
Najraširenija zabluda glasi da GDPR "zabranjuje" obradu osobnih podataka pa se za sve mora tražiti privola. Stvarnost je suprotna: Uredba nudi šest pravnih osnova za obradu, a privola je samo jedna od njih — i to najkrhkija, jer se može povući. Fakturirate klijentu? Osnova je ugovor. Čuvate račune deset godina? Zakonska obveza. Vodite evidenciju radnika? Zakon i ugovor o radu. Šaljete ponudu postojećem kupcu? Legitimni interes, uz uvjete.
Privola je potrebna tamo gdje nijedna druga osnova ne stoji — tipično newsletter za ljude koji nisu kupci, kolačići koji nisu nužni, objava fotografija zaposlenika na webu. Poduzetnik koji za svaku sitnicu gura formular privole ne pokazuje usklađenost, nego nerazumijevanje — i usput sam sebi stvara papirologiju koju nitko ne traži.
Što se stvarno traži: pet stvari koje mali biznis mora imati
Prevedeno s pravnog na poduzetnički, minimalni komplet izgleda ovako. Prvo: evidencija aktivnosti obrade — dokument (može i tablica) koji popisuje koje podatke imate, zašto, po kojoj osnovi, koliko dugo i tko im pristupa. Za mikro i male firme to je tipično nekoliko stranica, ne registrator. Drugo: informiranje — politika privatnosti na webu i obavijest zaposlenicima/klijentima što radite s njihovim podacima, pisana ljudskim jezikom. Treće: ugovori s izvršiteljima — knjigovođa, IT održavanje, marketinška agencija i svatko tko za vas dira podatke treba potpisan ugovor o obradi. Četvrto: razumne sigurnosne mjere — lozinke, backup, ograničen pristup, zaključan ormar za papirnate dosjee. Peto: procedura za zahtjeve i incidente — tko odgovara kad netko zatraži brisanje, i tko zove AZOP u roku od 72 sata kad se dogodi curenje.
To je jezgra. Službenik za zaštitu podataka (DPO) obavezan je tek u posebnim slučajevima — javna tijela, sustavno praćenje velikih razmjera, masovna obrada posebnih kategorija — što većinu malih firmi ne obuhvaća. AZOP za usklađivanje nudi i besplatni alat OLIVIA, što je pristojnija polazna točka od nasumičnog konzultantskog PDF-a.
Koga AZOP stvarno kažnjava
Pogled u objavljene odluke smiruje paniku i izoštrava fokus: milijunske kazne odlaze velikim sustavima — telekomima, bankama, agencijama za naplatu potraživanja — i to za sustavne grijehe: obrada bez osnove, ignoriranje zahtjeva građana, izostanak sigurnosnih mjera nakon curenja. AZOP uz to bez anonimizacije objavljuje odluke kad se radi o podacima djece, posebnim kategorijama, profiliranju, recidivistima ili kaznama od 100 tisuća eura naviše — reputacijska kazna uz financijsku.
Mali poduzetnici u pravilu ne stradaju od "GDPR racije", nego od pritužbe: bivši zaposlenik, nezadovoljan kupac ili konkurent prijavi konkretnu praksu — kameru uperenu u susjedovo dvorište, mail listu sastavljenu od skupljenih posjetnica, objavu podataka dužnika na Facebooku. Nadzor tada kreće od pitanja: pokažite osnovu, pokažite evidenciju. Tko ima uredan minimalni komplet, najčešće prolazi s upozorenjem i nalogom za ispravak; kazna je za one koji nemaju ništa — ili lažu.
Dvije brzine kazni — i zašto "4 posto prometa" nije marketinški trik
Okvir kazni ima dvije razine: do 10 milijuna eura ili 2 posto globalnog godišnjeg prometa za "tehničke" povrede (evidencije, ugovori s izvršiteljima, neprijavljeni incidenti), te do 20 milijuna ili 4 posto za temeljne grijehe (obrada bez osnove, gaženje prava ispitanika, nezakoniti prijenosi). Uvijek se primjenjuje viši iznos od ta dva — odredba pisana za tehnološke divove kojima 20 milijuna znači zaokruženje.
Za maloga je bitniji princip proporcionalnosti: kazna se odmjerava prema težini, trajanju, broju pogođenih, namjeri i suradnji s nadzornim tijelom. Prvi prekršaj iz nehaja, brzo ispravljen, s malo pogođenih — završava opomenom ili simbolično. Ali "nisam znao" nije olakotna okolnost osme godine primjene; neznanje je 2018. bilo razumljivo, danas je izbor.
Tri prakse koje male firme najčešće koštaju
Iz AZOP-ovih odluka i savjeta daju se izvući ponavljajući obrasci. Videonadzor: kamera koja snima više od nužnog (ulicu, susjeda, radnike bez obavijesti) najčešća je tema pritužbi — pravilo je: snima se svoj prostor, uz vidljivu oznaku, s ograničenim čuvanjem snimki. Marketing bez osnove: kupljene baze, skupljene posjetnice i "pretplatili smo vas na newsletter" — svaka adresa mora imati odgovor na pitanje otkud vam i po kojoj osnovi. I životopisi: CV-jevi kandidata čuvaju se nakon natječaja godinama "za svaki slučaj" — bez privole kandidata, to je obrada bez osnove koja strpljivo čeka svoju pritužbu.
Sve tri imaju zajednički nazivnik: podaci skupljeni jer se moglo, ne jer je trebalo. GDPR-ova najdublja ideja — minimizacija — ujedno je i najjeftinija obrana: što manje podataka držite, manje toga može poći po zlu.
GDPR kao higijena, ne kao projekt
Osam godina nakon stupanja na snagu, pošteno je reći dvije stvari koje se rijetko izgovaraju zajedno. Prva: GDPR je uspio u onome što se mjeri — curenja se prijavljuju, građani koriste prava, "svi skupljaju sve" mentalitet više nije besplatan; hrvatske brojke kazni pokazuju da ni domaći regulator više nije ukras. Druga: birokratski teret za male nije izmišljotina — ali njegov veći dio proizvodi industrija straha, ne Uredba. Ono što Uredba stvarno traži od cvjećarnice, obrta ili male agencije stane u nekoliko dokumenata i zdrav razum: znaj što imaš, imaj razlog, čuvaj sigurno, briši kad prestane trebati, odgovori kad te pitaju.
Najkorisniji test usklađenosti ne košta ništa: zamislite da vas sutra klijent pita "koje moje podatke imate, zašto i dokad" — i da na to morate odgovoriti u roku od mjesec dana, jer morate. Ako odgovor imate, GDPR ste uglavnom riješili. Ako nemate, ne treba vam konzultant za 2.000 eura — treba vam popodne s tablicom i AZOP-ovim besplatnim materijalima. Milijunske kazne s početka teksta nisu pale na one koji su pogriješili u tablici; pale su na one koji su odlučili da ih se pravila ne tiču.




