Sedam godina nakon što je Opća uredba o zaštiti podataka (GDPR) promijenila način na koji poslujemo, mnoge tvrtke, obrti i institucije i dalje rade iste pogreške. GDPR se u međuvremenu uskladio s novim digitalnim trendovima, uveo dodatne smjernice kroz europske odluke, a na scenu su stupile i nove regulative Digital Services Act i AI Act. No, glavna istina ostaje ista: ako obrađujete osobne podatke, GDPR vas se tiče.
Ovo su zablude koje i danas, 2025., uporno žive.
1. “Meni to ne treba”
Ako ste trgovačko društvo, obrt, udruga, škola, poliklinika ili bilo koji subjekt koji radi s fizičkim osobama, GDPR vas se tiče.
Bez obzira prodajete li online ili samo vodite evidenciju klijenata u bilježnici, čim prikupljate ime, prezime, broj telefona ili e-mail adresu, prikupljate osobne podatke.
Zabluda “mi ne prodajemo ništa na internetu” danas je jednako pogrešna kao i 2018. godine. Samo što se u međuvremenu promijenilo, sada se sve, baš sve, bilježi digitalno.
2. “GDPR usklađivanje moze riješiti knjigovođa ili bilo koji pravnik”
Ova je zabluda skupa.
GDPR usklađivanje nije administrativna forma niti se radi po špranci od kolege. To je proces koji uključuje pravne, tehničke, organizacijske i komunikacijske mjere. Knjigovođa zna poreze ili računovodstvo. Pravnik zna svoju specijalizaciju, pa ako se nije baš specijalizirao za GDPR, teško da će znati napraviti kompletno usklađivanje. Čak i tada, pitanje je zna li nešto o marketingu, IT-u i sigurnosti. Rijetko tko istovremeno razumije pravo, sigurnost podataka, IT sustave, marketing, web kolačiće i CRM sustave.
Zato se GDPR danas rješava timski pravnik, IT stručnjak, marketing konzultant i voditelj projekta. Špranca vas ne usklađuje, samo ćete si zamazati oči novom zabludom.
3. “Mi smo mali, nas nitko neće dirati”
Hoće.
AZOP je posljednjih godina provodio nadzore i nad mikro poduzetnicima. Kazne nisu uvijek milijunske, ali dovoljno su visoke da mali obrt zatvore.
Čak i ako ste kiosk, salon, agencija s dvoje zaposlenih, sigurnno imate osobne podatke o klijentima, dobavljačima i zaposlenicima. GDPR ne poznaje izgovor “mi smo premali”. Poznaje samo dvije kategorije: usklađeni i neusklađeni.
4. “To vrijedi samo za velike i za EU firme”
GDPR se odnosi na sve subjekte koji obrađuju podatke građana Europske unije – bez obzira na to gdje se nalaze.
Ako poslujete s klijentima iz EU, vodite newsletter listu ili imate webshop, obveznici ste GDPR-a čak i ako vam sjedište nije u Uniji. To se danas odnosi i na korištenje AI alata, platformi za oglašavanje i CRM sustava koji obrađuju podatke korisnika u oblaku.
5. “To je samo papirologija”
GDPR dokumentacija je tek početak. Prava primjena počinje kad procedure zažive.
Politike privatnosti, pravilnici i obrasci bez stvarne provedbe samo su papirnato pokriće. Usklađivanje znači da su zaposlenici educirani, lozinke redovito mijenjate, pristupi su ograničeni, a podaci pohranjeni sigurno i šifrirano.
GDPR nije birokracija. To je kultura odgovornog upravljanja podacima.
6. “GDPR koči marketing”
Ne koči, nego usmjerava.
Uz dobro postavljen pristanak (consent), jasne komunikacijske politike i poštenu obradu, marketing može biti još učinkovitiji jer stvara povjerenje.
Newsletter kampanje, remarketing i Google Ads itekako su mogući, samo uz poštovanje pravila. Svakako nije kako je nekada bilo, ali to nas tjera da budemo kreativniji, posvetimo se kreiranju boljeg sadržaja i nalazimo drugačiji put do klijenata.
Transparentnost je novi luksuz, a brendovi koji to razumiju imaju veću lojalnost korisnika.
7. “Nema kazni u Hrvatskoj”
Kazne postoje i izriču se.
AZOP je posljednjih godina kaznio privatne i javne subjekte zbog neadekvatne zaštite podataka, neovlaštenog pristupa i curenja informacija. U Europi su kazne dosegle milijarde eura za Meta, TikTok, Booking.com i slične.
U razdoblju 2023. godine Agencija za zaštitu osobnih podataka (AZOP) izrekla je 28 upravnih novčanih kazni u iznosu od 8,27 milijuna eura, čime je jasno poslala poruku da će svako grubo kršenje odredbi Opća uredba o zaštiti podataka (GDPR) biti strogo sankcionirano.
U srpnju 2025. AZOP je izrekao osam novih upravnih kazni u ukupnom iznosu od 350 500 eura, među kojima se izdvojila kazna od 101 000 eura protiv Hrvatski ured za osiguranje zbog curenja osobnih podataka više od milijun vlasnika vozila.
Ovi primjeri pokazuju da niti mala ni srednja poduzeća nisu izuzeta – tehničke i organizacijske mjere zaštite podataka moraju biti na visokoj razini, a neusklađenost može imati ozbiljne financijske posljedice.
Ne treba vas plašiti samo kazna ili iznos, nego činjenica da i mala kazna može uništiti ugled. Povjerenje se ne gradi PR-om, nego odgovornošću.
8. “Nitko ne čita te politike privatnosti”
Čitaju. Možda ne svi, ali nadzorna tijela i zainteresirani čitaju.
Politika privatnosti mora biti jasna, razumljiva i točna. Više ne prolaze kopirani tekstovi ili generičke klauzule. Svaki poduzetnik mora imati politiku koja odražava stvarne prakse. Ako piše da ne dijelite podatke, a koristite Facebook Pixel ili Google Analytics bez suglasnosti, to je kršenje.
Korištenje Google Fonts-ova na web-stranici može utjecati i na usklađenost s GDPR-om: ako fontovi nisu pravilno implementirani i učitavaju se sa servera treće strane bez odgovarajuće privole korisnika, to može predstavljati rizik obrade osobnih podataka i povredu prava ispitanika.
9. “Umjetna inteligencija i online alati nisu moj problem”
Ako koristite bilo koji AI alat (ChatGPT, Copilot, Canva, Google Analytics 4, CRM ili HR platformu) gotovo sigurno već obrađujete osobne podatke putem trećih strana.
U 2025. upravo je ta siva zona između umjetne inteligencije i GDPR-a postala najosjetljivije područje nadzora. AI alati prikupljaju, analiziraju i pohranjuju podatke kroz automatizirane procese, a poduzetnici često nisu svjesni gdje se ti podaci nalaze niti tko im ima pristup.
Tvrtke koje žele ostati usklađene moraju znati točno koje podatke njihovi alati obrađuju, gdje se pohranjuju i na temelju koje pravne osnove.
GDPR i AI više nisu odvojeni svjetovi, zajedno određuju granice odgovornog digitalnog poslovanja.
10. “Kad to jednom riješim, gotovo sam”
GDPR nije projekt, nego proces.
Usklađivanje se provodi, provjerava, ažurira i ponavlja. Tehnologija se mijenja, sustavi nadograđuju, a s njima i rizici.
Ako ste usklađivanje obavili 2018., a od tada niste provodili redovite revizije, obuke ili tehničke nadogradnje, moguće da niste više usklađeni.
GDPR živi zajedno s vašim poslovanjem.
Ako ste se prepoznali u barem jednoj od ovih zabluda, vrijeme je da provjerite jeste li doista usklađeni.
Pogledajte našu uslugu GDPR usklađivanje i revizija i saznajte što konkretno trebate poduzeti.
Kako dalje s GDPR?
Sedam godina nakon “famoznog roka” 25. svibnja, GDPR više nije tema straha nego odgovornosti.
Tvrtke koje su ga prihvatile kao temelj poslovne etike danas imaju stabilne procese, jače povjerenje klijenata i čistu reputaciju.
Ako još uvijek razmišljate “meni to ne treba”, sada je pravi trenutak da promijenite mišljenje.
Zatražite našu besplatnu analizu usklađenosti i saznajte gdje ste u odnosu na GDPR standarde.
