U praksi, primjena GDPR-a u Hrvatskoj pokazuje mješovitu sliku. Ono što su obećali njeni osnivači je bila veća kontrola nad osobnim podacima, transparentnost u radu tvrtki i stroge kazne za one koji pravila krše. Velike kompanije, osobito one povezane s međunarodnim tržištem, u pravilu su uložile značajne resurse kako bi uskladile svoje poslovanje s propisima. Uvele su detaljne politike privatnosti, imenovale službenike za zaštitu podataka i razvile procedure za postupanje u slučaju povrede podataka. Međutim, kod manjih poduzeća situacija je često drugačija. Mnoge tvrtke formalno imaju dokumentaciju, ali stvarna provedba pravila nerijetko je površna. GDPR se ponekad svodi na generičke obrasce i checkbox pristupe, bez stvarnog razumijevanja što zaštita podataka podrazumijeva u svakodnevnom radu.

Tko nadzire provedbu GDPR-a u Hrvatskoj?

Ključnu ulogu u nadzoru ima Agencija za zaštitu osobnih podataka (AZOP), koja je zadužena za provedbu i kontrolu primjene zakona. Tijekom posljednjih godina, Agencija je zaprimila sve veći broj pritužbi građana, što ukazuje na rast svijesti o pravima, ali i na postojanje problema u praksi. Građani se najčešće žale na neželjene marketinške poruke, nejasne uvjete obrade podataka te otežano ostvarivanje prava na brisanje ili pristup vlastitim podacima.

Unatoč regulatornom okviru, stvarna razina zaštite često ovisi o informiranosti i angažmanu samih korisnika. Građani koji aktivno koriste svoja prava traže uvid u podatke, zahtijevaju njihovo brisanje ili prijavljuju nepravilnosti, u pravilu imaju veću kontrolu nad vlastitim informacijama. Međutim, mnogi i dalje nisu u potpunosti svjesni što GDPR omogućuje. Prihvaćanje "kolačića" bez čitanja, dijeljenje osobnih podataka na društvenim mrežama i korištenje nesigurnih lozinki i dalje su svakodnevna praksa. Mislim da smo inače svi alergični na te "kolačiće" jer se pojave uvijek kada ne treba. Ima li netko tko nije na njih alergičan? Pitamo se je li sve to moglo biti bolje izvedeno i bez njihove pojave kod otvaranja skoro svake web stranice?! Odgovor prepuštam stručnjacima.

Kakve su kazne i tko ih provodi?

Kazne su jedan od najvidljivijih mehanizama provedbe GDPR-a, ali u Hrvatskoj nisu tako česte niti visoke kao u nekim zapadnoeuropskim zemljama. Ipak, zabilježeni su konkretni slučajevi. Primjerice, pojedine tvrtke kažnjene su zbog neadekvatne zaštite osobnih podataka zaposlenika ili zbog slanja promotivnih poruka bez valjanog pristanka. Konkretne primjere kršenja ćemo opisati u nastavku teksta.

Zaštita privatnosti u digitalnom dobu stoga nije samo pitanje zakona, već i digitalne pismenosti. Jednostavne mjere poput korištenja dvofaktorske autentifikacije, pažljivog upravljanja postavkama privatnosti i opreza pri dijeljenju podataka mogu značajno smanjiti rizik zlouporabe. Također, važno je razumjeti da svaka organizacija mora jasno objasniti kako i zašto prikuplja podatke te omogućiti korisnicima jednostavno ostvarivanje njihovih prava.

Nedavni primjeri kršenja i kazni

Ima dosta konkretnih i relativno svježih slučajeva kršenja GDPR-a, baš iz Hrvatske. Evo nekoliko koji dobro pokazuju gdje sustav “puca” u praksi:

Jedan od najzvučnijih primjera je slučaj telekoma (u medijima povezan s Telemach Hrvatska), koji je kažnjen s čak 4,5 milijuna eura. Problem nije bio “klasično curenje”, nego nešto suptilnije, prijenos osobnih podataka korisnika u treću zemlju bez odgovarajuće zaštite i bez jasnog informiranja korisnika. U tom procesu bilo je ugroženo oko 900 tisuća ljudi, što pokazuje koliko širok može biti utjecaj jednog propusta.

Drugi vrlo zanimljiv slučaj dolazi iz bankarskog sektora, gdje je Erste banka kažnjena s 1,5 milijuna eura. Banka je prikupljala podatke o aplikacijama instaliranim na mobitelima korisnika, bez dovoljno jasne pravne osnove i bez transparentnog objašnjenja. Problem je što takvi podaci mogu otkriti vrlo osjetljive informacije o korisnicima, iako to na prvi pogled ne izgleda dramatično.

Treći primjer je možda najkonkretniji u smislu tehničke nebrige ili neznanja. Tvrtka HEP-Toplinarstvo kažnjena je s 320.000 eura jer je lozinke korisnika čuvala, nevjerojatno ali istinito, u čitljivom obliku, bez enkripcije. To znači da bi svatko s pristupom sustavu mogao vidjeti lozinke korisnika. Radi se o osnovnoj sigurnosnoj praksi koja je jednostavno bila ignorirana.

Četvrti primjer kazne od 101.000 eura pokazuje koliko problem može biti širok: curenje podataka iz sustava povezanog s Hrvatskim uredom za osiguranje, gdje su potencijalno kompromitirani podaci više od milijun vlasnika vozila, uključujući OIB, adresu i podatke o vozilu. Utvrđeno je da nisu poduzete odgovarajuće mjere zaštite, što je omogućilo da podaci “izađu” iz sustava.

I još jedan primjer koji dodatno pokazuje kako kršenja pravila zaštite podataka često proizlaze iz dugotrajnog nemara, a ne nužno iz sofisticiranih napada, je vezan za agenciju za nekretnine. Naime, Agencija za zaštitu osobnih podataka kaznila je jednu agenciju za nekretnine sa 100.000 eura jer je nezakonito prikupljala i predugo čuvala osobne podatke klijenata, uključujući i kopije osobnih dokumenata. Utvrđeno je da su se podaci zadržavali i nakon što više nisu bili potrebni, bez jasne pravne osnove i bez odgovarajućih sigurnosnih mjera. Time su prekršena osnovna načela Opća uredba o zaštiti podataka, poput ograničenja svrhe i roka pohrane.

Ono što je posebno važno jest da identitet same agencije nije javno objavljen u dostupnim informacijama, što je česta praksa u nekim slučajevima kada regulator ne objavi puni naziv ili mediji ne navedu detalje. Ovaj primjer jasno pokazuje da problem ne leži samo u velikim korporacijama, već i u manjim sektorima gdje se osobni podaci često obrađuju rutinski, ali bez dovoljno pažnje i odgovornosti. AZOP je odbio otkriti o kojoj se konkretnoj agenciji radi. To nije slučajno. U nekim postupcima AZOP ne objavljuje identitet tvrtke, najčešće zbog pravnih ograničenja, zaštite postupka ili procjene da objava nije nužna u tom trenutku.

Kad pogledamo sve te primjere zajedno, vidi se obrazac: problemi rijetko dolaze od “hakera iz filmova”, nego iz loših odluka, nemara ili ignoriranja osnovnih pravila. I možda najzanimljiviji podatak da je tijekom 2025. u Hrvatskoj je izrečeno 13 kazni ukupne vrijednosti veće od 6,7 milijuna eura, što nas svrstava relativno visoko u EU po strogoći kazni. Drugim riječima, kršenja nisu rijetkost niti teorija, događaju se redovito, i to u velikim sustavima koji obrađuju ogromne količine podataka. Upravo zato se i postavlja ono tvoje početno pitanje: zaštita postoji, ali očito nije dovoljno “nepropusna” da spriječi ovakve situacije.

Što bi se moralo poboljšati da budemo zaštićeniji?

Ako se sustav želi stvarno poboljšati, nije dovoljno samo “pooštriti pravila” jer Opća uredba o zaštiti podataka je već vrlo stroga na papiru. Problem je što joj u praksi nedostaje dubina provedbe i svakodnevna funkcionalnost.

Prvo što bi napravilo veliku razliku je jači i vidljiviji nadzor. Agencija za zaštitu osobnih podataka trebala bi imati više resursa i kapaciteta za proaktivne kontrole, a ne samo reagirati na prijave. Kad bi tvrtke znale da postoji realna šansa inspekcije i konkretnih kazni, razina poštivanja pravila bi brzo porasla. Trenutno je previše prostora za “igranje na sigurno” bez stvarnih posljedica.

Druga ključna stvar je pojednostavljivanje prava za građane. Danas formalno imamo pravo na pristup, ispravak ili brisanje podataka, ali to često uključuje slanje zahtjeva, čekanje i nejasne odgovore. Sustav bi funkcionirao puno bolje kada bi postojali standardizirani, jednostavni alati. Primjerice jedinstveni digitalni obrasci ili platforme kroz koje možeš upravljati svojim podacima bez birokracije.

Treći veliki prostor za napredak je transparentnost. Politike privatnosti kakve danas postoje često su preduge i napisane pravnim jezikom. Realno, većina ljudi ih ne čita. Kad bi bile kratke, jasne i standardizirane, poput “nutritivnih deklaracija” ali za podatke, korisnici bi konačno mogli razumjeti što se s njihovim informacijama događa i donositi informirane odluke.

Zatim dolazi tehnološki aspekt. Umjesto da se zaštita tretira kao dodatak, trebala bi biti ugrađena u sustave od početka, tzv. “privacy by design”. To znači manje prikupljanja podataka, bolju enkripciju i strožu kontrolu pristupa unutar samih organizacija. Mnogi incidenti danas nisu rezultat sofisticiranih napada, nego jednostavnih propusta koje bi bolji sustavi mogli spriječiti.

Neizbježan dio rješenja je i edukacija. Građani često nisu svjesni svojih prava niti rizika pa možda i najvažnija slabost su ljudi. Većini korisnika se ne da prolaziti kroz proceduru inzistiranja na svojim pravima. Dijeljenje osobnih podataka na društvenim mrežama, korištenje istih lozinki i ignoriranje sigurnosnih postavki praktički poništava dio zaštite koju zakon pokušava osigurati. Tako da, unapređenje digitalne pismenosti kao ozbiljne teme u obrazovanje, ali i kroz javne kampanje, pomoglo bi ljudima da se aktivnije štite. Jer ni najbolji zakon ne pomaže ako ga korisnici ne koriste.

Važna je i promjena mentaliteta u tvrtkama. GDPR se često doživljava kao teret ili administrativna obveza, umjesto kao dio odgovornog poslovanja. Dok god je cilj “proći kontrolu” umjesto stvarno zaštititi korisnike, sustav će imati ograničen učinak.

Zaključak

GDPR je bez sumnje unaprijedio standarde zaštite podataka u Hrvatskoj, ali njegova učinkovitost uvelike ovisi o dosljednoj provedbi i svijesti svih uključenih, od institucija i tvrtki do samih građana. Iako formalni okvir postoji, stvarna zaštita nije zajamčena sama po sebi. Ona se gradi kroz kontinuirani nadzor, edukaciju i aktivno sudjelovanje korisnika, što znači da pitanje iz naslova ostaje djelomično otvoreno: zaštićeni jesmo, ali ne onoliko koliko bismo mogli biti.