Rizik od neusklađenosti s GDPR-om: što svaki menadžer treba razumjeti prije 2026.

Opća uredba o zaštiti podataka (GDPR) europska je uredba čiji je cilj zaštita osobnih podataka građana Europske unije. Nepoštivanje te uredbe može imati ozbiljne posljedice za tvrtke i organizacije. Koji su rizici uključeni? Pogledajmo to pobliže.

Mnogi rukovoditelji malih i srednjih poduzeća i tvrtki još uvijek vjeruju da CNIL (Francuska agencija za zaštitu podataka) cilja samo na digitalne divove. Brojke govore drugačiju priču: u 2024. godini gotovo 8 od 10 sankcija bilo je usmjereno na vrlo mala poduzeća i mala i srednja poduzeća. Ovaj članak objašnjava, jasnim jezikom bez žargona, stvarne rizike, najčešće ranjivosti i konkretne korake za zaštitu od njih.

Još jedan važan napredak, koji menadžeri često podcjenjuju, jest značajno moderniziranje CNIL-ovih sposobnosti detekcije. Tijelo sada može procijeniti razinu zrelosti organizacije u pogledu GDPR-a izravnim skeniranjem njezinih web stranica, u različitim dubinama. Banneri s kolačićima, trackeri, pravne obavijesti, obrasci za prikupljanje podataka, politike privatnosti, sigurnost protokola: sve se to može analizirati na daljinu, bez prethodne najave, i poslužiti kao polazna točka za formalnu reviziju.

Ova industrijalizacija oslanja se na umjetnu inteligenciju, koja omogućuje CNIL-u (Francuskoj agenciji za zaštitu podataka) provođenje ovih online revizija na masovnoj i automatiziranoj razini. Dok je ljudski agent prije pregledavao nekoliko desetaka stranica godišnje, algoritamski alati mogu analizirati tisuće u jednom danu, identificirati ponavljajuća kršenja i precizno ciljati najizloženije organizacije. Za mala i srednja poduzeća, "pozadinska buka" regulacije stoga se temeljno promijenila: sama nevidljivost više nije dovoljna da bi se izbjeglo otkrivanje.

Ključne zaključke

Velike financijske kazne: do 20 milijuna eura ili 4 % globalnog prometa, ovisno o tome što je veće.
Prošireni cilj: Vrlo mala poduzeća i mala i srednja poduzeća sada čine većinu sankcija koje je izdao CNIL.
Višestruke posljedice: novčane kazne, kaznene sankcije, narušavanje ugleda, gubitak ugovora, tužbe za naknadu štete.
Glavna poluga: Strukturirani pristup usklađenosti s GDPR-om, vođen od strane uprave i uz podršku službenika za zaštitu podataka (DPO), drastično smanjuje rizik.
Trendovi za 2025.-2026.: Free i Free Mobile kažnjeni su s 42 milijuna eura, France Travail s 5 milijuna eura, a Shein s 150 milijuna eura. Manje kazni, ali puno veće.

Razumijevanje rizika neusklađenosti s GDPR-om za tvrtku

O čemu točno govorimo?

Opća uredba o zaštiti podataka (GDPR) regulira sve operacije koje se provode s osobnim podacima od svibnja 2018.: prikupljanje, pohranu, prijenos, profiliranje i brisanje. Svaka organizacija koja obrađuje ove podatke - kupci, potencijalni klijenti, zaposlenici, dobavljači - spada u njezino područje primjene, bez obzira na veličinu ili sektor.

Nepoštivanje GDPR-a nije samo administrativna pogreška. To podrazumijeva građansku, upravnu, a ponekad i kaznenu odgovornost za voditelja obrade podataka, što je najčešće sama tvrtka i njezin zakonski zastupnik.

Tko je stvarno pogođen?

Pravilo je široko: ako vaša tvrtka obrađuje osobne podatke pojedinaca s prebivalištem u Europskoj uniji, to utječe na vas. To se odnosi na lokalnog trgovca koji upravlja programom vjernosti, kao i na holding tvrtku koja upravlja međunarodnom grupom.

U prvom planu su tri aktera: kontrolori podataka, obrađivači podataka (pružatelji IT usluga, marketinške agencije, pružatelji hostinga) i svi zajednički kontrolori. Svaki od njih može biti sankcioniran neovisno, što je činjenica koje mnoge tvrtke nisu svjesne.

Zašto ova tema ponovno postaje vruća?

Dugo se činilo da je primjena GDPR-a neujednačena. Ti su dani prošli. Godine 2022. CNIL (Francusko tijelo za zaštitu podataka) uveo je pojednostavljeni postupak sankcija koji mu omogućuje brzo izricanje kazni do 20.000 eura bez otkrivanja identiteta organizacije. Kao rezultat toga, 2024. godine izrečeno je 69 pojednostavljenih sankcija, gotovo tri puta više nego 2023. godine.

U većim slučajevima, iznosi su vrtoglavo visoki. U 2025. godini, samo dvije presude vezane uz kolačiće iznosile su 475 milijuna eura, uključujući 325 milijuna eura za Google i 150 milijuna eura za Shein. Poruka je jasna: manje slučajeva, ali uzorne kazne.

Koja se kazna primjenjuje na tvrtku koja nije u skladu s GDPR-om?

Administrativne kazne koje je izrekao CNIL

GDPR postavlja dva ograničenja. Prvo, do 10 milijuna eura ili 2 TP4T globalnog godišnjeg prometa, usmjereno je na kršenja poput nedostatka registra obrade ili neprovođenja procjene učinka. Drugo, do 20 milijuna eura ili 4 TP4T globalnog prometa, kažnjava najteža kršenja: nedostatak pravne osnove, kršenje prava ispitanika i neregulirane međunarodne prijenose.

Najznačajnija kazna CNIL-a posljednjih godina nije višemilijunska kazna, već ona izrečena u prosincu 2024. tvrtki Amazon France Logistique: 32 milijuna eura za nadzor koji se smatra nesrazmjernim nadzoru radnika naručivanja. Poruka je jasna: čak i sustav predstavljen kao "produktivan" može prijeći granicu nezakonitosti ako krši privatnost zaposlenika.

Kaznene sankcije za GDPR

Osim administrativnih aspekata, francuski kazneni zakonik predviđa kaznene kazne povezane s GDPR-om do pet godina zatvora i novčanu kaznu od 300.000 eura za pojedince, te 1,5 milijuna eura za pravne osobe. Ove kazne obuhvaćaju prijevarno prikupljanje podataka, obradu osjetljivih podataka bez pravne osnove i zlouporabu podataka. Iako su takvi kazneni progoni rijetki, mogu se dodati postupku CNIL-a (Francuskog tijela za zaštitu podataka).

Neizravne posljedice, često najskuplje

Sankcija u skladu s GDPR-om ima cijenu koja daleko nadilazi kaznu: šteta za ugled, posebno na B2B tržištima gdje je usklađenost postala kriterij kupnje; gubitak ugovora, budući da neki klijenti sada zahtijevaju formalni dokaz usklađenosti u svojim pozivima na natječaj; tužbe za naknadu štete od strane dotičnih osoba, pojedinačno ili putem kolektivnih tužbi; interni troškovi sanacije koji često premašuju samu kaznu.

Kako se pokreće CNIL revizija?

Izvori i oblici kontrole

CNIL-ova revizija može se pokrenuti pritužbom (CNIL je 2024. primio gotovo 17 800), obavijesti o kršenju koju je poslala tvrtka, godišnjeg prioritetnog pitanja ili negativne medijske pokrivenosti. Postoje četiri formata: inspekcija na licu mjesta, saslušanje, online pregled i pregled dokumenata. Potonji, korištenjem detaljnog upitnika, najčešći je i najpodcijenjeniji.

Postupak

Ako se utvrde kršenja, CNIL prvo izdaje službenu obavijest s rokom. U 2024. godini izdano je 180 službenih obavijesti. To je često posljednja prilika za izbjegavanje javne sankcije. U suprotnom, ograničeno vijeće pokreće postupak koji može trajati između šest i osamnaest mjeseci. Za više informacija možete se obratiti Viqtorov vodič za reviziju usklađenosti s GDPR-om.

Najčešća područja ranjivosti u poslovanju

Neispravno upravljanje podacima

Ovo je primarni faktor rizika. Mnoge tvrtke su 2018. godine izradile GDPR politiku, pohranile je i nikada je nisu ponovno pregledale. Međutim, alati, pružatelji usluga i tokovi podataka stalno se razvijaju. Bez kontinuiranog praćenja, jaz sa stvarnošću se povećava. Ovo pitanje u potpunosti spada u nadležnost uprave: načelo odgovornosti utvrđeno u članku 5.2 GDPR-a zahtijeva dokazivanje usklađenosti u bilo kojem trenutku. Ovo nije obveza sredstava, već obveza dokazivanja.

Odsutnost ili loše pozicioniranje DPO-a

Imenovanje službenika za zaštitu podataka (DPO) obvezno je za javna tijela, organizacije koje obrađuju osjetljive podatke u velikim razmjerima ili one koje sustavno prate pojedince. U praksi, mnoge tvrtke imaju koristi od imenovanja službenika čak i bez formalne obveze, jer to jača lanac odgovornosti. Međutim, DPO mora imati potrebne resurse za djelovanje: izravan pristup upravi, proračun, neovisnost i sudjelovanje u projektima. Nekoliko nedavnih sankcija posebno je usmjereno na tvrtke koje su imenovale isključivo formalnog DPO-a.

Nedovoljno dimenzionirana tehnička sigurnost

To je postao glavni razlog za značajne sankcije. U 2025. godini, 29% europskih kazni odnosilo se na neadekvatne tehničke i organizacijske mjere. Slučaj Free and Free Mobile, sankcioniran u siječnju 2026. s ukupno 42 milijuna eura, savršeno ilustrira ovu točku: nedostatak višefaktorske autentifikacije na VPN pristupu i neučinkovitost sustava za otkrivanje izlaska smatrani su ozbiljnim kršenjima nakon što je upad ugrozio 24 milijuna ugovora.

Za strukturiranje ove dimenzije, Viqtorov modul za upravljanje GDPR-om nudi izravno upotrebljiv operativni okvir biblijske jednostavnosti.

Želite li konkretno procijeniti svoju razinu izloženosti? Viqtor tim vam može pomoći u dijagnozi prilagođenoj vašem poslovanju.

Izgradnja učinkovitog pristupa usklađenosti s GDPR-om

Karta prije ispravljanja

Nijedan ozbiljan proces usklađivanja s GDPR-om ne započinje bez sveobuhvatnog mapiranja aktivnosti obrade podataka. Ovaj korak je ključan za sve ostalo: identifikaciju tokova podataka, svrha, primatelja, razdoblja čuvanja i pravnih osnova. Dobivene informacije unose se u registar obrade, obvezni dokument i prvu stavku koja se traži u slučaju CNIL revizije.

Osiguravanje ugovora i lanac podizvođača

Svaki pružatelj usluga koji obrađuje podatke u vaše ime mora biti uređen ugovorom u skladu s člankom 28. GDPR-a: pružatelj hostinga, SaaS izdavač, marketinška agencija, tvrtka za obračun plaća. Jedna nedostajuća klauzula može biti dovoljna da vas učini odgovornima u slučaju kršenja podataka u prostorijama podizvođača. Ova je točka tim važnija s obzirom na to da mnogi alati prenose podatke izvan Europske unije, što zahtijeva posebne zaštitne mjere koje se rijetko formaliziraju.

Implementacija održivog upravljanja

Usklađenost nije projekt, već proces. To uključuje godišnji pregled aktivnosti obrade podataka, dokumentirani postupak upravljanja povredama (obavijest unutar 72 sata), plan obuke, praćenje zahtjeva za pravima ispitanika i sažetu nadzornu ploču za upravljanje. Viqtorov vodič za osobne podatke detaljno opisuje ove najbolje prakse.

Zaključno

Rizik od neusklađenosti s GDPR-om promijenio se u posljednje dvije godine. Postao je vjerojatniji jer kontrole postaju standardiziranije. Skuplji je jer vlasti usvajaju strategiju nametanja primjerenih kazni. Vidljiviji je jer usklađenost postaje ugovorni standard koji očekuju vaši kupci i partneri.

Za vođu, pitanje više nije isplati li se trud, već kako ga učinkovito strukturirati. Dobro proveden pristup - mapiranje, upravljanje, sigurnost i praćenje - uvijek je jeftiniji od kazne i, dugoročno gledano, predstavlja stvarnu konkurentsku prednost.

Želite li osigurati svoju usklađenost? Razgovarajte sa stručnjakom iz Viqtora strukturirati svoj pristup tijekom vremena.

Često postavljana pitanja — Vaša pitanja kao vođe

Koje su tvrtke pogođene rizicima neusklađenosti s GDPR-om?

Svi oni. Čim tvrtka obrađuje podatke fizičkih osoba s prebivalištem u Europskoj uniji - kupaca, potencijalnih klijenata, zaposlenika, dobavljača - ona potpada pod GDPR. Veličina, status i sektor nisu bitni. U 2024. godini gotovo 8 od 10 sankcija koje je izrekao CNIL (Francusko tijelo za zaštitu podataka) bilo je usmjereno na mikropoduzeća i mala i srednja poduzeća.

Što se događa ako CNIL pokrene istragu?

CNIL (Francusko tijelo za zaštitu podataka) prvo šalje obavijest poštom, pozivom ili posjetom na licu mjesta. Tvrtka zatim ima rok za dostavu traženih dokumenata: registra obrade, politike privatnosti, ugovora o podugovaranju i sigurnosnih mjera. Ako se pronađu bilo kakvi nedostaci, izdaje se službena obavijest kojom se pokreće rok za usklađenost. Ako se situacija ne ispravi, pokreće se postupak sankcija.

Može li podizvođač biti kažnjen zbog nepoštivanja GDPR-a?

Da, i to se redovito događa. GDPR nameće određene obveze obrađivačima podataka: sigurnost, evidencije, obavještavanje o kršenju i pridržavanje dokumentiranih uputa. Kazna CNIL-a može biti usmjerena samo na obrađivača podataka, samo na voditelja obrade podataka ili na oboje. Ugovori iz članka 28. stoga su ključni kako bi se razjasnilo tko je za što odgovoran.

Kako brzo smanjiti rizik od neusklađenosti s GDPR-om?

Tri mjere s velikim utjecajem mogu se provesti u roku od 90 dana: revizija i ažuriranje registra obrade; provjera da svi ugovori o podugovaranju uključuju obvezne klauzule iz članka 28.; i jačanje osnovne tehničke sigurnosti (višefaktorska autentifikacija, enkripcija, strogo upravljanje pristupom). Ove tri mjere pokrivaju većinu nedavnih osnova za sankcije.

Koje su maksimalne kazne za nepoštivanje GDPR-a?

GDPR određuje dvije maksimalne kazne: do 10 milijuna eura ili 2 tone globalnog godišnjeg prometa za povrede prve razine i do 20 milijuna eura ili 4 tone globalnog prometa za ozbiljne povrede (nedostatak pravne osnove, kršenje prava, neregulirani prijenosi podataka). Uz ove administrativne kazne, postoje i kaznene sankcije prema francuskom Kaznenom zakoniku.

Primjeri kršenja GDPR-a koja su rezultirala značajnim kaznama?

Ističe se nekoliko slučajeva: Meta, kažnjena s 1,2 milijarde eura 2023. zbog prijenosa podataka u Sjedinjene Države; Uber, 290 milijuna eura 2024. zbog nesigurnih prijenosa; Amazon France Logistique, 32 milijuna eura 2024. zbog nesrazmjernog praćenja zaposlenika; te Google, 325 milijuna eura i Shein, 150 milijuna eura 2025. zbog kršenja kolačića. Ovi slučajevi ilustriraju razmjere rizika i raznolikost kažnjenih prekršaja.