GDPR i pouzdanost: što tvrtke u EU-u moraju dokumentirati
Pouzdanost prema GDPR-u znači usklađenost dokazati, ne samo tvrditi. Dokumentacija koju tvrtke u EU-u moraju imati — evidencija obrade, procjena učinka, politike — i kako je izgraditi.

Većina tvrtki na usklađenost s GDPR-om gleda kao na stanje koje se postigne — potpiše se politika, doda kolačić-banner i gotovo. Uredba na to gleda kao na nešto što morate moći dokazati. To je načelo pouzdanosti i ono je tiho središte cijelog zakona: prema članku 5. stavku 2., tvrtka je odgovorna za usklađenost s načelima zaštite podataka i tu usklađenost mora moći dokazati [1]. U praksi je taj dokaz skup dokumenata — evidencije, procjene, politike i postupci koji točno i dosljedno opisuju kako Vaša organizacija doista postupa s osobnim podacima. Za europsku tvrtku bez pravnog odjela izgradnja i održavanje te cjeline pravi je zadatak GDPR-a. Ovaj vodič iznosi što ta cjelina sadrži, zašto svaki dio postoji i kako se obveza razlikuje diljem Europe — uključujući i zašto „europsko” nije isto što i „UK”.
Brzi odgovor. Pouzdanost prema GDPR-u (članak 5. stavak 2.) znači da tvrtka ne mora samo poštovati propise o zaštiti podataka, nego to mora moći i dokazati — dokumentacijom. Temeljnu cjelinu čine evidencija aktivnosti obrade, sloj pravne osnove i obavijesti o zaštiti podataka, ugovori s izvršiteljima te procjena učinka ondje gdje je rizik visok, sve to vođeno točno, prilagođeno tvrtki i unutarnje dosljedno.
Što pouzdanost zapravo znači prema GDPR-u
Većinu obveza iz GDPR-a u grubim crtama poznajemo: imati pravnu osnovu, ljudima reći što radite s njihovim podacima, čuvati ih sigurno, poštovati njihova prava. Pouzdanost je načelo koje te obveze iz namjera pretvara u nešto provjerljivo. Članak 5. stavak 2. čini voditelja obrade „odgovornim za usklađenost te [ga] mora moći dokazati”, a članak 24. zahtijeva da provedete odgovarajuće mjere i da budete u mogućnosti dokazati kako je Vaša obrada u skladu s Uredbom [1]. Ključne su riječi moći dokazati. Usklađenost koju ne možete pokazati, na papiru, kad je se zatraži, ne vrijedi.
To je pomak u tome gdje leži teret dokazivanja. Nadzorno tijelo koje otvara istragu, korporativni klijent koji provodi dubinsku provjeru dobavljača ili partner koji pregovara o ugovoru ne polaze od pretpostavke da ste neusklađeni — ali u trenutku kad kažu „pokažite mi”, odgovornost da pružite suvislo dokazno gradivo na Vama je, ne na njima. A mjerilo koje primjenjuju nije količina. Fascikl generičkih politika nikoga ne impresionira; ono što tijela traže jesu konkretnost i unutarnja dosljednost — dokumenti koji opisuju Vašu stvarnu obradu, imenuju Vaše stvarne sustave i dobavljače te ne proturječe jedni drugima. Smjernice same Europske komisije za organizacije obvezu uokviruju upravo tako: dokazivanje usklađenosti putem evidencija, procjena učinka i dokumentacije o povredama [2].
Ono što stoji iza te riječi nije apstraktno. GDPR pouzdanost potkrepljuje upravnim novčanim kaznama do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće, za najteže povrede [1]. No za većinu malih i srednjih tvrtki oštriji i češći pritisak nije regulatorni, nego poslovni: postupak nabave ili dubinske provjere većeg klijenta traži Vašu evidenciju aktivnosti obrade, Vaš ugovor o obradi i Vašu sigurnosnu dokumentaciju prije potpisa — i posao zastane onaj tjedan kad ih ne možete predočiti. Dokumentacija o pouzdanosti tiho je postala preduvjet prodaje većim organizacijama, a ista logika vrijedi za osiguravatelje i partnere. Zato tvrtke sve češće tu cjelinu grade unaprijed, kao poslovni adut koji partneru omogućuje da Vam povjeri osobne podatke, umjesto da čekaju da regulator pokuca.
Pouzdanost stoga preokreće cijeli pristup. Pitanje više nije „jesmo li usklađeni?” u apstraktnom smislu, nego „što možemo pokazati, baš sada, o svemu što radimo s osobnim podacima?” Sve što slijedi odgovor je na to pitanje.
Cjelina dokumentacije: što europske tvrtke moraju pokazati
Ne postoji jedinstveni „GDPR certifikat”. Pouzdanost se umjesto toga dokazuje skupom dokumenata, od kojih je svaki vezan uz određenu obvezu i koji zajedno pokrivaju svaku aktivnost u kojoj Vaša organizacija obrađuje osobne podatke. Koji su dijelovi potrebni ovisi o tome što radite — oslanjanje na dobavljača povlači ugovor o obradi, obrada visokog rizika povlači procjenu učinka — no okosnica je dosljedna kod svih europskih tvrtki.
Jednostavno rečeno, cjelina se gradi aktivnost po aktivnost:
- Evidencija aktivnosti obrade, članak 30. Temeljni dokument: popis svake aktivnosti obrade — koji podaci, čiji, zašto, na kojoj osnovi, s kim se dijele, koliko se čuvaju i što ih štiti. Nacionalna tijela poput francuskog CNIL-a objavljuju predloške upravo zato što je to instrument za kojim posežu prvim; to je, riječima regulatora, dokument koji ima i popisnu i analitičku svrhu i mora odražavati stvarnost Vaše obrade [1][4].
- Pravna osnova za svaku aktivnost, članak 6. — uz procjenu legitimnog interesa. Svaka aktivnost treba jednu od šest pravnih osnova. Ondje gdje se oslanjate na legitimni interes (članak 6. stavak 1. točka (f)), morate dokumentirati test ravnoteže u tri dijela — svrhu, nužnost i odvagivanje naspram prava pojedinca — disciplinu koju je Sud potvrdio u presudi KNLTB iz 2024. [1][9].
- Obavijesti o zaštiti podataka, članci 13. i 14. Ono što govorite osobama čije podatke obrađujete, ovisno o tome jeste li ih prikupili izravno od njih ili ne. Obavijest se mora podudarati s evidencijom aktivnosti obrade; nesklad između onoga što kažete i onoga što bilježite upravo je vrsta proturječja koje tijela traže [1].
- Ugovori o obradi, članak 28. Kad god dobavljač obrađuje osobne podatke u Vaše ime — servis za obračun plaća, pružatelj usluga u oblaku, platforma za e-poštu — članak 28. zahtijeva ugovor s definiranim odredbama. Komisija za to objavljuje službene standardne ugovorne klauzule na kojima usklađen ugovor može graditi [1][5].
- Zaštitne mjere za prijenos, poglavlje V. Ako osobni podaci napuštaju Europski gospodarski prostor, treba Vam valjan mehanizam prijenosa — odluka o primjerenosti ili standardne ugovorne klauzule Komisije za međunarodne prijenose [1][6].
- Procjena učinka na zaštitu podataka (DPIA), članak 35. Obvezna ondje gdje obrada vjerojatno predstavlja visok rizik — opsežna obrada posebnih kategorija podataka, sustavno praćenje, opsežno profiliranje. Europske smjernice utvrđuju devet kriterija i dva ili više njih tretiraju kao okidač; svako nacionalno tijelo objavljuje i vlastiti popis obrada za koje je obvezna [1][3].
- Postupci, ne samo dokumenti. Oko te cjeline stoje operativni dijelovi: postupak za rješavanje zahtjeva ispitanika u roku od mjesec dana (članci 12.–22.), postupak za povrede koji omogućuje obavješćivanje nadzornog tijela u roku od 72 sata kad je to potrebno (članci 33. i 34.) te interna politika tehničkih i organizacijskih mjera koje podatke drže sigurnima (članci 24. i 32.) [1].
To je anatomija. Umijeće je učiniti je Vašom — da je svako polje moguće potkrijepiti nečim istinitim o Vašoj tvrtki — umjesto fascikla uvjerljivo izgledajućeg generičkog teksta.
Jedna uredba, mnogo regulatora — europska slika
Tu europsko uokvirivanje postaje važno i tu je lako pogriješiti čitajući savjete usredotočene na UK. GDPR je uredba, a ne direktiva: Uredba (EU) 2016/679 izravno se primjenjuje u svakoj državi članici EU-a i širem Europskom gospodarskom prostoru, koji uključuje Norvešku, Island i Lihtenštajn [1][2]. Nosivi članci — pouzdanost, pravna osnova, evidencija aktivnosti obrade, procjena učinka, prava ispitanika — istovjetan su tekst u Njemačkoj, Francuskoj, Italiji, Španjolskoj, Poljskoj, Hrvatskoj i svuda drugdje. Tvrtka koja posluje diljem Europe jezgru EU-a gradi jednom.
Mijenja se nacionalni sloj koji se nosi povrh te jezgre. Svaka država ima vlastito nadzorno tijelo — CNIL u Francuskoj, Garante u Italiji, AEPD u Španjolskoj, BfDI i tijela saveznih zemalja u Njemačkoj, AZOP u Hrvatskoj i tako dalje — i svako može izdati nacionalne posebnosti: dob u kojoj dijete može dati privolu za internetske usluge (postavljena bilo gdje između 13 i 16 godina diljem Unije), pravila o podacima zaposlenika i vlastiti popis obrada koje uvijek zahtijevaju procjenu učinka. Dosljednost među tim regulatorima drže na okupu Europski odbor za zaštitu podataka i mehanizam „sve na jednom mjestu”, pa se jezgra ne raspada [8]. Za cjelinu o pouzdanosti to znači da je struktura jedinstvena, a odstupanja su omeđena: mapirajte jezgru EU-a, pa dodajte šačicu nacionalnih posebnosti za svaku državu u kojoj poslujete.
I upravo zato europsko nije isto što i UK. Od Brexita je Ujedinjeno Kraljevstvo izvan EU GDPR-a. Ono primjenjuje vlastiti UK GDPR uz Zakon o zaštiti podataka iz 2018., pod nadzorom ICO-a, i počelo je domaćom reformom odstupati od teksta EU-a. Švicarska, nikad u EU-u, ima vlastiti revidirani Savezni zakon o zaštiti podataka. Stoga bi tvrtka usmjerena na EU UK i Švicarsku trebala tretirati kao zasebne, usporedne režime — odvojene jurisdikcije koje se dokumentiraju za sebe — a ne kao lokalne varijante uredbe EU-a [2]. Mnogo široko dijeljenih „GDPR” savjeta zapravo su savjeti za UK; za obradu usmjerenu na EU i EGP, uredba, regulatori i referentni tekstovi koje citirate jesu europski.
Gdje pouzdanost postaje teža: UI i automatizirane odluke
Uvođenje UI-a ne stvara zaseban svemir usklađenosti, ali cjelini o pouzdanosti dodaje težinu. Bitne su tri stvari. Prvo, automatizirano donošenje odluka i profiliranje koje proizvodi pravne ili slično značajne učinke na pojedince nosi posebne zaštitne mjere prema članku 22. — uključujući, u brojnim slučajevima, pravo na ljudsku intervenciju [1]. Drugo, UI koji obrađuje osobne podatke u velikom opsegu ili profilira pojedince često ispunjava kriterije iz članka 35. i time pokreće procjenu učinka [1][3]. Treće, i dalje Vam treba jasna, dokumentirana pravna osnova za svako treniranje ili zaključivanje nad osobnim podacima.
Povrh GDPR-a, Akt o umjetnoj inteligenciji EU-a (Uredba (EU) 2024/1689) uvodi zaseban sloj obveza utemeljen na riziku za same UI sustave [7]. Dva režima teku usporedno: Akt o umjetnoj inteligenciji uređuje sustav, GDPR uređuje osobne podatke kojih se dotiče — a pouzdanost prema GDPR-u primjenjuje se u trenutku kad UI sustav obrađuje osobne podatke, bez obzira na to kako ga Akt o umjetnoj inteligenciji razvrstava. Praktična je posljedica da organizacija koja posao premješta u UI nasljeđuje više toga za dokumentirati, ne manje. Širu regulatornu konvergenciju obrađujemo u vodiču Upravljanje UI-em i pravila koja se primjenjuju, a operativni model koji to dokazno gradivo održava nusproizvodom svakodnevnog rada u tvrtki s UI-em u sržiEN.
Iskrena ograda: dokumentacija je nužna, ali nije dovoljna
Bilo bi zgodno reći da ste, čim cjelina postoji, usklađeni. Niste — a pretvarati se da jeste klasičan je način na koji pouzdanost zakaže. Tri iskrena ograničenja.
Prvo, dokumenti se moraju podudarati sa stvarnošću i morate ih provoditi. Politika koja opisuje kontrole pristupa kakve Vaši sustavi ne primjenjuju, ili evidencija koja izostavlja videonadzor na recepciji, nije neutralna — ona je dokaz neusklađenosti. Cjelina dokazuje pouzdanost samo ako je konkretna, unutarnje dosljedna i doista življena. Drugo, cjelina dokumentacije nije pravni savjet, niti je certifikat. Izrada dokumenata koje zakon zahtijeva strukturirano je sastavljanje, a ne pravno mišljenje o Vašoj konkretnoj situaciji; i ne postoji status „GDPR certificiran” koji bi dolazio s dobrom papirologijom — formalni put certificiranja prema članku 42. zaseban je, akreditiran mehanizam. Treće, neke situacije traže stručnjaka. Doista složena procjena učinka, sporna prekogranična struktura ili regulatorna istraga u tijeku nisu teritorij predložaka; ondje je ispravan potez obratiti se kvalificiranom savjetniku, a dobar proces pouzdanosti govori Vam kada.
Imenovati ta ograničenja nije izbjegavanje. To je razlika između cjeline koja preživi propitivanje i fascikla koji se uruši čim ga netko pažljivo pročita.
Kako izgraditi svoju cjelinu o pouzdanosti
Postoje, realno, tri načina za izradu cjeline. Odvjetnički ured ili konzultant za zaštitu podataka daje Vam točnost i prosudbu, ali sporo i uz trošak koji opterećuje manju tvrtku. Generički predlošci brzi su i jeftini, ali padaju na ispitu konkretnosti i dosljednosti koji tijela doista primjenjuju — a proturječna ili šuplja cjelina gora je od iskreno priznate praznine. Treći je put proizvodno izrađena, generirana cjelina: odgovorite na strukturirana pitanja o svojoj tvrtki i njezinim aktivnostima obrade, a iz knjižnice klauzula izgrađene na uredbi i službenim smjernicama sastavi se prilagođena, unutarnje dosljedna cjelina — brzo, poput predložaka, ali specifična za Vas, poput odvjetnika.
Izgradite cjelinu bez rokova odvjetničkog ureda. GDPR dokumentacija o pouzdanosti tvrtke easyAI kratak vođeni upitnik o Vašoj tvrtki i načinu na koji postupa s osobnim podacima pretvara u prilagođenu, unutarnje dosljednu cjelinu o pouzdanosti — evidenciju aktivnosti obrade, internu politiku, obavijesti o zaštiti podataka, ugovore s izvršiteljima, procjenu legitimnog interesa ondje gdje Vam treba i probir za procjenu učinka — generiranu u nekoliko dana, na engleskom i Vašem nacionalnom jeziku, uz djelić troška namjenskog angažmana. Riječ je o podršci za dokumentaciju, a ne o pravnom savjetu ili certifikatu, i pretpostavlja da ono što opisuje i provodite. Ako je Vaš sljedeći korak UI, a ne papirologija, Revizija UI temeljaEN rangira gdje se automatizacija isplati; krenite od primjera izvještajaEN. Oba proizvoda žive na platformi easyAI na aiprioritymap.com.
Slijed je s Vaše strane jednostavan: popišite svaku aktivnost koja dotiče osobne podatke, utvrdite pravnu osnovu za svaku, napišite evidencije i obavijesti koje ih opisuju, ugovorno uredite dobavljače, procijenite slučajeve visokog rizika i uspostavite postupke za prava i povrede — pa cijelu cjelinu držite ažurnom kako se Vaša obrada mijenja. Pouzdanost nije projekt koji dovršite; to je stanje koje održavate. No prvih, najtežih 80 % — potpuna, dosljedna cjelina specifična za tvrtku koju možete staviti pred svakoga tko zatraži — upravo je dio koji se sada može generirati umjesto izrađivati ručno.
Često postavljana pitanja
Sažetak
GDPR pouzdanost — dokažite je, ne samo tvrdite │ ├─ Načelo (čl. 5. st. 2., 24.) │ ├─ Usklađenost se mora moći dokazati, ne samo tvrditi │ ├─ Teret dokazivanja je na Vama, voditelju obrade │ └─ Tijela ispituju konkretnost + dosljednost, ne količinu │ ├─ Što morate moći pokazati │ ├─ Evidencija aktivnosti obrade — svaka aktivnost (čl. 30.) │ ├─ Pravna osnova + procjena legitimnog interesa (čl. 6.) │ ├─ Obavijesti · ugovori o obradi · prijenosi (čl. 13./14., 28., pogl. V.) │ └─ Procjena učinka kod visokog rizika · postupci za prava + povrede │ └─ Jedna uredba, mnogo regulatora ├─ EU + EGP dijele jezgru — mapirajte je jednom ├─ Nacionalna tijela dodaju posebnosti — CNIL, Garante, AEPD… └─ Ne i UK — UK GDPR + švicarski FADP su zasebni
Povezani uvidi
- Upravljanje UI-em i pravila koja se primjenjuju — kako se GDPR, Akt o umjetnoj inteligenciji EU-a i drugi režimi spajaju za tvrtku u rastu.
- Tvrtka s UI-em u sržiEN — operativni model u kojem se dokazno gradivo o pouzdanosti proizvodi kao nusproizvod svakodnevnog rada.
- Kako izgraditi registar UI-a u 90 minuta — ista disciplina dokumentiranja, primijenjena na Vaše UI sustave.
- Lokalni LLM naspram LLM-a u oblaku: sigurnost podatakaEN — gdje Vaši podaci leže i što to znači za prijenose i rizik.
Nadolazeći članci u ovom klasteru: kako izgraditi evidenciju aktivnosti obrade, kada i kako provesti procjenu učinka, odabir pravne osnove, postupci za prava ispitanika, ugovor o obradi prema članku 28. i GDPR za UI i automatizirane odluke.
Posljednje ažuriranje: lipanj 2026. Verzija 1.0.
Frequently Asked Questions
Što je načelo pouzdanosti u GDPR-u?
Koje dokumente GDPR zapravo zahtijeva?
Primjenjuje li se GDPR jednako u cijeloj Europi?
Pokriva li EU GDPR Ujedinjeno Kraljevstvo?
Moraju li male tvrtke voditi evidenciju aktivnosti obrade?
Kada tvrtki treba procjena učinka na zaštitu podataka (DPIA)?
Možemo li jednostavno upotrijebiti generičke GDPR predloške?
Mijenja li korištenje UI-a naše obveze prema GDPR-u?
Sources
- 1.Regulation (EU) 2016/679 (General Data Protection Regulation) — European Union (EUR-Lex, Official Journal L 119) · 2016
- 2.Rules for business and organisations (data protection) — European Commission · 2024
- 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020) — European Data Protection Board (EDPB) · 2024
- 4.Record of processing activities (Article 30 guidance and template) — CNIL (French Data Protection Authority) · 2024
- 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28) — European Commission (EUR-Lex) · 2021
- 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfers — European Commission (EUR-Lex) · 2021
- 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act) — European Union (EUR-Lex, Official Journal) · 2024
- 8.European Data Protection Board — role and consistency mechanism — European Data Protection Board (EDPB) · 2024
- 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basis — Court of Justice of the European Union (EUR-Lex) · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.