info@edukacije.hr
01 / 55 79 093
Početna
O nama
Blog
Kontakt
Reference
LMS Login

AZOP Smjernice o AI i zaštiti osobnih podataka – što morate znati

Početna  >  Blog  >  Pravo i zaštita podataka  >  AZOP Smjernice o AI i zaštiti osobnih podataka – što morate znati
AZOP Smjernice o AI i zaštiti osobnih podataka – što morate znati
03. lipanj 2026. Siniša Bronić Pravo i zaštita podataka

AZOP je 7. svibnja objavio praktični vodič koji objašnjava kako se GDPR primjenjuje na AI sustave. Za SME koji koriste (ne razvijaju) AI alate kao što su ChatGPT, Claude, Copilot, alati za HR, CRM, analitiku, ovo su ključne implikacije.

Smjernice su dostupne na poveznici:
https://azop.hr/wp-content/uploads/2026/05/AZOP-Smjernice-za-razvoj-AI-sustava.pdf

Na kraju ovog dokumenta ćete naći našu sugestiju 4 pravila koja su dovoljna za male tvrtke i soliste.

1. Tko ste vi u toj priči?

Kad vaša tvrtka kupuje ili koristi AI alat za obradu podataka svojih zaposlenika, klijenata ili korisnika, vi ste voditelj obrade (data controller). Dobavljač alata (npr. OpenAI, Microsoft) je izvršitelj obrade (data processor).

Što to znači u praksi: Vi odgovarate AZOP-u za sve što se s podacima događa. Ne dobavljač!

2. Pet stvari koje morate imati uređene

1. Ugovor s dobavljačem AI alata (članak 28. GDPR)

Mora postojati pisani ugovor koji definira što dobavljač smije raditi s podacima vaših korisnika ili zaposlenika. Bez toga ste u prekršaju odmah.

2. Pravna osnova za svaku obradu

Morate znati zašto obrađujete podatke. Najčešće opcije su:

  • Legitimni interes uz dokumentirani test razmjernosti
  • Ugovor, ali samo ako je obrada stvarno nužna za izvršenje ugovora
  • Privola, no izbjegavajte je za zaposlenike jer privola nije slobodna u radnom odnosu

3. Informiranje ispitanika

Korisnici, klijenti i zaposlenici moraju znati da se u procesima koristi AI, koji podaci se obrađuju i u koje svrhe. Rečenica u privacy policyi nije dovoljna, mora biti dostupno i razumljivo.

4. Međunarodni prijenosi podataka

Ako vaš AI alat obrađuje podatke na serverima izvan EGP-a (SAD, Azija), mora postojati odgovarajući mehanizam za prijenos (standardne ugovorne klauzule ili odluka o adekvatnosti). Provjerite gdje su serveri vašeg dobavljača.

5. Minimizacija podataka

Ne unosite u AI alate više podataka nego što je nužno. Posebno pazite na unos osobnih podataka u slobodne promptove, npr. "analiziraj ovaj životopis: Ime Prezime, OIB...".

3. Posebna upozorenja za HR i B2B procese

Ako koristite AI za:

  • Analizu životopisa ili bodovanje kandidata potrebna je posebna pravna osnova, informiranje kandidata i pravo na prigovor. Automatizirano odlučivanje bez ljudskog nadzora je zabranjeno.
  • Nadzor zaposlenika ili analizu ponašanja to je izrazito visokorizično i gotovo sigurno zahtijeva DPIA.
  • Chatbotove koji primaju upite klijenata korisnici mogu nesvjesno unositi osobne podatke, a sustav mora biti konfiguriran da ih ne pohranjuje dalje nego što je nužno.

4. Kada trebate DPIA (procjenu učinka)?

AZOP preporučuje DPIA za svaki AI sustav koji obrađuje osobne podatke. Obvezna je ako:

  • koristite AI za donošenje odluka o pojedincima (zapošljavanje, kredit, pristup usluzi)
  • obrađujete posebne kategorije podataka (zdravlje, biometrija, politička uvjerenja)
  • koristite novu tehnologiju u osjetljivom kontekstu

5. Praktična kontrolna lista za SME

Odgvorite na ova pitanja:

  1. I⁠mam li potpisani DPA ugovor s dobavljačem AI alata?
  2. Znam li gdje se podaci fizički obrađuju (EU/izvan EU)?
  3. Je li svrha korištenja AI jasno definirana i dokumentirana?
  4. Informiramo li korisnike/zaposlenike o korištenju AI?
  5. Unosimo li u AI alate samo nužne podatke (bez OIB-a, zdravstvenih podataka itd.)?
  6. Postoji li ljudski nadzor kad AI donosi preporuke o osobama?
  7. Imam li dokumentiran legitimni interes ili drugu pravnu osnovu?

Zaključak

AZOP smjernice jasno signaliziraju da "koristimo tuđi alat" ne oslobađa SME od odgovornosti. Regulatorni fokus bit će upravo na deployer-ima, odnosno tvrtkama koje uvode AI u vlastite procese. Preventivna usklađenost sada je znatno jeftinija od reaktivnog postupanja nakon inspekcije ili pritužbe.

Ove smjernice nisu zamjena za pravno savjetovanje u konkretnom slučaju. Za specifične implementacije konzultirajte DPO ili pravnog savjetnika.

Za male tvrtke i soliste:
4 pravila koja su dovoljna

1. Nikad osobni podatak u prompt Ime, OIB, adresa, broj kartice ne idu u ChatGPT/Claude. Anonomizirajte prije unosa. To je 90% usklađenosti.

2. Znate li kome šaljete podatke? Provjerite jednom jesu li serveri vašeg AI alata u EU ili izvan. Ako su izvan (OpenAI = SAD), provjerite ima li Data Processing Agreement. ChatGPT ima, besplatni Gemini često ne.

3. Ljudske oči prije slanja van Sve što AI napiše, a ide klijentu ili javnosti, mora pročitati živа osoba. To je i zakonska obaveza i zaštita od halucinacija.

4. Napišite jednu stranicu internih pravila Nije vam potreban pravni odjel. Dovoljan je dokument koji kaže što smijete, što ne smijete i tko je odgovoran. Čak i kao solo poduzetnik.
Možete iskoristiti i našu Dozvolu za prompt preuzmite, i onda file download pa napravite za sebe i vašu tvrtku.