Compliance

GDPR i podaci stranih radnika: Što smijete pohraniti, kako dugo i kako zaštititi

Dejan TornjanskiDejan Tornjanski19. ožujka 2025.Zadnja provjera: 17. svibnja 2026.9 min čitanja
Marketing analytics and performance metrics dashboard
Brzi odgovor

Što HR smije pohraniti od osobnih podataka stranog radnika prema GDPR-u i koliko dugo?

Osim standardne personalne dokumentacije, HR za stranog radnika obrađuje i osjetljive kategorije: kopije putovnice i dozvole za boravak i rad, podatke o smještaju (Obrazac 18a), podatke o zdravstvenoj sposobnosti (Pravilnik MUP-a 2026.), eventualne biometrijske podatke i podatke o članovima obitelji. GDPR (Uredba EU 2016/679) i hrvatski Zakon o provedbi GDPR-a traže pravnu osnovu (zakonska obveza ili ugovor), minimizaciju, jasan rok čuvanja (10 godina za radnopravnu dokumentaciju, 7 godina za poreznu, 30 dana za snimke videonadzora), enkripciju i evidenciju radnji obrade. Kazne AZOP-a / EDPB-a do 20 mil. EUR ili 4 % globalnog prometa.

Izvor: Uredba (EU) 2016/679 — Opća uredba o zaštiti podataka (GDPR)

Ključne brojke

10 god.
rok čuvanja radnopravne dokumentacije po hrvatskim propisima
Izvor: Zakon o radu (NN 93/14, 127/17, 98/19, 151/22)
20 mil. €
ili 4 % globalnog prometa — gornji raspon GDPR kazni
Izvor: Uredba (EU) 2016/679 — Opća uredba o zaštiti podataka (GDPR)
0
biometrijskih podataka bez izričite zakonske osnove ili privole
Izvor: Agencija za zaštitu osobnih podataka (AZOP)

Ključni zaključci

  • Kopija putovnice **nije** biometrijski podatak u smislu čl. 4(14) GDPR-a (taj pojam pokriva samo posebno tehnički obrađene podatke za jedinstvenu identifikaciju, npr. otisak prsta ili facial template); jest osjetljiv osobni podatak koji može **indirektno otkriti** posebne kategorije iz čl. 9 GDPR (etničko podrijetlo, potencijalno vjeru) i zato traži strogu pravnu osnovu, uže pristupne kontrole i pojačane mjere zaštite
  • Za svaku kategoriju podataka mora postojati definirana pravna osnova (ugovor, zakonska obveza ili pristanak)
  • Rokovi pohrane variraju po izvoru zakona: **payroll i ugovori 11 godina** (Zakon o porezu na dohodak, čl. 38 — porezna dokumentacija), **evidencije o radnicima 6 godina** (Zakon o radu, NN 93/14 i izmjene), zdravstveni podaci o ozljedama na radu 40 godina, životopisi 6–12 mjeseci
  • Obavijest o obradi podataka mora biti na jeziku koji radnik razumije — engleski (ili materinji) za azijske radnike
  • Prijenos podataka izvan EU (konzulatu, u matičnu zemlju) dopušten je samo uz odgovarajuću pravnu osnovu (čl. 49 GDPR) i bilješku u evidenciji aktivnosti obrade
  • Nacionalni nadzor i kazne provodi **AZOP** (Agencija za zaštitu osobnih podataka RH), ne EDPB; EDPB samo koordinira prekogranične slučajeve i izdaje smjernice

Zapošljavanje stranaca donosi specifičan GDPR izazov koji mnogi HR odjeli podcjenjuju: uz standardnu personalnu dokumentaciju radnika, prikupljate i obrađujete iznimno osjetljive kategorije podataka — kopije putovnica i boravišnih dozvola (sadrže posebne kategorije po čl. 9 GDPR), informacije o zdravlju i obiteljskim vezama.

Prema Uredbi (EU) 2016/679 (GDPR), Zakonu o provedbi Opće uredbe o zaštiti podataka (NN 42/18) i nadzoru AZOP-a kao hrvatskog nadzornog tijela, svaki poslodavac koji obrađuje osobne podatke mora imati valjanu pravnu osnovu, informirati radnika i poštivati stroga pravila o pohrani i zaštiti tih podataka.

1. Koje kategorije podataka prikupljate od stranaca

Standardni podaci (ne posebne kategorije): • Ime i prezime, datum i mjesto rođenja • Adresa boravišta u RH • Kontaktni podaci (telefon, email) • Podaci o obrazovanju i radnom iskustvu • Podaci o bankovnom računu (za isplatu plaće)

Osjetljivi podaci i posebne kategorije po čl. 9 GDPR: • Kopije putovnice — sadrže fotografiju, državljanstvo, mjesto rođenja (potencijalno indirektno otkrivaju etničku pripadnost i vjeru) • Boravišni dokumenti — sadrže podatke o imigracijskom statusu • Radne dozvole — pravni status • Zdravstveni podaci (potvrde o zdravstvenim pregledima, Obrazac 18a, HZZO kartica) — posebna kategorija po čl. 9 • Podaci o bračnom stanju i djeci (za spajanje obitelji) • Osuđivanost (potvrda o neosuđivanosti) — posebna pravila po čl. 10 GDPR

**Važna pravna distinkcija**: Kopija putovnice **nije "biometrijski podatak"** u smislu čl. 4(14) GDPR. Definicija biometrijskih podataka u GDPR-u pokriva samo podatke "dobivene posebnom tehničkom obradom" koji **omogućuju ili potvrđuju jedinstvenu identifikaciju** pojedinca (npr. otisak prsta, template lica iz facial-recognition sustava, geometrija šake). Obična fotografija u putovnici nije rezultat takve tehničke obrade. Putovnica jest "osjetljiv osobni podatak" jer može otkriti državljanstvo, podrijetlo i potencijalno vjersku ili etničku pripadnost — i kao takva zahtijeva jaču pravnu osnovu (najčešće zakonsku obvezu prema Zakonu o strancima, NN 133/20, i obvezu identifikacije po Zakonu o sprječavanju pranja novca, NN 108/17), uže pristupne kontrole i pojačane organizacijske i tehničke mjere zaštite — ali ne podliježe pravnoj kvalifikaciji biometrijskih podataka.

2. Pravne osnove za obradu

Za svakog radnika i svaku kategoriju podataka mora postojati jedna od šest GDPR pravnih osnova:

  • **Radni ugovor, plaća, HZMO/HZZO** — pravna osnova: ugovorni odnos (čl. 6(1)(b) GDPR); bez pristanka — nužno za izvršenje
  • **Kopija putovnice i dozvole** — pravna osnova: zakonska obveza (čl. 6(1)(c) GDPR); Zakon o strancima (NN 133/20) i Pravilnik NN 43/2026 zahtijevaju čuvanje kopija
  • **Podaci o zdravlju** — pravna osnova: zakonska obveza (čl. 6(1)(c) + čl. 9(2)(b) GDPR, propisi o zaštiti na radu); samo ono što je propisano zakonom
  • **Fotografije za HR dosije** — pravna osnova: pristanak (čl. 6(1)(a) GDPR); pismeni pristanak — slobodan i opoziv

3. Rokovi pohrane podataka

GDPR (čl. 5(1)(e)) zahtijeva da se podaci ne pohranjuju dulje nego je nužno za svrhu za koju su prikupljeni. U RH konkretni rokovi izviru iz različitih zakona — bitno je razlikovati poreznu i radno-pravnu evidenciju, jer imaju različite rokove:

  • **Plaćni listići, JOPPD obrasci, dokumentacija o oporezivanju plaća (payroll) i ugovori o radu kao osnova za poreznu osnovicu** — **11 godina** od prestanka kalendarske godine na koju se odnose (Zakon o porezu na dohodak, NN 115/16 i izmjene, čl. 38 — porezna zastara + obveza čuvanja dokumentacije iz koje se utvrđuje porezna osnovica)
  • **Evidencije o radnicima i radnom vremenu** prema Zakonu o radu (NN 93/14 i izmjene) — **6 godina** od prestanka radnog odnosa
  • **Kopije radnih dozvola i boravišnih dokumenata** — za trajanja radnog odnosa + razdoblje propisano Zakonom o strancima (čuvanje za inspekcijsku provjeru, u praksi minimalno 3 godine)
  • **Zdravstveni podaci o ozljedama na radu** — 40 godina (posebni propisi o zaštiti zdravlja na radu)
  • **Dokumenti koji nisu zakonom propisani** (npr. životopis u selekcijskom procesu) — 6 do 12 mjeseci od završetka selekcijskog procesa, uz pisani pristanak ako se čuvaju dulje (talent pool)
Često se na internetu navodi "6 godina za ugovor i plaću" — to je **netočno pojednostavljenje**. Šestogodišnji rok izvire iz Zakona o radu i pokriva evidencije o radnicima i radnom vremenu. Porezna dokumentacija o plaćama (iz koje se utvrđuje obveza po porezu na dohodak) čuva se 11 godina zbog poreznih rokova zastare i obveze čuvanja po Zakonu o porezu na dohodak. Sigurnije je primijeniti **dulji od dvaju rokova** za payroll dokumentaciju i ugovore, kako bi se zadovoljile obje regulative.

4. Obveza informiranja radnika

Prije ili najkasnije pri potpisivanju ugovora, svaki radnik mora primiti Obavijest o obradi osobnih podataka (Politiku privatnosti za radnike) na jeziku koji razumije. Dokument mora sadržavati:

  • Koji podaci se prikupljaju i zašto
  • Na kojoj pravnoj osnovi
  • Koliko dugo se čuvaju
  • S kime se dijele (agencije, inspekcija, HZMO itd.)
  • Prava radnika (pristup, ispravak, brisanje, prigovor)
  • Kontakt DPO-a (Službenika za zaštitu podataka) ako ga imate

Obavijest o obradi podataka mora biti na jeziku koji radnik razumije. Za radnike iz Filipina/Nepala/Indije preporuča se engleski ili jezik koji radnik navede. Ulaganje u prijevod je mali trošak s velikim pravnim učinkom.

5. Zaštita podataka — tehničke i organizacijske mjere

Puka pohrana podataka nije dovoljna — morate ih i adekvatno zaštititi:

  • Fizički HR dosijei: zaključani ormarići, pristup samo ovlaštenim osobama
  • Digitalni dosijei: zaštita lozinkom, šifriranje, pristup samo HR osobama
  • Email slanje dokumenata: šifrirani PDF ili zaštićeni share link (ne privitak bez zaštite)
  • Brisanje kopija putovnica od neovlaštenih mjesta (teamovi, grupne poruke, slobodni share-ovi)
  • Pohrana u cloudu: samo kod pružatelja koji jamče GDPR usklađenost (EU serveri)

6. Posebni scenariji za strance

Dijeljenje podataka s agencijom: ako surađujete s agencijom za zapošljavanje (npr. Humble Hunters), agencija je obraditelj podataka u vašem ime. Morate potpisati Ugovor o obradi podataka (Data Processing Agreement) kojim definirate uvjete obrade.

Prijenos podataka izvan EU: ako šaljete dokumente radniku u matičnu zemlju (Filipini, Nepal, Indija) ili konzulatu — to je prijenos osobnih podataka u treće zemlje (Poglavlje V GDPR-a). Dopušteno je samo uz odgovarajuću pravnu osnovu — najčešće čl. 49(1)(b) GDPR (prijenos nužan za izvršenje ugovora s ispitanikom) ili čl. 49(1)(d) (važni razlozi javnog interesa, npr. izvršavanje zakonske obveze migracijske procedure) — uz bilješku u evidenciji aktivnosti obrade.

7. Nadzor i kazne — AZOP, ne EDPB

Često se u medijima miješa nadležnost: GDPR-kazne za hrvatske poslodavce ne izriče EDPB (Europski odbor za zaštitu podataka). EDPB je tijelo koje koordinira nadzorna tijela, donosi smjernice i rješava prekogranične sporove kroz mehanizam suradnje — ali sam ne provodi inspekcije i ne izriče upravne novčane kazne poslodavcima. Nacionalni nadzor i kazne za poslodavce u RH provodi [AZOP — Agencija za zaštitu osobnih podataka](https://azop.hr/), na temelju čl. 58(2) GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18). Kazneni okvir je do 20 milijuna EUR ili 4 % godišnjeg svjetskog prometa (viši od dva iznosa) za najteže prekršaje (čl. 83(5) GDPR). AZOP u praksi izriče niže iznose primjerene veličini i prometu hrvatskih poslodavaca, ali pravni maksimum vrijedi.

Trebate stručnu podršku pri zapošljavanju stranaca? Humble Hunters prati sve zakonske promjene i brine se da vaš proces bude potpuno usklađen s hrvatskim propisima.

*Ovaj sadržaj je informativne naravi i ne predstavlja pravni savjet. Za specifičnu pravnu situaciju savjetujte se s kvalificiranim pravnim stručnjakom.*

*Izvori: Uredba (EU) 2016/679 — GDPR, službeni tekst (EUR-Lex), čl. 4(14), čl. 5(1)(e), čl. 6, čl. 9, čl. 49, čl. 58, čl. 83; Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18); AZOP — Agencija za zaštitu osobnih podataka; Zakon o radu (NN 93/14 i izmjene); Zakon o porezu na dohodak (NN 115/16 i izmjene), čl. 38; Zakon o strancima (NN 133/20). Interni audit-trail: `docs/audit-2026/verified-facts.md` (sekcije 21, 22), datum verifikacije 17.5.2026.*

Izvori i citati

Podijeli:
Dejan Tornjanski
Dejan TornjanskiCEO & Co-founder

CEO i suosnivač Humble Huntersa s 20+ godina iskustva u međunarodnom zapošljavanju. Stručnjak za strateško planiranje i regulativu zapošljavanja stranaca.

Više o autoru →

Povezane usluge

Posredovanje pri zapošljavanju
Usluge zapošljavanja
Tehnologije

Besplatni vodič za zapošljavanje stranih radnika

Preuzmite sveobuhvatni vodič s korak-po-korak uputama za 2026. godinu.

Preuzmite vodič
Prethodni članak

Veleposlanstvo, konzulat, MUP: Tko što radi u procesu radne vize za strance

Sljedeći članak

Pravilnik o boravku stranih radnika 2026. — kompletan vodič za poslodavce

Svi članci

Povezani članci