Rezervacije Djelatnici HACCP Paketi Novosti Kontakt
Prijava Započni
← Sve novosti
Osoblje 29. siječanj 2026. · 9 min čitanja

GDPR za ugostiteljske objekte: što stvarno morate napraviti (a ne samo potpisati)

Restorani, kafići i hoteli rutinski prikupljaju osobne podatke kroz rezervacije, vjernosne programe i kamere. Praktičan vodič kroz GDPR obveze koje se zaista odnose na vaš objekt.

GDPR za ugostiteljske objekte: što stvarno morate napraviti (a ne samo potpisati)

Koje osobne podatke vaš objekt zapravo obrađuje

Većina ugostitelja podcijeni koliko osobnih podataka prikuplja. Rezervacija stola sadrži ime, telefon i e-mail. Vjernosni program dodaje povijest posjeta i navike. Hotelska prijava traži broj osobne iskaznice ili putovnice. Wi-Fi prijava bilježi MAC adresu i vrijeme. Videonadzor snima lik gosta. Podaci djelatnika (OIB, broj računa, evidencija radnog vremena, eventualni zdravstveni podaci za HACCP) također su osobni podaci. GDPR (Uredba EU 2016/679) i hrvatski Zakon o provedbi Opće uredbe (NN 42/2018) primjenjuju se na sve njih, neovisno o veličini objekta. Prvi korak svake usklađenosti je popis (evidencija) obrada: što prikupljate, gdje to čuvate, tko ima pristup i koliko dugo. Bez tog popisa ne možete dokazati usklađenost niti odgovoriti na zahtjev gosta.

  • Gosti: rezervacije, vjernosni programi, recenzije, Wi-Fi
  • Hotelski gosti: dokumenti za prijavu (eVisitor)
  • Djelatnici: OIB, plaće, evidencija radnog vremena, zdravstvene iskaznice
  • Videonadzor: snimke lika i ponašanja

Pravna osnova: zašto smijete obrađivati podatke

GDPR traži da za svaku obradu imate jasnu pravnu osnovu iz članka 6. Za rezervaciju i izvršenje narudžbe osnova je ugovor (čl. 6/1/b) i nije potrebna posebna privola. Za izdavanje računa i čuvanje knjigovodstvene dokumentacije osnova je zakonska obveza. Za marketinški newsletter ili slanje promocija osnova je privola, koja mora biti dobrovoljna, konkretna i opoziva, te se ne smije uvjetovati pružanjem usluge. Za videonadzor i obradu podataka djelatnika tipično se koristi legitimni interes, ali on zahtijeva test razmjernosti i ne smije nadjačati prava ispitanika. Najčešća pogreška u praksi je traženje privole za sve, uključujući i ono za što privola nije ni potrebna, čime se stvara dojam da gost može uskratiti pristanak na obradu nužnu za samu uslugu.

  • Ugovor: rezervacija, narudžba, smještaj
  • Zakonska obveza: računi, eVisitor, evidencije rada
  • Privola: newsletter i marketing (opoziva, nije uvjet usluge)
  • Legitimni interes: videonadzor uz test razmjernosti

Videonadzor: gdje su granice

Videonadzor je u ugostiteljstvu čest, ali i čest izvor prekršaja. Zakon o zaštiti osobnih podataka i smjernice AZOP-a dopuštaju nadzor radi zaštite osoba i imovine, ali postavljaju jasne granice. Kamere ne smiju snimati prostore gdje gosti i djelatnici imaju razumno očekivanje privatnosti: toalete, svlačionice, prostorije za odmor osoblja. Snimanje javne površine ispred objekta dopušteno je samo u mjeri nužnoj za zaštitu ulaza. Obavezno je vidljivo istaknuti obavijest o videonadzoru na ulazu s podatkom o voditelju obrade i kontaktom. Snimke se ne smiju čuvati neograničeno; uobičajeni rok je do 30 dana osim ako konkretan incident ne zahtijeva dulje čuvanje. Pristup snimkama mora biti ograničen i evidentiran. Nadzor radnih mjesta isključivo radi praćenja produktivnosti djelatnika u pravilu nije dopušten.

  • Zabranjeno: toaleti, svlačionice, prostor za odmor osoblja
  • Obavezna vidljiva obavijest na ulazu
  • Rok čuvanja u pravilu do 30 dana
  • Ograničen i evidentiran pristup snimkama

Prava gostiju i kako odgovoriti na zahtjev

Svaki gost ima pravo zatražiti pristup svojim podacima, ispravak netočnih podataka, brisanje (pravo na zaborav), prijenos podataka i prigovor na obradu. Za marketing gost u svakom trenutku može opozvati privolu i to mora biti jednako jednostavno kao i njezino davanje. Na zahtjev ste dužni odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana, besplatno. Praktično to znači da morate znati gdje su podaci pohranjeni da biste ih mogli izvući ili obrisati. Ako koristite digitalni sustav za rezervacije i vjernosne programe, ova prava je puno lakše ostvariti jer su podaci centralizirani i pretraživi po imenu ili kontaktu. Brisanje, međutim, ne smije narušiti zakonske obveze čuvanja računovodstvene dokumentacije, koja se čuva sukladno poreznim propisima neovisno o zahtjevu za brisanje.

  • Rok za odgovor: mjesec dana, besplatno
  • Opoziv privole mora biti jednostavan kao i davanje
  • Brisanje ne ukida obvezu čuvanja računa
  • Centralizirani sustav drastično ubrzava odgovor

Ugovori s izvršiteljima i incidenti

Čim koristite vanjske alate (rezervacijska platforma, kadrovski softver, sustav za plaće, cloud pohrana, dostavni servisi), oni za vas obrađuju osobne podatke i postaju izvršitelji obrade. GDPR (čl. 28) traži sklapanje ugovora o obradi podataka (DPA) s njima u kojem se definira što smiju i ne smiju raditi s podacima te kako ih štite. Provjerite gdje se podaci fizički pohranjuju i nudi li dobavljač DPA. Ako dođe do povrede podataka koja predstavlja rizik za prava ispitanika (npr. procurila baza gostiju), dužni ste je prijaviti AZOP-u u roku od 72 sata, a u ozbiljnim slučajevima i obavijestiti pogođene osobe. Zato je važno unaprijed imati jasan postupak: tko prijavljuje, koga obavještavate i kako dokumentirate incident.

  • Sklopite DPA sa svakim vanjskim alatom (čl. 28)
  • Provjerite lokaciju pohrane i mjere zaštite dobavljača
  • Povredu prijavite AZOP-u u 72 sata
  • Pripremite interni postupak za incidente

Minimalni paket usklađenosti za mali objekt

Mali objekt ne treba birokratski aparat, ali treba dokaze o ozbiljnom pristupu. Praktični minimum: jasna izjava o privatnosti na webu i na mjestu gdje prikupljate podatke; evidencija aktivnosti obrade; obavijest o videonadzoru; odvojena, opoziva privola za marketing; rokovi čuvanja po vrstama podataka; potpisani DPA-ovi s dobavljačima; te osnovna sigurnost (jake lozinke, ograničen pristup, zaključani uređaji). Djelatnike kratko educirajte o tome da ne dijele podatke gostiju i ne ostavljaju otvorene zaslone. Ovo nije jednokratan zadatak nego stanje koje održavate. Korištenje sustava koji već centralizira rezervacije, kadrovske podatke i evidencije bitno smanjuje broj mjesta na kojima podaci leže i time i površinu rizika, što je sama srž načela minimizacije podataka iz GDPR-a.

  • Izjava o privatnosti + evidencija obrada
  • Obavijest o videonadzoru i definirani rokovi čuvanja
  • Opoziva privola za marketing odvojeno od usluge
  • Edukacija osoblja i osnovna sigurnost uređaja

Ključno za ponijeti

  • GDPR se odnosi na svaki objekt koji prikuplja podatke gostiju ili djelatnika, neovisno o veličini.
  • Za većinu obrada osnova je ugovor ili zakon; privolu tražite samo za marketing i ona mora biti opoziva.
  • Videonadzor ima jasne granice: nikad toaleti i prostor za odmor, obavezna obavijest, rok čuvanja u pravilu do 30 dana.
  • Povredu podataka prijavljujete AZOP-u u 72 sata, pa unaprijed pripremite postupak.
  • Centralizacija podataka u jednom sustavu smanjuje rizik i ubrzava odgovore na zahtjeve gostiju.

Sve ovo LogBook radi umjesto tebe.

HACCP, rezervacije, osoblje i fiskalizacija na jednom mjestu.

Započni 15 dana besplatno Uđi u demo

Povezani članci

Osoblje

Digitalni raspored smjena bez kaosa: kako planirati tjedan dan unaprijed, a ne svaki sat

Papirnati raspored u kuhinji i WhatsApp grupa za zamjene su recept za gužvu i pogreške. Ev...

 Osoblje

Obračun plaća u ugostiteljstvu: koeficijenti, dodaci i prekovremeni bez grešaka

Minimalna plaća, koeficijenti složenosti, dodaci za noćni rad i nedjelju te prekovremeni s...

 Osoblje

Kontrola dolaska i evidencija radnog vremena: što inspekcija stvarno traži

Excel tablica popunjena na kraju mjeseca više ne prolazi. Saznajte koje podatke evidencija...