Izmjene Zakona o trgovini donose važnu novost: online prodavači alkohola i energetskih pića morat će provjeravati dob kupca. Cilj je jasan i opravdan. No u načinu provedbe nalazimo nekoliko otvorenih pitanja, pravnih, tehničkih i regulatornih, koja bi mogla otežati primjenu Zakona u praksi. U ovom blogu ih izlažemo konstruktivno, s prijedlozima kako ih premostiti.
| Parametar | Detalj |
| Prijedlog zakona | PZ_303, čl. 11.a, dostavljeno Saboru 14. svibnja 2026., donesen u Saboru 21. Svibnja 2026. |
| Cilj zakona | Zaštita maloljetnika od online kupnje alkohola i energetskih pića |
| Predložena metoda | Provjera dobi isključivo putem sustava e-Građani |
| Identyum prijedlog | Sustav e-Građani kao jedna od dopuštenih metoda + otvoreni kriteriji za akreditirane providere identiteta |
| EU kontekst | eIDAS 2.0, EU age verification app (travanj 2026.), EDPB Statement 1/2025 |
Što donose nove izmjene Zakona?
Izmjene i dopune Zakona o trgovini uvode članak 11.a koji obvezuje online prodavače alkohola i energetskih pića da pri kupnji provjere punoljetnost kupca. Provjera se prema prijedlogu provodi posredstvom informacijskog sustava e-Građani. Uz to, trgovci se upisuju u evidenciju Ministarstva koje im osigurava podatke za integraciju.
Vlada u obrazloženju ističe da je sustav e-Građani pouzdana, besplatna i GDPR-usklađena platforma koja trgovcu otkriva samo potvrdu dobi (18+), bez identifikacijskih podataka kupca. To su relevantne prednosti koje vrijedi istaknuti.
Identyum podržava cilj zakonodavca. Pitanje koje otvaramo nije treba li provjera dobi postojati, nego kako je oblikovati da bude funkcionalna, otporna i usklađena s EU pravnim okvirom koji se upravo mijenja.
EU razvija vlastitu aplikaciju za provjeru dobi
Dana 15. travnja 2026. Europska komisija je objavila da je europska aplikacija za provjeru dobi (European age verification app) dostupna za uvođenje. Aplikacija je open-source, besplatna, potpuno anonimna i radi na svakom uređaju. Komisija poziva države članice i platforme da je integriraju.
To nameće sljedeće pitanje: što bi trebao učiniti online prodavač koji želi koristiti upravo tu EU aplikaciju? Prema trenutnoj formulaciji Zakona, jedina dopuštena metoda ostaje e-Građani. Svako buduće EU rješenje, uključujući i EUDI Wallet koji upravo na razini EU postupno ulazi u primjenu, zahtijevalo bi izmjenu zakona.
Razumno je pitati: zašto formulacija nije malo šira, tako da obuhvati i buduća jednakovrijedna rješenja, a da pritom sustav e-Građani ostane primarna i preporučena opcija?
eIDAS 2.0 i EUDI Wallet
Uredba EU 2024/1183 (eIDAS 2.0), koja je na snazi, uvodi europski digitalni identitetski novčanik (EUDI Wallet). Prema njoj, korisnik može dokazati da je “18+” bez otkrivanja datuma rođenja ili bilo kojeg drugog osobnog podatka, putem tzv. elektroničkih potvrda atributa. Privatni i javni provideri digitalnog identiteta tako mogu izdavati ID novčanike pod jednakim uvjetima, uz certifikaciju.
Zakon koji zahtijeva isključivo jednu nacionalnu infrastrukturu u srazu je s ovim EU okvirom, ne zbog loše namjere, nego jednostavno zato što je napisan u trenutku kad eIDAS 2.0 ekosustav još nije bio potpuno operativan. Sada kad jest, vrijedi razmotriti prilagodbu.
Praktično pitanje za strane kupce
Vlada navodi da strani državljani mogu ishoditi OIB i time pristupiti sustavu e-Građani. To je točno u administrativnom smislu, ali u praksi postoji razlika između mogućnosti i operativne dostupnosti pri online kupnji.
OIB je administrativni identifikator, a ne autentikacijska vjerodajnica. Strani kupac koji nema boravište u RH mora podnijeti zahtjev ispostavi Porezne uprave ili putem opunomoćenika, s rokovima koji prema Zakonu o OIB-u mogu ići i do 30 dana. Nakon toga još mora pribaviti prihvaćeno autentikacijsko sredstvo za e-Građani.
Za domaće korisnike koji već imaju NIAS vjerodajnicu (npr. bankovni mToken), proces traje nekoliko sekundi. Za stranog kupca koji se prvi puta susreće s hrvatskim online shopom, pristup e-Građanima nije automatski dostupan, a za dobivanje OIB-a i autentikacijskog sredstva će mu vjerojatno trebati nekoliko dana, ako ne i tjedana.
Ovo nije argument protiv sustava e-Građani, nego poticaj da se razmotri kako Zakon može funkcionirati i za prekograničnu online trgovinu. Alternativno prihvaćanje eIDAS-notificiranih eID sredstava iz drugih EU država bio bi jednostavan korak koji bi to riješio.
EDPB preporuke
Europski odbor za zaštitu podataka (EDPB) objavio je u veljači 2025. Statement 1/2025 on age assurance koji daje smjernice kako dizajnirati sustave provjere dobi u skladu s GDPR-om.
Uz preporuke o minimizaciji podataka i lokalnom procesiranju podataka, EDPB posebno napominje važnost raznovrsnosti i alternativnih rješenja, da npr. situacija pada sustava ili problem jednog dijela sustava ne bi izazvao značajna ograničenja pristupa za korisnike. Ovo je opće načelo otpornog ekosustava.
EDPB ne traži isključenje državnih rješenja, već traži da sustav u cjelini bude otporan, a to podrazumijeva više alternativa, ne jednu.
TRIS notifikacija
Direktiva 2015/1535 obvezuje države da Europskoj komisiji notificiraju nacrte tehničkih propisa koji se odnose na usluge informacijskog društva, prije njihovog donošenja, što nije formalnost nego pravna obveza koja, ako nije ispunjena, može utjecati na provedivost zakona (kao u slučaju Airbnb Ireland, C-390/18).
Budući da čl. 11.a uređuje online uslugu provjere dobi, razumno je provjeriti jesu li izmjene Zakona o trgovini bile uredno notificirane, a posebno izmjena iz ranijeg modela u e-Građani-only pristup, a nakon javnog savjetovanja kroz portal eSavjetovanja. To pitanje postavljamo preventivno, jer nenotificirana mjera može biti osporavana.
Transparentni kriteriji za akreditirane providere digitalnog identiteta
Europska direktiva o uslugama (čl. 10.) i praksa Suda EU (Sporting Exchange, C-203/08) zahtijevaju da autorizacijski režimi koji uređuju pristup tržištu budu bazirani na nediskriminatornim, javno objavljenim i objektivnim kriterijima.
Privatni identity provideri i njihove vjerodajnice danas mogu ući u NIAS uz odobrenje države, no javnih kriterija za prihvatljivost tih vjerodajnica nema, kao ni rokova za postupanje države. To nije nužno loša namjera, ali je zakonodavna praznina koja može stvarati nesigurnost i za providere i za regulatora.
Prijedlog: Ministarstvo pravosuđa bi trebalo objaviti jasne, javne i nediskriminatorne uvjete pod kojima privatni provideri mogu biti prihvaćeni kao alternativna metoda provjere dobi.
e-Građani kao primarna opcija, uz otvoreni okvir
Ne predlažemo izbacivanje sustava e-Građani jer je on legitiman, dostupan i besplatan kanal koji ima smisla preporučiti kao primarnu opciju. Predlažemo da formulacija bude šira:
Umjesto: “provjera se provodi posredstvom informacijskog sustava e-Građani”
Prijedlog: “provjera se provodi putem informacijskog sustava e-Građani, europske aplikacije za provjeru dobi, EUDI Walleta ili drugog tehničkog rješenja koje osigurava vjerodostojan, razmjeran i podatkovno minimiziran dokaz da je kupac navršio 18 godina, pod uvjetima koje pravilnikom propisuje nadležno tijelo. Ti uvjeti moraju biti tehnološki neutralni, javno objavljeni, nediskriminatorni, razmjerni, usklađeni s GDPR-om, eIDAS okvirom i EUDI Wallet arhitekturom I omogućiti korištenje elektroničkih potvrda atributa, europskih age-verification rješenja i drugih jednakovrijednih rješenja”
Uz takvu formulaciju, sustav e-Građani ostaje defaultni i dostupan za sve koji ga žele koristiti. Istovremeno, Zakon ostaje otvoren za EU-certificirana rješenja i ne zahtijeva zakonske izmjene svaki put kad EU uvede novo interoperabilno rješenje.
Podzakonski akt mogao bi definirati uvjete za alternativne metode: razina pouzdanosti (npr. LoA “značajna” ili ekvivalentno), princip minimizacije podataka (samo rezultat “18+ da/ne”) i ne-prativosti (non-traceability), audit i certifikacija providera digitalnog identiteta, prihvaćanje EU age verification aplikacije Europske Komisije i pravo na obrazloženu odluku za providere koji ne dobiju odobrenje.
Digitalni identitet je infrastruktura za cijelo digitalno tržište. Odluke koje se donose danas u zakonodavnom procesu oblikovat će taj ekosustav godinama. Upravo zato smatramo važnim da se sva otvorena pitanja (pravna, tehnička i regulatorna) razmotre transparentno, s dovoljno vremena za stručnu raspravu.
Identyum je spreman pridonijeti toj raspravi stručnim mišljenjima, tehničkim pojašnjenjima i konkretnim prijedlozima na tekst Zakona. Pozivamo sve dionike, zakonodavca, regulatora, online trgovce i tehnološke providere, da zajedno osmislimo rješenje koje štiti maloljetnike, podržava digitalno tržište i prati EU regulatorni razvoj.