Frequently Asked Questions

Organizacije moraju, u slučaju izravnog prikupljanja osobnih podataka od pojedinaca, pružiti , lako dostupne informacije o postupcima obrade sažeto i transparentno, služeći se razumljivim, jasnim i jednostavnim jezikom. To se može učiniti u pisanom obliku (npr. na poleđini ponude) ili elektroničkim putem (npr. na web-mjestu). Ako ispitanik to zatraži, te informacije možete dostaviti i usmeno, ali to morate moći dokazati da ste doista pružili sve potrebne informacije o obradi.

Čak i kada su podaci prikupljeni indirektno, tj. ako osobne podatke ne prikupljate izravno od pojedinca, nego primjerice putem treće strane, morate pojedincima pružiti iste detaljne informacije.

Pojedinci imaju pravo zatražiti brisanje osobnih podataka koji se na njih odnose i u tom slučaju voditelj obrade ima obvezu izbrisati osobne podatke. Trebali biste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok može produljiti za još dva mjeseca ako je zahtjev previše složen i ako je potrebno više vremena za ispunjavanje zahtjeva, pod uvjetom da je pojedinac o tome obaviješten u roku od mjesec dana od primitka zahtjeva.

Važno je napomenuti da pravo na brisanje nije apsolutno. Ne primjenjuje se ako su predmetni podaci potrebni za:

• ostvarivanje prava na slobodu izražavanja i informiranja (npr. u novinarske svrhe);
• poštovanje pravne obveze kojom se zahtijeva obrada osobnih podataka (npr. obrada evidencije o radnom vremenu zaposlenika);
• razlozi javnog interesa u području javnog zdravlja
• svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe; i
• uspostava, ostvarivanje ili obrana pravnih zahtjeva.

Ako su osobni podaci koje treba izbrisati prethodno preneseni drugim organizacijama, morate obavijestiti te primatelje da je pojedinac zatražio brisanje, osim ako se to pokaže nemogućim ili bi zahtijevalo nerazmjerne napore.

Više informacija:

• Poštuj prava pojedinaca

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Da, vaši klijenti prilikom telefonskog poziva moraju biti obaviješteni o svrsi snimanja, primateljima snimaka, o njihovu pravu na prigovor i pravu na pristup snimkama.

Više informacija:

• Obrađuj osobne podatke zakonito

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

• your habitual residence;
• your place of work; or
• the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

• data processing takes place in more than one country;
• or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Obrada osobnih podataka znači svaka vrsta aktivnosti (postupak obrade) koja se obavlja na osobnim podacima pojedinaca ili s njima. To uključuje prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu ili izmjenu, pronalaženje, ispitivanje, uporabu, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje osobnih podataka.

Ne, obrada osjetljivih podataka općenito je zabranjena, osim u vrlo specifičnim okolnostima:

• Pojedinac je dao izričitu privolu za obradu svojih osjetljivih podataka.
• Obrada osjetljivih podataka nužna je kako bi voditelj obrade podataka ispunio svoje obveze, posebno u kontekstu zapošljavanja, socijalne sigurnosti i socijalne zaštite. Na primjer, voditelj obrade možda će morati obraditi osjetljive podatke osobe kako bi mogao utvrditi ima li pravo na određene naknade socijalne zaštite ili stipendije za zapošljavanje.
• Obrada osjetljivih podataka nužna je kako bi se zaštitili životno važni interesi osobe ako pojedinac fizički ili pravno nije u mogućnosti dati privolu. Na primjer, ako je pojedinac ostao bez svijesti kao posljedica nesreće i zahtijeva hitnu medicinsku skrb, možda će biti potrebno obraditi njegove zdravstvene podatke kako bi se pružila odgovarajuća medicinska skrb.
• Obrada osjetljivih podataka provodi se u kontekstu legitimnih aktivnosti zaklade, udruge ili druge neprofitne organizacije s političkim, filozofskim, vjerskim ili sindikalnim ciljem i samo za obradu osobnih podataka njihovih članova, bivših članova ili osoba koje su s njima u redovitom kontaktu.
• Osjetljive podatke koje je očigledno  objavio pojedinac.
• Obrada osjetljivih podataka nužna je u kontekstu sudskih postupaka.
• Obrada osjetljivih podataka nužna je za pitanja od znatnog javnog interesa.
• Obrada osjetljivih podataka nužna je u kontekstu preventivne medicine ili medicine rada. Na primjer, obrada osjetljivih podataka pojedinca, kao što su zdravstveni podaci, može biti potrebna kako bi se utvrdila njihova radna sposobnost.
• Obrada osjetljivih podataka nužna je za pitanja javnog zdravlja na temelju prava EU-a ili nacionalnog prava. Na primjer, obrada osjetljivih podataka pojedinaca može biti potrebna kako bi se osigurala visoka kvaliteta zdravstvene skrbi i visoka kvaliteta medicinskih proizvoda ili kako bi se suzbile ozbiljne prijetnje zdravlju, kao što su virusi.
• Obrada osjetljivih podataka nužna je u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Na primjer, obrada osjetljivih podataka može biti potrebna za pružanje točnih statističkih podataka o stanju zemlje u određenom području.

Više informacija:

• Obrađuj osobne podatke

Važeći ugovor između voditelja obrade i izvršitelja obrade podataka obvezan je prema Općoj uredbi o zaštiti podataka. Za povredu odredbi članka 28. Opće uredbe o zaštiti podataka se može izreći upravna novčana kazna u iznosu do 10 milijuna EUR ili do 2 % ukupnog godišnjeg prometa društva, ovisno o tome koji je iznos veći.

Dansko i slovensko nadzorno tijelo za zaštitu podataka te Europska komisija izradile su predloške ugovora kako bi vam pomogle pri sklapanju ugovora između voditelja obrade i izvršitelja obrade.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

Pojedinci vas mogu pitati obrađujete li njihove podatke te imaju pravo na pristup tim podacima. Dakle, kada se to dogodi i ako obrađujete njihove podatke, trebali biste, na primjer, besplatno dostaviti kopiju njihovih osobnih podataka zajedno sa svim potrebnim dodatnim informacijama. Ako je zahtjev podnesen elektroničkim putem, vaša bi organizacija trebala dostaviti tražene informacije u uobičajenom elektroničkom obliku, osim ako pojedinac zatraži drukčije.

Više informacija:

• Poštovanje prava pojedinaca

Trebali biste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok može produljiti za još dva mjeseca ako je zahtjev previše složen i ako je potrebno više vremena za odgovor, pod uvjetom da je pojedinac o tome obaviješten u roku od mjesec dana od primitka zahtjeva.

Morate to učiniti besplatno.

Više informacija:

• Poštuj prava pojedinaca

Primamo na znanje vaš prijedlog Europskom odboru za zaštitu podataka da to pitanje razmotri kao buduće smjernice. Teme koje su trenutačno uključene u program rada Europskog odbora za zaštitu podataka možete pronaći na našim internetskim stranicama: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_hr.

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision¹. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

GDPR se primjenjuje na upotrebu kolačića kada se upotrebljavaju za obradu osobnih podataka, ali postoje i specifična pravila za kolačiće uključena u  Direktivu o e-privatnosti.

Pohranjivanje kolačića ili dobivanje pristupa već pohranjenom kolačiću na terminalnoj opremi korisnika dopušteno je samo pod uvjetom da je dotični pretplatnik ili korisnik na odgovarajući način obaviješten (posebno o svrsi obrade) i da je dao svoju privolu.

Jedina iznimka su tehnički nužni kolačići. Organizacije ne moraju tražiti privolu za korištenje tehnički nužnih kolačića na svojim internetskim stranicama.

Više informacija:

• Obrađuj osobne podatke zakonito

Pseudonimizacija se sastoji od transformacije osobnih podataka tako da se više ne mogu pripisati određenom pojedincu bez upotrebe dodatnih informacija, pod uvjetom da se takve dodatne informacije čuvaju odvojeno i da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne pripisuju pojedincu. U praksi to može značiti zamjenu osobnih podataka (ime, osobni broj, telefonski broj itd.) u skupu podataka s neizravno identificirajućim podacima (alias, šifra itd.). Pseudonimizirani podaci i dalje su osobni podaci i podliježu primjeni Opće uredbe o zaštiti podataka.

Anonimizirani podaci su podaci koji su anonimizirani na takav način da se pojedinac ne može ili više ne može identificirati na bilo koji način za koji je razumno vjerojatno da će se koristiti. Kada se anonimizacija pravilno provodi, Opća uredba o zaštiti podataka se više ne primjenjuje.

Više informacija:

• Zaštičeni osobni podaci