Frequently Asked Questions

U Općoj uredbi o zaštiti podataka razlikuju se dvije glavne uloge: one voditelja obrade i izvršitelja obrade. Ta je razlika ključna jer voditelj obrade podataka snosi veću odgovornost i mora ispunjavati više obveza od izvršitelja obrade.

Voditelji obrade i izvršitelji obrade mogu biti fizičke ili pravne osobe, na primjer: malo i srednje poduzeće, javno tijelo, poduzeće, organizacija, državno tijelo, udruga itd.

Voditelj obrade određuje svrhe i sredstva postupka obrade. Drugim riječima, voditelj obrade odlučuje kako i zašto provoditi obradu. Budući da izvršitelji obrade obrađuju osobne podatke u ime voditelja obrade, obrada koju provode izvršitelji obrade mora biti uređena ugovorom s voditeljem obrade ili drugim pravnim aktom.

Primjeri voditelja obrade podataka:

• društva koja obrađuju osobne podatke svojih klijenata kako bi dovršila prodaju;
• financijske institucije koje obrađuju osobne podatke svojih klijenata;
• udruge koje obrađuju podatke svojih članova;
• škole ili sveučilišta koja obrađuju osobne podatke studenata i nastavnika;
• bolnice koje obrađuju osobne podatke svojih pacijenata;
• vladine agencije koje obrađuju osobne podatke građana.

Primjeri izvršitelja obrade podataka:

• malo i srednje poduzeće angažira knjigovodstveni servis za vođenje svojih knjiga i evidencije, malo i srednje poduzeće je voditelj obrade, a knjigovodstveni servis izvršitelj obračun;
• knjigovodstveni servis radiobračun plaća te obrađuje osobne podatke za mala i srednja poduzeća. Knjigovodstveni servisdjelovat će kao izvršitelj obrade ako obrađuje osobne podatke isključivo u ime malih i srednjih poduzeća. Malo i srednje poduzeće određuje svrhe i sredstva obrade podataka te je stoga voditelj obrade.
• Mala i srednja poduzeća naručuju usluge marketinškog društva za prikupljanje adresa e-pošte putem internetskih stranica trećih strana.  Marketinško društvo to čini u skladu s izričitim uputama malog i srednjeg poduzeća i isključivo za potrebe malog i srednjeg poduzeća. Marketinško društvo djeluje kao izvršitelj obrade za navedenu radnju.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Neke vrste osobnih podataka pripadaju posebnim kategorijama osobnih podataka, što znači da zaslužuju veću zaštitu, tzv. osjetljivi podatke. Osjetljivi podaci uključuju podatke koji otkrivaju informacije o:

• zdravlju pojedinca;
• seksualnoj orijentaciji pojedinca;
• rasnom ili etničkom podrijetlu pojedinca;
• političkim mišljenja, vjerskim ili filozofskim uvjerenjima pojedinca; članstvu u sindikatu pojedinca;
• biometrijski podaci u svrhu jedinstvene identifikacije pojedinca i genetski podaci pojedinca.

Obrada takvih podataka pojedinca općenito je zabranjena, osim u posebnim okolnostima koje opravdavaju njihovu obradu.

Više informacija:

• Osnove zaštite podataka

Službenik za zaštitu podataka može biti postojeći zaposlenik s dostatnim znanjem o Općoj uredbi o zaštiti podataka (ako su profesionalni zadaci zaposlenika kompatibilni sa zadaćama službenika za zaštitu podataka i to ne dovodi do sukoba interesa) ili vanjska osoba. Službenik za zaštitu podataka trebao bi moći neovisno obavljati zadaće i trebao bi moći izravno izvješćivati najviše rukovodstvo.

Više informacija:

• Službenik za zaštitu podataka

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Osobni podaci su sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno.

Primjeri osobnih podataka uključuju:

• ime i prezime;
• kućna adresu;
• e-adresu;
• broj osobne iskaznice;
• podaci o lokaciji;
• adresa internetskog protokola (IP);
• ID kolačića;
• bankovni računi;
• porezna izvješća;
• biometrijski podaci (kao što su otisci prstiju);
• broj socijalnog osiguranja;
• broj putovnice;
• rezultate ispitivanja;
• ocjene u školi;
• povijest pregledavanja;
• fotografija pojedinca;
• registracijski broj vozila itd.

Više informacija:

• Osnove zaštite podataka

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Pobrinite se da su podaci koje ste primili zakonito prikupljeni i da su dotični pojedinci obaviješteni o obradi njihovih osobnih podataka.
2. U slučaju da treća strana obrađuje osobne podatke u vaše ime, pobrinite se da imate ugovor između voditelja obrade i izvršitelja obrade koji detaljno opisuje postupke obrade i sredstva obrade osobnih podataka.

I naravno, pridržavati se svih obveza voditelja obrade.

Više informacija:

• Voditelj obrade ili  izvršitelj obrade

Potrebne sigurnosne mjere mogu se razlikovati ovisno o prirodi osobnih podataka koje obrađujete i povezanim rizicima za pojedince. U svakom slučaju, postoje neke minimalne mjere koje biste trebali uvesti:

• siguran pristup prostorijama;
• korištenje redovito ažuriranog antivirusnog softvera;
• pažljivo odaberite svoje lozinke;
• izvršiti autentifikaciju korisnika prije upotrebe računalne opreme;
• imati uspostavljenu sigurnosnu kopiju podataka i politiku za dohvaćanje podataka u slučaju incidenta.

Osim toga, neke osnovne mjere kao što su zaključavanje zaslona dok ste odsutni i zaključavanje ureda na kraju dana su uvijek poželjne mjere...

Više informacija:

• Zaštićeni osobni podaci

Objavljivanje imena pobjednika natječaja na vašoj web stranici može se smatrati legitimnim interesom ako to možete dokazati provođenjem testa ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinaca.

Dobra bi praksa bila uspostava internog postupka u kojem se objašnjavaju pravila o objavljivanju osobnih podataka pobjednika.

Osim toga, obrada osobnih podataka u te svrhe trebala bi biti dio politike privatnosti vezano uz provedbu natječaja kako bi sudionici unaprijed bili obaviješteni o tome kako će se njihovi podaci obrađivati.

Više informacija:

• Obrađuj osobne podatke zakonito

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Europski odbor za zaštitu podataka ne pruža prilagođene pravne savjete građanima ili privatnim/javnim organizacijama o tome kako primijeniti pravo o zaštiti podataka na određene slučajeve. 

Glavna je uloga Europskog odbora za zaštitu podataka izdavati opće smjernice i mišljenja. Sve donesene smjernice i mišljenja dostupni su ovdje: Smjernice, preporuke, najbolje prakse i mišljenja. Preporučujemo i čitanje Vodiča za zaštitu podataka za mala poduzeća. Ovaj će vam vodič pomoći u razumijevanju ključnih koncepata zaštite podataka, prava pojedinaca na temelju Opće uredbe o zaštiti podataka, zahtjeva usklađenosti, sigurnosnih mjera i načina postupanja s povredama podataka.

Dodatne informacije o ulozi Europskog odbora za zaštitu podataka i primjeni Opće uredbe o zaštiti podataka dostupne su i ovdje: Frequently Asked Questions.

Također vas pozivamo da posjetite internetske stranice tijela za zaštitu podataka u vašoj zemlji. Poveznice na internetske stranice naših zastupnika dostupne su ovdje: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Da, možete, ali GDPR postavlja određene obveze za tvrtke koje dijele osobne podatke. Vaša organizacija mora obavijestiti pojedince da ćete njihove podatke podijeliti s trećom stranom. Također ih morate obavijestiti o svojim svrhama, sigurnosti, pristupu i mjerama zadržavanja koje će se primjenjivati.