Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Imenovanje službenika za zaštitu podataka obvezno je u sljedeća tri slučaja:

• organizacija je tijelo javne vlasti;
• osnovne aktivnosti organizacije sastoje se od redovitog i sustavnog praćenja pojedinaca u velikim razmjerima, na primjer geolokacije putem mobilne aplikacije ili nadzora trgovačkih centara i javnih prostora putem videonadzora;
• osnovne aktivnosti organizacije sastoje se od opsežne obrade osjetljivih podataka ili osobnih podataka povezanih s kaznenim osudama i kaznenim djelima.

Uvijek možete imenovati službenika za zaštitu podataka na dobrovoljnoj osnovi, čak i ako to nije zakonski propisano. Imajte na umu da u tom slučaju morate poštovati sve odredbe Opće uredbe o zaštiti podataka koje se odnose na zadaće i položaj službenika za zaštitu podataka.

Više informacija:

• Službenik za zaštitu podataka

Ne, nije potrebno javno objaviti vašu evidenciju aktivnosti obrade. Međutim, morate biti u mogućnosti staviti evidenciju na raspolaganje tijelu za zaštitu podataka na zahtjev.

Više informacija:

• Budiusklađen

Tražite li od Europskog odbora za zaštitu podataka da istraži i poduzme mjere protiv organizacije za koju smatrate da krši zakonodavstvo EU-a, među ostalim s pomoću posebnih tehnologija, kao što su umjetna inteligencija, društveni mediji ili usluge slanja poruka?

U kontekstu pravila o zaštiti podataka, možete podnijeti pritužbu svom tijelu za zaštitu podataka (DPA) (nađi njihov popis na našoj internetskoj stranici: https://edpb.europa.eu/about-edpb/our-members). Za provedbu pravila o zaštiti podataka odgovorna su tijela za zaštitu podataka. Na primjer, možete se obratiti tijelu za zaštitu podataka u kojem živite ili radite ili u kojem je došlo do navodnog kršenja.

Druga je mogućnost obratiti se nacionalnim sudovima u kojima živite ili u kojima voditelj obrade ili izvršitelj obrade ima poslovni nastan. 

Ako se GDPR primjenjuje u vašoj situaciji, ali nemate sjedište u Europi, i dalje se možete žaliti tijelu za zaštitu podataka u Europi i/ili se obratiti sudu.

Europski odbor za zaštitu podataka nije nadležan za rješavanje posebnih pojedinačnih zahtjeva ili pritužbi ni za pružanje pojedinačnih savjetodavnih usluga. Europski odbor za zaštitu podataka nije nadnacionalno tijelo koje može istraživati pritužbe.

Naposljetku, ako se želite žaliti na način na koji institucija, agencija ili tijelo EU-a upotrebljava vaše osobne podatke, možete podnijeti pritužbu Europskom nadzorniku za zaštitu podataka (vidjeti podatke za kontakt na našoj internetskoj stranici: https://edpb.europa.eu/about-edpb/our-members).

Napominjemo da vašu poruku ne prosljeđujemo nacionalnim tijelima za zaštitu podataka ili Europskom nadzorniku za zaštitu podataka. Stoga ih trebate izravno kontaktirati.

Da bi se privola smatrala valjanom, mora biti:

• slobodno dana;
• specifična;
• informirana; i
• nedvosmislena.

To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.

Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).

Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije  predomisle.

Više informacija:

• Obrađuj osobne podatke zakonito

Ako vaša organizacija prikuplja osobne podatke izravno od pojedinaca, mora pružiti potrebne informacije u trenutku prikupljanja.

U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. To najdulje razdoblje od mjesec dana može se skratiti:

• ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
• ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.

Više informacija:

• Poštuj prava pojedinaca

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Svaka organizacija, bez obzira na veličinu ili sektor, s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili koja nudi proizvode ili usluge pojedincima u EGP-u, obrađuje osobne podatke automatiziranim sredstvima ili ne, mora biti u skladu s Općom uredbom o zaštiti podataka. Čak i ako se Opća uredba o zaštiti podataka uglavnom odnosi na automatiziranu obradu osobnih podataka, postupci obrade koji se provode ručno također će podlijegati Općoj uredbi o zaštiti podataka od trenutka kada su papirnate datoteke organizirane na sustavan način, npr. abecedno posložene u ormaru

Primjeri postupaka obrade uključuju prikupljanje, bilježenje, organiziranje, korištenje, izmjenu, pohranu, otkrivanje ibrisanje osobnih podataka pojedinaca.

Međutim, primjena Opće uredbe o zaštiti podataka prilagođava se prirodi, kontekstu, svrhama i rizicima provedenih postupaka obrade. Za male i srednje poduzetnike čija osnovna djelatnost nije obrada osobnih podataka, obveze mogu biti manje stroge nego za veliko poduzeće.

Više informacija:

• Osnove zaštite podataka

Zadaća službenika za zaštitu podataka uključuje, među ostalim:

• informirati i savjetovati organizaciju i njezine zaposlenike o usklađenosti s propisima o  zaštiti podataka;
• praćenje usklađenosti s propisima o zaštiti podataka;
• pružanje savjeta u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
• djelovanje kao kontaktna točka za nadzorno tijelo i surađivanje s tim tijelom;
• djelovanje kao kontaktna točka za pojedince.

Osim toga, prisutnost službenika za zaštitu podataka općenito se preporučuje ako se donose odluke koje utječu na zaštitu podataka. Odmah bi se trebalo savjetovati i sa službenikom za zaštitu podataka nakon što dođe do povrede podataka ili nekog drugog incidenta.

Više informacija:

• Službenik za zaštitu podataka

Opća uredba za zaštitu podataka nameće obveze svim organizacijama koje obrađuju osobne podatke, bez obzira na to jesu li voditelji obrade ili izvršitelji obrade.

Konkretno, trebali biste:

• Zapitati se da li je svrha u koju se osobni podaci mogu prikupljati opravdana i prikupljajte li samo osobne podatke koji su potrebni za određenu svrhu ili svrhe;
• Održavajte osobne podatke pojedinaca točnim i ažurnim te izbrišite podatke kada vam više nisu potrebni;
• Poštujute prava pojedinaca tako što će te ih informirati o tome kako i zašto se njihovi podaci obrađuju te im omogućiti da ostvare svoja prava;
• Provjerite imate li odgovarajuću pravnu osnovu za obradu osobnih podataka. U slučaju da se namjeravate osloniti na privolu pojedinaca, zatražite njihovu privolu prije obrade njihovih osobnih podataka;
• Osigurajte da se s osobnim podacima pojedinaca postupa na siguran način;
• Vodite evidenciju aktivnosti obrade.

Izvršitelji obrade morat će se pridržavati odgovornosti utvrđenih  ugovorom između voditelja obrade i izvršitelja obrade ne smiju obrađivati podatke na drugi način osim u skladu s uputama voditelja obrade.

Više informacija:

• Budi usklađen s Općom uredbom o zaštiti podataka
• Voditelj obrade ili izvršitelj obrade
• Osnove zaštite podataka

• Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna.
• Prikupljanje osobnih podataka mora biti samo u određene, izričite i zakonite svrhe. Obrada podataka pojedinca mora biti strogo ograničena na prvotno utvrđene svrhe i stoga se ne smije obrađivati u daljnje ili druge svrhe koje nisu u skladu s prvotnim svrhama.
• Obrađivanje samo onih osobnih podataka koji su primjereni, relevantni i ograničeni u odnosu na ono što je nužno s obzirom na predviđenu svrhu.
• Svi osobni podaci koji se obrađuju moraju biti točni i prema potrebi ažurirani. Netočni osobni podaci moraju se ispraviti ili izbrisati.
• Pohrana osobnih podataka pojedinaca mora biti vremenski ograničena s obzirom na svrhu u koju su ti podaci prikupljeni i obrađeni. Stoga se osobni podaci pojedinaca moraju izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni.
• Obrada podataka pojedinaca mora se provoditi na siguran način. U tom smislu potrebno je uspostaviti snažne sigurnosne kontrole kako bi se osigurala odgovarajuća zaštita podataka pojedinaca.

Naposljetku, voditelj obrade je odgovoran. To znači da je odgovoran i mora biti u stanju dokazati usklađenost s gore navedenim načelima.

Više informacija:

• Osnove zaštite podataka

Osobne podatke ne možete pohraniti zauvijek.

U pravilu se osobni podaci mogu pohranjivati samo onoliko dugo koliko je potrebno s obzirom na svrhe u koje se osobni podaci obrađuju.

U nekim slučajevima razdoblje čuvanja može se odrediti posebnim zakonima, na primjer, propisima o radu određuje se razdoblje pohrane za platne liste.

Organizacije bi trebale uspostaviti politike zadržavanja podataka kako bi osigurale da se osobni podaci ne čuvaju dulje nego što je potrebno. Osobni podaci pojedinaca moraju se izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni za svrhu u koju su obrađeni.

Više informacija:

• Osnove zaštite podataka

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Europski odbor za zaštitu podataka nije nadležan za provođenje nadzora nad aktivnostima tijela za zaštitu podataka na zahtjev pojedinaca.

Napominjemo da se nadležnost za izdavanje općih smjernica ne može tumačiti kao mehanizam koji EDPB-u omogućuje da provodi nadzor nad načinom na koji tijela za zaštitu podataka postupaju s vašim pojedinačnim predmetom. 

Ako smatrate da je Opća uredba o zaštiti podataka prekršena i niste zadovoljni odgovorom tijela za zaštitu podataka, preostalo je rješenje da pokrenete pravni postupak.

Općenito govoreći, svaka organizacija trebala bi voditi evidenciju o svojim aktivnostima obrade. Ovo je popis svih postupaka obrade i može vam pomoći u donošenju točnih pretpostavki o vašim odgovornostima prema GDPR-u i mogućim rizicima.

Svaki od tih postupaka obrade mora biti opisan u evidenciji sa sljedećim podacima:

• svrha obrade (npr. lojalnost klijenata);
• kategorije obrađenih podataka (npr. za obračun plaća: ime, prezime , datum rođenja, iznos plaće itd.);
• tko ima pristup podacima (primatelji – npr.: odjel zadužen za zapošljavanje, odjel za IT usluge, rukovodstvo, pružatelji usluga, partneri...);
• ako je primjenjivo, informacije koje se odnose na prijenose osobnih podataka izvan Europskog gospodarskog prostora (EGP),
• ako je moguće, razdoblje pohrane (razdoblje za koje su podaci korisni s operativnog stajališta i iz perspektive arhiviranja).
• ako je moguće, opći opis sigurnosnih mjera.

Za evidenciju aktivnosti obrade odgovoran je voditelj obrade.

Ta evidencija mora biti dostupna tijelu za zaštitu podataka zemlje EGP-a u kojoj poslujete, na zahtjev.

Organizacije koje zapošljavaju manje od 250 osoba ne moraju u svojoj evidenciji navesti isključivo povremene aktivnosti (npr. podatke koji se obrađuju za jednokratne događaje kao što je otvaranje trgovine).

 

Više informacija:

• Budi usklađen

Službenici za zaštitu podataka mogu obavljati druge zadaće unutar organizacije, ali to ne može dovesti do sukoba interesa. To znači da službenik za zaštitu podataka ne može imati položaj u kojem određuje svrhe i sredstva aktivnosti obrade. Nespojive funkcije uglavnom uključuju rukovodeće položaje (glavni izvršni direktor, glavni operativni direktor, glavni financijski direktor, voditelj odjela za ljudske resurse, voditelj IT-a, glavni direktor), ali mogu uključivati i druge funkcije ako dovode do utvrđivanja svrhe i načina obrade.

Službenik za zaštitu podataka mora moći obavljati svoje zadaće i zadaće na neovisan način. To znači da vaša organizacija:

• ne smije davati upute službeniku za zaštitu podataka u pogledu izvršavanja njegovih dužnosti;
• ne smiju kažnjavati ili otpustiti službenika za zaštitu podataka zbog obavljanja njegovih zadaća.

Više informacija:

• Službenik za zaštitu podataka