Data protection guide for small business logo
Close menu
Back to EDPB

Najčešća pitanja

Filter on
Filter on topic

Što je izjava o zaštiti osobnih podataka?

Organizacije moraju, u slučaju izravnog prikupljanja osobnih podataka od pojedinaca, pružiti , lako dostupne informacije o postupcima obrade sažeto i transparentno, služeći se razumljivim, jasnim i jednostavnim jezikom. To se može učiniti u pisanom obliku (npr. na poleđini ponude) ili elektroničkim putem (npr. na web-mjestu). Ako ispitanik to zatraži, te informacije možete dostaviti i usmeno, ali to morate moći dokazati da ste doista pružili sve potrebne informacije o obradi.

Čak i kada su podaci prikupljeni indirektno, tj. ako osobne podatke ne prikupljate izravno od pojedinca, nego primjerice putem treće strane, morate pojedincima pružiti iste detaljne informacije.

Kako mogu odgovoriti na zahtjev za brisanje?

Pojedinci imaju pravo zatražiti brisanje osobnih podataka koji se na njih odnose i u tom slučaju voditelj obrade ima obvezu izbrisati osobne podatke. Trebali biste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok može produljiti za još dva mjeseca ako je zahtjev previše složen i ako je potrebno više vremena za ispunjavanje zahtjeva, pod uvjetom da je pojedinac o tome obaviješten u roku od mjesec dana od primitka zahtjeva.

Važno je napomenuti da pravo na brisanje nije apsolutno. Ne primjenjuje se ako su predmetni podaci potrebni za:

  • ostvarivanje prava na slobodu izražavanja i informiranja (npr. u novinarske svrhe);
  • poštovanje pravne obveze kojom se zahtijeva obrada osobnih podataka (npr. obrada evidencije o radnom vremenu zaposlenika);
  • razlozi javnog interesa u području javnog zdravlja
  • svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe; i
  • uspostava, ostvarivanje ili obrana pravnih zahtjeva.

Ako su osobni podaci koje treba izbrisati prethodno preneseni drugim organizacijama, morate obavijestiti te primatelje da je pojedinac zatražio brisanje, osim ako se to pokaže nemogućim ili bi zahtijevalo nerazmjerne napore.

Više informacija:

Mogu li snimati telefonske razgovore s klijentima radi poboljšanja kvalitete usluge i trebam li privolu za to?

Da, vaši klijenti prilikom telefonskog poziva moraju biti obaviješteni o svrsi snimanja, primateljima snimaka, o njihovu pravu na prigovor i pravu na pristup snimkama.

Više informacija:

Što znači obrada osobnih podataka?

Obrada osobnih podataka znači svaka vrsta aktivnosti (postupak obrade) koja se obavlja na osobnim podacima pojedinaca ili s njima. To uključuje prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu ili izmjenu, pronalaženje, ispitivanje, uporabu, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje osobnih podataka.

Je li moguće obrađivati osjetljive podatke?

Ne, obrada osjetljivih podataka općenito je zabranjena, osim u vrlo specifičnim okolnostima:

  • Pojedinac je dao izričitu privolu za obradu svojih osjetljivih podataka.
  • Obrada osjetljivih podataka nužna je kako bi voditelj obrade podataka ispunio svoje obveze, posebno u kontekstu zapošljavanja, socijalne sigurnosti i socijalne zaštite. Na primjer, voditelj obrade možda će morati obraditi osjetljive podatke osobe kako bi mogao utvrditi ima li pravo na određene naknade socijalne zaštite ili stipendije za zapošljavanje.
  • Obrada osjetljivih podataka nužna je kako bi se zaštitili životno važni interesi osobe ako pojedinac fizički ili pravno nije u mogućnosti dati privolu. Na primjer, ako je pojedinac ostao bez svijesti kao posljedica nesreće i zahtijeva hitnu medicinsku skrb, možda će biti potrebno obraditi njegove zdravstvene podatke kako bi se pružila odgovarajuća medicinska skrb.
  • Obrada osjetljivih podataka provodi se u kontekstu legitimnih aktivnosti zaklade, udruge ili druge neprofitne organizacije s političkim, filozofskim, vjerskim ili sindikalnim ciljem i samo za obradu osobnih podataka njihovih članova, bivših članova ili osoba koje su s njima u redovitom kontaktu.
  • Osjetljive podatke koje je očigledno  objavio pojedinac.
  • Obrada osjetljivih podataka nužna je u kontekstu sudskih postupaka.
  • Obrada osjetljivih podataka nužna je za pitanja od znatnog javnog interesa.
  • Obrada osjetljivih podataka nužna je u kontekstu preventivne medicine ili medicine rada. Na primjer, obrada osjetljivih podataka pojedinca, kao što su zdravstveni podaci, može biti potrebna kako bi se utvrdila njihova radna sposobnost.
  • Obrada osjetljivih podataka nužna je za pitanja javnog zdravlja na temelju prava EU-a ili nacionalnog prava. Na primjer, obrada osjetljivih podataka pojedinaca može biti potrebna kako bi se osigurala visoka kvaliteta zdravstvene skrbi i visoka kvaliteta medicinskih proizvoda ili kako bi se suzbile ozbiljne prijetnje zdravlju, kao što su virusi.
  • Obrada osjetljivih podataka nužna je u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Na primjer, obrada osjetljivih podataka može biti potrebna za pružanje točnih statističkih podataka o stanju zemlje u određenom području.

Više informacija:

Što mogu učiniti u slučaju da izvršitelj obrade ne želi potpisati ugovor između voditelja obrade i izvršitelja obrade?

Važeći ugovor između voditelja obrade i izvršitelja obrade podataka obvezan je prema Općoj uredbi o zaštiti podataka. Za povredu odredbi članka 28. Opće uredbe o zaštiti podataka se može izreći upravna novčana kazna u iznosu do 10 milijuna EUR ili do 2 % ukupnog godišnjeg prometa društva, ovisno o tome koji je iznos veći.

Dansko i slovensko nadzorno tijelo za zaštitu podataka te Europska komisija izradile su predloške ugovora kako bi vam pomogle pri sklapanju ugovora između voditelja obrade i izvršitelja obrade.

Više informacija:

Što trebam učiniti kada netkopostavi upit o tomekako obrađujem njihove osobne podatke?

Pojedinci vas mogu pitati obrađujete li njihove podatke te imaju pravo na pristup tim podacima. Dakle, kada se to dogodi i ako obrađujete njihove podatke, trebali biste, na primjer, besplatno dostaviti kopiju njihovih osobnih podataka zajedno sa svim potrebnim dodatnim informacijama. Ako je zahtjev podnesen elektroničkim putem, vaša bi organizacija trebala dostaviti tražene informacije u uobičajenom elektroničkom obliku, osim ako pojedinac zatraži drukčije.

Više informacija:

Koliko imam vremena za odgovariti na zahtjev za pristup?

Trebali biste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok može produljiti za još dva mjeseca ako je zahtjev previše složen i ako je potrebno više vremena za odgovor, pod uvjetom da je pojedinac o tome obaviješten u roku od mjesec dana od primitka zahtjeva.

Morate to učiniti besplatno.

Više informacija:

Trebam li privolu za korištenje kolačića na web stranici moje organizacije?

GDPR se primjenjuje na upotrebu kolačića kada se upotrebljavaju za obradu osobnih podataka, ali postoje i specifična pravila za kolačiće uključena u  Direktivu o e-privatnosti.

Pohranjivanje kolačića ili dobivanje pristupa već pohranjenom kolačiću na terminalnoj opremi korisnika dopušteno je samo pod uvjetom da je dotični pretplatnik ili korisnik na odgovarajući način obaviješten (posebno o svrsi obrade) i da je dao svoju privolu.

Jedina iznimka su tehnički nužni kolačići. Organizacije ne moraju tražiti privolu za korištenje tehnički nužnih kolačića na svojim internetskim stranicama.

Više informacija:

Koja je razlika između pseudonimiziranih i anonimiziranih podataka?

Pseudonimizacija se sastoji od transformacije osobnih podataka tako da se više ne mogu pripisati određenom pojedincu bez upotrebe dodatnih informacija, pod uvjetom da se takve dodatne informacije čuvaju odvojeno i da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne pripisuju pojedincu. U praksi to može značiti zamjenu osobnih podataka (ime, osobni broj, telefonski broj itd.) u skupu podataka s neizravno identificirajućim podacima (alias, šifra itd.). Pseudonimizirani podaci i dalje su osobni podaci i podliježu primjeni Opće uredbe o zaštiti podataka.

Anonimizirani podaci su podaci koji su anonimizirani na takav način da se pojedinac ne može ili više ne može identificirati na bilo koji način za koji je razumno vjerojatno da će se koristiti. Kada se anonimizacija pravilno provodi, Opća uredba o zaštiti podataka se više ne primjenjuje.

Više informacija:

Tko je voditelj obrade, a tko izvršitelj obrade podataka?

U Općoj uredbi o zaštiti podataka razlikuju se dvije glavne uloge: one voditelja obrade i izvršitelja obrade. Ta je razlika ključna jer voditelj obrade podataka snosi veću odgovornost i mora ispunjavati više obveza od izvršitelja obrade.

Voditelji obrade i izvršitelji obrade mogu biti fizičke ili pravne osobe, na primjer: malo i srednje poduzeće, javno tijelo, poduzeće, organizacija, državno tijelo, udruga itd.

Voditelj obrade određuje svrhe i sredstva postupka obrade. Drugim riječima, voditelj obrade odlučuje kako i zašto provoditi obradu. Budući da izvršitelji obrade obrađuju osobne podatke u ime voditelja obrade, obrada koju provode izvršitelji obrade mora biti uređena ugovorom s voditeljem obrade ili drugim pravnim aktom.

Primjeri voditelja obrade podataka:

  • društva koja obrađuju osobne podatke svojih klijenata kako bi dovršila prodaju;
  • financijske institucije koje obrađuju osobne podatke svojih klijenata;
  • udruge koje obrađuju podatke svojih članova;
  • škole ili sveučilišta koja obrađuju osobne podatke studenata i nastavnika;
  • bolnice koje obrađuju osobne podatke svojih pacijenata;
  • vladine agencije koje obrađuju osobne podatke građana.

Primjeri izvršitelja obrade podataka:

  • malo i srednje poduzeće angažira knjigovodstveni servis za vođenje svojih knjiga i evidencije, malo i srednje poduzeće je voditelj obrade, a knjigovodstveni servis izvršitelj obračun;
  • knjigovodstveni servis radiobračun plaća te obrađuje osobne podatke za mala i srednja poduzeća. Knjigovodstveni servisdjelovat će kao izvršitelj obrade ako obrađuje osobne podatke isključivo u ime malih i srednjih poduzeća. Malo i srednje poduzeće određuje svrhe i sredstva obrade podataka te je stoga voditelj obrade.
  • Mala i srednja poduzeća naručuju usluge marketinškog društva za prikupljanje adresa e-pošte putem internetskih stranica trećih strana.  Marketinško društvo to čini u skladu s izričitim uputama malog i srednjeg poduzeća i isključivo za potrebe malog i srednjeg poduzeća. Marketinško društvo djeluje kao izvršitelj obrade za navedenu radnju.

Više informacija:

Što su osjetljivi podaci?

Neke vrste osobnih podataka pripadaju posebnim kategorijama osobnih podataka, što znači da zaslužuju veću zaštitu, tzv. osjetljivi podatke. Osjetljivi podaci uključuju podatke koji otkrivaju informacije o:

  • zdravlju pojedinca;
  • seksualnoj orijentaciji pojedinca;
  • rasnom ili etničkom podrijetlu pojedinca;
  • političkim mišljenja, vjerskim ili filozofskim uvjerenjima pojedinca; članstvu u sindikatu pojedinca;
  • biometrijski podaci u svrhu jedinstvene identifikacije pojedinca i genetski podaci pojedinca.

Obrada takvih podataka pojedinca općenito je zabranjena, osim u posebnim okolnostima koje opravdavaju njihovu obradu.

Više informacija:

Tko može biti imenovan službenikom za zaštitu podataka?

Službenik za zaštitu podataka može biti postojeći zaposlenik s dostatnim znanjem o Općoj uredbi o zaštiti podataka (ako su profesionalni zadaci zaposlenika kompatibilni sa zadaćama službenika za zaštitu podataka i to ne dovodi do sukoba interesa) ili vanjska osoba. Službenik za zaštitu podataka trebao bi moći neovisno obavljati zadaće i trebao bi moći izravno izvješćivati najviše rukovodstvo.

Više informacija:

Što su osobni podaci?

Osobni podaci su sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno.

Primjeri osobnih podataka uključuju:

  • ime i prezime;
  • kućna adresu;
  • e-adresu;
  • broj osobne iskaznice;
  • podaci o lokaciji;
  • adresa internetskog protokola (IP);
  • ID kolačića;
  • bankovni računi;
  • porezna izvješća;
  • biometrijski podaci (kao što su otisci prstiju);
  • broj socijalnog osiguranja;
  • broj putovnice;
  • rezultate ispitivanja;
  • ocjene u školi;
  • povijest pregledavanja;
  • fotografija pojedinca;
  • registracijski broj vozila itd.

Više informacija:

Kao voditelj obrade prikupio sam osobne podatke pojedinaca od treće strane, što trebam učiniti kako bih postupio kako bi bio usklađen?

  1. Pobrinite se da su podaci koje ste primili zakonito prikupljeni i da su dotični pojedinci obaviješteni o obradi njihovih osobnih podataka.
  2. U slučaju da treća strana obrađuje osobne podatke u vaše ime, pobrinite se da imate ugovor između voditelja obrade i izvršitelja obrade koji detaljno opisuje postupke obrade i sredstva obrade osobnih podataka.

I naravno, pridržavati se svih obveza voditelja obrade.

Više informacija:

Kako mogu znati koje sigurnosne mjere trebam poduzeti?

Potrebne sigurnosne mjere mogu se razlikovati ovisno o prirodi osobnih podataka koje obrađujete i povezanim rizicima za pojedince. U svakom slučaju, postoje neke minimalne mjere koje biste trebali uvesti:

  • siguran pristup prostorijama;
  • korištenje redovito ažuriranog antivirusnog softvera;
  • pažljivo odaberite svoje lozinke;
  • izvršiti autentifikaciju korisnika prije upotrebe računalne opreme;
  • imati uspostavljenu sigurnosnu kopiju podataka i politiku za dohvaćanje podataka u slučaju incidenta.

Osim toga, neke osnovne mjere kao što su zaključavanje zaslona dok ste odsutni i zaključavanje ureda na kraju dana su uvijek poželjne mjere...

Više informacija:

Mogu li objaviti imena pobjednika natječaja na internetskim stranicama svoje organizacije?

Objavljivanje imena pobjednika natječaja na vašoj web stranici može se smatrati legitimnim interesom ako to možete dokazati provođenjem testa ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinaca.

Dobra bi praksa bila uspostava internog postupka u kojem se objašnjavaju pravila o objavljivanju osobnih podataka pobjednika.

Osim toga, obrada osobnih podataka u te svrhe trebala bi biti dio politike privatnosti vezano uz provedbu natječaja kako bi sudionici unaprijed bili obaviješteni o tome kako će se njihovi podaci obrađivati.

Više informacija:

Mogu li podijeliti popis osobnih podataka pojedinaca sa svojim poslovnim partnerima (treće strane)?

Da, možete, ali GDPR postavlja određene obveze za tvrtke koje dijele osobne podatke. Vaša organizacija mora obavijestiti pojedince da ćete njihove podatke podijeliti s trećom stranom. Također ih morate obavijestiti o svojim svrhama, sigurnosti, pristupu i mjerama zadržavanja koje će se primjenjivati.

Trebam li imenovati službenika za zaštitu podataka?

Imenovanje službenika za zaštitu podataka obvezno je u sljedeća tri slučaja:

  • organizacija je tijelo javne vlasti;
  • osnovne aktivnosti organizacije sastoje se od redovitog i sustavnog praćenja pojedinaca u velikim razmjerima, na primjer geolokacije putem mobilne aplikacije ili nadzora trgovačkih centara i javnih prostora putem videonadzora;
  • osnovne aktivnosti organizacije sastoje se od opsežne obrade osjetljivih podataka ili osobnih podataka povezanih s kaznenim osudama i kaznenim djelima.

Uvijek možete imenovati službenika za zaštitu podataka na dobrovoljnoj osnovi, čak i ako to nije zakonski propisano. Imajte na umu da u tom slučaju morate poštovati sve odredbe Opće uredbe o zaštiti podataka koje se odnose na zadaće i položaj službenika za zaštitu podataka.

Više informacija:

Moram li javno objaviti svoju evidenciju aktivnosti obrade?

Ne, nije potrebno javno objaviti vašu evidenciju aktivnosti obrade. Međutim, morate biti u mogućnosti staviti evidenciju na raspolaganje tijelu za zaštitu podataka na zahtjev.

Više informacija: