GDPR compliance checklist za vlasnike web stranica (2026): praktični vodič s člancima GDPR-a

GDPR (Opća uredba o zaštiti podataka) i dalje je jedan od najstrožih i najkonkretnijih okvira privatnosti na svijetu. Za vlasnike web stranica to najčešće znači da moraš znati koje osobne podatke prikupljaš, zašto ih prikupljaš, gdje ih čuvaš, s kim ih dijeliš i koliko dugo ih zadržavaš — te to moći dokazati.

U praksi je GDPR compliance kombinacija procesa (politike, ugovori, procedure), tehnike (sigurnost, logovi, kontrola pristupa) i UX-a (cookie banner, privole, jednostavni zahtjevi za prava korisnika). Kazne za neusklađenost mogu dosegnuti do €20 milijuna ili 4% globalnog godišnjeg prometa, ovisno o tome što je veće.

Što je GDPR i na koga se odnosi?

GDPR (General Data Protection Regulation) je EU regulativa koja se primjenjuje od 25. svibnja 2018. i definira pravila za prikupljanje, korištenje, pohranu i dijeljenje osobnih podataka. Ne odnosi se samo na tvrtke unutar EU: ako obrađuješ osobne podatke rezidenata EU, GDPR se primjenjuje i na organizacije izvan Unije.

Razumijevanje uloga: tko si ti u GDPR priči?

Prije checklista, ključno je odrediti ulogu jer obveze nisu iste u svim scenarijima.

• Data Controller (voditelj obrade): organizacija koja određuje zašto i kako se osobni podaci obrađuju. Primarna odgovornost za GDPR compliance je ovdje.
• Data Processor (izvršitelj obrade): treća strana koja obrađuje osobne podatke u ime voditelja obrade. I dalje mora imati odgovarajuće tehničke i organizacijske mjere.
• Data Subject (ispitanik): fizička osoba čiji se osobni podaci prikupljaju i obrađuju. GDPR primarno štiti njezina prava.

Jedna organizacija može istovremeno biti i voditelj obrade i izvršitelj obrade, ovisno o kontekstu (npr. SaaS koji za vlastite korisnike djeluje kao controller, a za enterprise klijenta kao processor).

7 temeljnih načela GDPR-a (što inspektor očekuje da živiš u praksi)

1. Zakonitost, poštenost i transparentnost: obrada mora biti zakonita i korisnici moraju jasno znati što se radi s njihovim podacima.
2. Ograničenje svrhe: podatke prikupljaj samo za konkretne i legitimne svrhe.
3. Minimizacija podataka: uzmi samo minimum koji ti je stvarno potreban.
4. Točnost: drži podatke ažurnima i ispravnima.
5. Ograničenje pohrane: ne čuvaj podatke dulje nego što treba.
6. Cjelovitost i povjerljivost: zaštiti podatke od neovlaštenog pristupa odgovarajućim sigurnosnim mjerama.
7. Odgovornost (accountability): moraš moći dokazati usklađenost, ne samo tvrditi da jesi.

Potpuni GDPR compliance checklist (za web vlasnike): od evidencija do prava korisnika

U nastavku je checklist strukturiran tako da možeš mapirati svaki zahtjev na interne procese i konkretne artefakte (tablice, dokumente, postavke, ugovore). Kod svake točke navodim i na koga se odnosi (Controller/Processor) te relevantne članke GDPR-a.

1) Podaci (Data)

1.1 Imaš popis svih tipova osobnih podataka koje posjeduješ: izvor, dijeljenje, svrha i rok čuvanja

Primjenjuje se na: Data Controller, Data Processor

Ovo nije “imamo bazu korisnika”, nego stvarni popis tipova/kolona podataka koje držiš (npr. ime, e-mail, adresa, OIB/identifikator, IP adresa). Za svaki tip dokumentiraj izvor (odakle dolazi), s kim se dijeli, zašto se koristi i koliko dugo se zadržava.

Reference: GDPR Article 30 – Records of processing activities

1.2 Imaš popis mjesta gdje se osobni podaci čuvaju i kako teku između sustava

Primjenjuje se na: Data Controller, Data Processor

Ovo je inventar lokacija: baze (npr. MySQL), third-party servisi, logovi, alati za podršku, ali i offline pohrana (papir, exporti, backup diskovi). Također opiši tokove podataka između njih (npr. forma → CRM → newsletter alat → data warehouse).

Reference: GDPR Article 30 – Records of processing activities

1.3 Privacy Policy ti je javno dostupna i pokriva sve procese vezane uz osobne podatke

Primjenjuje se na: Data Controller, Data Processor

Privacy Policy treba obuhvatiti sve procese rukovanja osobnim podacima, uključujući koje tipove podataka držiš i gdje ih držiš (ili barem linkove prema tim informacijama). Bitno: dokument mora biti javno dostupan i lako pronađen.

Reference: GDPR Article 30 – Records of processing activities

1.4 Privacy Policy sadrži zakonitu osnovu (lawful basis) zašto obrađuješ osobne podatke

Primjenjuje se na: Data Controller

Ako obrađuješ podatke, moraš znati i komunicirati na temelju čega to radiš — primjerice izvršenje ugovora (fulfillment of a contract). Ovo je ključna razlika između “želimo podatke” i “smijemo obrađivati podatke”.

Reference: GDPR Article 6 – Lawfulness of processing

2) Odgovornost i upravljanje (Accountability & Management)

2.1 Imenovao si službenika za zaštitu podataka (DPO) kada je to obvezno

Primjenjuje se na: Data Controller, Data Processor

DPO (Data Protection Officer) nije obvezan svima, nego samo u tri scenarija:

1. Obrada se provodi od strane javnog tijela ili javne vlasti, osim sudova kada djeluju u sudbenoj funkciji
2. Osnovne aktivnosti zahtijevaju obradu koja zbog prirode, opsega i/ili svrhe uključuje redovito i sustavno praćenje ispitanika u velikom opsegu
3. Osnovne aktivnosti uključuju obradu u velikom opsegu posebnih kategorija podataka (osjetljivi podaci) sukladno Article 9 te osobnih podataka povezanih s kaznenim osudama i prekršajima sukladno Article 10

Ako ti je DPO potreban, ta osoba mora razumjeti GDPR smjernice i imati uvid u interne procese koji uključuju osobne podatke.

Reference: GDPR Article 37 – Designation of the data protection officer

2.2 Donositelji odluka su upoznati s GDPR smjernicama

Primjenjuje se na: Data Controller, Data Processor

Ljudi koji odlučuju o proizvodu, marketingu, analitici, prodaji i infrastrukturi moraju imati aktualno znanje o pravilima zaštite podataka. To je dio “privacy by design” kulture, ne jednokratna checklist stavka.

Reference: GDPR Article 25 – Data protection by design and by default

2.3 Tehnička sigurnost ti je ažurna

Primjenjuje se na: Data Controller, Data Processor

Ako si SaaS ili radiš ozbiljniji web, sigurnosne checkliste (hardening, patching, pristupi, backupi) su dobar start. GDPR očekuje “odgovarajuće mjere” — a to se u praksi mjeri time koliko si razumno smanjio rizik.

Reference: GDPR Article 25 – Data protection by design and by default

2.4 Tim je educiran o zaštiti podataka (posebno protiv socijalnog inženjeringa)

Primjenjuje se na: Data Processor

Značajan dio ranjivosti dolazi iz “ljudskog faktora”: phishing, dijeljenje pristupa, pogrešni exporti, pogrešno poslan mail. Osobe s pristupom internim sustavima moraju razumjeti rizike i procedure.

Reference: GDPR Article 25 – Data protection by design and by default

2.5 Imaš popis sub-processora, a Privacy Policy navodi da ih koristiš

Primjenjuje se na: Data Processor

Ako kao izvršitelj obrade koristiš sub-processore (npr. infrastruktura, support, e-mail provider), kupci moraju biti informirani. Pristanak se tipično ostvaruje prihvaćanjem Privacy Policyja.

Reference: GDPR Article 28 – Processor

2.6 Ako posluješ izvan EU, imenovao si predstavnika unutar EU

Primjenjuje se na: Data Controller, Data Processor

Ako ti je poslovanje izvan EU, ali prikupljaš podatke građana EU, trebaš predstavnika u jednoj od država članica. Ta osoba preuzima komunikaciju vezanu uz obradu, uključujući mogućnost da je lokalno nadzorno tijelo može kontaktirati.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

2.7 Imaš proceduru prijave povrede osobnih podataka (data breach) nadzornom tijelu i ispitanicima

Primjenjuje se na: Data Controller, Data Processor

Povrede osobnih podataka prijavljuju se nadzornom tijelu unutar 72 sata. U prijavi moraš navesti koji su podaci izgubljeni, posljedice i koje si protumjere poduzeo. Osim ako je kompromitirani sadržaj bio šifriran, u pravilu moraš obavijestiti i ispitanike čiji su podaci procurili.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

2.8 Postoji ugovor s procesorima kojima dijeliš podatke (DPA / ugovorne upute)

Primjenjuje se na: Data Controller

Kada dijeliš podatke s izvršiteljem obrade (npr. hosting provider), mora postojati ugovor koji sadrži eksplicitne upute za pohranu/obradu. Ugovor treba definirati predmet i trajanje obrade, prirodu i svrhu obrade, tip osobnih podataka, kategorije ispitanika te obveze i prava voditelja obrade.

Isti zahtjevi vrijede i kada procesor angažira sub-processora kako bi isporučio obradu u ime voditelja obrade.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

3) Nova prava korisnika (New Rights)

3.1 Korisnici mogu jednostavno zatražiti pristup svojim osobnim podacima

Primjenjuje se na: Data Controller, Data Processor

Trebaš jasno definiran proces za access request: tko zaprima zahtjev, kako verificira identitet, kako skuplja podatke iz sustava i u kojem formatu ih isporučuje.

Reference: GDPR Article 15 – Right of access by the data subject

3.2 Korisnici mogu ažurirati svoje podatke kako bi bili točni

Primjenjuje se na: Data Controller, Data Processor

Omogući mehanizam za ispravak netočnih podataka — kroz profil, support proces ili drugi kanal koji je korisniku jednostavan.

Reference: GDPR Article 16 – Right to rectification

3.3 Automatski brišeš podatke koji ti više nisu potrebni

Primjenjuje se na: Data Controller, Data Processor

Retention nije “čuvaj sve zauvijek”. Automatiziraj brisanje podataka kad nema poslovne potrebe, npr. za korisnike kojima ugovor nije obnovljen.

Reference: GDPR Article 5 – Principles relating to processing of personal data

3.4 Korisnici mogu jednostavno zatražiti brisanje osobnih podataka

Primjenjuje se na: Data Controller, Data Processor

Implementiraj proces za “right to be forgotten”: zaprimanje zahtjeva, validacija, brisanje/anonimizacija, potvrda korisniku, te evidencija da je zahtjev obrađen.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

3.5 Korisnici mogu zatražiti da prestaneš obrađivati njihove podatke

Primjenjuje se na: Data Controller, Data Processor

Ovo je pravo na ograničenje obrade: korisnik može tražiti da se obrada zaustavi ili ograniči u određenim okolnostima.

Reference: GDPR Article 18 – Right to restriction of processing

3.6 Korisnici mogu zatražiti prijenos svojih podataka sebi ili trećoj strani

Primjenjuje se na: Data Controller, Data Processor

Data portability znači isporuku podataka u strukturiranom, uobičajenom i strojno čitljivom formatu, tako da korisnik može prenijeti podatke drugom voditelju obrade.

Reference: GDPR Article 20 – Right to data portability

3.7 Korisnici mogu uložiti prigovor na profiling ili automatizirano odlučivanje koje može utjecati na njih

Primjenjuje se na: Data Controller

Ovo je relevantno samo ako radiš profiling ili automatizirano odlučivanje. Ako utječe na korisnika (pravni učinci ili značajan utjecaj), moraš imati mehanizam za prigovor i odgovarajuća objašnjenja.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

4) Privola (Consent)

4.1 Ako se oslanjaš na privolu, ona mora biti dobrovoljna, specifična, informirana i opoziva

Primjenjuje se na: Data Controller

Ako na webu prikupljaš osobne podatke na temelju privole, korisniku moraš jasno pokazati link na Privacy Policy i dobiti potvrdu prihvaćanja uvjeta. Privola mora biti affirmative action — unaprijed označene kućice (pre-ticked) nisu dopuštene.

Reference: GDPR Article 7 – Conditions for consent

4.2 Privacy Policy mora biti jasna i razumljiva

Primjenjuje se na: Data Controller

Tekst treba biti jednostavan i ne smije skrivati namjeru. Ako je nejasan, može se dogoditi da je privola pravno nevaljana. Ako pružaš usluge djeci, dokument mora biti dovoljno jednostavan da ga i dijete može razumjeti.

Reference: GDPR Article 7.2 – Conditions for consent

4.3 Povlačenje privole mora biti jednako jednostavno kao i davanje privole

Primjenjuje se na: Data Controller

Ne smiješ korisnika “zakopati” u postavke ili tjerati na support ticket ako je privolu dao jednim klikom. Princip je simetrija: jednaka lakoća davanja i povlačenja.

Reference: GDPR Article 7.3 – Conditions for consent

4.4 Ako obrađuješ dječje podatke, provjeri dob i traži privolu zakonskog skrbnika

Primjenjuje se na: Data Controller

Za djecu mlađu od 16 godina trebaš osigurati da privolu daje zakonski skrbnik. Ako se privola daje putem weba, trebaš pokušati osigurati da je odobrenje zaista dao skrbnik (a ne dijete).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

4.5 Kod izmjena Privacy Policyja obavještavaš postojeće korisnike

Primjenjuje se na: Data Controller

Primjerice, slanjem e-maila o nadolazećim promjenama. Obavijest treba jednostavno objasniti što se promijenilo.

Reference: GDPR Article 7 – Conditions for consent

5) Praćenje i revizija (Follow-up)

5.1 Redovito pregledavaš politike: promjene, učinkovitost, promjene u obradi i promjene u zemljama u koje podaci odlaze

Primjenjuje se na: Data Controller

GDPR compliance nije set-and-forget. Trebaš redovito provjeravati best practice, promjene u internim procesima i okolnostima država prema kojima idu transferi podataka.

Reference: GDPR Article 25 – Data protection by design and by default

6) Posebni slučajevi (Special Cases)

6.1 Znaš kada moraš provesti DPIA za visokorizičnu obradu osjetljivih podataka

Primjenjuje se na: Data Controller

Ovo se odnosi na organizacije koje rade obradu velikog opsega, profiling i druge aktivnosti koje nose visok rizik za prava i slobode ljudi. Tada je potreban DPIA (Data Protection Impact Assessment).

Reference: GDPR Article 35 – Data protection impact assessment

6.2 Podatke izvan EU šalješ samo u zemlje s adekvatnom razinom zaštite (ili koristiš SCC/BCR) i to navodiš u Privacy Policyju

Primjenjuje se na: Data Controller, Data Processor

Prekogranične prijenose treba otkriti u Privacy Policyju. Ako šalješ u zemlje koje nemaju adekvatnu razinu zaštite, koristi Standard Contractual Clauses (SCCs) ili Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Prava ispitanika (Data Subject Rights): što moraš omogućiti i kako to komunicirati

Osim “internih” obveza (ugovori, evidencije), GDPR definira prava koja ispitanici imaju. Ovo su točke koje direktno utječu na sadržaj Privacy Policyja i na operativne procese podrške.

Pravo na transparentne informacije

Voditelj obrade mora poduzeti odgovarajuće mjere da pruži informacije o obradi sažeto, transparentno, razumljivo i lako dostupno, jasnim i jednostavnim jezikom — posebno kada su informacije namijenjene djetetu. Informacije se daju pisano ili drugim sredstvima, uključujući elektronička sredstva gdje je primjenjivo.

Reference: GDPR Article 12

Pravo na specifične informacije kada se podaci prikupljaju izravno

Ove informacije uključuju:

1. Identitet i kontakt podatke voditelja obrade
2. Kontakt podatke DPO-a (ako je primjenjivo)
3. Svrhe obrade i pravnu osnovu
4. Legitimne interese voditelja obrade (ako je primjenjivo)
5. Primatelje ili kategorije primatelja osobnih podataka
6. Informacije o prijenosima u treće zemlje

Reference: GDPR Article 13

Pravo na specifične informacije kada se podaci ne prikupljaju izravno

Ako podatke dobivaš iz drugih izvora (ne od samog ispitanika), moraš pružiti slične informacije, uključujući kategorije osobnih podataka te izvor podataka.

Reference: GDPR Article 14

Pravo pristupa (Right of access)

Ispitanik ima pravo dobiti potvrdu obrađuju li se njegovi podaci te pristup sljedećem:

• Svrhama obrade
• Kategorijama osobnih podataka
• Primateljima kojima su podaci otkriveni ili će biti otkriveni
• Predviđenom razdoblju pohrane (retention)
• Postojanju prava na ispravak, brisanje, ograničenje i prigovor
• Pravu na podnošenje pritužbe nadzornom tijelu
• Informacijama o izvoru podataka (ako nisu prikupljeni od ispitanika)
• Postojanju automatiziranog odlučivanja, uključujući profiling

Reference: GDPR Article 15

Pravo na ispravak (Right to rectification)

Ispitanik ima pravo bez nepotrebnog odgađanja ispraviti netočne osobne podatke i dopuniti nepotpune podatke.

Reference: GDPR Article 16

Pravo na brisanje (Right to erasure / right to be forgotten)

Ispitanik ima pravo tražiti brisanje osobnih podataka kada:

1. Podaci više nisu potrebni za izvornu svrhu
2. Povuče privolu, a ne postoji druga pravna osnova za obradu
3. Uloži prigovor na obradu, a ne postoje jači legitimni razlozi
4. Podaci su obrađeni nezakonito
5. Brisanje je potrebno radi poštovanja pravne obveze
6. Podaci su prikupljeni u vezi s uslugama informacijskog društva ponuđenima djetetu

Reference: GDPR Article 17

Pravo na ograničenje obrade (Right to restriction of processing)

Ispitanik ima pravo ograničiti obradu kada:

1. Osporava točnost podataka (na razdoblje potrebno za provjeru)
2. Obrada je nezakonita, a ispitanik se protivi brisanju
3. Voditelj obrade više ne treba podatke, ali ispitanik ih treba za pravne zahtjeve
4. Ispitanik je uložio prigovor na obradu, dok se ne provjeri postojanje legitimnih osnova

Reference: GDPR Article 18

Pravo na obavijest o ispravku, brisanju ili ograničenju

Voditelj obrade mora priopćiti svaki ispravak, brisanje ili ograničenje obrade svakom primatelju kojem su osobni podaci otkriveni, osim ako je to nemoguće ili zahtijeva nerazmjeran napor.

Reference: GDPR Article 19

Pravo na prenosivost podataka (Right to data portability)

Ispitanik ima pravo dobiti svoje osobne podatke u strukturiranom, uobičajenom i strojno čitljivom formatu te ih prenijeti drugom voditelju obrade bez ometanja.

Reference: GDPR Article 20

Pravo na prigovor (Right to object)

Ispitanik ima pravo u bilo kojem trenutku uložiti prigovor na obradu temeljenu na legitimnim interesima ili javnom interesu, uključujući profiling, iz razloga povezanih s njegovom posebnom situacijom.

Reference: GDPR Article 21

Pravo da ne bude podvrgnut automatiziranom odlučivanju

Ispitanik ima pravo da ne bude podvrgnut odluci koja se temelji isključivo na automatiziranoj obradi, uključujući profiling, a koja proizvodi pravne učinke ili na sličan način značajno utječe na njega.

Reference: GDPR Article 22

Praktični koraci implementacije na webu (što konkretno napraviti)

1) Zaključaj web: sigurnost kao temelj privatnosti

• Instaliraj SSL certifikat (HTTPS) kako bi enkriptirao promet između korisnika i servera
• Koristi jake lozinke za sve admin račune
• Dodaj dodatnu zaštitu za rukovanje podacima o plaćanju
• Koristi CDN provider koji štiti od DDoS napada
• Uvedi anti-virus softver za sprječavanje neovlaštenog pristupa
• Minimiziraj prikupljanje podataka — uzmi samo ono što treba
• Pseudonimiziraj ili anonimiziraj osobne podatke prije pohrane
• Radi backup na više sigurnih lokacija
• Briši podatke kada više nisu potrebni

2) Dodaj cookie consent banner (i ponašaj se korektno prema privoli)

Ako koristiš non-essential cookies, treba ti eksplicitna privola prije aktivacije. To u praksi znači da analytics/marketing skripte ne smiju krenuti prije opt-in odluke.

Cookie banner mora zadovoljiti sljedeće:

• Blokiraj cookies do privole: učitaj samo nužne cookies dok korisnik ne odabere opt-in
• Koristi jednostavan, jasan jezik: objasni koje cookies koristiš i zašto
• Prikaži jednake Accept/Reject gumbe: ne smiješ sakrivati odbijanje
• Ponudi granularne opcije: korisnik može birati kategorije cookiesa
• Omogući povlačenje privole: jednostavna promjena preferencija kasnije
• Evidentiraj privolu: spremi odabire s timestampom kao dokaz usklađenosti

3) Pregledaj sve forme na webu (contact, checkout, lead, demo request)

Svaka forma koja prikuplja osobne podatke mora biti GDPR-usklađena. Minimum koji trebaš pokriti:

• Uključi privacy statement koji objašnjava zašto ti trebaju podaci
• Dodaj neoznačenu kućicu (unticked checkbox) za privolu
• Osiguraj odvojeni opt-in za marketing komunikacije
• Stavi link na Privacy Policy
• Piši jasnim i jednostavnim jezikom

4) Privola za marketing e-mailove: opt-in, evidencija i unsubscribe

• Samo jasni opt-in: kućica za e-mail privolu mora biti neoznačena i specifična
• Implementiraj double opt-in: potvrda prijave putem e-maila
• Vodi evidenciju privola: datum, vrijeme, metoda i svrha
• Unsubscribe link mora biti vidljiv: one-click odjava u svakom e-mailu
• Odjave obrađuj brzo: idealno unutar 24 sata

5) Priprema za data breach: 72 sata nije puno

• Obavijesti nadzorno tijelo unutar 72 sata
• Obavijesti pogođene korisnike ako postoji visok rizik za njihova prava
• Dokumentiraj sve radi accountabilityja
• Ažuriraj politike i mjere kako bi spriječio ponavljanje

WordPress-specifične točke (jer većina nas živi u tom ekosustavu)

WordPress ti može olakšati dio GDPR obveza, ali istovremeno pluginovi često dodaju skripte, third-party pozive i vlastito prikupljanje podataka. Zato je bitno redovito auditirati što se stvarno događa na frontendu i u adminu.

• Drži WordPress core, teme i pluginove ažurnima
• Koristi GDPR-compliant contact form pluginove (s consent checkboxom)
• Instaliraj pravo cookie consent rješenje (koje stvarno blokira skripte do privole)
• Koristi GDPR-compliant analytics rješenje
• Provjeri prakse prikupljanja podataka u pluginovima (što šalju, gdje šalju, kada učitavaju)
• Implementiraj export i deletion funkcionalnosti za korisničke podatke

Kazne i mjere: što se može dogoditi osim novčane kazne

GDPR predviđa dvije razine novčanih kazni:

• Niža razina prekršaja: do €10 milijuna ili 2% globalnog godišnjeg prometa
• Viša razina prekršaja: do €20 milijuna ili 4% globalnog godišnjeg prometa

Osim financijskih kazni, nadležna tijela mogu izdati upozorenja, privremeno ili trajno zabraniti obradu, naložiti brisanje podataka ili ograničiti prijenose podataka.

FAQ: najčešća pitanja (bez pravnog uljepšavanja)

Što je GDPR compliance checklist?

GDPR compliance checklist je popis radnji koje trebaš provesti kako bi bio usklađen s GDPR-om. Pomaže ti identificirati rupe i unaprijediti prakse zaštite podataka.

Tko je odgovoran za GDPR usklađenost?

Primarno je odgovoran data controller (tipično vlasnik weba/tvrtke). Data processor također ima obveze usklađenosti.

Odnosi li se GDPR na američke (US) tvrtke?

Da — ako obrađuješ osobne podatke rezidenata EU, bez obzira gdje ti je tvrtka registrirana.

Koja je maksimalna kazna za neusklađenost?

Do €20 milijuna ili 4% globalnog godišnjeg prometa, ovisno o tome što je veće.

Treba li mi cookie banner?

Da, ako web koristi bilo kakve non-essential cookies i ima posjetitelje iz EU.

Treba li mi DPO (Data Protection Officer)?

Samo ako: (1) javno si tijelo, (2) osnovne aktivnosti zahtijevaju sustavno praćenje pojedinaca u velikom opsegu, ili (3) obrađuješ osjetljive podatke u velikom opsegu.