{"id":156,"date":"2026-01-20T00:00:00","date_gmt":"2026-01-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/hr\/gdpr-compliance-checklist-za-vlasnike-web-stranica\/"},"modified":"2026-01-20T00:00:00","modified_gmt":"2026-01-19T23:00:00","slug":"gdpr-compliance-checklist-za-vlasnike-web-stranica","status":"publish","type":"post","link":"https:\/\/helloblog.io\/hr\/gdpr-compliance-checklist-za-vlasnike-web-stranica\/","title":{"rendered":"GDPR compliance checklist za vlasnike web stranica (2026): prakti\u010dni vodi\u010d s \u010dlancima GDPR-a"},"content":{"rendered":"\n

GDPR (Op\u0107a uredba o za\u0161titi podataka) i dalje je jedan od najstro\u017eih i najkonkretnijih okvira privatnosti na svijetu. Za vlasnike web stranica to naj\u010de\u0161\u0107e zna\u010di da mora\u0161 znati koje<\/em> osobne podatke prikuplja\u0161, za\u0161to<\/em> ih prikuplja\u0161, gdje<\/em> ih \u010duva\u0161, s kim<\/em> ih dijeli\u0161 i koliko dugo<\/em> ih zadr\u017eava\u0161 \u2014 te to mo\u0107i dokazati.<\/p>\n\n\n\n

U praksi je GDPR compliance kombinacija procesa (politike, ugovori, procedure), tehnike (sigurnost, logovi, kontrola pristupa) i UX-a (cookie banner, privole, jednostavni zahtjevi za prava korisnika). Kazne za neuskla\u0111enost mogu dosegnuti do \u20ac20 milijuna ili 4% globalnog godi\u0161njeg prometa<\/strong>, ovisno o tome \u0161to je ve\u0107e.<\/p>\n\n\n\n

\u0160to je GDPR i na koga se odnosi?<\/h2>\n\n\n\n

GDPR (General Data Protection Regulation) je EU regulativa koja se primjenjuje od 25. svibnja 2018.<\/strong> i definira pravila za prikupljanje, kori\u0161tenje, pohranu i dijeljenje osobnih podataka. Ne odnosi se samo na tvrtke unutar EU: ako obra\u0111uje\u0161 osobne podatke rezidenata EU<\/strong>, GDPR se primjenjuje i na organizacije izvan Unije.<\/p>\n\n\n\n

Razumijevanje uloga: tko si ti u GDPR pri\u010di?<\/h2>\n\n\n\n

Prije checklista, klju\u010dno je odrediti ulogu jer obveze nisu iste u svim scenarijima.<\/p>\n\n\n\n

    \n\n
  • Data Controller (voditelj obrade)<\/strong>: organizacija koja odre\u0111uje za\u0161to<\/em> i kako<\/em> se osobni podaci obra\u0111uju. Primarna odgovornost za GDPR compliance je ovdje.<\/li>\n\n\n
  • Data Processor (izvr\u0161itelj obrade)<\/strong>: tre\u0107a strana koja obra\u0111uje osobne podatke u ime voditelja obrade<\/em>. I dalje mora imati odgovaraju\u0107e tehni\u010dke i organizacijske mjere.<\/li>\n\n\n
  • Data Subject (ispitanik)<\/strong>: fizi\u010dka osoba \u010diji se osobni podaci prikupljaju i obra\u0111uju. GDPR primarno \u0161titi njezina prava.<\/li>\n\n<\/ul>\n\n\n\n

    Jedna organizacija mo\u017ee istovremeno biti i voditelj obrade i izvr\u0161itelj obrade, ovisno o kontekstu (npr. SaaS koji za vlastite korisnike djeluje kao controller, a za enterprise klijenta kao processor).<\/p>\n\n\n\n

    7 temeljnih na\u010dela GDPR-a (\u0161to inspektor o\u010dekuje da \u017eivi\u0161 u praksi)<\/h2>\n\n\n\n
      \n\n
    1. Zakonitost, po\u0161tenost i transparentnost<\/strong>: obrada mora biti zakonita i korisnici moraju jasno znati \u0161to se radi s njihovim podacima.<\/li>\n\n\n
    2. Ograni\u010denje svrhe<\/strong>: podatke prikupljaj samo za konkretne i legitimne svrhe.<\/li>\n\n\n
    3. Minimizacija podataka<\/strong>: uzmi samo minimum koji ti je stvarno potreban.<\/li>\n\n\n
    4. To\u010dnost<\/strong>: dr\u017ei podatke a\u017eurnima i ispravnima.<\/li>\n\n\n
    5. Ograni\u010denje pohrane<\/strong>: ne \u010duvaj podatke dulje nego \u0161to treba.<\/li>\n\n\n
    6. Cjelovitost i povjerljivost<\/strong>: za\u0161titi podatke od neovla\u0161tenog pristupa odgovaraju\u0107im sigurnosnim mjerama.<\/li>\n\n\n
    7. Odgovornost (accountability)<\/strong>: mora\u0161 mo\u0107i dokazati uskla\u0111enost, ne samo tvrditi da jesi.<\/li>\n\n<\/ol>\n\n\n\n

      Potpuni GDPR compliance checklist (za web vlasnike): od evidencija do prava korisnika<\/h2>\n\n\n\n

      U nastavku je checklist strukturiran tako da mo\u017ee\u0161 mapirati svaki zahtjev na interne procese i konkretne artefakte (tablice, dokumente, postavke, ugovore). Kod svake to\u010dke navodim i na koga se odnosi (Controller\/Processor) te relevantne \u010dlanke GDPR-a.<\/p>\n\n\n\n

      1) Podaci (Data)<\/h3>\n\n\n\n

      1.1 Ima\u0161 popis svih tipova osobnih podataka koje posjeduje\u0161: izvor, dijeljenje, svrha i rok \u010duvanja<\/h4>\n\n\n\n

      Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Ovo nije \u201cimamo bazu korisnika\u201d, nego stvarni popis tipova\/kolona<\/em> podataka koje dr\u017ei\u0161 (npr. ime, e-mail, adresa, OIB\/identifikator, IP adresa). Za svaki tip dokumentiraj izvor (odakle dolazi), s kim se dijeli, za\u0161to se koristi i koliko dugo se zadr\u017eava.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30<\/strong> \u2013 Records of processing activities<\/p>\n\n\n\n

      1.2 Ima\u0161 popis mjesta gdje se osobni podaci \u010duvaju i kako teku izme\u0111u sustava<\/h4>\n\n\n\n

      Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Ovo je inventar lokacija: baze (npr. MySQL), third-party servisi, logovi, alati za podr\u0161ku, ali i offline pohrana (papir, exporti, backup diskovi). Tako\u0111er opi\u0161i tokove podataka izme\u0111u njih (npr. forma \u2192 CRM \u2192 newsletter alat \u2192 data warehouse).<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30<\/strong> \u2013 Records of processing activities<\/p>\n\n\n\n

      1.3 Privacy Policy ti je javno dostupna i pokriva sve procese vezane uz osobne podatke<\/h4>\n\n\n\n

      Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Privacy Policy treba obuhvatiti sve procese rukovanja osobnim podacima, uklju\u010duju\u0107i koje tipove podataka dr\u017ei\u0161 i gdje ih dr\u017ei\u0161 (ili barem linkove prema tim informacijama). Bitno: dokument mora biti javno dostupan i lako prona\u0111en.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30<\/strong> \u2013 Records of processing activities<\/p>\n\n\n\n

      1.4 Privacy Policy sadr\u017ei zakonitu osnovu (lawful basis) za\u0161to obra\u0111uje\u0161 osobne podatke<\/h4>\n\n\n\n

      Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

      Ako obra\u0111uje\u0161 podatke, mora\u0161 znati i komunicirati na temelju \u010dega<\/em> to radi\u0161 \u2014 primjerice izvr\u0161enje ugovora (fulfillment of a contract). Ovo je klju\u010dna razlika izme\u0111u \u201c\u017eelimo podatke\u201d i \u201csmijemo obra\u0111ivati podatke\u201d.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 6<\/strong> \u2013 Lawfulness of processing<\/p>\n\n\n\n

      2) Odgovornost i upravljanje (Accountability & Management)<\/h3>\n\n\n\n

      2.1 Imenovao si slu\u017ebenika za za\u0161titu podataka (DPO) kada je to obvezno<\/h4>\n\n\n\n

      Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      DPO (Data Protection Officer) nije obvezan svima, nego samo u tri scenarija:<\/p>\n\n\n\n

        \n\n
      1. Obrada se provodi od strane javnog tijela ili javne vlasti, osim sudova kada djeluju u sudbenoj funkciji<\/li>\n\n\n
      2. Osnovne aktivnosti zahtijevaju obradu koja zbog prirode, opsega i\/ili svrhe uklju\u010duje redovito i sustavno pra\u0107enje ispitanika u velikom opsegu<\/li>\n\n\n
      3. Osnovne aktivnosti uklju\u010duju obradu u velikom opsegu posebnih kategorija podataka (osjetljivi podaci) sukladno Article 9<\/strong> te osobnih podataka povezanih s kaznenim osudama i prekr\u0161ajima sukladno Article 10<\/strong><\/li>\n\n<\/ol>\n\n\n\n

        Ako ti je DPO potreban, ta osoba mora razumjeti GDPR smjernice i imati uvid u interne procese koji uklju\u010duju osobne podatke.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 37<\/strong> \u2013 Designation of the data protection officer<\/p>\n\n\n\n

        2.2 Donositelji odluka su upoznati s GDPR smjernicama<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Ljudi koji odlu\u010duju o proizvodu, marketingu, analitici, prodaji i infrastrukturi moraju imati aktualno znanje o pravilima za\u0161tite podataka. To je dio \u201cprivacy by design\u201d kulture, ne jednokratna checklist stavka.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        2.3 Tehni\u010dka sigurnost ti je a\u017eurna<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Ako si SaaS ili radi\u0161 ozbiljniji web, sigurnosne checkliste (hardening, patching, pristupi, backupi) su dobar start. GDPR o\u010dekuje \u201codgovaraju\u0107e mjere\u201d \u2014 a to se u praksi mjeri time koliko si razumno smanjio rizik.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        2.4 Tim je educiran o za\u0161titi podataka (posebno protiv socijalnog in\u017eenjeringa)<\/h4>\n\n\n\n

        Primjenjuje se na: Data Processor<\/em><\/p>\n\n\n\n

        Zna\u010dajan dio ranjivosti dolazi iz \u201cljudskog faktora\u201d: phishing, dijeljenje pristupa, pogre\u0161ni exporti, pogre\u0161no poslan mail. Osobe s pristupom internim sustavima moraju razumjeti rizike i procedure.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        2.5 Ima\u0161 popis sub-processora, a Privacy Policy navodi da ih koristi\u0161<\/h4>\n\n\n\n

        Primjenjuje se na: Data Processor<\/em><\/p>\n\n\n\n

        Ako kao izvr\u0161itelj obrade koristi\u0161 sub-processore (npr. infrastruktura, support, e-mail provider), kupci moraju biti informirani. Pristanak se tipi\u010dno ostvaruje prihva\u0107anjem Privacy Policyja.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 28<\/strong> \u2013 Processor<\/p>\n\n\n\n

        2.6 Ako posluje\u0161 izvan EU, imenovao si predstavnika unutar EU<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Ako ti je poslovanje izvan EU, ali prikuplja\u0161 podatke gra\u0111ana EU, treba\u0161 predstavnika u jednoj od dr\u017eava \u010dlanica. Ta osoba preuzima komunikaciju vezanu uz obradu, uklju\u010duju\u0107i mogu\u0107nost da je lokalno nadzorno tijelo mo\u017ee kontaktirati.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 27<\/strong> \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n

        2.7 Ima\u0161 proceduru prijave povrede osobnih podataka (data breach) nadzornom tijelu i ispitanicima<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Povrede osobnih podataka prijavljuju se nadzornom tijelu unutar 72 sata<\/strong>. U prijavi mora\u0161 navesti koji su podaci izgubljeni, posljedice i koje si protumjere poduzeo. Osim ako je kompromitirani sadr\u017eaj bio \u0161ifriran, u pravilu mora\u0161 obavijestiti i ispitanike \u010diji su podaci procurili.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 33<\/strong> \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34<\/strong> \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n

        2.8 Postoji ugovor s procesorima kojima dijeli\u0161 podatke (DPA \/ ugovorne upute)<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Kada dijeli\u0161 podatke s izvr\u0161iteljem obrade (npr. hosting provider), mora postojati ugovor koji sadr\u017ei eksplicitne upute za pohranu\/obradu. Ugovor treba definirati predmet i trajanje obrade, prirodu i svrhu obrade, tip osobnih podataka, kategorije ispitanika te obveze i prava voditelja obrade.<\/p>\n\n\n\n

        Isti zahtjevi vrijede i kada procesor anga\u017eira sub-processora kako bi isporu\u010dio obradu u ime voditelja obrade.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 28<\/strong> \u2013 Processor; GDPR Article 29<\/strong> \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n

        3) Nova prava korisnika (New Rights)<\/h3>\n\n\n\n

        3.1 Korisnici mogu jednostavno zatra\u017eiti pristup svojim osobnim podacima<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Treba\u0161 jasno definiran proces za access request: tko zaprima zahtjev, kako verificira identitet, kako skuplja podatke iz sustava i u kojem formatu ih isporu\u010duje.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 15<\/strong> \u2013 Right of access by the data subject<\/p>\n\n\n\n

        3.2 Korisnici mogu a\u017eurirati svoje podatke kako bi bili to\u010dni<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Omogu\u0107i mehanizam za ispravak neto\u010dnih podataka \u2014 kroz profil, support proces ili drugi kanal koji je korisniku jednostavan.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 16<\/strong> \u2013 Right to rectification<\/p>\n\n\n\n

        3.3 Automatski bri\u0161e\u0161 podatke koji ti vi\u0161e nisu potrebni<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Retention nije \u201c\u010duvaj sve zauvijek\u201d. Automatiziraj brisanje podataka kad nema poslovne potrebe, npr. za korisnike kojima ugovor nije obnovljen.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 5<\/strong> \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n

        3.4 Korisnici mogu jednostavno zatra\u017eiti brisanje osobnih podataka<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Implementiraj proces za \u201cright to be forgotten\u201d: zaprimanje zahtjeva, validacija, brisanje\/anonimizacija, potvrda korisniku, te evidencija da je zahtjev obra\u0111en.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 17<\/strong> \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n

        3.5 Korisnici mogu zatra\u017eiti da prestane\u0161 obra\u0111ivati njihove podatke<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Ovo je pravo na ograni\u010denje obrade: korisnik mo\u017ee tra\u017eiti da se obrada zaustavi ili ograni\u010di u odre\u0111enim okolnostima.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 18<\/strong> \u2013 Right to restriction of processing<\/p>\n\n\n\n

        3.6 Korisnici mogu zatra\u017eiti prijenos svojih podataka sebi ili tre\u0107oj strani<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Data portability zna\u010di isporuku podataka u strukturiranom, uobi\u010dajenom i strojno \u010ditljivom formatu, tako da korisnik mo\u017ee prenijeti podatke drugom voditelju obrade.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 20<\/strong> \u2013 Right to data portability<\/p>\n\n\n\n

        3.7 Korisnici mogu ulo\u017eiti prigovor na profiling ili automatizirano odlu\u010divanje koje mo\u017ee utjecati na njih<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Ovo je relevantno samo ako radi\u0161 profiling ili automatizirano odlu\u010divanje. Ako utje\u010de na korisnika (pravni u\u010dinci ili zna\u010dajan utjecaj), mora\u0161 imati mehanizam za prigovor i odgovaraju\u0107a obja\u0161njenja.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 22<\/strong> \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n

        4) Privola (Consent)<\/h3>\n\n\n\n

        4.1 Ako se oslanja\u0161 na privolu, ona mora biti dobrovoljna, specifi\u010dna, informirana i opoziva<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Ako na webu prikuplja\u0161 osobne podatke na temelju privole, korisniku mora\u0161 jasno pokazati link na Privacy Policy i dobiti potvrdu prihva\u0107anja uvjeta. Privola mora biti affirmative action<\/strong> \u2014 unaprijed ozna\u010dene ku\u0107ice (pre-ticked) nisu dopu\u0161tene.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        4.2 Privacy Policy mora biti jasna i razumljiva<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Tekst treba biti jednostavan i ne smije skrivati namjeru. Ako je nejasan, mo\u017ee se dogoditi da je privola pravno nevaljana. Ako pru\u017ea\u0161 usluge djeci, dokument mora biti dovoljno jednostavan da ga i dijete mo\u017ee razumjeti.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7.2<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        4.3 Povla\u010denje privole mora biti jednako jednostavno kao i davanje privole<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Ne smije\u0161 korisnika \u201czakopati\u201d u postavke ili tjerati na support ticket ako je privolu dao jednim klikom. Princip je simetrija: jednaka lako\u0107a davanja i povla\u010denja.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7.3<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        4.4 Ako obra\u0111uje\u0161 dje\u010dje podatke, provjeri dob i tra\u017ei privolu zakonskog skrbnika<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Za djecu mla\u0111u od 16 godina treba\u0161 osigurati da privolu daje zakonski skrbnik. Ako se privola daje putem weba, treba\u0161 poku\u0161ati osigurati da je odobrenje zaista dao skrbnik (a ne dijete).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 8<\/strong> \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n

        4.5 Kod izmjena Privacy Policyja obavje\u0161tava\u0161 postoje\u0107e korisnike<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Primjerice, slanjem e-maila o nadolaze\u0107im promjenama. Obavijest treba jednostavno objasniti \u0161to se promijenilo.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        5) Pra\u0107enje i revizija (Follow-up)<\/h3>\n\n\n\n

        5.1 Redovito pregledava\u0161 politike: promjene, u\u010dinkovitost, promjene u obradi i promjene u zemljama u koje podaci odlaze<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        GDPR compliance nije set-and-forget. Treba\u0161 redovito provjeravati best practice, promjene u internim procesima i okolnostima dr\u017eava prema kojima idu transferi podataka.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        6) Posebni slu\u010dajevi (Special Cases)<\/h3>\n\n\n\n

        6.1 Zna\u0161 kada mora\u0161 provesti DPIA za visokorizi\u010dnu obradu osjetljivih podataka<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller<\/em><\/p>\n\n\n\n

        Ovo se odnosi na organizacije koje rade obradu velikog opsega, profiling i druge aktivnosti koje nose visok rizik za prava i slobode ljudi. Tada je potreban DPIA (Data Protection Impact Assessment).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 35<\/strong> \u2013 Data protection impact assessment<\/p>\n\n\n\n

        6.2 Podatke izvan EU \u0161alje\u0161 samo u zemlje s adekvatnom razinom za\u0161tite (ili koristi\u0161 SCC\/BCR) i to navodi\u0161 u Privacy Policyju<\/h4>\n\n\n\n

        Primjenjuje se na: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Prekograni\u010dne prijenose treba otkriti u Privacy Policyju. Ako \u0161alje\u0161 u zemlje koje nemaju adekvatnu razinu za\u0161tite, koristi Standard Contractual Clauses (SCCs) ili Binding Corporate Rules (BCRs).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 45<\/strong> \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n

        Prava ispitanika (Data Subject Rights): \u0161to mora\u0161 omogu\u0107iti i kako to komunicirati<\/h2>\n\n\n\n

        Osim \u201cinternih\u201d obveza (ugovori, evidencije), GDPR definira prava koja ispitanici imaju. Ovo su to\u010dke koje direktno utje\u010du na sadr\u017eaj Privacy Policyja i na operativne procese podr\u0161ke.<\/p>\n\n\n\n

        Pravo na transparentne informacije<\/h3>\n\n\n\n

        Voditelj obrade mora poduzeti odgovaraju\u0107e mjere da pru\u017ei informacije o obradi sa\u017eeto, transparentno, razumljivo i lako dostupno, jasnim i jednostavnim jezikom \u2014 posebno kada su informacije namijenjene djetetu. Informacije se daju pisano ili drugim sredstvima, uklju\u010duju\u0107i elektroni\u010dka sredstva gdje je primjenjivo.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 12<\/strong><\/p>\n\n\n\n

        Pravo na specifi\u010dne informacije kada se podaci prikupljaju izravno<\/h3>\n\n\n\n

        Ove informacije uklju\u010duju:<\/p>\n\n\n\n

          \n\n
        1. Identitet i kontakt podatke voditelja obrade<\/li>\n\n\n
        2. Kontakt podatke DPO-a (ako je primjenjivo)<\/li>\n\n\n
        3. Svrhe obrade i pravnu osnovu<\/li>\n\n\n
        4. Legitimne interese voditelja obrade (ako je primjenjivo)<\/li>\n\n\n
        5. Primatelje ili kategorije primatelja osobnih podataka<\/li>\n\n\n
        6. Informacije o prijenosima u tre\u0107e zemlje<\/li>\n\n<\/ol>\n\n\n\n

          Reference:<\/strong> GDPR Article 13<\/strong><\/p>\n\n\n\n

          Pravo na specifi\u010dne informacije kada se podaci ne prikupljaju izravno<\/h3>\n\n\n\n

          Ako podatke dobiva\u0161 iz drugih izvora (ne od samog ispitanika), mora\u0161 pru\u017eiti sli\u010dne informacije, uklju\u010duju\u0107i kategorije osobnih podataka te izvor podataka.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 14<\/strong><\/p>\n\n\n\n

          Pravo pristupa (Right of access)<\/h3>\n\n\n\n

          Ispitanik ima pravo dobiti potvrdu obra\u0111uju li se njegovi podaci te pristup sljede\u0107em:<\/p>\n\n\n\n

            \n\n
          • Svrhama obrade<\/li>\n\n\n
          • Kategorijama osobnih podataka<\/li>\n\n\n
          • Primateljima kojima su podaci otkriveni ili \u0107e biti otkriveni<\/li>\n\n\n
          • Predvi\u0111enom razdoblju pohrane (retention)<\/li>\n\n\n
          • Postojanju prava na ispravak, brisanje, ograni\u010denje i prigovor<\/li>\n\n\n
          • Pravu na podno\u0161enje pritu\u017ebe nadzornom tijelu<\/li>\n\n\n
          • Informacijama o izvoru podataka (ako nisu prikupljeni od ispitanika)<\/li>\n\n\n
          • Postojanju automatiziranog odlu\u010divanja, uklju\u010duju\u0107i profiling<\/li>\n\n<\/ul>\n\n\n\n

            Reference:<\/strong> GDPR Article 15<\/strong><\/p>\n\n\n\n

            Pravo na ispravak (Right to rectification)<\/h3>\n\n\n\n

            Ispitanik ima pravo bez nepotrebnog odga\u0111anja ispraviti neto\u010dne osobne podatke i dopuniti nepotpune podatke.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 16<\/strong><\/p>\n\n\n\n

            Pravo na brisanje (Right to erasure \/ right to be forgotten)<\/h3>\n\n\n\n

            Ispitanik ima pravo tra\u017eiti brisanje osobnih podataka kada:<\/p>\n\n\n\n

              \n\n
            1. Podaci vi\u0161e nisu potrebni za izvornu svrhu<\/li>\n\n\n
            2. Povu\u010de privolu, a ne postoji druga pravna osnova za obradu<\/li>\n\n\n
            3. Ulo\u017ei prigovor na obradu, a ne postoje ja\u010di legitimni razlozi<\/li>\n\n\n
            4. Podaci su obra\u0111eni nezakonito<\/li>\n\n\n
            5. Brisanje je potrebno radi po\u0161tovanja pravne obveze<\/li>\n\n\n
            6. Podaci su prikupljeni u vezi s uslugama informacijskog dru\u0161tva ponu\u0111enima djetetu<\/li>\n\n<\/ol>\n\n\n\n

              Reference:<\/strong> GDPR Article 17<\/strong><\/p>\n\n\n\n

              Pravo na ograni\u010denje obrade (Right to restriction of processing)<\/h3>\n\n\n\n

              Ispitanik ima pravo ograni\u010diti obradu kada:<\/p>\n\n\n\n

                \n\n
              1. Osporava to\u010dnost podataka (na razdoblje potrebno za provjeru)<\/li>\n\n\n
              2. Obrada je nezakonita, a ispitanik se protivi brisanju<\/li>\n\n\n
              3. Voditelj obrade vi\u0161e ne treba podatke, ali ispitanik ih treba za pravne zahtjeve<\/li>\n\n\n
              4. Ispitanik je ulo\u017eio prigovor na obradu, dok se ne provjeri postojanje legitimnih osnova<\/li>\n\n<\/ol>\n\n\n\n

                Reference:<\/strong> GDPR Article 18<\/strong><\/p>\n\n\n\n

                Pravo na obavijest o ispravku, brisanju ili ograni\u010denju<\/h3>\n\n\n\n

                Voditelj obrade mora priop\u0107iti svaki ispravak, brisanje ili ograni\u010denje obrade svakom primatelju kojem su osobni podaci otkriveni, osim ako je to nemogu\u0107e ili zahtijeva nerazmjeran napor.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 19<\/strong><\/p>\n\n\n\n

                Pravo na prenosivost podataka (Right to data portability)<\/h3>\n\n\n\n

                Ispitanik ima pravo dobiti svoje osobne podatke u strukturiranom, uobi\u010dajenom i strojno \u010ditljivom formatu te ih prenijeti drugom voditelju obrade bez ometanja.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 20<\/strong><\/p>\n\n\n\n

                Pravo na prigovor (Right to object)<\/h3>\n\n\n\n

                Ispitanik ima pravo u bilo kojem trenutku ulo\u017eiti prigovor na obradu temeljenu na legitimnim interesima ili javnom interesu, uklju\u010duju\u0107i profiling, iz razloga povezanih s njegovom posebnom situacijom.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 21<\/strong><\/p>\n\n\n\n

                Pravo da ne bude podvrgnut automatiziranom odlu\u010divanju<\/h3>\n\n\n\n

                Ispitanik ima pravo da ne bude podvrgnut odluci koja se temelji isklju\u010divo na automatiziranoj obradi, uklju\u010duju\u0107i profiling, a koja proizvodi pravne u\u010dinke ili na sli\u010dan na\u010din zna\u010dajno utje\u010de na njega.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 22<\/strong><\/p>\n\n\n\n

                Prakti\u010dni koraci implementacije na webu (\u0161to konkretno napraviti)<\/h2>\n\n\n\n

                1) Zaklju\u010daj web: sigurnost kao temelj privatnosti<\/h3>\n\n\n\n