GDPR (General Data Protection Regulation) je ena najstro\u017ejih in najbolj celovitih ureditev zasebnosti na svetu. \u010ce tvoja spletna stran ali storitev obdeluje osebne podatke prebivalcev EU, skladnost ni opcijska \u2013 velja tako za mala spletna mesta kot za globalna podjetja, tudi \u010de posluje\u0161 izven EU.<\/p>\n\n\n\n
Kazni niso zanemarljive: pri huj\u0161ih kr\u0161itvah so globe lahko do 20 milijonov \u20ac ali 4 % globalnega letnega prometa<\/strong> (kar je vi\u0161je). Pri manj hudih kr\u0161itvah je prag ni\u017eji, a \u0161e vedno bole\u010d. Poleg glob lahko nadzorni organi izre\u010dejo opozorila, omejijo obdelavo ali celo odredijo brisanje podatkov.<\/p>\n\n\n\n Spodaj je checklist, zasnovan tako, da ga lahko uporabi\u0161 kot delovni seznam za spletno stran ali SaaS. Namen je enostaven: vedeti mora\u0161, katere osebne podatke obdeluje\u0161, zakaj, kje, kako dolgo<\/strong> in kako uporabnikom omogo\u010di\u0161 pravice, ki jim pripadajo.<\/p>\n\n\n\n Ta checklist je splo\u0161en vodnik in ni pravni nasvet. Za specifi\u010dne primere (npr. obse\u017eno profiliranje, obdelava posebnih vrst podatkov, mednarodni prenosi) se posvetuj s pravnikom ali poobla\u0161\u010deno osebo za varstvo podatkov.<\/p>\n\n<\/div>\n\n\n\n GDPR je uredba EU, ki velja od 25. maja 2018<\/strong> in dolo\u010da pravila za zbiranje, uporabo, hrambo in deljenje osebnih podatkov. Klju\u010dno: ne velja samo za podjetja v EU, ampak tudi za organizacije izven EU, \u010de obdelujejo osebne podatke prebivalcev EU.<\/p>\n\n\n\n V praksi je veliko zmede glede tega, kdo je za kaj odgovoren. GDPR lo\u010di vloge, ki se lahko tudi prekrivajo:<\/p>\n\n\n\n Tipi\u010den scenarij za lastnika spletne strani: ti si pogosto upravljavec<\/strong>, tvoj hosting ali e-mail platforma pa sta obdelovalca<\/strong>. Pri nekaterih storitvah lahko nastopa\u0161 v obeh vlogah, odvisno od tega, kdo dolo\u010da namen obdelave.<\/p>\n\n\n\n Preden gre\u0161 na checklist, je koristno, da ima\u0161 v glavi osnovna na\u010dela. Ta so temelj za tehni\u010dne odlo\u010ditve (npr. kaj logirati, koliko \u010dasa hraniti, katere pi\u0161kotke sploh nalo\u017eiti).<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n To ni \u201cseznam sistemov\u201d, ampak dejanski popis tipov\/atributov (stolpcev) podatkov, ki jih hrani\u0161: npr. ime, naslov, e-po\u0161ta, IP, identifikator naro\u010dila, dav\u010dna \u0161tevilka ipd. Za vsak tip dokumentiraj: vir (od kod pride), prejemnike (s kom deli\u0161), namen in obdobje hrambe.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Sem sodijo baze (npr. MySQL), datoteke, e-mail orodja, CRM-ji, helpdesk, logi, pa tudi offline viri, npr. papirni obrazci. Pomemben je tudi \u201cdata flow\u201d: kje se podatki zajamejo, kam se sinhronizirajo, kdo ima dostop in ali gre kaj izven EU.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Politika zasebnosti naj pokrije vse procese obdelave osebnih podatkov. Vklju\u010di (ali vsaj jasno pove\u017ei) tudi tipe osebnih podatkov, ki jih hrani\u0161, in lokacije\/sisteme, kjer se hranijo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n Za vsako klju\u010dno obdelavo mora\u0161 imeti razlago zakonite podlage, npr. izpolnitev pogodbe (contract performance).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n DPO ni obvezen za vse. Obvezen je le v treh scenarijih:<\/p>\n\n\n\n \u010ce DPO potrebuje\u0161, mora imeti znanje GDPR smernic in dobro razumevanje notranjih procesov, kjer se obdelujejo osebni podatki.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Poskrbi, da klju\u010dni ljudje (vodstvo, product, marketing, dev, support) razumejo zahteve in da se znanje redno osve\u017euje. GDPR ni enkratni projekt, ampak stalna disciplina.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n \u010ce razvija\u0161 SaaS ali upravlja\u0161 bolj kompleksno spletno mesto, so varnostni checklisti dober \u201cbaseline\u201d, da ne izpusti\u0161 klju\u010dnih tehni\u010dnih ukrepov.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Velja za: Data Processor<\/em><\/p>\n\n\n\n Veliko incidentov nastane zaradi \u201c\u010dlove\u0161kega faktorja\u201d \u2013 nekdo nehote odpre napa\u010dno priponko, deli dostop ali klikne phishing. Usposabljanje in osnovne politike dostopov so del obrambe.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Velja za: Data Processor<\/em><\/p>\n\n\n\n \u010ce kot obdelovalec uporablja\u0161 pod-obdelovalce (sub-processors), morajo biti tvoje stranke o tem obve\u0161\u010dene. Sogla\u0161ajo z uporabo s sprejemom politike zasebnosti.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n \u010ce ima\u0161 podjetje izven EU in zbira\u0161 podatke dr\u017eavljanov\/prebivalcev EU, mora\u0161 dolo\u010diti predstavnika v eni od dr\u017eav \u010dlanic. Ta oseba pokriva zadeve v zvezi z obdelavo in je kontaktna to\u010dka tudi za lokalni nadzorni organ.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Kr\u0161itve (data breaches) mora\u0161 prijaviti nadzornemu organu v 72 urah<\/strong>. Poro\u010dilo naj zajema, kateri podatki so bili prizadeti, posledice in katere protiukrepe si izvedel. \u010ce podatki niso bili za\u0161\u010diteni (npr. \u0161ifrirani) in obstaja tveganje za posameznike, mora\u0161 incident sporo\u010diti tudi prizadetim uporabnikom (data subjects).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n Pogodba mora vsebovati eksplicitna navodila za obdelavo\/hranjenje: predmet in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov in kategorije posameznikov ter obveznosti in pravice upravljavca. Tipi\u010den primer je pogodba s ponudnikom hostinga. Enake zahteve veljajo, ko obdelovalec anga\u017eira sub-processor.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Vzpostavi jasen proces za obravnavo zahtev za dostop (access requests). To vklju\u010duje sprejem zahtevka, verifikacijo identitete (kjer je smiselno), izvoz podatkov in evidenco izvedbe.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Zagotovi mehanizem, s katerim uporabnik popravi neto\u010dne podatke (npr. profilna stran, self-service nastavitve ali proces prek podpore).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Namesto ro\u010dnih \u201ccleanup\u201d akcij raje uvedi avtomatizirano brisanje. Primer: \u010de stranka ne podalj\u0161a pogodbe, se podatki po vnaprej definiranem obdobju izbri\u0161ejo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Vzpostavi proces za obravnavo zahtevkov za izbris osebnih podatkov (right to be forgotten), vklju\u010dno z identifikacijo vseh sistemov, kjer se podatki nahajajo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Uporabnik lahko zahteva, da obdelavo omeji\u0161 (npr. za\u010dasno ustavi\u0161 dolo\u010den namen uporabe podatkov). To pomeni, da mora\u0161 imeti proces in v praksi mo\u017enost \u201cfreeze\u201d stanja.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Prenosljivost pomeni, da uporabnik dobi podatke v strukturirani, splo\u0161no uporabljani, strojno berljivi obliki<\/strong> in jih lahko prenese drugemu upravljavcu.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n To je relevantno samo, \u010de izvaja\u0161 profiliranje ali drugo avtomatizirano odlo\u010danje. V takem primeru mora\u0161 omogo\u010diti ugovor in imeti proces za obravnavo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n \u010ce na spletni strani zbira\u0161 osebne podatke, naj bo povezava do politike zasebnosti jasno vidna, uporabnik pa mora aktivno potrditi sprejem (affirmative action). Vnaprej odkljukana polja niso dovoljena.<\/strong><\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n Besedilo naj bo jasno, preprosto in ne sme prikrivati namena. \u010ce je politika zavajajo\u010da ali nerazumljiva, lahko soglasje pade. Pri storitvah za otroke mora biti besedilo dovolj enostavno, da ga razumejo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n \u010ce uporabniku omogo\u010di\u0161 soglasje v enem kliku, ga ne sme\u0161 prisiliti v \u201csupport ticket\u201d ali labirint nastavitev za preklic. Preklic mora biti preprost.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n Za otroke, mlaj\u0161e od 16 let, mora\u0161 zagotoviti soglasje zakonitega skrbnika. \u010ce se soglasje daje prek spletne strani, se poskusi prepri\u010dati, da je odobritev res dal skrbnik (in ne otrok).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n Primer: e-mail obvestilo o spremembah, kjer preprosto razlo\u017ei\u0161, kaj se je spremenilo in kako to vpliva na uporabnika.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n GDPR skladnost ni stati\u010dna. Spreminjajo se procesi, ponudniki, dr\u017eave prenosa, pa tudi najbolj\u0161e prakse. Redni pregledi ti pomagajo, da ne ostane\u0161 pri \u201cstarem\u201d stanju.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Velja za: Data Controller<\/em><\/p>\n\n\n\n DPIA (Data Protection Impact Assessment) je potreben pri obse\u017eni obdelavi, profiliranju in drugih aktivnostih, kjer je visoko tveganje za pravice in svobo\u0161\u010dine posameznikov. Ni za vsako spletno stran, je pa kriti\u010den pri \u201chigh-risk\u201d scenarijih.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n Velja za: Data Controller, Data Processor<\/em><\/p>\n\n\n\n \u010ce podatke prena\u0161a\u0161 \u010dez meje EU, mora\u0161 to razkriti v politiki zasebnosti. Pri prenosih v dr\u017eave brez ustreznosti uporabi Standard Contractual Clauses (SCCs)<\/strong> ali Binding Corporate Rules (BCRs)<\/strong>.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n Spodnje pravice veljajo za vse data subjects<\/strong>. Kot lastnik spletne strani ali storitve mora\u0161 imeti proces, s katerim te zahteve obravnava\u0161 pravo\u010dasno in dosledno.<\/p>\n\n\n\n Upravljavec mora zagotoviti informacije o obdelavi v jedrnati, transparentni, razumljivi in lahko dostopni obliki, v jasnem in preprostem jeziku (\u0161e posebej, \u010de je namenjeno otroku). Informacije so lahko pisne ali elektronske.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 12<\/p>\n\n\n\n Ko podatke zbira\u0161 neposredno od posameznika, mora\u0161 zagotoviti vsaj:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 13<\/p>\n\n\n\n \u010ce podatke dobi\u0161 iz drugih virov (ne neposredno od posameznika), mora\u0161 podati podobne informacije, dodatno pa \u0161e kategorije osebnih podatkov<\/strong> in vir<\/strong>, iz katerega podatki izvirajo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 14<\/p>\n\n\n\n Posameznik ima pravico dobiti potrditev, ali se njegovi podatki obdelujejo, ter dostop do:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 15<\/p>\n\n\n\n Posameznik lahko zahteva popravek neto\u010dnih podatkov brez nepotrebnega odla\u0161anja in dopolnitev nepopolnih podatkov.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 16<\/p>\n\n\n\n Posameznik lahko zahteva izbris osebnih podatkov, kadar velja vsaj eden od pogojev:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 17<\/p>\n\n\n\n Posameznik lahko zahteva omejitev obdelave, kadar:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 18<\/p>\n\n\n\n Upravljavec mora sporo\u010diti vsak popravek, izbris ali omejitev obdelave vsakemu prejemniku, kateremu so bili podatki razkriti, razen \u010de je to nemogo\u010de ali zahteva nesorazmeren napor.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 19<\/p>\n\n\n\n Posameznik ima pravico prejeti svoje podatke v strukturirani, splo\u0161no uporabljani in strojno berljivi obliki ter jih brez ovir prenesti k drugemu upravljavcu.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 20<\/p>\n\n\n\n Posameznik lahko kadarkoli ugovarja obdelavi na podlagi legitimnih interesov ali javnega interesa, vklju\u010dno s profiliranjem, zaradi razlogov, povezanih z njegovim posebnim polo\u017eajem.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 21<\/p>\n\n\n\n Posameznik ima pravico, da ni predmet odlo\u010ditve, ki temelji izklju\u010dno na avtomatizirani obdelavi (vklju\u010dno s profiliranjem) in ima pravne u\u010dinke ali nanj podobno pomembno vpliva.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 22<\/p>\n\n\n\n \u010ce uporablja\u0161 nenujne pi\u0161kotke (npr. marketing\/analytics), potrebuje\u0161 izrecno soglasje pred aktivacijo<\/strong>. Klju\u010d ni v tem, da banner \u201cobstaja\u201d, temve\u010d da tehni\u010dno res blokira nenujne skripte do odlo\u010ditve uporabnika.<\/p>\n\n\n\n Tvoj cookie banner mora:<\/p>\n\n\n\n Scrollanje ali neinterakcija ne pomenita soglasja. Soglasje mora temeljiti na jasnem uporabnikovem dejanju.<\/p>\n\n<\/div>\n\n\n\n Vsak obrazec, ki zajema osebne podatke (kontakt, povpra\u0161evanje, registracija), mora biti GDPR-skladen. Ne gre samo za checkbox, ampak za jasen kontekst: zakaj to zbira\u0161 in kaj se bo zgodilo s podatki.<\/p>\n\n\n\nPravno opozorilo<\/h4>\n\n\n
Kaj je GDPR in koga zadeva?<\/h2>\n\n\n\n
Najprej razjasni vlogo: controller vs. processor<\/h2>\n\n\n\n
\n\n
7 na\u010del GDPR, ki jih mora\u0161 upo\u0161tevati<\/h2>\n\n\n\n
\n\n
Popoln GDPR compliance checklist (z referencami na \u010dlene)<\/h2>\n\n\n\n
A) Podatki (Data)<\/h3>\n\n\n\n
1) Ima\u0161 seznam vseh vrst osebnih podatkov, njihov vir, komu jih posreduje\u0161, zakaj jih obdeluje\u0161 in koliko \u010dasa jih hrani\u0161<\/h4>\n\n\n\n
2) Ima\u0161 seznam lokacij, kjer hrani\u0161 osebne podatke, in kako med njimi te\u010dejo podatki<\/h4>\n\n\n\n
3) Ima\u0161 javno dostopno politiko zasebnosti, ki opisuje vse procese, povezane z osebnimi podatki<\/h4>\n\n\n\n
4) Politika zasebnosti vsebuje zakonito podlago, zakaj sploh obdeluje\u0161 osebne podatke<\/h4>\n\n\n\n
B) Odgovornost in upravljanje (Accountability & Management)<\/h3>\n\n\n\n
5) Imenovana je poobla\u0161\u010dena oseba za varstvo podatkov (DPO)<\/h4>\n\n\n\n
\n\n
6) Odlo\u010devalci imajo aktualno zavedanje in razumevanje GDPR smernic<\/h4>\n\n\n\n
7) Tehni\u010dna varnost je posodobljena<\/h4>\n\n\n\n
8) Zaposleni so usposobljeni za varstvo podatkov<\/h4>\n\n\n\n
9) Ima\u0161 seznam sub-processors in politika zasebnosti omenja njihovo uporabo<\/h4>\n\n\n\n
10) \u010ce posluje\u0161 izven EU, ima\u0161 predstavnika v EU<\/h4>\n\n\n\n
11) Kr\u0161itve varnosti osebnih podatkov prijavlja\u0161 organu in (kadar je potrebno) posameznikom<\/h4>\n\n\n\n
12) Ima\u0161 pogodbo z vsakim obdelovalcem, s katerim deli\u0161 podatke<\/h4>\n\n\n\n
C) Nove pravice in procesi (New Rights)<\/h3>\n\n\n\n
13) Uporabniki lahko enostavno zahtevajo dostop do svojih osebnih podatkov<\/h4>\n\n\n\n
14) Uporabniki lahko enostavno popravijo ali posodobijo svoje podatke<\/h4>\n\n\n\n
15) Podatke, ki jih ne potrebuje\u0161 ve\u010d, avtomatsko bri\u0161e\u0161<\/h4>\n\n\n\n
16) Uporabniki lahko enostavno zahtevajo izbris (pravica do pozabe)<\/h4>\n\n\n\n
17) Uporabniki lahko enostavno zahtevajo omejitev obdelave<\/h4>\n\n\n\n
18) Uporabniki lahko zahtevajo prenosljivost podatkov (k sebi ali tretji osebi)<\/h4>\n\n\n\n
19) Uporabniki lahko ugovarjajo profiliranju ali avtomatiziranemu odlo\u010danju, ki vpliva nanje<\/h4>\n\n\n\n
D) Soglasje (Consent)<\/h3>\n\n\n\n
20) Kadar obdelava temelji na soglasju, mora biti soglasje prostovoljno, specifi\u010dno, informirano in preklicljivo<\/h4>\n\n\n\n
21) Politika zasebnosti je napisana jasno in razumljivo<\/h4>\n\n\n\n
22) Preklic soglasja je enako enostaven kot podaja soglasja<\/h4>\n\n\n\n
23) \u010ce obdeluje\u0161 podatke otrok, preveri starost in pridobi soglasje zakonitega skrbnika<\/h4>\n\n\n\n
24) Ob posodobitvi politike zasebnosti obvesti\u0161 obstoje\u010de stranke<\/h4>\n\n\n\n
E) Redno preverjanje (Follow-up)<\/h3>\n\n\n\n
25) Redno pregleduje\u0161 politike: spremembe, u\u010dinkovitost, spremembe v obdelavi in spremembe v dr\u017eavah, kamor te\u010dejo podatki<\/h4>\n\n\n\n
F) Posebni primeri (Special Cases)<\/h3>\n\n\n\n
26) Razume\u0161, kdaj mora\u0161 izvesti DPIA pri visoko tveganih obdelavah<\/h4>\n\n\n\n
27) Podatke izven EU prena\u0161a\u0161 samo v dr\u017eave z ustrezno ravnjo za\u0161\u010dite (ali uporabi\u0161 SCC\/BCR) in to razkrije\u0161 v politiki zasebnosti<\/h4>\n\n\n\n
Pravice posameznikov (Data Subject Rights) \u2013 kaj mora\u0161 omogo\u010diti<\/h2>\n\n\n\n
Pravica do transparentnih informacij<\/h3>\n\n\n\n
Pravica do specifi\u010dnih informacij, ko se podatki zbirajo neposredno<\/h3>\n\n\n\n
\n\n
Pravica do specifi\u010dnih informacij, ko se podatki ne zbirajo neposredno<\/h3>\n\n\n\n
Pravica do dostopa<\/h3>\n\n\n\n
\n\n
Pravica do popravka<\/h3>\n\n\n\n
Pravica do izbrisa (\u00bbright to be forgotten\u00ab)<\/h3>\n\n\n\n
\n\n
Pravica do omejitve obdelave<\/h3>\n\n\n\n
\n\n
Pravica do obvestila o popravku, izbrisu ali omejitvi<\/h3>\n\n\n\n
Pravica do prenosljivosti podatkov<\/h3>\n\n\n\n
Pravica do ugovora<\/h3>\n\n\n\n
Pravica, da ni predmet avtomatiziranega odlo\u010danja<\/h3>\n\n\n\n
Prakti\u010dni implementacijski koraki (spletna stran v praksi)<\/h2>\n\n\n\n
1) Zavaruj spletno mesto<\/h3>\n\n\n\n
\n\n
2) Dodaj cookie consent banner (in ga naredi pravilno)<\/h3>\n\n\n\n
\n\n
Pomembno<\/h4>\n\n\n
3) Preglej obrazce (forms) na spletni strani<\/h3>\n\n\n\n
\n\n
4) Pridobi soglasje za marketin\u0161ka e-sporo\u010dila<\/h3>\n\n\n\n
\n\n
5) Pripravi se na incidente (data breaches)<\/h3>\n\n\n\n
\n\n