Donosimo pregled najčešćih pitanja i odgovora vezano uz implementaciju GDPR-a.

Ukoliko imate dodatnih pitanja - javite se

Od kada se primjenjuje GDPR u RH?

GDPR se od 25. svibnja 2018. primjenjuje u punom opsegu na sve tvrtke, udruge, ustanove, stranke, obrte, knjigovodstva, mikro poduzetnike, itd.

Koje su kazne za nepoštivanje odredbi GDPR-a?

Novčana kazna do 4% ukupnog godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura, ovisno koji je iznos veći.

Reputacijski imidž loše tvrtke koja ne čuva osobne podatke korisnika.

Na koga se sve odnosi GDPR?

GDPR se odnosi na sve tvrtke koje posluju na teritoriju EU, ali i na tvrtke koje raspolažu podacima europskih građana, neovisno o njihovoj lokaciji. Ukoliko imate zaposlenika, klijente, goste, vanjsko knjigovodstvo, web stranicu, web shop itd. GDPR se odnosi i na vas.

Da li je poslovna e-mail adresa osobni podatak?

Da, poslovna e-mail adresa je osobni podatak, jer se lako može identificirati stvarna osoba (npr. pero.prezid@company.com). Ovdje imamo ime, prezime i tvrtku u kojoj radi određena osoba.

Moram li na web stranici imati objavljenu politiku privatnosti?

Da, ukoliko se bavite obradom osobnih podataka ili ukoliko vas osobe kontaktiraju ili ostavljaju svoje osobne podatke u procesu registracije, kupnje u web shopu itd.

Kako dokazujem usklađenost?

Prvi korak je imati interne akte koji osiguravaju provedbu Uredbe, te će vas kontrolno tijelo svakako tražiti na uvid te akte. Uz interne akte koji osiguravaju provedbu, nužno je smanjiti količinu osobnih podataka koje nepotrebno imate ili obrađujete, te se uskladiti s svim odredbama Uredbe. 


Usklađenost postižete redovitom edukacijom svojih djelatnika, podizanjem svijesti o potrebi zaštite osobnih podataka te usvajanjem svih potrebnih poslovnih procesa uz odgovarajuću tehničku zaštitu.

Koji su uvjeti za uvođenje video nadzora?

Zakon o provedbi Opće uredbe o zaštiti podataka u svom članku 25. određuje da se video nadzor u smislu Zakona odnosi na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini sustav pohrane. Svrha korištenja video nadzora mora biti nužna i opravdana za zaštitu osoba i imovine prilikom čega treba paziti da ne prevladaju interesi ispitanika koji su u suprotnosti s obradom podataka putem video nadzora. Video nadzorom mogu biti obuhvaćene samo prostorije i vanjske površine nužne radi postizanja utvrđene svrhe. Sustav video nadzora se smije koristiti samo u mjeri da se zadovolji svrha. Svako korištenje izvan utvrđene svrhe je protuzakonito. 

Sukladno članku 28. Zakona pravo pristupa osobnim podacima prikupljenim putem video nadzora ima odgovorna osoba Voditelja/Izvršitelja obrade.


Da li je dopušten video i foto nadzor radnih prostorija?

Posebnu pažnju treba obratiti na video nadzor radnih prostorija jer uz uvjete utvrđene Zakonom o provedbi Opće uredbe o zaštiti podataka moraju biti ispunjeni i uvjeti utvrđeni propisima kojima se regulira zaštita na radu. Naravno tu su i obveze poslodavca o prethodnom obavještavanju radnika o uvođenju video nadzora kao i zabrani snimanja određenih prostora za odmor, osobnu higijenu i presvlačenja.


Da li je registarska oznaka automobila osobni podatak?

Temeljem registarskih oznaka automobila može se na neizravan način doći i do vlasnika vozila - fizičke osobe. Stoga se podaci o vozilu, odnosno registarske oznake i broj šasije vozila, koji se nalaze u službenim evidencijama MUP-a, smatraju osobnim podatkom ukoliko se radi o automobilu u vlasništvu fizičke osobe. Evidentiranjem registarskih oznaka na ulazu u npr. parkirališni prostor te moguća kasnija obrada tih podataka predstavlja obradu osobnih podataka i podležna je odredbama o zaštiti osobnih podataka.


Obzirom na to da Zakon o sigurnosti prometa na cestama propisuje davanje predmetnih podataka na korištenje samo izrijekom navedenim osobama, MUP kao nadležno tijelo i voditelj zbirke osobnih podataka iste podatke smije dati na daljnje korištenje samo ovlaštenicima i u slučajevima predviđenim zakonom.

Što se sve smatra osobnim podatkom?

Svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi odnosno identificirati, izravno ili neizravno uz pomoć identifikatora kao što su ime i prezime, fotografije, e-mail, bankovni podatci, objava na društvenim mrežama, zdravstveni podatci, računalne IP adrese itd..

Da li sam ja voditelj ili izvršitelj obrade?

Voditelj obrade podataka je subjekt/firma koja određuje svrhu, uvjete i način obrade osobnih podataka (dakle poduzeće koje prikuplja osobne podatke), dok je izvršitelj subjekt koji obrađuje osobne podatke u ime voditelja (npr. knjigovodstveni ured vašeg poduzeća).

Što je obrada osobnih podataka?

Obrada osobnih podataka je svaki postupak koji se obavlja na osobnim podacima, kao što su: bilježenje, organizacija, pohrana, uporaba, pronalaženje, brisanje ili uništavanje.

Zbirke osobnih podataka?

Više nemate potrebu voditi zbirke osobnih podataka koje ste prijavljivali u središnji registar AZOP-a. GDPR nigdje na navodi da ih je potrebno i dalje dostavljati AZOP-u nakon 25.05.2018.g.

Koliko traje uvođenje GDPR-a?

Uvođenje traje u prosjeku 3-6 mjeseci ovisno o opsegu obrade osobnih podataka i veličini poslovnog subjekta. 

Usklađivanje s GDPR-om pretpostavlja i kontinuiranu daljnju zaštitu osobnih podataka nakon uvođenja, te je potrebno jednom godišnje izvršiti provjeru sustava usklađenosti. 

Isključuje li Uredba primjenu nacionalnog zakonodavstva?

Ne, uz primjenu Uredbe obavezni ste na primjenu i nacionalnih propisa koji reguliraju zaštitu osobnih podataka. Ovisno o vašoj djelatnosti, morate primjenjivati i: Zakon o provedbi Opće uredbe o zaštiti podataka, Zakon o zaštiti na radu, Zakon o elektroničkim komunikacijama, Zakon o sprječavanju pranja novca i financiranja terorizma, itd.

Koje su obveze kod video nadzora?

Prema članku 27. Zakona o provedbi Opće uredbe o zaštiti podataka obveza je voditelja i Izvršitelja obrade označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina pod video nadzorom. Oznaka treba biti vidljiva prilikom ulaska u perimetar snimanja te sadržavati sve informacije iz članka 13. Opće uredbe o zaštiti osobnih podataka, a posebno jednostavnu i lako razumljivu sliku uz tekst da je objekt pod videonadzorom, podatke o voditelju obrade i kontakt podatke.

Voditelj i Izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama video nadzora kao i oznaku osoba koje su izvršile pristup podacima prikupljenima putem video nadzora.

Rok u kojem se snimke mogu čuvati je najviše 6 mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili su dokaz u sudskom ili drugom postupku prema članku 29. Zakona. 

Koji su pravni temelji kod obrade osobnih podatka?

1. privola ispitanika za obradu svojih osobnih podataka u jednu ili  više posebnih svrha

2. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora

3. obrada je nužna radi poštovanja pravnih obveza voditelja obrade

4. obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe 

5. obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade

6. obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka

​GDPR je donio velik broj nedoumica u poslovanju.

Od sada imate odgovornost državnim agencijama dokazati da provodite u potpunosti sve mjere za zaštitu osobnih podataka. Kazne su do 4% ukupnog godišnjeg prometa ili do 20 milijuna eura, koja vrijednost bude viša.


Osim novčanih kazni tu je i reputacijski problem: 

tko želi poslovati s firmom koja ne štiti vaše osobne podatke?


Ne gubite vrijeme, djelujte sada.