Jedna od najvećih praktičnih prepreka u usklađivanju s GDPR-om je izrada odgovarajuće dokumentacije. U ovom vodiču donosimo praktične primjere i predloške za najvažnije GDPR obrasce koje svaka organizacija treba - od privola za obradu podataka do obrazaca za ostvarivanje prava ispitanika.
Što je GDPR privola?
Privola (eng. consent) je jedan od šest pravnih temelja za obradu osobnih podataka prema GDPR-u (članak 6. stavak 1. točka a). Predstavlja dobrovoljno, određeno, informirano i nedvosmisleno izražavanje volje ispitanika kojim on daje pristanak za obradu svojih osobnih podataka.
Kada koristiti privolu kao pravni temelj?
Privola je prikladna kada:
- Nudite opcijsku uslugu (npr. newsletter)
- Obrađujete podatke za marketing
- Prikupljate podatke za istraživanja
- Obrađujete posebne kategorije podataka (uz dodatne uvjete)
- Ne postoji drugi prikladniji pravni temelj
Privola nije prikladna kada:
- Postoji neravnoteža moći (npr. radni odnos)
- Obrada je nužna za izvršenje ugovora
- Postoji zakonska obveza obrade
- Ispitanik nema stvarni izbor
Uvjeti za valjanu GDPR privolu
Prema članku 7. GDPR-a, privola mora ispunjavati sljedeće uvjete:
1. Slobodno dana
Ispitanik mora imati stvarni izbor bez negativnih posljedica ako odbije dati privolu:
- Pružanje usluge ne smije biti uvjetovano privolom koja nije nužna za tu uslugu
- Ne smije postojati neravnoteža moći između voditelja obrade i ispitanika
- Mora postojati mogućnost odbijanja bez štete
2. Određena (specifična)
Privola se mora odnositi na konkretnu svrhu:
- Zasebna privola za svaku svrhu obrade
- Jasno navedena svrha
- Ne smije biti općenita ili neodređena
3. Informirana
Ispitanik mora biti upoznat sa svim relevantnim informacijama:
- Identitet voditelja obrade
- Svrha obrade
- Vrste podataka koji se obrađuju
- Primatelji podataka
- Postojanje prava na povlačenje privole
- Informacije o prijenosu u treće zemlje (ako je primjenjivo)
4. Nedvosmislena
Mora postojati jasna afirmativna radnja:
- Aktivno označavanje potvrdnog okvira
- Potpisivanje izjave
- Odabir tehničkih postavki
- Usmena izjava (s dokazom)
Nije dovoljno:
- Unaprijed označena polja
- Šutnja ili neaktivnost
- Nastavak korištenja web stranice
5. Jednostavna za povlačenje
Povlačenje privole mora biti jednako jednostavno kao i njezino davanje:
- Jasne upute za povlačenje
- Pristupačan mehanizam povlačenja
- Bez dodatnih prepreka
Primjer obrasca privole za newsletter
Osnovna privola za newsletter
PRIVOLA ZA PRIMANJE NEWSLETTERA
Ja, niže potpisani/a, dajem privolu da [Naziv tvrtke], OIB: [OIB], sa sjedištem u [Adresa] (dalje: Voditelj obrade), obrađuje moje osobne podatke u sljedeće svrhe:
Podaci koji se obrađuju:
- Ime i prezime
- E-mail adresa
Svrha obrade:
- Slanje promotivnih materijala i informacija o proizvodima/uslugama
- Obavještavanje o novostima i akcijama
- Personalizirane ponude na temelju mojih preferencija
Razdoblje čuvanja: Podaci će se čuvati do povlačenja privole ili najdulje [X] godina od zadnje interakcije.
Primatelji podataka: Vaši podaci mogu biti proslijeđeni:
- Pružateljima usluga elektroničkog marketinga: [Naziv pružatelja]
- Partnerima iz [Naziv grupe] (ako je primjenjivo)
Vaša prava: Imate pravo zatražiti pristup, ispravak, brisanje ili ograničenje obrade vaših podataka, uložiti prigovor na obradu te ostvariti pravo na prenosivost podataka. Za ostvarivanje prava obratite se na: [E-mail za zaštitu podataka].
Imate pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka (AZOP).
Povlačenje privole: Privolu možete povući u bilo kojem trenutku klikom na poveznicu "Odjavi se" u svakom e-mailu ili slanjem zahtjeva na [E-mail]. Povlačenje privole ne utječe na zakonitost obrade temeljene na privoli prije povlačenja.
[ ] Pročitao/la sam i razumijem gornje uvjete te dajem privolu za primanje newslettera.
Ime i prezime: _______________________ E-mail: _______________________ Datum: _______________________ Potpis: _______________________
Primjer privole za posebne kategorije podataka
Posebne kategorije osobnih podataka (osjetljivi podaci) zahtijevaju izričitu privolu prema članku 9. GDPR-a.
Privola za obradu zdravstvenih podataka
IZRIČITA PRIVOLA ZA OBRADU ZDRAVSTVENIH PODATAKA
Ja, niže potpisani/a [Ime i prezime], OIB: [OIB], dajem izričitu privolu za obradu mojih zdravstvenih podataka.
Voditelj obrade: [Naziv zdravstvene ustanove/liječnika] Adresa: [Adresa] Kontakt: [E-mail/Telefon]
Podaci koji se obrađuju:
- Anamneza i povijest bolesti
- Rezultati dijagnostičkih pretraga
- Dijagnoze i terapije
- [Specificirajte prema potrebi]
Svrha obrade:
- Pružanje zdravstvene zaštite i liječenje
- Praćenje zdravstvenog stanja
- [Druge specifične svrhe]
Pravni temelj: Izričita privola ispitanika sukladno članku 9. stavku 2. točki (a) GDPR-a.
Razdoblje čuvanja: Sukladno Zakonu o zdravstvenoj zaštiti i propisima o vođenju medicinske dokumentacije, podaci se čuvaju [X] godina.
Primatelji podataka:
- Drugi zdravstveni djelatnici uključeni u liječenje
- HZZO (za potrebe obračuna)
- [Navesti ostale primatelje]
Napomena: Imate pravo u bilo kojem trenutku povući privolu. Povlačenje privole ne utječe na zakonitost obrade prije povlačenja. Također imate pravo pristupa, ispravka i brisanja podataka te pravo na podnošenje pritužbe AZOP-u.
[ ] Razumijem da dajem izričitu privolu za obradu osjetljivih osobnih podataka i da imam pravo tu privolu povući u bilo kojem trenutku.
Mjesto i datum: _______________________ Potpis ispitanika: _______________________
Obrazac za ostvarivanje prava ispitanika
Zahtjev za pristup osobnim podacima (članak 15.)
ZAHTJEV ZA PRISTUP OSOBNIM PODACIMA (sukladno članku 15. Opće uredbe o zaštiti podataka - GDPR)
Podnositelj zahtjeva: Ime i prezime: _______________________ Adresa: _______________________ E-mail: _______________________ Telefon: _______________________ OIB (opcionalno, za identifikaciju): _______________________
Voditelj obrade: [Naziv tvrtke] Adresa: [Adresa] E-mail za zahtjeve: [E-mail]
1. POTVRDA OBRADE
Molim vas da mi potvrdite obrađujete li moje osobne podatke.
[ ] DA, obrađujemo vaše osobne podatke [ ] NE, ne obrađujemo vaše osobne podatke
2. PRISTUP PODACIMA
Ako obrađujete moje osobne podatke, molim vas da mi dostavite:
[ ] Kopiju svih mojih osobnih podataka koje obrađujete [ ] Informacije o svrhama obrade [ ] Informacije o kategorijama osobnih podataka [ ] Informacije o primateljima kojima su podaci otkriveni [ ] Informacije o predviđenom razdoblju pohrane [ ] Informacije o mom pravu na ispravak, brisanje ili ograničenje obrade [ ] Informacije o pravu na podnošenje pritužbe nadzornom tijelu [ ] Informacije o izvoru podataka (ako nisu prikupljeni od mene) [ ] Informacije o postojanju automatiziranog donošenja odluka
3. FORMAT DOSTAVE
Molim da mi podatke dostavite u sljedećem formatu: [ ] Elektronički (PDF na e-mail) [ ] Elektronički (strukturirani format - CSV, XML) [ ] Tiskani primjerak poštom
IZJAVA: Izjavljujem da su svi podaci navedeni u ovom zahtjevu točni i da zahtjev podnosim u svoje ime kao ispitanik čiji se podaci obrađuju.
Mjesto i datum: _______________________ Potpis: _______________________
Zahtjev za brisanje podataka (članak 17.)
ZAHTJEV ZA BRISANJE OSOBNIH PODATAKA ("Pravo na zaborav" - članak 17. GDPR-a)
Podnositelj zahtjeva: Ime i prezime: _______________________ E-mail: _______________________ OIB: _______________________
Voditelj obrade: [Naziv tvrtke]
RAZLOG ZAHTJEVA (označite primjenjivo):
[ ] Osobni podaci više nisu potrebni u odnosu na svrhe za koje su prikupljeni [ ] Povlačim privolu na kojoj se obrada temeljila i nema druge pravne osnove za obradu [ ] Podnosim prigovor na obradu i nema prevladavajućih legitimnih razloga za obradu [ ] Osobni podaci nezakonito su obrađeni [ ] Osobni podaci moraju se brisati radi poštovanja pravne obveze [ ] Osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva djetetu
PODACI KOJE ŽELIM OBRISATI: [ ] Sve moje osobne podatke [ ] Samo sljedeće podatke: _______________________
NAPOMENA: Svjestan/na sam da voditelj obrade može odbiti zahtjev za brisanje ako postoje zakonski razlozi za zadržavanje podataka (npr. zakonske obveze čuvanja, pravni zahtjevi).
Mjesto i datum: _______________________ Potpis: _______________________
Zahtjev za ispravak podataka (članak 16.)
ZAHTJEV ZA ISPRAVAK OSOBNIH PODATAKA (članak 16. GDPR-a)
Podnositelj zahtjeva: Ime i prezime: _______________________ E-mail: _______________________
Voditelj obrade: [Naziv tvrtke]
PODACI KOJE TREBA ISPRAVITI:
| Netočan podatak | Točan podatak |
|---|---|
| _________________ | _________________ |
| _________________ | _________________ |
| _________________ | _________________ |
DOKAZ TOČNOSTI (ako je primjenjivo): [ ] U prilogu dostavljam dokument koji potvrđuje točnost podataka [ ] Dokument: _______________________
Mjesto i datum: _______________________ Potpis: _______________________
Obrazac evidencije aktivnosti obrade
Prema članku 30. GDPR-a, voditelji obrade moraju voditi evidenciju aktivnosti obrade.
Predložak evidencije (članak 30.)
| Polje | Opis |
|---|---|
| Naziv aktivnosti obrade | [npr. Obrada podataka zaposlenika] |
| Voditelj obrade | Naziv, adresa, kontakt |
| Kontakt službenika za zaštitu podataka | Ime, e-mail, telefon |
| Svrha obrade | [npr. Izvršenje ugovora o radu] |
| Pravni temelj | [npr. Članak 6.1.b - ugovor] |
| Kategorije ispitanika | [npr. Zaposlenici, kandidati] |
| Kategorije osobnih podataka | [npr. Ime, adresa, OIB, podaci o plaći] |
| Primatelji podataka | [npr. Porezna uprava, HZMO, banke] |
| Prijenosi u treće zemlje | [Da/Ne, mehanizam] |
| Rokovi brisanja | [npr. 6 godina nakon prestanka radnog odnosa] |
| Tehničke i organizacijske mjere | [npr. Enkripcija, kontrola pristupa] |
Politika privatnosti - ključni elementi
Svaka web stranica koja prikuplja osobne podatke mora imati Izjavu o privatnosti. Evo ključnih elemenata:
Obavezni sadržaj izjave o privatnosti
1. Identitet voditelja obrade
- Naziv tvrtke
- Adresa sjedišta
- OIB
- Kontakt podaci
- Kontakt službenika za zaštitu podataka (ako postoji)
2. Vrste podataka koji se prikupljaju
- Podaci koje korisnik izravno daje
- Podaci koji se automatski prikupljaju (kolačići, IP adresa)
- Podaci iz drugih izvora
3. Svrhe obrade
- Jasno navedene svrhe za svaku kategoriju podataka
- Pravni temelj za svaku svrhu
4. Primatelji podataka
- Kategorije primatelja
- Treći pružatelji usluga
- Prijenos unutar grupe
5. Međunarodni prijenosi
- Zemlje izvan EU/EEA u koje se podaci prenose
- Zaštitne mjere (SCCs, BCRs, odluke o primjerenosti)
6. Razdoblje čuvanja
- Konkretni rokovi ili kriteriji za određivanje rokova
7. Prava ispitanika
- Pravo na pristup
- Pravo na ispravak
- Pravo na brisanje
- Pravo na ograničenje obrade
- Pravo na prenosivost
- Pravo na prigovor
- Pravo na podnošenje pritužbe AZOP-u
8. Kolačići
- Vrste kolačića
- Svrhe
- Trajanje
- Način upravljanja
9. Automatsko donošenje odluka
- Postojanje automatiziranog donošenja odluka
- Logika obrade
- Značaj i posljedice
10. Izmjene politike
- Kako se korisnici obavještavaju o promjenama
- Datum zadnje izmjene
Ugovor o obradi podataka (DPA)
Kada angažirate izvršitelja obrade (npr. cloud provider, marketing agenciju), potreban je ugovor sukladno članku 28. GDPR-a.
Obvezni elementi ugovora o obradi
Ugovor mora sadržavati:
- Predmet i trajanje obrade
- Priroda i svrha obrade
- Vrste osobnih podataka
- Kategorije ispitanika
- Obveze i prava voditelja obrade
Izvršitelj obrade se obvezuje:
- Obrađivati podatke samo prema dokumentiranim uputama voditelja
- Osigurati da osobe ovlaštene za obradu poštuju povjerljivost
- Poduzeti sve potrebne sigurnosne mjere
- Angažirati podizvršitelje samo uz prethodno odobrenje
- Pomagati voditelju u ispunjavanju prava ispitanika
- Pomagati u provođenju DPIA i savjetovanju s nadzornim tijelom
- Izbrisati ili vratiti podatke nakon završetka usluge
- Omogućiti i doprinijeti revizijama
Česta pitanja o GDPR obrascima
Mogu li koristiti elektroničku privolu?
Da, elektronička privola je valjana ako ispunjava sve uvjete iz članka 7. GDPR-a. Važno je:
- Dokumentirati kada i kako je privola dana
- Osigurati mogućnost jednostavnog povlačenja
- Čuvati zapise kao dokaz
Koliko dugo čuvati privole?
Privole treba čuvati tijekom cijelog razdoblja obrade i još određeno vrijeme nakon toga (preporuka: najmanje onoliko koliko traju mogući zahtjevi ili inspekcije, tipično 5-10 godina).
Što ako ispitanik povuče privolu?
Morate:
- Prestati s obradom temeljenoj na toj privoli
- Obavijestiti ispitanika da je povlačenje uspješno
- Dokumentirati povlačenje
- Razmotriti postoji li drugi pravni temelj za nastavak obrade
Treba li zasebna privola za svaku svrhu?
Da, ako imate više neovisnih svrha obrade, potrebna je zasebna privola za svaku. Na primjer, zasebno za newsletter i zasebno za dijeljenje s partnerima.
Kako dokazati da je privola valjana?
Vodite evidenciju koja uključuje:
- Tekst privole koji je ispitanik vidio
- Datum i vrijeme davanja privole
- Metodu davanja privole (npr. označavanje polja)
- IP adresu ili drugi identifikator (za online privole)
- Verziju obrasca privole
Zaključak
Pravilno izrađeni GDPR obrasci nisu samo pravna formalnost - oni su temelj transparentnog odnosa s korisnicima i dokaz vaše usklađenosti u slučaju inspekcije. Koristite ove predloške kao polazišnu točku i prilagodite ih specifičnim potrebama vaše organizacije.
Ključne preporuke:
- Uvijek budite jasni - izbjegavajte pravni žargon
- Budite specifični - navedite konkretne svrhe i primatelje
- Dokumentirajte sve - čuvajte zapise o privolama
- Ažurirajte redovito - prilagođavajte obrasce promjenama u poslovanju
- Testirajte proces - provjerite funkcionira li povlačenje privole
Trebate pomoć s GDPR dokumentacijom?
Vision Compliance nudi izradu GDPR dokumentacije prilagođene vašem poslovanju:
- Izrada politike privatnosti - za web stranice i aplikacije
- Obrasci privola - za sve vrste obrade
- Evidencija aktivnosti obrade - članak 30. GDPR-a
- Ugovori o obradi - za odnose s izvršiteljima
- GDPR revizija - provjera postojeće dokumentacije
Izvori: