GDPR obrasci i privole: primjeri, predlošci i uvjeti valjanosti
11. rujna 2025.
Ažurirano: 22. veljače 2026.
20 min čitanja
GDPR dokumentacija
Brzi pregled — GDPR obrasci koje trebate
Obrazac / dokument
Svrha
Privola
Pravni temelj za marketing, newsletter, opcijske svrhe (čl. 6(1)(a), 7)
Zahtjev za pristup
Ostvarivanje prava ispitanika (čl. 15), odgovor u 30 dana
Zahtjev za brisanje
"Pravo na zaborav" (čl. 17)
Zahtjev za ispravak
Ispravak netočnih podataka (čl. 16)
Evidencija aktivnosti obrade
Obveza voditelja (čl. 30)
Izjava o privatnosti
Informiranje ispitanika o obradi
Ugovor o obradi
Odnos voditelja i izvršitelja obrade (čl. 28)
Zašto je ovo važno? Valjani obrasci i dokumentacija temelj su transparentnog odnosa s korisnicima i dokaz usklađenosti u slučaju pritužbe ili inspekcije AZOP-a.
Privola je jedan od šest pravnih temelja za obradu osobnih podataka (čl. 6(1)(a) GDPR-a): dobrovoljno, određeno, informirano i nedvosmisleno izražavanje volje ispitanika.
Kada je privola prikladna?
Opcijske usluge (npr. newsletter)
Marketing
Istraživanja
Posebne kategorije podataka (uz izričitu privolu prema čl. 9)
(1) Potvrda: obrađujete li moje osobne podatke? [ ] DA [ ] NE
(2) Ako da: molim kopiju podataka, svrhe obrade, kategorije podataka, primatelje, rok pohrane, prava, pravo na pritužbu, izvor podataka (ako nisu od mene), automatizirano odlučivanje (ako postoji).
(3) Format: [ ] PDF e-mail [ ] CSV/XML [ ] Tiskani poštom.
Izjava: Podatke podnosim točno, u svoje ime kao ispitanik. Datum i potpis: _______________________
Zahtjev za brisanje (čl. 17 — "pravo na zaborav")
Podnositelj / Voditelj: [Kao gore].
Razlog: [ ] Podaci više nisu potrebni [ ] Povlačim privolu [ ] Prigovor, nema legitimnih razloga [ ] Nezakonita obrada [ ] Zakonska obveza brisanja [ ] Podaci djeteta u kontekstu usluga društva.
Što brisati: [ ] Sve [ ] Samo: _______________________
Napomena: Voditelj može odbiti ako postoje zakonski razlozi za zadržavanje. Datum i potpis: _______________________
Zahtjev za ispravak (čl. 16)
Netočan podatak → Točan podatak: (tablica ili popis). Dokaz točnosti (ako primjenjivo): [ ] U prilogu [naziv]. Datum i potpis: _______________________
Evidencija aktivnosti obrade (čl. 30)
Voditelji moraju voditi evidenciju aktivnosti obrade (obvezno za 250+ zaposlenika, obradu osjetljivih podataka ili redovitu/ne-povremenu obradu).
Polje
Primjer
Naziv aktivnosti
Obrada podataka zaposlenika
Voditelj obrade
Naziv, adresa, kontakt
DPO (ako postoji)
Ime, e-mail, telefon
Svrha obrade
Izvršenje ugovora o radu
Pravni temelj
Čl. 6(1)(b) — ugovor
Kategorije ispitanika
Zaposlenici, kandidati
Kategorije podataka
Ime, adresa, OIB, plaća
Primatelji
Porezna, HZMO, banke
Prijenosi u treće zemlje
Da/Ne, mehanizam
Rokovi brisanja
npr. 6 godina nakon prestanka radnog odnosa
Tehničke i organizacijske mjere
Enkripcija, kontrola pristupa
Politika privatnosti — ključni elementi
Svaka mrežna stranica koja prikuplja osobne podatke treba izjavu o privatnosti koja sadrži:
Identitetom voditelja — naziv, adresa, OIB, kontakt, DPO ako postoji
Vrstama podataka — izravno, automatski (kolačići, IP), iz drugih izvora
Svrhe i pravni temelj — po svrhi
Primateljima — kategorije, treći pružatelji, grupa
Prijenosima — zemlje izvan EU/EEA, SCC/BCR/odluke
Razdobljem čuvanja — konkretni rokovi ili kriteriji
Automatiziranim odlukama — postoji li, logika, posljedice
Izmjenama politike — kako se obavještava, datum zadnje izmjene
Ugovor o obradi podataka
Kod angažiranja izvršitelja obrade (oblak, marketinška agencija) potreban je ugovor prema čl. 28. GDPR-a.
Obvezni elementi: predmet i trajanje; priroda i svrha obrade; vrste podataka; kategorije ispitanika; obveze i prava voditelja.
Izvršitelj se obvezuje: obrađivati samo po dokumentiranim uputama; osigurati povjerljivost; poduzeti sigurnosne mjere; angažirati podizvršitelje samo uz odobrenje; pomagati u ostvarivanju prava ispitanika, procjeni učinka (DPIA) i savjetovanju s nadzornim tijelom; po završetku izbrisati ili vratiti podatke; te doprinositi revizijama.
FAQ i službeni izvori
Mogu li koristiti elektroničku privolu?
Da, ako ispunjava sve uvjete čl. 7. — dokumentirajte kada i kako je dana, omogućite jednostavno povlačenje, čuvajte zapise kao dokaz.
Koliko dugo čuvati privole?
Tijekom obrade i još neko vrijeme nakon toga (preporuka: najmanje 5–10 godina s obzirom na zahtjeve i inspekcije).
Treba li zasebna privola za svaku svrhu?
Da — zasebno za newsletter, zasebno za dijeljenje s partnerima itd.
Kako dokazati valjanost privole?
Evidencija: tekst privole, datum i vrijeme, metoda (npr. označavanje), IP ili drugi identifikator (online), verzija obrasca.
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.