GDPR obrasci i privole: primjeri privole, zahtjevi ispitanika, evidencija obrade, izjava o privatnosti i uvjeti valjanosti u Hrvatskoj.
| Obrazac / dokument | Svrha |
|---|---|
| Privola | Pravni temelj za marketing, newsletter, opcijske svrhe (čl. 6(1)(a), 7) |
| Zahtjev za pristup | Ostvarivanje prava ispitanika (čl. 15), odgovor u 30 dana |
| Zahtjev za brisanje | "Pravo na zaborav" (čl. 17) |
| Zahtjev za ispravak | Ispravak netočnih podataka (čl. 16) |
| Evidencija aktivnosti obrade | Obveza voditelja (čl. 30) |
| Izjava o privatnosti | Informiranje ispitanika o obradi |
| Ugovor o obradi | Odnos voditelja i izvršitelja obrade (čl. 28) |
Zašto je ovo važno? Valjani obrasci i dokumentacija temelj su transparentnog odnosa s korisnicima i dokaz usklađenosti u slučaju pritužbe ili inspekcije AZOP-a.
Privola je jedan od šest pravnih temelja za obradu osobnih podataka (čl. 6(1)(a) GDPR-a): dobrovoljno, određeno, informirano i nedvosmisleno izražavanje volje ispitanika.
Više o pravnim temeljima: GDPR u Hrvatskoj: vodič.
Prema članku 7. GDPR-a privola mora biti:
| Uvjet | Značenje |
|---|---|
| Slobodno dana | Stvarni izbor, bez negativnih posljedica ako se odbije; usluga ne smije biti uvjetovana nepotrebnom privolom |
| Određena | Konkretna svrha, zasebna privola po svrsi, ne općenita |
| Informirana | Identitet voditelja, svrha, vrste podataka, primatelji, pravo na povlačenje, prijenosi u treće zemlje (ako ima) |
| Nedvosmislena | Jasna afirmativna radnja (označavanje okvira, potpis, postavke). Nije dovoljno: unaprijed označena polja, šutnja, nastavak korištenja stranice |
| Jednostavna za povlačenje | Povlačenje jednako jednostavno kao davanje; bez prepreka |
Upozorenje: Unaprijed označena potvrdna polja ("odobrim uvjete") nisu valjana privola. Korisnik mora aktivno označiti.
PRIVOLA ZA PRIMANJE NEWSLETTERA
Ja, niže potpisani/а, dajem privolu da [Naziv tvrtke], OIB: [OIB], sjedište: [Adresa] (Voditelj obrade), obrađuje moje osobne podatke u sljedeće svrhe:
Podaci: Ime i prezime, e-mail.
Svrha: Slanje promotivnih materijala, novosti i akcija; personalizirane ponude (ako primjenjivo).
Razdoblje čuvanja: Do povlačenja privole ili najdulje [X] godina od zadnje interakcije.
Primatelji: Pružatelj e-mail usluga: [Naziv]; [partneri, ako primjenjivo].
Prava: Pristup, ispravak, brisanje, ograničenje, prigovor, prenosivost; pritužba AZOP-u. Kontakt: [E-mail za zaštitu podataka].
Povlačenje: Klik na "Odjavi se" u svakom e-mailu ili zahtjev na [E-mail]. Povlačenje ne utječe na zakonitost obrade prije povlačenja.
[ ] Pročitao/la sam i razumijem uvjete te dajem privolu za primanje newslettera.
Ime i prezime: _______________________ E-mail: _______________________ Datum: _______________________ Potpis: _______________________
Posebne kategorije (zdravstveni podaci, biometrija, podaci o rasnom podrijetlu itd.) zahtijevaju izričitu privolu prema čl. 9(2)(a) GDPR-a.
IZRIČITA PRIVOLA ZA OBRADU ZDRAVSTVENIH PODATAKA
Ja, [Ime i prezime], OIB: [OIB], dajem izričitu privolu za obradu mojih zdravstvenih podataka.
Voditelj: [Naziv ustanove], adresa, kontakt.
Podaci: Anamneza, rezultati pretraga, dijagnoze, terapije [po potrebi].
Svrha: Pružanje zdravstvene zaštite, liječenje, praćenje stanja [druge svrhe].
Pravni temelj: Čl. 9(2)(a) GDPR, izričita privola.
Čuvanje: Sukladno propisima o medicinskoj dokumentaciji, [X] godina.
Primatelji: Zdravstveni djelatnici, HZZO [ostali po potrebi].
Napomena: Pravo na povlačenje privole, pristup, ispravak, brisanje, pritužbu AZOP-u.
[ ] Razumijem da dajem izričitu privolu za obradu osjetljivih podataka i da je mogu povući u bilo kojem trenutku.
Mjesto i datum: _______________________ Potpis: _______________________
Podnositelj: Ime, adresa, e-mail, telefon, OIB (opcionalno). Voditelj: [Naziv, adresa, e-mail za zahtjeve].
(1) Potvrda: obrađujete li moje osobne podatke? [ ] DA [ ] NE
(2) Ako da: molim kopiju podataka, svrhe obrade, kategorije podataka, primatelje, rok pohrane, prava, pravo na pritužbu, izvor podataka (ako nisu od mene), automatizirano odlučivanje (ako postoji).
(3) Format: [ ] PDF e-mail [ ] CSV/XML [ ] Tiskani poštom.
Izjava: Podatke podnosim točno, u svoje ime kao ispitanik. Datum i potpis: _______________________
Podnositelj / Voditelj: [Kao gore].
Razlog: [ ] Podaci više nisu potrebni [ ] Povlačim privolu [ ] Prigovor, nema legitimnih razloga [ ] Nezakonita obrada [ ] Zakonska obveza brisanja [ ] Podaci djeteta u kontekstu usluga društva.
Što brisati: [ ] Sve [ ] Samo: _______________________
Napomena: Voditelj može odbiti ako postoje zakonski razlozi za zadržavanje. Datum i potpis: _______________________
Netočan podatak → Točan podatak: (tablica ili popis). Dokaz točnosti (ako primjenjivo): [ ] U prilogu [naziv]. Datum i potpis: _______________________
Voditelji moraju voditi evidenciju aktivnosti obrade (obvezno za 250+ zaposlenika, obradu osjetljivih podataka ili redovitu/ne-povremenu obradu).
| Polje | Primjer |
|---|---|
| Naziv aktivnosti | Obrada podataka zaposlenika |
| Voditelj obrade | Naziv, adresa, kontakt |
| DPO (ako postoji) | Ime, e-mail, telefon |
| Svrha obrade | Izvršenje ugovora o radu |
| Pravni temelj | Čl. 6(1)(b), ugovor |
| Kategorije ispitanika | Zaposlenici, kandidati |
| Kategorije podataka | Ime, adresa, OIB, plaća |
| Primatelji | Porezna, HZMO, banke |
| Prijenosi u treće zemlje | Da/Ne, mehanizam |
| Rokovi brisanja | npr. 6 godina nakon prestanka radnog odnosa |
| Tehničke i organizacijske mjere | Enkripcija, kontrola pristupa |
Svaka mrežna stranica koja prikuplja osobne podatke treba izjavu o privatnosti koja sadrži:
Kod angažiranja izvršitelja obrade (oblak, marketinška agencija) potreban je ugovor prema čl. 28. GDPR-a.
Obvezni elementi: predmet i trajanje; priroda i svrha obrade; vrste podataka; kategorije ispitanika; obveze i prava voditelja.
Izvršitelj se obvezuje: obrađivati samo po dokumentiranim uputama; osigurati povjerljivost; poduzeti sigurnosne mjere; angažirati podizvršitelje samo uz odobrenje; pomagati u ostvarivanju prava ispitanika, procjeni učinka (DPIA) i savjetovanju s nadzornim tijelom; po završetku izbrisati ili vratiti podatke; te doprinositi revizijama.
Ne mora biti pisana, ali mora biti dokaziva. Voditelj obrade mora moći dokazati da je ispitanik dao valjanu privolu. Zato se u praksi koriste obrasci i zapisi o privoli.
Privola mora biti dobrovoljna, određena, informirana i nedvosmislena. Tražite je zasebno, jasnim jezikom, i omogućite jednako lako povlačenje kao i davanje. Unaprijed označeni potvrdni okviri nisu valjani.
Ne. Privola je samo jedna od šest pravnih osnova. Za mnoge obrade prikladniji su ugovor, zakonska obveza ili legitimni interes. Pogrešna pravna osnova česta je pogreška. Provjerite pravne osnove.
Da, ako ispunjava sve uvjete čl. 7. Dokumentirajte kada i kako je dana, omogućite jednostavno povlačenje, čuvajte zapise kao dokaz.
Tijekom obrade i još neko vrijeme nakon toga (preporuka: najmanje 5 do 10 godina s obzirom na zahtjeve i inspekcije).
Da, zasebno za newsletter, zasebno za dijeljenje s partnerima itd.
Evidencija: tekst privole, datum i vrijeme, metoda (npr. označavanje), IP ili drugi identifikator (online), verzija obrasca.
| Izvor | Poveznica |
|---|---|
| GDPR (EUR-Lex) | CELEX 32016R0679 |
| AZOP: Smjernice o privoli | azop.hr/smjernice-o-privoli |
| EDPB: Guidelines on Consent | edpb.europa.eu |
Pravilno izrađeni GDPR obrasci temelj su transparentnosti i dokaz usklađenosti. Preporuke: budite jasni i specifični; dokumentirajte privole; ažurirajte obrasce; testirajte povlačenje privole.
Trebate pomoć s GDPR dokumentacijom? Vision Compliance nudi izradu politike privatnosti, obrazaca privola, evidencije obrade i DPA. Zatražite ponudu →
Izvori: GDPR (EUR-Lex), AZOP, EDPB
Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.
Pomažemo organizacijama u EU klasificirati AI sustave, izraditi tehnički dosje i postaviti upravljanje koje propisi traže. Krenite s 30-minutnim razgovorom.