GDPR Checklist za E-commerce Web Shopove

Goran Peremin

Ako vodiš webshop, onda skupljaš osobne podatke. Ako skupljaš osobne podatke, onda moraš poštivati GDPR. Nema filozofije – ovo je tvoj vodič kroz GDPR džunglu. Kratak. 

1. POLITIKA PRIVATNOSTI

Što je to: Dokument koji objašnjava korisnicima koje njihove podatke skupljaš, zašto, koliko dugo i tko im sve pristupa.

Mora sadržavati:

  • Tko si ti (naziv, kontakt, OIB, DPO ako postoji)
  • Koje podatke skupljaš (ime, adresa, e-mail, IP, kolačići...)
  • Zašto ih skupljaš (npr. dostava, analitika, marketing)
  • Koliko ih čuvaš (npr. 2 godine nakon kupnje)
  • Koji je pravni temelj (ugovor, zakon, privola, legitimni interes)
  • Tko ima pristup (dostava, CRM, Google...)
  • Prava korisnika (pristup, brisanje, prigovor...)
  • Kako mogu kontaktirati DPO-a

Gdje mora biti: Vidljiv link u footeru web stranice.

2. POLITIKA KOLAČIĆA

Što je to: Dokument koji objašnjava koje kolačiće koristiš i zašto.

Moraš imati:

Cookie banner koji korisniku omogućuje:

  • Prihvatiti sve kolačiće
  • Odbiti sve osim nužnih
  • Upravljač (detaljan prikaz po kategorijama)

Ne vrijedi: “Nastavkom korištenja pristajete…”

3. NEWSLETTER

Šalješ li e-mailove s ponudama?

  • Ako da, moraš imati privolu (opt-in) ako korisnik nije već kupovao.
  • Ako je kupovao, možeš koristiti legitimni interes, ali napravi test razmjernosti.

Uvjeti:

  • Svaki mail mora imati vidljiv link za odjavu.
  • Moraš voditi dokaz da si dobio privolu (log, checkbox, timestamp).

4. EVIDENCIJA AKTIVNOSTI OBRADE

Obavezna ako:

  • Obrada nije povremena
  • Uključuje rizik za korisnika (profiliranje, online kupnje, marketinški sustavi)

Sadržaj:

  • Naziv i kontakt firme
  • Svrhe obrade (npr. isporuka, analitika)
  • Vrste podataka (npr. ime, adresa, e-mail...)
  • Primatelji (dostava, software)
  • Rok pohrane (npr. 2 godine)
  • Mjere zaštite (HTTPS, lozinke, backup...)

Format: Excel tablica. Po mogućnosti prema ARC predlošku.

5. PRAVNA OSNOVA OBRADE

Moraš imati barem jednu osnovu za svaki tip obrade.
Šest osnova iz GDPR-a:

  1. Privola – korisnik klikom potvrđuje
  2. Ugovor – npr. obrada za isporuku robe
  3. Zakonska obveza – npr. izdavanje računa
  4. Zaštita interesa – hitne situacije (rijetko)
  5. Zadaća od javnog interesa – ne vrijedi za e-commerce
  6. Legitimni interes – npr. sigurnost, direct marketing

6. PRAVA ISPITANIKA

Moraš omogućiti korisnicima da:

  • Zatraže pristup podacima
  • Traže ispravak
  • Zatraže brisanje (ako nije zakonski vezano)
  • Ograniče obradu
  • Prenesu podatke
  • Ulože prigovor
  • Povuku privolu (ako je bila osnova)

Kako: kontakt forma, e-mail, jasno opisana procedura u politici privatnosti.

7. DOSTAVA PODATAKA TREĆIM STRANAMA

Svaki sustav kojem daješ podatke korisnika mora biti naveden.

  • Primjeri: GLS, Hrvatska pošta, Google Analytics, e-mail marketing alati, CRM.
  • Ako podatke šalješ izvan EU (npr. Meta, Google), moraš koristiti odgovarajuće zaštitne mjere (npr. SCC – standardne ugovorne klauzule).

 

8. UGOVOR S IZVRŠITELJEM OBRADE

Ako netko drugi u tvoje ime obrađuje podatke, moraš imati ugovor prema čl. 28 GDPR-a.
Primjeri:

  • dostavna služba
  • web hosting
  • CRM sustav
  • email marketing alat (npr. Mailchimp)

Ugovor mora pokrivati:

  • svrhu obrade
  • mjere zaštite
  • zabranu korištenja podataka u vlastite svrhe
  • podugovaratelje

9. POVREDA PODATAKA (DATA BREACH)

Ako dođe do sigurnosnog incidenta, moraš:

  • prijaviti AZOP-u unutar 72 sata
  • ako postoji visok rizik za korisnike, moraš obavijestiti i njih

Sadrži:

  • datum i vrijeme incidenta
  • broj pogođenih osoba
  • kategorije podataka
  • mjere koje si poduzeo

Prijavljuje se na e-mail: incidenti@azop.hr
Obrazac: imaš predložak izvjesce_o_povredi_osob

10. DPIA (PROCJENA UČINKA)

Obavezna ako:

  • koristiš tehnologije koje prate korisnika (profiliranje, biometrija)
  • obrađuješ osjetljive podatke (npr. zdravlje)
  • postoji visok rizik za prava korisnika

Koraci:

  1. Opiši obradu
  2. Procijeni nužnost i razmjernost
  3. Procijeni rizike
  4. Uvedi mjere
  5. Dokumentiraj sve

11. SNIMANJE DOGAĐAJA / VIDEO NADZOR

Ako snimaš ljude (fotke, video):

  • Moraš ih unaprijed obavijestiti
  • Moraš imati pravni temelj (najčešće: legitimni interes)
  • Moraš omogućiti pravo na prigovor

Obavijest mora biti fizički vidljiva.
Predložak: dostupan