Ako vodiš webshop, onda skupljaš osobne podatke. Ako skupljaš osobne podatke, onda moraš poštivati GDPR. Nema filozofije – ovo je tvoj vodič kroz GDPR džunglu. Kratak.
1. POLITIKA PRIVATNOSTI
Što je to: Dokument koji objašnjava korisnicima koje njihove podatke skupljaš, zašto, koliko dugo i tko im sve pristupa.
Mora sadržavati:
Tko si ti (naziv, kontakt, OIB, DPO ako postoji)
Koje podatke skupljaš (ime, adresa, e-mail, IP, kolačići…)
Zašto ih skupljaš (npr. dostava, analitika, marketing)
Koliko ih čuvaš (npr. 2 godine nakon kupnje)
Koji je pravni temelj (ugovor, zakon, privola, legitimni interes)
Tko ima pristup (dostava, CRM, Google…)
Prava korisnika (pristup, brisanje, prigovor…)
Kako mogu kontaktirati DPO-a
Gdje mora biti: Vidljiv link u footeru web stranice.
2. POLITIKA KOLAČIĆA
Što je to: Dokument koji objašnjava koje kolačiće koristiš i zašto.
Moraš imati:
Cookie banner koji korisniku omogućuje:
Prihvatiti sve kolačiće
Odbiti sve osim nužnih
Upravljač (detaljan prikaz po kategorijama)
Ne vrijedi: “Nastavkom korištenja pristajete…”
3. NEWSLETTER
Šalješ li e-mailove s ponudama?
Ako da, moraš imati privolu (opt-in) ako korisnik nije već kupovao.
Ako je kupovao, možeš koristiti legitimni interes, ali napravi test razmjernosti.
Uvjeti:
Svaki mail mora imati vidljiv link za odjavu.
Moraš voditi dokaz da si dobio privolu (log, checkbox, timestamp).
4. EVIDENCIJA AKTIVNOSTI OBRADE
Obavezna ako:
Obrada nije povremena
Uključuje rizik za korisnika (profiliranje, online kupnje, marketinški sustavi)
Sadržaj:
Naziv i kontakt firme
Svrhe obrade (npr. isporuka, analitika)
Vrste podataka (npr. ime, adresa, e-mail…)
Primatelji (dostava, software)
Rok pohrane (npr. 2 godine)
Mjere zaštite (HTTPS, lozinke, backup…)
Format: Excel tablica. Po mogućnosti prema ARC predlošku.
5. PRAVNA OSNOVA OBRADE
Moraš imati barem jednu osnovu za svaki tip obrade. Šest osnova iz GDPR-a:
Privola – korisnik klikom potvrđuje
Ugovor – npr. obrada za isporuku robe
Zakonska obveza – npr. izdavanje računa
Zaštita interesa – hitne situacije (rijetko)
Zadaća od javnog interesa – ne vrijedi za e-commerce
Legitimni interes – npr. sigurnost, direct marketing
6. PRAVA ISPITANIKA
Moraš omogućiti korisnicima da:
Zatraže pristup podacima
Traže ispravak
Zatraže brisanje (ako nije zakonski vezano)
Ograniče obradu
Prenesu podatke
Ulože prigovor
Povuku privolu (ako je bila osnova)
Kako: kontakt forma, e-mail, jasno opisana procedura u politici privatnosti.
7. DOSTAVA PODATAKA TREĆIM STRANAMA
Svaki sustav kojem daješ podatke korisnika mora biti naveden.
Primjeri: GLS, Hrvatska pošta, Google Analytics, e-mail marketing alati, CRM.
Ako podatke šalješ izvan EU (npr. Meta, Google), moraš koristiti odgovarajuće zaštitne mjere (npr. SCC – standardne ugovorne klauzule).
8. UGOVOR S IZVRŠITELJEM OBRADE
Ako netko drugi u tvoje ime obrađuje podatke, moraš imati ugovor prema čl. 28 GDPR-a. Primjeri:
dostavna služba
web hosting
CRM sustav
email marketing alat (npr. Mailchimp)
Ugovor mora pokrivati:
svrhu obrade
mjere zaštite
zabranu korištenja podataka u vlastite svrhe
podugovaratelje
9. POVREDA PODATAKA (DATA BREACH)
Ako dođe do sigurnosnog incidenta, moraš:
prijaviti AZOP-u unutar 72 sata
ako postoji visok rizik za korisnike, moraš obavijestiti i njih
Sadrži:
datum i vrijeme incidenta
broj pogođenih osoba
kategorije podataka
mjere koje si poduzeo
Prijavljuje se na e-mail: incidenti@azop.hr Obrazac: imaš predložak izvjesce_o_povredi_osob…
10. DPIA (PROCJENA UČINKA)
Obavezna ako:
koristiš tehnologije koje prate korisnika (profiliranje, biometrija)
obrađuješ osjetljive podatke (npr. zdravlje)
postoji visok rizik za prava korisnika
Koraci:
Opiši obradu
Procijeni nužnost i razmjernost
Procijeni rizike
Uvedi mjere
Dokumentiraj sve
11. SNIMANJE DOGAĐAJA / VIDEO NADZOR
Ako snimaš ljude (fotke, video):
Moraš ih unaprijed obavijestiti
Moraš imati pravni temelj (najčešće: legitimni interes)
Moraš omogućiti pravo na prigovor
Obavijest mora biti fizički vidljiva. Predložak: dostupan