Brzi pregled: GDPR privola ukratko
| Aspekt | Detalji |
|---|---|
| Što je privola | Slobodna, specifična, informirana i nedvosmislena izjava volje |
| Kada je potrebna | Kad nema druge pravne osnove (npr. za marketing, kolačiće) |
| Forma | Aktivna radnja (kvačica, klik)—NE unaprijed označeno |
| Povlačenje | Mora biti jednako lako kao davanje |
| Dokaz | Tvrtka mora moći dokazati da je privola dana |
| Djeca | Posebna pravila za mlađe od 16 godina |
Izvršni sažetak
Privola je jedno od najzloupotrebljavanijih područja GDPR-a. Mnoge tvrtke pogrešno vjeruju da im privola automatski daje pravo na bilo kakvu obradu podataka. U stvarnosti, privola mora ispuniti stroge uvjete da bi bila valjana—a nevaljana privola je kao da privole nema.
Zašto je ovo važno? AZOP je izdao značajne kazne za neispravnu privolu—posebno u području marketinga i kolačića. Revizija privola u vašoj organizaciji može spriječiti kaznu.
Zapamtite: Ako morate prisiliti, zbuniti ili prevariti osobu da pristane—to nije valjana privola. Privola mora biti slobodna odluka informirane osobe.
Ovaj vodič namijenjen je marketinškim stručnjacima, web developerima, pravnicima i svima koji prikupljaju privole.
Što je privola prema GDPR-u
Definicija (članak 4(11))
GDPR definira privolu kao:
"Svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak na obradu osobnih podataka koji se na njega odnose."
Ključni elementi
┌─────────────────────────────────────────────────────────────┐
│ VALJANA PRIVOLA │
├─────────────────────────────────────────────────────────────┤
│ │
│ ✓ SLOBODNA (Freely given) │
│ └─ Nema prisile, uvjetovanja ili neravnoteže moći │
│ │
│ ✓ SPECIFIČNA (Specific) │
│ └─ Za određenu svrhu, ne općenita │
│ │
│ ✓ INFORMIRANA (Informed) │
│ └─ Ispitanik zna na što pristaje │
│ │
│ ✓ NEDVOSMISLENA (Unambiguous) │
│ └─ Jasna potvrdna radnja (ne šutnja, ne pretpostavka) │
│ │
│ + ZA POSEBNE KATEGORIJE: IZRIČITA │
│ └─ Zdravstveni podaci, biometrija, politička uvjerenja │
│ │
└─────────────────────────────────────────────────────────────┘
Kada je privola potrebna
Privola kao jedna od 6 pravnih osnova
GDPR navodi 6 pravnih osnova za obradu osobnih podataka (članak 6):
| Pravna osnova | Kada se koristi |
|---|---|
| Privola | Marketing, kolačići, newsletter |
| Ugovor | Izvršenje ugovora s ispitanikom |
| Zakonska obveza | Porezne prijave, zdravstvena dokumentacija |
| Vitalni interesi | Hitna medicinska pomoć |
| Javni interes | Javna tijela, javno zdravlje |
| Legitimni interes | Sigurnost, sprječavanje prijevare (uz balansiranje) |
Kada koristiti privolu
✅ Koristite privolu za:
- Marketing emailove (newsletter)
- Analitičke i marketinške kolačiće
- Dijeljenje podataka s trećim stranama za njihove svrhe
- Posebne kategorije podataka (zdravlje, biometrija)
- Profiliranje za marketing
❌ Ne koristite privolu ako:
- Postoji druga prikladnija osnova
- Postoji neravnoteža moći (npr. poslodavac-zaposlenik)
- Privola je uvjet za uslugu koja ne zahtijeva te podatke
Važno: Ne možete tražiti privolu samo da biste "pokrili" obradu koja se može temeljiti na drugoj osnovi. Privola mora biti prava potreba, ne "sigurnosna mreža".
7 uvjeta valjane privole
1. Slobodna (bez prisile)
Što to znači:
- Ispitanik ima stvarni izbor
- Nema negativnih posljedica za odbijanje
- Nema uvjetovanja usluge privolom koja nije nužna
Primjer NEISPRAVNO:
"Da biste koristili našu aplikaciju, morate pristati na marketing emailove."
Primjer ISPRAVNO:
"Želite li primati naše marketinške poruke?" [Da] [Ne]
(Aplikacija funkcionira neovisno o odgovoru)
2. Specifična (za određenu svrhu)
Što to znači:
- Odvojena privola za svaku svrhu
- Jasno navedena svrha obrade
- Ne "blanko" privola za sve
Primjer NEISPRAVNO:
"Pristajem na obradu mojih podataka."
Primjer ISPRAVNO:
"☐ Pristajem na primanje newslettera o novostima proizvoda."
"☐ Pristajem na primanje personaliziranih ponuda partnera."
3. Informirana (ispitanik zna na što pristaje)
Mora uključivati:
- Identitet voditelja obrade
- Svrhu obrade
- Vrste podataka koji se obrađuju
- Pravo na povlačenje privole
- Primatelje podataka (ako postoje)
4. Nedvosmislena (aktivna radnja)
Valjane radnje:
- Označavanje kvačice (koja nije unaprijed označena)
- Klik na gumb "Pristajem"
- Potpisivanje izjave
- Usmena izjava (ali teško dokaziva)
NEVALJANO:
- Unaprijed označena kvačica
- Šutnja
- Nastavljanje korištenja stranice
- "Korištenjem ove stranice pristajete..."
5. Jasna i razumljiva
Zahtjevi:
- Jednostavan jezik (ne pravni žargon)
- Prilagođeno publici
- Ne skriveno u dugim uvjetima korištenja
6. Dokumentirana (morate moći dokazati)
Što čuvati:
- Kada je privola dana
- Tko je dao privolu
- Koju informaciju je ispitanik dobio
- Kako je privola dana (screenshot, log)
7. Lako povučena
Zahtjev:
- Povlačenje mora biti jednako lako kao davanje
- Ako je privola dana jednim klikom, povlačenje jednim klikom
- Jasne upute kako povući
Kako pravilno formulirati privolu
Struktura teksta privole
┌─────────────────────────────────────────────────────────────┐
│ STRUKTURA TEKSTA PRIVOLE │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1. TKO (identitet voditelja) │
│ "Tvrtka XY d.o.o. (OIB: xxxxxxxxxx)" │
│ │
│ 2. ŠTO (podaci koji se obrađuju) │
│ "obrađuje vašu email adresu" │
│ │
│ 3. ZAŠTO (svrha) │
│ "u svrhu slanja mjesečnog newslettera" │
│ │
│ 4. PRAVO NA POVLAČENJE │
│ "Privolu možete povući u svakom trenutku │
│ klikom na poveznicu u svakom emailu." │
│ │
│ 5. AKTIVNA RADNJA │
│ "☐ Pristajem na gore navedenu obradu." │
│ │
└─────────────────────────────────────────────────────────────┘
Primjer dobre privole (newsletter)
Prijava na newsletter
Tvrtka CompliQuest d.o.o. (Zagreb, Ulica XY 123) obrađuje vašu email adresu u svrhu slanja mjesečnog newslettera s novostima o compliance temama.
Vaši podaci neće biti dijeljeni s trećim stranama. Privolu možete povući u svakom trenutku klikom na "Odjava" na dnu svakog emaila.
Više informacija o obradi vaših podataka nalazi se u našoj [Politici privatnosti].
☐ Pristajem na primanje newslettera.
[Prijavi se]
Primjer loše privole
☑ Pristajem na uvjete korištenja i politiku privatnosti te primanje marketinških poruka. [već označeno]
Što je krivo:
- Unaprijed označena kvačica ❌
- Sve svrhe spojene u jedno ❌
- Nema informacije o voditelju ❌
- Nema informacije o povlačenju ❌
Privola za marketing
Posebna pravila
Marketing je područje gdje je privola najčešće potrebna i gdje se najčešće griješi.
Zahtjevi za email marketing
| Zahtjev | Objašnjenje |
|---|---|
| Opt-in | Aktivna prijava (ne opt-out) |
| Double opt-in | Preporučeno: potvrda emailom |
| Odjava u svakom emailu | Obavezna poveznica za odjavu |
| Identifikacija | Jasno navedeno tko šalje |
| Razdvojene privole | Ako su različiti tipovi marketinga |
Primjer pravilne marketing privole
Primanje marketinških poruka
Želite li primati naše promotivne poruke?
☐ Da, želim primati informacije o novim proizvodima
i posebnim ponudama putem emaila.
☐ Da, želim primati personalizirane ponude
temeljene na mojoj povijesti kupnje.
Privolu možete povući u bilo kojem trenutku
putem postavki vašeg računa ili kontaktiranjem
naše službe za korisnike.
[Spremi postavke]
Privola za kolačiće
Cookie consent zahtjevi
EU ePR direktiva (i GDPR za osobne podatke u kolačićima) zahtijevaju:
| Vrsta kolačića | Privola potrebna? |
|---|---|
| Strogo nužni | NE (funkcioniranje stranice) |
| Analitički | DA |
| Marketinški | DA |
| Treće strane | DA |
Pravilan cookie banner
┌─────────────────────────────────────────────────────────────┐
│ KOLAČIĆI │
├─────────────────────────────────────────────────────────────┤
│ │
│ Koristimo kolačiće za poboljšanje vašeg iskustva. │
│ │
│ ☐ Nužni kolačići (uvijek aktivni) │
│ Potrebni za funkcioniranje stranice. │
│ │
│ ☐ Analitički kolačići │
│ Pomažu nam razumjeti kako koristite stranicu. │
│ │
│ ☐ Marketinški kolačići │
│ Omogućuju personalizirane oglase. │
│ │
│ [Prihvati sve] [Prihvati odabrane] [Samo nužne] │
│ │
│ Više informacija: Politika kolačića │
│ │
└─────────────────────────────────────────────────────────────┘
Česte greške s kolačićima
❌ NEISPRAVNO:
- "Nastavljanjem korištenja stranice pristajete na kolačiće" (šutnja nije privola)
- Unaprijed označeni svi kolačići
- Gumb "Prihvati" istaknut, "Odbij" skriven
- Nema opcije odbijanja
✅ ISPRAVNO:
- Ravnopravne opcije (Prihvati/Odbij)
- Mogućnost odabira po kategorijama
- Nijedan kolačić (osim nužnih) prije privole
Privola djece
Dobna granica
GDPR dopušta državama članicama da postave dobnu granicu između 13 i 16 godina. U Hrvatskoj je granica 16 godina.
Za djecu mlađu od 16 godina
- Potrebna privola roditelja ili skrbnika
- Mora se verificirati da pristanak daje roditelj
- "Razumni napori" za provjeru
Primjer
Ako imate manje od 16 godina, molimo da vaš roditelj ili skrbnik ispuni ovaj obrazac.
Email roditelja: _____________
☐ Potvrđujem da sam roditelj/skrbnik djeteta i dajem privolu za obradu podataka mog djeteta u svrhu [svrha].
Povlačenje privole
Zahtjevi GDPR-a
Članak 7(3):
"Ispitanik ima pravo u bilo kojem trenutku povući svoju privolu. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje."
Kako omogućiti povlačenje
| Kanal davanja | Kanal povlačenja |
|---|---|
| Online obrazac | Online obrazac, link u emailu |
| Checkbox na stranici | Postavke računa |
| Email zahtjev |
Posljedice povlačenja
- Obrada se mora prestati za tu svrhu
- Podaci se brišu (osim ako postoji druga osnova za čuvanje)
- Povlačenje ne utječe na zakonitost obrade prije povlačenja
Dokumentiranje i dokazi
Što morate čuvati
| Element | Opis |
|---|---|
| Identitet | Tko je dao privolu (email, user ID) |
| Vrijeme | Kada je privola dana (timestamp) |
| Verzija | Koju verziju teksta je ispitanik vidio |
| Način | Kako je privola dana (checkbox, klik) |
| IP adresa | Opcionalno, za dodatni dokaz |
Primjer log zapisa
{
"consent_id": "c-2026-001234",
"user_email": "korisnik@email.com",
"timestamp": "2026-02-01T14:30:00Z",
"consent_type": "marketing_newsletter",
"consent_text_version": "v2.3",
"consent_given": true,
"ip_address": "192.168.x.x",
"user_agent": "Mozilla/5.0..."
}
Koliko dugo čuvati
- Dok traje obrada + vrijeme za moguće pravne zahtjeve
- Preporuka: 5-7 godina nakon povlačenja ili prestanka odnosa
Najčešće greške i primjeri
1. Unaprijed označena kvačica
Greška: ☑ Pristajem na primanje newslettera [već označeno]
Zašto je to krivo: Privola mora biti aktivna radnja ispitanika.
Ispravno: ☐ Pristajem na primanje newslettera
2. Bundled consent (sve u jednom)
Greška: ☐ Pristajem na uvjete korištenja, politiku privatnosti i marketing.
Zašto je to krivo: Privola mora biti specifična za svaku svrhu.
Ispravno:
- ☐ Prihvaćam uvjete korištenja (ovo nije privola, to je ugovor)
- ☐ Pristajem na primanje marketinških poruka
3. Uvjetovanje usluge
Greška: "Morate pristati na marketing da biste koristili uslugu."
Zašto je to krivo: Privola nije slobodna ako je uvjet za nepovezanu uslugu.
4. Nejasan tekst
Greška: "Pristajem na obradu mojih podataka."
Zašto je to krivo: Nije specificirano za što, od koga, koje podatke.
5. Teško povlačenje
Greška: Prijava jednim klikom, odjava zahtijeva poziv customer serviceu.
Zašto je to krivo: Povlačenje mora biti jednako lako kao davanje.
Zaključak
Privola je moćan alat—ali samo ako je pravilno prikupljena. Nevaljana privola je kao da privole nema, što znači nezakonitu obradu i rizik od kazni.
Kontrolna lista za reviziju privola
- ☐ Jesu li sve privole aktivna radnja (ne unaprijed označeno)?
- ☐ Je li svaka svrha odvojena?
- ☐ Je li tekst jasan i razumljiv?
- ☐ Je li ispitanik informiran o svemu potrebnom?
- ☐ Postoji li lak način povlačenja?
- ☐ Čuvamo li dokaz o privolama?
Započnite s GDPR edukacijom
CompliQuest nudi online tečajeve koji pokrivaju GDPR, uključujući pravilno prikupljanje privola, upravljanje marketingom i kolačićima. Naši tečajevi pomažu organizacijama izbjeći AZOP kazne.
Pregledajte naše GDPR tečajeve | Kontaktirajte nas
Preporučeni tečajevi
- GDPR usklađenost u reklamacijama — Upravljanje upitima i zaštita podataka klijenata.
- GDPR u praksi: Vodič za usklađenost — Temeljna znanja za voditelje obrade.
Često postavljana pitanja
Što je valjana GDPR privola?
Valjana privola mora biti slobodna, specifična, informirana i nedvosmislena. Ispitanik mora aktivno dati pristanak (npr. označiti checkbox), mora znati za što daje pristanak, i mora moći lako povući privolu u bilo kojem trenutku.
Je li pre-checked checkbox valjana privola?
Ne. Europski sud pravde je u presudi Planet49 (C-673/17) potvrdio da unaprijed označeni checkboxi ne predstavljaju valjanu privolu prema GDPR-u. AZOP je u Hrvatskoj izrekao kazne upravo za ovu praksu.
Trebam li privolu za sve obrade podataka?
Ne. Privola je samo jedna od šest pravnih osnova za obradu prema članku 6 GDPR-a. Druge osnove uključuju izvršenje ugovora, zakonsku obvezu, vitalne interese, javni interes i legitimni interes. Privola je obvezna samo kada nema druge primjenjive pravne osnove.
Kako dokazati da imam valjanu privolu?
Morate čuvati evidenciju: tko je dao privolu, kada, za što, i koji tekst je bio prikazan. Digitalni sustavi trebaju bilježiti timestamp, IP adresu, verziju teksta privole i radnju korisnika.
Mogu li objediniti privolu za više svrha?
Ne. Članak 7(2) GDPR-a zahtijeva granularnu privolu — odvojen pristanak za svaku svrhu obrade. Korisnik mora moći pristati na marketing, a odbiti analitiku, primjerice.
Koliko dugo vrijedi privola?
GDPR ne propisuje rok trajanja privole, ali se preporučuje osvježavanje svakih 12-24 mjeseca. Također, privola prestaje vrijediti ako se promijene uvjeti obrade ili svrha.
Što ako ispitanik povuče privolu?
Morate prestati s obradom podataka za tu svrhu bez nepotrebnog odgađanja. Podatke obrađene prije povlačenja ne morate brisati ako su obrađeni zakonito, ali daljnja obrada nije dopuštena.
Izvori
- GDPR — Uredba (EU) 2016/679, članci 6-7 (EUR-Lex) — pravne osnove i uvjeti privole
- EDPB Smjernice 05/2020 o privoli — službene smjernice Europskog odbora za zaštitu podataka
- Presuda Europskog suda pravde C-673/17 (Planet49) — presuda o valjanosti pre-checked checkboxa
- AZOP: Izrečene upravne novčane kazne — pregled kazni u Hrvatskoj
- ePrivacy direktiva (2002/58/EZ) — pravila za kolačiće i elektroničke komunikacije
Povezani članci
- Prava ispitanika prema GDPR-u: Vodič za tvrtke 2026
- GDPR kazne u Hrvatskoj: Kako zaštititi vašu tvrtku
- Pojmovnik: Compliance termini i definicije
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake ili službenika za zaštitu podataka.