Brzi pregled: Prava ispitanika ukratko
| Pravo | Rok za odgovor | Članak GDPR-a |
|---|---|---|
| Pravo na informiranje | Odmah (pri prikupljanju) | Čl. 13, 14 |
| Pravo na pristup | 30 dana | Čl. 15 |
| Pravo na ispravak | 30 dana | Čl. 16 |
| Pravo na brisanje | 30 dana | Čl. 17 |
| Pravo na ograničenje obrade | 30 dana | Čl. 18 |
| Pravo na prenosivost | 30 dana | Čl. 20 |
| Pravo na prigovor | Bez odgode | Čl. 21 |
| Prava vezana uz automatizirano odlučivanje | 30 dana | Čl. 22 |
Sadržaj
- Zašto su prava ispitanika važna
- 8 prava ispitanika prema GDPR-u
- Kako postupati sa zahtjevima ispitanika
- Rokovi i produljenja
- Kada možete odbiti zahtjev
- Verifikacija identiteta
- Uspostava procesa za obradu zahtjeva
- Najčešće greške i kako ih izbjeći
Izvršni sažetak
Prava ispitanika su temelj GDPR-a. Ona daju pojedincima kontrolu nad njihovim osobnim podacima i nameću obveze tvrtkama koje te podatke obrađuju. Nepoštivanje prava ispitanika jedan je od najčešćih razloga za GDPR kazne.
Zašto je ovo važno sada? AZOP sve češće prima pritužbe ispitanika i pokreće postupke protiv tvrtki koje ne odgovaraju na zahtjeve ili odgovaraju nepravilno. Prosječna kazna za kršenje prava ispitanika u EU iznosi 50.000-500.000 eura.
Ključno: Tretirajte svaki zahtjev ispitanika ozbiljno. Čak i ako mislite da je neosnovan, morate odgovoriti u roku od 30 dana s obrazloženjem.
Ovaj vodič namijenjen je službenicima za zaštitu podataka, pravnicima, HR menadžerima i svima koji rukuju osobnim podacima.
Zašto su prava ispitanika važna
Temeljna filozofija GDPR-a
GDPR je utemeljen na principu da pojedinci imaju pravo kontrolirati svoje osobne podatke. Tvrtke su samo "čuvari" podataka—ne vlasnici.
┌─────────────────────────────────────────────────────────────┐
│ ODNOS ISPITANIK - VODITELJ OBRADE │
├─────────────────────────────────────────────────────────────┤
│ │
│ ISPITANIK (pojedinac) │
│ ─────────────────── │
│ • Vlasnik podataka │
│ • Ima prava pristupa, ispravka, brisanja... │
│ • Može podnijeti pritužbu AZOP-u │
│ │
│ VODITELJ OBRADE (tvrtka) │
│ ───────────────────────── │
│ • Obrađuje podatke u skladu sa zakonom │
│ • Mora odgovoriti na zahtjeve u roku │
│ • Odgovoran za zaštitu podataka │
│ │
└─────────────────────────────────────────────────────────────┘
Posljedice nepoštivanja
| Rizik | Posljedica |
|---|---|
| Regulatorne kazne | Do 20M€ ili 4% globalnog prometa |
| Pritužbe AZOP-u | Istraga, nalozi, javna objava |
| Sudski postupci | Tužbe za naknadu štete |
| Reputacijska šteta | Gubitak povjerenja klijenata |
Ključna statistika: 30% GDPR kazni u EU vezano je uz kršenje prava ispitanika—posebno prava na pristup i brisanje.
8 prava ispitanika prema GDPR-u
1. Pravo na informiranje (čl. 13, 14)
Što znači: Ispitanici imaju pravo znati tko obrađuje njihove podatke, zašto, i koja prava imaju.
Obveze tvrtke:
- Informirati ispitanike pri prikupljanju podataka
- Koristiti jasan, razumljiv jezik
- Navesti: identitet voditelja, svrhu obrade, pravnu osnovu, primatelje, rokove čuvanja, prava ispitanika
Kako ispuniti:
- Politika privatnosti na web stranici
- Izjave o privatnosti pri prikupljanju (obrasci, ugovori)
- Obavijesti zaposlenicima o obradi njihovih podataka
2. Pravo na pristup (čl. 15)
Što znači: Ispitanik ima pravo dobiti potvrdu obrađuju li se njegovi podaci i, ako da, pristup tim podacima.
Što morate pružiti:
- Potvrdu da se podaci obrađuju (ili ne)
- Kopiju osobnih podataka
- Informacije o: svrsi, kategorijama podataka, primateljima, roku čuvanja, pravima
Primjer zahtjeva:
"Molim vas da mi dostavite sve osobne podatke koje vaša tvrtka obrađuje o meni, uključujući podatke u HR sustavima, email komunikaciji i CRM-u."
Rok: 30 dana
3. Pravo na ispravak (čl. 16)
Što znači: Ispitanik ima pravo zatražiti ispravak netočnih ili nepotpunih podataka.
Obveze tvrtke:
- Ispraviti netočne podatke bez nepotrebnog odgađanja
- Dopuniti nepotpune podatke
- Obavijestiti primatelje kojima su podaci proslijeđeni
Primjer:
"Moja adresa u vašem sustavu je netočna. Molim ispravak na: Ulica XY 123, Zagreb."
Rok: 30 dana (bez odgode)
4. Pravo na brisanje / "pravo na zaborav" (čl. 17)
Što znači: Ispitanik ima pravo zatražiti brisanje svojih podataka u određenim okolnostima.
Kada se primjenjuje:
- Podaci više nisu potrebni za svrhu za koju su prikupljeni
- Ispitanik povlači privolu
- Ispitanik ulaže prigovor, a nema legitimnih razloga za nastavak obrade
- Podaci su nezakonito obrađivani
- Brisanje je potrebno za ispunjenje pravne obveze
Kada NE morate brisati:
- Zakonska obveza čuvanja (npr. računovodstveni dokumenti 11 godina)
- Uspostava, ostvarivanje ili obrana pravnih zahtjeva
- Javni interes (npr. arhiviranje, istraživanje)
Rok: 30 dana
5. Pravo na ograničenje obrade (čl. 18)
Što znači: Ispitanik može zatražiti da se obrada "zamrzne" u određenim situacijama.
Kada se primjenjuje:
- Ispitanik osporava točnost podataka (dok se ne provjeri)
- Obrada je nezakonita, ali ispitanik ne želi brisanje
- Voditelj više ne treba podatke, ali ispitanik ih treba za pravne zahtjeve
- Ispitanik je uložio prigovor (dok se ne provjeri prevladavaju li legitimni razlozi)
Što ograničenje znači u praksi:
- Podaci se čuvaju, ali ne obrađuju aktivno
- Označiti podatke kao "ograničeni"
- Dopušteno: čuvanje, obrada uz privolu, pravni zahtjevi
Rok: 30 dana
6. Pravo na prenosivost podataka (čl. 20)
Što znači: Ispitanik ima pravo dobiti svoje podatke u strukturiranom, strojno čitljivom formatu i prenijeti ih drugom voditelju.
Kada se primjenjuje:
- Obrada se temelji na privoli ili ugovoru
- Obrada se provodi automatiziranim sredstvima
Format podataka:
- JSON, XML, CSV ili sličan strojno čitljiv format
- Ne mora biti "lijep"—mora biti upotrebljiv
Primjer:
"Molim vas da mi dostavite sve podatke koje ste prikupili temeljem moje privole u CSV formatu, kako bih ih mogao prenijeti drugom pružatelju usluge."
Rok: 30 dana
7. Pravo na prigovor (čl. 21)
Što znači: Ispitanik može uložiti prigovor na obradu podataka temeljenu na legitimnom interesu ili javnom interesu.
Posebna pravila za direktni marketing:
- Ispitanik ima apsolutno pravo prigovoriti obradi za direktni marketing
- Nema iznimki—morate prestati odmah
Kod ostalih osnova:
- Morate prestati obrađivati osim ako dokažete uvjerljive legitimne razloge koji nadilaze interese ispitanika
Rok: Bez odgode
8. Prava vezana uz automatizirano odlučivanje (čl. 22)
Što znači: Ispitanik ima pravo ne biti podvrgnut odluci koja se temelji isključivo na automatiziranoj obradi, uključujući profiliranje, ako ta odluka proizvodi pravne učinke.
Primjeri automatiziranog odlučivanja:
- Automatsko odbijanje kredita
- Algoritamska procjena rizika za osiguranje
- Automatsko filtriranje kandidata za posao
Obveze:
- Osigurati ljudsku intervenciju
- Omogućiti ispitaniku da izrazi svoje stajalište
- Omogućiti osporavanje odluke
Kako postupati sa zahtjevima ispitanika
Standardni proces
┌─────────────────────────────────────────────────────────────┐
│ PROCES OBRADE ZAHTJEVA ISPITANIKA │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1. ZAPRIMANJE (Dan 0) │
│ └─ Evidentirajte zahtjev │
│ └─ Potvrdite primitak ispitaniku │
│ └─ Pokrenite "sat" za rok od 30 dana │
│ │
│ 2. VERIFIKACIJA (Dan 1-5) │
│ └─ Provjerite identitet ispitanika │
│ └─ Utvrdite koje pravo se ostvaruje │
│ └─ Zatražite pojašnjenje ako je potrebno │
│ │
│ 3. PROCJENA (Dan 5-15) │
│ └─ Identificirajte relevantne podatke/sustave │
│ └─ Ocijenite primjenjuju li se iznimke │
│ └─ Konzultirajte DPO/pravnu službu ako treba │
│ │
│ 4. IZVRŠENJE (Dan 15-25) │
│ └─ Provedite zahtjev (pristup, brisanje, ispravak...) │
│ └─ Dokumentirajte poduzete radnje │
│ └─ Obavijestite primatelje podataka ako je primjenjivo │
│ │
│ 5. ODGOVOR (Najkasnije Dan 30) │
│ └─ Dostavite odgovor ispitaniku │
│ └─ Ako odbijate, navedite razloge i pravo na pritužbu │
│ └─ Evidentirajte završetak │
│ │
└─────────────────────────────────────────────────────────────┘
Što odgovor mora sadržavati
Za pravo na pristup:
- Potvrda da se podaci obrađuju
- Kopija podataka
- Informacije iz čl. 15(1): svrha, kategorije, primatelji, rok čuvanja, prava
Za pravo na brisanje:
- Potvrda brisanja
- ILI razlozi za odbijanje (s pravnom osnovom)
Za sve odgovore:
- Informacija o pravu na pritužbu nadzornom tijelu (AZOP)
- Kontakt podaci za dodatna pitanja
Rokovi i produljenja
Standardni rok: 30 dana
Rok počinje teći od dana zaprimanja zahtjeva, ne od dana verifikacije identiteta.
Produljenje roka
Rok se može produljiti za dodatna 2 mjeseca (ukupno 3 mjeseca) ako je zahtjev:
- Složen
- Ispitanik je podnio više zahtjeva
Obveza: Obavijestiti ispitanika o produljenju unutar prvog mjeseca s obrazloženjem.
Naknade
- Općenito: Besplatno
- Iznimke: Možete naplatiti razumnu naknadu za:
- Očito neutemeljene zahtjeve
- Pretjerane zahtjeve (npr. ponavljajući zahtjevi)
- Dodatne kopije (kod prava na pristup)
Kada možete odbiti zahtjev
Legitimni razlozi za odbijanje
| Pravo | Kada možete odbiti |
|---|---|
| Brisanje | Zakonska obveza čuvanja, pravni zahtjevi, javni interes |
| Pristup | Bi se ugrozila prava drugih (npr. podaci trećih osoba) |
| Prenosivost | Podaci nisu prikupljeni temeljem privole/ugovora |
| Prigovor | Postoje uvjerljivi legitimni razlozi (osim direktnog marketinga) |
Kako pravilno odbiti
- Odgovorite u roku (30 dana)
- Navedite konkretne razloge za odbijanje
- Pozovite se na relevantni članak GDPR-a
- Informirajte o pravu na pritužbu AZOP-u
- Informirajte o pravu na sudsku zaštitu
Primjer odbijanja:
"Poštovani, zaprimili smo Vaš zahtjev za brisanje podataka od [datum]. Nažalost, nismo u mogućnosti udovoljiti Vašem zahtjevu jer smo prema Zakonu o računovodstvu (NN 78/15) obvezni čuvati [navedene podatke] 11 godina od nastanka poslovnog događaja. Pravo na brisanje bit će primjenjivo nakon isteka ovog roka.
Ako niste zadovoljni ovim odgovorom, imate pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka (AZOP) na www.azop.hr ili zatražiti sudsku zaštitu."
Verifikacija identiteta
Zašto je verifikacija važna
Ako odgovorite na zahtjev bez provjere identiteta, riskirate:
- Otkrivanje podataka neovlaštenoj osobi
- Brisanje podataka na zahtjev neovlaštene osobe
- To je povreda osobnih podataka prema GDPR-u
Kako verificirati identitet
| Metoda | Kada koristiti |
|---|---|
| Email s registriranog računa | Zahtjev dolazi s emaila koji imate u evidenciji |
| Prijava na korisnički račun | Zahtjev putem autentificiranog portala |
| Osobni dokument | Ako niste sigurni u identitet |
| Kontrolna pitanja | Podaci koje samo ispitanik može znati |
Što NE smijete tražiti
- Ne tražite više podataka nego što je potrebno za verifikaciju
- Ne tražite kopiju osobne iskaznice ako email adresa dovoljna
- Ne tražite dolazak osobno ako nije nužno
Uspostava procesa za obradu zahtjeva
Ključni elementi procesa
Kanal za zaprimanje
- Email adresa (npr. privatnost@tvrtka.hr)
- Obrazac na web stranici
- Fizička adresa za pisane zahtjeve
Evidencija zahtjeva
- Datum zaprimanja
- Vrsta zahtjeva
- Status (zaprimljen, u obradi, odgovoreno)
- Rok za odgovor
Odgovorne osobe
- Tko zaprima zahtjeve
- Tko verificira identitet
- Tko pretražuje sustave
- Tko odobrava odgovor
Predlošci odgovora
- Za svaku vrstu zahtjeva
- Za odobrenje i odbijanje
- Na hrvatskom i engleskom (ako je potrebno)
Tablica raspodjele odgovornosti
| Aktivnost | Odgovorna osoba |
|---|---|
| Zaprimanje zahtjeva | Recepcija / DPO |
| Verifikacija identiteta | DPO / Pravna služba |
| Pretraga sustava | IT / HR / relevantni odjeli |
| Priprema odgovora | DPO |
| Odobrenje odgovora | DPO / Uprava |
| Dostava odgovora | DPO |
Najčešće greške i kako ih izbjeći
1. Ignoriranje zahtjeva
Greška: Ne odgovoriti na zahtjev.
Posljedica: Pritužba AZOP-u, kazna.
Rješenje: Svaki zahtjev zaslužuje odgovor—čak i ako je odbijanje.
2. Propuštanje roka
Greška: Odgovoriti nakon 30 dana bez produljenja.
Posljedica: Kršenje GDPR-a, pritužba.
Rješenje: Evidencija s praćenjem rokova, automatski podsjetnici.
3. Prekomjerna verifikacija
Greška: Tražiti preslike dokumenata kad email adresa dovoljna.
Posljedica: Prikupljanje previše podataka, frustracija ispitanika.
Rješenje: Proporcionalna verifikacija—minimum potreban.
4. Nepotpun odgovor na pristup
Greška: Ne uključiti sve kategorije podataka.
Posljedica: Ispitanik se žali, ponovna pretraga.
Rješenje: Sistematična pretraga svih sustava prije odgovora.
5. Automatsko odbijanje
Greška: Uvijek odbijati pozivajući se na iznimke.
Posljedica: Pritužbe, gubitak povjerenja.
Rješenje: Svaki zahtjev procjenjivati pojedinačno.
Zaključak
Prava ispitanika nisu administrativno opterećenje—ona su temelj povjerenja između tvrtke i pojedinaca čije podatke obrađuje. Učinkovit proces obrade zahtjeva štiti tvrtku od kazni i gradi reputaciju odgovornog voditelja obrade.
Ključne poruke
- 8 prava ispitanika—poznajte ih sve
- 30 dana standardni rok za odgovor
- Svaki zahtjev zaslužuje odgovor (čak i odbijanje)
- Dokumentacija je ključna za dokazivanje usklađenosti
Vaš akcijski plan
- Uspostavite kanal za zaprimanje zahtjeva
- Educirajte tim o pravima ispitanika
- Pripremite predloške odgovora
- Implementirajte evidenciju zahtjeva s praćenjem rokova
- Testirajte proces kroz simulaciju
Započnite s GDPR edukacijom
CompliQuest nudi online tečajeve koji pokrivaju GDPR, prava ispitanika i postupke obrade zahtjeva. Naši tečajevi pomažu organizacijama uspostaviti učinkovite procese i izbjeći kazne.
Pregledajte naše GDPR tečajeve | Kontaktirajte nas
Preporučeni tečajevi
- GDPR usklađenost u reklamacijama — Upravljanje zahtjevima ispitanika u praksi.
- GDPR u praksi: Vodič za usklađenost — Temeljna znanja za voditelje obrade.
Često postavljana pitanja
Koliko imam vremena odgovoriti na zahtjev ispitanika?
Rok je 30 dana od zaprimanja zahtjeva. U složenim slučajevima ili kod velikog broja zahtjeva, rok se može produžiti za dodatna 2 mjeseca, ali ispitanika morate obavijestiti o produženju u prvih 30 dana.
Mogu li naplatiti odgovor na zahtjev?
U pravilu ne. Odgovor mora biti besplatan. Iznimno, za očito neutemeljene ili pretjerane zahtjeve (posebno ponavljajuće), možete naplatiti razumnu naknadu administrativnih troškova ili odbiti postupiti po zahtjevu.
Moramo li obrisati sve podatke na zahtjev za brisanje?
Ne uvijek. Pravo na brisanje nije apsolutno. Organizacija može odbiti brisanje ako obrada služi izvršenju zakonske obveze, javnom interesu, arhiviranju u javnom interesu, ili uspostavi, ostvarenju ili obrani pravnih zahtjeva.
Kako verificirati identitet podnositelja zahtjeva?
Morate verificirati identitet, ali ne smijete tražiti neproporcionalne dokaze. Ako je korisnik već autenticiran (npr. prijavljen na platformu), dodatna verifikacija obično nije potrebna. Za zahtjeve emailom, možete tražiti potvrdu putem registrirane email adrese.
Što ako ispitanik traži podatke o drugoj osobi?
Ne smijete otkriti osobne podatke treće osobe prilikom odgovora na zahtjev za pristup. Ako dokument sadrži podatke više osoba, potrebno je anonimizirati podatke drugih ispitanika prije dostave.
Trebam li poseban sustav za upravljanje zahtjevima?
Za organizacije koje redovito primaju zahtjeve, preporučuje se sustav s evidencijom, praćenjem rokova i predlošcima odgovora. Za manje organizacije, može biti dovoljna strukturirana tablica s jasnim procedurama.
Što ako AZOP utvrdi da nismo ispravno postupili?
AZOP može izreći upravnu novčanu kaznu do 20 milijuna eura ili 4% godišnjeg prometa za kršenje prava ispitanika. U praksi, AZOP najprije izdaje upozorenje ili nalog za ispravak, ali ponavljana ili ozbiljna kršenja rezultiraju kaznama.
Izvori
- GDPR — Uredba (EU) 2016/679, članci 12-23 (EUR-Lex) — prava ispitanika
- EDPB Smjernice o transparentnosti (WP260) — zahtjevi za informiranje ispitanika
- AZOP: Prava ispitanika — smjernice hrvatskog nadzornog tijela
- ICO Guide to the Right of Access — detaljni vodič (referentni primjer dobre prakse)
- EDPB Annual Report 2024 — statistika zahtjeva i pritužbi u EU
Povezani članci
- GDPR kazne u Hrvatskoj: Kako zaštititi vašu tvrtku
- GDPR privola: Kako pravilno prikupiti pristanak 2026
- Pojmovnik: Compliance termini i definicije
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake ili službenika za zaštitu podataka.