Učitavanje
GDPR – General Data Protection Regulation ili Opća uredba o zaštiti osobnih podataka (OUZP) je uredba Evropske unije koja ima snagu zakona za sve članice EU (tj. po pravnoj snazi su čak jače od zakona), a odnosi se na uređivanje zaštite osobnih podataka. Također sve tvrtke koje posluju unutar EU, ma gdje bile, imaju obvezu primijeniti njena pravila.
Uredba regulira način prikupljanja, čuvanja i korištenja podataka fizičkih osoba i odnosi se na svaku profesionalnu ili komercijalnu djelatnost.
Fizičke osobe su ljudi, ali u Hrvatskoj su fizičke osobe i obrti. Obrt je način obavljanja neke djelatnosti, a sva prava i obaveze koje djelovanjem obrta nastaju ima fizička osoba, stoga ako u poslu surađujete s obrtima, imate jednake obaveze kao i s fizičkim osobama.
Što sve spada u podatke fizičkih osoba?
– ime i prezime
– identifikacijski podaci (OIB, JMBG, …)
– adresa (fizička, mail, IP adresa na internetu, …)
– fotografije, video zapisi, …
– financijski podaci, zdravstveni podaci, …
– …
Kada prikupljate bilo koji od ovih podataka trebate imati osnovu za prikupljanje tih podataka. Ukoliko je ta osnova zakon, za to vam ne treba nikakva dodatna dokumentacija, a ukoliko prikupljate iti jedan podatak koji nije potreban zakonom, trebate imati privolu osobe i tu privolu trebate imati evidentiranu.
Koje su vaše obaveze?
– jasno reći tko ste, zašto prikupljate podatke, koliko ćete ih čuvati i kome ćete ih proslijediti
– dobiti i evidentirati pristanak prije prikupljanja podataka (ako prikupljate podatke od djece, trebate i dopuštenje roditelja)
– omogućiti ljudima pristup, izvoz i brisanje svojih podataka (sve ovo može biti na upit)
– omogućite ljudima da svjesno odaberu žele li sudjelovati u izravnom marketingu koji se temelji na njihovim podacima (ova mogućnost ne smije unaprijed biti odabrana za njih)
– zaštitite podatke dizajnom (od početka ugrađujte smjernice za zaštitu podataka u svoje proizvode i usluge)
– ako šaljete osobne podatke drugim tvrtkama ili primate podatke od drugih, trebate imati ugovor u kojem su navedene odgovornosti svake strane (knjigovodstvo, dostavne službe, …)
– za veće tvrtke (iznad 250 zaposlenih) postoje dodatne obveze
– …
– na ovom linku imate detaljna objašnjenja vaših obaveza: GDPR detaljna pravila za poslovne subjekte
– skraćeni prikaz obaveza imate u zgodnoj infografici ovdje: GDPR infografika obaveza za poslovne subjekte
Koja su vaša prava?
– na informaciju o obradi vaših osobnih podataka
– dobiti pristup vašim podacima
– tražiti ispravak neispravnih ili nepotpunih vaših podataka
– brisanja vaših podataka čim više nisu potrebni ili im je obrada nezakonita
– nepristajanja i prigovaranja na obradu vaših podataka u svrhe marketinga
– prijenosa vaših podataka na drugo mjesto
– pravo naknade u slučaju da se vaši podaci nezakonito prikupljaju/obrađuju/proslijeđuju
– …
– na ovom linku imate detaljna objašnjenja vaših prava: GDPR prava za građane
Koje su posljedice nepridržavanja odredbi GDPR-a?
Službena tijela će vas u prvo upozoriti, zatim će vas opet opomenuti, nakon toga će zatražiti da ukinete obradu osobnih podataka i na kraju će vas kazniti i to do 4% ukupnog godišnjeg prometa (diljem svijeta) ili do 20 milijuna EUR (štogod je veće).
Fizičke osobe vas mogu odmah prijaviti nadležnoj agenciji (AZOP) ili putem suda zatražiti naknadu štete. Visina naknade ovisi o tome
Primjeri kada trebate paziti na GDPR (na što paziti i česte pogreške)
– u turizmu kod kopiranja/skeniranja osobnih iskaznica ili putovnica, jer na ovim dokumentima ima više podataka nego što ste ih dužni obraditi putem e-visitora (dakle, ovo je kažnjivo)
– ukoliko zadržavate osobne iskaznice ili putovnice bilo koje vrijeme kod sebe
– ukoliko čuvate podatke duže nego što ste zakonski obavezni (npr. reklamacije, račune fizičkim osobama, …)
– tijekom primanja gosta prikupljate više podataka nego što ste obavezni putem e-visitora (za sve podatke viška trebate imati evidentiranu privolu)
– imate internet stranicu i na njoj ugrađene Google analitike (ili neke druge alate), a taj alat pamti IP adresu osobe koja je došla na vašu stranicu, trebate imati privolu i evidenciju te privole. Alternativno, ukoliko vam taj podatak nije neophodan, možete uključiti IP anonimizaciju u sklopu alata kojeg koristite (npr. Google analitike ovo mogu)
– imate cookies (kolačiće) na internet stranici i temeljem toga radite marketing, do sada je bilo dovoljno da osoba pritisne “slažem se”, a sada treba prvo odabrati (ne smije biti unaprijed označeno) da želi dati svoje podatke za marketing i nakon toga pritisnuti “slažem se”
– šaljete čestitke gostima/klijentima za rođendan, trebate imati privolu i evidenciju te privole, jer se radi o marketinškom podatku
– ne razlikujete dob prilikom prikupljanja podataka, jer za osobe do 16 godina trebate imati privolu roditelja
– u bilo kojem trenutku vaš gost, bivši radnik, klijent vam može postaviti pitanje obrađujete li moje osobne podatke i na takav upit trebate odgovoriti u roku od 30 dana s informacijama koji su to podaci, kako ste ih dobili, gdje se nalaze, koliko dugo ih imate namjeru čuvati, … Detaljno imate na: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/what-information-should-i-receive-when-i-provide-my-personal-data_hr I ukoliko tu išta stranka smatra spornim može ići prema AZOP-u (agenciji za zaštitu osobnih podataka) ili sudu sa zahtjevom za naknadu štete
– ukoliko osim na obavezan način, osobne podatke čuvate još negdje, jer vam je tako lakše doći do njih. Primjerice za račune zakon kaže da se trebaju čuvati 11 godina, a ukoliko vi dajete nekakav dodatan popust starim klijentima, njihove podatke bez privole ne bi smjeli imati negdje drugdje
– ukoliko čuvate ugovore duže od ispunjenja svih ugovornih obaveza
– zaposlenici nisu educirani
– objavljujete fotografije zaposlenika na web/facebook stranici bez privole
– …
Gdje možete pronaći koje informacije o gostima smijete po zakonu prikupljati?
– Zakon o pružanju usluga u turizmu
– Pravilnik o obliku, sadržaju i načinu vođenja knjige gostiju i popisa gostiju
Korisni linkovi
Detaljne informacije o tome što uredba donosi za pravne, a što za fizičke osobe tj. koja su vaša prava, a koje su vaše obaveze, imate na stranicama Europske unije o ovoj temi (na hrvatskom jeziku): Osnovna stranica o GDPR-u tj. OUZP-u
Cjelokupnu GDPR uredbu možete pročitati ovdje: Cjelovita GDPR Uredba o zaštiti podataka
U pisanju ovog članka pomoglo mi je predavanje odvjetnice Tatjane Salopek iz Odvjetničkog društva Salopek & Salopek na temu GDPR u turizmu kojeg možete pogledati ovdje: GDPR u turizmu predavanje Tatjana Salopek
O autoru
-
Osnivač Izračunka i Internet partner d.o.o. (www.internetpartner.hr), gdje se od 2005. bavi razvojem internet tehnologija za turizam.
Više godina sudjeluje i organizira edukacije o prodaji putem interneta u turizmu u suradnji s Turističkom zajednicom Splitsko-Dalmatinske županije, lokalnim turističkim zajednicama, Gradom Splitom, Ekonomskim Fakultetom Split, Microsoft inovacijskim centrom, Privatnom srednjom školom Wallner te brojnim sajmovima. Licencirani voditelj turističke agencije.
Zadnje objave
Računi07.01.2026.Što hrvatski poduzetnik treba napraviti prije izdavanja prvog računa?
Fiskalizacija26.08.2025.Sve što trebate znati o Fiskalizaciji 2.0
Nekategorizirano16.05.2025.Zašto je Izračunko jednostavan?
Fiskalizacija26.05.2024.Što trebate napraviti da bi mogli fiskalizirati račune u krajnjoj potrošnji?
