Prava ispitanika prema GDPR-u: što vaša tvrtka mora omogućiti

GDPR daje pojedincima niz prava koja vaša tvrtka mora ispuniti, u pravilu u roku od mjesec dana. Evo kojih, kako postupiti sa zahtjevom i kada postoje iznimke.

Stručnjak za zaštitu podataka obrađuje zahtjev ispitanika za pristup podacima na prijenosnom računalu.

Autor

Ana Levantić

Sigurnosni program, rizik i usklađenost

Podijelite

LinkedInX / TwitterCopy link

GDPR pojedincima daje niz prava nad njihovim osobnim podacima, a vašoj tvrtki nameće obvezu da ta prava omogućite. Nisu teorijska. Ispitanik koji zatraži svoje podatke ili njihovo brisanje, a ne dobije odgovor u roku, može podnijeti pritužbu AZOP-u, što često pokreće nadzor. Ovaj tekst objašnjava koja su prava, u kojem roku i obliku odgovarate te kada smijete zahtjev ograničiti ili odbiti.

Ovo je dio našeg potpunog vodiča kroz GDPR. Postupke za prava ispitanika uspostavljamo kroz sigurnosni program i rizik.

Sedam prava ispitanika

Prava su propisana člancima 15. do 22. GDPR-a. Ne primjenjuju se sva u svakoj situaciji, ali tvrtka mora znati ispuniti svako.¹

Pravo	Što znači
Pristup	Uvid u vlastite podatke i informaciju o tome kako se obrađuju.
Ispravak	Ispravak netočnih ili nepotpunih podataka.
Brisanje (zaborav)	Brisanje podataka pod određenim uvjetima.
Ograničenje obrade	Privremeno zaustavljanje obrade u određenim situacijama.
Prenosivost	Prijenos podataka drugom voditelju u strojno čitljivom obliku.
Prigovor	Prigovor na obradu po legitimnom interesu ili na izravni marketing.
Automatizirano odlučivanje	Pravo da se na vas ne primjenjuje odluka isključivo automatiziranom obradom.

Prava ispitanika prema GDPR-u (članci 15.–22.).

Rok i oblik odgovora

Na zahtjev odgovarate bez nepotrebne odgode, a najkasnije u roku od mjesec dana od zaprimanja. Rok se može produljiti za dodatna dva mjeseca za složene ili brojne zahtjeve, uz obavijest ispitaniku. Odgovor je u pravilu besplatan; naknadu ili odbijanje smijete primijeniti samo kod očito neutemeljenih ili pretjeranih zahtjeva. Prije postupanja razumno provjerite identitet podnositelja.¹

Kako postupiti sa zahtjevom

Zahtjev može stići e-poštom, pismom ili usmeno, i ne mora spominjati GDPR da bi bio valjan. Zato je važno imati unaprijed pripremljen postupak.

01
Zaprimite i evidentirajte
Zabilježite zahtjev i datum, jer od njega teče rok od mjesec dana.
02
Provjerite identitet
Razumnim sredstvima potvrdite da zahtjev dolazi od ispitanika ili ovlaštene osobe.
03
Pronađite podatke
Locirajte sve podatke o ispitaniku u svim sustavima, uključujući kod izvršitelja obrade.
04
Procijenite iznimke
Provjerite postoje li zakonski razlozi za ograničenje ili odbijanje dijela zahtjeva.
05
Odgovorite u roku
Dostavite tražene informacije ili obrazloženo odbijanje unutar mjesec dana.
06
Dokumentirajte
Sačuvajte zapis o zahtjevu i postupanju, jer GDPR traži dokazivost.

Iznimke i ograničenja

Prava ispitanika nisu apsolutna. U određenim situacijama smijete zahtjev ograničiti ili odbiti, ali to morate moći obrazložiti.

Zakonska obveza čuvanja podataka, primjerice računovodstvenih, može spriječiti brisanje.
Prava i slobode drugih osoba mogu ograničiti pristup dijelu podataka.
Očito neutemeljeni ili pretjerani zahtjevi mogu se naplatiti ili odbiti, uz obrazloženje.
Pravo na brisanje ne primjenjuje se kad je obrada nužna za ostvarivanje prava na slobodu izražavanja ili za pravne zahtjeve.

Zahtjev ispitanika nije administrativna smetnja, nego trenutak u kojem se vidi znate li uopće koje podatke imate i gdje su. Tko to ne zna, ne može odgovoriti u roku.

Što ako ne ispunite zahtjev

Ispitanik koji ne dobije odgovor u roku ili smatra da je zahtjev neopravdano odbijen može podnijeti pritužbu AZOP-u.² To često pokreće nadzor, a propusti u postupanju s pravima spadaju u teže povrede koje nose više kazne. Zato je jednostavan, uvježban postupak najbolja zaštita.

Kako Raptoric pomaže

Kroz sigurnosni program i rizik uspostavljamo evidencije i postupke koji omogućuju da na zahtjev ispitanika odgovorite točno i u roku, jer iza svakog prava stoji sposobnost da pronađete i kontrolirate podatke. Dogovorite uvodni razgovor.

Česta pitanja

U kojem roku moramo odgovoriti na zahtjev?

U pravilu u roku od mjesec dana od zaprimanja. Rok se može produljiti za dodatna dva mjeseca za složene ili brojne zahtjeve, uz obavijest ispitaniku s obrazloženjem.

Smijemo li naplatiti odgovor na zahtjev?

U pravilu ne, odgovor je besplatan. Razumnu naknadu ili odbijanje smijete primijeniti samo kod očito neutemeljenih ili pretjeranih zahtjeva, što morate moći obrazložiti.

Možemo li odbiti zahtjev za brisanjem?

Ponekad da. Pravo na brisanje ne primjenjuje se kad zakon traži čuvanje podataka ili kad je obrada nužna za pravne zahtjeve ili slobodu izražavanja. Odbijanje morate obrazložiti.

Kome se ispitanik žali ako mu ne odgovorimo?

Agenciji za zaštitu osobnih podataka (AZOP). Pritužba često pokreće nadzor, a propusti u postupanju s pravima ispitanika spadaju u teže povrede GDPR-a.

Izvori

1Europski parlament i Vijeće EU-a. Uredba (EU) 2016/679 (GDPR), članci 15.–22.. Službeni list Europske unije, 2016. Poveznica
2AZOP. Vaša prava (prava ispitanika). Agencija za zaštitu osobnih podataka, 2024. Poveznica

Želite li ovakvu provjeru na vlastitim sustavima?

Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.

Dogovorite razgovor

Nastavite čitati

Svi tekstovi →

01Sigurnosni program i rizik

Što je virtualni CISO (vCISO) i kada vam treba?

Čitajte →10 min čitanja

02Sigurnosni program i rizik

GDPR i zaštita osobnih podataka: vodič za tvrtke u Hrvatskoj

Čitajte →15 min čitanja

03Sigurnosni program i rizik

GDPR kazne: koliko su visoke i kako ih izbjeći

Čitajte →10 min čitanja