Člankom 38. stavkom 3. Opće uredbe o zaštiti osobnih podataka propisano je:

” Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade.”

Člankom 38. Opće uredbe o zaštiti podataka propisano je da voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka „na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka”.

Općom uredbom o zaštiti podataka (GDPR) određeni voditelji obrade i izvršitelji obrade dužni su imenovati službenika za zaštitu podataka. To će vrijediti za sva tijela javne vlasti i javna tijela (bez obzira na to koje podatke obrađuju) i za ostale organizacije čija je osnovna djelatnost sustavno i opsežno praćenje pojedinaca ili koje obrađuju posebne kategorije osobnih podataka u velikoj mjeri. Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka.

Zakon o elektroničkoj trgovini (NN 173/03, 67/08, 36/09, 130/11, 30/14) propisuje osnovne podatke koje je potrebno navesti u newsletteru u svezi osobe davatelja usluga

ime i prezime ili tvrtku davatelja usluga,
sjedište obrta ili sjedište pravne osobe davatelja usluga,

Article 20 of the GDPR creates a new right to data portability, which is closely related to the right of access but differs from it in many ways. It allows for data subjects to receive the personal data that they have provided to a controller, in a structured, commonly used and machine-readable format, and to transmit those data to another data controller. The purpose of this new right is to empower the data subject and give him/her more control over the personal data concerning him or her.

U elektroničkoj trgovini se pri odlučivanju o mjerodavnom pravu primjenjuju sljedeći pravni propisi:
– Zakon o elektroničkoj trgovini

Article 5 of the GDPR requires that personal data shall be:

(a) processed lawfully, fairly and in a transparent manner in relation to individuals;

(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall not be considered to be incompatible with the initial purposes;

U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

Kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana Općom uredbom o zaštiti osobnih podataka (GDPR ili Uredba) u Uniji. Prijenos bi se mogao obavljati isključivo ako voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

Prema članku 21. st.2. Opće uredbe o zaštiti osobnih podataka (GDPR) propisano je da “ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom.”