Prava korisnika po GDPR — Pristup, brisanje, prenosivost
Kompletni vodic za 8 prava korisnika: objasnjenja, primeri, izuzeci, rokovi i tehnicka implementacija
Sadrzaj
- 1. Pravo na informisanje
- 2. Pravo na pristup (SAR)
- 3. Pravo na ispravku
- 4. Pravo na brisanje ("Right to be forgotten")
- 5. Pravo na ogranicenje obrade
- 6. Pravo na prenosivost podataka
- 7. Pravo na prigovor
- 8. Automatizovano odlucivanje i profilisanje
- Rokovi i DSAR proces
- Tehnicka implementacija
- Reference i resursi
1. Pravo na informisanje (Cl. 13-14)
Korisnici imaju pravo da znaju STA se prikuplja, ZASTO, KO obradjuje i KOLIKO DUGO se cuva. Ovo se ostvaruje kroz Privacy Policy. Detaljnije u nasem Privacy Policy vodicu.
2. Pravo na pristup — SAR (Cl. 15)
Korisnik moze zatraziti kopiju svih podataka koje imate o njemu. Ovo se zove Subject Access Request (SAR) ili DSAR (Data Subject Access Request).
- Sta morate dati: Kopiju svih licnih podataka + svrhe obrade + primaoce + period cuvanja
- Format: Elektronski, u citljivom formatu (PDF, CSV, JSON)
- Cena: Besplatno za prvi zahtev. Za ponovljene/preterane zahteve: razumna naknada ili odbijanje
- Primer: "Zelim kopiju svih podataka koje imate o meni: email, IP logovi, analytics podaci, kupovine"
// Primer API endpoint-a za SAR
// GET /api/user/data-export?email=user@example.com
{
"user": {
"email": "user@example.com",
"name": "Marko Markovic",
"registered": "2025-03-15",
"ip_logs": ["185.12.34.56 — 2026-04-01", "185.12.34.56 — 2026-04-05"],
"orders": [{"id": 1234, "date": "2026-03-20", "amount": "2990 RSD"}],
"analytics_data": "Anonimizovano — ne mozemo povezati sa vama",
"cookies_consent": {"analytics": true, "marketing": false, "date": "2026-01-15"}
}
}3. Pravo na ispravku (Cl. 16)
Korisnik moze zatraziti ispravku netacnih podataka ili dopunu nepotpunih.
- Primer: "Moje ime je pogresno upisano", "Promenio sam adresu"
- Rok: 30 dana, bez naplate
- Obaveza: Obavestiti sve primaoce kojima ste prosledili podatke o ispravci
4. Pravo na brisanje — "Right to be forgotten" (Cl. 17)
Najpoznatije GDPR pravo. Korisnik moze zatraziti potpuno brisanje svih svojih podataka.
Kada MORATE obrisati
- Podaci vise nisu potrebni za originalnu svrhu
- Korisnik povuce saglasnost (i nema drugog pravnog osnova)
- Korisnik uloze prigovor na obradu
- Podaci su nezakonito obradjeni
- Zakonska obaveza brisanja
Kada MOZETE odbiti
- Zakonska obaveza: Poreske evidencije (5-10 godina), medicinski podaci
- Javni interes: Arhiviranje, istrazivanje, statistika
- Pravni zahtevi: Ako su podaci potrebni za sudski postupak
- Sloboda izrazavanja: Novinarstvo, umetnost
5. Pravo na ogranicenje obrade (Cl. 18)
Korisnik moze zatraziti da prestanete da koristite podatke (ali da ih i dalje cuvate) u sledecim slucajevima:
- Osporava tacnost podataka (dok se ne verifikuje)
- Obrada je nezakonita ali korisnik ne zeli brisanje
- Vi vise ne trebate podatke ali korisnik ih treba za pravne zahteve
- Korisnik je ulozio prigovor (dok se ne odluci)
6. Pravo na prenosivost podataka (Cl. 20)
Korisnik moze zatraziti da mu dostavite podatke u strukturiranom, masinski citljivom formatu (JSON, CSV, XML) i da ih prenesete drugom kontroloru.
- Primenjuje se na: Podatke koje je korisnik sam dao + podatke nastale koriscenjem usluge
- NE primenjuje se na: Izvedene podatke (vasa analiza, scoring, profilisanje)
- Format: JSON, CSV ili XML — masinski citljiv, ne PDF
- Primer: Instagram "Download Your Data" — sve slike, komentari, poruke u ZIP-u
// Primer data export-a za prenosivost
// Format: JSON (masinski citljiv)
{
"format": "GDPR Data Portability Export",
"date": "2026-04-09",
"user": {
"name": "Marko Markovic",
"email": "marko@primer.rs"
},
"orders": [...],
"preferences": {...},
"content": [...] // Korisnikov sadrzaj
// NE ukljucuje: vas interni scoring, ML predikcije
}7. Pravo na prigovor (Cl. 21)
Korisnik moze uloziti prigovor na obradu zasnovanu na legitimnom interesu ili javnom interesu.
- Direktni marketing: Ako korisnik prigovori na marketing, MORATE odmah prestati. Bez izuzetaka.
- Legitimni interes: Morate dokazati da vasi interesi prevazilaze prava korisnika, inace morate prestati.
- Implementacija: "Unsubscribe" link u svakom marketing email-u, "Opt-out" opcija za analitiku.
8. Automatizovano odlucivanje i profilisanje (Cl. 22)
Korisnik ima pravo da ne bude podvrgnut odluci zasnovanoj iskljucivo na automatizovanoj obradi koja ga znacajno pogadja.
- Primer: Automatsko odbijanje kredita, automatsko podesavanje cena na osnovu profila
- Prava korisnika: Zahtev za ljudsku intervenciju, objasnjenje odluke, osporavanje odluke
- Izuzeci: Neophodnost za ugovor, zakonska osnova, eksplicitna saglasnost
- AI implikacije: Algoritmi koji odlucuju o kreditima, zaposlenju, osiguranju moraju imati "human in the loop"
9. Rokovi i DSAR proces
| Aspekt | Detalj |
|---|---|
| Rok za odgovor | 30 dana od prijema zahteva |
| Produzenje | +2 meseca za slozene zahteve (obavestiti korisnika u prvih 30 dana) |
| Cena | Besplatno. Naknada samo za ponovljene/preterane zahteve |
| Identifikacija | Morate verifikovati identitet podnosioca zahteva pre odgovora |
| Format | Elektronski ako je zahtev elektronski. Citljiv format. |
| Odbijanje | Morate objasniti razlog + pravo na zalbu DPA |
10. Tehnicka implementacija
# Python primer: GDPR data export endpoint
from fastapi import APIRouter
from datetime import datetime
@router.get("/api/gdpr/export/{user_id}")
async def gdpr_export(user_id: str):
# Prikupi SVE podatke za korisnika
user = await db.users.find_one({"_id": user_id})
orders = await db.orders.find({"user_id": user_id}).to_list()
logs = await db.access_logs.find({"user_id": user_id}).to_list()
return {
"export_date": datetime.now().isoformat(),
"format": "GDPR Article 15/20 Data Export",
"personal_data": {
"name": user["name"],
"email": user["email"],
"registered": user["created_at"],
},
"activity": {
"orders": [sanitize_order(o) for o in orders],
"login_history": [{"date": l["date"], "ip": l["ip"]} for l in logs],
},
"consent_history": user.get("consent_log", []),
}
# Soft delete za pravo na brisanje
@router.delete("/api/gdpr/delete/{user_id}")
async def gdpr_delete(user_id: str):
# Soft delete: sacuvaj za zakonske obaveze, oznaci kao obrisano
await db.users.update_one(
{"_id": user_id},
{"$set": {"deleted": True, "deleted_at": datetime.now(),
"email": "DELETED", "name": "DELETED"}}
)
# Obrisi analytics podatke (hard delete)
await db.analytics.delete_many({"user_id": user_id})
return {"status": "deleted", "retained": "Legal obligation data retained per Art. 17(3)"}11. Reference i resursi
- GDPR Poglavlje 3 — Prava korisnika (Cl. 12-23)
- ICO — Individual Rights Guide
- EDPB — Guidelines on Rights
- Poverenik za informacije — Srbija
- ZZPL — Srpski zakon
- Your Europe — GDPR Rights for Citizens
GDPR User Rights — Access, Erasure, Portability
Complete guide to 8 user rights: explanations, examples, exceptions, deadlines and implementation
Table of Contents
1. Right to be informed (Art. 13-14)
Users must know WHAT is collected, WHY, by WHOM, and for HOW LONG. Implemented through Privacy Policy. More in our Privacy Policy guide.
2. Right of access — SAR (Art. 15)
Users can request a copy of all their personal data. Called Subject Access Request (SAR/DSAR). Must provide: all personal data + purposes + recipients + retention period. Format: electronic, readable (PDF, CSV, JSON). Free for first request.
3. Right to rectification (Art. 16)
Users can request correction of inaccurate data or completion of incomplete data. 30-day deadline. Must notify all recipients of corrections.
4. Right to erasure — "Right to be forgotten" (Art. 17)
Users can request complete deletion of all their data.
Must delete when: data no longer needed, consent withdrawn, objection raised, unlawful processing.
Can refuse when: legal obligation (tax records), public interest, legal claims, freedom of expression.
5. Right to restriction of processing (Art. 18)
User can request you stop using data (but keep storing it) when: accuracy contested, processing unlawful but user doesn't want deletion, data needed for legal claims, objection pending.
6. Right to data portability (Art. 20)
User can request data in structured, machine-readable format (JSON, CSV, XML) and transfer to another controller. Applies to: user-provided data + usage-generated data. Does NOT apply to: derived data (your analysis, scoring).
7. Right to object (Art. 21)
Direct marketing: if user objects, you MUST stop immediately. No exceptions. Legitimate interest: must prove your interests override user rights. Implement: unsubscribe links, opt-out options.
8. Automated decision-making (Art. 22)
Users have the right not to be subject to decisions based solely on automated processing that significantly affects them. Examples: automatic credit denial, automated pricing. Rights: request human intervention, explanation, contest decision.
9. Deadlines and DSAR process
| Aspect | Detail |
|---|---|
| Response deadline | 30 days from receipt |
| Extension | +2 months for complex requests (notify in first 30 days) |
| Cost | Free. Fee only for repeated/excessive requests |
| Verification | Must verify requester identity before responding |
| Refusal | Must explain reason + right to complain to DPA |
10. Technical implementation
Key endpoints: GET /api/gdpr/export/{user_id} for data access/portability, DELETE /api/gdpr/delete/{user_id} for erasure (soft delete + hard delete analytics).
11. References and resources
- GDPR Chapter 3 — Rights (Art. 12-23)
- ICO — Individual Rights
- EDPB Guidelines
- Your Europe — GDPR Rights