GDPR u Hrvatskoj: prakticni vodic za male tvrtke

Sto mala i srednja tvrtka u Hrvatskoj mora znati o GDPR-u? Prakticni pregled obaveza, kazni i konkretnih koraka za uskladivanje.

sigurnostposlovanjegdpr
GDPR u Hrvatskoj: prakticni vodic za male tvrtke

GDPR je na snazi od 2018. godine, ali vecina malih tvrtki u Hrvatskoj jos uvijek nije potpuno uskladena. Nije zato sto ne zele -- nego jer im nitko nije objasnio sto tocno moraju napraviti, bez pravnickog zargona i nepotrebnog kompliciranja.

Sto je GDPR ukratko?

Opca uredba o zastiti podataka (GDPR) je zakon EU koji regulira kako tvrtke prikupljaju, obradjuju i cuvaju osobne podatke. Odnosi se na svaku tvrtku koja ima zaposlenike, kupce, korisnike ili suradnike u EU -- dakle na prakticki svaku tvrtku u Hrvatskoj.

Osobni podatak je sve sto moze identificirati osobu: ime, email, OIB, IP adresa, fotografija, lokacija.

Koje su obveze za malu tvrtku?

1. Pravna osnova za obradu podataka

Za svaki osobni podatak koji prikupljate morate imati pravnu osnovu:

  • Ugovor -- trebate podatke za izvrsenje ugovora s klijentom
  • Zakon -- zakon vas obavezuje (racuni, porezna dokumentacija)
  • Privola -- korisnik je izricito pristao (newsletter, marketing)
  • Legitimni interes -- imate opravdani poslovni razlog (sigurnosne kamere)

2. Evidencija obrada

Ako imate vise od 250 zaposlenika, obavezno vodite evidenciju. Ali i manje tvrtke moraju ako redovito obradjuju osobne podatke -- a to je svaka tvrtka koja ima HR evidenciju, newsletter ili CRM.

3. Politika privatnosti

Svaka web stranica i aplikacija mora imati jasnu politiku privatnosti koja objasnjava:

  • Koje podatke prikupljate
  • Zasto ih prikupljate
  • Koliko dugo ih cuvate
  • S kime ih dijelite
  • Kako korisnici mogu zatraziti brisanje

4. Tehnicki i organizacijski mjere

To je ono sto nas u Code Alpha najvise zanima -- IT sigurnost:

  • Enkripcija podataka u prijenosu (HTTPS) i mirovanju
  • Kontrola pristupa -- tko ima pristup kojim podacima
  • Backup -- redovite sigurnosne kopije
  • Azuriranja -- redovno azuriranje softvera i sustava
  • Lozinke -- politika jakih lozinki, po mogucnosti 2FA

5. Prijava sigurnosnih incidenata

Ako dode do proboja podataka (hacking, izgubljeni laptop s podacima, poslani email krivoj osobi), morate:

  • Prijaviti AZOP-u u roku 72 sata
  • Obavijestiti pogodene osobe ako postoji visoki rizik

Kazne

AZOP (Agencija za zastitu osobnih podataka) je hrvatsko nadzorno tijelo. Kazne za krsenje GDPR-a idu do 20 milijuna EUR ili 4% godisnjeg prometa -- ali za male tvrtke u praksi su kazne niže. Ipak, i "mala" kazna od 5.000-10.000 EUR moze biti znacajna za malu tvrtku.

Vazniji od kazni je reputacijski rizik -- gubitak podataka klijenata moze unistiti povjerenje koje ste godinama gradili.

Prakticni koraci za uskladivanje

  1. Napravite inventuru -- koje osobne podatke imate, gdje su pohranjeni, tko im pristupa
  2. Azurirajte web stranicu -- dodajte politiku privatnosti i cookie obavijest
  3. Osigurajte IT infrastrukturu -- enkripcija, backup, azuriranja, kontrola pristupa
  4. Educirajte zaposlenike -- najveci sigurnosni rizik su nenamjerne ljudske greske
  5. Dogovorite DPO-a -- ako je potrebno, imenujte sluzbenika za zastitu podataka

Za detaljan vodic kroz tehnicku uskladenost, preporucujemo alate na Uskladi.hr koji pokrivaju pravne aspekte uskladivanja za hrvatske tvrtke.

Sto mi u Code Alpha mozemo napraviti?

IT uskladivanje s GDPR-om je nas svakodnevni posao:

  • Audit IT infrastrukture -- provjeravamo sigurnost mreze, servera i radnih stanica
  • Implementacija enkripcije -- BitLocker, VPN, HTTPS
  • Backup rjesenja -- automatski backup na lokalne i cloud lokacije
  • Kontrola pristupa -- Active Directory, upravljanje korisnickim pravima
  • Monitoring -- pruzanje sustava za detekciju neovlastenog pristupa

GDPR uskladivanje ne mora biti komplicirano. Javite nam se za pregled vase IT infrastrukture i konkretne preporuke za uskladivanje.

Podrucja u kojima radimo

Radne stanice
Mreze
Printeri i skeneri
Serveri i NAS
Web razvoj
Mobilne aplikacije