Ulazak na europsko tržište zahtijeva usklađenost s nizom EU regulativa - od zaštite osobnih podataka do kibernetičke sigurnosti i regulacije umjetne inteligencije. U ovom vodiču objašnjavamo ključne propise i praktične korake za postizanje usklađenosti.
Pregled ključnih EU regulativa
GDPR - Opća uredba o zaštiti podataka
Uredba (EU) 2016/679 primjenjuje se od 25. svibnja 2018. godine i uređuje zaštitu osobnih podataka građana EU.
Primjenjuje se na vas ako:
- Obrađujete osobne podatke osoba u EU
- Nudite robu ili usluge osobama u EU
- Pratite ponašanje osoba u EU
Ključne obveze:
- Pravni temelj za obradu podataka
- Transparentnost prema ispitanicima
- Prava ispitanika (pristup, ispravak, brisanje)
- Sigurnosne mjere zaštite
- Evidencije aktivnosti obrade
Kazne: do 20 milijuna EUR ili 4% godišnjeg prometa
NIS2 - Direktiva o mrežnoj i informacijskoj sigurnosti
Direktiva (EU) 2022/2555 proširuje obveze kibernetičke sigurnosti na više sektora. U Hrvatskoj je transponirana Zakonom o kibernetičkoj sigurnosti (NN 14/24).
Primjenjuje se na vas ako:
- Pružate digitalne usluge (tržnice, pretraživači, računalstvo u oblaku)
- Djelujete u kritičnim sektorima (energetika, promet, zdravstvo, financije)
- Imate više od 50 zaposlenika ili promet veći od 10 mil. EUR
Ključne obveze:
- Upravljanje rizicima kibernetičke sigurnosti
- Prijava incidenata u roku od 24 sata
- Osiguranje sigurnosti lanca opskrbe
- Redovite procjene rizika
Kazne: do 10 milijuna EUR ili 2% godišnjeg prometa
DORA - Uredba o digitalnoj operativnoj otpornosti
Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor primjenjuje se od 17. siječnja 2025. godine.
Primjenjuje se na vas ako:
- Pružate financijske usluge (banke, osiguranja, investicijske tvrtke)
- Pružate IKT usluge financijskom sektoru (pružatelji usluga u oblaku, analitičari podataka)
Ključne obveze:
- Upravljanje IKT rizicima
- Testiranje digitalne operativne otpornosti
- Upravljanje rizicima trećih strana
- Razmjena informacija o prijetnjama
Akt o umjetnoj inteligenciji
Uredba (EU) 2024/1689 o umjetnoj inteligenciji stupila je na snagu 1. kolovoza 2024., a primjena se odvija postupno do 2027.
Primjenjuje se na vas ako:
- Razvijate sustave umjetne inteligencije
- Koristite sustave UI za donošenje odluka
- Distribuirate UI sustave na EU tržištu
Ključne obveze:
- Klasifikacija sustava prema razini rizika
- Tehnička dokumentacija za visokorizične sustave
- Transparentnost prema korisnicima
- Ljudski nadzor
Kazne: do 35 milijuna EUR ili 7% godišnjeg prometa
Plan usklađivanja u 90 dana
Faza 1: Analiza (1.-20. dan)
Korak 1: Formirajte tim za usklađenost
- Imenujte voditelja projekta
- Uključite pravnu službu, IT odjel i upravu
- Definirajte komunikacijske kanale i odgovornosti
Korak 2: Provedite inventuru podataka i sustava
- Koje osobne podatke prikupljate i obrađujete?
- Koje sustave UI koristite ili razvijate?
- Koji dobavljači imaju pristup vašim podacima?
- Koje usluge nudite korisnicima u EU?
Korak 3: Identificirajte primjenjive propise
| Aktivnost | Propis |
|---|---|
| Obrada osobnih podataka | GDPR |
| Digitalne usluge | NIS2 |
| Financijske usluge / IKT za financije | DORA |
| Korištenje umjetne inteligencije | AI Act |
Faza 2: Dizajn (21.-50. dan)
Korak 4: Izradite pravne dokumente
- Politika privatnosti na hrvatskom i engleskom
- Evidencije aktivnosti obrade (GDPR čl. 30)
- Ugovori o obradi podataka s izvršiteljima
- Procjena učinka na zaštitu podataka za rizične obrade
Korak 5: Uspostavite tehničke mjere
- Enkripcija podataka u prijenosu i mirovanju
- Kontrola pristupa i autentifikacija
- Redovite sigurnosne kopije
- Sustav bilježenja događaja
Korak 6: Definirajte procedure
- Postupak odgovora na zahtjeve ispitanika (30 dana)
- Postupak prijave povrede podataka (72 sata za GDPR, 24 sata za NIS2)
- Postupak za procjenu UI sustava prema AI Actu
- Plan oporavka u slučaju incidenta
Faza 3: Provedba (51.-75. dan)
Korak 7: Implementirajte tehničke kontrole
- Integrirajte mehanizme za privolu
- Omogućite korisnicima pristup, izvoz i brisanje podataka
- Uvedite obveznu višefaktorsku autentifikaciju
- Konfigurirajte upozorenja o sigurnosnim događajima
Korak 8: Educirajte zaposlenike
- Osnovna obuka o zaštiti podataka za sve zaposlenike
- Napredna obuka za IT i pravnu službu
- Redovita osvježavanja znanja (kvartalno)
- Dokumentirajte provedene edukacije
Korak 9: Uredite odnose s dobavljačima
- Pregledajte sve dobavljače koji obrađuju podatke
- Osigurajte potpisane ugovore o obradi
- Provjerite sigurnosne mjere ključnih dobavljača
- Uspostavite popis podobrađivača
Faza 4: Provjera (76.-90. dan)
Korak 10: Provedite testiranja
- Simulacija sigurnosnog incidenta
- Test postupka prijave povrede podataka
- Provjera odgovora na zahtjeve ispitanika
- Verifikacija rada tehničkih kontrola
Korak 11: Dokumentirajte usklađenost
- Izradite sažetak provedenih mjera
- Pripremite materijale za kupce (sigurnosni pregled)
- Objavite javno dostupne informacije (politika privatnosti, popis dobavljača)
- Arhivirajte sve dokaze o usklađenosti
Korak 12: Planirajte kontinuirano održavanje
- Kvartalni pregled usklađenosti
- Godišnja revizija svih procedura
- Praćenje regulatornih promjena
- Ažuriranje dokumentacije
Praktične kontrolne liste
Za GDPR usklađenost
- Identificirane sve kategorije osobnih podataka
- Definiran pravni temelj za svaku obradu
- Objavljena politika privatnosti
- Uspostavljene evidencije aktivnosti obrade
- Potpisani ugovori s izvršiteljima obrade
- Uspostavljen postupak za prava ispitanika
- Imenovan službenik za zaštitu podataka (ako je potrebno)
- Imenovan EU predstavnik (ako nemate sjedište u EU)
- Provedena procjena učinka za rizične obrade
Za NIS2 usklađenost
- Provedena procjena rizika kibernetičke sigurnosti
- Uspostavljene sigurnosne politike
- Definiran postupak prijave incidenata (24 sata)
- Uspostavljen plan kontinuiteta poslovanja
- Provedena procjena sigurnosti dobavljača
- Osigurana redovita ažuriranja sustava
- Dokumentirani sigurnosni incidenti
- Provedena edukacija o kibernetičkoj sigurnosti
Za AI Act usklađenost
- Popisani svi UI sustavi u uporabi
- Provedena klasifikacija prema razini rizika
- Osigurana transparentnost prema korisnicima
- Uspostavljen ljudski nadzor za visokorizične sustave
- Pripremljena tehnička dokumentacija
- Registrirani visokorizični sustavi u EU bazi
Česte pogreške i kako ih izbjeći
| Pogreška | Posljedica | Rješenje |
|---|---|---|
| Odgađanje usklađenosti | Veći troškovi, rizik od kazni | Započnite odmah, čak i s malim koracima |
| Kopiranje tuđih dokumenata | Regulatori prepoznaju nedosljednosti | Izradite dokumente prilagođene vašem poslovanju |
| Fokus samo na tehnologiju | Propusti u procesima i edukaciji | Uravnotežite tehničke, organizacijske i ljudske mjere |
| Jednokratni projekt | Zastarjela dokumentacija | Uspostavite kontinuirano praćenje i ažuriranje |
| Ignoriranje dobavljača | Odgovornost za njihove propuste | Provedite procjenu i ugovorite obveze |
Kako dokazati usklađenost kupcima
Europski poslovni kupci očekuju dokaze usklađenosti. Pripremite:
1. Središnje mjesto za dokumentaciju
Javno dostupna stranica s:
- Politikom privatnosti
- Popisom podobrađivača
- Sigurnosnim certifikatima (ISO 27001, SOC 2)
- Opisom tehničkih mjera zaštite
2. Ugovorna dokumentacija
- Ugovor o obradi podataka (usklađen s GDPR-om)
- Standardne ugovorne klauzule za prijenos izvan EU
- Ugovor o razini usluge
3. Odgovori na upitnike o sigurnosti
Pripremite odgovore na tipična pitanja:
- Gdje se podaci pohranjuju?
- Tko ima pristup podacima?
- Kako se postupa u slučaju incidenta?
- Koji certifikati postoje?
FAQ: Često postavljana pitanja
Moram li imati pravnu osobu u EU?
Ne nužno, ali ako obrađujete osobne podatke osoba u EU bez poslovnog nastana u EU, morate imenovati EU predstavnika (GDPR čl. 27).
Koliko vremena treba za usklađivanje?
S organiziranim pristupom, osnovna usklađenost moguća je u 90 dana. Međutim, usklađenost je kontinuirani proces koji zahtijeva stalno održavanje.
Koje su kazne za neusklađenost?
| Regulativa | Maksimalna kazna |
|---|---|
| GDPR | 20 mil. EUR ili 4% prometa |
| NIS2 | 10 mil. EUR ili 2% prometa |
| DORA | Definira nacionalni regulator |
| AI Act | 35 mil. EUR ili 7% prometa |
Trebam li usklađenost za svaku državu zasebno?
GDPR, NIS2 i AI Act su EU propisi koji se uniformno primjenjuju u svim državama članicama. Nacionalna tijela provode nadzor, ali pravila su ista.
Koji je prvi korak?
Provedite inventuru: koje podatke prikupljate, koje sustave koristite, s kojim dobavljačima surađujete. Na temelju toga odredite koji propisi se primjenjuju na vaše poslovanje.
Korisni izvori
- EUR-Lex: GDPR, NIS2, DORA, AI Act
- AZOP: azop.hr - Agencija za zaštitu osobnih podataka
- CERT.hr: cert.hr - Nacionalni CERT
- HANFA: hanfa.hr - Hrvatska agencija za nadzor financijskih usluga
Zaključak
EU usklađenost nije prepreka za ulazak na europsko tržište - to je konkurentska prednost. Tvrtke koje demonstriraju usklađenost brže sklapaju ugovore s europskim kupcima i grade dugoročno povjerenje.
Trebate pomoć s usklađivanjem?
Vision Compliance nudi sveobuhvatne usluge procjene i provedbe za tehnološke tvrtke koje ulaze na EU tržište.
Zakažite besplatne konzultacije - pregledat ćemo vaš regulatorni profil i izraditi plan usklađivanja.
Izvori: EUR-Lex (GDPR, NIS2, DORA, AI Act), Europska komisija