Edukacija zaposlenika i programi podizanja svijesti o usklađenosti
Regulatori očekuju da zaposlenici poznaju svoja zaduženja — GDPR čl. 39 traži podizanje svijesti, NIS2 zahtijeva redovite edukacije, a AZOP u nadzorima provjerava dokaze o provedenim programima. Isporučujemo prilagođene programe za hrvatske organizacije: od osnovne svijesti svih zaposlenika do naprednog usavršavanja DPO-a i prezentacija za upravu.
Naši programi edukacije i podizanja svijesti
GDPR i zaštita podataka za sve zaposlenike
Osnovna edukacija o GDPR-u prilagođena za hrvatske tvrtke: što su osobni podaci, prava ispitanika, kako postupati sa zahtjevima, prijava incidenata AZOP-u i svakodnevne situacije u poslovanju.
Edukacija po ulogama i odjelima
Ciljani programi za specifične uloge: HR (zaštita podataka u zapošljavanju i kadrovskoj evidenciji), marketing (privole i kolačići), IT (tehničke mjere i pristup podacima), pravni odjel (DPA ugovori).
Kibernetička sigurnost i NIS2 svijest
Prepoznavanje phishing poruka, sigurno korištenje lozinki, postupanje pri sumnji na incident, NIS2 obveze i sigurnosne politike — prilagođeno za zaposlenike koji nisu tehničari.
Usavršavanje DPO-a i službenika za usklađenost
Napredni programi za DPO-e i službenike za usklađenost: DPIA metodologija, CIPP/E priprema, tumačenje novih propisa, vještine revizije i suradnja s AZOP-om i drugim regulatorima.
Prezentacije za upravu i nadzorni odbor
Strukturirane prezentacije za upravu i nadzorne odbore: NIS2 osobna odgovornost članova uprave, regulatorni rizici, stanje usklađenosti, potrebna ulaganja i strateški prioriteti.
Prilagođeni e-learning programi
Razvoj e-learning modula specifičnih za vašu organizaciju: interaktivni sadržaj, kvizovi, certifikati, simulacije phishinga i praćenje napretka — na hrvatskom jeziku s primjerima iz prakse.
Što se događa bez programa edukacije zaposlenika?
AZOP i drugi regulatori u Hrvatskoj provjeravaju dokaze o edukaciji — nedostatak programa stvara konkretne rizike:
GDPR kazne zbog neinformiranih zaposlenika
AZOP očekuje dokaze o edukaciji zaposlenika. Povreda podataka uzrokovana neznanjem zaposlenika tretira se kao propust organizacije — kazne do 20 mil. € ili 4% prometa.
Phishing i socijalni inženjering
68% povreda uključuje ljudski faktor. Zaposlenici bez edukacije ne prepoznaju phishing poruke, dijele lozinke i otvaraju zlonamjerne privitke — jedan klik može ugroziti cijelu organizaciju.
NIS2 osobna odgovornost uprave
NIS2 čl. 20 zahtijeva da članovi uprave prolaze edukaciju o kibernetičkoj sigurnosti i odobravaju mjere. Neizvršavanje te obveze može rezultirati osobnom odgovornošću članova uprave.
Neuspjeh na revizijama i nadzorima
AZOP, Hanfa i drugi regulatori traže dokaze o provedenim edukacijama. Bez evidencije, revizija automatski bilježi neusklađenost — što pokreće korektivne mjere i dodatne nadzore.
Regulatorni zahtjevi za edukaciju zaposlenika
Više europskih i hrvatskih propisa izričito zahtijeva programe edukacije i podizanja svijesti. Evo što regulatori očekuju.
GDPR zahtjevi za edukaciju
- Čl. 39(1)(b) — DPO mora provoditi podizanje svijesti i edukaciju osoblja koje sudjeluje u obradi
- Čl. 32 — odgovarajuće tehničke i organizacijske mjere uključuju edukaciju
- Čl. 47 — obvezujuća korporativna pravila moraju uključivati edukaciju
- AZOP u nadzorima traži evidenciju o provedenim edukacijama
- Nedostatak edukacije je otegotna okolnost pri određivanju visine kazne
NIS2 i kibernetička sigurnost
- Čl. 20(2) — članovi upravljačkih tijela moraju proći edukaciju o kibernetičkoj sigurnosti
- Čl. 21(2)(g) — osnovne prakse kibernetičke higijene i edukacija kao obvezna mjera
- Hrvatski zakon o kibernetičkoj sigurnosti prenosi ove obveze u nacionalno pravo
- CERT.hr preporučuje redovite simulacije phishinga i kvartalne kampanje
- Edukacija mora obuhvatiti sve zaposlenike, ne samo IT odjel
DORA, AI Act i sektorski propisi
- DORA čl. 13(6) — financijske institucije moraju provoditi programe podizanja svijesti o ICT sigurnosti
- AI Act čl. 4 — osobe koje koriste AI sustave moraju imati odgovarajuću razinu pismenosti
- Hanfa za financijski sektor zahtijeva godišnje edukacije o AML-u i operativnim rizicima
- HNB očekuje programe edukacije u sklopu upravljanja informacijskom sigurnošću
- Sektorski regulatori (HAKOM, HERA) imaju dodatne zahtjeve za svoje subjekte
Kako provodimo program edukacije
Analiza potreba i procjena znanja
Procjenjujemo trenutnu razinu znanja zaposlenika, identificiramo rizične područja i regulatorne zahtjeve specifične za vašu organizaciju i industriju.
Razvoj prilagođenog programa
Izrađujemo sadržaj na hrvatskom jeziku s primjerima relevantnim za vaše poslovanje: scenariji iz vaše industrije, hrvatski regulatorni kontekst i praktične vježbe.
Provedba edukacije
Isporučujemo edukaciju u formatu koji vam odgovara: radionice uživo, e-learning moduli, simulacije phishinga ili hibridni pristup — s praćenjem prisutnosti i rezultata.
Mjerenje i kontinuirano poboljšanje
Mjerimo učinkovitost putem testova znanja, stopa klikanja na phishing simulacije i broja incidenata. Kvartalno osvježavamo sadržaj i prilagođavamo novim prijetnjama.
Često postavljana pitanja o edukaciji zaposlenika
Da. GDPR čl. 39(1)(b) izričito traži podizanje svijesti osoblja koje sudjeluje u obradi podataka, a čl. 32 zahtijeva odgovarajuće organizacijske mjere koje uključuju edukaciju. AZOP u nadzorima provjerava dokaze o provedenim programima edukacije i nedostatak evidencije tretira kao neusklađenost.
Najbolja praksa je godišnja obavezna edukacija za sve zaposlenike i kvartalne kampanje podizanja svijesti (simulacije phishinga, newsletteri, kratke podsjetnike). DPO-i i sigurnosni timovi trebaju usavršavanje barem dva puta godišnje ili kod značajnih regulatornih promjena.
Da. NIS2 čl. 20(2) izričito zahtijeva da članovi upravljačkih tijela prolaze edukaciju o kibernetičkoj sigurnosti. Hrvatski zakon o kibernetičkoj sigurnosti prenosi ovu obvezu — članovi uprave moraju razumjeti rizike i odobriti mjere upravljanja rizicima.
Obavezno. HR mora znati kako postupati s osobnim podacima u zapošljavanju, marketing mora razumjeti privole i kolačiće, IT mora poznavati tehničke mjere zaštite, a pravni odjel DPA ugovore. Generička edukacija nije dovoljna — regulatori očekuju edukaciju prilagođenu specifičnim ulogama.
AZOP traži evidenciju o provedenim edukacijama: tko je sudjelovao, kada, koji sadržaj je obrađen i s kojim rezultatima. Također provjerava je li DPO izvršio svoju obvezu podizanja svijesti prema čl. 39 i postoji li redoviti plan edukacije.
Cijena ovisi o opsegu: jednokratna radionica za 20-30 zaposlenika značajno se razlikuje od godišnjeg programa s e-learningom, phishing simulacijama i kvartalnim kampanjama. Kontaktirajte nas za ponudu prilagođenu veličini vaše organizacije i regulatornim zahtjevima.
Da. Sav sadržaj razvijamo na hrvatskom jeziku s primjerima relevantnim za hrvatsko tržište — hrvatske propise, AZOP prakse, lokalne studije slučaja i scenarije iz svakodnevnog poslovanja. Generički engleski materijali jednostavno nisu dovoljno učinkoviti.
Kombiniramo više metoda: testove znanja prije i nakon edukacije, stope klikanja na phishing simulacije (prosječno padnu s 25-30% na ispod 5%), broj prijavljenih incidenata, nalaze revizija usklađenosti i evaluacije zadovoljstva sudionika. Sve podatke dokumentiramo za regulatorne potrebe.
Da. Simulacije phishinga su najučinkovitiji način podizanja svijesti o kibernetičkim prijetnjama. Šaljemo realistične testne poruke, mjerimo tko klikne, pružamo trenutnu povratnu informaciju i pratimo napredak kroz kvartale. Rezultati služe i kao dokaz za NIS2 usklađenost.
Strukturirani pregled: trenutno regulatorno okruženje (GDPR, NIS2, DORA), stanje usklađenosti vaše organizacije, identificirani rizici, NIS2 osobna odgovornost članova uprave, potrebna ulaganja s cost-benefit analizom i preporučeni prioriteti. Prezentacija traje 60-90 minuta.
Industrije u kojima djelujemo
Izgradite kulturu usklađenosti u svojoj organizaciji
Zaposlenici su prva crta obrane. Pokrenite program edukacije koji zadovoljava GDPR, NIS2 i sektorske zahtjeve — i mjerljivo smanjuje rizike.