Zaštita podataka i GDPR usklađenost
Vaša organizacija obrađuje osobne podatke — mi vam pomažemo da to radite pravilno. Od DPIA procjena do vanjskog DPO-a, odmah krećemo s radom i isporučujemo dokumentaciju spremnu za reviziju.
Naše usluge zaštite podataka
GDPR procjena i provedba
Mapiranje tokova podataka, procjena rizika i izradu plana usklađenosti s jasnim rokovima.
Vanjski službenik za zaštitu podataka (DPO)
Stručni vanjski DPO koji nadzire obradu podataka i komunicira s AZOP-om.
DPIA — Procjena učinka na zaštitu podataka
Procjene učinka za visokorizičnu obradu: AI sustave, profiliranje i automatizirano odlučivanje.
Politike, procedure i dokumentacija
Kompletna GDPR dokumentacija: politika privatnosti, evidencije obrade i ugovori o obradi.
Edukacija zaposlenika o zaštiti podataka
Prilagođeni programi edukacije za sve razine organizacije s praktičnim scenarijima.
Upravljanje povredama i odgovor na incidente
Planovi odgovora na povrede podataka i obavješćivanje AZOP-a unutar 72 sata.
Što se događa bez GDPR usklađenosti?
Bez DPIA procjena i sustavne zaštite podataka, vaša organizacija riskira:
Novčane kazne
AZOP i drugi europski regulatori izriču kazne do 20 milijuna eura ili 4% godišnjeg prometa. U 2024. ukupne kazne u EU premašile su 4,88 milijardi eura.
Gubitak povjerenja klijenata
Povreda osobnih podataka može trajno narušiti povjerenje klijenata i partnera. Istraživanja pokazuju da 87% potrošača ne bi poslovalo s tvrtkom nakon povrede podataka.
Prekid poslovnih operacija
Regulatori mogu narediti prekid obrade podataka, što može zaustaviti ključne poslovne procese, prodaju i komunikaciju s klijentima.
Pravni postupci i tužbe
Ispitanici imaju pravo na naknadu materijalne i nematerijalne štete. Grupne tužbe za povrede podataka postaju sve češće u EU.
GDPR uredba — Ključni zahtjevi
GDPR se primjenjuje na sve organizacije koje obrađuju osobne podatke osoba u EU, neovisno o sjedištu.
Načela obrade
- Zakonitost, poštenost i transparentnost
- Ograničenje svrhe i količine podataka
- Točnost i ograničenje pohrane
- Cjelovitost, povjerljivost i pouzdanost
Prava ispitanika
- Pristup osobnim podacima (čl. 15)
- Ispravak i brisanje podataka (čl. 16–17)
- Prenosivost podataka (čl. 20)
- Prigovor obradi i automatiziranom odlučivanju (čl. 21–22)
Obveze organizacija
- Evidencija obrade i tehničke mjere (čl. 30, 32)
- Službenik za zaštitu podataka — DPO (čl. 37–39)
- DPIA za visokorizičnu obradu (čl. 35)
- Prijava povrede AZOP-u unutar 72 sata (čl. 33)
Kako provodimo GDPR usklađenost
Inicijalna procjena
Mapiramo tokove podataka, identificiramo pravne osnove obrade i procjenjujemo trenutno stanje usklađenosti. Rezultat: izvještaj s prioritetima i procjenom rizika.
Strateški plan usklađenosti
Na temelju procjene izrađujemo detaljan plan s rokovima, odgovornostima i potrebnim resursima. Prioriteti se postavljaju prema razini rizika.
Provedba mjera
Provodimo sve potrebne mjere: izrada dokumentacije, uspostava tehničkih kontrola, edukacija zaposlenika i priprema procedura za upravljanje incidentima.
Kontinuirano praćenje i podrška
Nakon postizanja usklađenosti, provodimo redovite revizije, ažuriramo dokumentaciju prema promjenama u propisima i pružamo stalnu podršku — uključujući ulogu vanjskog DPO-a za komunikaciju s AZOP-om.
Često postavljana pitanja o GDPR-u
GDPR (Opća uredba o zaštiti podataka) je EU regulativa koja uređuje zaštitu osobnih podataka od 2018. Svaka organizacija koja obrađuje osobne podatke osoba u EU mora je poštivati, bez obzira na sjedište. U Hrvatskoj, provedbu nadzire AZOP (Agencija za zaštitu osobnih podataka). To uključuje tvrtke svih veličina — od obrta do multinacionalnih korporacija.
GDPR je skraćenica za General Data Protection Regulation, odnosno Opća uredba o zaštiti podataka. To je najpopsežnija regulativa o zaštiti osobnih podataka na svijetu. Za vašu tvrtku GDPR znači obvezu transparentnog postupanja s podacima klijenata, zaposlenika i partnera, uz mogućnost kazni do 20 milijuna eura ili 4% ukupnog godišnjeg prometa za kršenja.
AZOP ima ovlast izricanja kazni sukladno GDPR-u: do 10 milijuna eura ili 2% godišnjeg prometa za proceduralne prekršaje, te do 20 milijuna eura ili 4% prometa za teža kršenja poput obrade bez pravnog temelja ili kršenja prava ispitanika. Na razini EU, ukupne kazne premašile su 4,88 milijardi eura od stupanja GDPR-a na snagu.
DPO je obavezan za: javna tijela i javne ustanove, organizacije koje sustavno i redovito prate ispitanike u velikim razmjerima, te organizacije koje u velikim razmjerima obrađuju posebne kategorije podataka (zdravstveni, biometrijski, genetski podaci). Čak i kad DPO nije zakonski obavezan, mnoge tvrtke koriste vanjske DPO usluge kao stručnu podršku za upravljanje zaštitom podataka.
Počinjemo odmah — prva procjena i plan usklađenosti isporučuju se unutar prvih tjedana. Manje tvrtke s jednostavnijim procesima obrade mogu postići usklađenost već za nekoliko mjeseci. Veće organizacije s kompleksnim IT sustavima rade postupno, ali i kod njih kritični nedostaci zatvaraju se odmah. Podršku pružamo od prvog dana.
DPIA (Data Protection Impact Assessment) je obavezna procjena za obradu koja može rezultirati visokim rizikom za prava ispitanika. Potrebna je za: korištenje novih tehnologija, sustavno praćenje javnih prostora, automatizirano odlučivanje s pravnim učincima, obradu posebnih kategorija podataka u velikim razmjerima i profiliranje. DPIA pomaže identificirati rizike i odrediti mjere za njihovo smanjenje.
Svaka tvrtka u Hrvatskoj koja obrađuje osobne podatke mora poštivati GDPR — neovisno o veličini ili djelatnosti. To uključuje obrte, mala i srednja poduzeća, velike korporacije, neprofitne organizacije i javna tijela. Ako prikupljate podatke klijenata, zaposlenika ili korisnika putem web stranice, e-maila ili bilo kojeg drugog kanala — GDPR se primjenjuje na vas.
Organizacije su dužne prijaviti povredu osobnih podataka AZOP-u unutar 72 sata od saznanja o povredi (čl. 33 GDPR-a). Prijava mora sadržavati opis povrede, kategorije i okvirni broj pogođenih ispitanika, kontakt DPO-a, moguće posljedice i poduzete mjere. Ako povreda predstavlja visok rizik za ispitanike, potrebno ih je i izravno obavijestiti.
Troškovi ovise o veličini organizacije, složenosti obrade podataka i trenutnom stanju usklađenosti. Za manje tvrtke usklađenost može koštati od nekoliko tisuća eura, dok veće organizacije ulažu znatno više. Ključna je usporedba: prosječna GDPR kazna u EU iznosi preko 2 milijuna eura, dok ulaganje u usklađenost predstavlja djelić tog iznosa. Nudimo besplatnu početnu konzultaciju za procjenu opsega.
GDPR je EU uredba koja se izravno primjenjuje u svim državama članicama. Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18) je hrvatski zakon koji uređuje specifičnosti primjene GDPR-a u Hrvatskoj, poput ovlasti AZOP-a, postupka nadzora i prekršajnih odredbi. Oba propisa primjenjuju se istovremeno.
Industrije u kojima djelujemo
Krenite prema GDPR usklađenosti
Besplatan početni sastanak za procjenu trenutnog stanja i preporuke za sljedeće korake. Počinjemo odmah — brza usklađenost, kraći DPIA ciklusi, pouzdana komunikacija s AZOP-om.