NIS2 direktiva: što znači za firme na Balkanu
NIS2 direktiva i firme na Balkanu: koga obvezuje, koje su kazne i kako se firme u BiH mogu pripremiti za nove zahtjeve s
Pročitaj
Zaštita podataka u BiH uređena je domaćim Zakonom o zaštiti ličnih podataka, ali svaka firma koja obrađuje podatke građana Europske unije podliježe i Općoj uredbi o zaštiti podataka (GDPR). U praksi to znači da preduzeća u BiH moraju imati pravnu osnovu za obradu, primijeniti odgovarajuće tehničke i organizacijske mjere te biti spremna prijaviti povredu podataka u zakonskom roku. Usklađenost nije jednokratni projekt nego trajan proces upravljanja rizikom.
Naše rješenje
Cyber zaštita i usklađenost - vodimo vas do usklađenosti i sigurnosti. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Pravni okvir: što vrijedi u Bosni i Hercegovini
Mnogi vlasnici firmi pretpostavljaju da GDPR "ne vrijedi" u BiH jer država nije članica Europske unije. To je samo dijelom točno. Na snazi su dva odvojena, ali povezana sloja pravila.
Prvi sloj je domaći Zakon o zaštiti ličnih podataka BiH, koji nadzire Agencija za zaštitu ličnih podataka (AZLP). On obavezuje svaki subjekt koji obrađuje lične podatke fizičkih osoba na teritoriju BiH, od malog obrta u Mostaru do velikog preduzeća, da obradu provodi zakonito, transparentno i uz odgovarajuću sigurnost.
Drugi sloj je GDPR, europska uredba s eksteritorijalnim učinkom. Ona se primjenjuje na firmu iz BiH čim ta firma nudi robu ili usluge osobama u EU ili prati njihovo ponašanje. Praktičan primjer: webshop iz Mostara koji prodaje kupcima u Njemačkoj, ili softverska firma koja obrađuje podatke korisnika iz Hrvatske, potpada pod GDPR bez obzira na to gdje joj je sjedište.
Za firme u regiji vrijedi razumno pravilo: ako poslujete s EU tržištem ili to planirate, gradite svoje procese po GDPR standardu jer je on stroži. Time automatski zadovoljavate i domaće zahtjeve, a ne morate održavati dva odvojena sustava.
Tko su "voditelj" i "izvršitelj" obrade
Dvije uloge određuju vaše obaveze. Voditelj obrade je onaj koji odlučuje zašto se i kako podaci obrađuju, najčešće sama firma za podatke svojih kupaca i zaposlenika. Izvršitelj obrade obrađuje podatke u ime voditelja, primjerice vanjski računovodstveni servis, hosting provider ili alat za e-mail marketing. Odnos između njih mora biti uređen pisanim ugovorom o obradi podataka. Ako koristite usluge u oblaku, vrlo vjerojatno već imate izvršitelje obrade i za njih odgovarate.
Ključne obaveze firme u praksi
Usklađenost se svodi na nekoliko temeljnih obaveza koje vrijede neovisno o veličini firme. Razlika je u opsegu, ne u tome primjenjuju li se uopće.
- Pravna osnova za obradu. Za svaku kategoriju obrade morate imati osnovu: privolu, izvršenje ugovora, zakonsku obavezu ili legitimni interes. Privola mora biti dobrovoljna, konkretna i opoziva, a unaprijed označena kvačica nije valjana privola.
- Evidencija aktivnosti obrade. Trebate dokumentirati koje podatke prikupljate, zašto, gdje ih čuvate, koliko dugo i s kim ih dijelite. Ova evidencija je temelj svega ostalog i prva stvar koju nadzorno tijelo traži.
- Transparentnost prema ispitanicima. Politika privatnosti mora jasno objasniti svrhe obrade i prava osoba. Općeniti, kopirani tekstovi koji ne odgovaraju stvarnim procesima firme više štete nego koriste.
- Ostvarivanje prava ispitanika. Osobe imaju pravo na pristup svojim podacima, ispravak, brisanje, ograničenje i prenosivost. Morate imati postupak kako te zahtjeve zaprimate i rješavate u roku.
- Sigurnost obrade. Obavezni ste primijeniti tehničke i organizacijske mjere primjerene riziku, o čemu više u nastavku.
- Prijava povrede podataka. Ozbiljnu povredu (curenje, neovlašteni pristup, ransomware) treba prijaviti nadzornom tijelu, a pod GDPR-om je rok 72 sata od saznanja. Zato je važno imati plan reagiranja prije nego što se incident dogodi.
Treba li vam službenik za zaštitu podataka (DPO)
Imenovanje službenika za zaštitu podataka (DPO) obavezno je kada se osnovna djelatnost sastoji od redovitog i sustavnog praćenja osoba u velikom opsegu ili obrade posebnih kategorija podataka (npr. zdravstveni podaci). Mala trgovačka firma najčešće nije obavezna imenovati DPO-a, ali svejedno mora odrediti tko je interno odgovoran za zaštitu podataka. Funkcija se može povjeriti i vanjskom stručnjaku, što je za manje firme često racionalnije rješenje.
Tehničke i organizacijske mjere: gdje se zaštita podataka stvarno događa
GDPR namjerno ne propisuje točan popis tehnologija jer rizik nije isti za sve. Umjesto toga traži mjere "primjerene riziku". U praksi to znači da firma mora procijeniti koliko su podaci osjetljivi i kolika je vjerojatnost zloupotrebe, pa prema tome odabrati zaštitu. Mjere se dijele na tehničke i organizacijske, a najučinkovitije rješenje kombinira oba pristupa.
| Vrsta mjere | Primjeri | Što sprječava |
|---|---|---|
| Tehničke | Enkripcija podataka u prijenosu i mirovanju, dvofaktorska autentikacija, segmentacija mreže, redovite sigurnosne kopije, upravljanje zakrpama | Neovlašteni pristup, presretanje podataka, gubitak podataka kod kvara ili napada |
| Organizacijske | Politike pristupa po načelu najmanjih ovlasti, edukacija zaposlenika, ugovori o povjerljivosti, jasne procedure za incidente | Ljudske greške, zloupotrebu internih ovlasti, phishing, nekontrolirano dijeljenje podataka |
| Kontrolne | Penetracijsko testiranje, sigurnosni nadzor (SOC/MDR), revizija pristupnih prava, procjena učinka na zaštitu podataka (DPIA) | Neotkrivene ranjivosti i prijetnje koje zaobiđu osnovne mjere |
Posebno je važno razumjeti da papirologija bez stvarne tehničke zaštite ne znači usklađenost. Ako imate uredno napisanu politiku privatnosti, ali server bez ažuriranja i lozinke koje zaposlenici dijele preko poruka, niste zaštitili podatke, nego ste samo dokumentirali namjeru. Zato ozbiljna zaštita podataka uvijek povezuje pravni i tehnički sloj.
Najčešći način da provjerite koliko vaše mjere zaista vrijede jest neovisna provjera. Penetracijsko testiranje i ostali sigurnosni servisi pokazuju kako bi napadač realno mogao doći do podataka, što je vrijedniji uvid od bilo koje liste za samoprocjenu.
Kako uskladiti firmu: koraci do GDPR usklađenosti
Usklađivanje djeluje glomazno dok ga ne razložite na faze. Sljedeći redoslijed dobro funkcionira za mala i srednja preduzeća u BiH.
- Mapiranje podataka. Popišite sve podatke koje obrađujete, kroz koje sustave prolaze i tko im ima pristup. Bez ovog koraka ostalo je nagađanje.
- Procjena rizika. Za svaku obradu ocijenite osjetljivost podataka i moguće posljedice povrede. Tako određujete prioritete ulaganja.
- Pravna osnova i dokumentacija. Uredite privole, ugovore s izvršiteljima obrade i politiku privatnosti tako da odgovaraju stvarnom stanju.
- Tehničke mjere. Uvedite enkripciju, dvofaktorsku autentikaciju, kontrolu pristupa i pouzdane sigurnosne kopije. Otklonite ranjivosti otkrivene testiranjem.
- Plan reagiranja na incidente. Definirajte tko što radi kod povrede podataka i kako se ona prijavljuje u roku. Plan vrijedi samo ako je uvježban.
- Edukacija i kontrola. Obučite zaposlenike i uvedite redovitu reviziju jer se i podaci i prijetnje mijenjaju tijekom vremena.
Ako niste sigurni gdje vam je trenutni nivo, koristan prvi korak je strukturirana samoprocjena. Naš upitnik za procjenu sigurnosti pomaže da brzo odredite najslabije točke prije nego što uložite u skuplje mjere.
Veza s ISO 27001 i SOC nadzorom
Firme koje žele sustavan pristup često uvode standard ISO 27001 za upravljanje informacijskom sigurnošću. On se i metodološki dobro nadovezuje na GDPR jer traži procjenu rizika i kontinuirano poboljšanje. Za detekciju prijetnji u stvarnom vremenu sve više preduzeća, i u regiji, koristi vanjski sigurnosni nadzor (MDR/SOC), koji prati sustave 24/7 i skraćuje vrijeme otkrivanja incidenta, što je upravo ono što GDPR zahtijeva kada govori o pravovremenoj prijavi povrede.
Minimizacija i rokovi čuvanja podataka
Jedno od najpodcjenjenijih načela jest minimizacija podataka: prikupljajte samo ono što vam stvarno treba za određenu svrhu i čuvajte to samo onoliko dugo koliko je potrebno. Mnoge firme godinama gomilaju stare prijave, CV-jeve kandidata koji nisu zaposleni i kontakte iz davno završenih kampanja. Svaki takav zapis je teret, a ne vrijednost: u slučaju curenja proširuje štetu, a u slučaju nadzora otežava dokazivanje zakonitosti obrade.
Praktično rješenje je politika čuvanja koja za svaku kategoriju podataka definira rok i postupak brisanja ili anonimizacije nakon isteka tog roka. Kod određivanja rokova vodite računa o zakonskim obavezama (primjerice, računovodstvena dokumentacija ima propisane rokove čuvanja) i o stvarnoj poslovnoj potrebi. Redovito "čišćenje" podataka istovremeno smanjuje rizik i pojednostavljuje usklađenost.
Prijenos podataka izvan BiH i EU
Čim koristite alate u oblaku, vaši podaci vrlo vjerojatno napuštaju zemlju. E-mail platforma, hosting, sustav za podršku ili analitika često pohranjuju podatke na serverima u drugim državama. GDPR posebno uređuje prijenos osobnih podataka u zemlje izvan Europske unije i traži odgovarajuće zaštitne mehanizme, najčešće standardne ugovorne klauzule s pružateljem usluge.
Za firmu iz BiH to znači dvije konkretne radnje. Prvo, popišite koje vanjske usluge obrađuju vaše podatke i gdje se ti podaci fizički nalaze. Drugo, provjerite imate li s tim pružateljima sklopljen ugovor o obradi koji uključuje pravnu osnovu za prijenos. Ovo se lako previdi jer se usluge ugovaraju klikom, ali odgovornost prema vašim kupcima ostaje na vama kao voditelju obrade.
Najčešće greške firmi u BiH
Iz prakse se ponavlja nekoliko obrazaca koji firme nepotrebno izlažu riziku:
- Pretpostavka da GDPR ne vrijedi jer je sjedište u BiH, dok firma aktivno posluje s EU kupcima.
- Politika privatnosti kopirana s tuđe stranice koja ne opisuje stvarne procese obrade.
- Prikupljanje više podataka nego što je potrebno, čime se povećava i šteta u slučaju curenja.
- Nepostojanje sigurnosnih kopija ili kopije koje nitko nikada nije testirao za oporavak.
- Odsutnost plana za incident, pa firma u prvim satima povrede gubi dragocjeno vrijeme.
Većinu ovih grešaka moguće je otkloniti bez velikog budžeta. Ključno je krenuti od mapiranja podataka i realne procjene rizika, a tek onda ulagati u tehnologiju. Ako želite vanjsku procjenu ili pomoć u usklađivanju, javite se NeoBit timu za konkretan razgovor o stanju vaše firme.
Često postavljana pitanja
Vrijedi li GDPR za firme u BiH?
GDPR ne vrijedi automatski za sve firme u BiH, ali se primjenjuje čim firma nudi robu ili usluge osobama u Europskoj uniji ili prati njihovo ponašanje. Webshop iz Mostara koji prodaje kupcima u EU potpada pod GDPR, neovisno o tome što mu je sjedište izvan Unije. Domaće firme uz to uvijek podliježu i Zakonu o zaštiti ličnih podataka BiH.
Koja je razlika između domaćeg zakona i GDPR-a?
Zakon o zaštiti ličnih podataka BiH je domaći propis koji nadzire Agencija za zaštitu ličnih podataka i vrijedi za obradu na teritoriju BiH. GDPR je europska uredba s eksteritorijalnim učinkom i u pravilu je stroža. Ako uskladite poslovanje po GDPR standardu, najčešće zadovoljavate i domaće zahtjeve, pa ne morate održavati dva odvojena sustava.
U kojem roku treba prijaviti povredu podataka?
Pod GDPR-om ozbiljnu povredu osobnih podataka treba prijaviti nadzornom tijelu u roku od 72 sata od saznanja, a u određenim slučajevima i obavijestiti pogođene osobe. Zato je presudno imati unaprijed pripremljen plan reagiranja na incidente, jer se u prvim satima odlučuje koliko će šteta i izloženost biti veliki.
Treba li mala firma službenika za zaštitu podataka?
Većina malih firmi nije obavezna imenovati službenika za zaštitu podataka (DPO). Obaveza nastaje kod redovitog i sustavnog praćenja osoba u velikom opsegu ili obrade posebnih kategorija podataka, poput zdravstvenih. Ipak, svaka firma treba interno odrediti tko je odgovoran za zaštitu podataka, a tu se funkciju može povjeriti i vanjskom stručnjaku.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · ISO 27001 priprema: vodič kroz certifikaciju za firme · NIS2 direktiva: što znači za firme na Balkanu
