TsunamiDigital
EN HR
Odabir 8 min čitanja

GDPR i softver po mjeri: što vlasnici tvrtki moraju znati

Praktičan vodič za GDPR usklađenost custom softvera u Hrvatskoj: koje zahtjeve morate ispuniti, koliko košta, najveće zamke i kako izbjeći kazne.

autor Tsunami Digital

GDPR (Opća uredba o zaštiti podataka) primjenjuje se na svaki softver koji obrađuje osobne podatke građana EU-a - što praktički znači na svaki webshop, CRM, mobilnu aplikaciju i interni sustav koji koristite. Implementacija GDPR usklađenosti u custom softveru obično dodaje 5-15% ukupnog projektnog opsega i košta €2.000-€20.000+ ovisno o složenosti. Kazne za neusklađenost mogu doseći 4% globalnog godišnjeg prihoda ili €20 milijuna, što god je veće. Ova investicija nije opcionalna.

Ovaj članak razlaže što GDPR konkretno zahtijeva za softver, koje su tipične zamke, i kako razvojni partner mora ugraditi usklađenost u proizvod od dana 1.

Što GDPR konkretno zahtijeva od softvera

Šest ključnih zahtjeva za bilo koji sustav koji obrađuje osobne podatke:

1. Privola za prikupljanje podataka. Korisnik mora aktivno pristati na prikupljanje podataka. “Pristati” znači klik na nemarkirano polje za potvrdu, ne “samim korištenjem stranice pristajete”. Privola mora biti zabilježena (datum, što je pristao).

2. Pravo na uvid u svoje podatke. Korisnik mora moći vidjeti koje podatke o njemu imate. Implementacija: portal ili izvoz na zahtjev (najviše 1 mjesec za odgovor).

3. Pravo na ispravak. Korisnik može tražiti ispravak netočnih podataka. Mora postojati način da se to napravi - bilo automatski (kroz korisnički profil) ili manualno (kroz support).

4. Pravo na brisanje (“pravo na zaborav”). Korisnik može tražiti brisanje svojih podataka. Sustav mora podržavati pravilno brisanje, ne samo “označi kao obrisano”.

5. Pravo na prijenos podataka. Korisnik može tražiti izvoz svojih podataka u standardnom formatu (JSON, CSV, XML).

6. Obavijest o povredi. Ako su podaci ugroženi (hack, curenje), morate obavijestiti AZOP (Agenciju za zaštitu osobnih podataka) u roku od 72 sata. To znači da Vaš sustav mora imati monitoring koji to brzo detektira.

Tehnička implementacija - što se mora ugraditi u kod

Ono što razvojni partner mora ugraditi u softver:

  • Privola management: sustav za prikupljanje, čuvanje i povlačenje privole
  • Audit log: zapis svih pristupa osobnim podacima
  • Enkripcija u prijenosu: TLS/HTTPS za sve komunikacije
  • Enkripcija u mirovanju: osjetljivi podaci (lozinke, financijski) šifrirani u bazi
  • Mehanizam za izvoz podataka: funkcionalnost da korisnik može preuzeti svoje podatke
  • Mehanizam za brisanje: “hard delete” osobnih podataka uz čuvanje anonimiziranih zapisa za poslovne potrebe
  • Rezerve i oporavak: s istim sigurnosnim standardima kao i produkcija
  • Pristup po načelu minimuma: zaposlenici vide samo podatke koje stvarno trebaju

Skriveni troškovi GDPR-a koji se često zaboravljaju

Razvoj je jedno, ali GDPR ima dugoročne troškove:

  • DPO (Data Protection Officer): ako obrađujete velike količine osobnih podataka, morate imenovati. Vanjski DPO: €200-€800/mjesec.
  • Pravni pregled. Privatnost-politika, uvjeti korištenja, ugovori s obradivačima podataka - svaki put kad mijenjate značajno, treba pregled. €500-€2.000 godišnje.
  • Treniranje zaposlenika. Obavezno za svako godinu, posebno tim koji ima pristup podacima. €500-€3.000 godišnje.
  • Periodični auditi. Tehničke i pravne provjere sustava. €1.500-€5.000 godišnje.
  • Reagiranje na zahtjeve korisnika. Ako imate puno korisnika, dolaze zahtjevi za uvid/brisanje. Tipično 1-3 sata po zahtjevu.

Ukupan godišnji trošak održavanja GDPR usklađenosti za malu/srednju tvrtku: €3.000-€15.000.

5 najčešćih GDPR grešaka u softveru

1. Privola “skrivenа” u uvjetima. Korisnik “pristaje” samim korištenjem. Nije pravna privola po GDPR-u. Mora postojati eksplicitan checkbox koji NIJE unaprijed označen.

2. Brisanje kao “označi kao obrisano”. Korisnik traži brisanje, vi mu kažete OK, ali podaci ostaju u bazi. Nije usklađeno. Pravo brisanje znači stvarno uklanjanje iz produkcijske baze i iz backupova (ili anonimizacija).

3. Lozinke u plain text-u ili lošeg hashinga. Lozinke moraju biti hashed s modernom funkcijom (Argon2, bcrypt). Ne MD5, ne SHA1 - sve to računa se kao “neenkriptano” za GDPR.

4. Nema audit log-a. GDPR traži znanje “tko je pristupao podacima i kada”. Bez audit log-a, ne možete dokazati ni svoju ni tuđu nedužnost u slučaju curenja.

5. Treće strane bez DPA ugovora. Koristite Mailchimp? Google Analytics? Stripe? Svaki je “data processor” i treba imati Data Processing Agreement (DPA). Bez toga - kazna.

Kako razvojni partner mora ugraditi GDPR u proces

Pravilan tijek za novi projekt:

Discovery faza:

  • Inventar svih osobnih podataka koje sustav obrađuje
  • Mapiranje gdje podaci dolaze, kako se koriste, gdje idu
  • Definicija razdoblja čuvanja za svaki tip podatka

Razvoj:

  • Implementacija privola management-a od početka
  • Enkripcija u prijenosu i mirovanju kao standard
  • Audit log za sve pristupe osobnim podacima
  • Korisnički portal za uvid i izvoz podataka

Pred lansiranje:

  • Pregled privatnost-politike i uvjeta korištenja
  • DPA ugovori sa svim trećim stranama
  • Sigurnosni pen-test
  • Plan reakcije na povredu (kako reagirati ako sustav bude napadnut)

Nakon lansiranja:

  • Periodični auditi (godišnje)
  • Praćenje promjena GDPR regulative i prilagodbe
  • Treniranje novih zaposlenika
  • Reagiranje na zahtjeve korisnika

Razvojni partner koji ne spominje GDPR u prvom razgovoru je crvena zastava.

Posebnosti hrvatskog tržišta

AZOP (Agencija za zaštitu osobnih podataka) je nadzorno tijelo. Njihove smjernice imaju prednost nad generičkim EU vodičima u Hrvatskoj.

Zakon o provedbi GDPR-a dodaje neke hrvatske specifičnosti - npr. obavezno korištenje hrvatskog jezika u privacy politici za hrvatske korisnike.

Kazne u Hrvatskoj mogu doseći europski maksimum, ali AZOP obično preferira prvi upozorenje pa kaznu, posebno za male i srednje tvrtke koje pokušavaju biti u redu.

Često postavljana pitanja

Trebam li DPO za malu tvrtku? Ovisi o opsegu obrade. Ako redovito obrađujete osjetljive podatke (zdravstveni, financijski) ili imate “veliki opseg sustavnog praćenja”, DPO je obavezan. Za većinu malih tvrtki - ne, ali imenovati osobu odgovornu za GDPR je preporučljivo.

Koliko se kazne stvarno daju? AZOP rijetko izriče maksimalne kazne. Tipične kazne za male i srednje tvrtke: €2.000-€20.000. Veće kazne (€100.000+) idu za sustavne propuste ili veliko curenje podataka.

Što ako naš stari sustav nije GDPR-usklađen? Imate dvije opcije: (1) nadograditi postojeći sustav (€2.000-€15.000 ovisno o kompleksnosti) ili (2) migrirati na novi GDPR-usklađen sustav. Druga opcija je obično pravo rješenje ako stari sustav već ima druge probleme.

Mogu li biti odgovoran ako razvojni partner napravi GDPR pogrešku? Da. Vi ste “data controller” - krajnji odgovorni za usklađenost. Razvojni partner je “data processor” i odgovara Vama. Zato ugovor s razvojnim partnerom mora imati DPA klauzulu.

Trebate GDPR audit ili novi sustav?

Dogovorite besplatan Discovery razgovor. Pregledamo Vaš trenutni sustav s pravne i tehničke strane, identificiramo rizike, i predlažemo realan plan za usklađenost - bez panike i preplašivanja.

Javite nam se na [email protected] ili kroz formu na našoj stranici.

Svi članci