TsunamiDigital
EN HR
Odabir 3 min čitanja

GDPR i softver po mjeri: što vlasnici tvrtki moraju znati

Praktičan vodič za GDPR usklađenost softvera po mjeri u Hrvatskoj: koje zahtjeve morate ispuniti, koliko košta, najveće zamke i kako izbjeći kazne.

autor Tsunami Digital Team

GDPR se primjenjuje na svaki softver koji obrađuje osobne podatke građana EU-a - praktički na svaki webshop, CRM, mobilnu aplikaciju i interni sustav. Ugradnja GDPR usklađenosti u softver po mjeri tipično dodaje 5-15 % opsega projekta i košta 2.000-20.000 € i više. Kazne mogu dosegnuti 4 % globalnog godišnjeg prihoda ili 20 milijuna €, što god je veće. Investicija nije neobvezna.

Što GDPR konkretno traži

Šest ključnih zahtjeva za sustav koji obrađuje osobne podatke:

  1. Privola. Aktivno označavanje neoznačenog polja, zabilježeno s datumom i opsegom.
  2. Pravo na uvid - portal ili izvoz u roku od mjesec dana.
  3. Pravo na ispravak.
  4. Pravo na brisanje (“pravo na zaborav”) - stvarno brisanje, ne oznake.
  5. Pravo na prenosivost - izvoz u JSON, CSV ili XML.
  6. Obavijest o povredi u 72 sata - traži nadzor i incident response.

Tehnička implementacija

Što razvojni partner mora ugraditi:

  • Upravljanje privolama (prikupljanje, čuvanje, povlačenje)
  • Zapisnik svih pristupa osobnim podacima
  • Enkripcija u prijenosu (TLS) i mirovanju (AES-256)
  • Mehanizmi za izvoz i stvarno brisanje podataka
  • Sigurnosne kopije na razini produkcije
  • Pristup po načelu minimuma za zaposlenike

Skriveni dugoročni troškovi

Razvoj je jedno; GDPR donosi i dugoročne obveze:

  • Vanjski DPO: 200-800 € mjesečno, ako je potreban
  • Pravni pregled: 500-2.000 € godišnje
  • Edukacija zaposlenika: 500-3.000 € godišnje
  • Periodični auditi: 1.500-5.000 € godišnje
  • Zahtjevi korisnika: 1 do 3 sata po zahtjevu

Ukupan godišnji trošak održavanja za malu ili srednju tvrtku: 3.000-15.000 €.

5 najčešćih pogrešaka

  1. Privola skrivena u uvjetima. “Samim korištenjem pristajete” nije pravno valjana privola.
  2. Brisanje kao oznaka. Označavanje zapisa “obrisanim” dok podaci ostaju u bazi nije usklađeno.
  3. Lozinke u čistom obliku ili s MD5/SHA1. Koristite Argon2 ili bcrypt.
  4. Nema audit loga. Bez njega ne možete dokazati nedužnost u istrazi povrede.
  5. Treće strane bez DPA-a. Mailchimp, GA, Stripe - svaki obrađivač traži Data Processing Agreement.

Često postavljana pitanja

Trebam li DPO-a za malu tvrtku? Samo ako redovito obrađujete osjetljive podatke (zdravstvene, financijske) ili imate veliki opseg sustavnog praćenja. Inače ne, no imenujte osobu odgovornu za GDPR.

Koliko se kazne stvarno izriču? Maksimalne kazne rijetke su. Tipične za male i srednje tvrtke: 2.000-20.000 €. Šesteroznamenkaste kazne rezervirane su za sustavne propuste ili velike povrede.

Što ako naš stari sustav nije usklađen? Dvije opcije: nadograditi (2.000-15.000 €) ili migrirati na novi sustav. Migracija je obično pravo rješenje ako stari sustav već ima druge probleme.

Odgovaram li ako razvojni partner napravi pogrešku? Da - Vi ste voditelj obrade. Ugovor mora sadržavati DPA klauzulu koja pokriva obveze obrađivača.

Povezani članci

Trebate GDPR audit ili novi sustav?

Dogovorite besplatan Discovery razgovor. Pregledat ćemo Vaš sustav s pravne i tehničke strane, utvrditi rizike i predložiti realan plan za usklađenost - bez panike i zastrašivanja.

Javite nam se na [email protected] ili putem obrasca na našoj stranici.

Svi članci