HR | EN

logo
header pozadina-min

Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite

Poduzimanje i provedba odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka imaju za cilj osigurati sigurnost, povjerljivost, cjelovitost i dostupnost osobnih podataka, kao i spriječiti neovlašten pristup, neovlašteno raspolaganje osobnim podacima te zlouporabu tehničke opreme i sustava kojima se koriste voditelji i izvršitelji obrade.

Primjenom odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba te da im mogu pristupiti samo osobe koje su za to ovlaštene i kojima je pristup potreban radi obavljanja njihovih radnih zadataka.

Voditelj obrade dužan je, već u trenutku određivanja sredstava obrade i tijekom same obrade, odrediti i primijeniti mjere koje omogućuju sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka. To osobito uključuje procjenu nužnosti obrade za svaku pojedinu svrhu, smanjenje količine podataka, ograničenje pristupa, određivanje rokova čuvanja, zaštitu od neovlaštenog pristupa te osiguravanje povjerljivosti i dostupnosti podataka.

Organizacijske mjere zaštite osobnih podataka

Organizacijske mjere zaštite odnose se na interna pravila, akte, procedure i ugovorne aranžmane kojima se uređuje način obrade i zaštite osobnih podataka unutar organizacije.

Primjeri organizacijskih mjera uključuju:

Pravilnik o informacijskoj sigurnosti
Tim se pravilnikom uređuju tehničke i organizacijske mjere zaštite koje se primjenjuju radi zaštite osobnih podataka i informacijskih sustava od neovlaštenog pristupa, gubitka, izmjene, uništenja ili zlouporabe.

Interni akti o obradi osobnih podataka
Takvim aktima može se propisati tko obrađuje osobne podatke, u koju svrhu, na kojoj pravnoj osnovi, koji se opseg podataka obrađuje, tko ima pravo pristupa podacima, koliko se dugo podaci čuvaju te koje se tehničke i organizacijske mjere primjenjuju za pojedini sustav pohrane ili bazu podataka.

Ugovorne klauzule u ugovorima o radu
Ugovorom o radu ili povezanim internim aktima može se odrediti kojim sustavima, zbirkama ili bazama osobnih podataka zaposlenik smije pristupati, u koju svrhu i pod kojim uvjetima.

Ugovorne klauzule u ugovorima o poslovnoj suradnji
Ugovorima s poslovnim partnerima, izvršiteljima obrade ili drugim primateljima podataka potrebno je jasno urediti koje su zbirke osobnih podataka predmet obrade, koja su prava i obveze ugovornih strana, koje se mjere zaštite primjenjuju te kako se osigurava povjerljivost i sigurnost podataka.

Izjava o povjerljivosti
Izjavom o povjerljivosti zaposlenik ili vanjski suradnik potvrđuje da će osobne podatke obrađivati isključivo u skladu s važećim propisima, internim pravilima i uputama voditelja ili izvršitelja obrade, da će čuvati povjerljivost osobnih podataka te da ih neće zloupotrebljavati niti davati neovlaštenim trećim osobama.

Opća uredba o zaštiti podataka ne propisuje izričitu obvezu potpisivanja izjave o povjerljivosti za sve osobe koje sudjeluju u obradi osobnih podataka. Međutim, članak 32. stavak 4. Opće uredbe propisuje da voditelj i izvršitelj obrade moraju poduzeti mjere kako bi osigurali da svaka fizička osoba koja djeluje pod njihovom ovlašću i ima pristup osobnim podacima ne obrađuje te podatke bez njihove upute, osim ako je to obvezna učiniti prema pravu Unije ili pravu države članice.

Stoga Agencija preporučuje korištenje izjave o povjerljivosti kao jedne od organizacijskih mjera zaštite osobnih podataka, osobito uzimajući u obzir obveze iz članaka 25. i 32. Opće uredbe o zaštiti podataka.

Agencija je pripremila primjer sadržaja Izjave o povjerljivosti koju voditelji i izvršitelji obrade mogu koristiti u svom svakodnevnom radu.

Obrazac izjave o povjerljivosti:
https://azop.hr/wp-content/uploads/2020/12/6-izjava_o_povjerljivosti_obrazac.docx

Opća uredba o zaštiti podataka ne propisuje izričitu obvezu potpisivanja izjave o povjerljivosti za sve osobe koje sudjeluju u obradi osobnih podataka. Međutim, članak 32. stavak 4. Opće uredbe propisuje da voditelj i izvršitelj obrade moraju poduzeti mjere kako bi osigurali da svaka fizička osoba koja djeluje pod njihovom ovlašću i ima pristup osobnim podacima ne obrađuje te podatke bez njihove upute, osim ako je to obvezna učiniti prema pravu Unije ili pravu države članice.

Stoga Agencija preporučuje korištenje izjave o povjerljivosti kao jedne od organizacijskih mjera zaštite osobnih podataka, osobito uzimajući u obzir obveze iz članaka 25. i 32. Opće uredbe o zaštiti podataka.

Važnost ljudskog faktora

Ljudski faktor jedan je od najvažnijih elemenata informacijske sigurnosti i zaštite osobnih podataka. Ako zaposlenici nisu svjesni važnosti zaštite podataka i vlastite odgovornosti u svakodnevnom radu, ni najbolje tehničke mjere neće biti dovoljno učinkovite.

Zbog toga je važno da svi zaposlenici, neovisno o radnom mjestu i razini odgovornosti, budu upoznati s time:

  • koje osobne i poslovne podatke koriste u svakodnevnom radu,
  • kojim kategorijama osobnih podataka ti podaci pripadaju,
  • gdje se podaci nalaze i u kojim se sustavima obrađuju,
  • koji su mogući rizici od krađe, gubitka, neovlaštenog pristupa ili zlouporabe podataka,
  • koje zaštitne mjere moraju primjenjivati,
  • koje posljedice mogu nastati u slučaju povrede osobnih podataka,
  • zašto se propisanih mjera zaštite treba pridržavati svakodnevno, a ne samo formalno.

Redovita edukacija zaposlenika, jasne interne procedure i praktične upute za postupanje u svakodnevnim situacijama ključni su za učinkovitu zaštitu osobnih podataka.

Tehničke mjere zaštite osobnih podataka

Tehničke mjere zaštite odnose se na mjere koje se primjenjuju na opremu, informacijske sustave, programe, mrežnu infrastrukturu, uređaje i prostore u kojima se osobni podaci obrađuju ili pohranjuju.

Jedna od najčešćih tehničkih mjera zaštite je uporaba lozinki. Lozinke se koriste za sprječavanje neovlaštenog pristupa:

  • radnoj opremi, kao što su računala, pametni telefoni, tableti, pisači, kopirke i mrežni uređaji,
  • računalnim programima i aplikacijama koje se koriste u poslovne svrhe,
  • elektroničkoj pošti,
  • datotekama i bazama podataka koje sadržavaju osobne podatke, primjerice Excel tablicama, Word dokumentima i drugim elektroničkim dokumentima.

Lozinke trebaju biti dovoljno složene, jedinstvene i redovito mijenjane kada za to postoji sigurnosni razlog. Ne preporučuje se koristiti istu lozinku za više uređaja, programa, usluga ili datoteka. Za sigurno upravljanje većim brojem lozinki preporučuje se korištenje pouzdanih alata za upravljanje lozinkama.

Primjer snažne lozinke može se izraditi korištenjem poznate fraze uz zamjenu pojedinih slova brojevima ili simbolima. Primjerice, iz fraze „Voćka poslije kiše” može nastati složena lozinka poput: %V0ćk@=p0sl1j3=k1š3. Takva lozinka može biti lakša za pamćenje od nasumičnog niza znakova, a istodobno znatno sigurnija od jednostavnih lozinki.

Primjeri tehničkih mjera zaštite uključuju:

  • postavljanje korisničkih imena, lozinki i prava pristupa,
  • ograničavanje pristupa podacima samo ovlaštenim osobama,
  • redovitu nadogradnju operativnih sustava i računalnih programa,
  • uporabu antivirusnih programa,
  • izradu sigurnosnih kopija podataka,
  • uporabu vatrozida,
  • zaštitu mrežne infrastrukture,
  • enkripciju podataka i prijenosnih uređaja,
  • pseudonimizaciju osobnih podataka kada je to primjereno,
  • zaštitu podataka pohranjenih u papirnatom obliku,
  • fizičku zaštitu prostorija i opreme od neovlaštenog pristupa,
  • zaštitu internetskih usmjerivača od neovlaštenog pristupa,
  • zaštitu pristupa podacima s udaljenih lokacija,
  • pristup opremi i programima putem kartica s čipom ili drugih sigurnosnih mehanizama,
  • bilježenje i nadzor pristupa osobnim podacima.

Preporuke Agencije

Agencija preporučuje voditeljima i izvršiteljima obrade da osobito vode računa o sljedećem:

  • dokumentaciju u papirnatom obliku koja sadržava osobne podatke potrebno je pohraniti u zaključane ormare, ladice ili druge zaštićene prostore pod nadzorom ovlaštenih osoba,
  • pristup osobnim podacima u elektroničkom obliku treba biti omogućen isključivo putem individualnih korisničkih računa i lozinki,
  • ovlaštenja za pristup osobnim podacima trebaju biti dodijeljena prema načelu najmanjih ovlasti, odnosno samo osobama kojima su podaci potrebni za obavljanje posla,
  • potrebno je izrađivati sigurnosne kopije podataka i redovito provjeravati njihovu ispravnost,
  • osobe koje sudjeluju u obradi osobnih podataka trebaju biti upoznate s obvezom povjerljivosti, a preporučuje se i potpisivanje izjave o povjerljivosti,
  • pseudonimizacija i enkripcija trebaju se primjenjivati osobito kada se obrađuju osjetljiviji podaci ili posebne kategorije osobnih podataka, primjerice podaci o zdravlju,
  • potrebno je voditi evidencije pristupa osobnim podacima kada je to primjereno s obzirom na rizike obrade,
  • interne procedure treba redovito preispitivati i ažurirati,
  • zaposlenike treba redovito educirati o zaštiti osobnih podataka i informacijskoj sigurnosti.

Primjena tehničkih i organizacijskih mjera ne smije biti samo formalna. Voditelj i izvršitelj obrade moraju moći dokazati da su mjere stvarno provedene, da su primjerene rizicima obrade i da se redovito preispituju

A

Povezano

Kodeksi ponašanja – često postavljana pitanja i odgovori

Kodeksi ponašanja – često postavljana pitanja i odgovori

Članak 40. Opće uredbe o zaštiti podataka potiče izradu kodeksa ponašanja koji doprinose pravilnoj primjeni Opće uredbe o zaštiti podataka, osobito uzimajući u obzir posebnosti pojedinih sektora i potrebe mikro, malih i srednjih poduzeća. U skladu s člankom 40....

Akreditacijski zahtjevi za tijela za praćenje kodeksa ponašanja

Akreditacijski zahtjevi za tijela za praćenje kodeksa ponašanja

Objavljeno: 20.5.2026. Kodeksi ponašanja - često postavljana pitanja i odgovori Na temelju Smjernica Europskog odbora za zaštitu podataka 1/2019 o kodeksima ponašanja i tijelima za praćenje prema Uredbi 2016/679, U skladu s člankom 41. Uredbe (EU) 2016/679 Europskog...

VIDEONADZOR
ZAHTJEV ZA UTVRĐIVANJE POVREDE PRAVA
UMJETNA INTELIGENCIJA
IMENOVANJE SLUŽBENIKA ZA ZAŠTITU PODATAKA
MIŠLJENJA, RJEŠENJA, PREPORUKE I SMJERNICE
IZVJEŠĆIVANJE O POVREDI OSOBNIH PODATAKA
Olivia-alat za usklađivanje s GDPR-om
7-edpb_logo_fullcolor_2
ARC projekt
Skip to content