O ovom pojmovniku
Ovaj pojmovnik sadrži definicije ključnih termina iz područja compliance-a, zaštite podataka, kibernetičke sigurnosti i korporativnog upravljanja. Namijenjen je svima koji žele razumjeti regulatorne zahtjeve koji se primjenjuju na poslovanje u Hrvatskoj i EU.
A
AML (Anti-Money Laundering)
Definicija: AML (sprječavanje pranja novca) je skup zakona, propisa i procedura namijenjenih sprječavanju korištenja financijskog sustava za pranje nezakonito stečenih sredstava. U Hrvatskoj je regulirano Zakonom o sprječavanju pranja novca i financiranja terorizma.
AZOP
Definicija: Agencija za zaštitu osobnih podataka je neovisno nadzorno tijelo Republike Hrvatske zaduženo za nadzor primjene GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka. AZOP prima pritužbe, provodi nadzore i izriče kazne za kršenje propisa o zaštiti podataka.
C
CERT
Definicija: Computer Emergency Response Team je tijelo zaduženo za prevenciju i zaštitu od računalnih sigurnosnih incidenata. Nacionalni CERT Hrvatske koordinira odgovor na kibernetičke incidente i pruža smjernice za kibernetičku sigurnost.
Compliance
Definicija: Compliance (usklađenost) je sustav upravljanja koji osigurava da organizacija posluje u skladu s primjenjivim zakonima, propisima, standardima i internim politikama. Uključuje identifikaciju obveza, implementaciju kontrola i kontinuirano praćenje usklađenosti.
D
DPO (Data Protection Officer)
Definicija: Službenik za zaštitu podataka je osoba zadužena za nadzor usklađenosti organizacije s GDPR-om. Obvezno ga imenuju javna tijela, organizacije koje provode sustavno praćenje pojedinaca i organizacije koje obrađuju posebne kategorije podataka u velikom opsegu.
DORA (Digital Operational Resilience Act)
Definicija: DORA je EU regulativa koja propisuje zahtjeve digitalne operativne otpornosti za financijski sektor. Obuhvaća upravljanje ICT rizicima, prijavu incidenata, testiranje otpornosti i upravljanje rizicima trećih strana.
E
ESG (Environmental, Social, Governance)
Definicija: ESG su tri ključna faktora za mjerenje održivosti i etičkog utjecaja organizacije: okolišni (E), društveni (S) i upravljački (G). ESG kriteriji sve su važniji za investitore i regulatore.
F
FCPA (Foreign Corrupt Practices Act)
Definicija: FCPA je američki zakon koji zabranjuje podmićivanje stranih dužnosnika. Ima ekstrateritorijalni doseg i primjenjuje se na tvrtke koje kotiraju na američkim burzama ili posluju u SAD-u. Kazne mogu iznositi stotine milijuna dolara.
G
GDPR (General Data Protection Regulation)
Definicija: Opća uredba o zaštiti podataka je EU regulativa koja uređuje obradu osobnih podataka fizičkih osoba. Na snazi od 25. svibnja 2018. Propisuje načela obrade, prava ispitanika, obveze voditelja obrade i kazne do 20 milijuna eura ili 4% globalnog prometa.
Gap analiza
Definicija: Gap analiza je proces usporedbe trenutnog stanja usklađenosti s zahtjevima propisa kako bi se identificirali nedostaci (gaps) koje je potrebno riješiti. Ključan je korak u svakom projektu usklađenosti.
H
HIPAA (Health Insurance Portability and Accountability Act)
Definicija: HIPAA je američki zakon koji štiti privatnost i sigurnost zdravstvenih podataka. Iako je američki, relevanta je za hrvatske tvrtke koje obrađuju zdravstvene podatke američkih građana ili surađuju s američkim zdravstvenim organizacijama.
I
Ispitanik (Data Subject)
Definicija: Prema GDPR-u, ispitanik je fizička osoba čiji se osobni podaci obrađuju. Ispitanik ima prava na pristup, ispravak, brisanje, ograničenje obrade, prenosivost i prigovor.
Incident (kibernetički)
Definicija: Kibernetički incident je događaj koji ugrožava dostupnost, autentičnost, integritet ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga. Prema NIS2, značajni incidenti moraju se prijaviti u roku od 24 sata.
K
Ključni subjekt (Essential Entity)
Definicija: Prema NIS2 direktivi, ključni subjekti su veliki subjekti (250+ zaposlenika ili >50M€ prometa) u sektorima visoke kritičnosti. Podliježu proaktivnom nadzoru i kazne do 10 milijuna eura.
Korupcija
Definicija: Korupcija je zlouporaba povjerene moći za privatnu korist. Uključuje mito, pronevjeru, sukob interesa i druge oblike nezakonitog postupanja. U Hrvatskoj je regulirano Kaznenim zakonom, a progoni je USKOK.
L
Legitimni interes
Definicija: Legitimni interes je jedna od šest pravnih osnova za obradu osobnih podataka prema GDPR-u (članak 6(1)(f)). Koristi se kada voditelj ima opravdan interes za obradu koji nije nadjačan pravima ispitanika. Zahtijeva provođenje testa balansiranja.
M
Mito (Bribery)
Definicija: Mito je davanje ili primanje nepripadne koristi radi utjecaja na odluku ili radnju osobe u položaju. Kazneno djelo prema hrvatskom Kaznenom zakonu s kaznom do 10 godina zatvora.
N
NIS2 (Network and Information Security Directive 2)
Definicija: NIS2 je EU direktiva o kibernetičkoj sigurnosti koja zamjenjuje NIS1 iz 2016. Proširuje obveze na 18 sektora, uvodi strože kazne (do 10M€) i osobnu odgovornost uprave. Rok za prijenos: listopad 2024.
O
Osobni podaci
Definicija: Prema GDPR-u, osobni podaci su svi podaci koji se odnose na identificiranu ili identificabilnu fizičku osobu. Uključuju: ime, adresu, email, IP adresu, lokacijske podatke, genetske podatke, biometrijske podatke i druge identifikatore.
Obrada podataka
Definicija: Obrada je svaki postupak ili skup postupaka koji se obavljaju nad osobnim podacima: prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba, izmjena, dohvat, uvid, uporaba, otkrivanje, širenje, usklađivanje, ograničavanje, brisanje ili uništavanje.
P
Phishing
Definicija: Phishing je vrsta kibernetičkog napada kod kojeg napadač koristi prijevarne poruke (email, SMS, poziv) kako bi naveo žrtvu da otkrije osjetljive podatke ili instalira zlonamjerni softver. Odgovoran za 90% uspješnih kibernetičkih napada.
Privola (Consent)
Definicija: Privola je jedna od pravnih osnova za obradu osobnih podataka prema GDPR-u. Mora biti slobodna, specifična, informirana i nedvosmislena. Ispitanik ima pravo povući privolu u bilo kojem trenutku.
Povreda osobnih podataka (Data Breach)
Definicija: Povreda je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima. Mora se prijaviti AZOP-u u roku od 72 sata ako predstavlja rizik za prava pojedinaca.
R
Ransomware
Definicija: Ransomware je vrsta zlonamjernog softvera koji šifrira podatke žrtve i zahtijeva otkupninu za ključ za dešifriranje. Jedna od najvećih kibernetičkih prijetnji za organizacije.
Rizik (compliance)
Definicija: Compliance rizik je mogućnost negativnih posljedica (kazne, gubitak reputacije, financijska šteta) zbog neusklađenosti s primjenjivim zakonima i propisima. Upravljanje rizicima je ključna komponenta svakog compliance programa.
S
Socijalni inženjering
Definicija: Socijalni inženjering je tehnika manipulacije kojom napadači iskorištavaju ljudsku psihologiju (povjerenje, strah, hitnost) kako bi naveli žrtvu da učini nešto što ugrožava sigurnost. Phishing je najčešći oblik.
Sukob interesa
Definicija: Sukob interesa nastaje kada privatni interes osobe utječe ili bi mogao utjecati na nepristrano obavljanje njenih dužnosti. Može biti stvarni, potencijalni ili percipirani. Ključna je prevencija putem prijave i upravljanja.
U
USKOK
Definicija: Ured za suzbijanje korupcije i organiziranog kriminaliteta je specijalizirano državno odvjetništvo Republike Hrvatske za progon korupcije i organiziranog kriminaliteta.
V
Važni subjekt (Important Entity)
Definicija: Prema NIS2 direktivi, važni subjekti su srednji i veliki subjekti u svim obuhvaćenim sektorima koji ne ispunjavaju kriterije za ključne subjekte. Podliježu reaktivnom nadzoru i kazne do 7 milijuna eura.
Voditelj obrade (Data Controller)
Definicija: Prema GDPR-u, voditelj obrade je fizička ili pravna osoba koja određuje svrhe i sredstva obrade osobnih podataka. Voditelj je odgovoran za usklađenost s GDPR-om.
Z
Zviždač (Whistleblower)
Definicija: Zviždač je osoba koja prijavljuje nepravilnosti (korupciju, kršenje zakona, opasnost za zdravlje ili okoliš) unutar organizacije ili nadležnim tijelima. EU Direktiva o zaštiti zviždača osigurava zaštitu od odmazde.
Trebate edukaciju iz compliance-a?
CompliQuest nudi online tečajeve koji pokrivaju GDPR, NIS2, antikorupciju, kibernetičku sigurnost i druge compliance teme. Naši tečajevi pomažu organizacijama educirati zaposlenike i ispuniti regulatorne zahtjeve.
Pregledajte naše tečajeve | Kontaktirajte nas
Definicije u ovom pojmovniku služe kao informativni vodič i ne predstavljaju pravni savjet.