O ovom pojmovniku
Ovaj pojmovnik sadrži definicije ključnih termina iz područja compliance-a, zaštite podataka, kibernetičke sigurnosti i korporativnog upravljanja. Namijenjen je svima koji žele razumjeti regulatorne zahtjeve koji se primjenjuju na poslovanje u Hrvatskoj i EU.
Regulatorni okvir u Hrvatskoj i Europskoj uniji postaje sve složeniji iz godine u godinu. Nove direktive poput NIS2 i CSRD proširuju krug obveznika, dok GDPR ostaje temelj zaštite osobnih podataka s kojim se svaka tvrtka mora uskladiti. Ovaj pojmovnik nastao je iz praktičnog iskustva rada s hrvatskim tvrtkama kojima je potreban jasan i pristupačan izvor definicija stručnih pojmova. Uz svaku definiciju dodali smo i konkretni primjer primjene koji pomaže povezati teoriju s praksom.
Pojmovnik se redovito ažurira u skladu s regulatornim promjenama. Posljednje ažuriranje: ožujak 2026.
Kako koristiti ovaj pojmovnik
Pojmovnik je organiziran abecednim redom. Svaki pojam sadrži tri dijela:
- Definicija -- stručno objašnjenje pojma prilagođeno kontekstu hrvatskog tržišta
- Primjer -- konkretna situacija iz poslovne prakse koja ilustrira primjenu pojma
- Kontekst -- gdje je primjenjivo, navedena je poveznica s relevantnim propisom ili standardom
Koristite sadržaj ispod za brzu navigaciju do željenog slova.
"Usklađenost nije samo pravna obveza -- to je temelj povjerenja između organizacije, njezinih korisnika i društva u cjelini. Razumijevanje terminologije prvi je korak prema izgradnji kulture usklađenosti."
-- Zdravko Zelić, bivši ravnatelj AZOP-a
Ova misao dobro sažima zašto je pojmovnik poput ovog koristan ne samo pravnicima i compliance službenicima, već i voditeljima odjela, članovima uprave i zaposlenicima koji se svakodnevno susreću s regulatornim zahtjevima u svom radu.
A
AML (Anti-Money Laundering)
Definicija: AML (sprječavanje pranja novca) je skup zakona, propisa i procedura namijenjenih sprječavanju korištenja financijskog sustava za pranje nezakonito stečenih sredstava. U Hrvatskoj je regulirano Zakonom o sprječavanju pranja novca i financiranja terorizma.
Primjer: Banka u Zagrebu odbija izvršiti seriju gotovinskih uplata jer klijent pokušava razdrobiti uplatu od 200.000 eura na više manjih transakcija kako bi izbjegao prag prijave -- to je klasičan primjer AML kontrole koja sprječava strukturiranje (smurfing).
AZOP
Definicija: Agencija za zaštitu osobnih podataka je neovisno nadzorno tijelo Republike Hrvatske zaduženo za nadzor primjene GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka. AZOP prima pritužbe, provodi nadzore i izriče kazne za kršenje propisa o zaštiti podataka.
Primjer: AZOP provodi nadzor nad hrvatskom telekomunikacijskom tvrtkom nakon pritužbe korisnika da mu je odbijen zahtjev za brisanje podataka, te utvrđuje da tvrtka nije imala zakonitu osnovu za daljnje zadržavanje podataka.
B
BCM (Business Continuity Management)
Definicija: BCM (upravljanje kontinuitetom poslovanja) je sustavan pristup identificiranju potencijalnih prijetnji za organizaciju i izgradnji otpornosti za nastavak poslovanja u slučaju prekida. Obuhvaća analizu utjecaja na poslovanje (BIA), izradu planova kontinuiteta i oporavka, redovite vježbe testiranja i kontinuirano poboljšanje. BCM je posebno važan u kontekstu NIS2 direktive koja zahtijeva od obveznika planove za upravljanje krizama.
Primjer: Proizvodna tvrtka u Slavoniji izrađuje BCM plan koji definira kako nastaviti isporuku proizvoda ako poplave onesposobe glavno skladište -- uključujući aktivaciju rezervnog skladišta, preusmjeravanje logistike putem alternativnih dobavljača i komunikacijski plan za obavještavanje klijenata o mogućim kašnjenjima.
C
CERT
Definicija: Computer Emergency Response Team je tijelo zaduženo za prevenciju i zaštitu od računalnih sigurnosnih incidenata. Nacionalni CERT Hrvatske koordinira odgovor na kibernetičke incidente i pruža smjernice za kibernetičku sigurnost.
Primjer: Nakon što bolnica u Rijeci primijeti neobičan mrežni promet, CERT.hr pomaže u analizi incidenta i utvrđuje da se radi o pokušaju neovlaštenog pristupa bazi podataka pacijenata putem poznate ranjivosti u web aplikaciji.
Compliance
Definicija: Compliance (usklađenost) je sustav upravljanja koji osigurava da organizacija posluje u skladu s primjenjivim zakonima, propisima, standardima i internim politikama. Uključuje identifikaciju obveza, implementaciju kontrola i kontinuirano praćenje usklađenosti. Učinkovit compliance program obuhvaća tri razine: prevenciju (politike, edukacija), detekciju (nadzor, revizija) i reakciju (ispravljanje nepravilnosti, prijava).
Primjer: Energetska tvrtka u Zagrebu osniva odjel za usklađenost koji objedinjuje praćenje GDPR obveza, antikorupcijskih propisa, NIS2 zahtjeva i ESG izvještavanja -- umjesto da svaki odjel zasebno prati svoje regulatorne obveze.
CSRD (Corporate Sustainability Reporting Directive)
Definicija: CSRD (Direktiva o korporativnom izvještavanju o održivosti) je EU direktiva koja proširuje obveze izvještavanja o održivosti na veći broj tvrtki. Zahtijeva revidirane izvještaje prema ESRS standardima, uključujući podatke o okolišu, društvenoj odgovornosti i upravljanju. U primjeni od 2024. za velike subjekte od javnog interesa, postupno se proširuje na ostale obveznike.
Primjer: Velika hrvatska prehrambena kompanija koja zapošljava više od 500 ljudi mora od 2025. objavljivati izvještaj o održivosti prema ESRS standardima, uključujući podatke o ugljičnom otisku, upravljanju otpadom i uvjetima rada u opskrbnom lancu.
D
DPO (Data Protection Officer)
Definicija: Službenik za zaštitu podataka je osoba zadužena za nadzor usklađenosti organizacije s GDPR-om. Obvezno ga imenuju javna tijela, organizacije koje provode sustavno praćenje pojedinaca i organizacije koje obrađuju posebne kategorije podataka u velikom opsegu.
Primjer: Osiguravajuća kuća imenuje DPO-a koji nadzire obradu zdravstvenih podataka klijenata, savjetuje odjel marketinga o zakonitim osnovama za slanje promotivnih poruka i koordinira odgovor na zahtjeve ispitanika za pristup podacima.
DORA (Digital Operational Resilience Act)
Definicija: DORA je EU regulativa koja propisuje zahtjeve digitalne operativne otpornosti za financijski sektor. Obuhvaća upravljanje ICT rizicima, prijavu incidenata, testiranje otpornosti i upravljanje rizicima trećih strana.
Primjer: Hrvatska banka mora prema DORA-i provesti godišnje testiranje digitalne otpornosti, uključujući simulirani kibernetički napad na sustav internetskog bankarstva, i dokumentirati rezultate koje pregledava regulator (HNB).
DPIA (Data Protection Impact Assessment)
Definicija: Procjena utjecaja na zaštitu podataka (DPIA) je postupak procjene rizika koji je prema GDPR-u (članak 35) obvezan kada obrada osobnih podataka može prouzročiti visok rizik za prava i slobode fizičkih osoba. Uključuje opis obrade, procjenu nužnosti i razmjernosti, analizu rizika i predviđene mjere za smanjenje rizika.
Primjer: Maloprodajni lanac u Hrvatskoj planira uvesti sustav videonadzora s prepoznavanjem lica u trgovinama. Prije implementacije mora provesti DPIA koji procjenjuje rizike za privatnost kupaca i definira mjere zaštite -- poput ograničenja pohrane snimaka i obavijesti kupcima.
E
ESG (Environmental, Social, Governance)
Definicija: ESG su tri ključna faktora za mjerenje održivosti i etičkog utjecaja organizacije: okolišni (E), društveni (S) i upravljački (G). ESG kriteriji sve su važniji za investitore i regulatore.
Primjer: Investicijski fond procjenjuje ESG ocjenu hrvatske energetske tvrtke prije ulaganja: analizira emisije CO2 iz postrojenja (E), radne uvjete i sigurnost zaposlenika (S) te transparentnost uprave i antikorupcijske politike (G).
G
GDPR (General Data Protection Regulation)
Definicija: Opća uredba o zaštiti podataka je EU regulativa koja uređuje obradu osobnih podataka fizičkih osoba. Na snazi od 25. svibnja 2018. Propisuje sedam načela obrade (zakonitost, ograničenje svrhe, smanjenje količine podataka, točnost, ograničenje pohrane, cjelovitost i povjerljivost, odgovornost), prava ispitanika, obveze voditelja obrade i kazne do 20 milijuna eura ili 4% globalnog prometa -- ovisno o tome što je veće.
Primjer: Hrvatska web trgovina mora prikazati jasnu obavijest o kolačićima, omogućiti korisnicima brisanje računa na zahtjev, voditi evidenciju aktivnosti obrade i prijaviti AZOP-u svaku povredu osobnih podataka u roku od 72 sata.
Gap analiza
Definicija: Gap analiza je proces usporedbe trenutnog stanja usklađenosti s zahtjevima propisa kako bi se identificirali nedostaci (gaps) koje je potrebno riješiti. Ključan je korak u svakom projektu usklađenosti.
Primjer: IT tvrtka provodi gap analizu NIS2 zahtjeva i utvrđuje da ima implementirane tehničke mjere zaštite, ali joj nedostaje formalizirani postupak prijave incidenata i redovita obuka zaposlenika -- što definira kao prioritete za iduće tromjesečje.
I
Ispitanik (Data Subject)
Definicija: Prema GDPR-u, ispitanik je fizička osoba čiji se osobni podaci obrađuju. Ispitanik ima prava na pristup, ispravak, brisanje, ograničenje obrade, prenosivost i prigovor.
Primjer: Zaposlenik hrvatske tvrtke koji podnese zahtjev za pristup svim svojim osobnim podacima koje tvrtka obrađuje -- uključujući podatke iz HR sustava, evidencije radnog vremena i korespondenciju -- ostvaruje svoje pravo ispitanika prema članku 15 GDPR-a.
Incident (kibernetički)
Definicija: Kibernetički incident je događaj koji ugrožava dostupnost, autentičnost, integritet ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga. Prema NIS2, značajni incidenti moraju se prijaviti u roku od 24 sata.
Primjer: Komunalno poduzeće u Splitu otkriva da je napadač iskoristio ranjivost u VPN-u i pristupio internoj mreži. Prema NIS2 obvezama, poduzeće u roku od 24 sata šalje prvu prijavu nacionalnom CSIRT-u, a u roku od 72 sata detaljno izvješće.
ISO 27001
Definicija: ISO 27001 je međunarodni standard za sustav upravljanja informacijskom sigurnošću (ISMS). Definira zahtjeve za uspostavu, implementaciju, održavanje i kontinuirano poboljšanje sustava koji štiti povjerljivost, integritet i dostupnost informacija. Standard uključuje Aneks A s 93 kontrole razvrstane u četiri kategorije: organizacijske, kadrovske, fizičke i tehnološke. Certifikacija se obnavlja svake tri godine uz godišnje nadzorne revizije.
Primjer: Hrvatska IT tvrtka koja želi surađivati s bankama i osiguravajućim društvima certificira se prema ISO 27001 jer financijski sektor to zahtijeva kao uvjet za suradnju s vanjskim dobavljačima IT usluga. Proces certifikacije traje oko šest mjeseci i uključuje gap analizu, implementaciju kontrola, internu reviziju i vanjsku certifikacijsku reviziju.
K
Ključni subjekt (Essential Entity)
Definicija: Prema NIS2 direktivi, ključni subjekti su veliki subjekti (250+ zaposlenika ili >50M EUR prometa) u sektorima visoke kritičnosti. Podliježu proaktivnom nadzoru i kazne do 10 milijuna eura.
Primjer: Veliki opskrbljivač električnom energijom u Hrvatskoj klasificiran je kao ključni subjekt prema NIS2. Podliježe redovitim inspekcijama regulatora, mora provoditi penetracijsko testiranje i imati uspostavljen tim za odgovor na incidente koji je dostupan 24/7.
Korupcija
Definicija: Korupcija je zlouporaba povjerene moći za privatnu korist. Uključuje mito, pronevjeru, sukob interesa i druge oblike nezakonitog postupanja. U Hrvatskoj je regulirano Kaznenim zakonom, a progoni je USKOK.
Primjer: Direktor javne tvrtke koji usmjerava ugovor za nabavu IT opreme prema tvrtki svog bliskog člana obitelji, bez provedenog javnog natječaja i po cijenama višim od tržišnih, čini korupcijsko kazneno djelo koje progoni USKOK.
L
Legitimni interes
Definicija: Legitimni interes je jedna od šest pravnih osnova za obradu osobnih podataka prema GDPR-u (članak 6(1)(f)). Koristi se kada voditelj ima opravdan interes za obradu koji nije nadjačan pravima ispitanika. Zahtijeva provođenje testa balansiranja.
Primjer: Tvrtka koristi legitimni interes kao osnovu za obradu podataka zaposlenika putem sustava videonadzora u skladištu radi sprječavanja krađa -- ali prethodno provodi test balansiranja kojim dokazuje da je mjera razmjerna i da su prava zaposlenika zaštićena ograničenjem pristupa snimkama.
M
Mito (Bribery)
Definicija: Mito je davanje ili primanje nepripadne koristi radi utjecaja na odluku ili radnju osobe u položaju. Kazneno djelo prema hrvatskom Kaznenom zakonu s kaznom do 10 godina zatvora.
Primjer: Predstavnik građevinske tvrtke nudi gradskom službeniku odgovornome za izdavanje građevinskih dozvola besplatnu renovaciju stana u zamjenu za brže odobrenje projekta -- što predstavlja davanje mita prema članku 294 Kaznenog zakona.
MFA (Višefaktorska autentifikacija)
Definicija: MFA (Multi-Factor Authentication / višefaktorska autentifikacija) je sigurnosni mehanizam koji zahtijeva dva ili više neovisnih faktora za provjeru identiteta korisnika: nešto što korisnik zna (lozinka), nešto što korisnik posjeduje (mobilni uređaj, token) i/ili nešto što korisnik jest (biometrija). NIS2 i DORA izričito preporučuju ili zahtijevaju MFA za pristup kritičnim sustavima.
Primjer: Zaposlenici hrvatske banke za pristup sustavu internetskog bankarstva koriste lozinku, jednokratni kod s mobilnog tokena i otisak prsta -- tri faktora koji značajno smanjuju rizik od neovlaštenog pristupa čak i ako napadač sazna lozinku.
N
NIS2 (Network and Information Security Directive 2)
Definicija: NIS2 je EU direktiva o kibernetičkoj sigurnosti koja zamjenjuje NIS1 iz 2016. Proširuje obveze na 18 sektora, uvodi strože kazne (do 10M EUR) i osobnu odgovornost uprave. Ključne obveze uključuju upravljanje rizicima, prijavu incidenata, sigurnost opskrbnog lanca, obuku zaposlenika i uspostavu odgovornih osoba. Rok za prijenos u nacionalno zakonodavstvo bio je listopad 2024., a Hrvatska je u procesu donošenja Zakona o kibernetičkoj sigurnosti.
Primjer: Srednja logistička tvrtka u Osijeku koja zapošljava 80 ljudi sada potpada pod NIS2 jer spada u sektor prometa. Uprava mora osobno odobriti mjere kibernetičke sigurnosti, a propust u provedbi može značiti osobnu odgovornost članova uprave.
O
Osobni podaci
Definicija: Prema GDPR-u, osobni podaci su svi podaci koji se odnose na identificiranu ili identificabilnu fizičku osobu. Uključuju: ime, adresu, email, IP adresu, lokacijske podatke, genetske podatke, biometrijske podatke i druge identifikatore.
Primjer: E-mail adresa zaposlenik@tvrtka.hr, IP adresa s koje se korisnik prijavljuje u sustav, broj osobne iskaznice, čak i kombinacija podataka poput "direktor IT odjela tvrtke X u Varaždinu" -- sve su to osobni podaci jer omogućuju identifikaciju fizičke osobe.
Obrada podataka
Definicija: Obrada je svaki postupak ili skup postupaka koji se obavljaju nad osobnim podacima: prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba, izmjena, dohvat, uvid, uporaba, otkrivanje, širenje, usklađivanje, ograničavanje, brisanje ili uništavanje.
Primjer: Kad HR odjel prikupi životopis kandidata, pohrani ga u bazu, podijeli s voditeljem odjela, donese odluku o zapošljavanju i na kraju obriše životopis odbijenog kandidata -- svaki od tih koraka smatra se obradom osobnih podataka prema GDPR-u.
Obrađivač podataka (Data Processor)
Definicija: Obrađivač je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Obrađivač smije postupati samo prema dokumentiranim uputama voditelja i mora s njim sklopiti ugovor o obradi (članak 28 GDPR-a).
Primjer: Hrvatska tvrtka koristi vanjskog pružatelja usluge obračuna plaća koji pristupa osobnim podacima zaposlenika (OIB, plaća, bankovni račun). Pružatelj usluge je obrađivač i mora imati sklopljen ugovor o obradi podataka koji definira opseg, trajanje i mjere zaštite.
P
Phishing
Definicija: Phishing je vrsta kibernetičkog napada kod kojeg napadač koristi prijevarne poruke (email, SMS, poziv) kako bi naveo žrtvu da otkrije osjetljive podatke ili instalira zlonamjerni softver. Odgovoran za 90% uspješnih kibernetičkih napada.
Primjer: Zaposlenik u računovodstvu prima e-mail koji izgleda kao da dolazi od direktora s hitnim zahtjevom za uplatu na novi bankovni račun. Napadač je lažirao adresu pošiljatelja -- što je tipičan primjer spear phishinga koji ciljano napada zaposlenike s pristupom financijskim sustavima.
Privola (Consent)
Definicija: Privola je jedna od pravnih osnova za obradu osobnih podataka prema GDPR-u. Mora biti slobodna, specifična, informirana i nedvosmislena. Ispitanik ima pravo povući privolu u bilo kojem trenutku.
Primjer: Web trgovina u Hrvatskoj prilikom registracije korisnika prikazuje zasebnu kvačicu (koja nije unaprijed označena) za pristanak na primanje promotivnih e-mailova -- to je primjer pravilno prikupljene privole jer je specifična, dobrovoljna i korisnik je jasno informiran o svrsi.
Povreda osobnih podataka (Data Breach)
Definicija: Povreda je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima. Mora se prijaviti AZOP-u u roku od 72 sata ako predstavlja rizik za prava pojedinaca.
Primjer: Zaposlenik zdravstvene ustanove greškom šalje e-mail s popisom pacijenata i njihovim dijagnozama na krivu adresu. Ustanova mora prijaviti povredu AZOP-u u roku od 72 sata i obavijestiti pogođene pacijente jer povreda predstavlja visok rizik za njihova prava.
PCI DSS (Payment Card Industry Data Security Standard)
Definicija: PCI DSS je globalni sigurnosni standard za organizacije koje obrađuju, pohranjuju ili prenose podatke o platnim karticama. Definira 12 ključnih sigurnosnih zahtjeva, uključujući zaštitu mreže, enkripciju podataka kartice, upravljanje ranjivostima, kontrolu pristupa i redovito testiranje sustava. Usklađenost je obvezna za sve trgovce i pružatelje usluga koji prihvaćaju kartično plaćanje.
Primjer: Hrvatska web trgovina koja obrađuje plaćanje kreditnim karticama mora ispunjavati PCI DSS zahtjeve -- uključujući enkripciju brojeva kartica, segmentaciju mreže između sustava za plaćanje i ostatka infrastrukture, te tromjesečno skeniranje ranjivosti.
R
Ransomware
Definicija: Ransomware je vrsta zlonamjernog softvera koji šifrira podatke žrtve i zahtijeva otkupninu za ključ za dešifriranje. Jedna od najvećih kibernetičkih prijetnji za organizacije u 2026. godini. Moderni ransomware napadi često kombiniraju šifriranje s prijetnjom objavljivanja ukradenih podataka (tzv. dvostruka ucjena), što dodatno povećava pritisak na žrtve.
Primjer: Srednja proizvodna tvrtka u Zagorju otkriva u ponedjeljak ujutro da su svi poslovni sustavi zaključani i prikazuju poruku s zahtjevom za 500.000 eura u kriptovaluti. Zahvaljujući redovitim sigurnosnim kopijama koje se čuvaju izvan mreže (offline backup), tvrtka vraća sustave bez plaćanja otkupnine u roku od 48 sati.
Rizik (compliance)
Definicija: Compliance rizik je mogućnost negativnih posljedica (kazne, gubitak reputacije, financijska šteta) zbog neusklađenosti s primjenjivim zakonima i propisima. Upravljanje rizicima je ključna komponenta svakog compliance programa.
Primjer: Hrvatska turistička agencija identificira compliance rizik jer obrađuje osobne podatke tisuća gostiju iz EU bez imenovanog DPO-a i bez provedene DPIA -- što u slučaju nadzora može rezultirati kaznom i do 4% godišnjeg prometa.
S
Socijalni inženjering
Definicija: Socijalni inženjering je tehnika manipulacije kojom napadači iskorištavaju ljudsku psihologiju (povjerenje, strah, hitnost) kako bi naveli žrtvu da učini nešto što ugrožava sigurnost. Phishing je najčešći oblik.
Primjer: Napadač telefonski kontaktira zaposlenika IT podrške, predstavlja se kao novi član uprave i hitno traži resetiranje lozinke za pristup ERP sustavu -- koristeći javno dostupne podatke s LinkedIna da zvuči uvjerljivo.
Sukob interesa
Definicija: Sukob interesa nastaje kada privatni interes osobe utječe ili bi mogao utjecati na nepristrano obavljanje njenih dužnosti. Može biti stvarni, potencijalni ili percipirani. Ključna je prevencija putem prijave i upravljanja.
Primjer: Članica nadzornog odbora komunalnog poduzeća istovremeno je suvlasnica tvrtke koja se natječe na natječaju istog poduzeća za održavanje zelenih površina. Mora prijaviti sukob interesa i izuzeti se iz glasovanja o tom natječaju.
U
USKOK
Definicija: Ured za suzbijanje korupcije i organiziranog kriminaliteta je specijalizirano državno odvjetništvo Republike Hrvatske za progon korupcije i organiziranog kriminaliteta.
Primjer: USKOK pokreće istragu protiv čelnika javnog poduzeća nakon prijave zviždača da je sustavno favorizirao određenog dobavljača u postupcima javne nabave i primao provizije u zamjenu za dodjelu ugovora.
V
Važni subjekt (Important Entity)
Definicija: Prema NIS2 direktivi, važni subjekti su srednji i veliki subjekti u svim obuhvaćenim sektorima koji ne ispunjavaju kriterije za ključne subjekte. Podliježu reaktivnom nadzoru i kazne do 7 milijuna eura.
Primjer: Srednja tvrtka za proizvodnju hrane koja zapošljava 120 zaposlenika klasificirana je kao važni subjekt prema NIS2. Iako nema obvezu proaktivnog nadzora, mora ispunjavati iste sigurnosne zahtjeve i može očekivati inspekciju nakon prijavljenog incidenta.
Voditelj obrade (Data Controller)
Definicija: Prema GDPR-u, voditelj obrade je fizička ili pravna osoba koja određuje svrhe i sredstva obrade osobnih podataka. Voditelj je odgovoran za usklađenost s GDPR-om.
Primjer: Online trgovina koja prikuplja podatke kupaca (ime, adresu, povijest kupnji) radi isporuke narudžbi i marketinga je voditelj obrade tih podataka -- ona odlučuje zašto i kako se podaci obrađuju i snosi odgovornost za usklađenost s GDPR-om.
Vijeće za sustav unutarnjih kontrola
Definicija: Vijeće za sustav unutarnjih kontrola je tijelo koje u javnim i velikim privatnim organizacijama nadzire djelotvornost sustava unutarnjih kontrola, upravljanja rizicima i usklađenosti s propisima. U Hrvatskoj je ustrojstvo i rad unutarnjih kontrola regulirano Zakonom o sustavu unutarnjih kontrola u javnom sektoru i Zakonom o fiskalnoj odgovornosti.
Primjer: Vijeće za sustav unutarnjih kontrola u velikom javnom poduzeću jednom kvartalno pregledava izvješća o rizicima, ocjenjuje učinkovitost implementiranih kontrola i donosi preporuke upravi za poboljšanje procesa -- primjerice, nakon revizije utvrđuje da proces odobravanja računa nema dovoljan broj razina kontrole.
Z
Zviždač (Whistleblower)
Definicija: Zviždač je osoba koja prijavljuje nepravilnosti (korupciju, kršenje zakona, opasnost za zdravlje ili okoliš) unutar organizacije ili nadležnim tijelima. EU Direktiva o zaštiti zviždača (2019/1937) prenesena je u hrvatsko zakonodavstvo Zakonom o zaštiti prijavitelja nepravilnosti (NN 46/22). Poslodavci s 50 ili više zaposlenika obvezni su uspostaviti interni kanal za prijavu nepravilnosti.
Primjer: Zaposlenica računovodstva primjećuje da tvrtka sustavno izdaje fiktivne račune i prijavljuje to putem internog kanala za prijavu nepravilnosti. Prema Zakonu o zaštiti prijavitelja nepravilnosti, tvrtka joj ne smije dati otkaz, smanjiti plaću, premjestiti je na lošije radno mjesto niti na bilo koji drugi način izvršiti odmazdu. Ako tvrtka nema uspostavljen interni kanal, zaposlenica može prijavu uputiti izravno pučkom pravobranitelju.
Najčešća pitanja o compliance terminologiji
Zašto je važno poznavati compliance terminologiju?
Razumijevanje stručnih pojmova preduvjet je za pravilnu primjenu propisa. Zaposlenici koji ne razumiju što je povreda osobnih podataka, ne mogu je ni prepoznati ni prijaviti u zakonskom roku od 72 sata. Osim toga, regulatori poput AZOP-a i inspektora kibernetičke sigurnosti očekuju da organizacije razumiju terminologiju propisa kojima podliježu. U praksi, nepoznavanje pojmova često dovodi do pogrešne kategorizacije incidenata, kašnjenja u prijavi i nepotrebnih kazni.
Koji su ključni propisi za hrvatske tvrtke u 2026. godini?
Većina hrvatskih tvrtki mora poznavati barem GDPR (zaštita osobnih podataka), NIS2 (kibernetička sigurnost), Zakon o sprječavanju pranja novca (za financijski sektor) i CSRD (izvještavanje o održivosti za veće tvrtke). Ovisno o djelatnosti, mogu biti relevantni i DORA (financijski sektor), PCI DSS (kartično plaćanje) i sektorski propisi. Za tvrtke u javnom sektoru dodatno je relevantan Zakon o sustavu unutarnjih kontrola i Zakon o fiskalnoj odgovornosti.
Koja je razlika između voditelja obrade i obrađivača podataka?
Voditelj obrade (data controller) je organizacija koja određuje svrhu i način obrade osobnih podataka -- primjerice, tvrtka koja prikuplja podatke svojih kupaca. Obrađivač (data processor) obrađuje podatke u ime voditelja -- primjerice, cloud pružatelj usluge koji pohranjuje te podatke. Voditelj snosi primarnu odgovornost za usklađenost s GDPR-om, ali mora ugovorno obvezati obrađivača na primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite.
Mora li svaka tvrtka u Hrvatskoj imati DPO-a?
Ne mora svaka, ali mnoge moraju. DPO je obvezan za javna tijela, organizacije čija je osnovna djelatnost sustavno praćenje pojedinaca u velikom opsegu (npr. telekomi, osiguravajuća društva) te organizacije koje obrađuju posebne kategorije podataka u velikom opsegu (npr. zdravstvene ustanove). Ostale tvrtke mogu ga imenovati dobrovoljno, što se preporučuje jer DPO pomaže u proaktivnom upravljanju rizicima zaštite podataka.
Što NIS2 znači za malu tvrtku?
NIS2 se primjenjuje na srednje i velike subjekte u 18 ključnih sektora. Male tvrtke (manje od 50 zaposlenika i manje od 10 milijuna eura prometa) u pravilu ne podliježu NIS2, osim ako pružaju ključne usluge poput DNS-a, registra domena ili usluga povjerenja. Ipak, NIS2 može neizravno utjecati na male tvrtke jer veliki klijenti sve češće zahtijevaju od dobavljača usklađenost s određenim sigurnosnim standardima kao uvjet za nastavak suradnje.
Što učiniti ako dođe do povrede osobnih podataka?
Ako povreda predstavlja rizik za prava i slobode pojedinaca, organizacija mora prijaviti povredu AZOP-u u roku od 72 sata od saznanja. Ako je rizik visok, mora obavijestiti i pogođene ispitanike bez nepotrebnog odgađanja. Ključno je imati unaprijed pripremljen plan odgovora na incidente koji definira tko je odgovoran, kako se provodi analiza, koji su koraci komunikacije i kako se dokumentira cijeli postupak. Svaka povreda mora se zabilježiti u internu evidenciju povreda -- neovisno o tome je li prijavljena AZOP-u ili ne.
Koja je razlika između ključnog i važnog subjekta prema NIS2?
Ključni subjekti su veliki subjekti (250+ zaposlenika ili 50+ milijuna eura prometa) u sektorima visoke kritičnosti (energetika, promet, zdravstvo, digitalna infrastruktura). Važni subjekti su srednji i veliki subjekti u ostalim obuhvaćenim sektorima. Glavna razlika je u nadzoru: ključni subjekti podliježu proaktivnom nadzoru i višim kaznama (do 10M EUR), dok važni subjekti podliježu reaktivnom nadzoru i nižim kaznama (do 7M EUR). Obje kategorije moraju ispunjavati iste minimalne sigurnosne zahtjeve, ali se razlikuju u intenzitetu nadzora i razini sankcija.
Povezani članci
Proširite svoje znanje o compliance temama koje su obrađene u ovom pojmovniku:
- GDPR kazne u Hrvatskoj -- kako zaštititi vašu tvrtku -- pregled stvarnih kazni koje je AZOP izrekao i kako ih izbjeći
- NIS2 direktiva -- što hrvatska poduzeća moraju znati -- praktični vodič za usklađivanje s novim zahtjevima kibernetičke sigurnosti
- Kibernetička sigurnost -- vodič za zaposlenike -- osnove kibernetičke higijene koje bi svaki zaposlenik trebao poznavati
- Sprječavanje korupcije -- obveze tvrtki u Hrvatskoj -- antikorupcijske obveze i best practice za hrvatsko poslovno okruženje
Izvori
Pojmovnik je izrađen na temelju službenih regulatornih izvora i stručne literature:
- EUR-Lex -- pristup zakonodavstvu EU -- službeni portal za EU propise, uključujući GDPR, NIS2, DORA i CSRD
- AZOP -- Agencija za zaštitu osobnih podataka -- smjernice, mišljenja i odluke hrvatskog nadzornog tijela za zaštitu podataka
- ENISA -- Agencija EU za kibernetičku sigurnost -- analize prijetnji, preporuke i okviri za kibernetičku sigurnost
- Nacionalni CERT -- upozorenja, preporuke i edukativni materijali o kibernetičkoj sigurnosti u Hrvatskoj
- Zakon o sustavu unutarnjih kontrola u javnom sektoru (NN 78/15, 102/19) -- zakonski okvir za unutarnje kontrole u javnom sektoru RH
Ključni rokovi za 2026. godinu
Za lakše snalaženje u regulatornim obvezama, evo pregleda najvažnijih rokova koji utječu na hrvatske tvrtke:
| Propis | Rok / Status | Tko je obvezan |
|---|---|---|
| GDPR | Na snazi od 2018. | Sve organizacije koje obrađuju osobne podatke |
| NIS2 | Prijenos u nacionalno zakonodavstvo u tijeku | Srednji i veliki subjekti u 18 sektora |
| DORA | Primjena od siječnja 2025. | Financijski sektor i ICT dobavljači |
| CSRD | Postupna primjena 2024.--2026. | Veliki subjekti od javnog interesa, zatim ostali |
| Zakon o zaštiti prijavitelja nepravilnosti | Na snazi od 2022. | Poslodavci s 50+ zaposlenika |
Zaključak
Regulatorno okruženje u Hrvatskoj i EU nastavlja se razvijati ubrzanim tempom. Nove direktive poput NIS2, CSRD i DORA donose dodatne obveze za sve veći krug organizacija, dok GDPR ostaje temelj na kojem se gradi kultura zaštite podataka.
Poznavanje stručne terminologije nije luksuz -- to je poslovni preduvjet za svaku organizaciju koja želi izbjeći kazne, zaštititi svoju reputaciju i izgraditi povjerenje kod klijenata, partnera i regulatora.
Ovaj pojmovnik ažuriramo redovito kako bi odražavao najnovije regulatorne promjene. Ako primijetite da nedostaje neki termin ili želite predložiti izmjenu, slobodno nas kontaktirajte.
Trebate edukaciju iz compliance-a?
CompliQuest nudi online tečajeve koji pokrivaju GDPR, NIS2, antikorupciju, kibernetičku sigurnost i druge compliance teme. Naši tečajevi pomažu organizacijama educirati zaposlenike i ispuniti regulatorne zahtjeve.
Svi tečajevi dostupni su na hrvatskom i engleskom jeziku, prilagođeni za rad na svim uređajima i uključuju certifikat po završetku.
Pregledajte naše tečajeve | Kontaktirajte nas
Definicije u ovom pojmovniku služe kao informativni vodič i ne predstavljaju pravni savjet. Za specifična pravna pitanja savjetujemo konzultaciju s odvjetnikom specijaliziranim za relevantno pravno područje.