Pojmovi koji stoje iza svakog propisa.

Sprječavanje pranja novca (AML) odnosi se na zakone, propise i postupke osmišljene za sprječavanje kriminalaca u prikrivanju nezakonito stečenih sredstava kao legitimnih prihoda. AML usklađenost zahtijeva dubinsku analizu klijenata, praćenje transakcija, prijavljivanje sumnjivih aktivnosti i obuku zaposlenika.

Anonimizacija

Anonimizacija je nepovratna obrada osobnih podataka tako da se ispitanik više ne može identificirati, ni izravno ni neizravno, uz razumna sredstva. Za razliku od pseudonimizacije, stvarno anonimizirani podaci nisu osobni podaci i na njih se GDPR ne primjenjuje.

AZOP (Agencija za zaštitu osobnih podataka)

AZOP je hrvatsko neovisno nadzorno tijelo zaduženo za nadzor primjene GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka u Republici Hrvatskoj. AZOP provodi nadzore, prima pritužbe građana, izriče kazne i daje smjernice za obradu osobnih podataka.

CSRD (Direktiva o izvještavanju o održivosti)

CSRD (Corporate Sustainability Reporting Directive, Direktiva EU 2022/2464) je propis EU-a koji proširuje obveze izvještavanja o održivosti. Obvezani subjekti moraju izvještavati prema ESRS standardima, uz neovisno uvjeravanje (reviziju) i načelo dvostruke materijalnosti.

DORA (Uredba o digitalnoj operativnoj otpornosti)

DORA (Digital Operational Resilience Act, Uredba EU 2022/2554) je propis EU-a koji financijskom sektoru postavlja jedinstvene zahtjeve za upravljanje rizicima informacijsko-komunikacijske tehnologije (ICT), prijavu incidenata, testiranje otpornosti i nadzor nad ICT dobavljačima. Primjenjuje se od siječnja 2025.

DPIA (Procjena učinka na zaštitu podataka)

Procjena učinka na zaštitu podataka (DPIA) je strukturirani postupak identificiranja i minimiziranja rizika za zaštitu podataka kod projekta ili aktivnosti obrade. DPIA je obavezna prema GDPR-u kada je obrada vjerojatno visokorizična za prava i slobode pojedinaca.

DPO (Službenik za zaštitu podataka)

Službenik za zaštitu podataka (DPO) je neovisni stručnjak imenovan od strane organizacije za nadzor usklađenosti sa zakonima o zaštiti podataka, savjetovanje o obvezama, praćenje usklađenosti i služenje kao kontaktna točka za AZOP i ispitanike.

Dubinska analiza stranke

Dubinska analiza stranke (engl. Customer Due Diligence, CDD) je skup mjera kojima obveznik utvrđuje i provjerava identitet stranke i njezina stvarnog vlasnika, svrhu poslovnog odnosa te prati transakcije. Temelj je sustava sprječavanja pranja novca.

Dvofaktorska autentifikacija (2FA)

Dvofaktorska autentifikacija (2FA), širi pojam višefaktorska autentifikacija (MFA), je sigurnosni postupak koji uz lozinku traži dodatni dokaz identiteta — npr. kod iz aplikacije, SMS ili biometriju. Jedna je od najučinkovitijih mjera protiv preuzimanja računa i posljedica phishinga.

Dvostruka materijalnost

Dvostruka materijalnost je načelo izvještavanja o održivosti prema kojem tvrtka procjenjuje i svoj utjecaj na okoliš i društvo (utjecajna materijalnost) i način na koji pitanja održivosti utječu na njezino poslovanje i financije (financijska materijalnost). Polazna je točka izvještavanja po CSRD-u i ESRS-u.

Enkripcija (šifriranje)

Enkripcija je postupak pretvaranja podataka u oblik čitljiv samo onima koji posjeduju ključ za dešifriranje. GDPR je navodi kao primjer odgovarajuće tehničke mjere sigurnosti, a u slučaju povrede enkriptirani podaci često znače da obavještavanje ispitanika nije nužno.

ESG (Okoliš, društvo i upravljanje)

ESG se odnosi na tri središnja stupa koji se koriste za procjenu održivosti i etičkog utjecaja tvrtke. Okoliš pokriva klimu i korištenje resursa; Društvo pokriva radne prakse, raznolikost i utjecaj na zajednicu; Upravljanje pokriva strukturu uprave, etiku i transparentnost.

ESRS (Europski standardi izvještavanja o održivosti)

ESRS (European Sustainability Reporting Standards) su standardi koji propisuju što i kako tvrtke objavljuju u izvještaju o održivosti prema CSRD-u. Pokrivaju okolišne, društvene i upravljačke teme te opća načela izvještavanja.

EU Akt o umjetnoj inteligenciji

AI regulativa

EU Akt o umjetnoj inteligenciji je prvi sveobuhvatni pravni okvir za umjetnu inteligenciju na svijetu. Uspostavlja pravila temeljena na razinama rizika — od zabranjenih praksi do obveza transparentnosti — koja se primjenjuju na pružatelje, korisnike i uvoznike AI sustava u Europskoj uniji.

EU taksonomija

EU taksonomija (Uredba EU 2020/852) je klasifikacijski sustav koji određuje koje se gospodarske djelatnosti smatraju okolišno održivima. Pomaže usmjeriti ulaganja i temelj je dijela izvještavanja o održivosti prema CSRD-u.

Evidencija aktivnosti obrade (ROPA)

Evidencija aktivnosti obrade je obvezna GDPR dokumentacija (Članak 30.) koja obavezuje organizacije da vode detaljnu pisanu evidenciju svih aktivnosti obrade osobnih podataka, uključujući svrhe, kategorije podataka, primatelje, rokove čuvanja i sigurnosne mjere.

GDPR (Opća uredba o zaštiti podataka)

Opća uredba o zaštiti podataka (GDPR) je sveobuhvatni zakon Europske unije koji uređuje način na koji organizacije prikupljaju, pohranjuju, obrađuju i dijele osobne podatke pojedinaca u Europskom gospodarskom prostoru. Primjenjuje se na sve organizacije, bez obzira na veličinu ili sjedište.

ISO/IEC 27001

ISO/IEC 27001 je međunarodna norma za sustav upravljanja informacijskom sigurnošću (ISMS). Definira zahtjeve za uspostavu, primjenu i kontinuirano poboljšanje upravljanja sigurnošću informacija temeljeno na procjeni rizika. Certifikat je čest dokaz zrelosti sigurnosti pred klijentima i regulatorima.

Ispitanik

Ispitanik je svaka identificirana ili identificirana fizička osoba čiji se osobni podaci prikupljaju, čuvaju ili obrađuju. Prema GDPR-u, ispitanici imaju specifična prava uključujući pristup, ispravak, brisanje, prenosivost i pravo na prigovor obradi.

Izvršitelj obrade

Izvršitelj obrade je fizička ili pravna osoba koja obrađuje osobne podatke u ime voditelja obrade, prema njegovim dokumentiranim uputama. Izvršitelji obrade uključuju pružatelje usluga u oblaku, platne servise, e-mail platforme i sve treće strane koje obrađuju podatke za drugu organizaciju.

Kibernetička sigurnost

Kibernetička sigurnost je praksa zaštite sustava, mreža, uređaja i podataka od digitalnih napada, neovlaštenog pristupa i štete. Obuhvaća tehnološke, procesne i ljudske kontrole dizajnirane za obranu od prijetnji poput malwarea, phishinga, ransomwarea i insajderskih napada.

Ključni i važni subjekti (NIS2)

Ključni i važni subjekti su dvije kategorije organizacija obuhvaćenih NIS2 direktivom i hrvatskim Zakonom o kibernetičkoj sigurnosti. Razvrstavanje ovisi o sektoru i veličini organizacije te određuje opseg obveza i najvišu razinu kazne.

KYC (Upoznaj svog klijenta)

Upoznaj svog klijenta (KYC) je postupak provjere identiteta klijenta i procjene njegovog rizičnog profila prije i tijekom poslovnog odnosa. KYC je ključna komponenta usklađenosti sa sprječavanjem pranja novca i zahtjev financijskih propisa širom svijeta.

Legitimni interes

Legitimni interes je jedna od šest pravnih osnova za obradu osobnih podataka prema GDPR-u. Omogućuje organizacijama obradu podataka kada imaju opravdan, zakonit razlog koji ne nadmašuje temeljna prava i slobode ispitanika.

Mobbing (uznemiravanje na radu)

Radno pravo

Mobbing je sustavno, ponavljano i neprijateljsko ponašanje na radnom mjestu kojim se vrijeđa dostojanstvo radnika i stvara ponižavajuće ili zastrašujuće okruženje. U Hrvatskoj je zaštita dostojanstva radnika uređena Zakonom o radu, a poslodavac je dužan poduzeti mjere prevencije i zaštite.

NIS2 Direktiva

NIS2 Direktiva je ažurirani EU zakon o kibernetičkoj sigurnosti koji postavlja minimalne sigurnosne zahtjeve i obveze prijave incidenata za bitne i važne subjekte u kritičnim sektorima. U Hrvatskoj je prenesena u Zakon o kibernetičkoj sigurnosti.

Osobni podaci

Osobni podaci su svaka informacija koja se odnosi na identificiranog ili identificiranog fizičkog pojedinca. To uključuje imena, e-mail adrese, IP adrese, lokacijske podatke, identifikatore kolačića i sve druge podatke koji mogu izravno ili neizravno identificirati osobu.

P11

Phishing

Phishing je vrsta kibernetičkog napada u kojem napadači oponašaju pouzdane subjekte putem e-pošte, SMS poruka ili lažnih web stranica kako bi prevarili korisnike da otkriju osjetljive informacije poput lozinki, brojeva kreditnih kartica ili osobnih podataka.

Politički izložena osoba (PEP)

Politički izložena osoba (engl. Politically Exposed Person, PEP) je fizička osoba koja obnaša ili je obnašala istaknutu javnu dužnost, kao i njezini članovi obitelji i bliski suradnici. Zbog povećanog rizika od korupcije i pranja novca, obveznici nad PEP-ovima provode pojačanu dubinsku analizu.

Politika privatnosti

Politika privatnosti je pravni dokument koji objašnjava kako organizacija prikuplja, koristi, pohranjuje, dijeli i štiti osobne podatke. Zahtijeva je gotovo svaki zakon o zaštiti podataka u svijetu i mora biti napisana jasnim, razumljivim jezikom.

Povreda osobnih podataka

Povreda osobnih podataka je sigurnosni incident koji rezultira neovlaštenim pristupom, otkrivanjem, izmjenom ili uništenjem osobnih podataka. Prema GDPR-u, voditelj obrade mora prijaviti povredu AZOP-u u roku od 72 sata ako predstavlja rizik za prava ispitanika.

Pranje novca

Pranje novca je postupak prikrivanja nezakonito stečenih sredstava tako da izgledaju kao legitimni prihod. Obično uključuje tri faze: plasman, prikrivanje i integraciju. U Hrvatskoj je pranje novca kazneno djelo regulirano Zakonom o sprječavanju pranja novca i financiranja terorizma.

Pravo na brisanje (Pravo na zaborav)

Pravo na brisanje, poznato i kao pravo na zaborav, omogućuje pojedincima da zatraže brisanje svojih osobnih podataka kada više nisu potrebni, kada je privola povučena ili kada je obrada nezakonita.

Pravo na pristup podacima

Pravo na pristup (GDPR čl. 15.) omogućuje ispitaniku da od voditelja obrade dobije potvrdu obrađuju li se njegovi osobni podaci te pristup tim podacima i informacijama o obradi. Voditelj mora odgovoriti bez odgode, u pravilu u roku od mjesec dana.

Privola (GDPR)

Prema GDPR-u, privola je slobodno dana, posebna, informirana i nedvosmislena izjava volje ispitanika kojom pristaje na obradu svojih osobnih podataka. Privola mora biti dokaziva i jednako laka za povlačenje kao i za davanje.

Privola za kolačiće

Privola za kolačiće je zahtjev za dobivanje informiranog, slobodnog pristanka posjetitelja web stranice prije postavljanja nebitnih kolačića ili sličnih tehnologija praćenja. Prema EU pravu, privola mora biti aktivni opt-in — unaprijed označeni okviri i pretpostavljena privola nisu valjani.

Procjena rizika

Procjena rizika je sustavni postupak identificiranja potencijalnih opasnosti ili prijetnji, procjene njihove vjerojatnosti i utjecaja te određivanja odgovarajućih mjera za ublažavanje ili upravljanje rizicima. U usklađenosti, procjene rizika zahtijevaju GDPR, NIS2, AML propisi i većina upravljačkih okvira.

Pseudonimizacija

Pseudonimizacija je obrada osobnih podataka na način da se više ne mogu pripisati određenom ispitaniku bez korištenja dodatnih informacija, koje se čuvaju odvojeno i uz tehničke i organizacijske mjere. GDPR je izričito navodi kao mjeru zaštite — no pseudonimizirani podaci i dalje su osobni podaci.

Ransomware

Ransomware je vrsta zlonamjernog softvera koji šifrira podatke ili sustave organizacije i zahtijeva plaćanje (otkupninu) za ključ za dešifriranje. Moderni ransomware napadi često uključuju krađu podataka i prijetnje objavljivanjem (dvostruka iznuda).

Sigurnosni incident

Sigurnosni incident je događaj koji ugrožava povjerljivost, cjelovitost ili dostupnost informacijskih sustava i podataka. Prema NIS2 i Zakonu o kibernetičkoj sigurnosti, ključni i važni subjekti moraju značajne incidente prijaviti nadležnom tijelu u propisanim rokovima.

Socijalni inženjering

Socijalni inženjering je manipulacija ljudima kako bi otkrili povjerljive informacije ili izvršili radnje koje ugrožavaju sigurnost. Umjesto napada na tehnologiju, napadač iskorištava povjerenje, žurbu i autoritet. Phishing je njegov najčešći oblik.

Stvarni vlasnik

Stvarni vlasnik je fizička osoba koja u konačnici posjeduje ili kontrolira pravnu osobu, izravno ili neizravno, ili u čije se ime provodi transakcija. Utvrđivanje stvarnog vlasnika ključan je dio dubinske analize stranke i upisuje se u Registar stvarnih vlasnika.

Sukob interesa

Sukob interesa nastaje kada osobni interesi pojedinca — financijski, obiteljski ili drugi — mogu neprimjereno utjecati na njegovo profesionalno rasuđivanje ili odluke. U usklađenosti, upravljanje sukobima interesa ključno je za sprečavanje prijevare, korupcije i kršenja fiducijarne dužnosti.

Transparentnost plaća (EU direktiva)

Radno pravo

Direktiva EU o transparentnosti plaća (Direktiva (EU) 2023/970) uvodi obveze poslodavcima radi smanjenja razlike u plaćama između spolova — pravo kandidata i radnika na informacije o plaćama, izvještavanje o razlici u plaćama i mjere kad razlika prijeđe prag. Države članice provedbu su dužne osigurati do 2026.

Ugovor o obradi (DPA)

Ugovor o obradi (engl. Data Processing Agreement, DPA) pravno je obvezujući ugovor između voditelja obrade i izvršitelja obrade kojim se uređuje obrada osobnih podataka u ime voditelja. GDPR čl. 28. propisuje obvezni sadržaj takvog ugovora — bez njega je angažiranje izvršitelja (npr. pružatelja IT usluga) protupravno.

Usklađenost (Compliance)

Usklađenost je praksa osiguravanja da organizacija poštuje primjenjive zakone, propise, standarde i interne politike. Obuhvaća regulatornu usklađenost, korporativno upravljanje, etiku, upravljanje rizicima i interne kontrole u svim poslovnim operacijama.

Videonadzor

Videonadzor je obrada osobnih podataka snimanjem osoba putem kamera. Prema GDPR-u i hrvatskom Zakonu o provedbi Opće uredbe, videonadzor je dopušten samo uz jasnu zakonitu osnovu, obavijest, ograničeno trajanje čuvanja snimki i poštivanje posebnih pravila za radne prostore.

Voditelj obrade

Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka. Voditelj obrade snosi primarnu odgovornost za usklađenost s GDPR-om.

Zlonamjerni softver (malware)

Zlonamjerni softver (engl. malware) skupni je naziv za programe stvorene da naštete sustavu, ukradu podatke ili omoguće neovlašteni pristup. Obuhvaća viruse, trojance, špijunski softver i ransomware, a najčešće dospijeva phishingom ili zaraženim datotekama.

Zviždač (Whistleblower)