Pojmovnik usklađenosti

Sprječavanje pranja novca (AML) odnosi se na zakone, propise i postupke osmišljene za sprječavanje kriminalaca u prikrivanju nezakonito stečenih sredstava kao legitimnih prihoda. AML usklađenost zahtijeva dubinsku analizu klijenata, praćenje transakcija, prijavljivanje sumnjivih aktivnosti i obuku zaposlenika.

AZOP je hrvatsko neovisno nadzorno tijelo zaduženo za nadzor primjene GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka u Republici Hrvatskoj. AZOP provodi nadzore, prima pritužbe građana, izriče kazne i daje smjernice za obradu osobnih podataka.

Procjena učinka na zaštitu podataka (DPIA) je strukturirani postupak identificiranja i minimiziranja rizika za zaštitu podataka kod projekta ili aktivnosti obrade. DPIA je obavezna prema GDPR-u kada je obrada vjerojatno visokorizična za prava i slobode pojedinaca.

Službenik za zaštitu podataka (DPO) je neovisni stručnjak imenovan od strane organizacije za nadzor usklađenosti sa zakonima o zaštiti podataka, savjetovanje o obvezama, praćenje usklađenosti i služenje kao kontaktna točka za AZOP i ispitanike.

ESG se odnosi na tri središnja stupa koji se koriste za procjenu održivosti i etičkog utjecaja tvrtke. Okoliš pokriva klimu i korištenje resursa; Društvo pokriva radne prakse, raznolikost i utjecaj na zajednicu; Upravljanje pokriva strukturu uprave, etiku i transparentnost.

EU Akt o umjetnoj inteligenciji je prvi sveobuhvatni pravni okvir za umjetnu inteligenciju na svijetu. Uspostavlja pravila temeljena na razinama rizika — od zabranjenih praksi do obveza transparentnosti — koja se primjenjuju na pružatelje, korisnike i uvoznike AI sustava u Europskoj uniji.

Evidencija aktivnosti obrade je obvezna GDPR dokumentacija (Članak 30.) koja obavezuje organizacije da vode detaljnu pisanu evidenciju svih aktivnosti obrade osobnih podataka, uključujući svrhe, kategorije podataka, primatelje, rokove čuvanja i sigurnosne mjere.

Opća uredba o zaštiti podataka (GDPR) je sveobuhvatni zakon Europske unije koji uređuje način na koji organizacije prikupljaju, pohranjuju, obrađuju i dijele osobne podatke pojedinaca u Europskom gospodarskom prostoru. Primjenjuje se na sve organizacije, bez obzira na veličinu ili sjedište.

Ispitanik je svaka identificirana ili identificirana fizička osoba čiji se osobni podaci prikupljaju, čuvaju ili obrađuju. Prema GDPR-u, ispitanici imaju specifična prava uključujući pristup, ispravak, brisanje, prenosivost i pravo na prigovor obradi.

Izvršitelj obrade je fizička ili pravna osoba koja obrađuje osobne podatke u ime voditelja obrade, prema njegovim dokumentiranim uputama. Izvršitelji obrade uključuju pružatelje usluga u oblaku, platne servise, e-mail platforme i sve treće strane koje obrađuju podatke za drugu organizaciju.

Kibernetička sigurnost je praksa zaštite sustava, mreža, uređaja i podataka od digitalnih napada, neovlaštenog pristupa i štete. Obuhvaća tehnološke, procesne i ljudske kontrole dizajnirane za obranu od prijetnji poput malwarea, phishinga, ransomwarea i insajderskih napada.

Upoznaj svog klijenta (KYC) je postupak provjere identiteta klijenta i procjene njegovog rizičnog profila prije i tijekom poslovnog odnosa. KYC je ključna komponenta usklađenosti sa sprječavanjem pranja novca i zahtjev financijskih propisa širom svijeta.

Legitimni interes je jedna od šest pravnih osnova za obradu osobnih podataka prema GDPR-u. Omogućuje organizacijama obradu podataka kada imaju opravdan, zakonit razlog koji ne nadmašuje temeljna prava i slobode ispitanika.

NIS2 Direktiva je ažurirani EU zakon o kibernetičkoj sigurnosti koji postavlja minimalne sigurnosne zahtjeve i obveze prijave incidenata za bitne i važne subjekte u kritičnim sektorima. U Hrvatskoj je prenesena u Zakon o kibernetičkoj sigurnosti.

Osobni podaci su svaka informacija koja se odnosi na identificiranog ili identificiranog fizičkog pojedinca. To uključuje imena, e-mail adrese, IP adrese, lokacijske podatke, identifikatore kolačića i sve druge podatke koji mogu izravno ili neizravno identificirati osobu.

Phishing je vrsta kibernetičkog napada u kojem napadači oponašaju pouzdane subjekte putem e-pošte, SMS poruka ili lažnih web stranica kako bi prevarili korisnike da otkriju osjetljive informacije poput lozinki, brojeva kreditnih kartica ili osobnih podataka.

Politika privatnosti je pravni dokument koji objašnjava kako organizacija prikuplja, koristi, pohranjuje, dijeli i štiti osobne podatke. Zahtijeva je gotovo svaki zakon o zaštiti podataka u svijetu i mora biti napisana jasnim, razumljivim jezikom.

Povreda osobnih podataka je sigurnosni incident koji rezultira neovlaštenim pristupom, otkrivanjem, izmjenom ili uništenjem osobnih podataka. Prema GDPR-u, voditelj obrade mora prijaviti povredu AZOP-u u roku od 72 sata ako predstavlja rizik za prava ispitanika.

Pranje novca je postupak prikrivanja nezakonito stečenih sredstava tako da izgledaju kao legitimni prihod. Obično uključuje tri faze: plasman, prikrivanje i integraciju. U Hrvatskoj je pranje novca kazneno djelo regulirano Zakonom o sprječavanju pranja novca i financiranja terorizma.

Pravo na brisanje, poznato i kao pravo na zaborav, omogućuje pojedincima da zatraže brisanje svojih osobnih podataka kada više nisu potrebni, kada je privola povučena ili kada je obrada nezakonita.

Prema GDPR-u, privola je slobodno dana, posebna, informirana i nedvosmislena izjava volje ispitanika kojom pristaje na obradu svojih osobnih podataka. Privola mora biti dokaziva i jednako laka za povlačenje kao i za davanje.

Privola za kolačiće je zahtjev za dobivanje informiranog, slobodnog pristanka posjetitelja web stranice prije postavljanja nebitnih kolačića ili sličnih tehnologija praćenja. Prema EU pravu, privola mora biti aktivni opt-in — unaprijed označeni okviri i pretpostavljena privola nisu valjani.

Procjena rizika je sustavni postupak identificiranja potencijalnih opasnosti ili prijetnji, procjene njihove vjerojatnosti i utjecaja te određivanja odgovarajućih mjera za ublažavanje ili upravljanje rizicima. U usklađenosti, procjene rizika zahtijevaju GDPR, NIS2, AML propisi i većina upravljačkih okvira.

Ransomware je vrsta zlonamjernog softvera koji šifrira podatke ili sustave organizacije i zahtijeva plaćanje (otkupninu) za ključ za dešifriranje. Moderni ransomware napadi često uključuju krađu podataka i prijetnje objavljivanjem (dvostruka iznuda).

Sukob interesa nastaje kada osobni interesi pojedinca — financijski, obiteljski ili drugi — mogu neprimjereno utjecati na njegovo profesionalno rasuđivanje ili odluke. U usklađenosti, upravljanje sukobima interesa ključno je za sprečavanje prijevare, korupcije i kršenja fiducijarne dužnosti.

Usklađenost je praksa osiguravanja da organizacija poštuje primjenjive zakone, propise, standarde i interne politike. Obuhvaća regulatornu usklađenost, korporativno upravljanje, etiku, upravljanje rizicima i interne kontrole u svim poslovnim operacijama.

Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka. Voditelj obrade snosi primarnu odgovornost za usklađenost s GDPR-om.

Zviždač je osoba koja prijavljuje nezakonite, neetičke ili neusklađene aktivnosti unutar organizacije internim kanalima, regulatornim tijelima ili javnosti. I EU i hrvatsko pravo pružaju zaštitu od odmazde za zviždače koji prijavljuju u dobroj vjeri.