GDPR i ZZPL za male firme: minimum koji morate da imate
24. јун 2026. · 7 min čitanja
Mnoge male firme misle da se zaštita podataka o ličnosti tiče samo velikih kompanija. Ne tiče. Čim obrađujete podatke o ljudima — zaposlenima, klijentima, dobavljačima — na vas se odnose obaveze: u Srbiji Zakon o zaštiti podataka o ličnosti (ZZPL), a ako poslujete sa EU, i GDPR. Dobra vest je da za malu firmu „minimum" nije nedostižan; loša je da „ništa" nije opcija. Ovo nije pravni savet, nego praktičan pregled gde da krenete.
Prvo: znajte koje podatke uopšte imate
Ne možete zaštititi ono što ne znate da posedujete. Najkorisniji prvi korak je popis (evidencija) obrade:
- Koje podatke o ličnosti prikupljate (imena, kontakti, JMBG, podaci o zaposlenima, video nadzor...).
- Gde se čuvaju (sistemi, fajlovi, cloud servisi, papir).
- Zašto ih obrađujete i po kom osnovu (ugovor, zakonska obaveza, saglasnost...).
- Ko im ima pristup i sa kim ih delite (npr. knjigovođa, dobavljači).
Ovaj popis je temelj svega ostalog i većini firmi otkrije podatke za koje nisu ni znali da ih drže.
Drugo: imajte osnov i budite transparentni
Svaka obrada mora imati zakonski osnov i mora biti jasna ljudima čije podatke obrađujete:
- Obaveštenje o privatnosti (politika privatnosti) koje jasno kaže šta, zašto i koliko dugo čuvate.
- Saglasnost tamo gde je ona osnov — dobrovoljna, jasna i opoziva, ne sakrivena u sitnim slovima.
- Poštovanje prava ljudi: uvid u svoje podatke, ispravka i brisanje kada za to ima osnova.
Transparentnost je jeftina, a njen izostanak je čest uzrok pritužbi.
Treće: tehnička i organizaciona zaštita
Zakon traži „odgovarajuće mere", a ne čuda. Za malu firmu to praktično znači higijenu koju ionako treba da imate:
- Kontrola pristupa — svako vidi samo ono što mu treba za posao.
- Šifrovanje osetljivih podataka i uređaja (laptopovi, telefoni).
- Višefaktorska prijava i jake lozinke.
- Backup i plan oporavka.
- Brisanje podataka kada im istekne svrha — ne čuvajte sve zauvek „za svaki slučaj".
Veliki deo usklađenosti se preklapa sa dobrom IT bezbednošću; ne radi se o dva odvojena projekta.
Četvrto: ugovori sa onima koji obrađuju podatke za vas
Ako vam neko spolja obrađuje podatke — cloud provajder, knjigovođa, alat za mejling — odgovornost ostaje i na vama. Minimum je da imate ugovor (ili odredbu) koji uređuje kako ti partneri smeju da koriste podatke i da ih štite. Birajte dobavljače koji to mogu da pokažu, a ne samo da obećaju.
Peto: znajte šta radite kad procuri
Incident sa podacima nije pitanje „da li", nego „kada". Unapred odredite:
- Ko prepoznaje i prijavljuje incident interno.
- Koje rokove i kome imate obavezu prijave (nadležnom organu, a u nekim slučajevima i pogođenim licima).
- Kako dokumentujete šta se desilo i šta ste preduzeli.
Spreman, makar kratak postupak, razlika je između kontrolisanog odgovora i panike.
Gde mala firma najčešće greši
Tipične rupe koje se lako zatvore:
- Čuvanje podataka „zauvek" bez svrhe i roka.
- Saglasnost koja to zapravo nije (unapred štiklirano, nejasno).
- Pristup koji imaju svi, jer „tako je lakše".
- Nepostojanje evidencije obrade, pa firma ni ne zna gde su joj podaci.
Usklađenost nije jednokratni papir koji se uradi i zaboravi, nego način rada. Za malu firmu minimum je ostvariv: znajte koje podatke imate, imajte osnov i transparentnost, štitite ih osnovnim merama, uredite odnose sa dobavljačima i spremite postupak za incident. Za konkretne obaveze i rokove koji važe baš za vašu delatnost, proverite sa pravnikom — ovaj tekst vam pomaže da znate koja pitanja da postavite.