MSP
SR/EN
Zakaži audit
Deo INTO d.o.o. · www.into.rsintomsp.com
// Bezbednost

GDPR i ZZPL za male firme: minimum koji morate da imate

24. јун 2026. · 7 min čitanja

Mnoge male firme misle da se zaštita podataka o ličnosti tiče samo velikih kompanija. Ne tiče. Čim obrađujete podatke o ljudima — zaposlenima, klijentima, dobavljačima — na vas se odnose obaveze: u Srbiji Zakon o zaštiti podataka o ličnosti (ZZPL), a ako poslujete sa EU, i GDPR. Dobra vest je da za malu firmu „minimum" nije nedostižan; loša je da „ništa" nije opcija. Ovo nije pravni savet, nego praktičan pregled gde da krenete.

Prvo: znajte koje podatke uopšte imate

Ne možete zaštititi ono što ne znate da posedujete. Najkorisniji prvi korak je popis (evidencija) obrade:

  • Koje podatke o ličnosti prikupljate (imena, kontakti, JMBG, podaci o zaposlenima, video nadzor...).
  • Gde se čuvaju (sistemi, fajlovi, cloud servisi, papir).
  • Zašto ih obrađujete i po kom osnovu (ugovor, zakonska obaveza, saglasnost...).
  • Ko im ima pristup i sa kim ih delite (npr. knjigovođa, dobavljači).

Ovaj popis je temelj svega ostalog i većini firmi otkrije podatke za koje nisu ni znali da ih drže.

Drugo: imajte osnov i budite transparentni

Svaka obrada mora imati zakonski osnov i mora biti jasna ljudima čije podatke obrađujete:

  • Obaveštenje o privatnosti (politika privatnosti) koje jasno kaže šta, zašto i koliko dugo čuvate.
  • Saglasnost tamo gde je ona osnov — dobrovoljna, jasna i opoziva, ne sakrivena u sitnim slovima.
  • Poštovanje prava ljudi: uvid u svoje podatke, ispravka i brisanje kada za to ima osnova.

Transparentnost je jeftina, a njen izostanak je čest uzrok pritužbi.

Treće: tehnička i organizaciona zaštita

Zakon traži „odgovarajuće mere", a ne čuda. Za malu firmu to praktično znači higijenu koju ionako treba da imate:

  • Kontrola pristupa — svako vidi samo ono što mu treba za posao.
  • Šifrovanje osetljivih podataka i uređaja (laptopovi, telefoni).
  • Višefaktorska prijava i jake lozinke.
  • Backup i plan oporavka.
  • Brisanje podataka kada im istekne svrha — ne čuvajte sve zauvek „za svaki slučaj".

Veliki deo usklađenosti se preklapa sa dobrom IT bezbednošću; ne radi se o dva odvojena projekta.

Četvrto: ugovori sa onima koji obrađuju podatke za vas

Ako vam neko spolja obrađuje podatke — cloud provajder, knjigovođa, alat za mejling — odgovornost ostaje i na vama. Minimum je da imate ugovor (ili odredbu) koji uređuje kako ti partneri smeju da koriste podatke i da ih štite. Birajte dobavljače koji to mogu da pokažu, a ne samo da obećaju.

Peto: znajte šta radite kad procuri

Incident sa podacima nije pitanje „da li", nego „kada". Unapred odredite:

  • Ko prepoznaje i prijavljuje incident interno.
  • Koje rokove i kome imate obavezu prijave (nadležnom organu, a u nekim slučajevima i pogođenim licima).
  • Kako dokumentujete šta se desilo i šta ste preduzeli.

Spreman, makar kratak postupak, razlika je između kontrolisanog odgovora i panike.

Gde mala firma najčešće greši

Tipične rupe koje se lako zatvore:

  • Čuvanje podataka „zauvek" bez svrhe i roka.
  • Saglasnost koja to zapravo nije (unapred štiklirano, nejasno).
  • Pristup koji imaju svi, jer „tako je lakše".
  • Nepostojanje evidencije obrade, pa firma ni ne zna gde su joj podaci.

Usklađenost nije jednokratni papir koji se uradi i zaboravi, nego način rada. Za malu firmu minimum je ostvariv: znajte koje podatke imate, imajte osnov i transparentnost, štitite ih osnovnim merama, uredite odnose sa dobavljačima i spremite postupak za incident. Za konkretne obaveze i rokove koji važe baš za vašu delatnost, proverite sa pravnikom — ovaj tekst vam pomaže da znate koja pitanja da postavite.

← Svi resursi