Ova stranica je namijenjena davateljima HR softvera, računovodstvenih usluga i platformama za upravljanje primicima koji upravljaju osjetljivim podatcima zaposlenika za više klijentskih organizacija. Saznajte konkretne obaveze sigurnosti, izvještavanja o incidentima i izolacije podataka prema NIS2 regulaciji.
Kompanijama koje pružaju HR software, usluge računovodstva ili upravljanje primicima za više od 10 klijentskih organizacija u Hrvatskoj primjenjuju se zahtjevi NIS2. Trebate biti digitalni davatelj usluga ili operator kritične infrastrukture koji obrađuje osobne podatke zaposlenika kao dio svojih primarnih funkcija.
Kao davatelj HR softvera ili usluga računovodstva, dužni ste primjenjivati tehnijske i organizacijske mjere za zaštitu osjetljivih podataka o zaposlenicima, uključujući podatke o primicima, poreze i osobne identifikacijske brojeve. Ove mjere moraju zadovoljiti kako NIS2 tako i GDPR zahtjeve, s posebnim fokusom na šifriranje podataka tijekom prijenosa i u mirovanju.
Ako doživite sigurnosni incident koji može utjecati na podatke više od jednog klijenta, dužni ste izvijestiti Samostalnu agenciju za odgovornost (SOA) u roku od 24 sata od otkrivanja. Incidenti koji izlažu osobne podatke zaposlenika zahtijevaju i obavijest klijentima prema GDPR pravilu.
U višenamjenskim SaaS platformama trebate osigurati da su podaci svakog klijenta strogo izolirani na razini baze podataka ili čak infrastrukture. Trebate procjenjivati rizike od dobavljača trećih strana koji imaju pristup vašim sustavima ili podacima klijentima i dokumentirati sve mere zaštite.
Pristup administratorskim funkcijama u vašim HR sustavima mora biti zaštićen jačim čimbenicima autentifikacije, uključujući hardverske MFA ključeve ili biometrijske mjere. Sve akcije administratora, posebno one koje uključuju pristup ili izvoz podataka zaposlenika, trebaju biti detaljno zabilježene i redovito nadzierane.
Trebate imati formalni, dokumentirani proces koji osigurava da su svi podaci klijenta (uključujući osnovne podatke, povijest primanja i zapise) sigurno obrisani ili vraćeni u dogovorenim rokovima nakon završetka ugovora. To mora biti testirano redovito i validirano kroz revizije.
Ako upravljate HR podacima za 10 ili više različitih organizacija, klasificirate se kao važna entiteta prema Prilogu II NIS2. Ako imate manje od 10 klijentskih organizacija, možda ste obuhvaćeni kao obični davatelj digitalne usluge s nižim zahtjevima, ali preporučuje se provjera sa SOA kako bi se potvrdio točan status.
Trebate učiniti oboje. Morate izvijestiti SOA u roku od 24 sata od otkrivanja incidenta koji može utjecati na podatke, te također obavijestiti svaki klijenta bez nepotrebnog odgode prema GDPR Članku 33 ako je incident doveo do kršenja osobnih podataka.
Kazne za nepoštovanje NIS2 mogu dosegnuti 20 milijuna eura ili 4% globalnog godišnjeg prometa, ovisno što je veće. Osim toga, SOA može izdati programe poboljšanja i suspenziju dozvole za pružanje usluga ako se ozbiljne sigurnosne ranjivosti ne otklone.