📚 Besplatan GDPR vodič uz svaku rezervaciju: Rezervišite
Genroks
+381 62 261 953
Nazad na blog

Taj mejl 'za svaki slučaj' može da vas košta 20 miliona evra

2026-02-24 · Blazo Sokic
Taj mejl 'za svaki slučaj' može da vas košta 20 miliona evra

Zamka u koju upada većina kompanija

Klijent odlazi. Ugovor se završava. Nalog zatvoren.

Ali vi zadržavate podatke. Ne zato što ste obavezni. Ne zato što zakon tako nalaže. Zato što vam brisanje deluje rizično. Šta ako vam kasnije zatrebaju? Šta ako se klijent vrati? Šta ako se ispostavi da su korisni?

Ovo razmišljanje deluje razumno. Prema GDPR-u, to je pravni problem.

Šta GDPR zapravo kaže o zadržavanju podataka

Prema GDPR-u, dozvoljeno vam je da čuvate lične podatke samo u određenu, dokumentovanu svrhu i u definisanom vremenskom periodu. Kada ta svrha prestane, vaš pravni osnov za obradu prestaje zajedno s njom.

Ne postoji klauzula „za svaki slučaj" u regulativi. Ne postoji odredba koja dozvoljava neograničeno skladištenje zato što bi nešto moglo biti korisno kasnije.

Ako ne možete jasno da objasnite:

  • zašto još uvek čuvate te podatke
  • koji je pravni osnov za njihovo čuvanje
  • koliko dugo smete da ih zadržite

Onda niste oprezni. Izloženi ste riziku.

Kada to postaje problem

Regulatori ne čekaju namerni prekršaj da bi reagovali. Rutinska revizija, zahtev za pristup podacima ili incident sa podacima mogu pokrenuti proveru vaših praksi zadržavanja.

Kada se to desi, pitanje je jednostavno: „Zašto ste još uvek imali te podatke?"

„Mogli bi biti korisni" nije usklađen odgovor. „Zaboravili smo da ih obrišemo" nije usklađen odgovor. „Klijent bi mogao da se vrati" nije usklađen odgovor.

Jedini prihvatljiv odgovor je dokumentovani raspored zadržavanja sa jasnim pravnim osnovom za svaku kategoriju podataka koje čuvate.

Kako izgleda usklađena politika zadržavanja podataka

Pravilna politika zadržavanja podataka ne mora biti komplikovana. Treba da bude:

  • Dokumentovana. Napisana, a ne samo interno podrazumevana.
  • Specifična. Različite kategorije podataka imaju različite periode zadržavanja.
  • Opravdana. Svaki period vezan za pravni osnov: ugovor, zakonska obaveza, legitimni interes ili pristanak.
  • Sprovedena. Podaci se zaista brišu kada period istekne, a ne samo zakazani za brisanje.

Uobičajene kategorije koje treba pokriti: evidencije klijenata, podaci o potencijalnim klijentima, evidencije zaposlenih, kontakti dobavljača i marketinške liste.

Stvarna cena greške

Pravilna politika zadržavanja košta nekoliko sati rada za izradu i redovan proces za održavanje.

GDPR kazna za nezakonito zadržavanje podataka može dostići 20 miliona evra ili 4% globalnog godišnjeg prometa, u zavisnosti od toga šta je veće. Ta cifra ne uključuje troškove istrage, pravne troškove ili reputacionu štetu koja sledi nakon javne presude.

Praktična kontrolna lista

  • Mapirajte svaku kategoriju ličnih podataka koje vaša kompanija čuva
  • Dokumentujte pravni osnov i period zadržavanja za svaku kategoriju
  • Uspostavite proces brisanja ili anonimizacije koji se pokreće istekom perioda
  • Pregledajte raspored zadržavanja najmanje jednom godišnje
  • Obučite sve koji rukuju ličnim podacima zašto je ovo važno

Ukratko

Čuvajte samo ono što možete da opravdate. Onoliko dugo koliko to možete da opravdate. Dokumentujte oboje.

Cena pravilnog postupanja je mala. Cena nepravilnog postupanja nije.

Nazad na blogPreuzmite besplatan ISO resurs