Džemat čuva osjetljive podatke: imena, adrese, telefone, porodične odnose, ponekad i podatke o dječijem mektebu, donacijama ili humanitarnoj pomoći. Članovi vjeruju da će te informacije ostati unutar zajednice i biti korištene samo u legitimne svrhe — ne u grupnim chatovima, na izgubljenim USB stickovima ili kod bivših članova uprave koji i dalje imaju pristup.

Zaštita podataka nije samo pravna obaveza u EU (GDPR) — to je amanet povjerenja prema zajednici. U ovom članku objašnjavamo zašto je sigurnost važna, kako postaviti uloge pristupa, šta znači GDPR u praksi, zašto su backupi nužni i koja pitanja postaviti dobavljaču softvera.

Zašto sigurnost podataka važi džematima

Džemati nisu korporacije, ali posjeduju podatke koji mogu naštetiti ako cure:

  • Adrese i kontakti — sigurnosni rizik za porodice u osjetljivim situacijama.
  • Finansijske informacije — donacije, članarine, zekat — mogu stvoriti neprijatnosti ili zloupotrebu.
  • Podaci o djeci — mekteb, prisustvo, zdravstvene napomene zahtijevaju posebnu zaštitu.
  • Humanitarna pomoć — status korisnika pomoći ne smije biti javan.

Curenje podataka narušava povjerenje godinama — često više nego jedna loša odluka uprave. Zato sigurnost treba planirati prije nego dođe do incidenta.

Savjet: Jednom godišnje napravite reviziju pristupa: ko ima administratorski nalog, treba li mu još, i jesu li lozinke jakе.

Kontrola pristupa: uloge umjesto „svi vide sve“

Najčešći rizik nije haker — već preširok pristup unutar džemata. Rješenje su jasne uloge:

  • Administrator — puni pristup sustavu; minimalan broj osoba (npr. 1–2).
  • Sekretar / ured — članovi, događaji, dopisi; bez pristupa financijama ako nije potrebno.
  • Blagajnik — donacije, rashodi, izvještaji; bez uređivanja osobnih podataka članova.
  • Nastavnik mekteba — samo svoja grupa i e-dnevnik, ne cijela baza članova.
  • Portal za članove — član vidi samo svoj profil i svoju djecu, ne tuđe.

Pravilo „najmanje potrebne ovlasti“ znači: svaka osoba vidi samo ono što joj treba za posao. Kad netko napusti upravu, odmah deaktivirajte nalog — ne ostavljajte „za svaki slučaj“.

Praktična pravila za tim

  • ne dijelite jednu lozinku za sve administratore,
  • ne šaljite Excel tablice s cijelom bazom putem WhatsAppa,
  • ne koristite privatne e-mailove za službenu evidenciju bez politike čuvanja,
  • na zajedničkim računalima uvijek se odjavite nakon rada.

GDPR u kratkim crtama za džemate

Ako džemat djeluje u EU (ili obrađuje podatke stanovnika EU), Opća uredba o zaštiti podataka (GDPR) se primjenjuje. Ne morate postati pravnik — dovoljno je razumjeti osnove:

  • Pravna osnova — zašto čuvate podatke (npr. članstvo, ugovor, legitimni interes zajednice, pristanak za newsletter).
  • Transparentnost — članovi trebaju znati šta se bilježi i zašto (kratka politika privatnosti).
  • Minimizacija — ne prikupljajte više podataka nego što vam treba (npr. JMBG samo ako je zakonski potreban).
  • Prava osobe — uvid u svoje podatke, ispravak, brisanje gdje je primjenjivo.
  • Sigurnost obrade — tehničke i organizacijske mjere (lozinke, backup, ugovor s dobavljačem).

Za veće džemate ili udruženja s više zaposlenih korisno je imati odgovornu osobu za podatke (DPO nije uvijek obavezan, ali neka osoba treba koordinirati).

Sigurnosne kopije (backup)

Podaci se gube i bez napada: kvar diskova, pogrešno brisanje, prekid rada cloud servisa. Backup je osiguranje:

  • Automatski backup — ako koristite cloud softver, provjerite da li dobavljač radi dnevne/tjedne kopije.
  • Lokalni export — periodično preuzmite arhivu (npr. mjesečno) na sigurno mjesto, ako politika dopušta.
  • Test oporavka — jednom godišnje provjerite možete li stvarno vratiti podatke iz kopije.
  • Šifriranje — backup na USB-u ili e-mailu treba biti zaštićen lozinkom.

Backup bez plana oporavka je samo nada. Zapišite: tko smije pokrenuti restore, koliko traje, koga obavijestiti.

Šta pitati dobavljača softvera

Kad birate ili procjenjujete platformu za džemat (uključujući MasjidMaster), postavite jasna pitanja:

  • Gdje se podaci čuvaju? (EU serveri, jurisdikcija)
  • Ko ima pristup kod dobavljača? (podrška, inženjeri — pod kojim uvjetima)
  • Postoji li DPA / ugovor o obradi podataka? (obavezno za GDPR kad ste vi „voditelj obrade“)
  • Kako se rade backupi i koliko dugo se čuvaju?
  • Šifriranje — u prijenosu (HTTPS) i u mirovanju (baza)
  • Dvofaktorska autentifikacija (2FA) — za administratore
  • Šta se dešava pri otkazu? — export podataka, brisanje nakon roka
  • Incidenti — kako vas obavještavaju o curenju podataka

Ako odgovori budu nejasni ili „to ne radimo“, razmislite dvaput — jeftin alat može biti skup ako izgubite povjerenje zajednice.

Organizacijske mjere pored tehnologije

  • Politika privatnosti — jedna stranica na webu i pri prijavi člana.
  • Obuka uprave — 30 minuta godišnje o phishingu i lozinkama.
  • Zapisnik pristupa — za osjetljive module (tko je kada pregledao financije).
  • Brisanje starih podataka — bivši članovi nakon zakonskog roka, ako nema razloga za čuvanje.

Česte greške

  • Svi administratori s istom lozinkom — nemoguće je znati tko je šta promijenio.
  • Bivši članovi uprave zadržavaju pristup — deaktivacija odmah po odlasku.
  • Podaci djece u javnim grupama — nikad liste prisustva s punim imenima na Facebooku.
  • Nema backupa — „cloud će sigurno biti dobar“ bez provjere.
  • Ignorisanje GDPR jer ste „samo džemat“ — udruženja su također obuhvaćena.

MasjidMaster i sigurnost podataka

MasjidMaster je dizajniran za potrebe džemata s ulogama pristupa po modulima, sigurnim prijavama i infrastrukturom prilagođenom zaštiti podataka u EU kontekstu. Članovi putem portala vide ograničene podatke o sebi; uprava dijeli odgovornosti bez dijeljenja jedne tablice na stotine poruka.

Pri odabiru bilo kojeg alata — uključujući naš — zatražite dokumentaciju o sigurnosti i obradi podataka. Povjerenje zajednice zaslužuje ozbiljan pristup.

Zaključak

Zaštita podataka članova nije strah od kazni — to je način da pokažete da džemat shvata povjerenje ozbiljno. Postavite uloge pristupa, poštujte osnove GDPR-a, osigurajte backup i postavite jasna pitanja dobavljaču. Kad tehnologija i organizacija rade zajedno, možete mirnije digitalizovati evidenciju, mekteb i donacije — znajući da ste članove i njihove porodice zaštitili onoliko koliko je u vašoj moći.