Primjena novog Zakona o zaštiti ličnih podataka, koji donosi najveće promjene u ovoj oblasti u posljednjih deset godina u Bosni i Hercegovini (BiH) počinje 4. oktobra 2025. Zakon usklađuje BiH s evropskim propisima poput GDPR-a i Policijske direktive te građanima garantira veća prava nad vlastitim podacima, od lakšeg pristupa i informiranja, do prava na brisanje podataka i obavještavanja u slučaju povrede. Za kompanije to znači novi nivo odgovornosti imenovanja službenika za zaštitu podataka, ali i visoke novčane kazne koje mogu dosegnuti do 40 miliona KM. Najveći teret, poručuju stručnjaci, snosit će privredna društva koja obrađuju veliki broj, posebno osjetljivih, podataka.
Drugim riječima, počinje nova era u upravljanju podacima u BiH, era u kojoj transparentnost, sigurnost i povjerenje postaju ključni poslovni imperativ.
Za Bloomberg Adriju su iz Agencije za zaštitu ličnih podataka u BiH kazali kako su novim Zakonom prije svega ojačana prava nositelja podataka (osoba čiji se podaci obrađuju), ali i obaveze onih koji obrađuju lične podatke građana (kontrolora).
Čitaj više
BiH ukorak s GDPR-om: Novi Zakon o zaštiti ličnih podataka
Novi Zakon o zaštiti ličnih podataka u BiH stupio je na snagu u martu 2025. godine, čime je domaće zakonodavstvo usklađeno s Opštom uredbom EU o zaštiti podataka (GDPR).
09.05.2025
Smjernice EU o prenosu podataka u treće države, šta znače za BiH
Smjernice EU su značajne i za nadležne sudske, upravne i druge organe u Bosni i Hercegovini, navodi Igor Letica iz Advokatske firme "Sajić".
28.03.2025
U pogledu novčanih kazni, novim Zakonom su propisane u znatno većem iznosu, za organizacije one se kreću od 10.000 KM do 40 miliona KM ili do četiri posto ukupnog godišnjeg svjetskog prometa za prethodnu finansijsku godinu (ovisno šta je veće). Dok su za odgovorne osobe kazne od 500 KM do 5.000 KM.
Newsletter samo uz pristanak
Zanimljivo je da se uvodi i "pravo na zaborav", odnosno mogućnost da nositelj podataka zatraži od kontrolora brisanje svojih podataka kada ne bude htio da se njegovi osobni podaci obrađuju, uz uslov da ne postoje zakoniti razlozi za njihovo zadržavanje.
Kada je riječ o direktnom marketingu u koji spadaju i sveprisutni newsletteri, a ako ne postoji ugovorni odnos ili pretplata na njih i osoba ne želi primati takve sadržaje, ponuditelj usluga mora izbrisati njen kontakt iz svog imenika.
Također, osoba koja prima određene reklamne materijale ili druge sadržaje takve prirode može u bilo kojem trenutku povući svoju saglasnost i otkazati primanje takvih sadržaja. Iz Agencije kažu da su u tom slučaju ponuditelji usluga dužni bez odgađanja postupiti po zahtjevu dotadašnjeg korisnika usluga.
U slučaju povrede osobnih podataka, voditelj obrade je dužan, bez nepotrebnog odgađanja, obavijestiti nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerovatno da će povreda osobnih podataka prouzrokovati rizik za prava i slobode pojedinaca.
Advokatica Lana Sarajlić za Bloomberg Adriju je kazala da će se u problemima naći najviše oni koji do sada nisu uspostavili adekvatan sistem zaštite ličnih podataka na nivou svog privrednog društva shodno pravilima ranijeg Zakona o zaštiti ličnih podataka.
"Obaveza usklađivanja podrazumijeva čitav niz radnji od analize postojećeg stanja, identifikovanja nedostataka, pripreme potrebnih radnji te poduzimanja radnji u cilju usklađenosti poslovanja društva s novim Zakonom o zaštiti ličnih podataka. Sve te radnje zahtijevaju vrijeme te određene ljudske i finansijske resurse koji će biti usmjereni ka dostizanju adekvatnog nivoa usklađenosti poslovanja privrednih društava", kazala je.
Lana Sarajlić
Prema njenom mišljenju, na privrednim društvima je da na dugoročnoj osnovi prepoznaju značaj ove oblasti te osiguraju neophodne mehanizme zaštite ličnih podataka što je prije moguće.
Veliki posao za privredna društva
Kazala je da će najveći teret biti na privrednim društvima koja u svom poslovanju obrađuju veliki broj ličnih podataka, a posebno na društvima koja obrađuju "osjetljive" podatke, što uključuje društva iz finansijskog i zdravstvenog sektora. Takva društva će sigurno biti dužna poduzeti veći broj radnji u procesu usklađivanja, npr. usvojiti interne akte kojima će detaljnije regulirati različita pitanja iz ove oblasti politike privatnosti, procedure postupanja u slučaju povrede ličnih podataka, procedure i pravila brisanja podataka te pravila komunikacije s pojedincima nosiocima podataka, uspostaviti evidencije o obradi, provesti procjene utjecaja obrade na zaštitu ličnih podataka, imenovati službenika za zaštitu ličnih podataka i slično u odnosu na društva koja obrađuju manji broj ličnih podataka koja će radnje usklađivanja prilagoditi prirodi i obimu svoje obrade ličnih podataka.
Usklađivanje s GDPR-om donosi i prednosti kompanijama u smislu povjerenja klijenata i konkurentske prednosti na tržištu.
Sarajlić kaže da je već od stupanja na snagu GDPR-a dosta društava u BiH poduzelo određene radnje u cilju usklađenosti svog poslovanja s GDPR-om, iako u pojedinim slučajevima nije bilo izričite zakonske obaveze za takvo nešto.
"Pojedini su takve radnje poduzeli kako bi mogli prodavati svoje proizvode i usluge na EU tržištu, drugi su bili dužni uskladiti se s pravilima grupe, a pojedini su svakako prepoznali značaj unapređenja standarda u oblasti zaštite ličnih podataka te su u unapređenju svog poslovanja kroz jačanje segmenta zaštite ličnih podataka sigurno dobili konkurentsku prednost na tržištu", kazala je Sarajlić.
Ilustracija (Depositphotos)
Pojasnila je da je pored svega povjerenje klijenata jedan od važnijih indikatora dobrog upravljanja ličnim podacima od društva, dok, s druge strane, loše upravljanje ličnim podacima dovodi do znatne izloženosti reputacijskom riziku, što u konačnici može negativno utjecati na tržišnu poziciju društva, što u određenim slučajevima može imati teže posljedice od izricanja visokih novčanih kazni.
Važno je istaći i da novi Zakon o zaštiti ličnih podataka predviđa obavezu primjene strožijih kriterija za izbor partnera kojem ćete povjeriti određeni segment svoje obrade ličnih podataka, tako da će u svakom slučaju tržišnu prednost imati oni subjekti koji osiguravaju adekvatan nivo zaštite ličnih podataka u svom svakodnevnom poslovanju.
Sarajlić je kazala da će u svemu Agencija za zaštitu ličnih podataka u BiH imati značajnu ulogu u kontroli provedbe novog zakona kako kroz redovne tako i vanredne nadzore.
U praksi je u posljednjih nekoliko godina primjetno povećanje svijesti pojedinaca o njihovim pravima u kontekstu zaštite ličnih podataka, što je dovelo do povećanog broja prijava neregularnosti Agenciji, a tako i do vanrednih nadzora koje je Agencija poduzela, te se može očekivati nastavak takve prakse i u budućnosti.
"S novim Zakonom o zaštiti ličnih podataka Agencija dobija čitav niz novih zadataka, što uključuje donošenje standardnih ugovornih klauzula, davanje mišljenja na kodekse ponašanja, odobrava kriterije certifikacije, ima aktivnu ulogu u slučaju povrede ličnog podatka, provođenju procjene utjecaja obrade na zaštitu ličnog podatka i slično, te će sigurno pred sobom imati brojne izazove u ispunjavanju svojih zakonskih obaveza i ovlasti", pojasnila je Sarajlić.
Predstavnici i provjere utjecaja
Pored spomenutih zakonskih novina u određenim okolnostima uvodi se i potreba obavještavanja nositelja podataka ako je došlo do povrede njegovih osobnih podataka.
Kompanije koje djeluju u inozemstvu, a vrše obradu osobnih podataka građana BiH morat će imenovati predstavnike za Bosnu i Hercegovinu. Također, uvodi se obaveza procjene utjecaja na obradu osobnih podataka.
Kontrolor i obrađivač podataka dužni su imenovati službenika za zaštitu osobnih podataka u slučajevima ako obradu obavlja javno tijelo (osim sudova koji postupaju u granicama sudske nadležnosti), te ako se osnovne djelatnosti kontrolora ili obrađivača podataka sastoje od postupaka obrade koje zbog svoje prirode, opsega i/ili svrhe zahtijevaju redovno i sistemsko praćenje nositelja podataka u velikom broju ili ako se osnovne djelatnosti kontrolora ili obrađivača podataka sastoje od opsežne obrade posebnih kategorija podataka.
Ilustracija (Depositphotos)
Grupa privrednih subjekata može imenovali jednog službenika za zaštitu osobnih podataka, uz uslov da je službenik za zaštitu osobnih podataka lako dostupan iz svakog sjedišta ili poslovnog nastana.
Ako je kontrolor ili obrađivač podataka javno tijelo, za više takvih tijela može se imenovati jedan službenik za zaštitu osobnih podataka uzimajući u obzir njihovu organizacijsku strukturu i veličinu.
Ako se utvrdi nepravilnost Agencija može kontrolorima zabraniti takvu obradu podataka, te ih i sankcionirati u skladu sa Zakonom o zaštiti osobnih podataka. Nadzor Agencije u praksi provodit će se kao i do sada (što uključuje prigovore i postupke po službenoj dužnosti), te u skladu s novim Zakonom i ovlastima koje on donosi.
Novi Zakon o zaštiti ličnih podataka mijenja pravila igre za sve organizacije u BiH. Dok građani dobijaju snažniju zaštitu i kontrolu nad svojim informacijama, kompanije moraju investirati u usklađivanje poslovanja, obuku zaposlenih i nove procese.
Oni koji na vrijeme uvedu standarde zaštite podataka ne samo da će izbjeći kazne, već će i graditi povjerenje, sigurnost i dugoročnu prednost na tržištu. Jer u digitalnom dobu povjerenje je valuta koja vrijedi više od bilo koje kazne.
Podsjećamo, Novi Zakon o zaštiti ličnih podataka u Bosni i Hercegovini (BiH) stupio je na snagu u martu 2025. godine, čime je domaće zakonodavstvo usklađeno s Opštom uredbom EU o zaštiti podataka (GDPR). Ova zakonodavna promjena rezultat je dugogodišnjih napora da se pravni okvir u oblasti privatnosti i zaštite podataka modernizuje i približi evropskim standardima.
.webp){kind=icon}
