Tul: Kompanije su dužne da mapiraju sve lične podatke i adekvatno ih zaštite

Zakon o zaštiti ličnih podataka u Bosni i Hercegovini (BiH) u primjeni je od oktobra ove godine, a kontrolori i obrađivači podataka, u koje spadaju javni organi, pravna i fizička lica, trebali su do tada da usklade svoje obaveze s ovim zakonom, u mjeri u kojoj je to moguće.

Obaveza koju su institucije i kompanije, prije svega, trebale da ispune je da imenuju službenika za zaštitu ličnih podataka, da izrade i objave pravila privatnosti, da uspostave evidencije obrade podataka...

Takođe, zakonom je ostavljen i prelazni period od dvije godine (do marta 2027. godine) da se kontrolori koji obrađuju lične podatke dodatno usklade sa zakonom. To se posebno odnosi na zakonodavnu i izvršnu vlast na svim nivoima, koja treba da uskladi druge zakone sa Zakonom o zaštiti ličnih podataka.    

I svi drugi kontrolori podataka su dužni ispitati svoje pravne osnove za obradu ličnih podataka te ih uskladiti s ovim zakonom (saglasnost, legitimni interes...).

Šta donosi Zakon o zaštiti ličnih podataka u BiH, koje obaveze imaju kompanije i ko vrši nadzor, za Bloomberg Adriju je pojasnio Denis Tul, stručnjak za oblast IT prava, zaštitu podataka o ličnosti, pravo intelektualne svojine i AI pravo.

Šta donosi novi Zakon o zaštiti ličnih podataka u Bosni i Hercegovini za pravna lica, prvenstveno kompanije (društva s ograničenom odgovornošću, samostalne preduzetnike, akcionarska društva)?

Novi Zakon o zaštiti ličnih podataka u BiH donosi revoluciju u oblasti zaštite ličnih podataka. Pravo na privatnost je jedno od osnovnih ljudskih prava u digitalnom svijetu. U današnje vrijeme, dobar dio naših života je vezan za informaciono-komunikacione tehnologije (IKT). Ipak, nemamo tu kulturu da je sve što radimo online zapravo stvarno i nekada je lakše oglušiti se o bonton, pa i zakonska pravila na internetu. Svi smo danas dio toga, neizostavno, a naše podatke najčešće prikupljaju kompanije u okviru poslovanja. Tu mislimo na kompanije proizvođače mobilnih telefona, televizora, automobila, pa i vašeg usisivača, zatim kompanije koje nam prodaju stvari i usluge putem interneta, e-trgovine, ali i vlasnike mnogih aplikacija, od onih korisnih, pa sve do video-igara.

Sve ove kompanije koriste naše lične podatke, obrađuju ih na različite naslove, prenose i analiziraju. Danas kompanije u oblasti vještačke inteligencije razvijaju svoju tehnologiju u komunikaciji s nama, kroz chatove.

Zakon uvodi mnogo viši nivo zaštite prava pojedinca, a to je ujedno obaveza na strani kompanija. Balans između razvoja novih tehnologija, interesa kompanija i zaštite ljudskih prava, s druge strane, mora da postoji. Ove granice nekada nisu jasno vidljive.

Danas imamo pravo na brisanje, imamo pravo da se suprotstavimo automatizovanoj odluci i druga prava koja nam olakšavaju kontrolu nad našim ličnim podacima i njihovim tokovima. Digitalno doba zahtijeva i veću sajber-bezbjednost i privatnost na internetu, a to za kompanije znači nove obaveze na polju usaglašavanja sa zakonom.

Depositphotos

 

Koje sve korake kompanije i preduzetnici moraju da preduzmu, ako već nisu, kako bi poslovali u skladu sa zakonom?

Kompanije su dužne da poštuju zakon i zato je potrebno da prođu kroz proces usaglašavanja poslovanja sa zakonom. U tom procesu treba da mapiraju sve lične podatke, da popišu sve baze podataka, da detektuju tokove podataka, kome podatke prenose, koja su pravila obrade i mjere zaštite podataka.

Ovo sve prati dokumentacija koja se izrađuje i primjena mjera na terenu, od antivirusa i lozinki do nekih kompleksnijih mjera.

Na sličnom principu će biti građena i primjena AI Acta, a što je takođe u vezi s obradom ličnih podataka kroz upotrebu modernih tehnologija.

Kompanije mogu raditi više nivoa usklađenosti, tako mogu uraditi samo zakonski obavezne stvari, ali mogu i zaista urediti cijeli ovaj sistem zaštite ličnih podataka na nivou kompanije na jednom mnogo višem nivou, standardizovanom i sistematičnom. To može imati i reputacione implikacije i povećanje transparentnosti i povjerenja prema korisnicima, što je uvijek značajno.

Ko će kontrolisati primjenu Zakona i koje su sankcije za kompanije, ako nisu uskladili poslovanje s novim Zakonom?

Agencija za zaštitu ličnih podataka je nadzorno tijelo koje će u BiH da vrši inspekcijski nadzor, odnosno nadzor nad radom svih državnih organa i kompanija koje posluju na teritoriji BiH. Dobra stvar je da ćemo o nekim praktičnim problemima moći i da kontaktiramo ovaj državni organ kako bismo dobili jasne stavove i mišljenja.

Zakon ne zabranjuje obradu ličnih podataka, niti Agencija to zabranjuje, samo je poenta da damo malo napora da ovo radimo na bezbjedan način i poštujući prava nosilaca podataka. Agencija je tu da nam na tom putu pomogne.

No, ipak moramo reći da oni koji ne budu pokazali interes i dobru volju ili čak namjerno povrijede lične podatke, zaista mogu biti kažnjeni visokim kaznama, ili im čak može biti određena naredba da obustave obradu i obrišu baze podataka.

Možete zamisliti kompaniju čija se, recimo, sva prodaja zasniva na razrađenom email marketingu, i situaciju gdje vam Agencija naredi brisanje te baze ili zabrani da je koristite, jer su podaci u bazi nelegalno prikupljeni. Nekada ove stvari mogu da zabole kompanije i više nego same novčane kazne.