BiH ukorak s GDPR-om: Novi Zakon o zaštiti ličnih podataka

Novi Zakon o zaštiti ličnih podataka u Bosni i Hercegovini (BiH) stupio je na snagu u martu 2025. godine, čime je domaće zakonodavstvo usklađeno s Opštom uredbom EU o zaštiti podataka (GDPR). Ova zakonodavna promjena rezultat je dugogodišnjih napora da se pravni okvir u oblasti privatnosti i zaštite podataka modernizuje i približi evropskim standardima.

Novi zakon uvodi stroža pravila obrade ličnih podataka, jača prava nosilaca podataka i povećava obaveze za sve subjekte koji obrađuju lične podatke. Pod obradom ličnih podataka podrazumijeva se širok spektar radnji koje, između ostalog, uključuju prikupljanje, evidentiranje, organizaciju, strukturiranje, čuvanje, prilagođavanje, izmjenu, pronalaženje, ostvarivanje uvida, upotrebu, širenje, brisanje podataka itd.

Takođe, predviđena su znatno veća ovlašćenja Agencije za zaštitu ličnih podataka, kao i mogućnost izricanja visokih kazni za neusklađenost s obavezama iz Zakona. U tom kontekstu, poznavanje i razumijevanje obaveza koje proizlaze iz novog zakona postaje nužno za sve organizacije koje obrađuju lične podatke. Neusklađenost može rezultirati ne samo reputacionim štetama, već i značajnim finansijskim sankcijama u visini do vrtoglavih 40 miliona konvertibilnih maraka ili u slučaju preduzetnika do četiri odsto ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu.

Oblast primjene

Zakon se primjenjuje na obradu ličnog podatka koja se u potpunosti obavlja automatizovano, te na neautomatizovanu obradu ličnog podatka koji čini dio zbirke ličnih podataka ili je namijenjen da bude dio zbirke ličnih podataka. U pogledu teritorijalne primjene, Zakon se primjenjuje na obradu ličnog podatka koju obavlja kontrolor podataka ili obrađivač koji ima sjedište ili poslovni nastan, prebivalište ili boravište u Bosni i Hercegovini, nezavisno od toga obavlja li se obrada u BiH ili ne.

Pored toga, Zakon se primjenjuje na obradu ličnog podatka nosioca podataka u Bosni i Hercegovini koju obavlja kontrolor podataka ili obrađivač koji nema sjedište ili poslovni nastan, prebivalište ili boravište u BiH, ako je aktivnost obrade povezana sa:

a) nuđenjem robe ili usluga tim nosiocima podataka u Bosni i Hercegovini, nezavisno od toga da li nosilac podataka treba da izvrši plaćanje, ili

b) praćenjem ponašanja nosilaca podataka, uz uslov da se njihovo ponašanje odvija unutar Bosne i Hercegovine.

 

Ilustracija (Depositphotos)

 

Principi obrade ličnih podataka

Zakon uvodi jasne principe na kojima se mora zasnivati obrada ličnih podataka. Prvo, obrada ličnih podataka mora biti zakonita, pravična i transparentna u odnosu na nosioca podataka. Zakonitost obrade ličnog podatka podrazumijeva da je ispunjen najmanje jedan od uslova propisanih članom 8. Zakona, a to su:

• saglasnost nosioca podataka,
• izvršenje ugovora u kojem je nosilac podataka ugovorna strana ili preduzimanje radnji na zahtjev nosioca podataka prije zaključenja ugovora,
• poštovanje pravnih obaveza kontrolora podataka,
• zaštita ključnih interesa nosioca podataka ili drugog fizičkog lica,
• izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja kontrolora podataka, te
• legitimni interes kontrolora podataka ili treće strane, osim kada nad tim interesima pretežu interesi ili osnovna prava i slobode nosioca podataka, a koji zahtijevaju zaštitu ličnih podataka, posebno ako je nosilac podataka dijete.

Drugi princip obrade odnosi se na ograničenje svrhe - podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe, te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Dalje, Zakon kao princip uvodi i smanjenje obima podataka - podaci moraju biti primjereni, relevantni i ograničeni na ono što je neophodno u odnosu na svrhe za koje se obrađuju. Naredni princip odnosi se na tačnost, a prema ovom principu podaci moraju biti tačni i po potrebi ažurirani, te se moraju preduzeti sve razumne mjere kako bi se obezbijedilo da lični podaci koji nisu tačni, imajući u vidu svrhe u koje se obrađuju, budu bez odgađanja izbrisani ili ispravljeni.

Na kraju, Zakon kao princip propisuje i cjelovitost i povjerljivost, te u tom smislu podaci moraju biti obrađivani tako da se osigura odgovarajuća bezbjednost ličnih podataka, uključujući i zaštitu od neovlašćene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacionih mjera.

Obaveze subjekata koji obrađuju lične podatke

Osnovni subjekti koji učestvuju u obradi ličnih podataka se, u skladu sa zakonskom terminologijom, definišu kao kontrolor podataka i obrađivač. Kontrolor podataka je fizičko ili pravno lice, javni organ ili nadležni organ koji samostalno ili s drugim određuje svrhe i sredstva obrade ličnih podataka. Drugim riječima, kontrolor podataka ima glavnu ulogu u obradi podataka, te stoga zakon propisuje da je kontrolor podataka odgovoran za usklađenost obrade ličnog podatka sa Zakonom i mora biti u mogućnosti da dokaže tu usklađenost.

Sa druge strane, obrađivač je fizičko ili pravno lice, javni organ koji obrađuje lične podatke u ime kontrolora podataka. Na primjer, ako banka za potrebe tekućeg računa klijenta angažuje firmu koja proizvodi debitne kartice, ona će s tom firmom morati podijeliti podatke koji se unose na kartici, a to su ime i prezime nosioca kartice, te broj njegovog računa. Budući da banka u tom slučaju određuje svrhu i sredstva obrade, banka ima status kontrolora, dok firma koja proizvodi debitne kartice i postupa po instrukcijama banke ima status obrađivača.

Bez obzira na to da li određeni subjekt ima status kontrolora ili obrađivača, koraci koje je potrebno preduzeti da bi se izvršilo usklađivanje s novom zakonskom regulativom sastoje se u procjeni trenutnog stanja organizacije i mapiranju tokova podataka, identifikaciji pravnog osnova za obradu podataka, izradi i/ili reviziji politike privatnosti, kodeksa ponašanja i drugih internih akata, procjeni tehničkih i organizacionih mjera zaštite podataka, procjeni prenosa podataka trećim stranama (s posebnim naglaskom na međunarodni transfer podataka), obuci zaposlenih, te implementaciji novih politika, procedura i mjera zaštite podataka.

Pored toga, potrebno je izvršiti i dokumentovati procjenu o potrebi imenovanja službenika za zaštitu podataka, izuzev u slučajevima u kojima Zakon propisuje ovu obavezu. Službenika za zaštitu podataka karakterišu poseban položaj, stručno i praktično znanje i zadaci, a njegovi kontakt podaci moraju na određeni način biti dostupni kako bi mogao ispuniti svoje obaveze (I) prema samoj organizaciji i (II) kao kontakt tačka za nosioce podataka i Agenciju za zaštitu ličnih podataka.

Pored navedenog, potrebno je izvršiti analizu da li postoji obaveza vršenja procjene uticaja na zaštitu podataka, a rezultate takve analize takođe je potrebno dokumentovati. Kontrolor se savjetuje s Agencijom prije obrade ako je procjena uticaja na zaštitu ličnih podataka pokazala da bi obrada podataka prouzrokovala visok rizik za prava i slobode pojedinaca, u slučaju da kontrolor podataka ne donese mjere za ublažavanje rizika.

Ilustracija (Depositphotos)

 

Specifične obaveze

Novi Zakon o zaštiti ličnih podataka donosi i određene specifične obaveze. Tako, na primjer, Zakon postavlja određene uslove koji se primjenjuju na saglasnost djeteta u vezi s uslugom informacionog društva, te propisuje da je obrada ličnog podatka djeteta zakonita ako dijete ima najmanje 16 godina. Ako je dijete mlađe od 16 godina, takva obrada je zakonita samo ako i u mjeri u kojoj je saglasnost dao ili odobrio roditelj, usvojilac, staratelj ili drugi zastupnik djeteta. Kontrolor podataka mora da uloži razumne napore prilikom provjere da li je saglasnost u tim slučajevima dao ili odobrio roditelj, usvojilac, odnosno staratelj djeteta, uzimajući u obzir dostupnu tehnologiju.

Nadalje, kao i u ranijem Zakonu o zaštiti ličnih podataka, regulisana je obrada posebnih kategorija ličnih podataka, a to su podaci koji se odnose na rasno ili etničko porijeklo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije lica, podaci o zdravlju ili podaci o polnom životu ili seksualnoj orijentaciji lica. Zakon načelno zabranjuje obradu ovih kategorija ličnih podataka, ali propisuje određene izuzetke u kojima bi takva obrada bila dozvoljena (na primjer, na osnovu saglasnosti nosioca podataka).

Za razliku od prethodnog zakonskog rješenja, više ne postoji obaveza podnošenja prijave zbirke ličnih podataka Agenciji za zaštitu ličnih podataka, ali svaki kontrolor podataka i obrađivač vode evidenciju aktivnosti obrade za koje su odgovorni. Sadržaj evidencije o obradi ličnog podatka takođe je detaljno uređen novim zakonskim rješenjem.

Prava nosioca podataka U pogledu prava nosioca podataka, Zakon jasno propisuje da kontrolor podataka preduzima odgovarajuće mjere kako bi se nosiocu podataka pružile sve informacije vezane za obradu, a sadržaj tih informacija zavisi od toga da li se podaci dobijaju od nosioca podataka ili iz drugih izvora. Pored toga, nosilac podataka ima pravo na pristup ličnom podatku, pravo na ispravku, pravo na brisanje, pravo na ograničenje obrade, pravo na prenosivost ličnog podatka, pravo na prigovor kontroloru podataka, pravo na prigovor Agenciji za zaštitu ličnih podataka BiH, kao i pravo da se na njega ne primjenjuje odluka zasnovana isključivo na automatizovanoj obradi, uključujući i profilisanje, koja proizvodi pravni učinak koji se na njega odnosi ili na sličan način značajno na njega utiče. Svako lice koje je pretrpjelo materijalnu ili nematerijalnu štetu zbog kršenja prava iz Zakona o zaštiti ličnih podataka ima pravo na naknadu za pretrpljenu štetu od kontrolora podataka ili obrađivača, te može podnijeti tužbu nadležnom sudu. Zakon taksativno navodi slučajeve u kojima se prava nosioca podataka mogu ograničiti i reguliše da se to može izvršiti samo na osnovu posebnog zakona, ako se takvim ograničenjem poštuje suština osnovnih prava i sloboda i ako ono predstavlja neophodnu i proporcionalnu mjeru u demokratskom društvu za zaštitu, između ostalog, državne bezbjednost, javne bezbjednosti, odbrane, sprečavanja, istrage ili otkrivanja krivičnih djela, gonjenja počinilaca krivičnih djela ili izvršenja krivičnih sankcija, nezavisnosti pravosuđa i sudskih postupaka i sl.

Postupanje u slučaju povrede ličnih podataka

Kontrolor podataka dužan je da o povredi ličnog podatka bez nepotrebnog odgađanja i, ako je moguće, najkasnije u roku od 72 sata nakon saznanja za tu povredu obavijesti Agenciju, osim u slučaju ako je vjerovatno da ta povreda neće ugroziti prava i slobode fizičkog lica. Ako izvještavanje nije izvršeno u roku od 72 sata, kontrolor podataka dužan je da Agenciji navede razloge za kašnjenje. Obrađivač je dužan da, po saznanju za povredu ličnog podatka, bez nepotrebnog odgađanja o tome obavijesti kontrolora podataka. Sadržaj izvještaja Agenciji detaljno je određen Zakonom.

Pored toga, kontrolor podataka dužan je da bez odgađanja pisanim putem obavijesti nosioca podataka o povredi ličnog podatka, ako je vjerovatno da će povreda ličnog podatka prouzrokovati visok rizik za prava i slobode fizičkog lica. U tom obavještenju, kontrolor će jasnim i jednostavnim jezikom opisati prirodu povrede ličnih podatka, te opisati mjere koje je preduzeo ili čije je preduzimanje predložio radi rješavanja problema povrede ličnog podatka, uključujući prema potrebi i mjere za ublažavanje njenih mogućih štetnih posljedica.

Sankcije za nepoštovanje Zakona

Novi Zakon o zaštiti ličnih podataka uređuje ovlašćenja i zadatke Agencije za zaštitu ličnih podataka BiH, te, između ostalog, propisuje da je Agencija ovlašćena da obavlja inspekcijski nadzor, naloži kontroloru podataka i obrađivaču dostavljanje svih informacija potrebnih za obavljanje njenih zadataka, ostvari pristup svim prostorijama kontrolora podataka i obrađivača u kojima se obrađuju lični podaci, uključujući svu opremu i sredstva za obradu podataka, izriče upozorenja, opomene i izdaje naloge zbog kršenja Zakona, privremeno ili trajno ograniči ili zabrani obradu, kao i da izda prekršajni nalog u okviru prekršajnog postupka ili podnese zahtjev za pokretanje prekršajnog postupka.

U pogledu finansijskih sankcija, Agencija obezbjeđuje da je izricanje novčane kazne, u vezi s povredama Zakona, u svakom pojedinačnom slučaju djelotvorno, srazmjerno i odvraćajuće.

Konvertibilna marka - KM (Centralna banka BiH)

 

Rok za usklađivanje dvije godine

Zaključno, usklađivanje s odredbama novog Zakona o zaštiti ličnih podataka BiH, harmonizovanog s odredbama GDPR, predstavlja kompleksan i složen proces ispunjavanja zakonskih obaveza svakog kontrolora i obrađivača ličnih podataka. Taj proces traje nekoliko mjeseci i zavisi od veličine subjekta koji obrađuje podatke, vrste i kategorije podataka koji se obrađuju, obima podataka, te stepena trenutnog nivoa zaštite podataka u organizaciji.

Pravovremena reakcija i započinjanje procesa usklađivanja je stoga ključno, jer novi Zakon o zaštiti ličnih podataka BiH, u članu 116. stav (2) – Mjere u prelaznom periodu, predviđa da su kontrolori podataka i obrađivači koji su započeli obrade ličnih podataka dužni da te obrade usklade s ovim zakonom u roku od dvije godine od njegovog stupanja na snagu.

Prema tome, konačni rok za usklađivanje poslovanja kontrolora i obrađivača ličnih podataka u BiH, u skladu s novim Zakonom, je 8. 3. 2027. godine, ali imajući u vidu da je Zakon stupio na snagu 8. 3. 2025. godine, te da se primjenjuje 210 dana nakon stupanja na snagu, preporuka je da se sve mjere i aktivnosti u procesu usklađivanja preduzmu pravovremeno i u skladu s temeljnim principom odgovornosti subjekata koji obrađuju lične podatke.

Posebna važnost usklađivanja poslovanja s odredbama novog Zakona proizilazi i iz visokog iznosa novčanih kazni kojima je zaprijećeno u slučaju kršenja zakonskih obaveza u pogledu obrade ličnih podataka.

 

--- Igor Letica je advokat u Advokatskoj firmi "Sajić" iz Banje Luke i ovlašćeni službenik za zaštitu ličnih podataka (DPO)

Sadržaj, stavovi i mišljenja izneseni u komentarima objavljenim na Bloomberg Adriji pripadaju autoru i ne predstavljaju nužno stavove uredništva Bloomberg Adrije.