Bosna i Hercegovina ulazi u novo razdoblje zaštite privatnosti, od 4. listopada počinje primjena Zakona o zaštiti osobnih podataka, usklađenog s europskim GDPR-om. Za razliku od starog zakona, novi okvir donosi stroža pravila i niz novina koje će izravno utjecati i na građane i na gospodarstvo.
Prema novom zakonu, osobni podatak više nije samo ime ili prezime, već i digitalni tragovi koje svakodnevno ostavljamo – od IP adrese i GPS lokacije do biometrijskih i genetskih podataka. Građani prvi put dobivaju jasno zajamčena prava, uključujući pravo na uvid, ispravak ili brisanje podataka (”pravo na zaborav”). Tvrtke i institucije pak suočavaju se s većim obvezama i strožim nadzorom, a zakon predviđa i visoke kazne za one koji ga budu kršili.
Ovim zakonom Bosna i Hercegovina se svrstava uz bok europskim standardima zaštite privatnosti.
Kako bi pojasnili što novi propisi znače u praksi – i za građane i za institucije te posebno za gospodarska društva – razgovarali smo s odvjetničkim uredom Pehar – Lesko.
Ciljevi novog zakona – zašto je donesen i što se želi postići
Novi Zakon o zaštiti osobnih podataka u BiH nije donesen samo radi formalnog usklađivanja s europskim propisima, nego s jasnim i konkretnim ciljevima. Njegova je svrha zaštititi građane od zloupotrebe podataka, izgraditi veće povjerenje u digitalne usluge te uskladiti domaće tržište s pravilima Europske unije.
Poseban naglasak stavljen je na sprječavanje profiliranja i agresivnog praćenja korisnika, što su prakse koje su postale uobičajene u eri ”velikih podataka”.
Kako pojašnjavaju iz Ureda Pehar – Lesko, smisao zakona upravo je u ta tri stupa – zaštiti građana, izgradnji povjerenja i usklađivanju s europskim pravilima – čime se u BiH postavlja temelj za viši standard privatnosti i sigurnosti.
Što je osobni podatak? – proširena definicija
Novi zakon znatno širi definiciju osobnog podatka u odnosu na ranije propise. Dok je stari zakon osobnim podatkom smatrao uglavnom klasične identifikatore poput imena, prezimena, adrese ili JMBG-a, danas u tu kategoriju ulaze i digitalni tragovi koje svakodnevno ostavljamo.
To su IP i MAC adrese, GPS lokacija, podaci iz kolačića i RFID oznaka, fotografije i videozapisi, biometrijski i genetski podaci, glas, kao i informacije o zdravlju, obrazovanju, plaći, kreditima ili seksualnoj orijentaciji.
Drugim riječima, gotovo svaki podatak kojim se može utvrditi identitet pojedinca sada je zakonski zaštićen.
Prava građana – od transparentnosti do ”prava na zaborav”
Građani sada prvi put imaju jasna i zakonom zajamčena prava u vezi sa svojim osobnim podacima. ”Svaka osoba ima pravo znati tko obrađuje njezine podatke, u koju svrhu i koliko dugo ih čuva. Informacije moraju biti napisane razumljivim jezikom, bez birokratskih fraza”, naglašavaju odvjetnici. Jedno od najpoznatijih prava je tzv. ”pravo na zaborav” – mogućnost traženja uklanjanja sadržaja koji pojedinca prikazuje netočno ili štetno, osim ako postoji snažan javni interes da ostane dostupan.
Kako u praksi ukloniti podatak?
Građanin se mora obratiti kontroloru podataka i ima pravo tražiti njihovo brisanje ako podaci više nisu potrebni za svrhu za koju su prikupljeni, ako povuče suglasnost koju je dao za obradu ili ako je podatak nezakonito obrađen. Ako kontrolor ne postupi po zahtjevu, građanin se može obratiti Agenciji za zaštitu osobnih podataka BiH.
Uloga Agencije za zaštitu osobnih podataka – nadzor, rokovi i smjernice
Agencija za zaštitu osobnih podataka imat će ključnu ulogu u nadzoru provedbe novog zakona. Njene ovlasti obuhvaćaju kontrolu načina na koji se obrađuju osobni podaci, postupanje po prigovorima građana, ali i pokretanje postupaka po službenoj dužnosti kada utvrdi nepravilnosti.
Agencija može zabraniti određene obrade, naložiti uništavanje ili brisanje nezakonito prikupljenih podataka te sankcionirati kontrolore koji ne poštuju zakon. Kada građanin uloži prigovor, Agencija je dužna postupiti u roku od 90 dana – donijeti rješenje ili barem obavijestiti podnositelja o napretku postupka. Ako se to ne dogodi, građanin ima pravo pokrenuti upravni spor pred Sudom BiH.
Kako bi olakšala prilagodbu gospodarstvu, Agencija planira izdavati smjernice, preporuke i praktične priručnike, posebno namijenjene tvrtkama i institucijama koje obrađuju veće količine podataka.
Koliko su građani i tvrtke spremni?
Na pitanje koliko su građani i gospodarski subjekti spremni za novi zakon, odvjetnici odgovaraju prilično otvoreno.
”Vrlo je niska svijest poslovnog sektora u BiH, a i općenito, što novi zakon donosi. Iz temelja se mijenja koncept poslovanja jer se sada s osobnim podacima mora postupati na strogo određen način, a kazne su velike. Izuzetak su međunarodne kompanije u BiH koje su već u manjoj ili većoj mjeri primjenjivale GDPR standarde”, ističu iz Ureda Pehar – Lesko.
Novi zakon jednako obvezuje i male poduzetnike i obrtnike. To znači da i najmanje firme moraju uskladiti svoje poslovanje sa Zakonom: od sigurnog čuvanja podataka, prikupljanja samo nužnih informacija, do informiranja klijenata o načinu obrade.
Iz Agencije dodatno naglašavaju da ni kontrolori koji nemaju vlastite pravne službe ili IT sektore nisu izuzeti – i oni moraju u cijelosti poštovati odredbe Zakona.
Konkretne obveze za gospodarstvo – DPO, evidencije, obavještavanje
Novi zakon donosi širi i detaljniji set obveza za gospodarske subjekte. To uključuje imenovanje službenika za zaštitu podataka (Data Protection Officer – DPO), vođenje evidencija o obradi podataka, a u određenim slučajevima i obvezu izrade procjene utjecaja na privatnost.
Društva su dužna obavijestiti Agenciju, a u nekim situacijama i same građane, kada dođe do povrede njihovih osobnih podataka.
”Zakon je točno definirao tko je sve dužan imenovati službenika – među ostalim, sva društva koja obrađuju veće količine osobnih podataka. Službenik može biti zaposlenik društva koji nije u rukovodećem kadru, ali je česta praksa da se kod većih društava imenuju vanjski DPO-i, najčešće odvjetnici specijalizirani za GDPR. Svi DPO-i moraju biti prijavljeni Agenciji”, objašnjavaju odvjetnici.
Prijelazni rok i smjernice Agencije
Iako je zakon već stupio na snagu, zakonodavac je predvidio prijelazno razdoblje kako bi se gospodarski subjekti mogli pripremiti.
”Kontrolori podataka i obrađivači koji su već započeli s obradom osobnih podataka imaju rok od dvije godine da svoje poslovanje u potpunosti usklade s novim Zakonom”, pojašnjavaju iz Agencije.
Kako bi olakšala prilagodbu, Agencija planira izdati smjernice, preporuke i priručnike, posebno namijenjene poslovnom sektoru.
Posebno osjetljivi sektori
Novi zakon jednako se primjenjuje na sve subjekte, ali za institucije koje raspolažu najosjetljivijim podacima, poput banaka, osiguravajućih kuća, zdravstvenih ustanova i telekom operatera, obveze su još značajnije.
”Upravo ovi subjekti kao nositelji i obrađivači velikih količina osobnih podataka imaju razlog više da svoje poslovanje u tehničkom, organizacijskom i pravnom smislu urede na način da se maksimalno zaštite podaci njihovih klijenata. Kada se radi o posebnim kategorijama, poput zdravstvenih podataka, zakon predviđa dodatna ograničenja i strože mjere zaštite”, objašnjavaju odvjetnici.
Kazne i posljedice
Novi zakon predviđa visoke kazne, čak i do 40 milijuna KM ili 4 posto godišnjeg prometa.
”S obzirom na iskustva zemalja EU, jasno je da agencije ne oklijevaju izricati rigorozne sankcije. Primjerice, u Hrvatskoj je izrečena kazna od 5,47 milijuna eura jednom društvu. Osim kompanija, mogu se kažnjavati i odgovorne osobe, a u određenim slučajevima i zaposlenici”, pojašnjavaju
odvjetnici.
Primjeri iz EU pokazuju ozbiljnost regulatora – Meta, Amazon i TikTok platili su stotine milijuna eura kazni. Takvi slučajevi pokazuju da neusklađenost može imati goleme posljedice. S druge strane, tvrtke koje usklade poslovanje mogu profitirati kroz veće povjerenje korisnika i reputaciju na tržištu.
Međunarodni aspekt: globalne kompanije i prijenos podataka
Novi zakon ne obvezuje samo domaće subjekte.
”Kompanije koje posluju izvan BiH, ali obrađuju podatke građana BiH, moraju imenovati svoje predstavnike za našu zemlju. Ti će predstavnici biti kontakt točka za Agenciju i za same građane u svim pitanjima vezanim za obradu”, navode iz Agencije.
Prijenos osobnih podataka u druge zemlje strogo je reguliran. Dopušten je samo ako je utvrđeno da ta zemlja ili organizacija pruža odgovarajuću razinu zaštite, a odluku o tome donosi Vijeće ministara BiH na prijedlog Agencije. Ako takva odluka ne postoji, prijenos je ipak moguć, ali samo uz posebne zaštitne mjere koje mora osigurati kontrolor ili obrađivač podataka, dok se građanima jamči provedivo pravo i sudska zaštita.
Prilika, a ne samo obveza
Na kraju, postavlja se pitanje hoće li novi zakon biti opterećenje ili prilika za gospodarstvo.
”Smatramo da ovaj zakon predstavlja prije svega priliku za BiH. Bio je jedan od uvjeta na putu prema EU, a njegovo usvajanje svrstava našu zemlju među države koje pružaju razinu zaštite usporedivu s GDPR-om. To znači olakšan prijenos podataka, smanjenje birokracije i veću kompatibilnost naših tvrtki s partnerima iz EU. Građani, s druge strane, dobivaju jednaku razinu zaštite kao i građani u Europskoj uniji”, zaključuju iz Ureda Pehar – Lesko.
Ako se zakon bude provodio dosljedno, mogao bi donijeti viši standard privatnosti i sigurnosti u digitalnom dobu, što je ujedno i jedan od temeljnih ciljeva GDPR-a.
Pri preuzimanju teksta, obavezno je navesti hercegovina.info i autora kao izvor te dodati poveznicu na autorski članak.
