Bosna i Hercegovina je, nakon godina iščekivanja, usvojila novi Zakon o zaštiti ličnih podataka, kojim se konačno usklađuje sa evropskom regulativom iz ove oblasti. Zakon, objavljen 28. februara 2025. godine u “Službenom glasniku BiH”, formalno je stupio na snagu osam dana kasnije, ali njegova puna primjena počinje 4. oktobra 2025. godine.
U tih 210 dana, koliko je ostavljeno kao prelazni period, svi — od institucija i kompanija, do advokata i IT sektora — imaju zadatak da usklade svoje prakse s novim pravilima.
Zakon je izrađen po uzoru na Opću uredbu o zaštiti podataka (GDPR) i Policijsku direktivu EU, a donosi značajne promjene kako za građane, tako i za one koji njihove podatke obrađuju. Iz Agencije za zaštitu ličnih podataka BiH, institucije zadužene za nadzor i implementaciju zakona, poručuju da je riječ o sistemskom iskoraku koji jača prava pojedinaca i uvodi mnogo strožije obaveze za tzv. kontrolore podataka – subjekte koji s ličnim podacima rukuju u poslovanju ili upravi.
U odgovoru za Akta.ba, iz Agencije ističu da novi zakon jasno definiše pojmove poput genetskih i biometrijskih podataka, jača obaveze kontrolora u pogledu tehničkih i organizacionih mjera zaštite, te uvodi princip „prava na zaborav“, koji omogućava građanima da zatraže brisanje svojih podataka kada za njihovu obradu više ne postoji zakonit osnov.
“U slučaju povrede osobnih podataka voditelj obrade je dužan, bez nepotrebnog odgađanja, obavijestiti nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Također, u određenim okolnostima se uvodi i potreba obavještavanja nositelja podataka ukoliko je došlo do povrede njegovih osobnih podataka, a za određene kontrolore uvodi se i obveza imenovanja službenika za zaštitu podataka”, navode iz Agencije.
Kompanije koje djeluju u inostranstvu, a vrše obradu osobnih podataka građana BIH, morat će imenovati predstavnike za Bosnu i Hercegovinu.
Posebna pažnja u zakonu posvećena je djeci, prepoznatoj kao posebno ranjiva kategorija, koja će za korištenje određenih digitalnih servisa morati imati roditeljski pristanak. U slučajevima kada se podaci redovno i u velikom obimu obrađuju, ili kada je riječ o osjetljivim podacima, zakon predviđa i obavezno imenovanje službenika za zaštitu podataka. Za kompanije iz inostranstva koje nude usluge građanima BiH, postaje obavezno imenovanje predstavnika za Bosnu i Hercegovinu.
Na pitanje kako će građani biti informisani o novim pravima, iz Agencije poručuju da će edukacija biti kontinuirana – putem medija, web stranice i kroz obuke koje su planirane i za pravne stručnjake. “Građani nam se već sada mogu obraćati kao i ranije – mi odgovaramo na njihove upite, nudimo savjete i stručno mišljenje, i nastavit ćemo u tom duhu”, navode iz Agencije, dodajući da već godinama kroz projekte, nastupe i materijale pokušavaju približiti građanima važnost zaštite privatnosti.
Kada je riječ o digitalizaciji, iz Agencije naglašavaju da već unapređuju svoju prisutnost putem online kanala, ali upozoravaju da su značajnije promjene uvjetovane budžetskim sredstvima.
“Razvoj aplikacija, kao i širenje kapaciteta za rad, zavisi isključivo od sredstava koja se Agenciji dodijele u budžetu institucija BiH. Trenutno radimo u teškim uslovima – s nedovoljnim brojem kadrova, bez adekvatnog prostora i logistike. Apelujemo da nam se omogući efikasniji rad”, ističu za Akta.ba.
Jedna od najzvučnijih novosti jeste znatno pooštrena kaznena politika. Za prekršaje su predviđene novčane kazne koje se kreću od 10.000 KM pa sve do vrtoglavih 40 miliona KM – ili do 4% ukupnog godišnjeg svjetskog prometa kompanije, zavisno koji iznos je veći. Kazne se uplaćuju na Jedinstveni račun trezora BiH, a njihova raspodjela ostaje u okvirima postojećih zakona. Za odgovorna lica u firmama i institucijama, predviđene su i lične kazne u visini od 500 KM.
Važno je napomenuti da zakon predviđa i naplatu naknada za davanje stručnih mišljenja i usluga od strane Agencije prema poslovnim subjektima. Na pitanje o potencijalnoj saradnji sa advokatskim kancelarijama i pružaocima pravne pomoći, iz Agencije potvrđuju da je ona predviđena kroz edukacije i podršku u implementaciji novog zakona.
Za privredne subjekte zakon donosi čitav niz novih obaveza: od primjene takozvane “integrisane zaštite” podataka i redovnog revidiranja sigurnosnih mjera, preko vođenja detaljnih evidencija o svim aktivnostima obrade, pa sve do regulisanja međusobnih odnosa kada više kontrolora zajednički upravlja istim podacima. Čak i za obradu u inostranstvu, zakon propisuje uspostavu tzv. obavezujućih poslovnih pravila, kako bi se lični podaci građana BiH zaštitili i izvan granica države.
Nema sumnje – novi zakon predstavlja korjenitu promjenu u načinu na koji se u Bosni i Hercegovini štite lični podaci. Građani dobijaju više prava, institucije više odgovornosti, a firme ozbiljne obaveze koje više neće moći ignorisati bez posljedica.
Do oktobra, kada zakon počne da se primjenjuje, vremena je sve manje – a priprema bi, kako poručuju iz Agencije, trebala početi već danas.
Dodatne obaveze koje zakon uvodi, a koje se odnose na privredne subjekte, uključuju:
- Tehničke i organizacione mjere zaštite: moraju biti primjerene rizicima obrade i redovno ažurirane.
- Integrisanu zaštitu: poput pseudonimizacije, minimizacije podataka, itd.
- Sporazumi kod zajedničke obrade: kada više kontrolora upravlja istim podacima.
- Obavezujuća poslovna pravila za međunarodni prenos podataka.
- Vođenje evidencije aktivnosti obrade: obavezno osim za subjekte s manje od 250 radnika, izuzev u posebnim slučajevima.
