Novi zakon o zaštiti osobnih podataka, čija je primjena započela 4. listopada, donosi rigoroznije propise i znatno veće sankcije za pravne subjekte, od 10.000 KM do čak 40 milijuna KM ili do četiri posto ukupnog godišnjeg prihoda tvrtke diljem svijeta. Osim visokih kazni, zakon uvodi i značajne novine, poput “prava na zaborav”, koje građanima omogućuje da zatraže brisanje svojih podataka i dodatnu zaštitu za djecu, koja će određene online usluge moći koristiti samo uz pristanak roditelja.
Dragoljub Reljić, ravnatelj Agencije za zaštitu osobnih podataka u Bosni i Hercegovini, za Fenu objašnjava da je Zakon osmišljen kako bi donio značajne promjene u odnosu na trenutno stanje u području zaštite podataka.
Njime se usklađuje domaće zakonodavstvo s europskim okvirima, konkretno s Općom uredbom o zaštiti podataka (GDPR) i Direktivom EU poznatom kao “Policijska direktiva”. Prava nositelja podataka, tj. osobe čiji se podaci obrađuju, također su ojačana, dok su obveze kontrolora, onih koji obrađuju podatke, dodatno pooštrene.
Reljić ističe da su mnoge definicije precizirane i uvedene novine.
Uvedeni su koncepti biometrijskih i genetskih podataka, pojednostavljeni su određeni administrativni postupci, a ojačane su i nadzorne ovlasti Agencije – objašnjava.
Novim zakonom građanima je omogućen lakši pristup podacima koji se o njima vode te jasnije razumijevanje tko te podatke obrađuje i u koju svrhu.
Posebno je važna novost kojom se uvodi “pravo na zaborav”, što znači da građani imaju pravo zatražiti brisanje svojih podataka kada više ne postoji zakonski razlog za zadržavanje tih podataka.
Kada dođe do povrede podataka, kontrolor je dužan, bez nepotrebnog odgađanja, obavijestiti Agenciju za zaštitu osobnih podataka, osim u slučaju kada je malo vjerojatno da će povreda uzrokovati rizik za prava i slobode pojedinaca.
U određenim slučajevima, nositelj podataka mora biti obaviješten i ako je došlo do povrede njegovih osobnih podataka, a za određene kontrolore uvodi se obveza imenovanja službenika za zaštitu podataka.
Reljić navodi da Zakon propisuje obvezu mnogih kontrolora da imenuju službenika za zaštitu podataka, dok subjekti iz inozemstva koji obrađuju podatke građana BiH moraju imati predstavnika za BIH.
Zakon naglašava da se posebna pozornost posvećuje djeci kao ranjivoj skupini jer često nisu svjesni rizika koji su povezani s otvorenim upravljanjem njihovim podacima.
Zbog toga će djeca moći koristiti određene internetske usluge i usluge za koje se osobni podaci moraju dati samo uz roditeljski pristanak – objašnjava Reljić.
Kada su u pitanju kazne, one su zaista stroge.
Kazne se kreću od 500 KM za zaposlenike koji počine prekršaj do 40.000.000 KM za pravne osobe, a u slučaju poduzetnika moguća je sankcija do četiri posto ukupnog godišnjeg prihoda na svjetskoj razini – kaže ravnatelj Agencije za zaštitu osobnih podataka.
Za određene kategorije prekršaja zakon predviđa različita ograničenja: za zaposlenike koji svojim radnjama uzrokuju kršenje propisa, novčana kazna iznosi između 500 KM i 5.000 KM, za odgovorne fizičke osobe (direktore, menadžere, zaposlenike) od 5.000 KM do 70.000 KM, dok su za pravne osobe (kontrolore) predviđene novčane kazne od 10.000 KM do 20.000.000 KM ili do 2 posto ukupnog godišnjeg prometa na globalnoj razini, ako je ta vrijednost veća.
U težim slučajevima, za pravne osobe (obrada podataka), novčana kazna može doseći od 20.000 do 40.000.000 KM, odnosno za poduzetnike iznos od 4 posto ukupnog globalnog prihoda.
Novi Zakon objavljen je u “Službenom glasniku Bosne i Hercegovine” 28. veljače 2025., a formalno je stupio na snagu 8. ožujka. Ipak, njegova praktična primjena započela je 4. listopada, a rok od 210 dana dao je vremena za prilagodbu postupaka i sistemskih mjera.
Agencija za zaštitu osobnih podataka će, kao i do sada, provoditi nadzor po službenoj dužnosti i odgovarati na pritužbe građana. Budući da je zakon tek uveden, još ne možemo sa sigurnošću reći u kojem će području biti najviše kršenja – zaključio je Reljić.
Usklađivanje ovog Zakona sa standardima Europske unije, u kontekstu izdavanja identifikacijskih dokumenata, znači da svako tijelo koje prikuplja, obrađuje, razmjenjuje ili pohranjuje osobne podatke mora osigurati zakonitu obradu, transparentnost, jasno ograničenje svrhe, minimiziranje podataka te primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite.
Agencija za identifikacijske dokumente, evidenciju i razmjenu podataka (IDDEEA), kao obrađivač osobnih podataka, u izjavi za Fenu navela je da već primjenjuju odredbe novog Zakona u segmentima koji se odnose na tehničku i organizacijsku zaštitu.
U tom smislu, ova Agencija kontinuirano unapređuje interne akte, sigurnosne protokole i procedure te već ima utvrđene propise i odluke o zaštiti osobnih podataka, koji su prethodno usklađeni s tada važećim Zakonom o zaštiti osobnih podataka Bosne i Hercegovine.
Iz IDDEEA-e ističu da će primjenom novog zakona nastaviti osiguravati najvišu razinu
te zaštitu osobnih podataka u procesima personalizacije, pohrane i razmjene podataka o identifikacijskim dokumentima, u skladu s načelima zakonitosti, integriteta i povjerljivosti.
Kada je riječ o transparentnosti i pravima građana, podsjećaju da, iako građani imaju pravo zatražiti pristup, ispravak, brisanje ili ograničenje obrade svojih podataka, ova Agencija nije nadležna za njihovu promjenu, poput promjene imena, adrese ili prebivališta, već da se o njima mora prijaviti nadležnim tijelima (matični uredi, policija, MUP), koja su potom dužna ažurirati središnje evidencije kojima upravlja IDDEEA.
Radi veće transparentnosti, IDDEEA je osigurala javni pristup određenim skupovima podataka putem “Portal otvorenih podataka”, koji potiče javnu dostupnost i transparentno korištenje podataka i informacija u skladu sa Zakonom o slobodi pristupa informacijama i Zakonom o zaštiti osobnih podataka.
Provedba Opće uredbe o zaštiti podataka (GDPR) u zemljama Europske unije već je dovela do ozbiljnih kazni, što pokazuje koliko ozbiljno europski regulatori shvaćaju zaštitu privatnosti građana.
Tako je 2023. godine tvrtka Meta (vlasnik Facebooka) kažnjena s rekordnih 1,2 milijarde eura u Irskoj, zbog ilegalnog prijenosa korisničkih podataka iz EU u Sjedinjene Američke Države.
Veliki sigurnosni incident zabilježen je u Bugarskoj 2019. godine, kada su hakeri provalili u sustav Porezne uprave i došli do osobnih podataka više od pet milijuna građana. Posljedice tog curenja podataka dovele su do kazni koje su premašile tri milijuna eura.
Hrvatska je 2023. godine izrekla najveću kaznu do tada – 2,26 milijuna eura tvrtki “B2 Kapital” zbog nepravilne obrade podataka više od 130.000 osoba, bez odgovarajućih zaštitnih mjera.
