Bosna i Hercegovina usvojila je novi Zakon o zaštiti ličnih podataka, usklađen s Općom uredbom o zaštiti podataka (GDPR), čime je ispunjen jedan od važnih uvjeta na putu ka članstvu u Evropskoj uniji. Zakon će se početi primjenjivati 4. oktobra ove godine.
Njime se jasno definiše pojam ličnih podataka, koji osim uobičajenih informacija poput imena ili fotografije, obuhvata i IP adresu, e-mail adresu te biometrijske podatke, primjerice otiske prstiju koji se koriste za evidenciju radnog vremena.
Novi propisi značajno pooštravaju obaveze kontrolora u pogledu tehničkih i organizacionih mjera zaštite, te uvode princip „prava na zaborav“, kojim građani mogu zatražiti brisanje svojih podataka kada više ne postoji zakonski osnov za njihovu obradu.
– Više nije dovoljno imati samo osnovne tehničke mjere zaštite. Svaka obrada ličnih podataka mora imati pravnu osnovu – bilo da se radi o zakonskoj obavezi, legitimnom interesu ili izričitoj privoli – istaknula je profesorica dr. Marija Boban na stručnom seminaru u Mostaru povodom početka primjene zakona.
Ona je upozorila da Zakon predviđa stroge kazne za kršenje odredbi – od 500 KM za fizička lica koja rukovode obradom podataka, pa sve do 40 miliona KM ili 4 posto globalnog godišnjeg prometa za pravna lica, u zavisnosti od težine prekršaja.
Poseban naglasak stavljen je na potrebu edukacije zaposlenih i imenovanje službenika za zaštitu podataka, što je obaveza i za javni i za privatni sektor. Svaka institucija ili preduzeće koje prikuplja lične podatke mora uskladiti interne procedure, politike privatnosti i donijeti jasne upute i kodekse ponašanja.
Najčešći primjer nepravilne obrade, kako je istaknuto, jeste slanje newslettera bez prethodno date saglasnosti korisnika, što sada predstavlja direktno kršenje Zakona.
Profesorica Boban naglašava i da se biometrijski podaci ne smiju koristiti bez posebne saglasnosti zaposlenih, a Agencija za zaštitu ličnih podataka imat će proširene ovlasti nadzora i sankcionisanja.
– Zaštita počinje edukacijom i usklađivanjem procesa, a ključni faktor su ljudi – šta smiju dijeliti, u koju svrhu i na osnovu koje pravne osnove. Ako organizacija ne poduzme ništa, tada je kazna izgledna. No, ko se potrudi uskladiti, može očekivati i samo upozorenje – pojasnila je Boban.
Primjena Zakona ne odnosi se samo na digitalne sisteme, nego i na svakodnevne situacije – od objavljivanja podataka zaposlenih na internetskim stranicama do postavljanja videonadzora, koji mora biti jasno označen i pravno opravdan.
Slični propisi već se primjenjuju u državama članicama Evropske unije poput Hrvatske i Slovenije, a sada isti okvir obavezuje i institucije i kompanije u BiH. Stručnjaci naglašavaju da je pravovremena priprema najbolji način izbjegavanja visokih kazni.
