Primjena novog Zakona o zaštiti ličnih podataka u Bosni i Hercegovini počela je 4. oktobra, donoseći značajne novine i mnogo strože propise za sve subjekte koji obrađuju podatke građana. Kazne za pravna lica sada mogu dosegnuti i do 40 miliona KM ili četiri posto godišnjeg globalnog prihoda, što ovaj zakon svrstava među najrigoroznije u regiji.
Usklađen s evropskim standardima
Direktor Agencije za zaštitu ličnih podataka u BiH, Dragoljub Reljić, pojašnjava da je novi zakon usklađen s evropskim propisima – Općom uredbom o zaštiti podataka (GDPR) i takozvanom Policijskom direktivom EU. Time se, kaže, domaći okvir modernizira i jača u odnosu na dosadašnje stanje.
“Uvedeni su pojmovi biometrijskih i genetskih podataka, pojednostavljene određene administrativne procedure, a nadzorne ovlasti Agencije su pojačane” – pojašnjava.
Pravo na zaborav i zaštita djece
Jedna od najvažnijih novina je “pravo na zaborav”, koje omogućava građanima da zatraže brisanje svojih podataka kada više ne postoji zakonski osnov za njihovo zadržavanje.
Zakon posebno štiti djecu kao ranjivu grupu – određene internetske usluge mogu koristiti samo uz saglasnost roditelja.
“Zbog toga će djeca moći koristiti određene internetske usluge i servise za koje je potrebno dati osobne podatke isključivo uz roditeljski pristanak” – objašnjava Reljić.
Obaveze kontrolora i službenici za zaštitu podataka
Kontrolori podataka sada imaju obavezu da bez odlaganja prijave svaku povredu sigurnosti Agenciji, osim ako je rizik po prava i slobode pojedinaca minimalan.
U određenim slučajevima, i sami građani moraju biti obaviješteni o povredi njihovih podataka.
Za mnoge subjekte, kako domaće tako i strane, uvedena je i obaveza imenovanja službenika za zaštitu podataka ili predstavnika u BiH.
“Novčane kazne kreću se od 500 KM za zaposlene koji učine prekršaj do 40.000.000 KM za pravna lica, a u slučaju preduzetnika moguće je izricanje sankcije do četiri posto ukupnog godišnjeg prihoda na svjetskom nivou” – navodi direktor Agencije za zaštitu ličnih podataka.
Prema zakonu, kazne su raspoređene prema odgovornosti:
– za zaposlene koji počine prekršaj – od 500 do 5.000 KM,
– za odgovorna fizička lica – od 5.000 do 70.000 KM,
– za pravna lica – od 10.000 do 20.000.000 KM ili do 2% godišnjeg prometa,
dok u težim slučajevima mogu dosegnuti do 40.000.000 KM ili 4% ukupnog svjetskog prihoda kompanije.
Rok za prilagodbu i nadzor Agencije
Zakon je objavljen u Službenom glasniku BiH 28. februara, stupio na snagu 8. marta, a njegova stvarna primjena počela je 4. oktobra, nakon prelaznog roka od 210 dana za prilagodbu sistema.
” Agencija za zaštitu ličnih podataka će kao i do sada provoditi nadzor po službenoj dužnosti i reagovati na prigovore građana. Pošto je zakon tek uveden, još ne možemo sa sigurnošću reći u kojoj će oblasti biti najviše prekršaja” – zaključuje Reljić.
IDDEEA već primjenjuje nove mjere
Iz Agencije za identifikacione dokumente, evidenciju i razmjenu podataka (IDDEEA) navode da su njihove procedure već usklađene s novim zakonom.
Ova institucija kontinuirano unapređuje interne sigurnosne protokole i pravilnike, s ciljem da zadrži visok nivo zaštite podataka u procesima personalizacije, skladištenja i razmjene identifikacionih informacija.
Građani, ističu iz IDDEEA-e, imaju pravo tražiti pristup, ispravku ili brisanje svojih podataka, ali izmjene ličnih informacija poput imena, adrese ili prebivališta i dalje moraju prijaviti nadležnim organima (matičnim uredima, policiji, MUP-ovima).
Radi veće transparentnosti, IDDEEA je omogućila javni pristup određenim skupovima podataka putem Portala otvorenih podataka.
Primjeri iz EU: ozbiljne kazne za povrede privatnosti
Evropska praksa pokazuje koliko su kazne za povredu privatnosti ozbiljne.
Kompanija Meta (vlasnik Facebooka) kažnjena je 2023. godine u Irskoj s 1,2 milijarde eura, dok je u Hrvatskoj firma B2 Kapital platila 2,26 miliona eura zbog nepropisne obrade podataka više od 130.000 osoba.
U Bugarskoj je 2019. hakerski napad na Poresku upravu doveo do curenja podataka pet miliona građana i kazni viših od tri miliona eura.
Fena
