Ekonomija - Bosna i Hercegovina

Zaštita podataka kao poslovna obaveza: Novi Zakon u BiH donosi i nova pravila

Puna primjena zakona očekuje se u oktobru 2025. godine, a svi koji obrađuju lične podatke – bilo u javnom sektoru, privredi, administraciji ili digitalnim uslugama – već sada moraju da se pripreme na način da svoje poslovanje usklade sa odredbama novog Zakona.

U današnjem digitalnom vremenu u kojem su lični podaci postali nova “valuta trgovine”, jasno je da su pravila poslovanja postala ozbiljnija. Zakonita obrada podataka više ne podrazumijeva kakvu takvu “politiku privatnosti” tj. cookie banere istaknute na dnu vašeg web sajta, ona sada podrazumijeva jasne procedure, tehničke mjere zaštite ličnih podataka i imenovanje službenika za zaštitu ličnih podataka.

Ko je obuhvaćen primjenom novog Zakona?

Pravna i fizička lica koja u okviru svoje d‌jelatnosti prikupljaju, obrađuju i čuvaju lične podatke – od web prodavnica i javnih institucija, do bolnica i ostalih web aplikacija – spadaju u kategoriju tzv. kontrolora ili obrađivača. Za mnoge od njih, novi zakon uvodi obavezu imenovanja službenika za zaštitu podataka (DPO), kao i procjene uticaja na privatnost (DPIA) u slučajevima visoko rizične obrade.

Ako poslujete izvan BiH, ali svoje usluge pružate korisnicima u BiH – zakon vas takođe obavezuje: morate imenovati predstavnika u BiH koji će služiti kao veza sa nacionalnom Agencijom za zaštitu ličnih podataka.

Prava građana – obaveze firmi

Lica na koja se podaci odnose, novim zakonom ostvaraju niz prava: pristup svojim podacima, pravo na ispravku podataka, brisanje podataka („pravo na zaborav“), ograničenje obrade, prenosivost i podnošenje prigovora.

Zakon jasno propisuje da informacije moraju biti napisane jednostavnim jezikom, bez pravnih ili tehničkih termina koja su za veliku većinu nosioca podataka nerazumljiva.

Sa druge strane, firme moraju voditi evidenciju o svim aktivnostima obrade, usvojiti politike privatnosti, obezbijediti tehničke mjere sigurnosti (šifrovanje, kontrole pristupa), kao i proceduru za prijavu incidenta.

Ukoliko dođe do narušavanja sigurnosti podataka, kontrolor je dužan da obavijesti Agenciju u roku od 72 sata, a u slučajevima koji direktno mogu ugroziti i identifikovati nosioca podataka – i sama lica čiji su podaci kompromitovani.

Kazne nisu simbolične

Zakon predviđa stroge sankcije: do 40 miliona KM ili 4% ukupnog godišnjeg prometa – u zavisnosti od težine prekršaja. Kazne se ne odnose samo na firme – pojedinci koji rukuju podacima u suprotnosti sa zakonom takođe mogu biti kažnjeni.

Evropski standardi – lokalna primjena

Iako je zakon pisan po uzoru na GDPR, istim su uvedena i neka nacionalna rješenja – poput obavezne lokalne registracije stranih subjekata koji nemaju sjedište u BiH, a obrađuju podatke državljana BiH. Agencija za zaštitu podataka zadržava široka ovlaštenja za nadzor, izdavanje mjera, zabranu obrade i izricanje kazni.

Šta preduzeti?

Kompanije i javna uprava, trebaju, prije oktobra 2025.godine kada odredbe novog Zakona

počinju da se primjenjuju, da:

- analiziraju koje lične podatke građana prikupljaju i na koji način ih čuvaju;

- imenuju (u koliko je potrebno) Službenika za zaštitu ličnih podataka;

- pripreme interne politike i preduzmu sve neophodne mjere usklađivanja sa novim zakonom;

- obučavaju zaposlene u oblasti zaštite ličnih podataka;

Usklađivanje zahtijeva stručnost u oblasti zaštite ličnih podataka, jer novi zakon ne predstavlja samo formalnost, već obavezu – on mijenja način na koji se privatnost građana tretira i postavlja je kao standard savremenog poslovanja.