Novi Zakon o zaštiti ličnih podataka usklađen s europskim Općom odredbom o zaštiti podataka (GDPR) stupio je na snagu čime Bosna i Hercegovina ispunjava jedan od ključnih uvjeta na putu prema članstvu u Evropskoj uniji.
ADVERTISEMENT
Novi Zakon, koji će se počet primjenjivati 4. oktobra ove godine, jasno definira osobne podatke koji osim tradicionalnih identifikacijskih informacija poput imena i fotografije uključuje i podatke poput IP adrese, e-mail adrese te biometrijskih podataka, primjerice otisaka prstiju koji se koriste za evidenciju radnoga vremena.
Zakon jača obveze kontrolora u pogledu tehničkih i organizacijskih mjera zaštite, te uvodi princip "prava na zaborav", koji omogućava građanima da zatraže brisanje svojih podataka kada za njihovu obradu više ne postoji zakonska osnova obrade.
"Više nije dovoljno imati samo osnovne tehničke mjere zaštite. Svaka obrada osobnih podataka mora imati pravnu osnovu - bilo da se radi o zakonskoj obvezi, legitimnom interesu ili izričitoj privoli", istaknula je u četvrtak na stručnom seminaru u Mostaru povodom početka primjene zakona prof. dr. sc. Marija Boban.
Ova istaknuta stručnjakinja za zaštitu ličnih podataka i kibernetičku sigurnost, s bogatim iskustvom rada na projektima usklađivanja s GDPR-om, upozorava kako Zakon predviđa stroge zakonske kazne za povrede od 500 KM za fizičke osobe koje rukovode obradom podataka pa sve do 40 miliona KM ili 4 posto globalnog godišnjeg prometa za pravne osobe, ovisno o težini prekršaja.
Naglasak je stavljen na potrebu edukacije zaposlenika i imenovanja službenika za zaštitu podataka, što je obaveza i za javni i za privatni sektor. U praksi to znači da je svaka institucija ili kompanija koja prikuplja lične podatke dužna uskladiti svoje interne procedure, politike privatnosti te uspostaviti jasne upute i kodekse ponašanja.
Kao najčešći primjer nepravilne obrade istaknuto je slanje newslettera bez prethodno dobivene privole korisnika, što sada predstavlja kršenje Zakona.
Također, dodaje prof. dr. sc. Boban, biometrijski podaci se ne smiju koristiti bez posebne dozvole zaposlenika, a nadzorni organ - Agencija za zaštitu ličnih podataka imat će ovlasti nadzora i sankcioniranja.
"Zaštita počinje edukacijom i usklađivanjem procesa, a ključni faktor su ljudi - što smiju dijeliti, u koju svrhu i na temelju koje pravne osnove. Ako organizacija ne poduzme ništa, tada je kazna izgledna. No, tko se potrudi uskladiti, može očekivati i samo upozorenje", pojasnila je Boban.
Implementacija Zakona se ne odnosi samo na digitalne sisteme, već i na svakodnevne situacije - od objava osnovnih podataka zaposlenika na internetskim stranicama do korištenja videonadzora, koji mora jasno biti označen i zakonski opravdan.
Zakon se već primjenjuje u državama članicama EU, poput Hrvatske i Slovenije, a sad je došao na red i za bh. institucije i poduzeća.
Stručnjaci ističu kako je pravodobna priprema najbolji način izbjegavanja visokih kazni.