Novi zakon jača zaštitu ličnih podataka: Visoke kazne i pravo na zaborav

Osim visokih novčanih kazni, zakon uvodi i značajne novine, kao što je "pravo na zaborav", koje omogućava građanima da zatraže brisanje svojih podataka te dodatnu zaštitu djece, koja će određene online usluge moći koristiti samo uz saglasnost roditelja.

Direktor Agencije za zaštitu ličnih podataka u BiH Dragoljub Reljić za Fenu objašnjava da je Zakon osmišljen tako da donosi bitne promjene u odnosu na postojeće stanje u oblasti zaštite podataka.

Njime se usklađuje domaće zakonodavstvo s evropskim okvirima, konkrento s Općom uredbom o zaštiti podataka (GDPR) i Direktivom EU poznatom kao "Policijska direktiva". Također su ojačana prava nositelja podataka, odnosno osoba čiji se podaci obrađuju, dok su obaveze kontrolora, onih koji obrađuju podatke, dodatno pooštrene.

Reljić ističe da su precizirane mnoge definicije i uvedene novine.

- Uvedeni su pojmovi biometrijskih i genetskih podataka, pojednostavljene određene administrativne procedure, a nadzorne ovlasti Agencije su pojačane - pojašnjava.

Novim zakonom građanima je omogućeno da lakše pristupe podacima koji se o njima vode i jasnije razumiju ko i u koju svrhu te podatke obrađuje.

Posebno je važna novina kojom se uvodi "pravo na zaborav", što znači da građani imaju pravo da zatraže brisanje svojih podataka kada više ne postoji zakonski razlog da se ti podaci zadržavaju.

Kada dođe do povrede podataka, kontrolor je dužan, bez nepotrebnog odgađanja, obavijestiti Agenciju za zaštitu ličnih podataka, osim u slučaju kada je mala vjerovatnoća da će povreda prouzrokovati rizik po prava i slobode pojedinaca.

U određenim slučajevima, nositelj podataka također mora biti informiran ukoliko je došlo do povrede njegovih ličnih podataka, a za određene kontrolore uvodi se i obaveza imenovanja službenika za zaštitu podataka.

Reljić navodi da Zakon propisuje i obavezu mnogih kontrolora da imenuju službenika za zaštitu podataka, dok subjekti iz inostranstva koji obrađuju podatke građana BiH moraju imati predstavnika za BiH.

Zakonom se, naglašava, posebna pažnja posvećuje djeci kao ranjivoj grupi jer često nisu svjesna rizika pri otvorenom upravljanju svojim podacima.

- Zbog toga će djeca moći koristiti određene internetske usluge i servise za koje je potrebno dati osobne podatke isključivo uz roditeljski pristanak - objašnjava Reljić.

Kada su u pitanju kazne, one su zaista stroge.

- Novčane kazne kreću se od 500 KM za zaposlene koji učine prekršaj do 40.000.000 KM za pravna lica, a u slučaju preduzetnika moguće je izricanje sankcije do četiri posto ukupnog godišnjeg prihoda na svjetskom nivou - navodi direktor Agencije za zaštitu ličnih podataka.

Za specifične kategorije prekršaja, zakon predviđa različite granice: za zaposlene osobe koje svojim djelovanjem uzrokuju povredu propisa, kazna je između 500 KM i 5.000 KM, za odgovorna fizička lica (direktore, rukovodioce, službenike) od 5.000 KM do 70.000 KM, dok se za pravna lica (kontrolore) predviđaju kazne od 10.000 KM do 20.000.000 KM ili do 2 posto ukupnog godišnjeg prometa na globalnom nivou, ako je ta vrijednost viša.

U težim slučajevima, za pravna lica (obradu podataka), kazna može dostići 20.000 do 40.000.000 KM, ili kod preduzetnika iznos od 4 posto ukupnog globalnog prihoda.

Novi Zakon je objavljen u "Službenom glasniku BiH" 28. februara 2025. godine i stupio je formalno na snagu 8. marta. Ipak, njegova praktična primjena počela je 4. oktobra, a rok od 210 dana dao je vremena da se prilagode procedure i sistemske mjere.

-  Agencija za zaštitu ličnih podataka će kao i do sada provoditi nadzor po službenoj dužnosti i reagovati na prigovore građana. Pošto je zakon tek uveden, još ne možemo sa sigurnošću reći u kojoj će oblasti biti najviše prekršaja - zaključuje Reljić.

Usklađivanje ovog Zakona sa standardima Evropske unije, u kontekstu izdavanja identifikacionih dokumenata, znači da svaki organ koji prikuplja, obrađuje, razmjenjuje ili čuva lične podatke mora osigurati zakonitu obradu, transparentnost, jasno ograničenje svrhe, minimizaciju podataka, te primjenu odgovarajućih tehničkih i organizacionih mjera zaštite.

Iz Agencije za identifikacione dokumente, evidenciju i razmjenu podataka (IDDEEA), kao obrađivača ličnih podataka, u izjavi za Fenu navode da već primjenjuju odredbe novog Zakona u segmentima vezanim za tehničku i organizacionu zaštitu.

U tom smislu, ova Agencija kontinuirano unapređuje interne akte, sigurnosne protokole i procedure te već ima uspostavljene pravilnike i odluke o zaštiti ličnih podataka, koji su i ranije bili usklađeni sa tada važećim Zakonom o zaštiti ličnih podataka BiH.

Iz IDDEEA-e ističu da će primjenom novog Zakona nastaviti sa osiguravanjem najvišeg nivoa zaštite ličnih podataka u procesima personalizacije, skladištenja i razmjene podataka o identifikacionim dokumentima, u skladu s načelima zakonitosti, integriteta i povjerljivosti.

Kada su u pitanju transparentnost i prava građana, podsjećaju da, iako građani imaju pravo zahtijevati pristup, ispravku, brisanje ili ograničavanje obrade svojih podataka, ova Agencija nije nadležna za njihovu izmjenu, kao što su promjena imena, adrese ili prebivališta, već da moraju biti prijavljene nadležnim organima (matičnim uredima, policiji, MUP-ovima), koji su zatim obavezni ažurirati centralne evidencije kojim upravlja IDDEEA.

Za veću transparentnost, IDDEEA je osigurala javni uvid u određene skupove podataka kroz "Portal otvorenih podataka", čime se promoviše javna dostupnost i transparentno korištenje podataka i informacija u skladu sa Zakonom o slobodi pristupa informacijama i Zakonom o zaštiti ličnih podataka.

Primjena Opće uredbe o zaštiti podataka (GDPR) u zemljama Evropske unije već je dovela do ozbiljnih kazni, što pokazuje koliko evropski regulatori ozbiljno tretiraju zaštitu privatnosti građana.

Tako je kompanija Meta (vlasnik Facebooka) 2023. godine kažnjena s rekordnih 1,2 milijarde eura u Irskoj, zbog nelegalnog prijenosa podataka korisnika iz EU u Sjedinjene Američke Države.

U Bugarskoj je 2019. godine zabilježen veliki sigurnosni incident kada su hakeri upali u sistem Poreske uprave i došli do ličnih podataka više od pet miliona građana. Posljedice tog curenja podataka dovele su do kazni koje su premašile tri miliona eura.

Hrvatska je 2023. godine izrekla najvišu kaznu do tada - 2,26 miliona eura firmi "B2 Kapital", zbog nepropisne obrade podataka više od 130.000 osoba, bez odgovarajućih mjera zaštite.


(Vijesti.ba / FENA)