logo standard prva
AK Stevanović: Novi Zakon o zašititi ličnih podataka je stupio na snagu. Pročitajte šta donosi

AK Stevanović: Novi Zakon o zašititi ličnih podataka je stupio na snagu. Pročitajte šta donosi

07.10.2025

Novi Zakon o zaštiti ličnih podataka u BiH – usklađivanje s GDPR i ključne novine

Piše: mr Božana Simić, advokat

Novi Zakon o zaštiti ličnih podataka Bosne i Hercegovine (“Službeni glasnik BiH”, broj 12/25) predstavlja sveobuhvatnu reformu oblasti zaštite privatnosti. Usvojen je 30. januara 2025. godine, objavljen 28. februara 2025. godine, dok je isti stupio na snagu 8. marta iste godine, ali je njegova primjena odložena za 210 dana od dana stupanja na snagu. Zakon je donesen kako bi se prevazišla zastarjelost prethodnog zakona iz 2006. godine (sa izmjenama iz 2011. godine) i domaći okvir uskladio sa evropskim standardima, posebno Opštom uredbom EU o zaštiti podataka (GDPR). Predviđen je period od šest mjeseci za usaglašavanje sa novim propisima, pa je u punoj primjeni od 4. oktobra tekuće godine.  U nastavku analiziramo ključne odredbe novog zakona, najvažnije novine u odnosu na ranije rješenje, osnovna načela obrade, prava građana čiji se podaci obrađuju, obaveze subjekata koji rukuju podacima te kaznene odredbe, kao i usklađenost sa EU standardima (GDPR).

Ključne odredbe novog zakona

Predmet i svrha zakona: Novi Zakon propisuje pravila zaštite fizičkih lica u vezi s obradom ličnih podataka, uređuje prava lica na privatnost i obaveze onih koji podatke prikupljaju i obrađuju, te definiše nadležnosti Agencije za zaštitu ličnih podataka BiH kao nadzornog organa.  Zakon ima širi fokus od prethodnog – eksplicitno se poziva na usklađivanje sa GDPR-om i sadrži posebna pravila za obradu podataka u svrhe spriječavanja i gonjenja krivičnih djela (npr. u policijskom i pravosudnom kontekstu).

Terminologija i doseg: Usklađenost sa GDPR-om vidljiva je i kroz definicije pojmova i strukturu zakona. Uvedeni su moderni termini poput kontrolor (rukovalac) podataka i obrađivač (procesor) podataka, jasna definicija ličnog podatka i nosilaca podataka (lica na koja se podaci odnose) i drugo. Posebno je proširen domet pojma lični podaci – pored imena, adrese, identifikacionih brojeva i sličnih informacija, obuhvaćeni su i online identifikatori poput IP adrese, e-mail adrese, kolačića, kao i biometrijski podaci (npr. otisci prstiju). Time se priznaje da savremeni podaci o pojedincu uključuju i digitalne tragove i karakteristike koje ranije zakonodavstvo nije izričito navodilo.

Struktura zakona: Zakon detaljno uređuje načela obrade podataka, zakonitosti obrade (pravne osnove za obradu), obavezu pribavljanja saglasnosti u određenim slučajevima, prava nosilaca podataka, obaveze i odgovornosti kontrolora i obrađivača, uslove za prenos podataka preko granice, imenovanje službenika za zaštitu podataka (DPO), vođenje evidencija o obradi i provođenje procjene uticaja na privatnost (DPIA), mjere nadzora od strane Agencije, te predviđa sankcije za kršenje odredbi. U daljim poglavljima ovoga članka, ove ključne oblasti su obrađene pojedinačno.

Najvažnije novine u odnosu na prethodni zakon

Novi zakon donosi čitav niz značajnih novina u poređenju sa starim Zakonom iz 2006/2011, usklađujući bosanskohercegovačku regulativu sa GDPR standardima. Prethodni zakon bio je kraći i manje sveobuhvatan, te nije pratio tehnološki razvoj i GDPR zahtjeve, što je stvorilo potrebu za temeljnom reformom. Izdvajamo neke od ključnih novina novog zakona u odnosu na ranije rješenje:

Šira prava građana: Uvedena su nova prava za nosioce podataka (građane), poput prava na brisanje (“pravo na zaborav”), prava na prenosivost podataka, prava na ograničenje obrade i prava na prigovor na obradu, uključujući prigovor na automatizirano donošenje odluka. Ova prava raniji zakon nije sadržavao u ovom obimu – na primjer, pravo na prenosivost podataka i pravo na zaborav su koncepti nastali tek sa GDPR-om.

  • Nova načela obrade i “ugrađena privatnost”: Pored tradicionalnih principa zakonitosti, pravičnosti, tajnosti itd, novi zakon propisuje i principe “privatnost po dizajnu” i “privatnost po podrazumijevanoj postavci” (privacy by design & default). To znači da zaštita podataka mora biti ugrađena u sisteme i procese od samog početka – već pri dizajniranju tehnologije ili usluge predviđene su mjere za zaštitu privatnosti i ograničavanje obrade na minimum potreban. Raniji propisi nisu imali ovako eksplicitne zahtjeve.

  • Obavezno dokumentovanje i procjene rizika: Uvedena je obaveza vođenja evidencija o aktivnostima obrade podataka (za većinu organizacija, uz izuzetke za najmanje subjekte) i obaveza sprovođenja Procjene uticaja na zaštitu podataka (DPIA) za obradu koja može predstavljati visoki rizik za prava i slobode pojedinaca. Stari zakon nije poznavao DPIA niti je zahtijevao vođenje evidencija na ovako sistematičan način, što predstavlja značajno pooštravanje odgovornosti kontrolora da proaktivno ocjenjuju rizike i vode računa o usklađenosti (tzv. princip odgovornosti kontrolora – accountability).

  • Službenik za zaštitu podataka (DPO): GDPR institut DPO-a sada je ugrađen i u bosanskohercegovački zakon. Imenovanje službenika za zaštitu podataka je obavezno za određene organizacije i organe vlasti – npr. za javne institucije, za kompanije čija je osnovna djelatnost obrada velikog broja podataka ili obrada posebnih kategorija podataka (osjetljivih podataka). Ranije zakonodavstvo nije tražilo postojanje DPO-a. Dodatno, propisani su uslovi koje DPO mora ispunjavati (stručnost, sertifikacija, nezavisnost u radu, direktan kontakt sa vrhom uprave i Agencijom).

  • Obavještavanje o povredi podataka: Novi zakon uvodi obavezu da se svako ozbiljno curenje ili neovlašteni pristup ličnim podacima prijavi Agenciji u roku od 72 sata od saznanja za incident. Takođe, ako je vjerovatno da povreda stvara visok rizik za prava pojedinaca, o incidentu se mora obavijestiti i pogođene osobe (nosioce podataka). Raniji zakon nije imao ovako precizan zahtjev za prijavu povreda, što od sada kompanijama i institucijama nameće potrebu uspostave internih procedura za reagovanje na sigurnosne incidente.

  • Međunarodni protok podataka: Pravila za prenos ličnih podataka preko granice su pooštrena. Sada je eksplicitno propisano da se podaci mogu iznijeti izvan BiH samo ako država primaoca ima adekvatan nivo zaštite potvrđen od Savjeta ministara BiH (na prijedlog Agencije) ili ako su preduzete odgovarajuće zaštitne mjere poput standardnih ugovornih klauzula, ili u posebnim situacijama uz izričitu saglasnost nosioca podataka. Stari zakon je uopšteno regulisao prekogranični prenos, ali nije u detalje razradio mehanizme poput standardnih klauzula ili uslova za saglasnost, što je sada uređeno u duhu GDPR-a.

  • Imenovanje predstavnika stranih kompanija: Strana pravna lica koja nemaju sjedište u BiH, a obrađuju lične podatke građana BiH (npr. putem interneta, pružanjem usluga na daljinu), sada moraju imenovati lokalnog predstavnika u BiH kao kontaktnu tačku za nadzorni organ i subjekte podataka. Ovo odgovara članu 27 GDPR-a i ranije nije bilo zahtijevano od inostranih kompanija koje posluju na našem tržištu.

  • Veće kazne i sankcije: Kazneni režim je znatno pooštren. Propisane su upravne novčane kazne u visini do 40 miliona KM ili do 4% ukupnog godišnjeg globalnog prometa prekršioca (za pravna lica), zavisno od toga koji je iznos veći. Ovo je istovjetno modelu GDPR-a. Prethodni zakon je predviđao znatno niže kazne (reda veličine nekoliko desetina hiljada KM maksimalno), dok novi zakon jasno pokazuje da će kršenja privatnosti skupo koštati odgovorne. Pored kazni za kompanije, predviđene su kazne i za odgovorna lica u institucijama/firmama (npr. rukovodioce) u rasponu od nekoliko stotina do nekoliko hiljada KM za određene prekršaje.  Agencija za zaštitu ličnih podataka dobila je šira ovlaštenja da provodi inspekcije, naređuje mjere, pa i da izriče sankcije i zabrane obrade u slučaju kršenja – čime se obezbjeđuje snažnija provedba zakona nego ranije.

  • Zaštita djece i osjetljivih grupa: Kao posebnu novinu, zakon iz 2025. stavlja akcenat na zaštitu ličnih podataka djece. Propisano je da u kontekstu usluga informacionog društva saglasnost djeteta za obradu podataka vrijedi samo ako dijete ima najmanje 16 godina, a ispod tog uzrasta potrebna je saglasnost ili odobrenje roditelja/staratelja. Ovo praktično znači da, recimo, pružaoci online usluga moraju provjeriti dob korisnika i pribaviti roditeljsku saglasnost za maloljetnike ispod 16 godina, što staro zakonodavstvo nije jasno definisalo. Takođe, posebne kategorije podataka (poput podataka o zdravlju, biometrike, rasnom ili etničkom porijeklu, politikom opredjeljenju, seksualnoj orijentaciji itd.) uživaju pojačanu zaštitu i mogu se obrađivati samo izuzetno, pod strogim uslovima predviđenim zakonom.

Navedene novine pokazuju da je novi zakon znatno kompleksniji i stroži. U nastavku ćemo detaljnije razmotriti neka od ovih područja – načela obrade, prava građana, obaveze onih koji rukuju podacima, te kaznene odredbe – kako bismo pojasnili šta praktično znače.

Načela obrade ličnih podataka

Načela (principi) obrade predstavljaju osnovna pravila kojih se moraju pridržavati svi koji prikupljaju i obrađuju lične podatke. Novi zakon ih definira u skladu s GDPR standardom. Ključni principi su:

· Zakonitost, pravičnost i transparentnost: Podaci se moraju obrađivati na legalan način, uz poštovanje prava pojedinca i otvorenost prema nosiocu podataka o tome kako se njihovi podaci koriste.

· Ograničavanje svrhe: Podaci se smiju prikupljati samo u jasno definisane i legitimne svrhe i ne smiju se dalje obrađivati na način koji nije u skladu s tim prvobitnim svrhama.

· Minimizacija podataka: Prikuplja se samo onaj minimalni obim podataka koji je neophodan za ispunjenje određene svrhe. Obrada prekomjernih podataka koji nisu potrebni cilju je zabranjena.

· Tačnost: Lični podaci moraju biti tačni i ažurni; netačni podaci trebaju se ispraviti ili obrisati bez odlaganja.

· Ograničenje čuvanja: Podaci se čuvaju u obliku koji omogućava identifikaciju lica samo onoliko dugo koliko je potrebno radi ispunjenja svrhe. Nakon toga treba ih izbrisati ili anonimizirati, osim ako zakon ne nalaže duže čuvanje.

· Integritet i povjerljivost: Mora se osigurati odgovarajuća sigurnost podataka, uključujući zaštitu od neovlaštenog ili nezakonitog pristupa, otkrivanja, izmjene ili gubitka, primjenom tehničkih i organizacionih mjera.

· Odgovornost (accountability): Kontrolor podataka odgovoran je za poštovanje svih navedenih načela i mora biti u stanju dokazati usklađenost sa njima. Ovo je novi princip koji praktično obavezuje organizacije na vođenje evidencija i dokumentovanje svojih aktivnosti obrade.

Pored ovih opštih načela, zakon uvodi i koncept ugrađene privatnosti:
– Privatnost po dizajnu i po podrazumijevanoj postavci: Sistemi i usluge moraju biti osmišljeni tako da od samog početka štite privatnost korisnika. Podrazumijevano, treba prikupljati i obrađivati samo one podatke koji su nužni, uz najviše standarde sigurnosti. Na primjer, softver koji se koristi za obradu podataka treba imati zadane postavke koje ne omogućavaju dijeljenje podataka javno, dok korisnik ne odabere drugačije, i treba da implementira zaštite od curenja podataka već u fazi planiranja.

U praksi, ova načela zahtijevaju od svakog subjekta koji obrađuje podatke (bilo da je riječ o kompaniji, instituciji ili drugom tijelu) da uspostavi kulturu zaštite podataka: od pisanja politika privatnosti jasno i razumljivo, preko ograničavanja pristupa podacima, do redovnog pregledavanja da li se čuvaju samo potrebni podaci i da li su ažurni. Poštovanje načela je temelj zakonitosti svake obrade – kršenje principa (npr. prikupljanje previše podataka ili čuvanje duže nego što je potrebno) predstavlja i kršenje zakona.

Prava lica na koja se podaci odnose

Jedan od centralnih dijelova novog Zakona jeste katalog prava nosilaca podataka – fizičkih lica čiji se lični podaci obrađuju. Ova prava su gotovo identična pravima propisanim GDPR-om, čime se građanima BiH garantuje visok nivo kontrole nad njihovim podacima. Ključna prava uključuju:

  • Pravo na informisanje: Lica imaju pravo biti obaviještena jasno i razumljivo o tome ko, zašto i kako obrađuje njihove lične podatke. Informacije o obradi moraju biti pružene jednostavnim jezikom, bez nerazumljive pravne ili tehničke terminologije. Ovo pravo zapravo obavezuje kontrolore da pruže transparentne obavijesti o privatnosti (privacy notice) prilikom prikupljanja podataka.

  • Pravo pristupa: Nosilac podataka ima pravo da od kontrolora dobije potvrdu obrađuju li se njegovi podaci, pristup tim podacima, kao i informacije o svrsi obrade, kategorijama podataka, potencijalnim primaocima, roku čuvanja itd. (ovo je sličan institut kao “Subject Access Request” u GDPR). Kontrolor je dužan pružiti kopiju ličnih podataka koje obrađuje o tom licu.

  • Pravo na ispravku: Ako su podaci netačni ili nepotpuni, lice ima pravo zahtijevati ispravku ili dopunu tih podataka. Kontrolor mora bez nepotrebnog odlaganja izvršiti ispravku i obavijestiti lice o tome.

  • Pravo na brisanje (“pravo na zaborav”): U određenim slučajevima nosilac podataka ima pravo da traži brisanje svojih ličnih podataka. To je moguće, na primjer, ako podaci više nisu potrebni za svrhe zbog kojih su prikupljeni, ako lice povuče saglasnost na kojoj se obrada bazirala, ili ako je obrada nezakonita. Kontrolor zatim mora obrisati podatke, osim ako postoji pravna osnova koja nadjačava taj zahtjev (npr. zakonska obaveza čuvanja).

  • Pravo na ograničenje obrade: Ovo pravo omogućava licu da privremeno zaustavi obradu svojih podataka u određenim situacijama. Na primjer, ako lice osporava tačnost podataka, može zatražiti ograničenje obrade dok se ne provjeri tačnost; ili ako je obrada nezakonita, ali osoba ne želi brisanje nego samo ograničenje; ili ako kontroloru više ne trebaju podaci, ali traži se čuvanje zbog pravnih zahtjeva. Kada je obrada ograničena, podaci se smiju samo skladištiti, ali ne i dalje obrađivati (osim uz saglasnost ili za određene pravne zahtjeve).

  • Pravo na prenosivost podataka: Novo pravo koje omogućava nosiocu podataka da dobije svoje lične podatke koje je ranije pružio kontroloru u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu, te da ih prenese drugom kontroloru ako to želi. Ovo se primjenjuje kada se obrada bazira na saglasnosti ili na ugovoru i vrši automatizovano. U praksi, primjer je da korisnik može zatražiti od društvene mreže ili banke da mu da njegove podatke kako bi ih prenio drugom pružaocu usluge.

  • Pravo na prigovor: Lice ima pravo u svakom trenutku uložiti prigovor na obradu svojih podataka koja se temelji na legitimnom interesu kontrolora ili na zadatku od javnog interesa, uključujući profiliranje na tim osnovama. Nakon prigovora, kontrolor mora obustaviti obradu osim ako dokaže da ima uvjerljive legitimne razloge koji imaju prednost nad interesima i pravima lica. Posebno, pravo na prigovor na direktni marketing je apsolutno – ako osoba kaže da ne želi da se njeni podaci koriste u marketinške svrhe, kontrolor to mora poštovati. Takođe, kada je riječ o automatizovanoj obradi i profilisanju, građani imaju pravo da ne budu predmet odluke zasnovane isključivo na automatizovanoj obradi koja ima pravne ili slične značajne posljedice po njih, ako nisu dali izričitu saglasnost, uz neke izuzetke.

  • Pravo na povlačenje saglasnosti: Kada se obrada ličnih podataka zasniva na saglasnosti, nosilac podataka ima pravo povući datu saglasnost u bilo kojem trenutku. Povlačenje saglasnosti mora biti jednostavno poput davanja saglasnosti, i nakon povlačenja kontrolor više ne smije obrađivati te podatke (to ne utiče na zakonitost obrade prije povlačenja). Prije prikupljanja saglasnosti, kontrolor mora obavijestiti lice o pravu na povlačenje. Ova odredba osigurava da saglasnost bude zaista pod kontrolom pojedinca i da nije nepovratna.

Sva navedena prava kontrolor podataka je dužan omogućiti i olakšati njihovo ostvarivanje. Na zahtjev nosioca podataka, kontrolor mora bez nepotrebnog odlaganja, a najkasnije u zakonski propisanom roku (obično mjesec dana), dati odgovor na zahtjev za ostvarenje prava. Odbijanje mora biti izuzetno i obrazloženo. Uz to, nosilac podataka ima pravo podnijeti pritužbu Agenciji za zaštitu ličnih podataka ako smatra da su mu prava prekršena, i pravo na sudsko pravno sredstvo.

Ovo značajno proširenje prava građana znači da kompanije i institucije moraju uspostaviti procedure za odgovaranje na zahtjeve: npr. kako će pružiti kopiju podataka osobi koja zatraži pristup, ili kako će obrisati nečije podatke iz svojih baza. Takođe, informisanje lica kroz politike privatnosti i obavještenja mora biti u jasnom jeziku – “bez pravnih ili tehničkih izraza koje ne razumiju” – kako bi prosječan građanin znao koja prava ima i kako ih može iskoristiti.

Obaveze kontrolora podataka i kaznene odredbe

Novi zakon detaljno propisuje obaveze kontrolora (rukovalaca) podataka i obrađivača (procesora), tj. svih subjekata koji određuju svrhu obrade ili obrađuju podatke u ime kontrolora. Uvedene su kako nove tehničke i organizacione mjere koje se moraju primjenjivati, tako i proceduralne obaveze radi dokazivanja usklađenosti sa zakonom. U nastavku su najvažnije obaveze i povezane kaznene odredbe:

1. Tehničke i organizacione mjere zaštite: Kontrolori i obrađivači dužni su primijeniti odgovarajuće sigurnosne mjere za zaštitu ličnih podataka, uzimajući u obzir prirodu podataka i rizike. To uključuje mjere kao što su enkripcija, kontrola pristupa podacima, fizička sigurnost servera, redovno pravljenje backup kopija, zaštita od malicioznih programa, itd. Takođe, zakon zahtijeva uspostavljanje internih politika sigurnosti i obuku zaposlenih koji rukuju podacima. Načela privatnosti po dizajnu i po defaultu (podrazumijevanoj postavci) praktično znače da se već prilikom razvoja novih sistema ili procedura mora integrisati zaštita podataka. Kršenje ovih obaveza (npr. ako dođe do povrede podataka zbog neadekvatne sigurnosti) izlaže organizaciju novčanim sankcijama.

2. Evidencije aktivnosti obrade: Svi kontrolori trebaju voditi evidenciju o tome koje lične podatke obrađuju, u koje svrhe, na kojem pravnom osnovu, gdje se podaci čuvaju, kome se otkrivaju, koliko dugo se čuvaju, itd. Ova dokumentacija (tzv. Record of Processing Activities) može biti u pisanoj ili elektronskoj formi. Izuzetak: Za mala preduzeća do 250 zaposlenih zakon predviđa djelimično izuzeće, osim ako njihova obrada nije povremena ili uključuje osjetljive kategorije podataka ili nosi visoki rizik. Ipak, u praksi je preporučljivo da i manji subjekti vode bar osnovne evidencije. Ova obaveza ima za cilj da se u svakom trenutku može utvrditi šta se dešava s podacima unutar jedne organizacije. Nedržanje evidencije ili nekompletna evidencija može rezultirati prekršajem i novčanom kaznom.

3. Procjena uticaja na zaštitu podataka (DPIA): Kada neka aktivnost obrade može predstavljati visok rizik za prava i slobode pojedinaca (npr. uvođenje nove tehnologije praćenja, obrada velike količine osjetljivih podataka, profilisanje korisnika, biometrijska identifikacija i sl.), kontrolor je dužan prije započinjanja obrade sprovesti procjenu uticaja na zaštitu podataka. DPIA podrazumijeva detaljnu analizu: koje podatke ćemo obrađivati, zašto su potrebni, koji su potencijalni rizici po privatnost, i koje mjere ćemo preduzeti da rizike umanjimo. Ako DPIA pokaže da je rizik i dalje visok, kontrolor treba konsultovati Agenciju prije obrade. Ova obaveza je potpuno nova u našem zakonodavstvu, preuzeta iz GDPR-a, i ima svrhu preventivno djelovati da se zaštita podataka razmotri unaprijed. Neizvršavanje DPIA kada je to zakonom traženo može rezultirati znatnim kaznama.

4. Upravljanje saglasnostima: Kada se obrada temelji na saglasnosti nosilaca podataka, kontrolor mora biti u stanju dokazati da je važeća saglasnost pribavljena. Saglasnost mora biti data dobrovoljno, informisano i nedvosmisleno, najčešće pismenim ili elektronskim putem (npr. klik na “Prihvatam” uz politiku privatnosti), s tim da zahtjev za saglasnost mora biti jasan i odvojen od drugih uslova. Posebno su propisana pravila za saglasnost djece u uslugama informacionog društva – maloljetnici ispod 16 godina trebaju saglasnost roditelja/staratelja. Kontrolor mora olakšati povlačenje saglasnosti (npr. mogućnost da se korisnik u bilo kom trenutku odjavi sa newsletter liste). Slanje marketinških e-mailova (newslettera) bez prethodne saglasnosti sada je izričito zabranjeno i kažnjivo. To znači da kompanije moraju uspostaviti jasne mehanizme za prikupljanje i evidentiranje saglasnosti korisnika za različite svrhe obrade.

5. Imenovanje DPO-a: Kao što je već pomenuto u novinama, određeni subjekti moraju imenovati Službenika za zaštitu podataka. DPO može biti interno lice ili eksterno angažovan stručnjak, ali u svakom slučaju mora imati odgovarajuće kvalifikacije – znanje o propisima iz oblasti zaštite podataka i praksi, te sposobnost da prati usklađenost i savjetuje rukovodstvo. DPO je nezavisan u svom radu – ne smije biti u sukobu interesa, mora izvještavati najviši nivo uprave i ima zadatak da nadgleda poštovanje zakona, obučava osoblje i sarađuje sa Agencijom. Obaveza DPO-a se odnosi na javne organe (izuzev sudova u okviru pravosudnih poslova) i na firme čija glavna djelatnost uključuje masovnu obradu ili obradu posebnih podataka. Međutim, čak i kad zakon ne obavezuje, preporučuje se imenovanje DPO-a radi lakšeg usklađivanja i smanjenja rizika. Neimenovanje DPO-a kada je obavezan ili ometanje njegovog rada predstavlja kršenje zakona.

6. Ugovori između kontrolora i obrađivača: Kada kontrolor angažuje drugu firmu (obrađivača) da u njegovo ime obrađuje podatke (npr. cloud servisi, obrađivači platnih transakcija, CRM platforme), mora se sklopiti ugovor o obradi podataka (Data Processing Agreement). Tim ugovorom se precizira da obrađivač smije raditi isključivo prema uputama kontrolora, uz iste mjere zaštite, te se definišu odgovornosti. Obrađivač takođe snosi obaveze zaštite podataka i može odgovarati za propuste solidarnobrno sa kontrolorom ako ne poštuje ugovor.

7. Prenos podataka u inostranstvo: Već spomenuto, novi zakon zabranjuje izvoz ličnih podataka u zemlje koje nemaju adekvatan nivo zaštite, osim uz posebne mehanizme. Kontrolor mora provjeriti postoji li odluka o adekvatnosti zaštite za tu zemlju (što donosi Savjet ministara BiH na prijedlog Agencije). Ako nema, dozvoljeno je osloniti se na standardne ugovorne klauzule ili druge ugovorne/mehaničke garancije. U nedostatku i toga, jedino još pojedinačni izuzeci (poput izričite saglasnosti lica za specifični prijenos) mogu opravdati prijenos. Za firme to znači da korištenje cloud usluga ili slanje podataka partnerima van BiH zahtijeva pravni osnov – često će to biti standardne klauzule u ugovorima sa tim partnerima. Nepoštovanje ovih odredbi također je podložno sankcijama.

8. Saradnja sa Agencijom i nadzor: Kontrolori i obrađivači obavezni su sarađivati sa Agencijom za zaštitu ličnih podataka, koja ima nadležnost da vrši inspekcijski nadzor, postupa po pritužbama građana i nalaže mjere. Novi zakon izričito ovlašćuje Agenciju da donosi rješenja o zabrani obrade, da naređuje ispravku ili brisanje podataka, i da izriče upravne kazne za prekršaje. Organizacije su dužne omogućiti Agenciji pristup informacijama i prostorijama kada vrši nadzor, inače krše zakon.

9. Kaznene odredbe: Kao što je već naglašeno, zakon uvodi razine kazni slične GDPR-u. Najveći prekršaji (kršenje osnovnih načela, nezakonita obrada, povreda prava nosilaca podataka, nepoštivanje naredbi Agencije, nezakonit međunarodni prijenos itd.) mogu dovesti do kazne i do 40.000.000 KM ili 4% ukupnog godišnjeg prometa kompanije – šta god da je veći iznos. Za neke manje prekršaje (npr. neodgovaranje na zahtjev lica u propisanom roku, manji propusti u dokumentaciji) predviđene su niže kazne, ali i one mogu biti vrlo značajne (npr. do 10 ili 20 miliona KM zavisno od kategorije prekršaja, prema tekstu zakona). Odgovorna fizička lica u kompaniji ili instituciji mogu biti kažnjena globom od nekoliko stotina do nekoliko hiljada KM. Bitno je napomenuti da se kazne odmjeravaju vodeći računa o okolnostima – težini i trajanju prekršaja, broju pogođenih lica, stepenu krivice, preduzetim mjerama ublažavanja, prethodnim prekršajima i nivou saradnje sa Agencijom. Dakle, ako dođe do kršenja, aktivna saradnja sa nadzornim organom i brza reakcija mogu uticati na blažu sankciju, dok ignorisanje ili opstrukcija gotovo sigurno vode strožijim kaznama.

Takođe, određene radnje nezakonite obrade mogu povlačiti i krivičnu odgovornost prema krivičnim zakonima (npr. neovlašteno korištenje ličnih podataka može biti krivično djelo), što je odvojeno od samog Zakona o zaštiti podataka. No, primarna provedba ide preko Agencije i prekršajnih kazni. Poruka zakonodavca je jasna – usklađenost nije izbor nego obaveza, a ulaganje u zaštitu podataka je mnogo isplativije od plaćanja kazni.

Usklađenost sa EU standardima (GDPR)

Novi Zakon o zaštiti ličnih podataka BiH je napisan po uzoru na GDPR i gotovo u potpunosti preslikava njegove ključne odredbe. Time je BiH ispunila jedan od važnih uslova na putu ka evropskim integracijama – usvajanje modernog zakonodavstva o zaštiti podataka. Evo nekoliko napomena o odnosu novog zakona i GDPR-a:

  • Suštinsko podudaranje: Struktura, načela obrade, prava pojedinaca, obaveze kontrolora/obrađivača i instituti poput DPO-a, DPIA, evidencija aktivnosti, prijave povrede, međunarodni transferi i dr. u suštini su identični GDPR regulativi. Dakle, kompanija koja je usklađena sa GDPR-om u velikoj mjeri već ispunjava i zahtjeve bh. zakona (uz manje lokalne specifičnosti).

  • Teritorijalni doseg: GDPR se primjenjuje u cijeloj EU, dok je Zakon BiH naravno nacionalni propis. Ipak, Zakon ima ekstrateritorijalni doseg sličan GDPR-u – odnosi se i na strana lica koja obrađuju podatke građana BiH (zbog čega se traži imenovanje predstavnika). To znači da i inostrane kompanije koje targetiraju bosanskohercegovačko tržište moraju poštovati ove standarde.

  • Predstavnik stranog kontrolora: Obaveza imenovanja predstavnika u BiH za inostrane kompanije (član 27. GDPR-a) preuzeta je i u našem zakonu. Time se omogućava Agenciji da efektivno nadzire i one kontrolore koji nemaju fizičko prisustvo u BiH.

  • Kazneni okvir: Kazne su formalno izražene u domaćoj valuti (konvertibilnim markama) i pragovi su postavljeni (npr. 40 miliona KM), ali je mehanizam identičan GDPR-u – do 4% globalnog prometa za najteže prekršaje. Dakle, veliki međunarodni subjekti ne mogu izbjeći kaznenu odgovornost tvrdeći da im je bh. promet mali; računa se ukupni promet, što je značajno za big tech kompanije.

  • Lokalno prilagođavanje: Zakon BiH ponegdje sadrži odredbe prilagođene našem pravnom sistemu. Npr. precizira se nadležnost Agencije i postupanje u okviru BiH institucija, takođe su obuhvaćeni i subjekti na entitetskom i Brčko distrikta nivou. Takođe, uključene su odredbe o obradi podataka u pravosudne svrhe i saradnji između Agencije i organa gonjenja, što GDPR direktno ne pokriva (EU ima posebnu direktivu za policijski i pravosudni sektor). Ipak, u pogledu komercijalnih i opštih obrada, može se reći da novi zakon gotovo u potpunosti prati evropske najbolje prakse.

Sve ovo znači da se bosanskohercegovačke kompanije, institucije i drugi subjekti sada moraju ponašati praktično kao i subjekti u EU u pogledu zaštite podataka. Za firme koje posluju internacionalno, usklađivanje će biti olakšano jer je jedinstven set pravila; za domaće firme koje dosad nisu morale ispunjavati GDPR, ovo je velika promjena i zahtijeva značajno prilagođavanje.

Zaključak

Novi Zakon o zaštiti ličnih podataka BiH donosi modernizaciju i puno strožije standarde u oblast zaštite privatnosti. Usklađen s GDPR-om, on građanima daje šira prava i kontrolu nad njihovim podacima, a od kompanija i institucija zahtijeva viši nivo odgovornosti i transparentnosti u obradi podataka. Ključne promjene poput uvođenja prava na zaborav, obaveznih sigurnosnih mjera, DPO funkcije, prijave incidenata i drastično većih kazni jasno stavljaju do znanja da zaštitu podataka treba shvatiti ozbiljno. Ovo je ujedno i korak BiH ka EU – ispunjenje evropskih uslova i približavanje standardima koji važe u zemljama članicama.

Za privredne subjekte, institucije i druge organizacije, period do oktobra 2025. je vrijeme za prilagođavanje. Preporučuje se da svi koji obrađuju lične podatke preispitaju svoje prakse i usklade ih sa novim zakonom. To podrazumijeva, između ostalog: izradu ili ažuriranje politika privatnosti i evidencija obrade, edukaciju osoblja o novim pravilima, uvođenje tehničkih mjera zaštite, imenovanje službenika za zaštitu podataka ako je potrebno, uspostavu procedura za ostvarivanje prava građana i prijavu incidenata, te reviziju svih ugovora i transfera podataka ka inostranstvu. Ulaganje truda u usklađivanje neće samo izbjeći kazne već i donijeti dugoročnu korist – veće povjerenje korisnika/klijenata i sigurniji poslovni procesi.

Novi zakon značajno podiže ljestvicu zaštite podataka u BiH. Iako predstavlja izazov za poslovanje i administraciju, njegovo stupanje na snagu je pozitivan korak ka jačanju prava građana i izgradnji kulture privatnosti. Time BiH staje rame uz rame sa državama EU u pogledu regulative privatnosti, što je od koristi i građanima i poslovnom okruženju na duge staze. Pravovremeno usklađivanje i ozbiljno shvatanje ovih obaveza biće najbolji način da se izbjegnu neugodne sankcije i osigura zakonita obrada podataka u budućnosti.

/ / /

"Standard Prva" d.o.o. Bijeljina je kompanija registrovana u Bijeljini pri Okružnom privrednom sudu u Bijeljini. Djelatnosti kompanije su računovodstvo, otkupi potraživanja, angel investing i druge povezane usluge. Distressed debt je dio grupacije u okviru koga firma otkupljuje potraživanja koja funkcionišu i ne vraćaju se redovno.

AK Stevanović je vodeća advokatska kuća u regionu sa sjedištem u Bijeljini. Skraćenica predstavlja Advokatsku kancelariju Stevanović Vesne i Advokatsku kancelariju Stevanović Miloša.

Kontakt za medije press@advokati-stevanovic.com ili putem telefona 00 387 55 230 000 kao i na 00387 55 22 4444

Naši brendovi i biznisi
O korporaciji
standard prva logo
Korporacija registrovana u Bijeljini u ul. Nikole Tesle br. 10
Republika SrpskaBosna i Hercegovina
00 387 55 23 000000 387 55 22 4444

Copyright (c) Standard Prva d.o.o. Bijeljina 2024. Sva prava zadržana. Advokatske usluge pružaju se isključivo od strane Advokatske kancelarije Stevanović Vesne ili Stevanović Miloša iz Bijeljine. Usluge za računovodstvo pruža "Standard Prva" d.o.o. Sekretarske i povezane usluge pruža "United Development" d.o.o. Bijeljina.