DPA - Da li ga imate, i zašto ne?

Šta je ugovor o obradi podataka?

Ugovor o obradi podataka je ugovor između a kontrolora (vaša kompanija — ona koja odlučuje zašto i kako se koriste lični podaci) i a obrađivača (bilo koja vanjska strana koja obrađuje te podatke u vaše ime). Ovim ugovorom se utvrđuju osnovna pravila: koji se podaci obrađuju, u koju svrhu, koliko dugo, koje sigurnosne mjere moraju biti na snazi i šta se dešava s podacima kada odnos prestane.

Zamislite to ovako: ako nekome predate ključeve svoje baze podataka o kupcima, DPA je pisani sporazum koji tačno navodi šta oni mogu (smiju), a šta ne smiju raditi s tim podacima.

Pravna osnova za ovaj zahtjev jeČlan 30 novog zakona, koji detaljno propisuje šta takav sporazum mora sadržavati i koje obaveze procesor preuzima.

Zašto novi zakon mijenja sve

Prethodni okvir zaštite podataka Bosne i Hercegovine (iz 2006. godine) nije zahtijevao ovakav formalni sporazum između kontrolora i obrađivača. Kompanije su mogle (i jesu) dijeliti lične podatke s vanjskim pružateljima usluga na osnovu tek općeg ugovora o uslugama.

Novi zakon to potpuno mijenja. On je u velikoj mjeri modeliran po uzoru na EU-ov GDPR članak 28., kojim se zahtijeva da svaki odnos između kontrolora i procesora bude uređen pisanim sporazumom.

Evo i svijetle strane: ako vaša kompanija već posluje s partnerima iz EU, velika je vjerovatnoća da za te odnose već imate DPA u skladu s GDPR-om. Budući da novi zakon u BiH u velikoj mjeri odražava zahtjeve GDPR-a, Ti postojeći sporazumi vjerovatno pokrivaju većinu onoga što vam je potrebno.. Praznina je obično u vašim odnosima s domaćim procesorima — lokalnom IT kompanijom, računovodstvenom firmom, pružateljem HR softvera.

Da li vam je zaista potreban? (ukratko: vjerovatno da)

Ovdje se većina kompanija iznenadi. Kad čujete “obrađivač podataka”, možda zamislite veliku outsourcing firmu koja obrađuje milione zapisa. U stvarnosti je definicija mnogo šira. Evo svakodnevnih odnosa koji gotovo sigurno zahtijevaju DPA:

• Pružatelji usluga u oblaku i SaaS — Microsoft 365, Google Workspace, AWS ili bilo koji cloud hosting na kojem se pohranjuju lični podaci
• Vanjsko knjigovodstvo i obračun plata — vaš računovođa obrađuje podatke o platama zaposlenika, porezne identifikacijske brojeve i bankovne podatke
• IT podrška i upravljane usluge — ako mogu daljinski pristupiti vašim sistemima, mogu pristupiti ličnim podacima
• Marketinški alati i CRM platforme — Mailchimp, HubSpot ili bilo koji alat za upravljanje kontakt podacima kupaca
• Softver za ljudske resurse — platforme za vođenje evidencije o zaposlenicima, upravljanje odsustvima, podatke o zapošljavanju
• Pružatelji fizičke sigurnosti — ako treća strana upravlja vašim CCTV sistemom, ona obrađuje lične podatke

Pravilo je jednostavno: ako neko izvan vaše organizacije obrađuje lične podatke u vaše ime, potreban vam je DPA.

I na tome ne prestaje. Zakon također obuhvata podizvođače tj. ako vaš procesor angažuje drugog procesora (npr. vaš IT pružatelj usluga koristi uslugu u oblaku po ugovoru o podugovoru), taj odnos također mora biti obuhvaćen. Vaš procesor ne može angažovati podprocesora bez vaše prethodne pismene saglasnosti, a iste obaveze zaštite podataka moraju se prenijeti niz lanac dobavljača.

Šta mora biti u sporazumu

Član 30 novog Zakona o zaštiti ličnih podataka je prilično precizan u pogledu onoga što DPA mora uključivati. Pojednostavljeno, obrađivač se obavezuje:

• Slijediti samo vaše upute. — obrađivati podatke isključivo na osnovu vaših dokumentovanih uputa, ništa više
• Osigurati povjerljivost — sve osobe s pristupom podacima moraju biti obavezane obavezama povjerljivosti
• Implementirati odgovarajući nivo sigurnosti — primijeniti odgovarajuće tehničke i organizacione mjere za zaštitu podataka (zakon ih detaljno navodi u članu 34)
• Poštivati pravila vezana za angažovanje podprocesora — ne zapošljavati dodatne obrađivače bez vašeg pismenog pristanka
• Pomagati vam u odgovaranju na zahtjeve nosioca ličnih podataka (osoba) — ako korisnik zatraži da vidi ili izbriše svoje podatke, obrađivač mu mora pomoći
• Brisanje ili povrat podatak nakon prekida ugovornog odnosa — po završetku usluge, procesor mora ili izbrisati sve lične podatke ili vam ih vratiti
• Omogućavati audite i provjere — vi (ili revizor kojeg imenujete) morate biti u mogućnosti da pregledate i provjerite usklađenost

Ako ova lista izgleda poznato svima koji su se bavili GDPR-om, to je zato što je u suštini ista. Hrvatska agencija za zaštitu podataka (AZOP) je čak objavila predložak DPA-e, a budući da oba zakona dijele istu DNK (GDPR), to je koristan referentni okvir koji možete iskoristiti. Bosanskohercegovačka Agencija za zaštitu ličnih podataka može u budućnosti izdati vlastite standardne ugovorne klauzule (zakon to izričito dopušta), ali za sada ćete morati sastaviti vlastite ili prilagoditi postojeći predložak neke druge agencije za zaštitu ličnih podataka.

Šta se dešava ako ga nemate?

Osim očiglednog pravnog rizika prema novom zakonu, vrijedi razmisliti o praktičnim posljedicama. Ako obrađivač nepravilno postupa s ličnim podacima i nema uspostavljenog DPA-a, vi kao kontrolor imate nemate ugovorne osnove da ih držite odgovornima. Vi ste izloženi, kao i ljudi čiji su podaci kompromitovani.

Postoji i rastuća komercijalna stvarnost. EU kompanije (posebno one koje podliježu NIS2 regulativi ili zahtjevima GDPR-a u lancu snabdijevanja) imaju sve veće pritiske regulatora da od partnera i dobavljača traže da dokažu da su odgovarajući DPA uspostavljeni. Ako radite s klijentima u Hrvatskoj, Sloveniji, Njemačkoj ili bilo gdje u EU, nedostatak DPA-a vas može koštati poslovanja, a ne samo novčane kazne.

Jednostavnije je nego što zvuči

Ako vam je sve ovo previše, udahnite. Dobro sastavljen DPA je uglavnom jednokratna aktivnost za pojedinačne procesore. Kad jednom utvrdite ko obrađuje lične podatke u vaše ime i sklopite ugovore, zaštićeni ste (naravno, uz povremene preglede u slučaju da se odnosi ili usluge promijene).

Prvi korak je jednostavan: Napravite popis svih vanjskih strana koje imaju pristup ličnim podacima u vašoj organizaciji.Vjerovatno ćete biti iznenađeni koliko je ta lista duga. Nakon pristupite izradi sporazuma koji ispunjavaju zakonske zahtjeve i njihovom potpisivanju prije oktobra 2025.

Ako želite pomoć pri mapiranju vaših odnosa s procesorima ili izradi DPA-a koji zaista ispunjavaju zahtjeve novog zakona, rezervišite besplatnu 30-minutnu konsultaciju - tu smo da vam pomognemo da odgonetnete gdje se nalazite i šta je sljedeći korak.