U januaru 2025. godine, Bosna i Hercegovina je usvojila novi Zakon o zaštiti ličnih podataka, donoseći značajne promjene u načinu na koji organizacije prikupljaju, koriste i štite lične podatke. Ključni cilj novog zakona je usklađivanje s Općom uredbom o zaštiti podataka (GDPR) Evropske unije, što znači da organizacije sada moraju ispuniti strože zahtjeve kako bi osigurale zakonitu obradu podataka i zaštitu privatnosti građana.
S obzirom na to da je prethodni zakon iz 2006. godine bio zastario i nije odgovarao savremenim izazovima digitalnog poslovanja, nova regulativa uvodi dodatna prava za građane, povećane obaveze za organizacije i veće kazne za neusklađenost..
Ključne promjene koje donosi novi zakon
Za razliku od ranijih propisa, novi zakon donosi jasnije definisane obaveze organizacija i prava građana, uz posebnu pažnju na transparentnost i sigurnost obrade ličnih podataka.
Prava građana sada uključuju:
- Pravo na pristup vlastitim podacima i njihovu ispravku.
- Pravo na brisanje podataka (pravo na zaborav), uz određene izuzetke.
- Pravo na ograničenje obrade, što omogućava privremeno suspendiranje upotrebe podataka.
- Pravo na prenosivost podataka, odnosno mogućnost prenosa podataka drugom pružatelju usluga.
- Pravo na prigovor na obradu podataka, uključujući automatizirano donošenje odluka.
Organizacije sada imaju obavezu:
- Obradu podataka učiniti transparentnijom i jasnije informisati korisnike o njihovim pravima.
- Implementirati tehničke i organizacijske mjere zaštite podataka, u skladu s principima privatnosti već u dizajnu usluge (privacy by design) i privatnosti kao zadane postavke (privacy by default).
- Voditi evidenciju aktivnosti obrade podataka.
- Prijaviti svaku povredu podataka Agenciji za zaštitu ličnih podataka u roku od 72 sata.
Osim toga, novi zakon uvodi i obavezu imenovanja službenika za zaštitu podataka (DPO - Data Protection Officer) u organizacijama koje obrađuju osjetljive podatke ili podatke velikog broja korisnika. DPO ima ključnu ulogu u osiguravanju usklađenosti organizacije sa zakonom, ali i kao kontakt tačka između kompanije, regulatora i pojedinaca čiji se podaci obrađuju.
Kako se uskladiti sa zakonom?
Mnoge organizacije u BiH se prvi put susreću s kompleksnim zahtjevima zaštite ličnih podataka i nisu sigurne kako ih primijeniti u praksi. Iako implementacija ISO 27701 standarda predstavlja dugoročno optimalno rješenje, nije nužan prvi korak za svaku kompaniju.
Consalta nudi konkretnu podršku u procesu usklađivanja sa novim zakonom, uključujući:
- Izradu dokumentacije za zaštitu podataka – politike privatnosti, procedure za obradu podataka, evidencije aktivnosti obrade i druge ključne dokumente.
- Procjenu trenutnog stanja i identifikaciju neusklađenosti – pregled postojeće prakse i definisanje koraka za postizanje potpune usklađenosti.
- Savjetovanje o tehničkim i organizacijskim mjerama zaštite podataka – kako bi organizacije osigurale adekvatan nivo sigurnosti i ispunile zakonske zahtjeve.
- Usluge eksternog službenika za zaštitu podataka (DPO) – novi zakon omogućava organizacijama da angažuju eksternog stručnjaka umjesto da interno zapošljavaju osobu na ovoj poziciji. Ovo je isplativo rješenje za firme koje nemaju resurse za vlastiti DPO tim, a ipak žele osigurati usklađenost i imati stručnu podršku u slučaju inspekcija i zahtjeva regulatora.
ISO 27701 kao dugoročno rješenje za zaštitu podataka
For organizations looking for a systematic approach to data protection, ISO 27701 provides a comprehensive framework for compliance with the new law and GDPR. This standard extends ISO 27001 and ISO 27002, offering clear guidelines for privacy management and personal data security.
Prednosti ISO 27701 standarda uključuju:
- Jasno definisane odgovornosti za obradu i zaštitu podataka.
- Strukturiran pristup procjeni rizika i planiranju zaštitnih mjera.
- Dokumentovane aktivnosti obrade podataka, čime se olakšava dokazivanje usklađenosti kod regulatorne agencije.
- Jačanje povjerenja korisnika i poslovnih partnera kroz međunarodno prepoznat certifikat.
ISO 27701 nije samo tehnički alat – to je strateški pristup koji omogućava organizacijama da proaktivno upravljaju privatnošću i smanje rizike od pravnih posljedica.
Za detaljnije informacije o ISO 27701 standardu i načine na koji Consalta može pomoći u njegovoj implementaciji, posjetite našu stranicu ISO 27701 – Sistem upravljanja privatnošću informacija.
Primjer iz prakse: Sarajevo International Airport
Jedan od prvih subjekata u BiH koji je implementirao ISO 27701 standard je Međunarodni aerodrom Sarajevo. Ova inicijativa omogućila je aerodromu da unaprijedi svoje prakse zaštite podataka, uskladi se s GDPR-om i novim zakonom, te minimizira pravni i operativni rizik.
Kao organizacija koja upravlja velikim količinama osjetljivih podataka, Međunarodni aerodrom Sarajevo je implementacijom ISO 27701 osigurao povjerenje putnika i partnera, postavljajući primjer za druge organizacije koje žele podići nivo sigurnosti podataka.
Više o ovom projektu možete pročitati u našem nedavnom postu Postavljanje novih standarda zaštite podataka na Sarajevskom aerodromu
Zaključak: usklađenost nije opcija, već obaveza
Usvajanje novog Zakona o zaštiti ličnih podataka predstavlja ključni korak ka jačanju privatnosti i sigurnosti podataka u BiH, ali istovremeno postavlja visoke zahtjeve pred organizacije. Pitanja kao što su imenovanje DPO-a, izrada politika privatnosti, sigurna obrada podataka i prijava povreda sada nisu samo preporuke, već zakonske obaveze.
Organizations have multiple paths to compliance—from legal consulting and documentation development to adopting ISO 27701 as a long-term data protection strategy.
Consalta nudi prilagođena rješenja za usklađivanje s novim zakonom – bilo da vam je potreban stručan savjet, kompletna strategija zaštite podataka ili usluga eksternog DPO-a, naš tim vam može pomoći da izbjegnete pravne rizike i osigurate povjerenje vaših klijenata i partnera.
Za više informacija o usklađivanju s novim zakonom, kontaktirajte nas putem naše kontakt stranice..