U januaru 2025. godine, Bosna i Hercegovina je usvojila novi Zakon o zaštiti ličnih podataka, donoseći značajne promjene u načinu na koji organizacije prikupljaju, koriste i štite lične podatke. Ključni cilj novog zakona je usklađivanje s Općom uredbom o zaštiti podataka (GDPR) Evropske unije, što znači da organizacije sada moraju ispuniti strože zahtjeve kako bi osigurale zakonitu obradu podataka i zaštitu privatnosti građana.
S obzirom na to da je prethodni zakon iz 2006. godine bio zastario i nije odgovarao savremenim izazovima digitalnog poslovanja, nova regulativa uvodi dodatna prava za građane, povećane obaveze za organizacije i veće kazne za neusklađenost..
Ključne promjene koje donosi novi zakon
Za razliku od ranijih propisa, novi zakon donosi jasnije definisane obaveze organizacija i prava građana, uz posebnu pažnju na transparentnost i sigurnost obrade ličnih podataka.
Prava građana sada uključuju:
- Pravo na pristup vlastitim podacima i njihovu ispravku.
- Pravo na brisanje podataka (pravo na zaborav), uz određene izuzetke.
- Pravo na ograničenje obrade, što omogućava privremeno suspendiranje upotrebe podataka.
- Pravo na prenosivost podataka, odnosno mogućnost prenosa podataka drugom pružatelju usluga.
- Pravo na prigovor na obradu podataka, uključujući automatizirano donošenje odluka.
Organizacije sada imaju obavezu:
- Obradu podataka učiniti transparentnijom i jasnije informisati korisnike o njihovim pravima.
- Implementirati tehničke i organizacijske mjere zaštite podataka, u skladu s principima privatnosti već u dizajnu usluge (privacy by design) i privatnosti kao zadane postavke (privacy by default).
- Voditi evidenciju aktivnosti obrade podataka.
- Prijaviti svaku povredu podataka Agenciji za zaštitu ličnih podataka u roku od 72 sata.
Osim toga, novi zakon uvodi i obavezu imenovanja službenika za zaštitu podataka (DPO - Data Protection Officer) u organizacijama koje obrađuju osjetljive podatke ili podatke velikog broja korisnika. DPO ima ključnu ulogu u osiguravanju usklađenosti organizacije sa zakonom, ali i kao kontakt tačka između kompanije, regulatora i pojedinaca čiji se podaci obrađuju.
Kako se uskladiti sa zakonom?
Mnoge organizacije u BiH se prvi put susreću s kompleksnim zahtjevima zaštite ličnih podataka i nisu sigurne kako ih primijeniti u praksi. Iako implementacija ISO 27701 standarda predstavlja dugoročno optimalno rješenje, nije nužan prvi korak za svaku kompaniju.
Consalta nudi konkretnu podršku u procesu usklađivanja sa novim zakonom, uključujući:
- Izradu dokumentacije za zaštitu podataka – politike privatnosti, procedure za obradu podataka, evidencije aktivnosti obrade i druge ključne dokumente.
- Procjenu trenutnog stanja i identifikaciju neusklađenosti – pregled postojeće prakse i definisanje koraka za postizanje potpune usklađenosti.
- Savjetovanje o tehničkim i organizacijskim mjerama zaštite podataka – kako bi organizacije osigurale adekvatan nivo sigurnosti i ispunile zakonske zahtjeve.
- Usluge eksternog službenika za zaštitu podataka (DPO) – novi zakon omogućava organizacijama da angažuju eksternog stručnjaka umjesto da interno zapošljavaju osobu na ovoj poziciji. Ovo je isplativo rješenje za firme koje nemaju resurse za vlastiti DPO tim, a ipak žele osigurati usklađenost i imati stručnu podršku u slučaju inspekcija i zahtjeva regulatora.
ISO 27701 kao dugoročno rješenje za zaštitu podataka
Za organizacije koje traže sistematičan pristup zaštiti podataka, ISO 27701 pruža sveobuhvatan okvir za usklađenost s novim zakonom i GDPR-om. Ovaj standard proširuje ISO 27001 i ISO 27002, nudeći jasne smjernice za upravljanje privatnošću i sigurnost ličnih podataka.
Prednosti ISO 27701 standarda uključuju:
- Jasno definisane odgovornosti za obradu i zaštitu podataka.
- Strukturiran pristup procjeni rizika i planiranju zaštitnih mjera.
- Dokumentovane aktivnosti obrade podataka, čime se olakšava dokazivanje usklađenosti kod regulatorne agencije.
- Jačanje povjerenja korisnika i poslovnih partnera kroz međunarodno prepoznat certifikat.
ISO 27701 nije samo tehnički alat – to je strateški pristup koji omogućava organizacijama da proaktivno upravljaju privatnošću i smanje rizike od pravnih posljedica.
Za detaljnije informacije o ISO 27701 standardu i načine na koji Consalta može pomoći u njegovoj implementaciji, posjetite našu stranicu ISO 27701 – Sistem upravljanja privatnošću informacija.
Primjer iz prakse: Sarajevo International Airport
Jedan od prvih subjekata u BiH koji je implementirao ISO 27701 standard je Međunarodni aerodrom Sarajevo. Ova inicijativa omogućila je aerodromu da unaprijedi svoje prakse zaštite podataka, uskladi se s GDPR-om i novim zakonom, te minimizira pravni i operativni rizik.
Kao organizacija koja upravlja velikim količinama osjetljivih podataka, Međunarodni aerodrom Sarajevo je implementacijom ISO 27701 osigurao povjerenje putnika i partnera, postavljajući primjer za druge organizacije koje žele podići nivo sigurnosti podataka.
Više o ovom projektu možete pročitati u našem nedavnom postu Postavljanje novih standarda zaštite podataka na Sarajevskom aerodromu
Zaključak: usklađenost nije opcija, već obaveza
Usvajanje novog Zakona o zaštiti ličnih podataka predstavlja ključni korak ka jačanju privatnosti i sigurnosti podataka u BiH, ali istovremeno postavlja visoke zahtjeve pred organizacije. Pitanja kao što su imenovanje DPO-a, izrada politika privatnosti, sigurna obrada podataka i prijava povreda sada nisu samo preporuke, već zakonske obaveze.
Organizacije imaju više puteva ka usklađenosti—od pravnih konsultacija i razvoja dokumentacije do usvajanje ISO 27701 kao dugoročnu strategiju zaštite podataka.
Consalta nudi prilagođena rješenja za usklađivanje s novim zakonom – bilo da vam je potreban stručan savjet, kompletna strategija zaštite podataka ili usluga eksternog DPO-a, naš tim vam može pomoći da izbjegnete pravne rizike i osigurate povjerenje vaših klijenata i partnera.
Za više informacija o usklađivanju s novim zakonom, kontaktirajte nas putem naše kontakt stranice..