Obavezno usklađivanje poslovanja sa novim Zakonom o zaštiti ličnih podataka

Published On -

Biro Cool Obavijest, Zakoni
Zaštita ličnih podataka

Poštovani,
U skladu sa novousvojenim Zakonom o zaštiti ličnih podataka (“Službeni glasnik BiH”, broj 12/2025 od 28. februara 2025. godine), koji je stupio na snagu 8. marta 2025. godine, ovim putem obavještavamo sva pravna lica da su dužna uskladiti svoje poslovanje sa odredbama ovog zakona.
VAŽNO: Zakon se u potpunosti primjenjuje od 4. oktobra 2025. godine (210 dana od stupanja na snagu), te preostaje ograničen rok za sveobuhvatno usklađivanje.
Novi zakon je usklađen sa Uredbom (EU) 2016/679 – Opća uredba o zaštiti podataka (GDPR) i Policijskom direktivom EU, što znači najstrožije standarde zaštite privatnosti građana.
OBAVEZNE MJERE KOJE PRAVNA LICA MORAJU PODUZETI


  1. Utvrđivanje zakonitog osnova za obradu podataka
Obrada ličnih podataka je zakonita samo ako je ispunjen najmanje jedan od sljedećih uslova:
    • Nosilac podataka je dao saglasnost za obradu,
    • Obrada je neophodna radi izvršenja ugovora,
    • Obrada je neophodna radi poštovanja pravnih obaveza,
    • Obrada je neophodna radi zaštite ključnih interesa nosioca podataka,
    • Obrada se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlaštenja
  2. Obrada je neophodna zbog legitimnih interesa kontrolora podataka
  1. Vođenje evidencije o aktivnostima obrade
    Kontrolori i obrađivači podataka moraju voditi detaljnu evidenciju o aktivnostima obrade koja sadrži: opis radnji obrade, svrhu obrade, vrste ličnih podataka, kategorije nosilaca podataka, primaoce podataka i rokove čuvanja.
  2. Imenovanje službenika za zaštitu podataka (DPO)
    Za određene kontrolore uvodi se obaveza imenovanja službenika za zaštitu podataka, posebno za javne organe i subjekte koji obrađuju velike količine osjetljivih podataka.
  3. Obrada posebnih kategorija ličnih podataka
    Posebne kategorije podataka (rasno ili etničko porijeklo, politička mišljenja, vjerska uvjerenja, zdravstveni podaci, biometrijski i genetski podaci) mogu se obrađivati samo uz izričitu saglasnost ili na osnovu posebnih zakonskih osnova.
  4. Implementacija tehničkih i organizacionih mjera zaštite
    Kontrolori i obrađivači moraju primjenjivati odgovarajuće tehničke i organizacione mjere tako da obrada bude u skladu sa zahtjevima zakona i da se osigurava zaštita prava nosilaca podataka.
    Ovo uključuje:
    Zaštitu od neovlaštenog pristupa
    Enkripciju osjetljivih podataka
    Redovne sigurnosne kopije
    Kontrolu pristupa podacima
    Fizičku i tehničku zaštitu servera i baza podataka
  5. Osiguranje prava nosilaca podataka
    Pravna lica moraju omogućiti građanima ostvarivanje sljedećih prava:
    Pravo na informisanost o obradi
    Pravo na pristup ličnim podacima
    Pravo na ispravku netačnih podataka
    Pravo na brisanje podataka (“pravo na zaborav”)
    Pravo na prigovor obradi podataka
  6. Obavještavanje o povredi sigurnosti podataka
    U slučaju povrede ličnih podataka, kontrolor je dužan, bez nepotrebnog odgađanja, obavijestiti Agenciju za zaštitu ličnih podataka. U određenim okolnostima postoji i obaveza obavještavanja nosilaca podataka ukoliko je došlo do povrede njihovih ličnih podataka.
  7. Ugovorni odnosi sa obrađivačima
    Obrada koju obavlja obrađivač mora biti uređena ugovorom ili drugim pravnim aktom u kojem se navode predmet i trajanje obrade, priroda i svrha obrade, vrsta ličnih podataka i kategorije nosilaca podataka, kao i obaveze i prava kontrolora podataka.
  8. Procjena uticaja na zaštitu podataka (DPIA)
    Procjena uticaja na zaštitu podataka služi identifikovanju rizika, a u cilju smanjenja rizika po podatke. Mora sadržavati opis radnji obrade, svrhu obrade, procenu neophodnosti, procenu rizika po prava lica i predviđene mere za smanjenje rizika.
  9. Izrada obavezne dokumentacije
    Pravna lica moraju izraditi sljedeću dokumentaciju:
    Kodeks ponašanja (Pravilnik o zaštiti podataka)
    Politiku privatnosti
    Obaviještenja o obradi podataka (saglasnosti)
    Procjenu uticaja na zaštitu podataka
    Evidenciju o obradi podataka
  10. Ograničeno čuvanje i princip minimizacije
    Podaci se smiju prikupljati isključivo u određene, izričite i zakonite svrhe i ne smiju se koristiti na način koji nije u skladu s tim svrhama. Podaci ne smiju biti čuvani duže nego što je potrebno za svrhu zbog koje su prikupljeni.
  11. Imenovanje predstavnika za strane kompanije
    Kompanije koje djeluju u inostranstvu, a vrše obradu ličnih podataka građana BiH, moraju imenovati predstavnike za Bosnu i Hercegovinu.
  12. Obuka zaposlenih
    Svi zaposleni koji rade sa ličnim podacima moraju biti adekvatno obučeni o principima i pravilima zaštite podataka. Zaštita ličnih podataka nije mrtvo slovo na papiru – implementacija dokumentacije i bezbednosnih mera mora biti funkcionalna.
    KAZNE ZA NEUSKLAĐENOST
    Novi zakon propisuje EKSTREMNO VISOKE novčane kazne:
    Za teže prekršaje:
    Pravna lica: od 20.000 KM do 40.000.000 KM ili do 4% ukupnog godišnjeg prometa
    Odgovorno lice: od 5.000 KM do 70.000 KM
    Za lakše prekršaje:
    Pravna lica: od 10.000 KM do 20.000.000 KM ili do 2% godišnjeg prometa
    Zaposleno lice: od 500 KM do 5.000 KM
    Prilikom određivanja kazne, Agencija razmatra: prirodu, težinu i trajanje povrede, obim obrade, broj nosilaca podataka, stepen pretrpljene štete, te da li je povreda nastala namjerno ili iz nepažnje.
    ROK ZA USKLAĐIVANJE
    Prelazni period traje 210 dana od stupanja zakona na snagu, što znači da potpuna primjena počinje 4. oktobra 2025. godine.
    Međutim, Agencija za zaštitu ličnih podataka (AZLP) može sprovesti kontrolu i izreći mjere i prije isteka 210 dana, imajući u vidu da je BiH i prije ovog zakona imala zakon koji je regulisao zaštitu podataka.
    Pravna lica trebaju odmah započeti sa:
    Revizijom postojećih praksi obrade podataka
    Izradom obavezne dokumentacije
    Implementacijom tehničkih i organizacionih mjera
    Obukom zaposlenih
    Uspostavljanjem procedura za zaštitu podataka

KONTAKT ZA INFORMACIJE
Agencija za zaštitu ličnih podataka Bosne i Hercegovine
Adresa: Mehmeda Spahe 1, 71000 Sarajevo
Telefon: +387 33 762 640
E-mail: azlp@azlp.ba
Web: www.azlp.ba
PREPORUKE
S obzirom na složenost zakona i visinu kazni, preporučujemo:
Angažovanje stručnjaka za zaštitu podataka
Pravovremeno usklađivanje poslovanja
Kontinuiranu edukaciju zaposlenih
Praćenje smjernica Agencije
Ne dozvolite da vas novi zakon zatekne nespremne! Neusklađenost može rezultirati milionskim kaznama i privremenom zabranom obrade podataka.