Tag: gdpr

  • Novi Zakon o zaštiti ličnih podataka

    Novi Zakon o zaštiti ličnih podataka

    Bosna i Hercegovina je usvojila novi Zakon o zaštiti ličnih podataka, koji je usklađen s Općom uredbom o zaštiti podataka (GDPR) Europske unije. Ovaj zakon donosi značajne promjene u načinu obrade i zaštite ličnih podataka građana, postavljajući strožije standarde za institucije i kompanije koje rukuju takvim podacima.

    Sadržaj članka:

    Usklađivanje s europskim standardima

    Novi Zakon o zaštiti ličnih podataka u Bosni i Hercegovini donesen je s ciljem usklađivanja s najvišim europskim standardima zaštite privatnosti.

    Konkretno, zakon je usklađen s Uredbom (EU) 2016/679 Evropskog parlamenta i Vijeća od 27. aprila 2016. godine. Ta uredba je poznata kao Opća uredba o zaštiti podataka (GDPR). Ona reguliše obradu ličnih podataka i slobodno kretanje takvih podataka unutar Europske unije.

    Ovim usklađivanjem Bosna i Hercegovina nastoji modernizirati svoj pravni okvir. Na ovaj način će se povećati nivo zaštite ličnih podataka građana, te stvoriti pravno sigurnije okruženje za poslovne subjekte koji rukuju podacima.

    Uvođenjem strožijih pravila obrade i čuvanja podataka, novi zakon doprinosi boljoj zaštiti privatnosti pojedinaca. Smanjuju se rizici zloupotrebe podataka i omogućava građanima veću kontrolu nad informacijama koje dijele. Usklađivanje s GDPR-om otvara put za jaču međunarodnu saradnju i olakšava poslovanje kompanijama koje posluju na tržištu Europske unije.

    Vaša prava u zaštiti ličnih podataka

    Ključne odredbe zakona

    Prema novom zakonu, lični podaci su svi podaci koji se odnose na fizičko lice čiji je identitet utvrđen ili se može utvrditi.

    To znači da bilo koja informacija, poput imena, adrese, broja telefona, IP adrese ili čak podataka o fizičkim, psihološkim, genetskim, ekonomskim ili društvenim karakteristikama osobe, spada u kategoriju ličnih podataka.

    Obrada ovih podataka obuhvata niz aktivnosti, bilo da se radi o ručnim ili automatizovanim procesima. U praktičnom smislu, to podrazumijeva:

    • prikupljanje i evidentiranje podataka,
    • organizaciju i strukturiranje,
    • čuvanje i prilagođavanje,
    • pretragu i korištenje,
    • dijeljenje ili prenos podataka,
    • usklađivanje i kombinovanje,
    • ograničavanje pristupa,
    • brisanje ili uništavanje podataka.

    Ove aktivnosti su strogo regulisane zakonom. To znači da svaki subjekt koji obrađuje podatke mora imati jasan pravni osnov za njihovu obradu i poštovati principe zakonitosti, transparentnosti i sigurnosti.

    Obaveze za rukovaoce podataka

    Rukovaoci podataka, uključujući institucije i kompanije koje prikupljaju i obrađuju lične podatke građana, imaju niz zakonskih obaveza. Sve to kako bi osigurali zaštitu privatnosti i sigurnost podataka.

    Prije svega, svaka obrada podataka mora biti zakonita, poštena i transparentna. To znači da građani moraju biti jasno informisani o tome ko obrađuje njihove podatke, u koju svrhu i na koji način.

    Podaci se smiju prikupljati isključivo u određene, izričite i zakonite svrhe. Ni pod kojim uslovima ne smiju se koristiti na način koji nije u skladu s tim svrhama.

    Osim toga, rukovaoci podataka su dužni:

    • osigurati tačnost i ažurnost podataka, kako bi se izbjegle greške koje mogu negativno uticati na pojedince,
    • implementirati odgovarajuće tehničke i organizacione mjere zaštite kako bi se spriječili neovlašten pristup, curenje, gubitak ili zloupotreba podataka,
    • osigurati da podaci ne budu čuvani duže nego što je potrebno za svrhu zbog koje su prikupljeni,
    • omogućiti građanima ostvarivanje njihovih prava u vezi s ličnim podacima, uključujući pravo na ispravku, brisanje i prigovor na obradu.

    Ove obaveze imaju ključnu ulogu u osiguravanju visokog standarda zaštite podataka i povjerenja građana u institucije i kompanije koje s njima posluju.

    Prava građana

    Građani imaju pravo na:

    • Informisanost o obradi njihovih ličnih podataka, što uključuje pravo da budu jasnije obaviješteni o tome kako i u koju svrhu se njihovi podaci koriste.
    • Pristup svojim ličnim podacima, što omogućava građanima da saznaju koji podaci o njima postoje u određenim bazama podataka i ko ih koristi.
    • Ispravku netačnih ili nepotpunih podataka, kako bi se osigurala tačnost i ažurnost svih podataka koji se čuvaju.
    • Brisanje svojih podataka, poznato kao “pravo na zaborav”, koje omogućava uklanjanje podataka kada za to ne postoji opravdanje ili ako nisu više potrebni.
    • Ograničenje obrade, što znači da građani mogu zahtijevati da se njihovi podaci obrade samo u određenim slučajevima i pod određenim uslovima.
    • Prenosivost podataka, koje im omogućava da prenesu svoje podatke od jednog nosioca obrade ka drugom, u strukturiranom i uobičajenom formatu.
    • Pravo na prigovor na obradu, što omogućava građanima da se usprotive određenim vrstama obrade podataka koje se vrše bez njihovog pristanka.

    Kaznene odredbe

    Nepoštivanje odredbi zakona može rezultirati značajnim kaznama.

    Zakon propisuje kazne za kontrolore koji prekrše pravila obrade ličnih podataka. Kazna za kontrolora može biti između 50.000 i 100.000 KM ako obrade posebne kategorije podataka ili prenosi podatke u inostranstvo bez ispunjavanja zakonskih uslova. Odgovorna lica i zaposleni u kontroloru mogu biti kažnjeni manjim iznosima, od 1.000 do 15.000 KM za odgovorna lica i 500 do 10.000 KM za zaposlene.

    Predviđene su i kazne za prekršaje koji uključuju nepoštovanje osnovnih pravila zaštite ličnih podataka. One se odnose na obradu podataka bez saglasnosti ili bez potrebne zaštite. Za ove prekršaje kontrolori se kažnjavaju kaznama od 10.000 do 100.000 KM. Odgovorna lica i zaposleni mogu biti kažnjeni manjim iznosima.

    Zbog nepravilnosti u obradi podataka, kao što su nemogućnost dokazivanja saglasnosti ili nepravilna obrada podataka za novinarske i druge specifične svrhe. Kazne za ove prekršaje kreću se od 5.000 do 50.000 KM za kontrolore, a odgovorna lica i zaposleni mogu biti kažnjeni sa manjim iznosima.

    Kazna za lice koje obrađuje lične podatke protivno uslovima definisanim od strane kontrolora ili obrađivača, kazniće se novčanom kaznom od 500 do 5.000 KM.

    Odgovorna lica u javnim organima koja ne donesu potrebne propise za sprovođenje zakona ili ne pruže podršku Agenciji za zaštitu podataka, kazniće se kaznama od 500 do 5.000 KM.

    Usvajanje novog Zakona o zaštiti ličnih podataka predstavlja značajan korak ka jačanju zaštite privatnosti građana Bosne i Hercegovine. Institucije i kompanije koje obrađuju lične podatke trebaju se upoznati s novim obavezama i osigurati usklađenost svog poslovanja s ovim zakonom. Tako bi izbjegle potencijalne sankcije i osigurale povjerenje svojih korisnika.

    Primjer primjene zakona u svakodnevnom životu

    U današnjem digitalnom dobu, vrlo je lahko zaboraviti da svaka interakcija na internetu može uključivati prikupljanje osobnih podataka. Mnoge web stranice, usluge i aplikacije koje koristimo svakodnevno automatski prikupljaju podatke, a često nismo ni svjesni toga. Kada posjetimo web stranicu i prihvatimo kolačiće (cookies), često ne razmišljamo o tome što to znači za naše lične podatke. Kolačići mogu pratiti našu aktivnost na internetu. Oni bilježe koje stranice posjećujemo, koliko vremena provodimo na njima, pa čak i informacije o našoj lokaciji.

    Pored toga, prijavljivanje na newslettere je još jedan način na koji pružatelji usluga prikupljaju naše osobne podatke. Pri tome često dajemo pristup našim email adresama. Nismo ni svjesni u kojoj se mjeri oni mogu koristiti za ciljanje specifičnih oglasa ili za daljnje dijeljenje naših podataka s trećim stranama.

    Mnoge web stranice koriste naše podatke putem formulara za kontakt, anketa, prijava za popuste. Čine to i kroz našu aktivnost na društvenim mrežama koje su povezane s određenim web stranicama. Često se prihvataju uslovi korištenja ili politika privatnosti bez detaljnog čitanja. Zbog toga mnogi korisnici nisu ni svjesni koji se podaci prikupljaju i kako se koriste.

    Zakon o zaštiti ličnih podataka postavlja jasne smjernice i obveze za sve koji prikupljaju i obrađuju osobne podatke, uključujući web stranice. To znači da su vlasnici tih stranica odgovorni za informisanje korisnika o tome kako se njihovi podaci koriste. Osim toga, moraju dobiti dozvolu korisnika prije nego što dođe do prikupljanja podataka. U svakodnevnom životu, to bi značilo da bi svaki put kada se prijavite za neki servis ili integrišete s web stranicama, trebali biti svjesni koje podatke dijelite i u koje svrhe.

    Podržite Pravni blog

    Ako vam je ovaj članak koristan, podržite nas dijeljenjem sa prijateljima. Pratite nas na Facebook, Twitter, LinkedIn i YouTube.

    Pravni blog je informativan i ne pruža pravne savjete. Autori iznose lične stavove i ne garantuju tačnost tumačenja zakona. Više informacija u odricanju odgovornosti.

    Sadržaj je zaštićen. Kopiranje nije dozvoljeno, ali možete koristiti dio teksta uz obavezno navođenje izvora i direktan link na članak.

  • Vaša prava u zaštiti ličnih podataka

    Opšta Uredba o zaštiti podataka uvodi i pojašnjava određena nova prava za ispitanike, te osigurava (osim u iznimnim situacijama) jednak nivo zaštite svakom pojedincu iz Europske unije, bez obzira na državu članicu nadležnu za postupanje u konkretnom slučaju. Od izuzetne je važnosti da znate koja su vaša prava u zaštiti ličnih podataka, jer vaši lični podaci nisu samo to, oni su i roba kojom mnogi bez vašeg znanja trguju.

    Voditelj obrade dužan je preduzeti odgovarajuće mjere kako bi se ispitaniku pružile sve informacije o aspektima obrade ličnih podataka, te o pravima ispitanika na pristup svojim podacima, brisanje podataka, ograničenje obrade, prenosivost podataka, upućivanje prigovora u vezi s automatizovanim pojedinačnim donošenjem odluka (što uključuje profilisanje).

    Navedene informacije trebaju se pružiti u sažetom, transparentnom, razumljivom i lako dostupnom obliku, naročito za svaku informaciju koja je namijenjena djetetu. Također, ako ispitanik uputi određeni zahtjev voditelju obrade za ostvarivanje svojih prava iz Opšte uredbe o zaštiti podataka, a voditelj obrade ne postupi po tom zahtjevu, tada voditelj obrade bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvještava ispitanika o razlozima ne postupanja po zahtjevu i o mogućnosti podnošenja pritužbe nadzornom tijelu, te traženja pravnog lijeka.

    U nastavku pročitate koja su vaša prava u zaštiti ličnih podataka:

     

    • transparentnost (čl. 12-14): pružanje informacija prilikom prikupljanja podataka kada voditelj obrade mora među ostalim informacijama obavijestiti ispitanika i o svojem identitetu i kontakt podacima, svrhama obrade i pravnoj osnovi za obradu podataka, primaocima, iznošenju u treće zemlje, periodu pohrane, mogućnosti povlačenja saglasnosti, itd.;
    • pravo pristupa podacima (čl. 15) pripada ispitanicima. To im pravo omogućuje pristup ličnim podacima i podacima o načinu njihove obrade. Voditelj obrade dužan je na zahtjev pružiti pregled kategorija podataka koji se obrađuju kao i kopiju stvarnih podataka. Nadalje, voditelj obrade ispitanika mora obavijestiti o detaljima obrade poput svrhe obrade, eventualnim primateljima podataka i načinu na koji je voditelj stekao te podatke;
    • pravo na ispravak (čl. 16): ispitanik ima pravo zahtijevati ispravak netačnih ličnih podataka koji se na njega odnose, a uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune lične podatke, među ostalim i davanjem dodatne izjave;
    • brisanje („pravo na zaborav“) (čl. 17): ispitanik ima pravo od voditelja obrade ishoditi brisanje ličnih podataka koji se na njega odnose bez nepotrebnog odgađanja ako, među ostalim, lični podaci više nisu neophodni u odnosu na svrhu obrade. Ovo pravo ima ograničenja pa tako npr. političar ne može zatražiti brisanje informacija o sebi koje su date u okviru političkog djelovanja.
      Pravo na zaborav zamijenjeno je ograničenijim pravom na zaborav u inačici GDPR-a koju je usvojio Europski parlament u martu 2014. U čl. 17. navodi se da ispitanik ima pravo zatražiti brisanje ličnih podataka koje ga se tiču prema jednom od osnova, uključujući nepridržavanje principa zakonite obrade (čl. 6. st. 1.), što uključuje slučajeve u kojima su interesi ili osnovna prava i slobode ispitanika koji zahtijevaju zaštitu ličnih podataka, naročito ako je ispitanik dijete, snažniji od interesa voditelja obrade.
      Član 17. izričito propisuje pravo na zaborav. Podaci moraju biti izbrisani “bez odlaganja”, ako više nisu potrebni ili ako je saglasnost povučena;
    • pravo na ograničenje obrade (čl. 18): u pojedinim situacijama npr. kada je tačnost podataka osporavana ispitanik ima pravo zahtijevati da se obrada njegovih ličnih podataka ograniči uz iznimku pohrane i nekih drugih vrsta obrade.
    • pravo na prenosivost (čl. 20): ispitanik ima pravo zaprimiti svoje lične podatke, a koje je prethodno pružio voditelju obrade, u strukturisanom obliku, te u uobičajeno upotrebljavanom i strojno čitljivom formatu, te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su lični podaci pruženi, ako se obrada sprovodi automatizovanim putem i zasniva na saglasnosti ili ugovoru.
      Ispitanici također imaju pravo prenijeti lične podatke iz jednog sistema elektronske obrade u drugi, bez da ih u tome sputava voditelj obrade. Ovim pravom nisu obuhvaćeni dovoljno anonimizovani podaci, ali i podaci koji ne sadrže identifikatore, ali pomoću kojih se pojedinca može identifikovati uz dodatne podatke, obuhvaćeni su pravom. Pravo obuhvaća podatke koje je ispitanik ‘dao’ i podatke koji su nastali ‘praćenjem’, poput ponašanja ispitanika. Nadalje, voditelj obrade podatke mora pružiti u strukturisanom, uobičajeno korištenom formatu (čl. 20.). Pravni stručnjaci u konačnoj inačici GDPR-a vide “novo pravo” koje “seže i preko običnog prava na prenosivost podataka između dva voditelja obrade kako je navedeno u članu 20”;
    • pravo na prigovor (čl. 21): ispitanik ima pravo uložiti prigovor na obradu ličnih podataka ako se ista zasniva na zadaćama od javnog interesa, na izvršavanje službenih ovlasti voditelja obrade ili na legitimne interese voditelja obrade (uključujući i profilisanje), tada voditelj obrade ne smije više obrađivati lične podatke ispitanika osim ako dokaže da njegovi legitimni razlozi za obradu nadilaze interese ispitanika, te radi zaštite pravnih zahtjeva, također ako se ispitanik protivi obradi za potrebe direktnog marketinga, lični podaci više se ne smiju obrađivati;
    • pravo usprotiviti se donošenju automatizovanih pojedinačnih odluka (profilisanje) (čl. 22): ispitanik ima pravo da se na njega ne odnosi odluka koja se zasniva isključivo na automatizovanoj obradi, uključujući izradu profila, koja proizvodi pravne efekte koji se na njega odnose ili na sličan način značajno na njega utiču, osim ako je takva odluka potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka, ako je dopuštena pravom EU-a ili nacionalnim pravom kojim se propisuju odgovarajuće mjere zaštite prava i sloboda, te legitimnih interesa ispitanika ili zasnovana na izričitoj saglasnosti ispitanika.

     

    Ovom Uredbom su ojačana prava nosioca podataka i obaveze onih koji obrađuju lične podatke. Za potpuno razumijevanje i shvatanje odredaba Uredbe u kontekstu, upućujemo vas da pročitate čitavu Uredbu.

  • EU u misiji zaštite privatnosti svojih građana na Internetu GDPR

    Ukoliko prikupljate, obrađujete i koristite podatke građana Europske unije, dužni ste to činiti krajnje odgovorno, obazrivo, pošteno i u skladu sa pravnom regulativom koja reguliše ovu oblast. EU u misiji zaštite privatnosti svojih građana na Internetu GDPR ide toliko daleko da kršenje propisa vezanih za GDPR – Opće uredbe o zaštiti podataka može značiti finansijsku propast lica koje pravo pojedinca na zaštitu privatnosti zloupotrebljavaju ili se prema njemu odnose neodgovorno.

    Glavni ciljevi GDPR-a su vratiti građanima nadzor nad njihovim ličnim podacima i izvršiti ujednačavanje propisa u cijeloj Uniji. Uz rasprostranjeno korištenje društvenih medija, aplikacija i Interneta općenito, lični podaci se dijele i prenose preko granica više nego ikad prije. Uredba direktno nameće jedinstveni režim zakona sigurnosti podataka za sve članice EU.

    Uredbom se uvode nove i pojednostavljuju neke već postojeće definicije odnosno preciznije opisuju postojeći pojmovi, određuju biometrijski i genetski podaci, smanjuju i pojednostavljuju pojedine administrativne obaveze voditelja zbirke ličnih podataka, a ujedno i jačaju nadzorne ovlasti, kao i mogućnost izricanja kazni od strane tijela za zaštitu ličnih podataka.

    Što se tiče samih građana, njima se omogućava lakši pristup njihovim podacima, mogu se informisati na jasan i razumljiv način o tome kako i u koju svrhu se obrađuju njihovi podaci. Uredbom se uvodi i „pravo na zaborav” odnosno mogućnost da ispitanik zatraži od preduzeća i organizacija brisanje svojih podataka kada ne bude htio da se njegovi lični podaci obrađuju, uz uslov da ne postoje zakoniti razlozi za njihovo zadržavanje. U slučaju povrede ličnih podataka voditelj obrade je dužan, bez nepotrebnog odgađanja, obavijestiti nadzorno tijelo o povredi ličnih podataka, osim ako nije vjerojatno da će povreda ličnih podataka prouzrokovati rizik za prava i slobode pojedinaca. Također se u određenim okolnostima uvodi i potreba obavještavanja nosioca podataka ukoliko je došlo do povrede njegovih ličnih podataka, a za određene kontrolore uvodi se i obaveza imenovanja službenika za zaštitu podataka. Uredba znatno pojačava prava građana i garantuje pravo na informiranost.

    Važno je napomenuti da su djeca prepoznata kao osobito ranjiva skupina jer ne mogu adekvatno raspolagati sa svojim ličnim podacima, pošto često nisu svjesna opasnosti kojima se izlažu prilikom neopreznog upravljanja svojim ličnim podacima. Iz tog razloga djeca će moći koristiti određene internetske usluge i servise za koje je potrebno dati lične podatke isključivo uz pristanak roditelja.

     

    Pravne osnove za obradu ličnih podataka

    Obrada ličnih podataka obuhvata radnje poput prikupljanja, evidentisanja, čuvanja, uvida, otkrivanja, prenošenja ili uništavanja.

    Podaci se ne smiju obrađivati osim ako za to postoji barem jedna od sljedećih pravnih osnova (čl. 6. st. 1.):

    • Ispitanik je dao saglasnost za obradu podataka u jednu ili više posebnih svrha.
    • Obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se preduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
    • Obrada je nužna radi poštivanja pravnih obaveza voditelja obrade.
    • Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili drugog fizičkog lica.
    • Obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.
    • Obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili osnovna prava i slobode ispitanika koji zahtijevaju zaštitu ličnih podataka, osobito ako je ispitanik dijete.

     

    Izuzeća od Uredbe

    Slučajevi koji slijede nisu pokriveni Uredbom:

    • zakonito presretanje podataka, državna sigurnost, vojska, policija, pravosuđe
    • obrada u statističke i naučne svrhe (u nekim slučajevima)
    • podaci umrlih (za njih važe nacionalni propisi)
    • odnosi između poslodavaca i zaposlenika regulišu se dodatnim zakonima
    • obrada ličnih podataka od strane fizičkog lica u osnovne svrhe ili za potrebe kućanstva