Tag: tehničke mjere zaštite

  • Kako se uskladiti sa Zakonom o zaštiti ličnih podataka

    Kako se uskladiti sa Zakonom o zaštiti ličnih podataka

    U Bosni i Herecegovini je usvojen novi Zakon o zaštiti ličnih podataka koji je objavljen 28.02.2025. godine u službenom glasniku Bosne i Hercegovine. Zakon stupa na snagu osmog dana od datuma objave u službenom glasniku. Kompanijama i drugim obrađivačima ličnih podataka dat je rok od 210 dana da usklade svoje poslovanje sa ovim zakonom, imajući u vidu složenost postupka implementacije u poslovanje i potpune primjene. Međutim, kako se uskladiti sa Zakonom o zaštiti ličnih podataka?

    Kao gostujući autor na pravniblog.com, Jovan Vlaški pruža stručno tumačenje novog Zakona o zaštiti ličnih podataka i daje smjernice za usklađivanje sa njegovim odredbama. Za detaljnije savjete i stručnu pomoć u primjeni Zakona, posjetite www.vlaski.rs kako biste osigurali da vaše poslovanje ispunjava sve zakonske zahtjeve. Jovan Vlaški je master pravnik i stručnjak za zaštitu ličnih podataka.

    Sadržaj članka:

    Cilj donošenja Zakona o zaštiti ličnih podataka

    Zakonodavac je imao cilj da novi zakon bude usklađen sa GDPR. Daljom analizom možemo videti dosta sličnosti sa Zakonom o zaštiti podataka o ličnosti u
    Republici Srbiji.

    Možemo reći da je ovaj zakon mnogo strožiji nego onaj u Republici Srbiji kada se sagleda visina novčanih kazni. Zakonodavac je ovaj deo bliže uskladio sa GDPR-om.

    Postavlja se pitanje da li je 210 dana dovoljno da se kompanije usklade sa ovim zakonom?

    Lično mišljenje autora teksta, jeste da je zakonodavac dao dovoljno vremena kompanijama da u potpunosti primene odredbe ovog zakona. Imamo u vidu da je on najavljen pre nekoliko meseci i da su koraci ka usklađivanju vrlo slični GDPR-u.

    Naravno da to ne znači da imamo 210 dana da zloupotrebljavamo podatke o ličnosti. Agencija za zaštitu podataka o ličnosti (AZLP) može sprovesti kontrolu i izreći mere i pre isteka 210 dana, imajući u vidu da je BIH i pre ovog zakona imala zakon koji je regulisao zaštitu podataka o ličnosti.

    Novine u Zakonu

    Novine koje ovaj zakon donosi:

    • Agencija za zaštitu podataka o ličnosti postaje neovisno nadzorno tijelo s proširenim ovlastima;
    • Obaveza izrade Kodeksa ponašanja (Pravilnik o zaštiti podataka o ličnosti,
      zakonodavac ga u ovom zakonu naziva Kodeksom);
    • Certifikacija;
    • Procjena uticaja na zaštitu podataka o ličnosti (u obavezi su da je izrade prilikom svake obrade osetljivih podataka o ličnosti ili većeg broja podataka);
    • Novčane kazne u iznosu do 40.000 KM za prekršaje.

    Kakve su kazne?

    Agencija izdaje prekršajni nalog ili podnosi zahtjev za pokretanje prekršajnog postupka nadležnom sudu, pored mjera iz člana 103. stav (2) tač. a) do h) i tačke j) ovog zakona, u zavisnosti od okolnosti svakog pojedinačnog slučaja.

    Za kršenje odredbi ovog zakona možete biti kažnjeni iznosom do 40.000 KM ili u slučaju preduzetnika do 4% ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu, zavisno od toga koji je iznos viši.

    Certifikacija

    Ovo je, možemo reći, novina koju nismo imali prilike do sada da vidimo u zakonima država u regionu. Agencija preporučuje uspostavljanje postupka certifikacije zaštite ličnih podataka, pečata i oznaka za zaštitu podataka s ciljem dokazivanja poštivanja odredbi ovog zakona, posebno uzimajući u obzir potrebe mikro, malih i srednjih pravnih lica.

    Certifikaciju izdaje certifikacioni organ iz člana 45. ovog zakona na osnovu kriterija koje je odobrila Agencija. Kontrolor podataka ili obrađivač, u postupku certifikacije, certifikacionom organu pruža sve informacije i omogućava pristup aktivnostima obrade koje su potrebne za postupak certifikacije. Ovo je prvi put da vidimo neki vid standardizacije koja se provlači kroz Zakon o zaštiti ličnih podataka. Na taj način kontrolori će imati određeni nadzor i edukaciju prilikom procesa certifikacije. Kako će ovo izgledati u praski ostaje nam da vidimo.

    Pregled koraka za usklađivanje sa Zakonom o zaštiti ličnih podataka

    Evo kratkog pregleda svih neophodnih koraka i dokumenata koje bi jedna kompanija trebalo da primeni kako bi uskladila svoje poslovanje sa Zakonom o zaštiti podataka o ličnosti i GDPR-om :

    1. Mapiranje podataka.
      Kontrolor (obrađivač) treba da uradi popis svih radnji gde se prikupljaju lični podaci kao i njihov pravni osnov i svrhu. Ovo nije u zakonu kao obaveza ali kako bi mogli da sačinite sve potrebne akte i primenite zakonom propisane mere morate prvo znati koje sve podatke o ličnosti prikupljate i u koju svrhu;
    2. Određivanje lica zaduženog za zaštitu podataka o ličnosti (Službenik za zaštitu podataka o ličnosti); Potrebno je donetu odluku o imenovanju; Može biti lice koje je zaposleno kod Kontrora (Obrađivača) , ili lice koje je angažovano eksterno npr kompanija koja pruža te usluge ili advokat. Podatke o službeniku je obavezno dostaviti Agenciji i objaviti;
    3. Kodeks ponašanja ( nekome je ovo poznato pod nazivom: Pravilnik o zaštiti podataka o ličnosti). U skladu sa članom 42. ZZLP Kodeks odgovara na sva najbitnija pitanja: Transparentna obrada, legitimni interesi kontrolora, prikupljanje ličnih podataka, pseudonomizacija i druge mere, spisak prava i ostvarivanje prava, informisanost o merama, prenosu podataka i mehanizmima zaštite.;
    4. Evidencija o obradi podataka.
      Svaki kontrolor podataka i predstavnik kontrolora podataka, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. U članu 32. zakona možete videti šta sve evidencija treba da sadrži. Prilikom kontrole koju vrši Agencija potrebno je dostaviti evidenciju o obradi podataka o ličnosti ili deo evidencije; Prilikom kontrole koju vrši Agencija potrebno je dostaviti evidenciju o obradi podataka o ličnosti ili deo evidencije;
    5. Obaveštenja o obradi podataka o ličnosti ( saglasnosti o obradi podataka);
    6. Politika privatnosti (sajt);
    7. Politika kolačića (Cookie Policy);
    8. Procjena uticaja na zaštitu podataka ličnosti (DPIA) služi IDENTIFIKOVANJU RIZIKA. A u cilju SMANJENJA RIZIKA po podatke o ličnosti. Potrebno je da sadrži opis radnji obrade, svrhu obrade, procenu neophodnosti, procenu rizika po prava lica i predviđene mere za smanjenje rizika.
    9. Obuka zaposlenih;
    10. Implementacija dokumentacije i bezbednosnih mera. Svu dokumentaciju možete da bacite ako vaši zaposleni ne postupaju u skladu sa istom. Zaštita ličnih podataka nije mrtvo slovo na papiru.

    Novi Zakon iziskuje dodatna sredstva kompanijama, ali štiti privatnost svakog pojedinca u društvu.

    Podržite Pravni blog

    Ako vam je ovaj članak koristan, podržite nas dijeljenjem sa prijateljima. Pratite nas na Facebook, Twitter, LinkedIn i YouTube.

    Pravni blog je informativan i ne pruža pravne savjete. Autori iznose lične stavove i ne garantuju tačnost tumačenja zakona. Više informacija u odricanju odgovornosti.

    Sadržaj je zaštićen. Kopiranje nije dozvoljeno, ali možete koristiti dio teksta uz obavezno navođenje izvora i direktan link na članak.

  • Novi Zakon o zaštiti ličnih podataka

    Novi Zakon o zaštiti ličnih podataka

    Bosna i Hercegovina je usvojila novi Zakon o zaštiti ličnih podataka, koji je usklađen s Općom uredbom o zaštiti podataka (GDPR) Europske unije. Ovaj zakon donosi značajne promjene u načinu obrade i zaštite ličnih podataka građana, postavljajući strožije standarde za institucije i kompanije koje rukuju takvim podacima.

    Sadržaj članka:

    Usklađivanje s europskim standardima

    Novi Zakon o zaštiti ličnih podataka u Bosni i Hercegovini donesen je s ciljem usklađivanja s najvišim europskim standardima zaštite privatnosti.

    Konkretno, zakon je usklađen s Uredbom (EU) 2016/679 Evropskog parlamenta i Vijeća od 27. aprila 2016. godine. Ta uredba je poznata kao Opća uredba o zaštiti podataka (GDPR). Ona reguliše obradu ličnih podataka i slobodno kretanje takvih podataka unutar Europske unije.

    Ovim usklađivanjem Bosna i Hercegovina nastoji modernizirati svoj pravni okvir. Na ovaj način će se povećati nivo zaštite ličnih podataka građana, te stvoriti pravno sigurnije okruženje za poslovne subjekte koji rukuju podacima.

    Uvođenjem strožijih pravila obrade i čuvanja podataka, novi zakon doprinosi boljoj zaštiti privatnosti pojedinaca. Smanjuju se rizici zloupotrebe podataka i omogućava građanima veću kontrolu nad informacijama koje dijele. Usklađivanje s GDPR-om otvara put za jaču međunarodnu saradnju i olakšava poslovanje kompanijama koje posluju na tržištu Europske unije.

    Vaša prava u zaštiti ličnih podataka

    Ključne odredbe zakona

    Prema novom zakonu, lični podaci su svi podaci koji se odnose na fizičko lice čiji je identitet utvrđen ili se može utvrditi.

    To znači da bilo koja informacija, poput imena, adrese, broja telefona, IP adrese ili čak podataka o fizičkim, psihološkim, genetskim, ekonomskim ili društvenim karakteristikama osobe, spada u kategoriju ličnih podataka.

    Obrada ovih podataka obuhvata niz aktivnosti, bilo da se radi o ručnim ili automatizovanim procesima. U praktičnom smislu, to podrazumijeva:

    • prikupljanje i evidentiranje podataka,
    • organizaciju i strukturiranje,
    • čuvanje i prilagođavanje,
    • pretragu i korištenje,
    • dijeljenje ili prenos podataka,
    • usklađivanje i kombinovanje,
    • ograničavanje pristupa,
    • brisanje ili uništavanje podataka.

    Ove aktivnosti su strogo regulisane zakonom. To znači da svaki subjekt koji obrađuje podatke mora imati jasan pravni osnov za njihovu obradu i poštovati principe zakonitosti, transparentnosti i sigurnosti.

    Obaveze za rukovaoce podataka

    Rukovaoci podataka, uključujući institucije i kompanije koje prikupljaju i obrađuju lične podatke građana, imaju niz zakonskih obaveza. Sve to kako bi osigurali zaštitu privatnosti i sigurnost podataka.

    Prije svega, svaka obrada podataka mora biti zakonita, poštena i transparentna. To znači da građani moraju biti jasno informisani o tome ko obrađuje njihove podatke, u koju svrhu i na koji način.

    Podaci se smiju prikupljati isključivo u određene, izričite i zakonite svrhe. Ni pod kojim uslovima ne smiju se koristiti na način koji nije u skladu s tim svrhama.

    Osim toga, rukovaoci podataka su dužni:

    • osigurati tačnost i ažurnost podataka, kako bi se izbjegle greške koje mogu negativno uticati na pojedince,
    • implementirati odgovarajuće tehničke i organizacione mjere zaštite kako bi se spriječili neovlašten pristup, curenje, gubitak ili zloupotreba podataka,
    • osigurati da podaci ne budu čuvani duže nego što je potrebno za svrhu zbog koje su prikupljeni,
    • omogućiti građanima ostvarivanje njihovih prava u vezi s ličnim podacima, uključujući pravo na ispravku, brisanje i prigovor na obradu.

    Ove obaveze imaju ključnu ulogu u osiguravanju visokog standarda zaštite podataka i povjerenja građana u institucije i kompanije koje s njima posluju.

    Prava građana

    Građani imaju pravo na:

    • Informisanost o obradi njihovih ličnih podataka, što uključuje pravo da budu jasnije obaviješteni o tome kako i u koju svrhu se njihovi podaci koriste.
    • Pristup svojim ličnim podacima, što omogućava građanima da saznaju koji podaci o njima postoje u određenim bazama podataka i ko ih koristi.
    • Ispravku netačnih ili nepotpunih podataka, kako bi se osigurala tačnost i ažurnost svih podataka koji se čuvaju.
    • Brisanje svojih podataka, poznato kao “pravo na zaborav”, koje omogućava uklanjanje podataka kada za to ne postoji opravdanje ili ako nisu više potrebni.
    • Ograničenje obrade, što znači da građani mogu zahtijevati da se njihovi podaci obrade samo u određenim slučajevima i pod određenim uslovima.
    • Prenosivost podataka, koje im omogućava da prenesu svoje podatke od jednog nosioca obrade ka drugom, u strukturiranom i uobičajenom formatu.
    • Pravo na prigovor na obradu, što omogućava građanima da se usprotive određenim vrstama obrade podataka koje se vrše bez njihovog pristanka.

    Kaznene odredbe

    Nepoštivanje odredbi zakona može rezultirati značajnim kaznama.

    Zakon propisuje kazne za kontrolore koji prekrše pravila obrade ličnih podataka. Kazna za kontrolora može biti između 50.000 i 100.000 KM ako obrade posebne kategorije podataka ili prenosi podatke u inostranstvo bez ispunjavanja zakonskih uslova. Odgovorna lica i zaposleni u kontroloru mogu biti kažnjeni manjim iznosima, od 1.000 do 15.000 KM za odgovorna lica i 500 do 10.000 KM za zaposlene.

    Predviđene su i kazne za prekršaje koji uključuju nepoštovanje osnovnih pravila zaštite ličnih podataka. One se odnose na obradu podataka bez saglasnosti ili bez potrebne zaštite. Za ove prekršaje kontrolori se kažnjavaju kaznama od 10.000 do 100.000 KM. Odgovorna lica i zaposleni mogu biti kažnjeni manjim iznosima.

    Zbog nepravilnosti u obradi podataka, kao što su nemogućnost dokazivanja saglasnosti ili nepravilna obrada podataka za novinarske i druge specifične svrhe. Kazne za ove prekršaje kreću se od 5.000 do 50.000 KM za kontrolore, a odgovorna lica i zaposleni mogu biti kažnjeni sa manjim iznosima.

    Kazna za lice koje obrađuje lične podatke protivno uslovima definisanim od strane kontrolora ili obrađivača, kazniće se novčanom kaznom od 500 do 5.000 KM.

    Odgovorna lica u javnim organima koja ne donesu potrebne propise za sprovođenje zakona ili ne pruže podršku Agenciji za zaštitu podataka, kazniće se kaznama od 500 do 5.000 KM.

    Usvajanje novog Zakona o zaštiti ličnih podataka predstavlja značajan korak ka jačanju zaštite privatnosti građana Bosne i Hercegovine. Institucije i kompanije koje obrađuju lične podatke trebaju se upoznati s novim obavezama i osigurati usklađenost svog poslovanja s ovim zakonom. Tako bi izbjegle potencijalne sankcije i osigurale povjerenje svojih korisnika.

    Primjer primjene zakona u svakodnevnom životu

    U današnjem digitalnom dobu, vrlo je lahko zaboraviti da svaka interakcija na internetu može uključivati prikupljanje osobnih podataka. Mnoge web stranice, usluge i aplikacije koje koristimo svakodnevno automatski prikupljaju podatke, a često nismo ni svjesni toga. Kada posjetimo web stranicu i prihvatimo kolačiće (cookies), često ne razmišljamo o tome što to znači za naše lične podatke. Kolačići mogu pratiti našu aktivnost na internetu. Oni bilježe koje stranice posjećujemo, koliko vremena provodimo na njima, pa čak i informacije o našoj lokaciji.

    Pored toga, prijavljivanje na newslettere je još jedan način na koji pružatelji usluga prikupljaju naše osobne podatke. Pri tome često dajemo pristup našim email adresama. Nismo ni svjesni u kojoj se mjeri oni mogu koristiti za ciljanje specifičnih oglasa ili za daljnje dijeljenje naših podataka s trećim stranama.

    Mnoge web stranice koriste naše podatke putem formulara za kontakt, anketa, prijava za popuste. Čine to i kroz našu aktivnost na društvenim mrežama koje su povezane s određenim web stranicama. Često se prihvataju uslovi korištenja ili politika privatnosti bez detaljnog čitanja. Zbog toga mnogi korisnici nisu ni svjesni koji se podaci prikupljaju i kako se koriste.

    Zakon o zaštiti ličnih podataka postavlja jasne smjernice i obveze za sve koji prikupljaju i obrađuju osobne podatke, uključujući web stranice. To znači da su vlasnici tih stranica odgovorni za informisanje korisnika o tome kako se njihovi podaci koriste. Osim toga, moraju dobiti dozvolu korisnika prije nego što dođe do prikupljanja podataka. U svakodnevnom životu, to bi značilo da bi svaki put kada se prijavite za neki servis ili integrišete s web stranicama, trebali biti svjesni koje podatke dijelite i u koje svrhe.

    Podržite Pravni blog

    Ako vam je ovaj članak koristan, podržite nas dijeljenjem sa prijateljima. Pratite nas na Facebook, Twitter, LinkedIn i YouTube.

    Pravni blog je informativan i ne pruža pravne savjete. Autori iznose lične stavove i ne garantuju tačnost tumačenja zakona. Više informacija u odricanju odgovornosti.

    Sadržaj je zaštićen. Kopiranje nije dozvoljeno, ali možete koristiti dio teksta uz obavezno navođenje izvora i direktan link na članak.