Novi Zakon o zaštiti osobnih podataka, usklađen s europskom Općom uredbom o zaštiti podataka (GDPR), stupio je na snagu čime je Bosna i Hercegovina ispunila jedan od ključnih uvjeta na putu prema članstvu u Europskoj uniji, piše Fena.
Zakon, čija će primjena započeti 4. listopada ove godine, jasno definira osobne podatke koji, uz tradicionalne identifikacijske informacije poput imena i fotografije, uključuju i podatke poput IP adrese, e-mail adrese te biometrijskih podataka, primjerice otisaka prstiju koji se koriste za evidenciju radnog vremena.
Novi propis jača obveze voditelja obrade u pogledu tehničkih i organizacijskih mjera zaštite te uvodi institut „prava na zaborav“, kojim se građanima omogućuje da zatraže brisanje svojih podataka kada za njihovu obradu više ne postoji zakonska osnova.
– Više nije dovoljno imati samo osnovne tehničke mjere zaštite. Svaka obrada osobnih podataka mora imati pravnu osnovu – bilo da se radi o zakonskoj obvezi, legitimnom interesu ili izričitom pristanku – istaknula je Marija Boban, stručnjakinja za zaštitu osobnih podataka i kibernetičku sigurnost, na stručnom seminaru održanom u Mostaru povodom početka primjene zakona.
Boban, s bogatim iskustvom na projektima usklađivanja s GDPR-om, upozorava kako Zakon predviđa stroge kazne: od 500 KM za fizičke osobe koje rukovode obradom podataka, pa sve do 40 milijuna KM ili četiri posto globalnog godišnjeg prometa za pravne osobe – ovisno o težini prekršaja.
Naglasak je stavljen na potrebu edukacije zaposlenika i imenovanja službenika za zaštitu podataka, što je obveza i za javni i za privatni sektor. U praksi to znači da svaka institucija ili poduzeće koje prikuplja osobne podatke mora uskladiti interne procedure, politike privatnosti te uspostaviti jasne upute i kodekse ponašanja.
Kao jedan od najčešćih primjera nepravilne obrade podataka istaknuto je slanje newslettera bez prethodno dobivene privole korisnika, što sada predstavlja kršenje zakona.
Boban je također naglasila da se biometrijski podaci ne smiju obrađivati bez posebnog pristanka zaposlenika, a Agencija za zaštitu osobnih podataka imat će ovlast nadzora i izricanja sankcija.
– Zaštita počinje edukacijom i usklađivanjem procesa, a ključni faktor su ljudi – što smiju dijeliti, u koju svrhu i na temelju koje pravne osnove. Ako organizacija ne poduzme ništa, kazna je izgledna. No oni koji se potrude uskladiti procese mogu očekivati i samo upozorenje – pojasnila je Boban.
Primjena Zakona ne odnosi se samo na digitalne sustave, već i na svakodnevne situacije – od objave osobnih podataka zaposlenika na internetskim stranicama do korištenja videonadzora, koji mora biti jasno označen i zakonski opravdan.
Budući da se Zakon već primjenjuje u državama članicama EU-a, poput Hrvatske i Slovenije, sada su i bosanskohercegovačke institucije i poduzeća na potezu. Stručnjaci poručuju da je pravodobna priprema najbolji način izbjegavanja visokih kazni.
