Šta u praksi donosi novi Zakon o zaštiti ličnih podataka: Ko smije obrađivati naše podatke, pod kojim uslovima i šta građani mogu tražiti?

Primjena novog Zakona o zaštiti ličnih podataka počela je u oktobru ove godine i već sada je jasno da donosi sveobuhvatne promjene u načinu na koji institucije, javna preduzeća, privatne firme, škole, bolnice, ali i vjerske zajednice postupaju s podacima o građanima.

Iako je Bosna i Hercegovina i ranije imala zakon iz ove oblasti, obaveze obrade ličnih podataka nisu bile potpuno jasno uređene, a odgovornost naglašena. Novi zakon je donesen kako bi se prevazišla zastarjelost prethodnog, te pravila uskladila sa evropskim standardima, naročito Općom uredbom EU o zaštiti podataka (GDPR).

Prva važna promjena je potpuno napuštanje dosadašnje prakse prikupljanja ličnih podataka „za svaki slučaj“. Novi zakon uvodi stroga pravila da svaki podatak koji se uzme od građana mora imati preciznu svrhu, obrazloženje i opravdanost.

Drugim riječima, više nije dozvoljeno tražiti kopiju lične karte, JMBG, potvrde, medicinske nalaze, informacije o porodičnim odnosima ili bilo koje druge lične podatke ako za to ne postoji jasan, zakonom utemeljen razlog.

U fokusu se posebno nalaze dvije ključne uloge, a to su kontrolor i obrađivač.

Kontrolor je onaj koji odlučuje zašto se lični podaci prikupljaju, koje podatke uzima i koliko dugo ih čuva. To mogu biti općine, ministarstva, bolnice, škole, komunalna preduzeća, banke, telekom operateri, ali i vjerske zajednice kada vode svoje matične knjige ili evidencije. Kontrolor određuje svrhu obrade i odgovara za zakonitost cijelog procesa.

Obrađivač je, pojednostavljeno rečeno, subjekt koji u ime kontrolora obavlja tehničke ili administrativne radnje nad podacima. To može biti firma koja održava informatičke sisteme neke općine, štamparija koja printa račune komunalnih preduzeća, agencija koja vodi baze članova sportskog kluba ili kompanija koja obrađuje podatke za program lojalnosti marketa.

Obrada podataka od obrađivača nije nikada njegova samostalna odluka, nego on postupa samo prema dokumentiranim instrukcijama kontrolora i ni u kom trenutku ne smije koristiti podatke u svoje svrhe.

Zakon građanima po prvi put daje stvarnu, a ne samo formalnu mogućnost da znaju ko ima njihove podatke i zašto.

Svaki građanin ima pravo zatražiti informacije o tome koje podatke neka institucija ili firma posjeduje o njemu, kako ih koristi, na kojim osnovama i koliko dugo planira da ih čuva. Građanin može tražiti ispravku netačnih podataka, brisanje podataka koji više nisu potrebni, ograničenje obrade ili prigovor ako smatra da se sa njegovim podacima postupa nezakonito ili nepravedno. Sve institucije i privatne firme građanima moraju odgovoriti u zakonski definiranom roku.

Komunalna preduzeća moraju obrazložiti zašto im trebaju određeni podaci građana, a banke i telekom operateri moraju posebno voditi računa o sigurnosti i transparentnosti. Također, trgovine ne smiju tražiti višak informacija prilikom kreiranja kartica lojalnosti, sportski klubovi i udruženja moraju imati jasna pravila o tome ko smije vidjeti podatke o članovima, a i vjerske zajednice su dužne, po potrebi, objasniti kako vode evidencije i u koje svrhe.

Vjerske zajednice ne smiju čuvati podatke koji se odnose na uvjerenja ili aktivnosti vjernika ako osoba za to nije dala dobrovoljnu saglasnost i ako nije upoznata s tim kako će se ti podaci koristiti. Podaci o donacijama, članstvu ili ceremonijama moraju se štititi jednako kao i svaki drugi osjetljivi podatak.

Važna novina je i obaveza prijavljivanja povreda podataka. Ako dođe do curenja, neovlaštenog pristupa, gubitka dokumentacije ili bilo kakvog incidenta koji može ugroziti privatnost građana, kontrolor mora odmah obavijestiti Agenciju za zaštitu ličnih podataka BiH, a u određenim situacijama i građane koji bi mogli biti oštećeni.

Sve ove promjene znače da će institucije i kompanije morati dodatno urediti i svoje interne procedure, provesti edukaciju zaposlenih i preciznije definirati ko ima pristup kojim podacima.

Cilj je veća sigurnost, bolja transparentnost i zaštita građana od zloupotrebe ličnih podataka. Građani sada imaju puno pravo da znaju i odlučuju. Ko god zatraži lični podatak mora objasniti zbog čega mu je potreban i šta će se s njim dalje raditi.

Moguće kazne i do 40 miliona maraka

Zakon o zaštiti ličnih podataka ne donosi samo strožija pravila, već i znatno veći nivo odgovornosti za sve koji rade s podacima građana. Moguće kazne se ne odnose samo na institucije i kompanije, nego i pojedince koji u praksi provode ili zanemaruju obaveze iz zakona.

Sankcije za pravna lica mogu biti izuzetno visoke.

Za neovlaštenu obradu, uskraćivanje prava građanima ili ignoriranje Zakonom propisanih procedura, iznosi se kreću od 10 hiljada pa sve do 20 miliona maraka.

U slučajevima težih povreda, kao što je objavljivanje tuđih podataka, njihovo slanje van zemlje bez jasne pravne osnove ili svaka radnja koja se procijeni kao namjerna, kazna može dostići i 40 miliona KM ili četiri posto ukupnog godišnjeg prihoda firme.

Odgovornost se spušta i na nivo pojedinca. Direktori, rukovodioci i zaposleni koji svojim postupcima prekrše odredbe ovog zakona mogu biti kažnjeni iznosima od pet do sedam hiljada maraka, dok se za manje propuste, poput loše vođene dokumentacije ili nepridržavanja interne procedure, predviđaju kazne između 500 i 5.000 KM.

(Amina Nuhanović/Preporod.info)