Novi Zakon o zaštiti ličnih podataka usklađen s evropskom Općom odredbom o zaštiti podataka (GDPR) stupio je na snagu čime Bosna i Hercegovina ispunjava jedan od ključnih uvjeta na putu prema članstvu u Evropskoj uniji.

Novi Zakon, koji će se počet primjenjivati 4. oktobra ove godine, jasno definira lične podatke koji osim tradicionalnih identifikacijskih informacija poput imena i fotografije uključuje i podatke poput IP adrese, e-mail adrese te biometrijskih podataka, naprimjer otisaka prstiju koji se koriste za evidenciju radnoga vremena.

Zakon jača obaveze kontrolora u pogledu tehničkih i organizacijskih mjera zaštite, te uvodi princip "prava na zaborav", koji omogućava građanima da zatraže brisanje svojih podataka kada za njihovu obradu više ne postoji zakonska osnova obrade.

- Više nije dovoljno imati samo osnovne tehničke mjere zaštite. Svaka obrada ličnih podataka mora imati pravnu osnovu - bilo da se radi o zakonskoj obavezi, legitimnom interesu ili izričitom pristanku - istaknula je u četvrtak na stručnom seminaru u Mostaru povodom početka primjene zakona Marija Boban.

Ova istaknuta stručnjakinja za zaštitu ličbnih podataka i kibernetičku sigurnost, s bogatim iskustvom rada na projektima usklađivanja s GDPR-om, upozorava kako Zakon predviđa stroge zakonske kazne za povrede od 500 KM za fizičke osobe koje rukovode obradom podataka pa sve do 40 miliona KM ili četiri posto globalnog godišnjeg prometa za pravne osobe, ovisno o težini prekršaja.

Naglasak je stavljen na potrebu edukacije zaposlenika i imenovanja službenika za zaštitu podataka, što je obaveza i za javni i za privatni sektor. U praksi to znači da je svaka institucija ili firma koja prikuplja lične podatke dužna uskladiti svoje interne procedure, politike privatnosti te uspostaviti jasne upute i kodekse ponašanja.

Kao najčešći primjer nepravilne obrade istaknuto je slanje newslettera bez prethodno dobijene privole korisnika, što sada predstavlja kršenje Zakona.

Također, dodaje Boban, biometrijski podaci se ne smiju koristiti bez posebne pristanka zaposlenika, a nadzorni organ - Agencija za zaštitu ličnih podataka imat će ovlasti nadzora i sankcioniranja.

- Zaštita počinje edukacijom i usklađivanjem procesa, a ključni faktor su ljudi - šta smiju dijeliti, u koju svrhu i na temelju koje pravne osnove. Ako organizacija ne poduzme ništa, tada je kazna izgledna. No ko se potrudi uskladiti, može očekivati i samo upozorenje – pojasnila je.

Implementacija Zakona se ne odnosi samo na digitalne sisteme, već i na svakodnevne situacije - od objava osnovnih podataka zaposlenika na internetskim stranicama do korištenja videonadzora, koji mora jasno biti označen i zakonski opravdan.

Zakon se već primjenjuje u državama članicama EU-a, poput Hrvatske i Slovenije, a sad je došao na red i za bh. institucije i preduzeća.

Stručnjaci ističu kako je pravovremena priprema najbolji način izbjegavanja visokih kazni.