Bosna i Hercegovina usklađuje zaštitu podataka sa standardima EU, jačajući prekogranični prijenos podataka i obaveze usklađivanja

By /

Sažetak

Zakon o zaštiti podataka u Bosni i Hercegovini, uveden 2025. godine, usklađuje pravni okvir zemlje s Općom uredbom EU o zaštiti podataka (GDPR) i Direktivom EU o provođenju zakona o zaštiti podataka. Zakon pojačava propise o prekograničnom prijenosu podataka, proširuje prava subjekata podataka i nameće strože obaveze preduzećima i vladinim subjektima.

Zakon nalaže proceduralnu usklađenost za Standardne ugovorne klauzule (SCC), zahtijevajući da budu prevedene na bosanski/hrvatski/srpski jezik, potpisane mokrom tintom i dostavljene u roku od pet radnih dana prije nego što se prijenos može izvršiti. Obavezujuća korporativna pravila (BCR) zahtijevaju odobrenje AZLP-a u BiH, osiguravajući da multinacionalne korporacije održavaju visoke standarde privatnosti.

Osim toga, organizacije moraju usvojiti principe privatnosti već u dizajnu, provoditi procjene utjecaja na zaštitu podataka (DPIA) za obradu podataka visokog rizika i pridržavati se novih ograničenja automatiziranog donošenja odluka vođenih umjetnom inteligencijom. Preduzeća koja obrađuju biometrijske, genetske ili osjetljive finansijske i zdravstvene podatke moraju implementirati poboljšane sigurnosne mjere kao što su šifriranje i stroge kontrole pristupa.

Administrativne kazne za neusklađenost mogu doseći i do 4% godišnjeg globalnog prometa organizacije ili 20 miliona eura, što odražava strukturu kazni iz GDPR-a. Za jednokratne međunarodne transfere podataka potreban je izričit pristanak, dok rutinski transferi moraju biti u skladu sa SCC-ovima ili BCR-ovima.

Kako se Bosna i Hercegovina kreće ka potpunoj usklađenosti s GDPR-om, preduzeća moraju hitno ažurirati svoje politike upravljanja podacima, ugovore s dobavljačima i sigurnosne okvire kako bi izbjegla kazne i osigurala usklađenost sa zakonom. AZLP BiH nastavlja usavršavati mehanizme provođenja, pružajući daljnje smjernice kompanijama koje posluju u regiji.

Zašto je ovaj zakon važan? Prelazak ka okviru usklađenom sa GDPR-om

Zakon o zaštiti podataka predstavlja prekretničku zakonodavnu promjenu za Bosnu i Hercegovinu, ne samo da jača zaštitu ličnih podataka, već i usklađuje nacionalne zakone o podacima sa zahtjevima EU. Uvođenje mehanizama za prijenos podataka ekvivalentnih GDPR-u i ovlaštenja nadzornog tijela sugerira namjeru BiH da se pozicionira kao sigurna jurisdikcija za digitalnu trgovinu i investicije.

Za preduzeća, ove promjene uvode nova opterećenja u pogledu usklađenosti, ali i stvaraju prilike za veće povjerenje potrošača i sigurnost podataka. Organizacije koje se već pridržavaju GDPR-a lakše će se prilagoditi novim pravilima BiH, dok kompanije sa zastarjelim praksama upravljanja podacima moraju proći kroz potpunu reviziju svojih politika i modela upravljanja podacima.

Ključne karakteristike novog zakona

  • Još nije donesena nijedna odluka o adekvatnosti ni za jednu zemlju, koja bi zahtijevala od preduzeća da se oslanjaju na standardne ugovorne klauzule (SCC) ili zavodna pravila poslovanja (BCR) za međunarodni prijenos podataka.
  • Nova prava za pojedince, uključujući prenosivost podataka, brisanje (pravo na zaborav) i ograničenje obrade, osiguravaju jaču kontrolu nad ličnim podacima.
  • Organizacije koje obrađuju lične podatke u BiH ili ciljaju stanovnike BiH moraju se pridržavati propisa, čak i ako se nalaze izvan zemlje.
  • Prekogranični prijenosi zahtijevaju standardne ugovorne klauzule (SCC), koje se moraju podnijeti u roku od pet radnih dana Agenciji za zaštitu ličnih podataka (AZLP BiH) prije obrade.
  • Za jednokratne međunarodne prijenose potreban je izričit pristanak, dok se rutinski prijenosi moraju pridržavati unaprijed definiranih mehanizama.
  • Kompanije moraju implementirati zaštitu privatnosti po dizajnu, osiguravajući sigurnu obradu podataka i minimizirajući rizike od samog početka.
  • Administrativne kazne mogu doseći do 4% godišnjeg globalnog prometa organizacije ili 20 miliona eura, što god je veće.

Novi izazovi usklađenosti za preduzeća

Sektorski utjecaj: Ko će biti najviše pogođen?

Zakon o zaštiti podataka u Bosnoj i Hercegovini će značajno uticati na industrije koje se oslanjaju na obradu podataka velikih razmjera, uključujući:

  • Tehnologija i e-trgovina: Kompanije koje koriste analitiku zasnovanu na vještačkoj inteligenciji, ciljano oglašavanje i praćenje ponašanja moraju revidirati svoje mehanizme za pristanak korisnika i politike praćenja.
  • Finansijski i zdravstveni sektor: Banke, osiguravajuća društva i pružaoci zdravstvenih usluga moraju usvojiti jače šifriranje podataka, mjere kontrole pristupa i sigurne metode autentifikacije.
  • Javni sektor i vladine agencije: Vladina tijela koja rukuju podacima građana moraju implementirati pojačane sigurnosne mjere i osigurati transparentne sporazume o dijeljenju podataka.

Strategije za ublažavanje rizika za organizacije

Da bi osigurale usklađenost s novim okvirom za zaštitu podataka, kompanije bi trebale:

  1. Redovno provoditi DPIA: Identifikovati aktivnosti obrade podataka visokog rizika i dokumentovati napore za usklađenost.
  2. Pregledati i ažurirati ugovore sa dobavljačima: Osigurati da nezavisni pružaoci usluga slijede smjernice SCC/BCR.
  3. Poboljšati obuku zaposlenih: Edukovati osoblje o novim obavezama zaštite podataka i procedurama izvještavanja.
  4. Pratiti trendove u sprovođenju zakona: Budite u toku sa smjernicama AZLP-a u BiH i shodno tome prilagođavati interne politike usklađenosti.

Pravni presedani i reference sudske prakse

Novi Zakon o zaštiti podataka u Bosnoj i Hercegovini usko je usklađen sa sudskom praksom EU, s ključnim utjecajima iz:

  • Schrems II (C-311/18, 2020): Utjecalo je na prekogranični prijenos podataka, što je zahtijevalo strožu primjenu standardnih ugovornih odredbi.
  • Google Spain SL protiv AEPD (C-131/12, 2014): Utvrđeno pravo na zaborav, sada u potpunosti integrirano u zakone BiH.
  • Digital Rights Ireland (C-293/12, 2014): Ojačani principi minimizacije podataka, sada se primjenjuju na ograničenja vladinog nadzora.

Pogled unaprijed: Budući trendovi u provođenju zakona

Iako je AZLP-u BiH dodijeljena značajna ovlaštenja za provođenje zakona, ostaje nejasno hoće li usvojiti agresivan pristup provođenju zakona sličan irskoj Komisiji za zaštitu podataka (DPC) ili će slijediti strategiju postepene implementacije. Ako historija služi kao vodič, mogli bismo vidjeti početna upozorenja i savjetodavne odluke prije izricanja većih kazni.

Osim toga, budućim izmjenama i dopunama mogla bi se uvesti pojašnjenja o prekograničnom prijenosu podataka, obavezama pružatelja usluga u oblaku i pravilima usklađenosti specifičnim za sektor.

Preduzeća bi trebala pažljivo pratiti trendove u sprovođenju zakona i pripremiti se za potencijalna ažuriranja propisa u narednim godinama. 

Zaključak: Priprema za usklađenost

Zakon o zaštiti podataka u BiH predstavlja značajnu transformaciju u pristupu zemlje privatnosti podataka i provođenju propisa. Kompanije koje posluju u BiH moraju odmah prilagoditi svoje modele upravljanja podacima, politike privatnosti i strategije procjene rizika kako bi osigurale potpunu usklađenost.

Za organizacije koje se ne pridržavaju propisa, finansijske kazne i rizici po reputaciju mogli bi biti ozbiljni. Preduzeća bi trebala proaktivno ulagati u mjere usklađenosti, uključujući:

  • Provođenje revizija usklađenosti.
  • Revizija ugovora sa dobavljačima.
  • Unapređenje infrastrukture kibernetičke sigurnosti. Revizija ugovora s dobavljačima.
  • Obuka zaposlenika o novim propisima o podacima u BiH.

Kako se BiH približava harmonizaciji zaštite podataka sa EU, kompanije moraju usvojiti napredan pristup usklađivanju, osiguravajući dugoročnu usklađenost s propisima i konkurentsku prednost.

Related Posts

Scroll to Top