Novi Zakon o zaštiti osobnih podataka u BiH: GDPR, 'pravo na zaborav' i kazne do 40 miliona KM

Novi Zakon o zaštiti osobnih podataka stupio na snagu

Novi Zakon o zaštiti osobnih podataka u Bosni i Hercegovini, usklađen s europskom Općom odredbom o zaštiti podataka (GDPR), počinje se primjenjivati 4. oktobra 2025. Zakon jasno proširuje pojmove osobnih podataka i obuhvata, pored imena i fotografije, IP adresu, e-mail adresu i biometrijske podatke, kao što su otisci prstiju koji se koriste za evidenciju radnog vremena. Novi Zakon o zaštiti osobnih podataka i GDPR postavljaju strože mjere zaštite i nove obaveze za kontrolore podataka.

- Više nije dovoljno imati samo osnovne tehničke mjere zaštite. Svaka obrada osobnih podataka mora imati pravnu osnovu, bilo da se radi o zakonskoj obvezi, legitimnom interesu ili izričitoj privoli, istaknula je na stručnom seminaru u Mostaru povodom početka primjene zakona prof. dr. sc. Marija Boban.

Zakon uvodi pravo na zaborav i zahtijeva da svaka institucija i kompanija uskladi interne procedure, politike privatnosti i upute za upotrebu podataka. Predviđene su novčane sankcije od 500 KM za fizičke osobe koje nezakonito upravljaju podacima do 40 miliona KM ili 4% godišnjeg globalnog prometa za pravna lica, ovisno o težini kršenja.

U fokusu su edukacija zaposlenika, imenovanje službenika za zaštitu podataka i zabrana korištenja biometrijskih podataka bez posebne privole. Nadzor i sankcioniranje provodit će Agencija BiH za zaštitu osobnih podataka.

– Zaštita počinje edukacijom i usklađivanjem procesa, a ključni faktor su ljudi - što smiju dijeliti, u koju svrhu i na kojem pravnom osnovu. Ako organizacija ne poduzme ništa, tada je kazna izgledna, ukazala je prof. dr. sc. Boban.

Primjena Zakona obuhvata i svakodnevne prakse: objave podataka zaposlenika na webu, slanje newslettera bez privole i upotrebu videonadzora koji mora biti jasno označen i zakonski opravdan.