Novi Zakon o zaštiti osobnih podataka (Zakon) u Bosni i Hercegovini (BiH) stupio je na snagu 8. ožujka 2025. Zakon će se primjenjivati nakon isteka 210 dana od dana stupanja na snagu, odnosno u listopadu 2025. godine.
Sada je vrijeme za razmišljanje o zakonu kako bismo se pripremili za mnogo strože uvjete nego prije. Kako za trgovačka društva i javna tijela u BiH tako i za trgovačka društva koja imaju poslovni nastan i djeluju u BiH (članak 6. stavak (2)).
Zakon se temelji na GDPR-u.
Budući da GDPR ne definira posebno nadležnosti nacionalnih ili drugih tijela koja će djelovati kao nadzorna tijela, zemlje prilagođavaju vlastite verzije zakona.
Prekršajni nalog i prekršajni postupak
U BiH, nositelj podataka (ispitanik) može se obratiti nadzornom tijelu (Agencija za zaštitu osobnih podataka u BiH (Agencija)) s prigovorom da su njegovi podaci povrijeđeni. Visine kazni za kontrolore i obrađivače u BH zakonu usklađene su s odredbama GDPR-a. Maksimalne kazne kreću se do 20.000.000 EUR (u BiH 40.000.000 KM) ili do 4 % ukupnog svjetskog godišnjeg prometa prethodne financijske godine, ovisno o tome što je veće.
Zakon u BiH predviđa i kažnjavanje odgovorne osobe u iznosu od 5.000 KM do 70.000 KM, kod kontrolora i obrađivača, kao i u javnom i nadležnom tijelu (izraz koji se u Zakonu koristi za tijelo koje je nadležno za sprječavanje, istragu i otkrivanje kaznenih djela). Za zaposlene osobe za prekršaj u navedenim tvrtkama i tijelima, novčane su kazne u iznosu od 500 KM do 5.000 KM. U Hrvatskoj takve kazne nisu predviđene Zakonom o provedbi Opće uredbe o zaštiti podataka.
U BiH, za predstavnike nisu predviđene kazne.
Izricanje novčanih kazni
Postoji specifičnost u BiH Zakonu kada je u pitanju izricanje novčanih kazni. Agencija izdaje prekršajni nalog ili pokreće prekršajni postupak pred sudom. Prekršajni sudovi u Federaciji BiH su općinski, a nakon njega kantonalni. U Republici Srpskoj nadležan je općinski, a zatim okružni sud. U Brčko Distriktu, nadležni je sud Osnovni sud Brčko distrikta BiH. Drugostupanjski je sud Apelacioni sud Brčko distrikta BiH.
Nasuprot tome, u Hrvatskoj Agencija za zaštitu osobnih podataka donosi rješenje koje je upravni akt, a onda i upravnu novčanu kaznu. Na to rješenje nije dopuštena žalba, već samo podnošenje upravne tužbe.
U BiH, osim prekršajnih naloga i pokretanja prekršajnog postupka, Agencija ima različite korektivne ovlasti prema kontroloru i obrađivaču (članak 103. stavak (2)). U tim slučajevima donose se upravni akti.
Postoje različiti čimbenici koji utječu na novčane kazne, a nazivaju se „otegotni ili olakotni čimbenici“.
Otegotni i olakotni čimbenici
Neki su od najvažnijih otegotnih čimbenika: osjetljiva priroda kršenja, dugotrajnost, velik broj pogođenih nositelja podataka, namjerno kršenje, prethodna kršenja i izostanak suradnje s Agencijom.
Neki su od najvažnijih olakšavajućih čimbenika: neosjetljiva priroda kršenja, kratko trajanje, mali broj pogođenih nositelja podataka, nenamjerno kršenje, bez prethodnih kršenja i suradnja s Agencijom.
Zaključak
Novi Zakon u BiH donosi značajne promjene i usklađuje se s GDPR-om, uvodeći strože kazne i jasnije mehanizme nadzora. Poduzetnici i tijela javne vlasti moraju se pravovremeno pripremiti kako bi izbjegli visoke kazne i osigurali usklađenost sa Zakonom. Uspješna provedba Zakona ovisit će o učinkovitosti Agencije za zaštitu osobnih podataka i sudova, kao i o spremnosti organizacija da prilagode svoje prakse zaštite osobnih podataka.
