Novi Zakon o zaštiti osobnih podataka, koji je usklađen s europskim Općom odredbom o zaštiti podataka (GDPR), stupio je na snagu, čime BiH ispunjava jedan od ključnih uvjeta na putu ka članstvu u Europskoj uniji. 

Novi Zakon, kojeg se počinje primjenjivati 4. listopada 2025., jasno definira osobne podatke koji, osim tradicionalnih identifikacijskih informacija, poput imena i fotografije uključuje i podatke poput IP adrese, e-mail adrese te biometrijskih podataka, primjerice otisaka prstiju koje se koristi za evidenciju radnoga vremena.

Zakon jača obveze kontrolora u pogledu tehničkih i organizacijskih mjera zaštite te uvodi načelo 'prava na zaborav', koji omogućava građanima zatražiti brisanje svojih podataka kada više ne postoji zakonska osnova za njihovu obradu. 

- Više nije dovoljno imati samo osnovne tehničke mjere zaštite. Svaka obrada osobnih podataka mora imati pravnu osnovu, bilo da se radi o zakonskoj obvezi, legitimnom interesu ili izričitoj privoli, istaknula je na stručnom seminaru u Mostaru povodom početka primjene zakona prof. dr. sc. Marija Boban. 

Ta istaknuta stručnjakinja za zaštitu osobnih podataka i kibernetičku sigurnost, s bogatim iskustvom rada na projektima usklađivanja s GDPR-om, napomenula je da Zakon predviđa stroge zakonske kazne za povrede, u rasponu od 500 KM za fizičke osobe koje rukovode obradom podataka, pa do 40 milijuna KM, odnosno 4% globalnog godišnjeg prometa za pravne osobe, ovisno o težini prekršaja.

Naglasak je stavljen na potrebu edukacije zaposlenika i imenovanja službenika za zaštitu podataka, što je obveza i za javni i za privatni sektor. U praksi to znači da je svaka institucija ili tvrtka koja prikuplja osobne podatke dužna uskladiti svoje interne procedure, politike privatnosti te uspostaviti jasne upute i kodekse ponašanja.

 Kao najčešći primjer nepravilne obrade navedeno je slanje newslettera bez prethodno dobivene privole korisnika, što sada predstavlja kršenje Zakona. Prof. dr. sc. Boban osobito je istaknula da se biometrijske podatke ne smiju koristiti bez posebne privole zaposlenika, dok će nadzorno tijelo, a to je Agencija BiH za zaštitu osobnih podataka, imati ovlasti nadzora i sankcioniranja.  

– Zaštita počinje edukacijom i usklađivanjem procesa, a ključni faktor su ljudi - što smiju dijeliti, u koju svrhu i na kojem pravnom osnovu. Ako organizacija ne poduzme ništa, tada je kazna izgledna, ukazala je prof. dr. sc. Boban.

Primjena Zakona se ne odnosi samo na digitalne sustave, već i na svakodnevne situacije - od objave osnovnih podataka zaposlenika na internetskim stranicama, do korištenja videonadzora, koji mora jasno biti označen i zakonski opravdan.