Bosna i Hercegovina krajem prošle godine ušla je u novo razdoblje zaštite privatnosti. Naime, od 4. listopada počela je primjena Zakona o zaštiti osobnih podataka, usklađenog s europskim GDPR-om. Za razliku od starog zakona, novi okvir donio je stroža pravila i niz novina koje izravno utječu i na građane i na gospodarstvo. Prema novom zakonu, osobni podatak više nije samo ime ili prezime već i digitalni tragovi koje svakodnevno ostavljamo – od IP adrese i GPS lokacije do biometrijskih i genetskih podataka. O ovoj temi razgovarali smo s odvjetnicima Antonom Peharom i Zoranom Leskom iz odvjetničkog ureda Pehar & Lesko.
Vecernji.ba: Što je, prema novom zakonu, definirano pod pojmom osobni podatak?
Novi Zakon o zaštiti osobnih podataka Bosne i Hercegovine pojam osobnog podatka definira znatno šire nego raniji zakon, po uzoru na europski GDPR standard. Osobni podatak danas više nisu samo ime, prezime ili JMBG, nego i IP adresa, podaci o lokaciji, biometrijski podaci, fotografije i videosnimke, online identifikatori, podaci o zdravstvenom stanju, genetski podaci, kao i svaka kombinacija podataka koja može dovesti do identifikacije određene osobe. U praksi to znači da gotovo svaka tvrtka, institucija ili organizacija svakodnevno obrađuje osobne podatke, često i nesvjesno – kroz evidencije zaposlenika, videonadzor, web-stranice, newslettere, CRM sustave, mobilne aplikacije ili digitalni marketing. Upravo zbog toga novi zakon neće pogađati samo velike tvrtke i IT sektor nego praktički sve poslovne subjekte koji posluju s građanima, zaposlenicima ili poslovnim partnerima.
Vecernji.ba: Koja su prava građana, institucija, tvrtki?
Novi zakon uspostavlja znatno jasniji odnos prava i obveza između građana s jedne strane te institucija i poslovnih subjekata s druge strane. Građani dobivaju veći stupanj kontrole nad vlastitim podacima, dok tvrtke i institucije dobivaju preciznije definirana pravila obrade podataka i odgovornosti koje do sada u praksi često nisu bile dovoljno uređene. Obrada osobnih podataka više ne može biti prepuštena improvizaciji ili ustaljenoj poslovnoj praksi. Poslovni subjekti sada moraju imati zakonit pravni temelj za obradu podataka, moraju moći dokazati suglasnost korisnika kada je ona potrebna te moraju osigurati odgovarajuće tehničke i organizacijske mjere zaštite podataka. Posebno je važno naglasiti da će se odgovornost procjenjivati prema stvarnom stanju u poslovanju, a ne samo prema formalno donesenim pravilnicima.
Vecernji.ba: Koji su ciljevi novog zakona?
Temeljni cilj zakona jest zaštita prava i sloboda građana u vezi s obradom njihovih osobnih podataka, ali jednako tako i podizanje ukupne razine pravne i informacijske sigurnosti u poslovanju. Usklađivanje zakonodavstva Bosne i Hercegovine s GDPR-om i europskim standardima bilo je nužno ne samo zbog europskog puta BiH nego i zbog činjenice da suvremeno poslovanje podrazumijeva svakodnevnu razmjenu podataka u digitalnom okružju. Tvrtke koje ne usklade svoje poslovanje s novim pravilima vrlo brzo bi se mogle suočiti ne samo s regulatornim problemima nego i s gubitkom povjerenja klijenata, poslovnih partnera i međunarodnih suradnika. Posebno će to biti važno za društva koja posluju s partnerima iz EU ili koriste cloud i AI sustave koji obrađuju osobne podatke.
Vecernji.ba: Koja su prava građana?
Građani prvi put dobivaju prava gotovo identična onima koja postoje u državama EU kroz GDPR režim. To uključuje pravo pristupa vlastitim podacima, pravo na ispravak netočnih podataka, pravo na brisanje podataka, odnosno "pravo na zaborav", pravo na ograničenje obrade, pravo na prigovor te pravo da budu informirani tko obrađuje njihove podatke, u koju svrhu i koliko dugo. Upravo će povećana svijest građana o vlastitim pravima biti jedan od ključnih razloga zbog kojih će se poslovni subjekti morati ozbiljnije posvetiti usklađivanju sa zakonom. Iskustva iz država Europske unije pokazuju da najveći broj postupaka vrlo često ne proistječe iz velikih sigurnosnih incidenata, nego iz prijava nezadovoljnih zaposlenika, korisnika ili bivših klijenata koji postanu svjesni svojih prava.
Vecernji.ba: Kako u praksi ukloniti osobni podatak?
Brisanje osobnih podataka u praksi ovisi o tome postoji li zakonska osnova za njihovo daljnje čuvanje. Građanin može zatražiti brisanje korisničkog računa, povući suglasnost za marketing i newslettere ili tražiti prestanak nezakonite obrade podataka. Međutim, određeni podaci ipak se moraju čuvati zbog poreznih, računovodstvenih, radnopravnih ili drugih zakonskih obveza. Upravo zato će za poslovne subjekte biti iznimno važno da jasno definiraju rokove čuvanja dokumentacije, pravila pristupa podacima i interne procedure postupanja sa zahtjevima građana. U suprotnom, vrlo lako mogu doći u situaciju da ne mogu dokazati zakonitost vlastite obrade podataka.
Vecernji.ba: Koliko su građani i tvrtke spremni na primjenu novog zakona?
Naša je procjena da svijest o važnosti zaštite osobnih podataka raste, ali da velik broj poslovnih subjekata u BiH još uvijek nije u potpunosti spreman za punu primjenu zakona. Posebno se to odnosi na male i srednje poduzetnike, javna poduzeća, obrazovne i zdravstvene ustanove, kao i organizacije koje intenzivno koriste digitalne alate i online marketing. U praksi mnogi još uvijek nemaju interne pravilnike, nemaju uređene procedure pristupa podacima, koriste videonadzor bez odgovarajućih obavijesti ili koriste marketinške baze bez valjane suglasnosti korisnika. Upravo će ta područja vrlo vjerojatno biti među prvim fokusima regulatornih i inspekcijskih aktivnosti u idućem razdoblju.
Vecernji.ba: Kakve su kazne i posljedice nepoštivanja zakona?
Novi zakon predviđa znatno ozbiljniji sustav nadzora i sankcija nego ranije. Agencija za zaštitu osobnih podataka BiH dobiva šire ovlasti za provođenje inspekcijskih nadzora i izricanje mjera, a posljedice neusklađenosti mogu biti vrlo ozbiljne. Kazne mogu biti u milijunima KM. Osim novčanih kazni, poslovni subjekti mogu se suočiti sa zabranom određene obrade podataka, nalozima za brisanje podataka, privremenom obustavom pojedinih poslovnih procesa, ali i značajnom reputacijskom štetom. Posebno rizična područja bit će videonadzor, marketing bez privole, curenje baza podataka, nezakonita obrada podataka zaposlenika te neadekvatna informacijska sigurnost. U suvremenom poslovanju povjerenje klijenata i partnera postaje jedan od ključnih poslovnih resursa, a upravo zaštita osobnih podataka sve više postaje pitanje profesionalne odgovornosti i ozbiljnosti poslovanja. Da bi šira javnost imala bolju predodžbu kolike su kazne, hrvatski AZOP (Agencija za zaštitu osobnih podataka) na temelju zakonskih ovlasti za izricanje kazni (visina kazni je identično propisana u RH i BiH) je izrekla, između ostalih, sljedeće kazne: EOS Matrixu d. o. o. 5,47 milijuna eura zbog neadekvatne zaštite baze osobnih podataka, nezakonite obrade podataka dužnika i zdravstvenih podataka te netransparentne obrade osobnih podataka. Telemachu Hrvatska 4,5 milijuna eura zbog nezakonitog prijenosa osobnih podataka korisnika u Srbiju bez odgovarajućih zaštitnih mjera te nezakonite obrade podataka zaposlenika. Erste banci 1,5 milijuna eura zbog prekomjernog i netransparentnog prikupljanja podataka korisnika putem aplikacije mobilnog bankarstva. Društvu za djelatnost kockanja i klađenja 380.000 eura zbog nezakonitog prikupljanja i pohranjivanja preslika bankovnih kartica korisnika bez odgovarajuće pravne osnove i zaštitnih mjera. I još niz drugih.
Vecernji.ba: Kako će novi Zakon o zaštiti osobnih podataka utjecati na korištenje umjetne inteligencije, AI chatbotova i digitalnih alata u poslovanju?
U primjeni zakona bit će veliko pitanje pravilno i zakonito korištenje umjetne inteligencije i digitalnih alata koji obrađuju osobne podatke građana. Tvrtke će morati voditi računa o tome gdje se podaci pohranjuju, tko im ima pristup, prenose li se izvan BiH ili EU te koriste li se podaci za automatizirano donošenje odluka. Nužna će biti kontrola nad zaposlenicima koji koriste umjetnu inteligenciju kod obrade osobnih podataka.
Vecernji.ba: Koliko je korištenje umjetne inteligencije i AI alata danas potencijalno rizično iz perspektive zaštite osobnih podataka i jesu li građani, zaposlenici i tvrtke uopće svjesni što sve dijele s umjetnom inteligencijom?
Jedno od posebno važnih pitanja u primjeni novog Zakona o zaštiti osobnih podataka svakako će biti i sve češće korištenje umjetne inteligencije u svakodnevnom poslovanju. Danas sve veći broj zaposlenika, menadžera, pa čak i fizičkih osoba koristi AI alate za izradu analiza, izvješća, prezentacija, pravnih mišljenja, marketinških sadržaja i drugih poslovnih dokumenata, pri čemu korisnici često bez dovoljno opreza u AI sustave učitavaju dokumente koji sadrže osobne podatke građana, klijenata, zaposlenika ili poslovnih partnera. U praksi se vrlo često događa da se u AI alate učitavaju ugovori, liječnički nalazi, evidencije zaposlenika, financijska izvješća, baze klijenata, e-mail komunikacija ili drugi dokumenti koji sadrže osjetljive i povjerljive podatke, a da pritom korisnici uopće nisu svjesni gdje se ti podaci pohranjuju, tko im može pristupiti i obrađuju li se izvan BiH ili EU. Upravo će zato novi zakon otvoriti brojna pitanja odgovornosti poslodavaca i poslovnih subjekata za korištenje umjetne inteligencije u poslovnim procesima. Više neće biti dovoljno samo imati formalne pravilnike o zaštiti podataka nego će društva morati jasno urediti pravila korištenja AI alata, kontrolu pristupa dokumentima, anonimizaciju podataka i interne procedure za obradu povjerljivih informacija. Važno je naglasiti da mnogi AI sustavi funkcioniraju putem cloud infrastrukture i međunarodnog prijenosa podataka, što dodatno povećava regulatorni rizik ako se osobni podaci obrađuju bez odgovarajuće pravne osnove, zaštitnih mjera ili transparentnog informiranja ispitanika. Upravo na području korištenja umjetne inteligencije očekujemo jedan od najvećih praktičnih izazova u primjeni novog zakona, ali i potencijalno značajan izvor budućih regulatornih postupaka i odgovornosti za poslovne subjekte koji pravodobno ne usklade svoje poslovanje s pravilima zaštite osobnih podataka.
Otvori KEKS Pay
