Kolumne

Zaštita podataka u BiH: Stvarna reforma ili samo privid usklađivanja s EU standardima?

Zaštita podataka u BiH: Stvarna reforma ili samo privid usklađivanja s EU standardima?
Foto: Ustupljene fotografije | Zaštita podataka u BiH: Stvarna reforma ili samo privid usklađivanja s EU standardima?

Bosna i Hercegovina (BiH) je, usvajanjem Prijedloga Zakona o zaštiti ličnih podataka (Prijedlog Zakona), zakoračila u novo poglavlje regulisanja zaštite ličnih podataka i privatnosti. Ovaj Prijedlog, čija je osnovna premisa usklađivanje sa standardima Evropske unije (EU), Opštom uredbom o zaštiti podataka (GDPR) i Direktivom (EU) 2016/680, trebalo bi da obezbijedi savremenu zaštitu privatnosti građana i odgovori na izazove digitalnog doba. Važno je istaći da zaštita ličnih podataka u Evropskoj uniji predstavlja jedno od osnovnih ljudskih prava, garantovano Poveljom o osnovnim pravima i slobodama Evropske unije. Ovo pravo se materijalizuje, između ostalog, kroz Opštu uredbu o zaštiti podataka (GDPR). Za razliku od GDPR-a, Prijedlog Zakona ne sadrži recitale koji GDPR-u daju kontekst, dopunjuju normativne odredbe i pružaju praktične smjernice za njihovu primjenu. Upravo ovi recitali značajno olakšavaju praktičnu primjenu zakonskih odredbi i obezbjeđuju dosljedno tumačenje propisa. Izostanak ovakvih smjernica u Prijedlogu Zakona, iako nije uobičajena praksa našeg normativno-pravnog okvira, predstavlja značajan nedostatak koji će otežati njegovu praktičnu primjenu i staviti pred izazove sve one koji su zaduženi za njegovo sprovođenje, a u prvom redu poslovne subjekte.

Iako je ovaj Prijedlog Zakona usvojen šest godina nakon početka primjene GDPR-a u EU, i dalje se postavlja pitanje: da li je ovaj zakon zaista teži suštinskom usklađivanju sa standardima EU, ili je riječ o površnom preuzimanju odredaba bez dubljeg razumijevanja njihovog značenja i načina primjene?

1. Spajanje GDPR i LED u jedan zakonski teskt u Bosni i Hercegovini

Prijedlog Zakona, članom 1, nastoji uskladiti domaće zakonodavstvo s evropskim standardima, integrišući odredbe GDPR-a i Direktive (EU) 2016/680 (tzv. LED) u jedan cjelovit pravni tekst. Iako je cilj harmonizacije s EU zakonodavstvom pohvalan, spajanje ova dva pravna akta u jedan zakon može izazvati određene komplikacije u primjeni, čime bi se mogla otežati ili usporiti njegova implementacija na teritoriji BiH. Ukratko, ovakav pristup usklađivanju predstavlja presedan, jer Prijedlog Zakona objedinjuje dvije pravne oblasti u jedan tekst. Ovo postavlja ključno pitanje: da li BiH nudi novi model harmonizacije u vezi sa zaštitom privatnosti i ličnih podataka?

Naime, GDPR se isključivo primjenjuje na opštu obradu ličnih podataka u komercijalnom i javnom sektoru, s posebnim fokusom na zaštitu prava pojedinaca u kontekstu slobodnog protoka podataka. S druge strane, LED se odnosi na obradu podataka od strane nadležnih tijela u svrhe sprječavanja, istrage, otkrivanja ili progona krivičnih djela, kao i izvršavanja krivičnih sankcija. Spajanje ova dva područja u jedan zakon može dovesti do nejasnoća u primjeni, naročito u slučajevima gdje se nadležnosti i svrhe obrade podataka preklapaju.

Takođe, GDPR postavlja visoke standarde zaštite podataka s naglaskom na transparentnost, saglasnost i prava nosilaca ličnih podataka. S druge strane, LED omogućava određene izuzetke i fleksibilnosti u obradi podataka od strane organa za provođenje zakona, uzimajući u obzir specifične potrebe kriminalističkih istraga. Integracija ovih različitih standarda u jedinstven zakonski okvir može izazvati konfuziju među kontrolorima podataka i nadzornim tijelima u pogledu njihovih obaveza, kao i prava nosilaca ličnih podataka.

Primjena LED-a u Evropskoj uniji dodatno je analizirana u prvom izvještaju o njenoj implementaciji, koji je Evropska komisija objavila 2022. godine. U ovom izvještaju naglašeni su ključni izazovi u primjeni LED-a, uključujući nedostatke u harmonizaciji na nivou država članica i potrebu za jasnijim smjernicama u kontekstu specifičnih situacija obrade podataka. Ovo iskustvo EU može poslužiti kao vrijedan vodič za BiH kako bi se izbjegle slične poteškoće u implementaciji zakona.

Zaključno, primjena jedinstvenog zakona na različite sektore sa specifičnim potrebama i praksama može značajno otežati operativnu implementaciju. Ovakvo rješenje bi zahtijevalo dodatne smjernice i tumačenja kako bi se osigurala pravilna primjena zakonskih odredbi.

Uzimajući u obzir navedeno, zakonodavac u BiH bi trebao ozbiljno razmotriti donošenje dva odvojena zakona, od kojih bi jedan regulisao opštu zaštitu ličnih podataka (u skladu s GDPR-om), a drugi obradu podataka u svrhe provođenja zakona (u skladu s LED).

Ovaj pristup bi omogućio jasnije definisanje nadležnosti, procedura i standarda za svaku od ovih oblasti, čime bi se olakšala primjena zakona i osigurala dosljedna zaštita prava građana. Razdvajanje pravnih oblasti doprinijelo bi boljoj operativnoj implementaciji zakona, smanjenju potrebe za dodatnim smjernicama i tumačenjima, te jačanju povjerenja građana u sistem zaštite njihovih ličnih podataka.

2. Pitanje pravnog osnova za obradu ličnih podataka

Počevši od definicija iz člana 2 Prijedloga Zakona, jasno je da se na sličan način definišu osnovni pojmovi, kao što to čini GDPR u svom članu 4. Ipak, Prijedlog Zakona ne pruža dovoljno pojašnjenja u vezi sa pojmovima pomenutim u članu 2.

Primjera radi, definicija saglasnosti je od važnosti jer prema Prijedlogu Zakona predstavlja jedan od potencijalno mogućih pravnih osnova za obradu ličnih podataka. Iako je definicija saglasnosti relativno slična onoj u GDPR-u, Prijedlog Zakona ne pruža dovoljno objašnjenja samog pojma saglasnosti, kao što to čini GDPR. Konkretno, GDPR u svom recitalu 32 nudi dodatna pojašnjenja da se saglasnost – kao jedan od pravnih osnova za obradu ličnih podataka – mora dati jasnim afirmativnim činom koji uspostavlja slobodno datu, specifičnu, informisanu i nedvosmislenu indikaciju pristanka nosioca ličnih podataka na obradu njegovih ili njenih podataka. Ovo može uključivati pisanu izjavu, uključujući elektronskim putem, ili usmenu izjavu. Ukratko, akcenat je na informisanoj saglasnosti kao jedinom pravno valjanom obliku saglasnosti kada je riječ o obradi ličnih podataka. Iz samog Prijedloga Zakona ostaje otvoreno pitanje kakva saglasnost bi bila u skladu sa budućim pravnim okvirom u BiH, ukoliko dodje do usvajanja Prijedloga Zakona u konačnici.

Dodatno, Prijedlog Zakona, slično kao i GDPR, razlikuje pojmove saglasnost i izričita saglasnost kao pravnih osnova za obradu ličnih podataka, ali ne nudi praktično objašnjenje njihove suštinske razlike. Dok GDPR kroz svoje recitale 34 i 35 detaljno definiše pojmove poput genetskih i biometrijskih podataka u kontekstu njihove zaštite, Prijedlog Zakona ove pojmove pominje samo površno ističući nedovoljno jasnu izričitu saglasnost kao pravni osnov za obradu ovakvih vrsta ličnih podataka podataka. Ovakvo površno definisanje osnovnih pojmova, od procesuiranja do čuvanja ličnih podataka, otežava pravilnu interpretaciju i primjenu zakona u specifičnim slučajevima.

Što se tiče ostalih pravnih osnova za obradu podataka, član 7 Prijedloga Zakona uglavnom postavlja pravne osnove slično kao GDPR u svom članu 6. Međutim, Prijedlog Zakona ne precizira kako će se provoditi procjena srazmjernosti, što je ključni zahtjev GDPR-a za legitimne interese kontrolora podataka, kako je opisano u recitalu 47 GDPR-a. Uzimajući u obzir interpretaciju samog GDPR-a u praksi, kao i sudsku prasksu u EU obrada ličnih podataka zasnovana na legitimnom interesu (npr. Presuda Suda Evropske unije u predmetu C-13/16 Rīgas Satiksme) pokazala je da je tumačenje ovog pravnog osnova složeno i često nedosledno. Naime, legitimni interesi kontrolora obrade, uključujući interese trećih strana, mogu predstavljati pravnu osnovu za obradu podataka, pod uslovom da ti interesi nisu nadređeni osnovnim pravima i slobodama nosioca podataka, uzimajući u obzir opravdana očekivanja nosioca podataka zasnovana na njihovom odnosu s kontrolorom obrade. Takav legitimni interes može postojati, na primjer, kada postoji relevantan i odgovarajući odnos između nosioca podataka i kontrolora, poput situacija kada je nosilac podataka klijent ili zaposlen kod kontrolora obrade.

Osim toga legitimnog interesa kao jednog od mogućih pravnih osnova za obradu ličnih podataka, Prijedlog Zakona pominje i javni interes kao potencijalno moguć pravni osnov. Međutim, Prijedlog Zakona upšte ne definiše jasno javni interes koji opravdava obradu, na primjer, osjetljivih kategorija ličnih podataka, niti pruža detaljna uputstva za pseudonimizaciju i enkripciju kao dodatne mjere zaštite, što GDPR zahtijeva u članu 9 i recitalu 28.

Prijedlog Zakona, iako predstavlja pozitivan iskorak u oblasti zaštite podataka, mora pružiti preciznije definicije pravnih osnova za obradu ličnih podataka. Time bi se olakšalo kontrolorima podataka, posebno poslovnim subjektima u BiH, da procijene usklađenost sa zakonom. Zaključuje se da bi Prijedlog Zakona trebao uključiti detaljnije smjernice o tome kako se procjenjuje pravno valjan osnov za obradu podataka, uključujući legitimni interes, te kako se balansira sa pravima i slobodama nosilaca podataka pri izboru valjanog pravnog osnova.

3. Prava nosilaca ličnih podataka u BiH

Prijedlog Zakona na sličan način reguliše i pitanje prava nosilaca ličnih podataka, kao što to čini i GDPR. Međutim, Prijedlog Zakona ne precizira jasno rokove za ispunjenje zahtjeva nosilaca podataka. Važno je napomenuti da je GDPR izuzetno precizan po ovom pitanju, propisujući rok od jednog mjeseca za postupanje po zahtjevima.

Takođe, GDPR je uveo brojne novine u pogledu prava nosilaca ličnih podataka. Na primjer, kao rezultat brojnih pravnih sporova, uključujući poznati slučaj Suda Evropske unije Google Spain SL i Google Inc. protiv Agencia Española de Protección de Datos (C-131/12), GDPR je formalizovao tzv. pravo na zaborav (Right to be forgotten). Iako Prijedlog Zakona u članu 18 reguliše ovo pravo na sličan način, izostavlja dodatna pojašnjenja koja prate posljednje trendove u sudskoj praksi Sudova u zemljama članicama Evropske unije.

Naime, Sud Evropske unije je naglasio da je kod prava na zaborav ključno uspostaviti balans između ovog prava i prava na slobodu izražavanja i informisanja. Prijedlog Zakona trenutno nije dovoljno usklađen s ovim zahtjevom jer ne precizira jasne kriterijume koji bi definisali kada pravo na zaborav ima prednost nad pravom javnosti na pristup informacijama. U praksi, kontrolori podataka, poput pretraživača, često imaju širok prostor za interpretaciju, što može dovesti do neujednačene primjene.

Da BiH ne bi ponavljala greške zabilježene u EU, potrebno je dodati preciznije kriterijume za balansiranje prava. Ovi kriterijumi bi trebalo da obuhvate vremenski okvir za procjenu, značaj informacije za javnost i težinu povrede prava nosioca podataka. Jasno definisani kriterijumi doprinijeli bi efikasnijem sprovođenju zakona i boljoj zaštiti prava nosilaca podataka, dok bi istovremeno očuvali pravo javnosti na informisanje.

4. Izrada profilia i automatska obrada podataka

Prijedlog Zakona na sličan način definiše pojam izrade profila (profiling – automated decision-making), kao i GDPR. Međutim, analizirajući član 23, Prijedlog Zakona ostavlja pravne praznine, koje mogu rezultirati potencijalnim rizicima za zaštitu osnovnih prava i sloboda građana u našoj državi.

Naime, član 23 predviđa izuzetke kada se automatizovane odluke ili profilisanje mogu sprovesti, uključujući situacije kada je takva obrada dozvoljena zakonom koji se primjenjuje na kontrolora podataka i koji propisuje odgovarajuće zaštitne mjere za prava i slobode nosilaca podataka. Međutim, Prijedlog Zakona ne precizira koji domaći propisi konkretno dozvoljavaju takvu obradu, što stvara pravnu nesigurnost. Ovakva formulacija može dovesti do situacije u kojoj bi se zakoni drugih zemalja, poput članica EU, mogli primjenjivati na kontrolore podataka u BiH, posebno ako ti kontrolori posluju na međunarodnom nivou. To bi moglo značiti da, ukoliko zakon neke članice EU dozvoljava profilisanje, građani BiH mogu biti podvrgnuti takvoj obradi bez adekvatne zaštite i obavještenja, što dovodi u pitanje suverenitet BiH i zaštitu osnovnih prava i sloboda njenih građana.

Nedostatak jasnih definicija i preciznih odredbi u vezi s automatizovanim donošenjem odluka i profilisanjem može dovesti do zloupotreba i narušavanja prava građana. Bez jasnih smjernica, kontrolori podataka mogu tumačiti zakon na način koji im omogućava široku primjenu automatizovanih odluka, što može imati negativne posljedice po privatnost i slobode pojedinaca.

Isto tako, analizom definicije izrade profila u članu 2 Prijedloga Zakona, uočava se da se fokusira isključivo na proces automatizovane obrade ličnih podataka radi procjene određenih aspekata fizičkog lica, kao što su radni učinak, ekonomsko stanje, zdravlje, lične sklonosti i slično. Međutim, ova definicija ne obuhvata sve faze profilisanja, koje uključuju:

  1.  Analizu podataka – proces prikupljanja i obrade ličnih podataka radi identifikacije obrazaca ili karakteristika,

  2.  Izradu profila – kreiranje profila na osnovu analiziranih podataka, i

  3.  Primjenu profila – korišćenje izrađenih profila za donošenje odluka koje utiču na nosioce podataka.

Ograničavanjem definicije samo na izradu profila, zakon ne reguliše adekvatno fazu primjene profila, odnosno donošenje odluka na osnovu tih profila. Ovo može dovesti do pravnih praznina, jer se ne adresiraju potencijalni rizici i posljedice koje mogu proizaći iz odluka donesenih na osnovu profilisanja, poput diskriminacije ili povrede prava na privatnost.

Za sveobuhvatnu zaštitu prava nosilaca podataka, neophodno je da zakon jasno definiše i reguliše sve faze profilisanja, uključujući i primjenu profila u procesu donošenja odluka koje imaju pravne ili slične značajne efekte na pojedince. Ovo bi osiguralo da se prava i slobode nosilaca podataka adekvatno štite tokom cijelog procesa profilisanja.

S obzirom na to da je diskusija o praksi profilisanja već uveliko prisutna u akademskoj zajednici EU, BiH bi trebala iskoristiti postojeće iskustvo iz zemalja članica EU. Potrebno je jasno definisati u kojim slučajevima i pod kojim uslovima je dozvoljeno automatizovano donošenje odluka i profilisanje, uz precizno navođenje konkretnih domaćih zakona koji to regulišu. Takođe, potrebno je pojasniti šta se podrazumijeva pod pojmom pravni učinak, koji predstavlja osnovu zabrane automatizovane obrade podataka ili profilisanja.

Zaključno, Prijedlog Zakona treba jasno definisati da se na obradu podataka građana BiH primjenjuju isključivo domaći propisi, čime bi se očuvala suverenost zemlje i zaštitila prava njenih građana.

5. Prenos podataka u treće zemlje

Iako Prijedlog Zakona na nekoliko mjesta pominje prenos podataka u treće zemlje, u njemu potpuno nedostaju detalji o pravnim mehanizmima koji se koriste za osiguranje adekvatnog nivoa zaštite prilikom takvog prenosa. Za razliku od Prijedloga Zakona, GDPR je vrlo jasan i detaljan po ovom pitanju. Konkretno, članovi 44–49 GDPR-a, zajedno s odgovarajućim recitalima, pružaju sveobuhvatan okvir za regulisanje prenosa podataka u treće zemlje.

Dodatno, prenos podataka u treće zemlje već je dugo predmet intenzivnih rasprava u akademskoj zajednici EU, ali i u sudskoj praksi Sudova zemlaja članica Evropske unije. Na primjer, presude poput Schrems I i Schrems II značajno su uticale na oblikovanje pravila o međunarodnim prenosima podataka, posebno u vezi sa standardnim ugovornim klauzulama i drugim zaštitnim mjerama.

S obzirom na to, Prijedlog Zakona bi trebao uzeti u obzir bogato iskustvo EU u ovom domenu, uključujući pravne standarde, sudsku praksu i naučne rasprave, kako bi osigurao jasnija i sveobuhvatnija pravila o međunarodnom prenosu podataka. Ovo bi bilo ključno ne samo za zaštitu prava nosilaca podataka u BiH, već i za usklađivanje sa evropskim standardima, što bi dodatno doprinijelo povjerenju u domaći pravni okvir.

6. Kazne

Po ugledu na GDPR, Prijedlog Zakona propisuje oštre kazne, tačnije u iznosima od 10.000 KM do 100.000 KM, ili u slučaju privrednog subjekta do 2% ukupnog godišnjeg prometa za prethodnu finansijsku godinu, zavisno koji iznos je viši. Međutim, kazne nisu u Prijedlogu Zakona BiH dovoljno razrađene.

Prijedlog Zakona ne pruža jasne kriterijume za njihovo određivanje. Ovo može dovesti do subjektivnog tumačenja i neujednačenosti u primjeni sankcija, što dodatno narušava povjerenje u cjelokupan Zakon.

Gdje ide Bosna i Hercegovina sa novim Prijedlogom Zakona o zaštiti ličnih podataka? Da li je to korak naprijed ili još jedan novi izazov?

Bosna i Hercegovina je, usvajanjem Prijedloga Zakona o zaštiti ličnih podataka, napravila značajan korak ka usklađivanju sa standardima Evropske unije u oblasti zaštite ličnih podataka. Međutim, da bi ovaj zakon bio efikasan i primjenjiv, potrebno je adresirati nekoliko ključnih pitanja.

1. Stvarno usklađivanje zakonskog okvira sa EU standardima, a ne prividno

Nakon šest godina primjene GDPR-a u EU, evidentirani su brojni izazovi i kritike koji mogu poslužiti kao vrijedne lekcije za našu zemlju. Na primjer, mnogi poslovni subjekti na teritoriji EU i dalje imaju nejasnoće vezane za usklađivanje s GDPR-om, što ukazuje na potrebu za kontinuiranom edukacijom i podrškom od strane nadzornih tijela. Takođe, analiza sudske prakse pokazuje da su izrečene brojne novčane kazne zbog kršenja GDPR-a, što naglašava važnost jasnih smjernica i dosljedne primjene zakona.

Sudska praksa Evropskog suda za ljudska prava dodatno ističe kompleksnost zaštite podataka, naročito u kontekstu balansiranja prava na privatnost sa drugim pravima i slobodama. Ovi primjeri ukazuju na potrebu da BiH ne samo preuzme odredbe GDPR-a, već i prilagodi zakonodavstvo specifičnostima domaćeg pravnog i institucionalnog sistema, uzimajući u obzir iskustva i izazove s kojima su se suočavale zemlje članice EU. Stoga je ključno da zakonodavac u BiH proaktivno prepozna ove izazove i radi na njihovom otklanjanju, kako bi se osigurala efikasna implementacija zakona i stvarna zaštita prava građana u digitalnom dobu.

2. Prilagođavanje zakona specifičnostima pravnog i institucionalnog sistema BiH

BiH ima složenu političku i institucionalnu strukturu, što može predstavljati izazov u implementaciji jedinstvenog zakonskog teksta koji pokirava istovremeno opštu zaštitu ličnih podataka i obradu podataka u svrhe provođenja zakona. Potrebno je razmotriti donošenje dva odvojena zakona, od kojih bi jedan regulisao opštu zaštitu ličnih podataka (u skladu s GDPR-om), a drugi obradu podataka u svrhe provođenja zakona (u skladu s LED direktivom).

Ovakav pristup bi omogućio jasnije definisanje nadležnosti, procedura i standarda u svakoj od ovih oblasti, olakšavajući primjenu zakona i osiguravajući dosljednu zaštitu prava građana.

3.Unapređenje transparentnosti i odgovornosti u obradi podataka

Zakon treba da obezbijedi efektivne mehanizme implementacije, kako bi svi subjekti koji obrađuju lične podatke postupali transparentno i odgovorno. To podrazumijeva obavezu informisanja nosilaca podataka o svrsi obrade, pravnom osnovu, njihovim pravima, kao i o eventualnim prenosima podataka trećim stranama ili u druge zemlje. Takođe, potrebno je uspostaviti mehanizme za redovno praćenje i reviziju postupaka obrade podataka kako bi se osigurala usklađenost sa zakonom.

4. Jačanje kapaciteta Agencije za zaštitu ličnih podataka

Agencija za zaštitu ličnih podataka u BiH trenutno se suočava s ograničenim resursima i kapacitetima, što može uticati na njenu sposobnost da adekvatno nadzire i sprovodi odredbe novog zakona. Povećanje broja stručnog osoblja, obezbjeđivanje kontinuirane edukacije i unapređenje tehničke opremljenosti Agencije ključni su koraci ka efikasnijem sprovođenju zakona.

5. Osiguranje pristupačnih mehanizama za ostvarivanje prava građana

Zaštita ličnih podataka direktno je povezana s mogućnošću građana da ostvare svoja prava na jednostavan i razumljiv način. Neophodno je uspostaviti jasne procedure za podnošenje pritužbi, zahtjeva za pristup podacima i ispravku netačnih informacija. Takođe, potrebno je organizovati informativne kampanje kako bi se građani edukovali o svojim pravima i načinima njihove zaštite.

6. Podsticanje kulture zaštite podataka

Pored zakonskih okvira, važno je razvijati svijest o značaju zaštite ličnih podataka među građanima, institucijama i poslovnim subjektima. Edukativne inicijative, seminari i radionice mogu doprinijeti boljem razumijevanju obaveza i prava u vezi s obradom ličnih podataka, čime se jača ukupna kultura zaštite privatnosti u društvu.

Zaključak

U zaključku, iako je Prijedloga Zakona pozitivan korak, njegova buduća efikasna primjena, ukoliko dođe do usvajanja, zavisi od spremnosti institucija da preduzmu potrebne mjere. Samo sveobuhvatan pristup, koji uključuje unapređenje teksta zakona u skladu sa praksom i iskustvom država članica EU, jačanje kapaciteta, edukaciju i prilagođavanje specifičnostima BiH, može učiniti ovaj zakon djelotvornim alatom za zaštitu ličnih podataka građana BiH u digitalnom dobu.

Pišu: Dr Maja Nišević i Mr Duško Milojević (Fakultet za Pravo i Kriminologiju - Centar za IT, IP, Pravo i Etiku, KU Luven, Belgija)

 

Pratite nas na našoj Facebook i Instagram stranici, kao i na X nalogu.

Izneseni komentari su privatna mišljenja autora i ne odražavaju stavove redakcije Nezavisnih novina.

Najčitanije