Autor: Matea Marić, certificirani službenik za zaštitu podataka, Parser compliance
Novi Zakon o zaštiti osobnih podataka u BiH stupio je na snagu 8. ožujka 2025. Zakon je mnogo stroži od prethodnog, donesenog 2006., i donesen je u sklopu usuglašavanja s regulativom Europske Unije, konkretno Općom Uredbom o zaštiti podataka (eng. General Data Protection Regulation – GDPR), koja je s punom primjenom krenula u zemljama EU u svibnju 2018.
Razdoblje je prilagodbe na Zakon o zaštiti osobnih podataka 210 dana, mada se za neke elemente dopušta dvije godine ako je aktivnost obrade već započela. Nadzorno tijelo, Agencija za zaštitu osobnih podataka BiH, po donošenju Zakona objavila je Obavještenje kojim upućuje koje se aktivnosti očekuje uspostaviti u navedenih 210 dana, tj. do 4. listopada 2025. Jedna je od njih imenovanje Službenika za zaštitu podataka (eng. Data protection officer – DPO) u slučajevima u kojima to Zakon propisuje.
Zakonska regulativa
Prema članku 39. Zakona, stavak (1): Kontrolor podataka i obrađivač dužni su imenovati službenika za zaštitu osobnih podataka u slučajevima:
- a) ako obradu obavlja javno tijelo, osim sudova koji postupaju u granicama sudske nadležnosti;
- b) ako se osnovne djelatnosti kontrolora podataka ili obrađivača sastoje od postupaka obrade koje zbog svoje prirode, opsega i/ili svrhe zahtijevaju redovito i sustavno praćenje nositelja podataka u velikom broju ili
- c) ako se osnovne djelatnosti kontrolora podataka ili obrađivača sastoje od opsežne obrade posebnih kategorija podataka na temelju članka 11. ovog Zakona i osobnih podataka u vezi s kaznenom osuđivanosti i kaznenim djelima iz članka 12. ovog Zakona.
Dok je za javna tijela jasno da moraju imenovati Službenika za zaštitu podataka, privatne tvrtke mogu se naći u dilemi je li to nužno.
Razložimo gore navedene točke da bismo bolje shvatili kad je imenovanje DPO-a nužno
Što znači opsežna obrada iz točke b):
Što je više sljedećih kriterija ispunjeno, to se više radi o opsežnoj obradi: znatna količina osobnih podataka, velik broj pogođenih pojedinaca, raznolikost podataka, dugo trajanje obrade, velik geografski opseg obrade te visok potencijalni utjecaj na nositelje podataka.
Što znači redovno I sustavno praćenje iz točke b):
Aktivnosti obrade koje su stalne, odvijaju se u fiksnim intervalima ili su dio unaprijed dogovorenog sustava ili strategije za praćenje ili profiliranje pojedinaca. Označava strukturiran i kontinuiran pristup promatranju i analizi ponašanja ili osobnih podataka, a ne povremeno ili slučajno prikupljanje podataka.
Posebne kategorije iz točke c):
definirane su člankom 11. stavak (1). To su: rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije osobe, podaci o zdravlju ili podaci o spolnom životu ili seksualnoj orijentaciji osobe.
Njihova je obrada prema članku 11. zabranjena, osim u iznimnim slučajevima. Ako se takva iznimna obrada realizira u većem opsegu, nužno je imenovati DPO-a.
U kakvom statusu može biti DPO:
Prema članku 39. stavak (6) „Službenik za zaštitu osobnih podataka može biti zaposlen kod kontrolora podataka ili obrađivača ili može obavljati poslove na temelju ugovora o djelu.“ Kod dijela oko obavljanja poslova na temelju ugovora o djelu, riječ je o nespretnom prijevodu pojma „service contract“ (ugovor o obavljanju usluge) iz GDPR-a. Prijevod je vjerojatno preuzet iz prijevoda GDPR-a u Hrvatskoj, koja je obveznik GDPR-a od njegova uvođenja. Na temelju iskustava iz Hrvatske, iako je prijevod također „ugovor o djelu“, poslove DPO-a neometano obavljaju i vanjski suradnici pravne osobe, na temelju ugovora o suradnji.
Primjeri tvrtki koje jesu/nisu obveznici imenovanja DPO-a
Na temelju kriterija opsežne obrade podataka, banke, osiguravajuća društva, za koje je izvjesno da prikupljaju velik broj korisničkih podataka u redovnom poslovanju, moraju imenovati DPO-a. Bolnice, poliklinike koje obrađuju podatake o pacijentima u velikom broju, a još k tome, riječ je o posebnoj kategoriji osobnih podataka, također su obveznik imenovanja. Pojedinac liječnik ili odvjetnik nije obveznik jer je izvjesno da nema opsežnu obradu. Navedeni pojedinci vjerojatno obrađuju posebne kategorije podataka, ali ne u velikom opsegu.
Ako oglašavate prema navikama, ciljano šaljete e-poštu, profilirate ili bodujete za procjenu rizika, pratite lokaciju ili imate program loyalty kartica, riječ je o redovnom I sustavnom praćenju I dužni ste imenovati DPO-a.
Zaključak
Zakon o zaštiti osobnih podataka definira kada je nužno imenovati Službenika za zaštitu osobnih podataka. U ostalim slučajevima, to je izbor tvrtke. Imenovanje DPO-a nije samo slovo na papiru, već je riječ o osobi koja osigurava usklađenost sa Zakonom, komunicira s Agencijom, prati zakonsku regulativu, savjetuje rukovodstvo, sudjeluje u procjenama utjecaja, preporuča tehničke i organizacijske mjere sigurnosti.
Liječnik pojedinac nije obveznik imenovanja DPO-a, ali što ako podaci o bolesti osobe dospiju u javnost ako nije primijenio tehničke mjere sigurnosti kojima bi zaštitio podatke? Slijede neugodni postupci pred Agencijom i druge financijske, organizacijske i posljedice na reputaciju. Imenovanje stručne osobe DPO-a ovdje nije zakonska obveza, ali jest dobra praksa.
