"Vaš poslodavac od 8. listopada može uzeti vašu biometriju, vaš otisak prsta i vaš algoritam lica kao dokaz da ste vi došli na posao", objašnjava Dragoljub Reljić, direktor Agencije za zaštitu podataka u BiH govoreći o Zakonu o zaštiti osobnih podataka koji je usvojen krajem veljače ove godine, a čija primjena stupa na snagu od listopada. Tada ističe prijelazno razdoblje od 210 dana namijenjeno za prilagodbu.
Reljić dodaje kako je Agencija bila oštro protiv navedene odredbe i to iz dva jednostavna razloga. Navodi kako prvi razlog leži u određenoj vrsti prisile kojoj se radnike tjera na korištenje biometrije, a drugi razlog vidi u neizvjesnosti po pitanju posjedovanja prikupljenih podataka.
"Pitanje je tko će sutra stajati iza umjetne inteligencije, te hoće li netko možda hakirati taj sustav da ukrade sve te podatke, biometriju, otiske prsta i slično, ali i što će s njima učiniti", navodi.
Zbog svega navedenog, ističe kako je potencijalna šteta puno veća od koristi koje ova odredba donosi.
"Kada je riječ o pravnim osobama, odnosno voditeljima i izvršiteljima obrade, predviđene su novčane kazne u rasponu od 10.000 do 40.000.000 KM, ovisno o stupnju povrede i prirodi prekršaja. Također, Zakon predviđa i alternativu u vidu postotnog iznosa novčane kazne – do 4 % ukupnog godišnjeg prihoda pravne osobe na globalnoj razini, što predstavlja praksu preuzetu iz Opće uredbe o zaštiti podataka (GDPR)", navodi Reljić objašnjavajući kako je jedna od značajnih novosti koje donosi Zakon o zaštiti osobnih podataka drastično povećane novčane kazne za prekršaje.
"Zanimljivo je da se odgovornost dijeli ne samo na kontrolora i odgovornu osobu, nego može odgovarati i zaposlenik", upozorava direktor Agencije.
"Politika kažnjavanja mora biti stroga kako bi se podigla svijest o važnosti zaštite podataka. Odgovornost za prekršaje ne snosi samo uprava, već i pojedinačni zaposlenici koji obrađuju podatke", dodaje.
Iako je po pitanju kazni riječ o vrtoglavim iznosima, Reljić navodi kako to nije najstroža mjera kada je u pitanju kažnjavanje. "Najstroža mjera je brisanje baze podataka. U praksi, kada se izrekne takva mjera, često znači i zatvaranje poslovanja jer se gube svi podaci koje su imali", navodi.
Razlozi za visoke kazne, kako navodi, prije svega stoje u usklađivanju sa standardima Europske unije jer se ovdje ne štite samo osobni podaci građana Bosne i Hercegovine, već i onih koji dolaze iz EU. Dodaje kako su kazne dodatno povećane zbog činjenice da obradu podataka vrlo često vrše velike kompanije s visokim prihodima.
"Primjerice, kolege iz Irske su u posljednje dvije godine izrekle kazne u ukupnom iznosu od dvije milijarde eura", ističe.
"Takva stroga politika kažnjavanja je nužna da bi se podigla razina odgovornosti, a primijetili smo da kada odgovara stvarni počinitelj, posvećuje se mnogo veća pažnja poštivanju zakona. Naprosto, nije dovoljno da samo direktor odgovara – odgovara i osoba koja je učinila prekršaj", ističe.
Reljić objašnjava kako cilj nije kažnjavati, nego je cilj osigurati poštivanje zakona, te navodi kako će se kazne primjenjivati tek nakon upozorenja i opomena, a u slučajevima grubog kršenja pravila sankcije će biti neizbježne. "Poslodavci su dužni imati jasne politike privatnosti i educirati svoje zaposlenike, jer je to ključno za sigurnost podataka. Ulaganje u službenika za zaštitu podataka nije trošak, već investicija u sigurnost i uspjeh organizacije", zaključuje.
Reljić ističe da novi zakon osnažuje pravo građana na pristup vlastitim podacima: "To znači da bilo tko od nas, u vašim firmama ili institucijama, može sutra zatražiti od svog poslodavca ili bilo koga tko obrađuje podatke – u Domu zdravlja, bolnici ili banci – da mu kaže zašto netko obrađuje njegove podatke, koja je svrha obrade, koliko dugo će se obrađivati i kada će se brisati. To su prava koja ćete sada imati."
Također je upozorio da oni koji informacije posjeduju trebaju voditi računa i o tzv. "pravu na zaborav". "Kada svrha obrade prestane, nema potrebe da se podaci i dalje čuvaju. Ako netko želi podatke od prije 20 godina, ili se netko lažno predstavio, sada imate pravo to zatražiti od predstavnika ili nadležne agencije da intervenira."
"Primijetio sam da kad negdje u inozemstvu pokušam naći informacije o nekome, dostupne informacije uključuju samo ime i prezime te poziciju te osobe."
Takozvani "assessment", odnosno procjena rizika, jedan je od najvažnijih dijelova zakona, koji se mora napraviti kod obrade velikih količina podataka ili primjene nove tehnologije. To povlači sa sobom imenovanje tzv. "data protection officera", odnosno službenika za zaštitu podataka. "Po meni, to je jedno od zanimanja budućnosti i svakome ga savjetujem da se time počne baviti", savjetuje.
Iako zakon nije jednostavan za razumjeti, čak ni pravnim stručnjacima, važno je da svi budemo upoznati s osnovama. "Ovo se odnosi na sve nas. Znači, ne možemo reći: 'Baš nas briga'. Meni je najsmješnije kad kažu: 'Mene to ne zanima, ja ništa ne krijem.' Mislim da nije normalno ne imati svoju privatnost", ističe. Objašnjava kako se ovdje ne radi o tome krije li se nešto ili ne, nego gdje će ti podaci sutra završiti.
Reljić naglašava da zaštita osobnih podataka nije zadatak samo pravnih službi ili IT sektora. "Osobni podaci se pohranjuju u različitim odjelima, stoga ne možemo reći 'ovo je posao samo pravnika' ili 'ovo je posao računovođa'. Svi moraju biti uključeni u proces kako bi se ispunile zakonske obveze", istaknuo je. Svaki menadžer i rukovoditelj treba razumjeti da ulaganje u zaštitu podataka štiti i organizaciju i zaposlenike.
"Zakon propisuje da svi postojeći zakoni koji reguliraju obradu osobnih podataka – među kojima su Zakon o strancima, Zakon o bankama, Zakon o pravima pacijenata, Zakon o stvarnim pravima – moraju biti usklađeni s novim Zakonom o zaštiti podataka u roku od dvije godine od stupanja na snagu. Radi se o gotovo 80 različitih zakona na državnoj, entitetskoj i županijskoj razini koji na različite načine uređuju prikupljanje i obradu osobnih podataka", naveo je Reljić.
Naglasio je kako je ovo sistemski zakon te kako će Europska unija snažno inzistirati da ovaj Zakon o zaštiti osobnih podataka bude u potpunosti primijenjen kako bi se zaštitili građani i stvorio pouzdan okvir za digitalnu transformaciju.
Istaknuo je i kako mi kao pojedinci olako dajemo svoje podatke raznim stranicama te je upozorio kako je to posebno problematično u slučaju kada određene tvrtke nemaju svoje predstavnike u Bosni i Hercegovini, pa se u slučaju nastanka problema nemamo kome žaliti.
"Umjetna inteligencija dominirat će u narednom razdoblju i zato je potrebno da se što više informiramo", ističe Reljić. Komentirajući važnost ulaganja u zaštitu osobnih podataka, istaknuo je kako jedna greška u ovoj oblasti može imati ozbiljne i skupe posljedice za organizaciju.
Preporučio je svima da se usmjere na obrazovanje u smjeru pozicije "službenika za zaštitu podataka", jer ovaj posao ne mora nužno biti rezerviran za diplomirane pravnike ili IT stručnjake. Istaknuo je i jednu zanimljivu prednost ovog zanimanja je, kako je naveo Reljić, što službenik za zaštitu podataka ima samo jednog nadređenog – direktora.
Istaknuo je i kako mi kao pojedinci olako dajemo svoje podatke raznim stranicama te je upozorio kako je to posebno problematično u slučaju kada određene tvrtke nemaju svoje predstavnike u Bosni i Hercegovini pa se u slučaju nastanka problema nemaju kome žaliti.
Puna primjena ovog zakona počet će u listopadu 2025. godine, nakon prijelaznog razdoblja od 210 dana koje je ostavljeno institucijama i gospodarskim subjektima za prilagodbu novim obvezama.
Novi Zakon donosi značajne novine, uključujući preciznije definirane obveze za voditelje i izvršitelje obrade podataka, jačanje ovlasti nadzornog tijela, unapređenje prava osoba na koje se podaci odnose, kao i uvođenje strožih kazni za nepoštivanje zakonskih odredbi.
Dragoljub Reljić je sudjelovao na panelu pod nazivom "Budućnost rada između održivosti i tehnologije" održanog u okviru 24. Međunarodnog simpozija Chance/Change, u organizaciji konsultantske kuće Revicon, koji je tijekom tri dana okupio oko 300 stručnjaka iz oblasti računovodstva i revizije iz javnog i privatnog sektora širom BiH.
