Generalni propis o zaštiti podataka Europske unije (EU General Data Protection Regulation – GDPR), odnosno, Opća uredba o zaštiti podataka je Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka, te o stavljanju izvan snage Direktive 95/46/EC, kojom se regulira zaštita podataka i privatnost osoba unutar Europske unije, a donosi i propise vezane za iznošenje podataka u treće zemlje. Glavni ciljevi GDPR-a su vratiti građanima nadzor nad njihovim osobnim podacima i pojednostaviti regulatorno okruženje za međunarodne kompanije ujednačavanjem propisa u cijeloj Uniji. Stupanjem GDPR-a na snagu prestaje važiti Direktiva 95/46/EC, a nakon prijelaznog razdoblja od dvije godine sve zemlje članice EU dužne su od 25.05.2018. primjenjivati ovu uredbu.
U Bosni i Hercegovini, u ovoj oblasti važeće zakonodavstvo čini Zakon o zaštiti osobnih podataka (“Službeni glasnik BiH”, br. 49/06, 76/11 i 89/11 – ispr.).
Za razliku od važećeg zakonodavstva u Bosni i Hercegovini, Opća uredba o zaštiti podataka ima pristup kojim se želi poboljšati učinkovitost zaštite podataka na način da se posebno nadziru rizične obrade.
Bosna i Hercegovina je Sporazumom o stabilizaciji i pridruživanju preuzela obvezu usklađivanja domaćeg zakonodavstva s pravnom stečevinom Europske unije (za što je krajnji rok 01.06.2021.), tako da se navedena obveza odnosi i na usklađivanje Zakona o zaštiti osobnih podataka sa novim zakonodavstvom EU o zaštiti osobnih podataka.
Imajući u vidu navedeno, kao i široki opseg primjene Uredbe o zaštiti podataka utvrđen u članku 3., Neovisni operator sustava u Bosni i Hercegovini (u daljnjem tekstu: NOSBiH) vodi računa o zaštiti podataka o osobi i u svom poslovanju pridržava se odredbi koje su propisane Općom uredbom o zaštiti podataka i važećim zakonodavstvom, dajući prednost u primjeni Općoj uredbi o zaštiti podataka.
Način na koji se NOSBiH odnosi prema podacima o osobi možete pročitati u nastavku ove obavijesti.
Ova obavijest je općeg karaktera, te je tako treba i shvaćiti.
1. Važni pojmovi
Zakonom o zaštiti ličnih podataka definirani su pojmovi, ali u Općoj uredbi o zaštiti podataka su navedene opsežnije definicije pojmova važnih za privatnost.
Osobni podaci su, prema definiciji iz Uredbe, “svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili posredno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.”
Dakle, pojam osobni podaci jako je širok, no jednostavnije rečeno to su: ime i prezime, identifikacijski broj, slika, glas, adresa, broj telefona, IP adresa, ako takvi podaci mogu dovesti do izravnog ili posrednog identificiranja pojedinca. Ističemo da prije prikupljanja osobnih podataka, subjekt koji ih prikuplja, ima obvezu pružanja informacija o tome za koju svrhu se oni prikupljaju, na osnovu kojeg pravnog osnova, kome se podaci otkrivaju, te o pravu pojedinca da svojim podacima pristupi, zahtijeva njihov ispravak ili eventualno brisanje.
Suglasnost ispitanika znači svako dobrovoljno, posebno i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Ako se kao pravna osnova koristi suglasnost, ona mora biti izričita za podatke koji su prikupljeni i cilj korištenja (čl. 7; definirano u čl. 4.). Prema članku 7., na teretu organizacije je da pokaže da su ljudi valjano pristali na obradu svojih podataka. Pristanak se mora dati “slobodnom voljom”.
Pseudonimizacija podrazumijeva obradu osobnih podataka na takav način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez upotrebe dodatnih informacija, pod uslovom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da osobni podaci ne mogu biti pripisani pojedincu čiji je identitet utvrđen ili se može utvrditi.
GDPR pseudonimizaciju definira kao postupak obrade podataka na takav način da se više ne mogu pripisati pojedinom ispitaniku bez korištenja dodatnih izvora podataka. Tu je i enkripcija, koja podatke čini nečitljivima za sve neovlaštene osobe bez pristupa ključu za dekripciju. GDPR propisuje da se dodatni podaci (poput ključa za dekripciju) drže podalje od pseudonimiziranih podataka.
Još jedan od pristupa jest i tokenizacija, što je nematematički pristup obradi podataka u kojem se osjetljivi podaci zamjenjuju neosjetljivim zamjenama pod nazivom tokeni. Tokeni nemaju važnost niti vrijednost kao podaci. Njima se ne mijenja vrsta niti dužina podataka, što znači da ih mogu obrađivati sustavi kao baze podataka koje brinu o vrstama i dužini podataka. Tim se pristupom zahtijeva manje procesorskih resursa za obradu i zauzima manje mjesta za pohranu u bazama podataka u usporedbi s podacima enkriptiranim na tradicionalni način. To je omogućeno držanjem određenih podataka potpuno ili djelomično vidljivima za obradu i analitiku, dok se osjetljivi podaci skrivaju.
Pseduonimizacija se preporučuje kao metoda za smanjenje rizika po ispitanike, ali i kao način da voditelji odnosno izvršitelji obrade ispune svoje obveze vezane za zaštitu podataka (Uvodna odredba 28.).
Iako GDPR potiče korištenje pseudonimizacije u cilju smanjenja rizika po ispitanike, pseudonimizirani se podaci i dalje smatraju osobnima (Uvodna odredba br. 28.) te tako i dalje spadaju pod nadzor GDPR-a.
Obavijest o kršenju/povredi podataka – Povreda osobnih podataka znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Ispitanike nije potrebno obavijestiti o povredi ako je voditelj obrade poduzeo odgovarajuće tehničke i organizacijske mjere zaštite podataka, osobito one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja nije ovlaštena da im pristupi, kao što je enkripcija (čl. 34.).
Sustav pohrane znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi.
2. Principi obrade podataka o osobi
Prinicipi obrade podataka o osobi u skladu s Općom uredbom o zaštiti podataka su:
3. Pravne osnove za obradu osobnih podataka
Obrada osobnih podataka obuhvaća radnje kao što su njihovo prikupljanje, evidentiranje, čuvanje, uvid, otkrivanje, prenošenje ili uništavanje.
Prema Općoj uredbi o zaštiti podataka podaci se ne smiju obrađivati osim ako za to postoji barem jedna od sljedećih pravnih osnova (čl. 6. st. 1.):
4. Prava osobe čiji se podaci obrađuju
U skladu s Općom uredbom o zaštiti podataka, osobe čiji se podaci obrađuju u NOSBiH-u mogu ostvariti sljedeća prava:
Ispitanici, također, imaju pravo svoje osobne podatke prenijeti iz jednog sustava elektronske obrade u drugi, a da ih u tome ne sputava voditelj obrade. Ovim pravom nisu obuhvaćeni na odgovarajući način anonimizirani podaci, ali jesu podaci koji ne sadrže identifikatore, pomoću kojih se pojedinca može identificirati uz dodatne podatke, obuhvaćeni ovim pravom. Ovo pravo podrazumijeva podatke koje je ispitanik ‘dao’ i podatke koji su nastali ‘praćenjem’, poput ponašanja ispitanika. Nadalje, voditelj obrade podatke mora pružiti u strukturiranom, uobičajeno korištenom formatu (čl. 20.).
5. Podaci o osobi za zaštitu podataka o osobi
U okviru primjene standarda zaštite podataka o osobi, NOSBiH, kao voditelj obrade podataka o osobi, odredio je zaposlenika čija je dužnost zaštita osobnih podataka, kojem se možete obratiti u vezi sa svim pitanjima i zahtjevima koji se odnose na obradu Vaših osobnih podataka na sljedeće adrese:
6. Prava koja pripadaju osobi u slučaju nedozvoljene obrade
U slučaju nedozvoljene obrade njenih podataka, osobi pripadaju sva prava iz Opće uredbe o zaštiti podataka kao i pravo podnošenje žalbe nadležnom nadzornom tijelu.
Obavijest o obradi osobnih podataka u NOSBiH-u |