Генерални пропис о заштити података Европске уније ГДПР (EU General Data Protection Regulation – GDPR), односно Општа уредба о заштити података је Уредба (ЕУ) 2016/679 Европског парламента и Вијећа од 27. априла 2016. о заштити појединаца у вези с обрадом личних података и о слободном кретању таквих података, те о стављању изван снаге Директиве 95/46/ЕЦ , којом се регулише заштита података и приватност лица унутар Европске уније, а доноси и прописе везане за изношење података у треће земље. Главни циљеви ГДПР-а су вратити грађанима надзор над њиховим личним подацима и поједноставити регулаторно окружење за међународне компаније уједначавањем прописа у цијелој Унији. Ступањем ГДПР-а на снагу престаје важити Директива 95/46/ЕЦ, а након прелазног периода од двије године све земље чланице ЕУ дужне су од 25.05.2018. примјењивати ову уредбу.
У Босни и Херцеговини у овој области важеће законодавство чини Закон о заштити личних података („Службени гласник БиХ“, бр. 49/06, 76/11 и 89/11 – испр.).
За разлику од важећег законодавства у Босни и Херцеговини, Општа уредба о заштити података има приступ којим се жели побољшати ефективност заштите података на начин да се посебно надзиру ризичне обраде.
Босна и Херцеговина је Споразумом о стабилизацији и придруживању преузела обавезу усклађивања домаћег законодавства са правном стечевином Европске уније (за што је крајњи рок 01.06.2021.), тако да се наведена обавеза односи и на усклађивање Закона о заштити личних података са новим законодавством ЕУ о заштити личних података.
Имајући у виду наведено, као и широки обим примјене Уредбе о заштити података утврђен у члану 3., Независни оператор система у Босни и Херцеговини (у даљем тексту: НОСБиХ) води рачуна о заштити података о личности и у свом пословању придржава се одредби које су прописане Општом уредбом о заштити података и важећим законодавством, дајући предност у примјени Општој уредби о заштити података.
Начин на који се НОСБиХ односи према подацима о личности можете прочитати у наставку овог обавјештења.
Ово обавјештење је општег карактера, те га тако треба и схватити.
1. Важни појмови
Законом о заштити личних података дефинисани су појмови, али у Општој уредби о заштити података су наведене обимније дефиниције појмова важних за приватност.
Лични подаци су, према дефиницији из Уредбе, „сви подаци који се односе на појединца чији је идентитет утврђен или се може утврдити („испитаник”); појединац чији се идентитет може утврдити јест лице које се може идентификовати директно или индиректно, нарочито уз помоћ идентификатора као што су име, идентификациони број, подаци о локацији, мрежни идентификатор или уз помоћ једног или више фактора својствених за физички, физиолошки, генетски, ментални, економски, културни или социјални идентитет тог појединца.“
Дакле, појам лични подаци јако је широк, но једноставније речено то су: име и презиме, идентификациони број, слика, глас, адреса, број телефона, ИП адреса, ако такви подаци могу довести до директног или индиректног идентифицирања појединца. Истичемо да прије прикупљања личних података, субјект који их прикупља, има обавезу пружања информација о томе за коју сврху се они прикупљају, на основу којег правног основа, коме се подаци откривају, те о праву појединца да својим подацима приступи, захтијева њихов исправак или евентуално брисање.
Сагласност испитаника значи свако добровољно, посебно и недвосмислено изражавање жеља испитаника којим он изјавом или јасном потврдном радњом даје пристанак за обраду личних података који се на њега односе.
Ако се као правна основа узима сагласност, она мора бити изричита за податке који су прикупљени и сврху за коју се користи (чл. 7; дефинисано у чл. 4 .). Према члану 7., на терету организације је да покаже да су људи ваљано пристали на обраду својих података. Пристанак се мора дати „слободном вољом“.
Псеудонимизација подразумијева обраду личних података на такав начин да се лични подаци више не могу приписати одређеном испитанику без употребе додатних информација, под условом да се такве додатне информације држе одвојено те да подлијежу техничким и организационим мјерама како би се осигурало да се лични подаци не могу приписати појединцу чији је идентитет утврђен или се може утврдити.
ГДПР псеудонимизацију дефинише као поступак обраде података на такав начин да се више не могу приписати поједином испитанику без коришћења додатних извора података. Ту је и енкрипција, која податке чини нечитљивима за свa неовлаштена лица без приступа кључу за декрипцију. ГДПР прописује да се додатни подаци (попут кључа за декрипцију) држе подаље од псеудонимизираних података.
Још један од приступа јест и токенизација, што је нематематички приступ обради података у којем се осјетљиви подаци замјењују неосјетљивим замјенама под називом токени. Токени немају важност нити вриједност као подаци. Њима се не мијења врста нити дужина података, што значи да их могу обрађивати системи као базе података које брину о врстама и дужини података. Тим се приступом захтијева мање процесорских ресурса за обраду и заузима мање мјеста за похрану у базама података у упоредби с подацима енкриптираним на традиционални начин. То се омогућује држањем одређених података потпуно или дјелимично видљивима за обраду и аналитику, док се осјетљиви подаци скривају.
Пседуонимизација се препоручује као метод за смањење ризика по испитанике, али и као начин да водитељи односно извршиоци обраде испуне своје обавезе везане за заштиту података (Уводна одредба 28.).
Иако ГДПР потиче коришћење псеудонимизације у циљу смањења ризика по испитанике, псеудонимизирани се подаци и даље сматрају личнима (Уводна одредба бр. 28.) те тако и даље спадају под надзор ГДПР-а.
Обавијест о кршењу/повреди података – Повреда личних података значи кршење сигурности које доводи до случајног или незаконитог уништења, губитка, измјене, неовлаштеног откривања или приступа личним подацима који су пренесени, похрањени или на други начин обрађивани.
Испитанике није потребно обавијестити о повреди ако је водитељ обраде предузео одговарајуће техничке и организационе мјере заштите података, нарочито оне које личне податке чине неразумљивима било ком лицу које није овлаштено да им приступи, као што је енкрипција (чл. 34 .).
Систем похране значи сваки структурирани скуп личних података доступних према посебним критеријумима, било да су централизовани, децентрализовани или распршени на функционалној или географској основи.
2. Принципи обраде података о личности
Приниципи обраде података о личности у складу са Општом уредбом о заштити података су:
3. Правне основе за обраду личних података
Обрада личних података подразумијева радње као што су прикупљање, евидентирање, чување, стављанје на увид, откривање, преношење или уништавање.
Према Општој уредби о заштити података подаци се не смију обрађивати осим ако за то постоји барем једна од сљедећих правних основа (чл. 6 . ст. 1.):
4. Права лица чији се подаци обрађују
У складу са Општом уредбом о заштити података, лица чији се подаци обрађују у НОСБиХ-у могу остварити сљедећа права:
5. Подаци о лицу за заштиту података о личности
У оквиру примјене стандарда заштите података о личности, НОСБиХ, као водитељ обраде података о личности, одредио је службеника чија је дужност заштита података о личности којем се можете обратити у вези са свим питањима и захтјевима који се односе на обраду Ваших личних података на сљедеће адресе:
6. Права која припадају лицу у случају недозвољене обраде
У случају недозвољене обраде нјегових података, том лицу припадају сва права из Опште уредбе о заштити података као и право подношење жалбе надлежном надзорном тијелу.
Обавјештење о обради личних података у НОСБиХ-у |