Генерални пропис о заштити података Европске уније ГДПР (EU General Data Protection Regulation – GDPR), односно Општа уредба о заштити података је Уредба (ЕУ) 2016/679 Европског парламента и Вијећа од 27. априла 2016. о заштити појединаца у вези с обрадом личних података и о слободном кретању таквих података, те о стављању изван снаге Директиве 95/46/ЕЦ , којом се регулише заштита података и приватност лица унутар Европске уније, а доноси и прописе везане за изношење података у треће земље. Главни циљеви ГДПР-а су вратити грађанима надзор над њиховим личним подацима и поједноставити регулаторно окружење за међународне компаније уједначавањем прописа у цијелој Унији. Ступањем ГДПР-а на снагу престаје важити Директива 95/46/ЕЦ, а након прелазног периода од двије године све земље чланице ЕУ дужне су од 25.05.2018. примјењивати ову уредбу.

У Босни и Херцеговини у овој области важеће законодавство чини Закон о заштити личних података („Службени гласник БиХ“, бр. 49/06, 76/11 и 89/11 – испр.).

За разлику од важећег законодавства у Босни и Херцеговини, Општа уредба о заштити података има приступ којим се жели побољшати ефективност заштите података на начин да се посебно надзиру ризичне обраде.

Босна и Херцеговина је Споразумом о стабилизацији и придруживању преузела обавезу усклађивања домаћег законодавства са правном стечевином Европске уније (за што је крајњи рок 01.06.2021.), тако да се наведена обавеза односи и на усклађивање Закона о заштити личних података са новим законодавством ЕУ о заштити личних података.

Имајући у виду наведено, као и широки обим примјене Уредбе о заштити података утврђен у члану 3., Независни оператор система у Босни и Херцеговини (у даљем тексту: НОСБиХ) води рачуна о заштити података о личности и у свом пословању придржава се одредби које су прописане Општом уредбом о заштити података и важећим законодавством, дајући предност у примјени Општој уредби о заштити података.

Начин на који се НОСБиХ односи према подацима о личности можете прочитати у наставку овог обавјештења.

Ово обавјештење је општег карактера, те га тако треба и схватити.

1. Важни појмови

Законом о заштити личних података дефинисани су појмови, али у Општој уредби о заштити података су наведене обимније дефиниције појмова важних за приватност.

Лични подаци су, према дефиницији из Уредбе, „сви подаци који се односе на појединца чији је идентитет утврђен или се може утврдити („испитаник”); појединац чији се идентитет може утврдити јест лице које се може идентификовати директно или индиректно, нарочито уз помоћ идентификатора као што су име, идентификациони број, подаци о локацији, мрежни идентификатор или уз помоћ једног или више фактора својствених за физички, физиолошки, генетски, ментални, економски, културни или социјални идентитет тог појединца.“

Дакле, појам лични подаци јако је широк, но једноставније речено то су: име и презиме, идентификациони број, слика, глас, адреса, број телефона, ИП адреса, ако такви подаци могу довести до директног или индиректног идентифицирања појединца. Истичемо да прије прикупљања личних података, субјект који их прикупља, има обавезу пружања информација о томе за коју сврху се они прикупљају, на основу којег правног основа, коме се подаци откривају, те о праву појединца да својим подацима приступи, захтијева њихов исправак или евентуално брисање.

Сагласност испитаника значи свако добровољно, посебно и недвосмислено изражавање жеља испитаника којим он изјавом или јасном потврдном радњом даје пристанак за обраду личних података који се на њега односе.

Ако се као правна основа узима сагласност, она мора бити изричита за податке који су прикупљени и сврху за коју се користи (чл. 7; дефинисано у чл. 4 .). Према члану 7., на терету организације је да покаже да су људи ваљано пристали на обраду својих података. Пристанак се мора дати „слободном вољом“.

Псеудонимизација подразумијева обраду личних података на такав начин да се лични подаци више не могу приписати одређеном испитанику без употребе додатних информација, под условом да се такве додатне информације држе одвојено те да подлијежу техничким и организационим мјерама како би се осигурало да се лични подаци не могу приписати појединцу чији је идентитет утврђен или се може утврдити.

ГДПР псеудонимизацију дефинише као поступак обраде података на такав начин да се више не могу приписати поједином испитанику без коришћења додатних извора података. Ту је и енкрипција, која податке чини нечитљивима за свa неовлаштена лица без приступа кључу за декрипцију. ГДПР прописује да се додатни подаци (попут кључа за декрипцију) држе подаље од псеудонимизираних података.

Још један од приступа јест и токенизација, што је нематематички приступ обради података у којем се осјетљиви подаци замјењују неосјетљивим замјенама под називом токени. Токени немају важност нити вриједност као подаци. Њима се не мијења врста нити дужина података, што значи да их могу обрађивати системи као базе података које брину о врстама и дужини података. Тим се приступом захтијева мање процесорских ресурса за обраду и заузима мање мјеста за похрану у базама података у упоредби с подацима енкриптираним на традиционални начин. То се омогућује држањем одређених података потпуно или дјелимично видљивима за обраду и аналитику, док се осјетљиви подаци скривају.

Пседуонимизација се препоручује као метод за смањење ризика по испитанике, али и као начин да водитељи односно извршиоци обраде испуне своје обавезе везане за заштиту података (Уводна одредба 28.).

Иако ГДПР потиче коришћење псеудонимизације у циљу смањења ризика по испитанике, псеудонимизирани се подаци и даље сматрају личнима (Уводна одредба бр. 28.) те тако и даље спадају под надзор ГДПР-а.

Обавијест о кршењу/повреди података – Повреда личних података значи кршење сигурности које доводи до случајног или незаконитог уништења, губитка, измјене, неовлаштеног откривања или приступа личним подацима који су пренесени, похрањени или на други начин обрађивани.

Испитанике није потребно обавијестити о повреди ако је водитељ обраде предузео одговарајуће техничке и организационе мјере заштите података, нарочито оне које личне податке чине неразумљивима било ком лицу које није овлаштено да им приступи, као што је енкрипција (чл. 34 .).

Систем похране значи сваки структурирани скуп личних података доступних према посебним критеријумима, било да су централизовани, децентрализовани или распршени на функционалној или географској основи.

2. Принципи обраде података о личности

Приниципи обраде података о личности у складу са Општом уредбом о заштити података су:

• законитост, поштеност и транспарентност обраде – што значи да обрада података треба бити у складу с одређеним правним основом, да је појединац информисан о поступку обраде и његовој сврси, јер је водитељ обраде обавезан испитанику пружити све додатне информације неопходне за поштену и транспарентну обраду, узимајући у обзир посебне околности и контекст обраде личних података; испитаник би требао бити информисан о поступку израде профила и посљедицама такве израде профила
• ограничавање сврхе – што значи да подаци требају бити прикупљени у посебне, изричите и законите сврхе те да се даље не смију обрађивати на начин који није у складу с том сврхом; а могућа је даљња обрада у сврху архивирања у јавном интересу, научног или хисторијског истраживања или у статистичке сврхе
• смањење количине података – што значи да подаци морају бити примјерени, релевантни и ограничени на оно што је нужно у односу на сврху за коју се обрађују
• тачност – што значи да подаци морају бити тачни и према потреби ажурни; мора се предузети свака разумна мјера у циљу осигурања да се лични подаци који нису тачни, узимајући у обзир сврху за коју се обрађују, без одлагања избришу или исправе
• ограничење похрањиванја – што значи да подаци морају бити похранјени у облику који омогућује идентификацију испитаника само онолико дуго колико је потребно за цилјеве ради којих се лични подаци обрађују; на дуље периоде, њихово чување је могуће само ако ће се лични подаци обрађивати искључиво у сврху архивирања у јавном интересу, научног или хисторијског истраживања или у статистичке сврхе, уз провођење примјерених мјера заштите прописаних Уредбом
• цјеловитост и повјерљивост – што значи да подаци морају бити обрађивани тако да буде задовољен одговарајући ниво сигурности, укључујући заштиту од неовлаштене или незаконите обраде те случајног губитка, уништења или оштећења
• поузданост – што значи да је водитељ обраде одговоран за поштовање принципа и да је терет доказа на њему.

3. Правне основе за обраду личних података

Обрада личних података подразумијева радње као што су прикупљање, евидентирање, чување, стављанје на увид, откривање, преношење или уништавање.

Према Општој уредби о заштити података подаци се не смију обрађивати осим ако за то постоји барем једна од сљедећих правних основа (чл. 6 . ст. 1.):

• Испитаник је дао сагласност за обраду података за једну или више посебних сврха.
• Обрада је нужна за извршавање уговора у којем је испитаник странка или како би се, на захтјев испитаника, предузеле одговарајуће радње прије склапања уговора.
• Обрада је нужна ради поштивања правних обавеза водитеља обраде.
• Обрада је нужна како би се заштитили кључни интереси испитаника или другог физичког лица.
• Обрада је нужна за извршавање задаће од јавног интереса или при извршавању службеног овлаштења водитеља обраде.
• Обрада је нужна за потребе легитимних интереса водитеља обраде или треће стране, осим када су од тих интереса јачи интереси или основна права и слободе испитаника који захтијевају заштиту личних података, особито ако је испитаник дијете.

4. Права лица чији се подаци обрађују

У складу са Општом уредбом о заштити података, лица чији се подаци обрађују у НОСБиХ-у могу остварити сљедећа права:

• транспарентност (чл. 12-14) – што подразумијева пружање информација приликом прикупљања података када водитељ обраде мора међу осталим информацијама обавијестити испитаника и о свом идентитету те контакт подацима, сврхама обраде и правној основи за обраду података, примаоцима, изношењу у треће земље, периоду похране, могућности повлачења сагласности, итд.
• право приступа подацима (чл. 15) које припада испитаницима
  То им право омогућује приступ личним подацима и подацима о начину њихове обраде. Водитељ обраде дужан је, на захтјев, пружити преглед категорија података који се обрађују као и копију стварних података. Надаље, водитељ обраде испитаника мора обавијестити о детаљима обраде попут сврхе, евентуалним приматељима података и начину на који је водитељ стекао те податке.
• право на исправак (чл. 16) – што подразумијева да испитаник има право захтијевати исправак нетачних личних података који се на њега односе, а узимајући у обзир сврху обраде, испитаник има право и допунити непотпуне личне податке, међу осталим и давањем додатне изјаве
• брисање („право на заборав“) (чл. 17) – што подразумијева да испитаник од водитеља обраде има право исходити брисање личних података који се на њега односе без непотребног одгађања ако, међу осталим, лични подаци више нису неопходни у односу на сврху обраде
• право на ограничење обраде (чл. 18) – што подразумијева да у појединим ситуацијама нпр. када је тачност података оспоравана испитаник има право захтијевати ограничавање обраде његових личних података, уз изнимку похране и неких других врста обраде
• право на преносивост (чл. 20) – што подразумијева да испитаник има право добити своје личне податке, које је претходно пружио водитељу обраде, у структурираном облику, те у уобичајено употребљаваном и стројно читљивом формату, те да има право те податке пренијети другом водитељу обраде без ометања водитеља обраде којем су лични подаци претходно пружени, ако се обрада проводи аутоматизованим путем и заснива на сагласности или уговору
  
  Испитаници, такође, имају право да своје личне податке пренесу из једног система електронске обраде у други, а да их у томе не спутава водитељ обраде. Овим правом нису обухваћени на одговарајући начин анонимизирани подаци, али јесу подаци који не садрже идентификаторе, помоћу којих се појединца може идентификовати уз додатне податке, обухваћени овим правом. Ово право подразумијева податке које је испитаник ‘дао’ и податке који су настали ‘праћењем’, попут понашања испитаника. Надаље , водитељ обраде податке мора пружити у структурираном, уобичајено коришћеном формату (чл. 20 .).
• право на приговор (чл. 21) – што подразумијева да испитаник има право уложити приговор на обраду личних података ако се она заснива на задаћама од јавног интереса, на извршавање службених овласти водитеља обраде или легитимне интересе водитеља обраде (укључујући и профилисање), када водитељ обраде не смије више обрађивати личне податке испитаника осим ако докаже да његови легитимни разлози за обраду надилазе интересе испитаника, те ради заштите правних захтјева, такође ако се испитаник противи обради за потребе директног маркетинга, лични подаци више се не смију обрађивати
• право противљења доношењу аутоматизованих појединачних одлука (профилисање) (чл. 22) – што подразумијева да испитаник има право на то да се на њега не односи одлука која се заснива искључиво на аутоматизованој обради, укључујући израду профила, која производи правне ефекте који се на њега односе или на сличан начин на њега значајно утичу, осим ако је таква одлука потребна за склапање или извршење уговора између испитаника и водитеља обраде података, ако је допуштена правом ЕУ-а или националним правом којим се прописују одговарајуће мјере заштите права и слобода, те легитимних интереса испитаника или је заснована на изричитој сагласности испитаника.

5. Подаци о лицу за заштиту података о личности

У оквиру примјене стандарда заштите података о личности, НОСБиХ, као водитељ обраде података о личности, одредио је службеника чија је дужност заштита података о личности којем се можете обратити у вези са свим питањима и захтјевима који се односе на обраду Ваших личних података на сљедеће адресе:

• Е маил: info@nosbih.ba
• Пошта : Независни оператор система у Босни и Херцеговини, Хифзи Бјелевца 17, Сарајево, Босна и Херцеговина

6. Права која припадају лицу у случају недозвољене обраде

У случају недозвољене обраде нјегових података, том лицу припадају сва права из Опште уредбе о заштити података као и право подношење жалбе надлежном надзорном тијелу.