Zaštita ličnih podataka

Službeni glasnik BiH, broj 12/25, 28.02.2025. godina

Na osnovu člana IV. 4. a) Ustava Bosne i Hercegovine, Parlamentarna skupština Bosne i Hercegovine, na 16. hitnoj sjednici Predstavničkog doma, održanoj 23. januara 2025. godine, i na 8. hitnoj sjednici Doma naroda, održanoj 30. januara 2025. godine, usvojila je

ZAKON

O ZAŠTITI LIČNIH PODATAKA

DIO PRVI – OPĆE ODREDBE

Član 1.

(Predmet)

(1) Ovim zakonom propisuju se:

a) pravila u vezi sa zaštitom fizičkih lica u vezi s obradom ličnih podataka i pravila povezana sa slobodnim kretanjem ličnih podataka;

b) nadležnosti Agencije za zaštitu ličnih podataka u Bosni i Hercegovini (u daljnjem tekstu: Agencija), organizacija i upravljanje, kao i druga pitanja značajna za njen rad i zakonito funkcioniranje;

c) zaštita fizičkih lica u vezi s obradom ličnih podataka od nadležnih organa u svrhe sprečavanja, istrage i otkrivanja krivičnih djela ili gonjenja počinilaca krivičnih djela, izvršavanje krivičnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje.

(2) Ovim zakonom vrši se usklađivanje s odredbama Uredbe (EU) 2016/679 Evropskog parlamenta i Vijeća od 27. aprila 2016. o zaštiti pojedinaca u vezi s obradom ličnih podataka i o slobodnom kretanju takvih podataka, te o stavljanju van snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) i odredbama Direktive (EU) 2016/680 Evropskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom ličnih podataka od nadležnih organa s ciljem sprečavanja, istrage i otkrivanja krivičnih djela ili gonjenja počinilaca krivičnih djela ili izvršavanje krivičnih sankcija i o slobodnom kretanju takvih podataka, te o stavljanju van snage Okvirne odluke Vijeća 2008/977/PUP.

(3) Navođenje odredbi Uredbe i Direktive iz stava (2) ovog člana obavlja se isključivo s ciljem praćenja i informiranja o preuzimanju pravne tečevine Evropske unije u zakonodavstvu Bosne i Hercegovine.

Član 2.

(Cilj zakona)

Ovim zakonom štite se osnovna prava i slobode fizičkih lica u Bosni i Hercegovini bez obzira na njihovo državljanstvo i prebivalište, a posebno njihovo pravo na zaštitu ličnih podataka.

Član 3.

(Upotreba muškog ili ženskog roda)

Izrazi koji su radi preglednosti dati samo u jednom gramatičkom rodu u ovom zakonu bez diskriminacije se odnose i na muški i ženski rod.

Član 4.

(Definicije)

Pojedini izrazi upotrijebljeni u ovom zakonu imaju sljedeća značenja:

a) "lični podatak" je svaki podatak koji se odnosi na fizičko lice čiji je identitet utvrđen ili se može utvrditi;

b) "nosilac podataka" je fizičko lice čiji je identitet utvrđen ili čiji se identitet može utvrditi, posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog lica;

c) "obrada" je svaki postupak ili skup postupaka koji se obavlja na ličnim podacima ili na skupovima ličnih podataka, automatiziranim ili neautomatiziranim sredstvima, kao što su: prikupljanje, evidentiranje, organizacija, strukturiranje, čuvanje, prilagođavanje ili izmjena, pronalaženje, ostvarivanje uvida, upotreba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničenje, brisanje ili uništavanje;

d) "ograničenje obrade" je obilježavanje čuvanog ličnog podatka s ciljem ograničenja njegove obrade u budućnosti;

e) "izrada profila" je svaki oblik automatske obrade ličnog podatka koji se sastoji od korištenja ličnog podatka za procjenu određenih ličnih aspekata u vezi s fizičkim licem, posebno za analizu ili predviđanje aspekata u vezi s radnim rezultatom, ekonomskim stanjem, zdravljem, ličnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog fizičkog lica;

f) "pseudonimizacija" je obrada ličnog podatka tako da se lični podatak više ne može pripisati određenom nosiocu podataka bez korištenja dodatnih informacija, uz uslov da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacionim mjerama kako bi se osiguralo da se lični podatak ne može pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

g) "zbirka ličnih podataka" je svaki strukturirani skup ličnih podataka koji su dostupni u skladu s posebnim kriterijima, bez obzira na to da li su centralizirani, decentralizirani ili rasprostranjeni na funkcionalnoj ili geografskoj osnovi;

h) "kontrolor podataka" je fizičko ili pravno lice, javni organ ili nadležni organ koji samostalno ili s drugim određuje svrhe i sredstva obrade ličnih podataka. Kada su svrhe i sredstva takve obrade utvrđeni zakonom, kontrolor podataka ili posebni kriteriji za njegovo imenovanje propisuju se zakonom;

i) "javni organ" je svaki zakonodavni, izvršni i sudski organ na svim nivoima vlasti u Bosni i Hercegovini.

j) "nadležni organ" je organ koji je nadležan za sprečavanje, istragu i otkrivanje krivičnih djela, gonjenje učinilaca krivičnih djela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje prijetnji javnoj sigurnosti, kao i pravna lica ako su zakonom ovlaštena za obavljanje tih poslova, kao posebna kategorija kontrolora podataka;

k) "obrađivač" je fizičko ili pravno lice, javni organ koji obrađuje lične podatke uime kontrolora podataka;

l) "primalac" je fizičko ili pravno lice, javni organ kome se otkrivaju lični podaci, nezavisno od toga da li je u pitanju treća strana. Javni organi koji mogu primiti lične podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primaocima, ali obrada tih podataka mora biti u skladu s važećim pravilima o zaštiti podataka prema svrhama obrade;

m) "treća strana" znači fizičko ili pravno lice, javni organ, Agencija ili drugo tijelo koje nije nosilac podataka, kontrolor podataka, obrađivač ni lica koja su ovlaštena za obradu ličnih podataka pod neposrednom nadležnošću kontrolora podataka ili obrađivača;

n) "saglasnost" nosioca podataka je svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje volje nosioca podataka kada on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu ličnih podataka koji se na njega odnose;

o) "povreda ličnog podatka" je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa ličnim podacima koji su preneseni, čuvani ili na drugi način obrađivani;

p) "genetski podatak" je lični podatak koji se odnosi na naslijeđena ili stečena genetska obilježja fizičkog lica kojа daju jedinstvene informacije o fiziologiji ili zdravlju tog fizičkog lica i koji su dobiveni posebnom analizom biološkog uzorka tog fizičkog lica;

r) "biometrijski podatak" je lični podatak dobiven posebnom tehničkom obradom u vezi s fizičkim osobinama, fiziološkim obilježjima ili obilježjima ponašanja fizičkog lica koja omogućavaju ili potvrđuju jedinstvenu identifikaciju tog fizičkog lica, kao što su fotografije lica ili daktiloskopski podaci;

s) "podatak koji se odnosi na zdravlje" je lični podatak u vezi s fizičkim ili mentalnim zdravljem fizičkog lica, uključujući pružanje zdravstvenih usluga, koji daje informacije o njegovom zdravstvenom stanju;

t) "predstavnik" je fizičko ili pravno lice s prebivalištem ili boravištem, odnosno sjedištem ili poslovnim nastanom u Bosni i Hercegovini koje je kontrolor podataka ili obrađivač pisanim putem imenovao u skladu s članom 29. ovog zakona;

u) "privredni subjekat" je fizičko ili pravno lice koje obavlja privrednu djelatnost, bez obzira na pravni oblik te djelatnosti;

v) "grupa privrednih subjekata" je privredni subjekat koji ostvaruje kontrolu i privredni subjekti koji su pod njegovom kontrolom;

z) "obavezujuće poslovno pravilo" su politike zaštite ličnih podataka kojih se kontrolor podataka i obrađivač sa sjedištem ili poslovnim nastanom u Bosni i Hercegovini pridržava prilikom prijenosa ili skupova prijenosa ličnih podataka kontroloru podataka ili obrađivaču u jednoj ili više drugih država u okviru grupe privrednih subjekata ili grupe privrednih subjekata koji se bave zajedničkom privrednom djelatnošću;

aa) "usluga informacionog društva" jeste svaka usluga koja se obično pruža uz naknadu, na daljinu, elektronskim sredstvima te na lični zahtjev primaoca usluga, gdje:

1) "na daljinu" znači da se usluga pruža a da pri tome strane nisu istovremeno prisutne;

2) "elektronskim sredstvima" znači da se usluga na početku šalje i prima na odredištu pomoću elektronske opreme za obradu (uključujući digitalnu kompresiju) i pohranu podataka te u potpunosti šalje, prenosi i prima telegrafski, radiovezom, optičkim sredstvima ili ostalim elektromagnetnim sredstvima;

3) "na lični zahtjev primaoca usluga" znači da se usluga pruža prijenosom podataka na lični zahtjev";

bb) "međunarodna organizacija" je organizacija sa svojim organima uređena međunarodnim javnim pravom ili bilo koji drugi organ koji su sporazumom ili na osnovu sporazuma osnovale dvije zemlje ili više zemalja;

cc) "poslovni nastan" je djelotvorno i stvarno obavljanje djelatnosti putem stabilnih aranžmana;

dd) "videonadzor" je informaciono-komunikacioni sistem koji ima mogućnost prikupljanja i daljnje obrade ličnih podataka, koji obuhvata stvaranje snimka koji čini ili je namijenjen da čini dio sistema skladištenja.

Kompletan tekst Zakona nalazi se u attachment-u