ZAKON O ZAŠTITI LIČNIH PODATAKA("Sl. glasnik BiH", br. 12/2025) |
(Predmet)
(1) Ovim zakonom propisuju se:
a) pravila u vezi sa zaštitom fizičkih lica u vezi s obradom ličnih podataka i pravila povezana sa slobodnim kretanjem ličnih podataka;
b) nadležnosti Agencije za zaštitu ličnih podataka u Bosni i Hercegovini (u daljem tekstu: Agencija), organizacija i upravljanje, kao i druga pitanja značajna za njen rad i zakonito funkcionisanje;
c) zaštita fizičkih lica u vezi s obradom ličnih podataka od nadležnih organa u svrhe sprečavanja, istrage i otkrivanja krivičnih djela ili gonjenja počinilaca krivičnih djela, izvršavanje krivičnih sankcija, uključujući zaštitu od prijetnji javnoj bezbjednosti i njihovo sprečavanje.
(2) Ovim zakonom vrši se usklađivanje s odredbama Uredbe (EU) 2016/679 Evropskog parlamenta i Savjeta od 27. aprila 2016. godine o zaštiti pojedinaca u vezi s obradom ličnih podataka i o slobodnom kretanju takvih podataka, te o stavljanju van snage Direktive 95/46/EZ (Opšta uredba o zaštiti podataka) i odredbama Direktive (EU) 2016/680 Evropskog parlamenta i Savjeta o zaštiti pojedinaca u vezi s obradom ličnih podataka od nadležnih organa s ciljem sprečavanja, istrage i otkrivanja krivičnih dijela ili gonjenja počinilaca krivičnih djela ili izvršavanje krivičnih sankcija i o slobodnom kretanju takvih podataka, te o stavljanju van snage Okvirne odluke Savjeta 2008/977/PUP.
(3) Navođenje odredaba Uredbe i Direktive iz stava (2) ovog člana obavlja se isključivo s ciljem praćenja i informisanja o preuzimanju pravne tekovine Evropske unije u zakonodavstvu Bosne i Hercegovine.
(Cilj Zakona)
Ovim zakonom štite se osnovna prava i slobode fizičkih lica u Bosni i Hercegovini bez obzira na njihovo državljanstvo i prebivalište, a posebno njihovo pravo na zaštitu ličnih podataka.
(Upotreba muškog ili ženskog roda)
Izrazi koji su radi preglednosti dati u samo jednom gramatičkom rodu u ovom zakonu bez diskriminacije se odnose i na muški i ženski rod.
(Definicije)
Pojedini izrazi upotrijebljeni u ovom zakonu imaju sljedeća značenja:
a) "lični podatak" je svaki podatak koji se odnosi na fizičko lice čiji je identitet utvrđen ili se može utvrditi;
b) "nosilac podataka" je fizičko lice čiji je identitet utvrđen ili čiji se identitet može utvrditi, posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog lica;
c) "obrada" je svaki postupak ili skup postupaka koji se obavlja na ličnim podacima ili na skupovima ličnih podataka, automatizovanim ili neautomatizovanim sredstvima, kao što su prikupljanje, evidentiranje, organizacija, strukturiranje, čuvanje, prilagođavanje ili izmjena, pronalaženje, ostvarivanje uvida, upotreba, otkrivanje prenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombinovanje, ograničenje, brisanje ili uništavanje;
d) "ograničenje obrade" je obilježavanje čuvanog ličnog podatka s ciljem ograničenja njegove obrade u budućnosti;
e) "izrada profila" je svaki oblik automatske obrade ličnog podatka koji se sastoji od korišćenja ličnog podatka za procjenu određenih ličnih aspekata u vezi sa fizičkim licem, posebno za analizu ili predviđanje aspekata u vezi sa radnim rezultatom, ekonomskim stanjem, zdravljem, ličnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog fizičkog lica;
f) "pseudonimizacija" je obrada ličnog podatka tako da se lični podatak više ne može pripisati određenom nosiocu podataka bez korišćenja dodatnih informacija, uz uslov da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacionim mjerama kako bi se obezbijedilo da se lični podatak ne može pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
g) "zbirka ličnih podataka" je svaki strukturirani skup ličnih podataka koji su dostupni u skladu sa posebnim kriterijumima, bez obzira na to da li su centralizovani, decentralizovani ili rasprostranjeni na funkcionalnoj ili geografskoj osnovi;
h) "kontrolor podataka" je fizičko ili pravno lice, javni organ ili nadležni organ koji samostalno ili sa drugim određuje svrhe i sredstva obrade ličnih podataka. Kada su svrhe i sredstva takve obrade utvrđeni zakonom, kontrolor podataka ili posebni kriterijumi za njegovo imenovanje propisuju se zakonom;
i) "javni organ" je svaki zakonodavni, izvršni i sudski organ na svim nivoima vlasti u Bosni i Hercegovini;
j) "nadležni organ" je organ koji je nadležan za sprečavanje, istragu i otkrivanje krivičnih djela, gonjenje počinilaca krivičnih djela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje prijetnji javnoj bezbjednosti, kao i pravna lica ako su zakonom ovlašćena za obavljanje tih poslova, kao posebna kategorija kontrolora podataka;
k) "obrađivač" je fizičko ili pravno lice, javni organ koji obrađuje lične podatke u ime kontrolora podataka;
l) "primalac" je fizičko ili pravno lice, javni organ kojem se otkrivaju lični podaci, nezavisno od toga da li je u pitanju treća strana. Javni organi koji mogu primiti lične podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primaocima, ali obrada tih podataka mora biti u skladu sa važećim pravilima o zaštiti podataka prema svrhama obrade;
m) "treća strana" znači fizičko ili pravno lice, javni organ, Agencija ili drugi organ koji nije nosilac podataka, kontrolor podataka, obrađivač ni lica koja su ovlašćena za obradu ličnih podataka pod neposrednom nadležnošću kontrolora podataka ili obrađivača;
n) "saglasnost" nosioca podataka je svako dobrovoljno, posebno, informisano i nedvosmisleno izražavanje volje nosioca podataka kada on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu ličnih podataka koji se na njega odnose;
o) "povreda ličnog podatka" je kršenje bezbjednosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlašćenog otkrivanja ili pristupa ličnim podacima koji su preneseni, čuvani ili na drugi način obrađivani;
p) "genetski podatak" je lični podatak koji se odnosi na naslijeđena ili stečena genetska obilježja fizičkog lica koja daju jedinstvene informacije o fiziologiji ili zdravlju tog fizičkog lica i koji su dobijeni posebnom analizom biološkog uzorka tog fizičkog lica;
r) "biometrijski podatak" je lični podatak dobijen posebnom tehničkom obradom u vezi sa fizičkim osobinama, fiziološkim obilježjima ili obilježjima ponašanja fizičkog lica koja omogućavaju ili potvrđuju jedinstvenu identifikaciju tog fizičkog lica, kao što su fotografije lica ili daktiloskopski podaci;
s) "podatak koji se odnosi na zdravlje" je lični podatak u vezi sa fizičkim ili mentalnim zdravljem fizičkog lica, uključujući pružanje zdravstvenih usluga, koji daje informacije o njegovom zdravstvenom stanju;
t) "predstavnik" je fizičko ili pravno lice sa prebivalištem ili boravištem, odnosno sjedištem ili poslovnim nastanom u Bosni i Hercegovini koje je kontrolor podataka ili obrađivač pisanim putem imenovao u skladu sa članom 29. ovog zakona;
u) "privredni subjekat" je fizičko ili pravno lice koje obavlja privrednu djelatnost, bez obzira na pravni oblik te djelatnosti;
v) "grupa privrednih subjekata" je privredni subjekat koji ostvaruje kontrolu i privredni subjekti koji su pod njegovom kontrolom;
z) "obavezujuće poslovno pravilo" su politike zaštite ličnih podataka kojih se kontrolor podataka i obrađivač sa sjedištem ili poslovnim nastanom u Bosni i Hercegovini pridržava prilikom prenosa ili skupova prenosa ličnih podataka kontroloru podataka ili obrađivaču u jednoj ili više drugih država u okviru grupe privrednih subjekata ili grupe privrednih subjekata koji se bave zajedničkom privrednom djelatnošću;
aa) "usluga informacionog društva" jeste svaka usluga koja se obično pruža uz naknadu, na daljinu, elektronskim sredstvima te na lični zahtjev primaoca usluga, gdje:
1) "na daljinu" znači da se usluga pruža a da pri tome strane nisu istovremeno prisutne;
2) "elektronskim sredstvima" znači da se usluga na početku šalje i prima na odredištu pomoću elektronske opreme za obradu (uključujući digitalnu kompresiju) i pohranu podataka te u potpunosti šalje, prenosi i prima telegrafski, radio-vezom, optičkim sredstvima ili ostalim elektromagnetnim sredstvima;
3) "na lični zahtjev primaoca usluga" znači da se usluga pruža prenosom podataka na lični zahtjev.
bb) "međunarodna organizacija" je organizacija sa svojim organima uređena međunarodnim javnim pravom ili bilo koji drugi organ koji su sporazumom ili na osnovu sporazuma osnovale dvije zemlje ili više zemalja;
cc) "poslovni nastan" je djelotvorno i stvarno obavljanje djelatnosti putem stabilnih aranžmana;
dd) "video-nadzor" je informaciono-komunikacioni sistem koji ima mogućnost prikupljanja i dalje obrade ličnih podataka, koji obuhvata stvaranje snimka koji čini ili je namijenjen da čini dio sistema skladištenja.
(Glavna oblast primjene)
(1) Ovaj zakon se primjenjuje na obradu ličnog podatka koja se u potpunosti obavlja automatizovano te na neautomatizovanu obradu ličnog podatka koji čini dio zbirke ličnih podataka ili je namijenjen da bude dio zbirke ličnih podataka.
(2) Ovaj zakon ne primjenjuje se na obradu ličnog podatka koju obavlja fizičko lice isključivo u svrhu ličnih aktivnosti ili aktivnosti domaćinstva.
(3) Na obradu ličnog podatka od nadležnog organa u svrhu zaštite fizičkih lica u vezi s obradom ličnih podataka u svrhu sprečavanja, istrage i otkrivanja krivičnih djela ili gonjenja počinilaca krivičnih djela, izvršenja krivičnih sankcija, uključujući i zaštitu od prijetnji javnoj bezbjednosti i njihovo sprečavanje, ne primjenjuje se DIO DRUGI ovog zakona.
(Teritorijalno područje primjene)
(1) Ovaj zakon primjenjuje se na obradu ličnog podatka koju obavlja kontrolor podataka ili obrađivač koji ima sjedište ili poslovni nastan, prebivalište ili boravište u Bosni i Hercegovini, nezavisno od toga obavlja li se obrada u Bosni i Hercegovini ili ne.
(2) Ovaj zakon primjenjuje se na obradu ličnog podatka nosioca podataka u Bosni i Hercegovini koju obavlja kontrolor podataka ili obrađivač koji nema sjedište ili poslovni nastan, prebivalište ili boravište u Bosni i Hercegovini, ako je aktivnost obrade povezana sa:
a) nuđenjem robe ili usluga tim nosiocima podataka u Bosni i Hercegovini, nezavisno od toga da li nosilac podataka treba da izvrši plaćanje, ili
b) praćenjem ponašanja nosilaca podataka, uz uslov da se njihovo ponašanje odvija unutar Bosne i Hercegovine.
(3) Ovaj zakon primjenjuje se na obradu ličnog podatka koju obavlja kontrolor podataka ili obrađivač koji nema sjedište ili poslovni nastan u Bosni i Hercegovini već u mjestu gdje se pravo Bosne i Hercegovine primjenjuje na osnovu međunarodnog prava.
(4) Na obradu ličnog podatka od nadležnog organa u svrhu zaštite fizičkog lica u vezi s obradom ličnog podatka u svrhu sprečavanja, istrage i otkrivanja krivičnih djela ili gonjenja počinilaca krivičnih djela, izvršenja krivičnih sankcija, uključujući i zaštitu od prijetnji javnoj bezbjednosti i njihovo sprečavanje, ne primjenjuje se ovaj član.
DIO DRUGI - OBRADA LIČNOG PODATKA OD STRANE FIZIČKOG LICA, PRAVNOG LICA ILI JAVNOG ORGANA KAO KONTROLORA PODATAKA
GLAVA I - PRINCIPI OBRADE LIČNOG PODATKA
(Principi obrade ličnog podatka)
(1) Principi obrade ličnog podatka su:
a) zakonitost, pravičnost i transparentnost, u odnosu na nosioca podataka;
b) ograničenje svrhe - podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Dalja obrada u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa članom 56. stavom (1) ovog zakona, ne smatra se neusklađenom sa prvobitnim svrhama;
c) smanjenje obima podataka - podaci moraju biti primjereni, relevantni i ograničeni na ono što je neophodno u odnosu na svrhe za koje se obrađuju;
d) tačnost - podaci moraju biti tačni i po potrebi ažurirani. Moraju se preduzeti sve razumne mjere kako bi se obezbijedilo da lični podaci koji nisu tačni, imajući u vidu svrhe u koje se obrađuju, budu bez odgađanja izbrisani ili ispravljeni;
e) ograničenje čuvanja - podaci moraju biti čuvani u formi koja omogućava identifikaciju nosioca podataka i to ne duže nego što je potrebno u svrhe u koje se lični podaci obrađuju.
Lični podaci se mogu čuvati na duži period ako će se lični podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa članom 56. stavom (1) ovog zakona, što podliježe sprovođenju primjerenih tehničkih i organizacionih mjera propisanih ovim zakonom radi zaštite prava i sloboda nosioca podataka;
f) cjelovitost i povjerljivost - podaci moraju biti obrađivani tako da se osigura odgovarajuća bezbjednost ličnih podataka, uključujući i zaštitu od neovlašćene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacionih mjera.
(2) Princip pouzdanosti - kontrolor podataka odgovoran je za usklađenost obrade ličnog podatka sa stavom (1) ovog člana i mora biti u mogućnosti da dokaže tu usklađenost.
(Zakonitost obrade ličnog podatka)
(1) Obrada ličnog podatka je zakonita samo ako je ispunjen najmanje jedan od sljedećih uslova:
a) ako je nosilac podataka dao saglasnost za obradu svojih ličnih podataka u jednu ili više posebnih svrha;
b) ako je obrada neophodna radi izvršenja ugovora u kojem je nosilac podataka ugovorna strana ili radi preduzimanja radnji na zahtjev nosioca podataka prije zaključenja ugovora;
c) ako je obrada neophodna radi poštovanja pravnih obaveza kontrolora podataka;
d) obrada je neophodna radi zaštite ključnih interesa nosioca podataka ili drugog fizičkog lica;
e) ako je obrada neophodna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja kontrolora podataka;
f) ako je obrada neophodna zbog legitimnih interesa kontrolora podataka ili treće strane, osim kada nad tim interesima pretežu interesi ili osnovna prava i slobode nosioca podataka, a koji zahtijevaju zaštitu ličnih podataka, posebno ako je nosilac podataka dijete. Ova tačka se ne primjenjuje na obradu koju vrše javni organi pri obavljanju svojih poslova.
(2) Pravni osnov za obradu ličnog podatka iz stava (1) tač. c) i e) ovog člana utvrđuje se zakonima institucija BiH, entiteta i kantona u skladu sa nadležnostima, tako da se preciznije propišu posebni uslovi za obradu te druge mjere za obezbjeđivanje zakonite i pravične obrade, između ostalog i za druge posebne obrade kako je to predviđeno u Glavi V ovog zakona.
(3) Posebnim zakonom za obradu podatka iz stava (1) tač. c) i e) ovog člana institucija BiH, entiteta i kantona, u skladu sa nadležnostima, propisuje se svrha obrade, koja u vezi s obradom iz stava (1) tačke e) ovog člana mora biti neophodna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja kontrolora podataka. Tim zakonom propisuju se: opšti uslovi kojima se uređuje zakonitost obrade koju obavlja kontrolor podataka, vrste podataka koji se obrađuju, kategorije nosilaca podataka, subjekti kojima se lični podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničenje svrhe, rokovi čuvanja te radnje obrade i postupci obrade, uključujući i mjere za obezbjeđivanje zakonite i pravične obrade, kao i za druge posebne obrade kako je navedeno u Glavi V ovog zakona. Tim zakonom mora se ostvariti cilj od javnog interesa i obrada mora da bude proporcionalna zakonitom cilju kojem se teži.
(4) Ako se obrada obavlja u svrhu koja je različita od svrhe u koju su lični podaci prikupljeni i ne zasniva se na saglasnosti nosilaca podataka ili posebnom zakonu koji predstavlja neophodnu i proporcionalnu mjeru u demokratskom društvu za zaštitu ciljeva iz člana 25. stava (1) ovog zakona, kontrolor podataka, s ciljem utvrđivanja da li je obrada u drugu svrhu u skladu sa svrhom u koju su lični podaci prvobitno prikupljeni, uzima u obzir, između ostalog:
a) svaku vezu između svrha u koje su lični podaci prikupljeni i svrha namjeravane dalje obrade;
b) kontekst u kojem su lični podaci prikupljeni, posebno u vezi s odnosom između nosioca podataka i kontrolora podataka;
c) prirodu ličnih podataka, posebno činjenicu da li se obrađuju posebne kategorije ličnih podataka u skladu sa članom 11. ovog zakona ili lični podaci koji se odnose na krivičnu osuđivanost i krivična djela u skladu sa članom 12. ovog zakona;
d) moguće posljedice namjeravane dalje obrade za nosioce podataka;
e) postojanje odgovarajućih mjera zaštite, koje mogu uključivati enkripciju ili pseudonimizaciju.
(5) Javni i nadležni organi entiteta i Brčko Distrikta BiH dužni su da, uz poštovanje odredaba ovog zakona, ustupe lične podatke iz svojih evidencija ovlašćenom kontroloru podataka, u svrhu prethodnog izjašnjavanja građana koji imaju biračko pravo o pitanjima za koje je posebnim propisima omogućeno to pravo.
(Saglasnost)
(1) Kada je obrada zasnovana na saglasnosti, kontrolor podataka mora da dokaže da je nosilac podataka dao saglasnost za obradu svojih ličnih podataka.
(2) Ako nosilac podataka daje saglasnost u pisanoj izjavi koja se odnosi i na druga pitanja, zahtjev za saglasnost mora da bude predstavljen tako da se jasno razlikuje od drugih pitanja, u razumljivoj i lako dostupnoj formi, uz upotrebu jasnog i jednostavnog jezika. Dio saglasnosti koji predstavlja kršenje ovog zakona se ne primjenjuje.
(3) Nosilac podataka ima pravo da u bilo kojem trenutku povuče svoju saglasnost. Povlačenje saglasnosti ne utiče na zakonitost obrade podataka na osnovu saglasnosti prije njenog povlačenja. Prije davanja saglasnosti nosilac podataka se o tome obavještava. Povlačenje saglasnosti mora da bude jednako jednostavno kao i njeno davanje.
(4) Kada se procjenjuje da li je saglasnost data dobrovoljno, u najvećoj mogućoj mjeri se uzima u obzir da li je, između ostalog, izvršenje ugovora, uključujući i pružanje usluge, uslovljeno saglasnošću za obradu ličnih podataka koja nije neophodna za izvršenje tog ugovora.
(Uslovi koji se primjenjuju na saglasnost djeteta u vezi sa uslugom informacionog društva)
(1) Kada se primjenjuje član 8. stav (1) tačka a) ovog zakona u vezi sa neposrednim nuđenjem usluge informacionog društva djetetu, obrada ličnog podatka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete mlađe od 16 godina, takva obrada je zakonita samo ako i u mjeri u kojoj je saglasnost dao ili odobrio roditelj, usvojilac, staratelj djeteta ili drugi zastupnik djeteta.
(2) Kontrolor podataka mora da uloži razumne napore prilikom provjere da li je saglasnost u tim slučajevima dao ili odobrio roditelj, usvojilac, odnosno staratelj djeteta, uzimajući u obzir dostupnu tehnologiju.
(3) Stav (1) ovog člana ne utiče na opšta pravila obligacionog prava koja se tiču važenja, zaključenja ili učinka ugovora u vezi sa djetetom.
(Obrada posebnih kategorija ličnih podataka)
(1) Obrada ličnih podataka koji otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije lica, podataka o zdravlju ili podataka o polnom životu ili seksualnoj orijentaciji lica je zabranjena.
(2) Izuzetno od odredbe stava (1) ovog člana, obrada posebne kategorije ličnih podataka dopuštena je ako je ispunjen jedan od sljedećih uslova:
a) ako je nosilac podataka dao izričitu saglasnost za obradu tih ličnih podataka za jednu ili više konkretnih svrha, osim kada je posebnim zakonom propisano da se obrada tih podataka ne može obavljati na osnovu saglasnosti;
b) ako je obrada neophodna radi izvršavanja obaveza i ostvarivanja posebnih prava kontrolora podataka ili nosioca podataka u oblasti radnog prava i prava socijalnog osiguranja i socijalne zaštite, u mjeri u kojoj je to propisano zakonom ili kolektivnim ugovorom u skladu sa posebnim zakonom kojim se propisuju odgovarajuće mjere zaštite osnovnih prava i interesa nosioca podataka;
c) ako je obrada neophodna radi zaštite ključnih interesa nosioca podataka ili drugog fizičkog lica ako nosilac podataka fizički ili pravno ne može dati saglasnost;
d) ako se obrada obavlja u okviru legitimnih aktivnosti, uz odgovarajuće zaštitne mjere, fondacije, udruženja ili bilo koje druge neprofitne organizacije sa političkim, filozofskim, vjerskim ili sindikalnim ciljem, i to uz uslov da se obrada odnosi isključivo na članove ili bivše članove te organizacije ili na fizička lica koja imaju redovan kontakt s njom, a u vezi s njenim svrhama, i da se lični podaci ne otkrivaju van te organizacije bez saglasnosti nosioca podataka;
e) ako se obrada odnosi na lične podatke za koje je očigledno da ih je objavio nosilac podataka;
f) ako je obrada neophodna za uspostavljanje, ostvarivanje ili odbranu pravnih zahtjeva ili kad sudovi postupaju u sudskom svojstvu;
g) ako je obrada neophodna za potrebe značajnog javnog interesa, na osnovu zakona koji je proporcionalan legitimnom cilju i kojim se poštuje suština prava na zaštitu ličnih podataka i obezbjeđuju primjerene i posebne mjere za zaštitu osnovnih prava i interesa nosioca podataka;
h) ako je obrada neophodna za potrebe preventivne medicine ili medicine rada zbog procjene radne sposobnosti zaposlenih, medicinske dijagnoze, pružanja zdravstvene ili socijalne zaštite ili tretmana ili upravljanja sistemima i uslugama zdravstvene ili socijalne zaštite na osnovu posebnog zakona ili u skladu s ugovorom sa zdravstvenim radnikom i uz uslove i mjere zaštite iz stava (3) ovog člana;
i) ako je obrada neophodna iz razloga javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih prijetnji za zdravlje ili obezbjeđivanje visokih standarda kvaliteta i bezbjednosti zdravstvene zaštite i lijekova i medicinskih sredstava, na osnovu posebnog zakona kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda nosioca podataka, a posebno čuvanje profesionalne tajne;
j) ako je obrada neophodna za potrebe arhiviranja u javnom interesu, potrebe naučnog ili istorijskog istraživanja ili statističke potrebe u skladu sa članom 56. stavom (1) ovog zakona, a na osnovu posebnog zakona, koji je proporcionalan legitimnom cilju i kojim se poštuje suština prava na zaštitu podataka i obezbjeđuju primjerene i posebne mjere za zaštitu osnovnih prava i interesa nosioca podataka.
(3) Lični podaci iz stava (1) ovog člana mogu se obrađivati u svrhe navedene u stavu (2) tački h) ovog člana kada te podatke obrađuje stručno lice ili se podaci obrađuju pod odgovornošću stručnog lica na koje se primjenjuje obaveza čuvanja profesionalne tajne u skladu sa posebnim zakonom ili pravilima koja su utvrdili nadležni javni organi ili druga lica na koje se primjenjuje obaveza čuvanja tajne u skladu sa posebnim zakonom ili pravilima koja su utvrdili nadležni javni organi.
(4) Posebnim zakonima mogu se zadržati ili uvesti dodatni uslovi, uključujući i ograničenja u odnosu na obradu genetskih podataka, biometrijskih podataka ili podataka o zdravlju.
(Obrada ličnih podataka koji se odnose na krivičnu osuđivanost i krivična djela)
Obrada ličnih podataka koji se odnose na krivičnu osuđivanost i krivična djela ili povezane mjere bezbjednosti na osnovu člana 8. stava (1) ovog zakona može se obavljati samo pod nadzorom javnog organa ili kada je obrada propisana posebnim zakonom kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode nosioca podataka. Registar krivičnih presuda vodi se isključivo pod nadzorom javnog organa.
(Obrada za koju nije potrebna identifikacija)
(1) Ako kontrolor podataka obrađuje lične podatke za čiju svrhu obrade ne zahtijeva ili više ne zahtijeva identifikovanje nosioca podataka, kontrolor podataka nije dužan da čuva, pribavlja ili obrađuje dodatne informacije radi identifikacije nosioca podataka samo za potrebe poštovanja ovog zakona.
(2) Ako u slučajevima iz stava (1) ovog člana kontrolor podataka može da dokaže da ne može da identifikuje nosioca podataka, kontrolor podataka o tome, na odgovarajući način, obavještava nosioca podataka, ako je moguće. U tim slučajevima se ne primjenjuju čl. od 17. do 22. ovog zakona, osim u slučaju da nosilac podataka u svrhu ostvarivanja svojih prava iz tih članova pruži dodatne informacije koje omogućavaju njegovu identifikaciju.
GLAVA II - PRAVA NOSIOCA PODATAKA
(Transparentna informacija, komunikacija i način ostvarivanja prava nosioca podataka)
(1) Kontrolor podataka preduzima odgovarajuće mjere kako bi se nosiocu podataka pružile sve informacije iz čl. 15. i 16. ovog zakona i svi vidovi komunikacije za ostvarivanje prava iz čl. od 17. do 24. ovog zakona i člana 36. ovog zakona u vezi s obradom podataka, i to u sažetoj, transparentnoj, razumljivoj i lako dostupnoj formi, uz upotrebu jasnog i jednostavnog jezika, što se posebno odnosi na sve informacije koje su izričito namijenjene djetetu. Informacije se pružaju u pisanoj formi ili na druge načine, uključujući i elektronsku formu kada je primjereno. Ako nosilac podataka zahtijeva, informacije se mogu pružiti usmeno, uz uslov da je identitet nosioca podataka utvrđen drugim sredstvima.
(2) Kontrolor podataka olakšava ostvarivanje prava nosioca podataka iz čl. od 17. do 24. ovog zakona. U slučajevima iz člana 13. stava (1) ovog zakona kontrolor podataka ne smije da odbije da postupi po zahtjevu nosioca podataka za ostvarivanje njegovih prava iz čl. od 17. do 24. ovog zakona, osim ako kontrolor podataka dokaže da ne može da utvrdi identitet nosioca podataka.
(3) Kontrolor podataka nosiocu podataka na njegov zahtjev pruža informacije o preduzetim radnjama iz čl. od 17. do 24. ovog zakona bez nepotrebnog odgađanja i u svakom slučaju u roku od 30 dana od dana zaprimanja zahtjeva. Taj se rok može, prema potrebi, produžiti za 60 dana, uzimajući u obzir složenost i broj zaprimljenih zahtjeva. Kontrolor podataka obavještava nosioca podataka o svakom takvom produženju u roku od 30 dana od dana zaprimanja zahtjeva, pri čemu navodi razloge za odgađanje. Ako nosilac podataka podnese zahtjev elektronskim putem, informacije se pružaju elektronskim putem ako je to moguće, osim u slučaju kada nosilac podataka zahtijeva drugačije.
(4) Ako kontrolor podataka ne postupi po zahtjevu nosioca podataka, dužan je da bez odgađanja, a najkasnije 30 dana od dana zaprimanja zahtjeva, obavijesti nosioca podataka o razlozima zbog kojih nije postupio po zahtjevu i o mogućnosti podnošenja prigovora Agenciji ili tužbe nadležnom sudu i drugim pravnim sredstvima.
(5) Informacije pružene u skladu sa čl. 15. i 16. ovog zakona i sva komunikacija i djelovanja iz čl. od 17. do 24. ovog zakona i člana 36. ovog zakona pružaju se bez naknade. Ako su zahtjevi nosioca podataka očigledno neosnovani ili pretjerani, posebno zbog učestalog ponavljanja, kontrolor podataka može:
a) naplatiti naknadu stvarnih administrativnih troškova, kao što su troškovi umnožavanja skeniranja ili troškovi nosača podataka, kao i naknadu troškova dostavljanja ili postupanja po zahtjevu, ili
b) odbiti da postupi po zahtjevu.
(6) Teret dokazivanja očigledne neosnovanosti ili pretjeranosti zahtjeva je na kontroloru podataka.
(7) Ako kontrolor podataka ima opravdane sumnje u vezi s identitetom fizičkog lica koje podnosi zahtjev iz čl. od 17. do 23. ovog zakona, on može, ne dovodeći u pitanje član 13. ovog zakona, zatražiti dodatne informacije neophodne za potvrđivanje identiteta nosioca podataka.
(8) Informacije koje moraju da budu pružene nosiocima podataka, u skladu sa čl. 15. i 16. ovog zakona, mogu se pružiti u kombinaciji sa standardizovanim simbolima, kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio logičan pregled namjeravane obrade. Ako su simboli prikazani elektronski, moraju da budu mašinski čitljivi.
(9) Agencija je ovlašćena da donese propise u svrhu određivanja informacija koje se prikazuju simbolima i postupke za utvrđivanje standardizovanih simbola.
(Informacije koje treba dostaviti ako se lični podatak prikuplja od nosioca podataka)
(1) Ako se lični podatak prikuplja od nosioca podataka, kontrolor podataka u trenutku prikupljanja ličnog podatka nosiocu podataka pruža sljedeće informacije:
a) identitet i kontaktne podatke kontrolora podataka i kontaktne podatke predstavnika kontrolora podataka, ako je primjenjivo;
b) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
c) pravni osnov za obradu, te svrhu obrade ličnog podatka;
d) legitimni interes kontrolora podataka ili trećeg lica, ako je obrada zasnovana na članu 8. stavu (1) tački f) ovog zakona;
e) o primaocu ili kategoriji primaoca ličnih podataka, ako ih ima;
f) činjenicu da kontrolor podataka namjerava da prenese lične podatke u drugu državu ili međunarodnu organizaciju i postojanju ili nepostojanju odluke Savjeta ministara Bosne i Hercegovine o adekvatnosti, odnosno, u slučaju prenošenja iz člana 48. ili 49. ovog zakona ili člana 51. stava (2) ovog zakona, upućivanje na primjerene ili odgovarajuće zaštitne mjere i načine dobijanja njihove kopije ili mjesto na kojem su stavljene na raspolaganje, ako je primjenjivo.
(2) Osim informacija iz stava (1) ovog člana, kontrolor podataka u trenutku prikupljanja ličnog podatka pruža nosiocu podataka sljedeće dodatne informacije, ako je to neophodno da bi se obezbijedila pravična i transparentna obrada:
a) o roku u kojem će se lični podatak čuvati ili, ako to nije moguće, kriterijumima koji se koriste za određivanje tog roka;
b) o pravu da se od kontrolora podataka zatraži pristup ličnom podatku, ispravka ili brisanje ličnog podatka ili ograničenje obrade u vezi sa nosiocem podataka ili prava na ulaganje prigovora na obradu takvog podatka te prava na prenosivost podatka;
c) o pravu da se saglasnost povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade koja se zasnivala na saglasnosti prije njenog povlačenja, ako je obrada zasnovana na članu 8. stavu (1) tački a) ovog zakona ili članu 11. stavu (2) tački a) ovog zakona;
d) o pravu na podnošenje prigovora Agenciji ili tužbe nadležnom sudu;
e) informacije o tome da li je davanje ličnog podatka zakonska ili ugovorna obaveza ili neophodan uslov za zaključenje ugovora, kao i ima li nosilac podataka obavezu da dâ lični podatak i koje su moguće posljedice ako se takav podatak ne pruži;
f) o postojanju automatizovanog donošenja odluka, uključujući i izradu profila iz čl. 24. st. (1) i (4) ovog zakona, pri čemu je minimalno dužan da dâ informacije o načinu rada, kao i značaju i predviđenim posljedicama takve obrade za nosioca podataka.
(3) Ako kontrolor podataka namjerava dodatno da obrađuje lične podatke u svrhu koja se razlikuje od svrhe za koju su podaci prikupljeni, on prije te dodatne obrade nosiocu podataka pruža informacije o toj drugoj svrsi i sve dodatne relevantne informacije iz stava (2) ovog člana.
(4) Kontrolor podataka nije dužan da pruži informacije nosiocu podataka iz st. (1), (2) i (3) ovog člana u onoj mjeri u kojoj nosilac podataka već raspolaže tim informacijama.
(Informacije koje se pružaju ako lični podatak nije dobijen od nosioca podataka)
(1) Ako lični podatak nije dobijen od nosioca podataka, kontrolor podataka pruža nosiocu podataka sljedeće informacije o:
a) identitetu i kontaktnim podacima kontrolora podataka i predstavnika kontrolora podataka, ako je primjenjivo;
b) kontaktnim podacima službenika za zaštitu podataka, ako je primjenjivo;
c) pravnom osnovu za obradu i za svrhe obrade kojoj su namijenjeni lični podaci;
d) kategorijama ličnih podataka koji se obrađuju;
e) primaocu ili kategorijama primalaca ličnih podataka, prema potrebi;
f) činjenicama da kontrolor podataka namjerava da prenese lične podatke primaocu u drugoj državi ili međunarodnoj organizaciji i postojanju ili nepostojanju odluke Savjeta ministara Bosne i Hercegovine o adekvatnosti iz člana 47. stava (3) ovog zakona ili u slučaju prenošenja ličnih podataka iz člana 48. ili 49. ovog zakona ili člana 51. stava (2) ovog zakona, upućivanje na primjerene ili odgovarajuće zaštitne mjere i načine dobijanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje, ako je primjenjivo.
(2) Osim informacija iz stava (1) ovog člana, kontrolor podataka pruža nosiocu podataka sljedeće informacije ako je to neophodno da bi se obezbijedila pravična i transparentna obrada u odnosu na nosioca podataka:
a) o roku u kojem će se lični podatak čuvati ili, ako to nije moguće, kriterijume koji se koriste za određivanje tog roka;
b) o legitimnim interesima kontrolora podataka ili trećeg lica ako je obrada zasnovana na članu 8. stavu (1) tački f) ovog zakona;
c) o pravu da se od kontrolora podataka zatraži pristup ličnim podacima, ispravka ili brisanje ličnih podataka ili ograničenje obrade u vezi sa nosiocem podataka i pravu na prigovor na obradu, kao i pravu na prenosivost podataka;
d) o pravu da se saglasnost povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade zasnovane na saglasnosti prije povlačenja, ako je obrada zasnovana na članu 8. stavu (1) tački a) ovog zakona ili članu 11. stavu (2) tački a) ovog zakona;
e) o pravu na podnošenje prigovora Agenciji ili tužbe nadležnom sudu;
f) o izvoru ličnih podataka i, prema potrebi, da li dolaze iz javno dostupnih izvora;
g) o postojanju automatizovanog donošenja odluka, uključujući i izradu profila iz člana 24. st. (1) i (4) ovog zakona te, najmanje u tim slučajevima, razumne informacije o kriterijumu koji se koristi, kao i značaju i predviđenim posljedicama takve obrade za nosioca podataka.
(3) Kontrolor podataka pruža informacije iz st. (1) i (2) ovog člana:
a) u razumnom roku nakon dobijanja ličnih podataka, a najkasnije u roku od 30 dana, uzimajući u obzir posebne okolnosti obrade ličnog podatka;
b) ako se lični podatak koristi za komunikaciju sa nosiocem podataka, najkasnije prilikom prve komunikacije, ili
c) ako je predviđeno otkrivanje podataka drugom primaocu, najkasnije u trenutku kada je lični podatak prvi put otkriven.
(4) Ako kontrolor podataka namjerava dodatno da obrađuje lični podatak u svrhu koja se razlikuje od svrhe za koju su podaci prikupljeni, on prije te dodatne obrade pruža nosiocu podataka informacije o toj drugoj svrsi i sve dodatne relevantne informacije iz stava (2) ovog člana.
(5) Stavovi od (1) do (4) ovog člana ne primjenjuju se ako i u mjeri u kojoj:
a) nosilac podataka već posjeduje informacije;
b) pružanje takvih informacija je nemoguće ili bi zahtijevalo neproporcionalne napore, posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa uslovima i mjerama zaštite iz člana 56. stava (1) ovog zakona ili u mjeri u kojoj je vjerovatno da se obavezom iz stava (1) ovog člana može onemogućiti ili ozbiljno ugroziti ostvarivanje ciljeva te obrade. U takvim slučajevima, kontrolor podataka preduzima odgovarajuće mjere za zaštitu prava i sloboda i legitimnih interesa nosioca podataka, između ostalog i stavljanjem informacija na raspolaganje javnosti;
c) dobijanje ili otkrivanje podataka je izričito propisano posebnim zakonom koji se primjenjuje na nosioca podataka, a koji predviđa odgovarajuće mjere za zaštitu legitimnih interesa nosioca podataka, ili
d) lični podatak mora da ostane povjerljiv u skladu s obavezom čuvanja profesionalne tajne koju propisuje posebni zakon, uključujući i druge zakonske obaveze čuvanja tajne.
(Pravo nosioca podataka na pristup ličnom podatku)
(1) Nosilac podataka ima pravo da dobije potvrdu od kontrolora podataka o tome obrađuju li se njegovi lični podaci i, ako se obrađuju, pristup ličnim podacima i sljedećim informacijama:
a) svrsi obrade;
b) kategoriji ličnog podatka koji se obrađuje;
c) primaocu ili kategorijama primalaca kojima je lični podatak otkriven ili će im biti otkriven, a posebno primaocu u drugoj državi ili međunarodnoj organizaciji;
d) predviđenom roku u kojem se lični podaci čuvaju ili, ako to nije moguće, kriterijumima korišćenim za određivanje tog roka;
e) pravo da se od kontrolora podataka zatraži ispravka ili brisanje ličnog podatka ili ograničavanje obrade ličnog podatka koji se odnosi na nosioca podataka ili pravo na prigovor na takvu obradu;
f) pravo na podnošenje prigovora Agenciji ili tužbe nadležnom sudu;
g) ako se lični podatak ne prikuplja od nosioca podataka, svakoj dostupnoj informaciji o njegovom izvoru;
h) postojanju automatizovanog donošenja odluka, uključujući i profilisanje iz člana 24. st. (1) i (4) ovog zakona te, najmanje u tim slučajevima, razumne informacije o kriterijumu koji se koristi, kao i značaju i predviđenim posljedicama takve obrade za nosioca podataka.
(2) Ako se lični podatak prenosi u drugu državu ili međunarodnu organizaciju, nosilac podataka ima pravo da bude informisan o odgovarajućim mjerama zaštite u skladu sa članom 48. ovog zakona koje se odnose na prenošenje podataka.
(3) Kontrolor podataka obezbjeđuje kopiju ličnog podatka koji se obrađuje. Za sve dodatne kopije koje zatraži nosilac podataka, kontrolor podataka može naplatiti opravdanu naknadu na osnovu administrativnih troškova. Ako nosilac podataka podnese zahtjev elektronskim putem, osim ako nosilac podataka ne zahtijeva drugačije, informacije se pružaju u uobičajenoj elektronskoj formi.
(4) Pravo na dobijanje kopije iz stava (3) ovog člana ne smije negativno uticati na prava i slobode drugih.
(Pravo na ispravku)
(1) Nosilac podataka ima pravo da mu kontrolor podataka omogući ispravku netačnog ličnog podatka, bez nepotrebnog odgađanja.
(2) Uzimajući u obzir svrhu obrade, nosilac podataka ima pravo da dopuni nepotpun lični podatak, između ostalog i davanjem dodatne izjave.
(Pravo na brisanje)
(1) Nosilac podataka ima pravo da mu kontrolor podataka omogući brisanje ličnog podatka koji se na njega odnosi, a kontrolor podataka ima obavezu da obriše lični podatak, bez nepotrebnog odgađanja, ako je ispunjen jedan od sljedećih uslova:
a) lični podatak više nije neophodan za svrhe u koje je prikupljen ili na drugi način obrađen;
b) nosilac podataka povukao je saglasnost na kojoj je obrada zasnovana u skladu sa članom 8. stavom (1) tačkom a) ovog zakona ili članom 11. stavom (2) tačkom a) ovog zakona i ako ne postoji drugi pravni osnov za obradu;
c) nosilac podataka uložio je prigovor na obradu u skladu sa članom 23. stavom (1) ovog zakona i ne postoje zakonski razlozi za obradu ili je nosilac podataka uložio prigovor na obradu u skladu sa članom 23. stavom (2) ovog zakona;
d) lični podatak je nezakonito obrađen;
e) lični podatak mora biti obrisan radi postupanja u skladu sa zakonskom obavezom kojoj podliježe kontrolor podataka;
f) lični podatak je prikupljen u vezi sa ponudom usluga informacionog društva iz člana 10. stava (1) ovog zakona.
(2) Ako je kontrolor podataka javno objavio lični podatak, a dužan je da u skladu sa stavom (1) ovog člana taj lični podatak briše, uzimajući u obzir dostupnu tehnologiju i troškove sprovođenja, kontrolor podataka preduzima razumne mjere, uključujući i tehničke mjere, da bi obavijestio kontrolore podataka koji obrađuju lični podatak da je nosilac podataka zatražio od tih kontrolora podataka da brišu sve poveznice do njega ili kopiju ili rekonstrukciju tog ličnog podatka.
(3) Stavovi (1) i (2) ovog člana ne primjenjuju se u mjeri u kojoj je obrada neophodna:
a) radi ostvarivanja prava na slobodu izražavanja i informisanja;
b) radi poštovanja zakonske obaveze kojom se zahtijeva obrada propisana posebnim zakonom, a koja se primjenjuje na kontrolora podataka ili radi izvršenja zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodijeljenih kontroloru podataka;
c) radi javnog interesa u oblasti javnog zdravlja u skladu sa članom 11. stavom (2) tač. h) i i) ovog člana, kao i članom 11. stavom (3) ovog zakona;
d) u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe u skladu sa članom 56. stavom (1) ovog zakona u mjeri u kojoj je vjerovatno da se pravom iz stava (1) ovog člana može onemogućiti ili ozbiljno ugroziti ostvarivanje ciljeva te obrade ili
e) radi postavljanja, ostvarivanja ili odbrane pravnih zahtjeva.
(Pravo na ograničenje obrade)
(1) Nosilac podataka ima pravo na ograničenje obrade podataka ako je ispunjen jedan od sljedećih uslova:
a) nosilac podataka osporava tačnost ličnog podatka, u roku u kojem se kontroloru podataka omogućava da provjeri tačnost ličnog podatka;
b) obrada je nezakonita, a nosilac podataka se protivi brisanju ličnog podatka i umjesto toga traži ograničenje njegove obrade;
c) kontroloru podataka više nije potreban lični podatak za potrebe obrade, ali ga nosilac podataka zahtijeva radi postavljanja, ostvarivanja ili odbrane pravnih zahtjeva;
d) nosilac podataka uložio je prigovor na obradu u skladu sa članom 23. stavom (1) ovog zakona i očekuje potvrdu o tome da li prevladavaju njegovi razlozi nad legitimnim razlozima kontrolora podataka.
(2) Ako je obrada ograničena u skladu sa stavom (1) ovog člana, taj lični podatak smije se obrađivati samo uz saglasnost nosioca podataka, izuzev čuvanja, ili za postavljanje, ostvarivanje ili odbranu pravnih zahtjeva ili zaštitu prava drugog fizičkog ili pravnog lica ili zbog važnog javnog interesa.
(3) Nosioca podataka koji je ostvario pravo na ograničenje obrade, u skladu sa stavom (1) ovog člana, kontrolor podataka obavještava prije ukidanja ograničenja obrade.
(Obaveza obavještavanja o ispravci ili brisanju ličnog podatka ili ograničenju obrade)
(1) Kontrolor podataka obavještava sve primaoce kojima su lični podaci otkriveni o svakoj ispravci ili brisanju ličnog podatka ili ograničenju obrade izvršenom u skladu sa članom 18, članom 19. stavom (1) i članom 20. ovog zakona, osim u slučaju kada je to nemoguće ili ako to zahtijeva neproporcionalan napor.
(2) Kontrolor podataka obavještava nosioca podataka o tim primaocima, ako nosilac podataka to zahtijeva.
(Pravo na prenosivost ličnog podatka)
(1) Nosilac podataka ima pravo da preuzme lični podatak, koji se odnosi na njega a koji je dao kontroloru podataka, u strukturiranom, uobičajeno upotrebljavanom i mašinski čitljivom formatu, te ima pravo da prenosi taj podatak drugom kontroloru podataka bez ometanja od kontrolora podataka kojem je lični podatak dat, ako se:
a) obrada obavlja u skladu sa članom 8. stavom (1) tačkom a) ovog zakona ili članom 11. stavom (2) tačkom a) ovog zakona ili na osnovu ugovora u skladu sa članom 8. stavom (1) tačkom b) ovog zakona;
b) obrada obavlja automatski.
(2) Pri ostvarivanju svog prava na prenosivost podatka, u skladu sa stavom (1) ovog člana, nosilac podataka ima pravo na neposredni prenos od jednog kontrolora podataka drugom kontroloru podataka, ako je to tehnički izvodljivo.
(3) Ostvarivanjem prava na prenosivost podataka iz stava (1) ovog člana ne dovodi se u pitanje član 19. ovog zakona. To pravo se ne primjenjuje na obradu neophodnu za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru službenih ovlašćenja dodijeljenih kontroloru podataka.
(4) Pravo na prenosivost podatka iz stava (1) ovog člana ne smije negativno uticati na prava i slobode drugih.
(Pravo na prigovor)
(1) Nosilac podataka ima pravo da na osnovu svoje posebne situacije u svakom trenutku kontroloru podataka podnese prigovor na obradu njegovog ličnog podatka, u skladu sa članom 8. stavom (1) tač. e) ili f) ovog zakona, uključujući profilisanje zasnovano na tim odredbama. Kontrolor podataka ne smije dalje obrađivati lični podatak, osim u slučaju da dokaže da postoje uvjerljivi legitimni razlozi za obradu koji prevladavaju nad interesima, pravima i slobodama nosioca podataka ili radi postavljanja, ostvarivanja ili odbrane pravnih zahtjeva.
(2) Ako se lični podatak obrađuje za potrebe direktnog marketinga, nosilac podataka ima pravo da u bilo kojem trenutku uloži prigovor na obradu ličnog podatka koji se odnosi na njega, za potrebe takvog marketinga, što uključuje izradu profila u mjeri u kojoj je povezano sa takvim direktnim marketingom.
(3) Ako se nosilac podataka protivi obradi za potrebe direktnog marketinga, lični podatak se više ne smije obrađivati u te svrhe.
(4) Najkasnije u trenutku prve komunikacije sa nosiocem podataka, nosilac podataka se izričito mora uputiti na prava iz st. (1) i (2) ovog člana te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije.
(5) U kontekstu korišćenja usluga informacionog društva i ne uzimajući u obzir propise iz oblasti elektronskih komunikacija, nosilac podataka može ostvariti svoje pravo na prigovor automatizovanim putem pomoću tehničkih specifikacija.
(6) Ako se lični podatak obrađuje u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe na osnovu člana 56. stava (1) ovog zakona, nosilac podataka na osnovu svoje posebne situacije ima pravo da uloži prigovor na obradu ličnog podatka koji se na njega odnosi, osim ako je obrada neophodna za izvršenje zadatka koji se obavlja u javnom interesu.
(Automatizovano pojedinačno donošenje odluke, uključujući i profilisanje)
(1) Nosilac podataka ima pravo da se na njega ne primjenjuje odluka zasnovana isključivo na automatizovanoj obradi, uključujući i profilisanje, koja proizvodi pravni učinak koji se na njega odnosi ili na sličan način značajno na njega utiče.
(2) Stav (1) ovog člana ne primjenjuje se ako je odluka:
a) potrebna za zaključivanje ili izvršenje ugovora između nosioca podataka i kontrolora podataka;
b) dopuštena zakonom koji se primjenjuje na kontrolora podataka i kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode te legitimne interese nosioca podataka, ili
c) zasnovana na izričitoj saglasnosti nosioca podataka.
(3) U slučajevima iz stava (2) tač. a) i c) ovog člana, kontrolor podataka preduzima odgovarajuće mjere za zaštitu prava i sloboda te legitimnih interesa nosioca podataka, najmanje prava na učestvovanje fizičkog lica u donošenju odluke, prava izražavanja vlastitog stava i prava na osporavanje odluke.
(4) Odluka iz stava (2) ovog člana ne smije biti zasnovana na posebnim kategorijama ličnih podataka iz člana 11. stava (1) ovog zakona, osim ako se primjenjuje član 11. stav (2) tačka a) ili g) ovog zakona te ako su uspostavljene odgovarajuće mjere za zaštitu prava i sloboda i legitimnih interesa nosioca podataka.
(Ograničenja)
(1) Na osnovu posebnog zakona koji se primjenjuje na kontrolora podataka i obrađivača može se ograničiti opseg prava i obaveza iz člana 7, čl. od 14. do 24. ovog zakona i člana 36. ovog zakona, ako odredbe tog zakona odgovaraju pravima i obavezama propisanim u čl. od 14. do 24. ovog zakona, ako se takvim ograničenjem poštuje suština osnovnih prava i sloboda i ako ono predstavlja neophodnu i proporcionalnu mjeru u demokratskom društvu za zaštitu:
a) državne bezbjednosti;
b) odbrane;
c) javne bezbjednosti;
d) sprečavanja, istrage, otkrivanja ili gonjenja krivičnih djela ili izvršenja krivičnih sankcija, uključujući zaštitu od prijetnji javnoj bezbjednosti i njihovo sprečavanje;
e) drugih važnih ciljeva od opšteg javnog interesa u Bosni i Hercegovini, a posebno važnog privrednog ili finansijskog interesa, što uključuje monetarna, budžetska i poreska pitanja, javno zdravstvo i socijalnu zaštitu;
f) nezavisnosti pravosuđa i sudskih postupaka;
g) sprečavanja, istrage, otkrivanja i gonjenja povrede etike u zakonski regulisanim profesijama;
h) nadzorne, inspekcijske ili regulatorne funkcije koja je, najmanje povremeno, povezana s izvršavanjem službenih ovlašćenja u slučajevima iz tač. od a) do e) i tačke g) ovog stava;
i) nosioca podataka ili prava i sloboda drugih;
j) ostvarivanja potraživanja u građanskim sporovima.
(2) Posebni zakon iz stava (1) ovog člana sadrži, po potrebi, posebne odredbe, koje sadrže najmanje sljedeće:
a) svrhu obrade ili kategoriju obrade;
b) kategoriju ličnog podatka;
c) obim uvedenih ograničenja;
d) mjere zaštite za sprečavanje zloupotrebe ili nezakonitog pristupa ili prenošenja;
e) određivanje kontrolora podataka ili kategoriju kontrolora podataka;
f) rok čuvanja i mjere zaštite koje se mogu primijeniti uzimajući u obzir prirodu, obim i svrhe obrade ili kategorije obrade;
g) rizik za prava i slobode nosioca podataka;
h) pravo nosioca podataka da bude obaviješten o ograničenju, osim ako to može biti štetno za svrhu tog ograničenja.
GLAVA III - KONTROLOR PODATAKA I OBRAĐIVAČ
(Obaveza kontrolora podataka)
(1) Kontrolor podataka dužan je da primijeni odgovarajuće tehničke i organizacione mjere imajući u vidu prirodu, obim, okolnosti i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, kako bi obezbijedio da se obrada obavlja u skladu s ovim zakonom i kako bi to mogao dokazati. Te mjere se prema potrebi preispituju i ažuriraju.
(2) Mjere iz stava (1) ovog člana, ako su proporcionalne u odnosu na aktivnosti obrade, uključuju sprovođenje odgovarajućih politika zaštite podataka od kontrolora podataka.
(3) Poštovanje odobrenih kodeksa ponašanja iz člana 42. ovog zakona ili odobrenih mehanizama sertifikacije iz člana 44. ovog zakona može služiti kao elemenat za dokazivanje usklađenosti s obavezama kontrolora podataka.
(Tehnička i integrisana zaštita podataka)
(1) Uzimajući u obzir najnovija dostignuća, troškove sprovođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica koji proizlaze iz obrade podataka, kontrolor podataka, prilikom određivanja sredstava obrade i pri samoj obradi, primjenjuje odgovarajuće tehničke i organizacione mjere, poput pseudonimizacije, za omogućavanje djelotvorne primjene principa zaštite podataka, kao što je smanjenje količine podataka te uključivanje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ovog zakona i zaštitila prava nosioca podataka.
(2) Kontrolor podataka primjenjuje odgovarajuće tehničke i organizacione mjere kojima se obezbjeđuje da integrisanim načinom budu obrađeni samo lični podaci koji su neophodni za svaku posebnu svrhu obrade. Ta obaveza se primjenjuje na sve prikupljene lične podatke, obim njihove obrade, rok njihovog čuvanja i njihovu dostupnost. Tim se mjerama obezbjeđuje da lični podaci nisu automatski, bez intervencije fizičkog lica, dostupni neograničenom broju drugih fizičkih lica.
(3) Odobreni mehanizam sertifikacije iz člana 44. ovog zakona može služiti kao elemenat za dokazivanje usklađenosti sa zahtjevima iz st. (1) i (2) ovog člana.
(Zajednički kontrolori podataka)
(1) Ako dva ili više kontrolora podataka zajednički odrede svrhe i načine obrade, smatraju se zajedničkim kontrolorima podataka. Oni na transparentan način, međusobnim sporazumom, određuju odgovornosti svakoga od njih s ciljem izvršavanja obaveza iz ovog zakona, posebno u vezi sa ostvarivanjem prava nosioca podataka i dužnostima svakoga od njih u vezi sa pružanjem informacija iz čl. 15. i 16. ovog zakona, osim u slučaju da su odgovornosti svakog od kontrolora podataka utvrđene zakonom koji se primjenjuje na kontrolore podataka. Sporazumom se može odrediti kontaktna tačka za nosioca podataka.
(2) Sporazum iz stava (1) ovog člana mora na odgovarajući način odražavati pojedinačne uloge i odnose zajedničkih kontrolora podataka u odnosu na nosioce podataka. Suština sporazuma mora biti dostupna nosiocu podataka.
(3) Nezavisno od uslova sporazuma iz stava (1) ovog člana, nosilac podataka može ostvarivati svoja prava iz ovog zakona u vezi sa svakim kontrolorom podataka i protiv svakog od njih.
(Predstavnik kontrolora podataka ili obrađivača koji nema sjedište ili poslovni nastan u Bosni i Hercegovini)
(1) Ako se primjenjuje član 6. stav (2) ovog zakona, kontrolor podataka ili obrađivač ima obavezu da pisanim putem imenuje svog predstavnika u Bosni i Hercegovini.
(2) Obaveza iz stava (1) ovog člana ne primjenjuje se na:
a) obradu koja je povremena, ne podrazumijeva u većoj mjeri obradu posebnih kategorija podataka iz člana 11. stava (1) ovog zakona ili obradu ličnih podataka koji se odnose na krivičnu osuđivanost i krivična djela iz člana 12. ovog zakona i za koju nije vjerovatno da će prouzrokovati rizik za prava i slobode fizičkih lica, uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade ili
b) javne organe.
(3) Kontrolor podataka ili obrađivač ovlašćuje predstavnika kako bi se, uz obraćanje kontroloru podataka ili obrađivaču ili umjesto obraćanja njima, njemu obraćali posebno Agencija i nosilac podataka u vezi sa svim pitanjima koja se odnose na obradu ličnog podatka radi obezbjeđivanja usklađenosti obrade ličnog podatka s ovim zakonom.
(4) Imenovanje predstavnika kontrolora podataka ili obrađivača ne utiče na pravne zahtjeve koji mogu biti usmjereni protiv samog kontrolora podataka ili obrađivača.
(Obrađivač)
(1) Ako se obrada ličnog podatka obavlja u ime kontrolora podataka, kontrolor podataka koristi isključivo obrađivača koji u dovoljnoj mjeri garantuje primjenu odgovarajućih tehničkih i organizacionih mjera tako da obrada bude u skladu sa zahtjevima iz ovog zakona i da se obradom obezbjeđuje zaštita prava nosioca podataka.
(2) Obrađivač ne smije angažovati drugog obrađivača bez prethodnog posebnog ili opšteg pisanog odobrenja kontrolora podataka. U slučaju opšteg pisanog odobrenja, obrađivač obavještava kontrolora podataka o svim planiranim izmjenama u vezi sa dodavanjem ili zamjenom drugih obrađivača kako bi time kontroloru podataka omogućio da uloži prigovor na te izmjene.
(3) Obrada koju obavlja obrađivač uređuje se ugovorom ili drugim pravnim aktom u skladu sa zakonom koji obavezuje obrađivača prema kontroloru podataka, u kojem se navode predmet i trajanje obrade, priroda i svrha obrade, vrsta ličnih podataka i kategorija nosioca podataka, kao i obaveze i prava kontrolora podataka.
(4) Ugovorom ili drugim pravnim aktom iz stava (3) ovog člana propisuje se da je obrađivač dužan da:
a) obrađuje lični podatak samo prema dokumentovanim uputstvima kontrolora podataka, između ostalog i u vezi sa prenosom ličnog podatka u drugu državu ili međunarodnu organizaciju, osim ako je to propisano posebnim zakonom koji se primjenjuje na obrađivača, a u tom slučaju, obrađivač obavještava kontrolora podataka o tom pravnom zahtjevu prije obrade, osim ako se tim zakonom zabranjuje takvo obavještavanje zbog važnih razloga od javnog interesa;
b) obezbjeđuje da su se lica ovlašćena za obradu ličnog podatka obavezala na poštovanje povjerljivosti ili da ih na poštovanje povjerljivosti obavezuje odgovarajući zakon;
c) preduzima sve potrebne mjere u skladu sa članom 34. ovog zakona;
d) poštuje uslove iz st. (2) i (5) ovog člana za angažovanje drugog obrađivača;
e) uzimajući u obzir prirodu obrade, pomaže kontroloru podataka putem odgovarajućih tehničkih i organizacionih mjera, koliko je to moguće, da ispuni obavezu kontrolora podataka da odgovori na zahtjeve za ostvarivanje prava nosioca podataka iz Glave II ovog zakona;
f) pomaže kontroloru podataka u obezbjeđivanju usklađenosti s obavezama iz čl. 34. do 38. ovog zakona, uzimajući u obzir prirodu obrade i informacije koje su dostupne obrađivaču;
g) po izboru kontrolora podataka, briše ili vraća kontroloru podataka sve lične podatke nakon završetka pružanja usluga u vezi s obradom i briše postojeće kopije, osim u slučaju da je posebnim zakonom propisana obaveza čuvanja ličnih podataka;
h) kontroloru podataka stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obaveza iz ovog člana i kontroloru podataka ili drugom revizoru kojeg je ovlastio kontrolor podataka omogućava obavljanje revizije, uključujući i inspekcije, i pomaže u njihovom obavljanju;
i) u slučaju iz tačke h) ovog stava obrađivač odmah obavještava kontrolora podataka ako, prema njegovom mišljenju, određeno uputstvo krši ovaj zakon ili druga pravila o zaštiti podataka.
(5) Ako obrađivač angažuje drugog obrađivača za obavljanje posebnih aktivnosti obrade u ime kontrolora podataka, iste obaveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između kontrolora podataka i obrađivača iz stava (4) ovog člana nameću se tom drugom obrađivaču ugovorom ili drugim pravnim aktom u skladu sa posebnim zakonom, a posebno obaveza davanja dovoljno garancija za primjenu odgovarajućih tehničkih i organizacionih mjera na način kojim se obezbjeđuje da obrada zadovoljava zahtjeve iz ovog zakona. Ako taj drugi obrađivač ne ispunjava obaveze zaštite podataka, prvi obrađivač ostaje u potpunosti odgovoran kontroloru podataka za izvršavanje obaveza tog drugog obrađivača.
(6) Poštovanje odobrenih kodeksa ponašanja od obrađivača, iz člana 42. ovog zakona, ili odobrenog mehanizma sertifikacije, iz člana 44. ovog zakona, može služiti kao elemenat za dokazivanje pružanja dovoljno garancija iz st. (1) i (5) ovog člana.
(7) Ne dovodeći u pitanje pojedinačni ugovor između kontrolora podataka i obrađivača, ugovor ili drugi pravni akt iz st. (3), (4) i (5) ovog člana može se u cjelini ili djelimično zasnivati na standardnim ugovornim klauzulama iz st. (8) i (9) ovog člana, uključujući između ostalog i klauzule koje su dio sertifikata dodijeljenog kontroloru podataka ili obrađivaču u skladu sa čl. 44. i 45. ovog zakona.
(8) Agencija može donijeti standardne ugovorne klauzule za pitanja iz st. (3), (4) i (5) ovog člana s ciljem dosljedne primjene ovog zakona.
(9) Ugovor ili drugi pravni akt iz st. (3), (4) i (5) ovog člana mora biti u pisanoj formi, što uključuje i elektronsku formu.
(10) Ne dovodeći u pitanje čl. 112, 113, 114. i 115. ovog zakona, ako obrađivač krši ovaj zakon time što određuje svrhu i načine obrade podataka, obrađivač se smatra kontrolorom podataka u vezi s tom obradom.
(Obrada ličnog podatka pod kontrolom kontrolora podataka ili obrađivača)
Obrađivač i lice koje radi pod kontrolom kontrolora podataka ili obrađivača, a ima pristup ličnom podatku, ne smije obrađivati taj podatak bez naloga kontrolora podataka, osim kada je to propisano posebnim zakonom.
(Evidencija o obradi ličnog podatka)
(1) Svaki kontrolor podataka i predstavnik kontrolora podataka, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Evidencija sadrži sljedeće informacije:
a) ime i kontakt podatke kontrolora podataka i, ako je primjenjivo, zajedničkog kontrolora podataka, predstavnika kontrolora podataka i službenika za zaštitu podataka;
b) svrhe obrade;
c) opis kategorija nosilaca podataka i kategorija ličnih podataka;
d) kategorije primalaca kojima su lični podaci otkriveni ili će im biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
e) ako je primjenjivo, o prenosu ličnih podataka u drugu državu ili međunarodnu organizaciju, uključujući identifikaciju druge države ili međunarodne organizacije i, u slučaju prenosa iz člana 51. stava (2) ovog zakona, dokumentaciju o odgovarajućim zaštitnim mjerama;
f) ako je moguće, predviđene rokove za brisanje različitih kategorija podataka;
g) ako je moguće, opšti opis tehničkih i organizacionih bezbjednosnih mjera iz člana 34. stava (1) ovog zakona.
(2) Svaki obrađivač i predstavnik obrađivača, ako je primjenjivo, vodi evidenciju o svim aktivnostima obrade koje se obavljaju u ime kontrolora podataka, koja sadrži:
a) ime i kontakt podatke jednog ili više obrađivača i svakog kontrolora podataka u čije ime obrađivač djeluje te, ako je primjenjivo, predstavnika kontrolora podataka ili obrađivača, kao i službenika za zaštitu podataka;
b) vrste obrade koje se obavljaju u ime svakog kontrolora podataka;
c) ako je primjenjivo, informacije o prenosu ličnih podataka u drugu državu ili međunarodnu organizaciju, s identifikacijom te druge države ili međunarodne organizacije i u slučaju prenosa iz člana 51. stava (2) ovog zakona, dokumentaciju o odgovarajućim zaštitnim mjerama;
d) ako je moguće, opšti opis tehničkih i organizacionih bezbjednosnih mjera iz člana 34. stava (1) ovog zakona.
(3) Evidencija iz st. (1) i (2) ovog člana mora biti u pisanoj formi, što uključuje i elektronsku formu.
(4) Kontrolor podataka ili obrađivač te predstavnik kontrolora podataka ili obrađivača, ako je primjenjivo, na zahtjev Agencije omogućavaju uvid u evidenciju.
(5) Obaveze iz st. (1) i (2) ovog člana ne primjenjuju se na privredni subjekat ili organizaciju u kojoj je zaposleno manje od 250 lica, osim kada postoji vjerovatnoća da će obrada koju obavlja predstavljati visok rizik za prava i slobode nosioca podataka, ako obrada nije povremena ili ako obrada obuhvata posebne kategorije podataka iz člana 11. stava (1) ovog zakona, ili su u pitanju lični podaci koji se odnose na krivičnu osuđivanost i krivična djela.
(Saradnja s Agencijom)
Kontrolor podataka i obrađivač, te ako su određeni njihovi predstavnici, dužni su, na obrazložen i na osnovu zakona opravdan zahtjev, da sarađuju s Agencijom u obavljanju njenih zadataka.
(Bezbjednost obrade ličnog podatka)
(1) Uzimajući u obzir najnovija dostignuća, troškove sprovođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, sprovodeći postupak iz člana 37. ovog zakona, kontrolor podataka i obrađivač primjenjuju odgovarajuće tehničke i organizacione mjere kako bi postigli odgovarajući nivo bezbjednosti s obzirom na rizik, što prema potrebi podrazumijeva:
a) pseudonimizaciju i enkripciju ličnog podatka;
b) mogućnost obezbjeđivanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sistema i usluga obrade;
c) sposobnost blagovremenog ponovnog uspostavljanja dostupnosti ličnog podatka i pristupa njemu u slučaju fizičkog ili tehničkog incidenta;
d) postupak redovnog testiranja, ocjenjivanja i procjene djelotvornosti tehničkih i organizacionih mjera za postizanje bezbjednosti obrade.
(2) Prilikom procjene odgovarajućeg nivoa bezbjednosti, u obzir se uzimaju prije svega rizici koje predstavlja obrada, a posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlašćenog otkrivanja ličnog podatka ili neovlašćenog pristupa ličnom podatku koji je prenesen, čuvan ili na drugi način obrađivan.
(3) Primjena odobrenog kodeksa ponašanja iz člana 42. ovog zakona ili odobrenog mehanizma sertifikacije iz člana 44. ovog zakona može se koristiti kao elemenat za dokazivanje usklađenosti sa zahtjevima iz stava (1) ovog člana.
(4) Kontrolor podataka i obrađivač preduzimaju mjere kako bi obezbijedili da svako fizičko lice koje djeluje pod nadležnošću kontrolora podataka ili obrađivača, a koje ima pristup ličnom podatku, ne obrađuje taj podatak ako to nije prema uputstvima kontrolora podataka, osim u slučajevima kada je to propisano posebnim zakonom.
(Izvještavanje Agencije o povredi ličnog podatka)
(1) Kontrolor podataka dužan je da o povredi ličnog podatka bez nepotrebnog odgađanja i, ako je moguće, najkasnije u roku od 72 sata nakon saznanja za tu povredu obavijesti Agenciju o povredi ličnog podatka, osim u slučaju ako je vjerovatno da ta povreda neće ugroziti prava i slobode fizičkog lica. Ako izvještavanje nije izvršeno u roku od 72 sata, kontrolor podataka dužan je da Agenciji navede razloge za kašnjenje.
(2) Obrađivač je dužan da, po saznanju za povredu ličnog podatka, bez nepotrebnog odgađanja o tome obavijesti kontrolora podataka.
(3) Izvještaj iz stava (1) ovog člana sadrži najmanje sljedeće:
a) opis prirode povrede ličnih podataka i, ako je moguće, sa navedenim kategorijama i približnim brojem nosilaca podataka, kao i kategorijama i približnim brojem evidencija ličnih podataka;
b) ime i prezime te kontakt podatke službenika za zaštitu podataka ili druge kontakt tačke od koje se može dobiti još informacija;
c) opis moguće posljedice povrede ličnog podatka;
d) opis mjera koje je kontrolor podataka preduzeo ili čije je preduzimanje predložio radi rješavanja problema povrede ličnog podatka, uključujući prema potrebi i mjere za ublažavanje njenih mogućih štetnih posljedica.
(4) Ako i u mjeri u kojoj nije moguće istovremeno dostaviti informacije, informacije se mogu dostavljati u dijelovima, bez nepotrebnog daljeg odgađanja.
(5) Kontrolor podataka dokumentuje svaku povredu ličnog podatka, uključujući i činjenice u vezi sa povredom ličnog podatka, njene posljedice i mjere preduzete za otklanjanje štete. Dokumentacija iz ovog stava omogućava Agenciji postupanje po ovom članu.
(Obavještavanje nosioca podataka o povredi ličnog podatka)
(1) Kontrolor podataka dužan je da bez odgađanja pisanim putem obavijesti nosioca podataka o povredi ličnog podatka, ako je vjerovatno da će povreda ličnog podatka prouzrokovati visok rizik za prava i slobode fizičkog lica.
(2) Kontrolor podataka u obavještenju iz stava (1) ovog člana, jasnim i jednostavnim jezikom, opisuje prirodu povrede ličnog podatka te se najmanje navode informacije i mjere iz člana 35. stava (3) tač. b), c) i d) ovog zakona.
(3) Obavještavanje nosioca podataka iz stava (1) ovog člana nije obavezno ako je ispunjen jedan od sljedećih uslova:
a) ako je kontrolor podataka preduzeo odgovarajuće tehničke i organizacione zaštitne mjere i te mjere su primijenjene na lični podatak u vezi s kojim je došlo do povrede ličnog podatka, a prije svega mjere koje lični podatak čine nerazumljivim licu koje nije ovlašćeno da mu pristupi, kao što je enkripcija;
b) ako je kontrolor podataka preduzeo naknadne mjere kojima se obezbjeđuje da više nije moguće da će doći do visokog rizika za prava i slobode nosioca podataka iz stava (1) ovog člana;
c) ako bi to zahtijevalo neproporcionalan napor, mora se objaviti javno saopštenje ili se preduzima slična mjera kojom se nosioci podataka obavještavaju na jednako djelotvoran način.
(4) Ako kontrolor podataka nije obavijestio nosioca podataka o povredi ličnog podatka, Agencija, nakon razmatranja stepena vjerovatnoće da će povreda ličnog podatka prouzrokovati visok rizik za prava i slobode fizičkih lica, može od kontrolora podataka zahtijevati da to učini, ako nije ispunjen neki od uslova iz stava (3) ovog člana.
(Procjena uticaja obrade na zaštitu ličnog podatka)
(1) Ako je vjerovatno da će neka vrsta obrade, posebno posredstvom novih tehnologija i uzimajući u obzir prirodu, obim, kontekst i svrhe obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, kontrolor podataka prije obrade sprovodi procjenu uticaja predviđenih obrada na zaštitu ličnog podatka.
(2) Prilikom sprovođenja procjene uticaja obrade na zaštitu ličnog podatka, kontrolor podataka traži savjet službenika za zaštitu ličnih podataka, ako je imenovan.
(3) Procjena uticaja obrade na zaštitu ličnog podatka iz stava (1) ovog člana obavezna je posebno u slučaju:
a) sistemske i obimne procjene ličnih aspekata u vezi sa fizičkim licima koja se zasniva na automatizovanoj obradi, uključujući profilisanje, i koja je osnova za donošenje odluka koje proizvode pravni učinak u odnosu na fizičko lice ili na sličan način značajno utiču na fizičko lice;
b) obimne obrade posebnih kategorija ličnih podataka iz člana 11. stava (1) ovog zakona ili podataka koji se odnose na krivičnu osuđivanost i krivična djela iz člana 12. ovog zakona, ili
c) sistemskog praćenja javno dostupnog područja u velikoj mjeri.
(4) Agencija utvrđuje i javno objavljuje listu vrsta postupaka obrade na koje se primjenjuje obaveza sprovođenja procjene uticaja na zaštitu ličnih podataka, u skladu sa stavom (1) ovog člana.
(5) Agencija može da utvrdi i javno objavi listu vrsta postupaka obrade za koje nije potrebna procjena uticaja na zaštitu ličnog podatka.
(6) Procjena uticaja obuhvata najmanje:
a) sistemski opis predviđenih obrada i svrha obrade, uključujući, ako je primjenjivo, legitiman interes kontrolora podataka;
b) procjenu nužnosti i proporcionalnosti obrada povezanih s njihovim svrhama;
c) procjenu rizika za prava i slobode nosioca podataka;
d) predviđene mjere za rješavanje rizika, što uključuje zaštitne mjere, bezbjednosne mjere i mehanizme za bezbjednost zaštite ličnih podataka i dokazivanje usklađenosti s ovim zakonom, uzimajući u obzir prava i legitimne interese nosioca podataka i drugih uključenih lica.
(7) Usklađenost kodeksa ponašanja iz člana 42. ovog zakona odobrenih od kontrolora podataka ili obrađivača uzima se u obzir prilikom procjene uticaja obrade koje primjenjuju ti kontrolori podataka ili obrađivači, posebno u svrhe procjene uticaja na zaštitu ličnih podataka.
(8) Kontrolor podataka, po potrebi, od nosioca podataka ili njegovog predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili bezbjednost postupka obrade.
(9) Ako obrada u skladu sa članom 8. stavom (1) tač. c) ili e) ovog zakona ima pravnu osnovu u posebnom zakonu koji se primjenjuje na kontrolora podataka, ako su tim zakonom uređene posebne obrade ili skup predmetnih radnji i ako je procjena uticaja na zaštitu ličnih podataka već sprovedena kao dio opšte procjene uticaja u kontekstu donošenja pravnog osnova, st. od (1) do (6) ovog člana se ne primjenjuju, osim ako je posebnim propisom utvrđeno da je potrebno sprovesti takvu procjenu prije obrade.
(10) Kontrolor podataka, po potrebi, preispituje da li je obrada izvršena u skladu sa procjenom uticaja na zaštitu ličnih podataka i to najmanje kada dođe do promjene u nivou rizika koji predstavljaju postupci obrade.
(Prethodno savjetovanje kontrolora podataka s Agencijom)
(1) Kontrolor obrade savjetuje se s Agencijom prije obrade ako je procjena uticaja na zaštitu ličnih podataka iz člana 37. ovog zakona pokazala da bi obrada podataka prouzrokovala visok rizik za prava i slobode pojedinaca, u slučaju da kontrolor podataka ne donese mjere za ublažavanje rizika.
(2) Ako Agencija utvrdi da bi se namjeravanom obradom iz stava (1) ovog člana kršio ovaj zakon, posebno ako kontrolor podataka nije u dovoljnoj mjeri utvrdio ili umanjio rizik za prava i slobode pojedinaca, Agencija u roku od najviše 56 dana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje kontrolora podataka, a po potrebi i obrađivača, i pri tome može koristiti ovlašćenja iz člana 103. ovog zakona.
(3) Rok iz stava (2) ovog člana, po potrebi, može se produžiti za 42 dana, u zavisnosti od složenosti namjeravane obrade.
(4) Agencija u roku od 30 dana od zaprimanja zahtjeva obavještava kontrolora podataka, a po potrebi i obrađivača, o produženju roka iz stava (3) ovog člana i o razlozima odgađanja.
(5) Proticanje rokova iz st. (2) i (3) ovog člana može biti privremeno obustavljeno dok Agencija ne dobije informacije koje je zahtijevala za potrebe savjetovanja.
(6) Pri savjetovanju kontrolor podataka Agenciji dostavlja:
a) ako je primjenjivo, odgovarajuće odgovornosti kontrolora podataka, zajedničkih kontrolora podataka i obrađivača koji učestvuju u obradi, posebno u slučaju obrade unutar grupe privrednih subjekata;
b) svrhu i sredstva namjeravane obrade;
c) zaštitne mjere i druge mjere za zaštitu prava i sloboda nosioca podataka na osnovu ovog zakona;
d) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
e) procjenu uticaja na zaštitu podataka kako je propisano članom 37. ovog zakona;
f) sve druge informacije koje Agencija zatraži.
(7) O prijedlogu zakona kojim se reguliše obrada ličnih podataka, prije njegovog upućivanja u parlamentarnu proceduru, predlagač se može prethodno savjetovati s Agencijom.
(8) Nezavisno od stava (1) ovog člana, posebnim zakonom se može propisati obaveza kontroloru podataka da se savjetuje s Agencijom i da od nje pribavi prethodno odobrenje u vezi s obradom koju obavlja za izvršenje zadataka u javnom interesu, uključujući i obradu u vezi sa socijalnom i zdravstvenom zaštitom.
(Imenovanje službenika za zaštitu ličnih podataka)
(1) Kontrolor podataka i obrađivač dužni su da imenuju službenika za zaštitu ličnih podataka u slučajevima:
a) ako obradu obavlja javni organ, osim sudova koji postupaju u okviru sudske nadležnosti;
b) ako se osnovne djelatnosti kontrolora podataka ili obrađivača sastoje od postupaka obrade koje zbog svoje prirode, obima i/ili svrhe zahtijevaju redovno i sistemsko praćenje nosioca podataka u velikom broju, ili
c) ako se osnovne djelatnosti kontrolora podataka ili obrađivača sastoje od obimne obrade posebnih kategorija podataka na osnovu člana 11. ovog zakona i ličnih podataka u vezi sa krivičnom osuđivanošću i krivičnim djelima iz člana 12. ovog zakona.
(2) Grupa privrednih subjekata može imenovati jednog službenika za zaštitu ličnih podataka uz uslov da je službenik za zaštitu ličnih podataka lako dostupan iz svakog sjedišta ili poslovnog nastana.
(3) Ako je kontrolor podataka ili obrađivač javni organ, za više takvih organa može se imenovati jedan službenik za zaštitu ličnih podataka, uzimajući u obzir njihovu organizacionu strukturu i veličinu.
(4) U slučajevima koji nisu navedeni u stavu (1) ovog člana, kontrolor podataka ili obrađivač ili udruženje i drugi organ koji predstavlja kategoriju kontrolora podataka ili obrađivača mogu, odnosno u slučajevima kada je to propisano posebnim zakonom, moraju imenovati službenika za zaštitu ličnih podataka. Službenik za zaštitu ličnih podataka može da obavlja poslove u ime tih udruženja i drugih organa koji predstavljaju kontrolore podataka ili obrađivače.
(5) Službenik za zaštitu ličnih podataka imenuje se na osnovu njegovih stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksi u oblasti zaštite ličnih podataka i sposobnosti obavljanja zadataka iz člana 41. ovog zakona.
(6) Službenik za zaštitu ličnih podataka može biti zaposlen kod kontrolora podataka ili obrađivača ili može obavljati poslove na osnovu ugovora o djelu.
(7) Kontrolor podataka ili obrađivač objavljuje kontaktne podatke službenika za zaštitu ličnih podataka i dostavlja ih Agenciji.
(Status službenika za zaštitu ličnih podataka)
(1) Kontrolor podataka i obrađivač obezbjeđuju da službenik za zaštitu ličnih podataka bude na odgovarajući način i blagovremeno uključen u sva pitanja koja se tiču zaštite ličnih podataka.
(2) Kontrolor podataka i obrađivač podržavaju službenika za zaštitu ličnih podataka u obavljanju zadataka iz člana 41. ovog zakona, pružajući mu potrebna sredstva za izvršavanje tih zadataka i ostvarivanje pristupa ličnim podacima i postupcima obrade, kao i za održavanje njegovog stručnog znanja.
(3) Kontrolor podataka i obrađivač obezbjeđuju da službenik za zaštitu ličnih podataka ne prima nikakve instrukcije pri obavljanju tih zadataka. Kontrolor podataka ili obrađivač ne može ga razriješiti dužnosti ili kazniti zbog toga što obavlja svoje zadatke. Službenik za zaštitu ličnih podataka odgovara neposredno najvišem nivou rukovodstva kontrolora podataka ili obrađivača.
(4) Nosilac podataka može se obratiti službeniku za zaštitu ličnih podataka za sva pitanja koja se tiču obrade njegovih ličnih podataka i ostvarivanja njegovih prava iz ovog zakona.
(5) Službenik za zaštitu ličnih podataka, u vezi s obavljanjem svojih zadataka, dužan je da sve podatke do kojih dođe u postupku obrade podataka čuva kao službenu tajnu u skladu sa zakonom.
(6) Službenik za zaštitu ličnih podataka može obavljati druge zadatke i dužnosti. Kontrolor podataka ili obrađivač obezbjeđuje da ti zadaci i dužnosti ne dovedu do sukoba interesa.
(Zadatak službenika za zaštitu ličnih podataka)
(1) Službenik za zaštitu ličnih podataka obavlja sljedeće zadatke:
a) informisanje i savjetovanje kontrolora podataka ili obrađivača i zaposlenih koji obavljaju obradu o njihovim obavezama iz ovog zakona i drugih zakona kojima se propisuje zaštita ličnih podataka;
b) praćenje poštovanja ovog zakona i drugih zakona kojima se propisuje zaštita ličnih podataka, kao i politika kontrolora podataka ili obrađivača u vezi sa zaštitom ličnih podataka, uključujući i podjelu odgovornosti, podizanje svijesti i osposobljavanje zaposlenih koji učestvuju u radnjama obrade, kao i s tim povezanim revizijama;
c) pružanje savjeta, kada je to zatraženo, u vezi sa procjenom uticaja na zaštitu ličnih podataka i praćenje njenog izvršavanja u skladu sa članom 37. ovog zakona;
d) saradnja s Agencijom;
e) djelovanje kao kontakt tačka za Agenciju o pitanjima koja se tiču obrade, što uključuje i prethodno savjetovanje iz člana 38. ovog zakona, te savjetovanje, po potrebi, o svim drugim pitanjima.
(2) Službenik za zaštitu ličnih podataka prilikom obavljanja svojih zadataka vodi računa o riziku povezanim sa radnjom obrade i uzima u obzir prirodu, obim, kontekst i svrhe obrade.
(Kodeks ponašanja)
(1) Agencija izdaje preporuku za izradu kodeksa ponašanja s ciljem pravilne primjene ovog zakona, uzimajući u obzir specifičnost različitih sektora obrade i posebne potrebe mikro, malih i srednjih privrednih subjekata.
(2) Udruženje i drugi subjekat koji predstavlja kategorije kontrolora podataka ili obrađivača mogu izraditi kodekse ponašanja, odnosno izmijeniti i proširiti takve kodekse ponašanja, radi preciziranja primjene ovog zakona, koji se odnose na:
a) pravičnu i transparentnu obradu;
b) legitimne interese kontrolora podataka u posebnim kontekstima;
c) prikupljanje ličnih podataka;
d) pseudonimizaciju ličnih podataka;
e) informisanost javnosti i nosioca podataka;
f) ostvarivanje prava nosioca podataka;
g) informisanost i zaštitu djece i način pribavljanja saglasnosti nosioca roditeljskog prava nad djetetom;
h) mjere i postupke iz čl. 26. i 27. ovog zakona, kao i mjere za postizanje bezbjednosti obrade iz člana 34. ovog zakona;
i) izvještavanje Agencije o povredama ličnih podataka i obavještavanje nosioca podataka o takvim povredama;
j) prenos ličnih podataka drugim zemljama ili međunarodnim organizacijama, ili
k) vansudske postupke i druge postupke za rješavanje sporova između kontrolora podataka i nosioca podataka u vezi s obradom, ne dovodeći u pitanje prava nosioca podataka na osnovu čl. 108. i 110. ovog zakona.
(3) Kodeks ponašanja iz stava (2) ovog člana obavezno sadrži odredbe koje pravnom licu iz člana 43. stava (1) ovog zakona omogućavaju da sprovodi obavezno praćenje usklađenosti kontrolora podataka ili obrađivača koji su se obavezali na njegovu primjenu, ne dovodeći u pitanje nadležnosti Agencije.
(4) Udruženja i subjekat iz stava (2) ovog člana koji namjeravaju da izrade kodeks ponašanja ili izmijene i prošire postojeći kodeks ponašanja, nacrt kodeksa ponašanja, odnosno izmjene ili proširenje kodeksa ponašanja dostavljaju Agenciji.
(5) Agencija daje mišljenje o tome da li je nacrt kodeksa u skladu s ovim zakonom te odobrava nacrt kodeksa ako ocijeni da obezbjeđuje dovoljno adekvatne zaštitne mjere.
(6) Ako Agencija odobri nacrt kodeksa ponašanja, odnosno izmjene ili dopune kodeksa ponašanja, u skladu sa stavom (5) ovog člana, Agencija registruje i objavljuje kodeks ponašanja.
(7) Kontrolor podataka ili obrađivač, na koje se ovaj zakon ne primjenjuje u skladu s članom 6. ovog zakona, mogu primjenjivati kodeks ponašanja koji je odobren, u skladu sa stavom (5) ovog člana, kako bi obezbijedili odgovarajuće zaštitne mjere u okviru prenošenja ličnih podataka drugoj državi ili međunarodnoj organizaciji, uz uslove iz člana 48. stava (2), tačke d) ovog zakona.
(8) Kontrolor podataka ili obrađivač iz stava (7) ovog člana, putem ugovornih ili drugih pravno obavezujućih instrumenata, preuzima obavezujuće i izvršne obaveze za primjenu zaštitnih mjera, uključujući i mjere u vezi sa pravima nosioca podataka.
(Praćenje odobrenog kodeksa ponašanja)
(1) Pravno lice s odgovarajućim stepenom stručnosti za predmet kodeksa ponašanja može obavljati praćenje usklađenosti sa kodeksom ponašanja, ako ga je u tu svrhu akreditovala Agencija.
(2) Pravno lice iz stava (1) ovog člana može biti akreditovano za praćenje usklađenosti sa kodeksom ponašanja ako je:
a) Agenciji dokazalo svoju nezavisnost i stručnost za predmet kodeksa ponašanja;
b) uspostavilo postupke koji mu omogućavaju da ocjenjuje kvalifikovanost kontrolora podataka i obrađivača za primjenu kodeksa ponašanja, da prati njihove primjene odredaba kodeksa ponašanja i da periodično preispituje njegovo funkcionisanje;
c) uspostavilo postupke i strukture za rješavanje prigovora na kršenja kodeksa ponašanja ili na način na koji kontrolor podataka ili obrađivač primjenjuje ili je primijenio kodeks ponašanja i učinio te postupke i strukture transparentnim nosiocima podataka i javnosti, i
d) Agenciji dokazalo da njegovi zadaci i dužnosti ne dovode do sukoba interesa.
(3) Pravno lice iz stava (1) ovog člana, uz primjenu odgovarajućih zaštitnih mjera, preduzima odgovarajuće radnje u slučajevima kršenja kodeksa ponašanja od kontrolora podataka ili obrađivača, što uključuje suspendovanje ili isključenje iz kodeksa ponašanja.
(4) Pravno lice iz stava (1) ovog člana dužno je da obavijesti Agenciju o radnjama i razlozima iz stava (3) ovog člana.
(5) Agencija oduzima akreditaciju pravnom licu koje više ne ispunjava uslove za akreditaciju ili ako pravno lice krši odredbe ovog zakona.
(6) Ovaj član se ne primjenjuje na obradu ličnih podataka koju obavlja javni organ.
(Sertifikacija)
(1) Agencija preporučuje uspostavljanje postupka sertifikacije zaštite ličnih podataka, pečata i oznaka za zaštitu podataka s ciljem dokazivanja poštovanja odredaba ovog zakona, posebno uzimajući u obzir potrebe mikro, malih i srednjih pravnih lica.
(2) Postupak sertifikacije zaštite ličnih podataka, pečata i oznaka može biti uspostavljen i radi dokazivanja postojanja odgovarajućih zaštitnih mjera koje obezbjeđuju kontrolor podataka i obrađivač na koje se ovaj zakon u skladu sa članom 6. ovog zakona ne odnosi, u okviru prenosa ličnih podataka drugoj državi ili međunarodnoj organizaciji, uz uslove iz člana 48. stava (2) tačke d) ovog zakona.
(3) Kontrolori podataka ili obrađivači, iz stava (2) ovog člana, putem ugovornih ili drugih pravno obavezujućih instrumenata prihvataju primjenu odgovarajućih zaštitnih mjera, uključujući i mjere u vezi sa nosiocem podataka.
(4) Sertifikacija je dobrovoljna i dostupna putem procesa koji je transparentan.
(5) Sertifikacija, u skladu s ovim članom, ne umanjuje odgovornost kontrolora podataka ili obrađivača za poštovanje ovog zakona i ne dovodi u pitanje nadležnosti Agencije.
(6) Sertifikaciju, u skladu s ovim članom, izdaje sertifikacioni organ iz člana 45. ovog zakona na osnovu kriterijuma koje je odobrila Agencija.
(7) Kontrolor podataka ili obrađivač, u postupku sertifikacije, sertifikacionom organu pruža sve informacije i omogućava pristup aktivnostima obrade koje su potrebne za postupak sertifikacije.
(8) Sertifikat se kontroloru podataka ili obrađivaču izdaje na najviše tri godine i može se obnoviti uz iste uslove.
(9) Sertifikacioni organ oduzima sertifikat kontroloru ili obrađivaču ako više ne ispunjava uslove za izdavanje sertifikata.
(10) Agencija postupak sertifikacije zaštite ličnih podataka, pečata i oznake unosi u evidenciju i javno objavljuje.
(Sertifikacioni organ)
(1) Akreditaciju sertifikacionog organa, s odgovarajućim stepenom stručnosti iz oblasti zaštite ličnih podataka, obavlja Agencija.
(2) Sertifikacioni organ obavještava Agenciju o odluci o izdavanju i obnavljanju sertifikata kako bi Agencija mogla obavljati ovlašćenja iz člana 103. stava (2) tačke h) ovog zakona.
(3) Sertifikacioni organ može biti akreditovan samo ako:
a) Agenciji na zadovoljavajući način dokaže svoju nezavisnost i stručnost u predmetu sertifikacije;
b) se obaveže da će poštovati kriterijume iz člana 44. stava (6) ovog zakona;
c) uspostavi postupke za izdavanje, periodično preispitivanje i povlačenje sertifikacije, pečata i oznaka za zaštitu podataka;
d) uspostavi postupke i strukture za rješavanje prigovora na kršenja sertifikacije ili način na koji kontrolor podataka ili obrađivač primjenjuje ili je primijenio sertifikaciju i učini te postupke i strukture transparentnim nosiocima podataka i javnosti;
e) Agenciji dokaže da njegovi zadaci i dužnosti ne dovode do sukoba interesa.
(4) Akreditacija sertifikacionog organa sprovodi se na osnovu kriterijuma koje je propisala Agencija.
(5) Akreditacija se izdaje na najviše pet godina i može se obnoviti uz iste uslove ako sertifikacioni organ i dalje ispunjava zahtjeve iz ovog člana.
(6) Ne dovodeći u pitanje DIO ČETVRTI ovog zakona, Agencija povlači akreditaciju sertifikacionog organa ako se uslovi iz stava (3) ovog člana ne ispune ili više nisu ispunjeni, ili ako se radnjama koje preduzima sertifikacioni organ krši ovaj zakon.
(7) Sertifikacioni organ odgovoran je za pravilnu procjenu koja dovodi do sertifikacije ili oduzimanja sertifikata, ne dovodeći u pitanje odgovornost kontrolora podataka ili obrađivača za poštovanje ovog zakona.
(8) Sertifikacioni organ u pisanoj formi obavještava Agenciju o razlozima za izdavanje ili oduzimanje sertifikata.
(9) Agencija javno objavljuje kriterijume iz člana 44. stava (6) ovog zakona.
GLAVA IV - PRENOS LIČNOG PODATKA U DRUGU DRŽAVU ILI MEĐUNARODNU ORGANIZACIJU
(Opšti principi prenosa)
Svaki prenos ličnog podatka čija je obrada u toku ili je namijenjen daljoj obradi poslije njegovog prenošenja u drugu državu ili međunarodnu organizaciju može se obavljati samo ako je takav prenos u skladu s odredbama ovog zakona, što obuhvata i dalji prenos ličnog podatka iz druge države ili međunarodne organizacije u još jednu drugu državu ili međunarodnu organizaciju.
(Prenos na osnovu adekvatnosti nivoa zaštite ličnog podatka)
(1) Prenos ličnog podatka u drugu državu, na dio njene teritorije ili u jedan ili više sektora u toj državi ili međunarodnu organizaciju može se obavljati ako je utvrđeno da ta druga država, dio njene teritorije ili jedan ili više sektora u toj državi ili ta međunarodna organizacija obezbjeđuje adekvatan nivo zaštite ličnog podatka.
(2) Smatra se da je adekvatan nivo zaštite iz stava (1) ovog člana obezbijeđen u državi, dijelovima njene teritorije ili jednom ili više sektora u toj državi ili međunarodnoj organizaciji, za koje je od Evropske unije utvrđeno da obezbjeđuju adekvatan nivo zaštite ličnog podatka.
(3) Odluku o adekvatnosti nivoa zaštite ličnog podatka iz stava (1) ovog člana donosi Savjet ministara Bosne i Hercegovine na prijedlog Agencije.
(4) Agencija priprema prijedlog odluke iz stava (3) ovog člana, uzimajući u obzir:
a) princip vladavine prava, poštovanje ljudskih prava i osnovnih sloboda, sektorsko zakonodavstvo, uključujući zakonodavstvo o javnoj bezbjednosti, odbrani, državnoj bezbjednosti, krivičnom pravu i pristupu javnih organa ličnim podacima, kao i primjenu tih propisa, pravila o zaštiti ličnih podataka, pravila struke i mjere obezbjeđivanja zaštite ličnih podataka, uključujući pravila o daljem prenosu ličnih podataka u drugu državu ili međunarodnu organizaciju, koja se primjenjuju u praksi sudova i drugih organa vlasti u drugoj državi ili međunarodnoj organizaciji, kao i djelotvornost ostvarivanja prava nosioca ličnog podatka, a posebno djelotvornost upravnih i sudskih postupaka zaštite prava nosioca ličnog podatka;
b) postojanje i efikasnost rada nadzornog organa u drugoj državi ili organa koji je nadležan za međunarodnu organizaciju u ovoj oblasti, s ovlašćenjem da obezbijedi primjenu pravila o zaštiti ličnog podatka i pokrene postupke zaštite ličnog podatka u slučaju njihovog nepoštovanja, pruži pomoć i savjetuje nosioce ličnih podataka u ostvarivanju njihovih prava, kao i da sarađuje sa nadzornim organima drugih država;
c) međunarodne obaveze koje je druga država ili međunarodna organizacija preuzela, ili druge obaveze koje proizlaze iz pravno obavezujućih međunarodnih ugovora ili drugih pravnih instrumenata, kao i iz članstva u multilateralnim ili regionalnim organizacijama, a posebno u vezi sa zaštitom ličnih podataka.
(5) Agencija kontinuirano prati stanje u oblasti zaštite ličnih podataka u drugoj državi, dijelu njene teritorije, jednom ili više sektora unutar te države ili međunarodnoj organizaciji i o tome po potrebi izvještava Savjet ministara Bosne i Hercegovine.
(6) Izvještaj iz stava (5) ovog člana uključuje dostupne informacije i informacije prikupljene od međunarodnih organizacija, koje su od značaja za preispitivanje postojanja adekvatnog nivoa zaštite ličnog podatka, na osnovu čega Savjet ministara Bosne i Hercegovine donosi odluku iz stava (3) ovog člana.
(7) Odluka donesena na osnovu stava (3) ovog člana ne dovodi u pitanje prenos ličnog podatka u drugu državu, na teritoriju ili u jedan ili više određenih sektora unutar te druge države ili međunarodnu organizaciju u skladu sa čl. 48. do 51. ovog zakona.
(8) Lista država, dio njihovih teritorija, jedan ili više sektora unutar države i međunarodnih organizacija, u vezi s kojim je Savjet ministara Bosne i Hercegovine donio odluku da ne obezbjeđuju ili da više ne obezbjeđuju adekvatan nivo zaštite ličnih podataka, objavljuju se u "Službenom glasniku BiH" i na službenoj internet stranici Agencije.
(Prenos na koji se primjenjuju odgovarajuće zaštitne mjere)
(1) Kontrolor podataka ili obrađivač može prenijeti lične podatke u drugu državu, na dio njene teritorije, jedan ili više sektora unutar te države ili u međunarodnu organizaciju za koju listom iz člana 47. stava (8) ovog zakona nije utvrđeno postojanje adekvatnog nivoa zaštite ličnih podataka samo ako je kontrolor podataka ili obrađivač obezbijedio odgovarajuće zaštitne mjere tih podataka i ako su nosiocu ličnih podataka obezbijeđeni ostvariva prava i djelotvorna sudska zaštita.
(2) Odgovarajuće zaštitne mjere iz stava (1) ovog člana mogu se, bez posebnog odobrenja Agencije, obezbijediti:
a) pravno obavezujućim aktom sačinjenim između javnih organa;
b) obavezujućim poslovnim pravilima u skladu sa članom 49. ovog zakona;
c) odobrenim kodeksom ponašanja u skladu sa članom 42. ovog zakona s obavezujućim i izvršnim obavezama kontrolora podataka ili obrađivača u drugoj državi za primjenu odgovarajućih zaštitnih mjera, između ostalog i u vezi sa pravom nosioca podataka, ili
d) odobrenim postupkom sertifikacije u skladu sa članom 44. ovog zakona s obavezujućim i izvršnim obavezama kontrolora podataka ili obrađivača u drugoj državi za primjenu odgovarajućih zaštitnih mjera, između ostalog i u vezi sa pravima nosioca podataka.
(3) Odgovarajuće zaštitne mjere iz stava (1) ovog člana mogu se obezbijediti standardnim ugovornim klauzulama o zaštiti podataka koje donosi Agencija.
(4) Uz uslov da to odobri Agencija, odgovarajuće zaštitne mjere iz stava (1) ovog člana takođe mogu biti obezbijeđene posebno:
a) ugovorom između kontrolora podataka ili obrađivača i kontrolora podataka, obrađivača ili primaoca ličnih podataka u drugoj državi ili međunarodnoj organizaciji, ili
b) odredbama koje se unose u sporazume između javnih organa i koje sadrže ostvariva i djelotvorna prava nosioca podataka.
(Obavezujuća poslovna pravila)
(1) Obavezujuća poslovna pravila određuju najmanje:
a) strukturu i podatke za kontakt grupe privrednih subjekata koji obavljaju zajedničku privrednu djelatnost i svakog od njihovih članova;
b) prenose podataka ili skupove prenosa, uz navođenje kategorije ličnih podataka, vrste obrade i njene svrhe, kategorije nosilaca podataka i određenja druge države ili država o kojima se radi;
c) njihovu pravno obavezujuću prirodu;
d) primjenu principa zaštite podataka, a posebno ograničenja svrhe, smanjenja količine podataka, ograničenja roka čuvanja, kvaliteta podataka, tehničke i integrisane zaštite podataka, pravnog osnova obrade, obrade posebnih kategorija ličnih podataka, mjera za postizanje bezbjednosti podataka i uslova u vezi sa daljim prenosom organima koji nisu obavezani obavezujućim poslovnim pravilima;
e) prava nosilaca podataka u vezi s obradom i načine za ostvarenje tih prava, uključujući i pravo da se na njih ne primjenjuju odluke koje se zasnivaju isključivo na automatskoj obradi, što uključuje i izradu profila u skladu sa članom 24. ovog zakona, pravo na prigovor Agenciji i pravo na sudsku zaštitu, u skladu sa članom 110. ovog zakona, a u odgovarajućim slučajevima i pravo na naknadu štete za kršenje obavezujućih poslovnih pravila;
f) da kontrolor podataka ili obrađivač sa sjedištem ili poslovnim nastanom na teritoriji Bosne i Hercegovine prihvata odgovornost za sva kršenja obavezujućih poslovnih pravila od bilo kojeg člana koji nema sjedište ili poslovni nastan u Bosni i Hercegovini ili je kontrolor podataka ili obrađivač u cjelini ili djelimično izuzet od odgovornosti ako dokaže da taj član grupe privrednih subjekata nije odgovoran za događaj koji je prouzrokovao štetu;
g) na koji način se nosiocima podataka, osim informacija iz čl. 15. i 16. ovog zakona, pružaju informacije o obavezujućim poslovnim pravilima, posebno o odredbama iz tač. d), e) i f) ovog stava;
h) zadatke svakog službenika za zaštitu podataka imenovanog u skladu sa članom 39. ovog zakona ili bilo kojeg drugog lica ili subjekta odgovornog za praćenje usklađenosti s obavezujućim poslovnim pravilima u grupi privrednih subjekata koji obavljaju zajedničku privrednu djelatnost, kao i praćenje osposobljenosti i rješavanje prigovora;
i) postupke povodom prigovora;
j) mehanizme unutar grupe privrednih subjekata koji obavljaju zajedničku privrednu djelatnost, kojima se obezbjeđuje provjera poštovanja obavezujućih poslovnih pravila, koji uključuju reviziju zaštite podataka i metode za obezbjeđivanje korektivnih mjera za zaštitu prava nosioca podataka. Rezultate takve provjere potrebno je saopštiti licu ili subjektu iz tačke h) ovog stava i upravljačkom organu grupe privrednih subjekata koji obavljaju zajedničku privrednu djelatnost, a na zahtjev ih je potrebno staviti na raspolaganje Agenciji;
k) mehanizme za izvještavanje i vođenje evidencije o promjenama pravila i izvještavanje Agencije o tim promjenama;
l) mehanizam saradnje sa Agencijom radi obezbjeđivanja usklađenosti svakog člana grupe privrednih subjekata koji obavljaju zajedničku privrednu djelatnost, prije svega tako što se Agenciji stave na raspolaganje rezultati provjera mjera iz tačke j) ovog stava;
m) mehanizme za izvještavanje Agenciji o bilo kakvim pravnim obavezama koje se odnose na člana grupe privrednih subjekata koji obavljaju zajedničku privrednu djelatnost i primjenjuju se u drugoj državi, a koje bi mogle imati značajan negativan uticaj na garancije sadržane u obavezujućim poslovnim pravilima;
n) odgovarajuće osposobljavanje iz oblasti zaštite ličnih podataka za osoblje koje ima stalan ili redovni pristup ličnim podacima.
(2) Agencija odobrava obavezujuća poslovna pravila uz uslov da:
a) su pravno obavezujuća i da se primjenjuju na svakog zainteresovanog člana određene grupe privrednih subjekata koji obavljaju zajedničku privrednu djelatnost, što uključuje i njihove zaposlene, te da ih oni izvršavaju;
b) nosiocima podataka izričito daju ostvariva prava u vezi s obradom njihovih ličnih podataka;
c) ispunjavaju uslove iz stava (1) ovog člana.
(3) Agencija može da odredi format i postupke razmjene informacija između kontrolora podataka, obrađivača i Agencije za obavezujuća poslovna pravila u smislu ovog člana.
(Prenos ili otkrivanje podataka koji nisu dopušteni)
Svaka presuda suda, tribunala ili odluka upravnog organa druge države kojom se od kontrolora podataka ili obrađivača zahtijeva prenos ili otkrivanje ličnih podataka može biti priznata ili izvršena samo ako se zasniva na međunarodnom sporazumu, kao što je sporazum o uzajamnoj pravnoj pomoći, između druge države koja je podnijela zahtjev i Bosne i Hercegovine, ne dovodeći u pitanje druge razloge za prenošenje u skladu s ovom glavom.
(Odstupanje u posebnim slučajevima)
(1) Prenos ili skup prenosa ličnih podataka u drugu državu ili međunarodnu organizaciju, ako ne postoji odluka o adekvatnosti, u skladu sa članom 47. stavom (3) ovog zakona ili odgovarajuće zaštitne mjere u skladu sa članom 48. ovog zakona, uključujući i obavezujuća poslovna pravila iz člana 49. ovog zakona, obavlja se samo uz jedan od sljedećih uslova:
a) nosilac podataka je izričito saglasan sa predloženim prenosom, nakon što je upoznat sa mogućim rizicima takvih prenosa zbog nepostojanja odluke o adekvatnosti i odgovarajućih zaštitnih mjera iz člana 48. ovog zakona;
b) prenos je neophodan za izvršenje ugovora između nosioca podataka i kontrolora podataka ili sprovođenje predugovornih mjera na zahtjev nosioca podataka;
c) prenos je neophodan radi sklapanja ili izvršenja ugovora sklopljenog u interesu nosioca podataka između kontrolora podataka i drugog fizičkog ili pravnog lica;
d) prenos je neophodan iz važnih razloga javnog interesa;
e) prenos je neophodan za postavljanje, ostvarivanje ili odbranu pravnih zahtjeva;
f) prenos je neophodan za zaštitu ključnih interesa nosioca podataka ili drugih lica ako nosilac podataka fizički ili pravno nije sposoban da dâ saglasnost;
g) prenos se vrši iz registra, koji prema pravnim propisima u Bosni i Hercegovini služi za pružanje informacija javnosti i koji je dostupan na uvid javnosti ili bilo kojem licu koje može dokazati postojanje legitimnog interesa, ali samo u mjeri u kojoj su ispunjeni uslovi propisani posebnim zakonom za uvid u tom posebnom slučaju.
(2) Prenos ili skup prenosa ličnih podataka u drugu državu ili međunarodnu organizaciju, u slučaju kada osnov za prenos ne može biti čl. 47. ili 48. ovog zakona, uključujući i obavezujuća poslovna pravila iz člana 49. ovog zakona, i kada se ne primjenjuje nijedno odstupanje u posebnim slučajevima iz stava (1) ovog člana, može se obaviti samo ako se prenos ne ponavlja, ako se odnosi samo na ograničen broj nosilaca podataka i ako je neophodan za potrebe važnih, legitimnih interesa kontrolora podataka nad kojima ne prevladavaju interesi ili prava i slobode nosioca podataka, a kontrolor podataka je procijenio sve okolnosti prenosa podataka i na osnovu te procjene je predvidio odgovarajuće zaštitne mjere u vezi sa zaštitom ličnih podataka. Kontrolor podataka o prenosu obavještava Agenciju. Uz informacije iz čl. 15. i 16. ovog zakona, kontrolor podataka obavještava nosioca podataka o prenosu i o važnim legitimnim interesima.
(3) Prenos na osnovu stava (1) tačke g) ovog člana ne uključuje lične podatke u cjelini ni cijele kategorije ličnih podataka sadržanih u registru. Kada je registar namijenjen za uvid licima koja imaju legitiman interes, prenos se obavlja samo ako to zahtijevaju ta lica ili ako su oni primaoci.
(4) Na aktivnosti koje obavljaju javni organi prilikom izvršavanja svojih javnih ovlašćenja ne primjenjuju se stav (1) tač. a), b) i c) i stav (2) ovog člana.
(5) Javni interes iz stava (1) tačke d) ovog člana mora biti propisan zakonom koji se primjenjuje na kontrolora podataka.
(6) Ako nije donesena odluka o adekvatnosti, iz važnih razloga javnog interesa posebnim propisom mogu biti izričito propisana ograničenja prenosa određenih kategorija ličnih podataka drugoj državi ili međunarodnoj organizaciji.
(7) Kontrolor podataka ili obrađivač dokumentuje procjenu, kao i odgovarajuće zaštitne mjere iz st. (1) i (2) ovog člana, u evidencijama iz člana 32. ovog zakona.
GLAVA V - POSEBNI SLUČAJEVI OBRADE
(Obrada ličnog podatka i sloboda izražavanja i informisanja)
(1) Obrada ličnih podataka prilikom korišćenja prava na slobodu izražavanja i informisanja, što uključuje obradu isključivo u novinarske svrhe, u svrhe akademskog, umjetničkog ili književnog izražavanja, obavlja se u skladu sa posebnim propisima.
(2) Posebnim propisima iz stava (1) ovog člana utvrđuju se izuzeci ili odstupanja od primjene Glave I, Glave II, Glave III, Glave IV, Glave V ovog dijela i DIJELA ČETVRTOG ovog zakona, ako su takvi izuzeci ili odstupanja potrebni da se uskladi pravo na zaštitu ličnih podataka sa slobodom izražavanja i informisanja.
(Obrada ličnog podatka i javni pristup službenim dokumentima)
(1) Javni organ i nadležni organ, u skladu sa zakonom koji se primjenjuje na taj organ, mogu u javnom interesu otkriti lične podatke iz službenih dokumenata kojima raspolažu, kako bi se javni pristup službenim dokumentima uskladio sa pravom na zaštitu ličnih podataka u skladu s ovim zakonom.
(2) Ovaj zakon primjenjuje se prilikom primjene propisa o slobodi pristupa informacijama u Bosni i Hercegovini.
(Obrada jedinstvenog matičnog broja fizičkog lica)
(1) Posebni uslovi za obradu jedinstvenog matičnog broja fizičkog lica ili bilo kojeg drugog identifikatora opšte primjene propisuju se posebnim zakonom.
(2) Jedinstveni matični broj fizičkog lica ili bilo koji drugi identifikator opšte primjene iz stava (1) ovog člana obrađuje se samo uz primjenu odgovarajućih zaštitnih mjera u vezi sa pravima i slobodama nosioca podataka u skladu s ovim zakonom.
(Obrada ličnih podataka u kontekstu zaposlenja)
(1) Posebnim zakonom ili kolektivnim ugovorom preciziraju se pravila s ciljem obezbjeđivanja zaštite prava i sloboda u vezi s obradom ličnih podataka u kontekstu zaposlenja, posebno za potrebe zapošljavanja, izvršenja ugovora o radu, uključujući i izvršavanje obaveza propisanih zakonom ili kolektivnim ugovorima, za potrebe upravljanja, planiranja i organizacije rada, jednakosti i različitosti na radnom mjestu, zdravstva i bezbjednosti na radu, zaštite imovine poslodavca ili klijenta i za potrebe individualnog ili kolektivnog ostvarivanja i uživanja prava i pogodnosti iz radnog odnosa, kao i za potrebe prestanka radnog odnosa.
(2) Pravila iz stava (1) ovog člana uključuju prikladne i posebne mjere za zaštitu ljudskog dostojanstva nosioca podataka, njegovih legitimnih interesa i osnovnih prava, posebno u vezi sa transparentnošću obrade, prenosom ličnih podataka unutar grupe privrednih subjekata ili grupe privrednih subjekata koji obavljaju zajedničku privrednu djelatnost, kao i sistemom praćenja na radnom mjestu.
(Zaštitne mjere i odstupanja u vezi s obradom ličnog podatka u svrhu arhiviranja u javnom interesu, u svrhu naučnog ili istorijskog istraživanja ili u statističke svrhe)
(1) Na obradu ličnih podataka u svrhu arhiviranja u javnom interesu, u svrhu naučnog ili istorijskog istraživanja ili u statističke svrhe primjenjuju se odgovarajuće zaštitne mjere u skladu s ovim zakonom u pogledu prava i sloboda nosioca podataka.
(2) Zaštitnim mjerama iz stava (1) ovog člana obezbjeđuje se primjena tehničkih i organizacionih mjera, posebno onih kojima se garantuje primjena principa smanjenja obima podataka, koje mogu uključivati pseudonimizaciju, ako se svrhe mogu ostvariti tako.
(3) Ako se svrhe iz stava (1) ovog člana mogu postići daljom obradom koja ne omogućava ili više ne omogućava identifikaciju nosioca podataka, te svrhe se ostvaruju na taj način.
(4) Ako se lični podaci obrađuju u svrhu naučnog ili istorijskog istraživanja ili u statističke svrhe, samo se posebnim zakonom mogu predvidjeti odstupanja od prava navedenih u čl. 17, 18, 20. i 23. ovog zakona, uz primjenu uslova i mjera zaštite iz stava (1) ovog člana, ako je vjerovatno da bi ta prava mogla spriječiti ili ozbiljno ugroziti ostvarivanje tih posebnih svrha, pa su takva odstupanja neophodna za njihovo postizanje.
(5) Ako se lični podaci obrađuju u svrhu arhiviranja u javnom interesu, samo se posebnim zakonom mogu predvidjeti odstupanja od prava navedenih u čl. 17, 18, 20, 21, 22. i 23. ovog zakona, uz primjenu uslova i mjera zaštite iz stava (1) ovog člana, ako je vjerovatno da bi ta prava mogla spriječiti ili ozbiljno ugroziti ostvarivanje te posebne svrhe, pa su takva odstupanja neophodna za njeno postizanje.
(6) Ako obrada iz st. (2) i (3) ovog člana istovremeno služi i drugoj svrsi, odstupanja se primjenjuju samo za obradu u svrhe koje su navedene u tim stavovima.
(Video-nadzor)
(1) Praćenje određenog prostora putem video-nadzora dopušteno je samo ako je to nužno za zaštitu lica i imovine i ako ne prevladaju interesi nosioca podataka.
(2) Video-nadzorom mogu biti obuhvaćeni samo prostori ili dijelovi prostora čiji je nadzor nužan radi postizanja svrhe iz stava (1) ovog člana.
(3) Uspostavljanje video-nadzora javno dostupnih objekata velikih površina, kao što su sportski objekti, zabavni centri, tržni centri ili parkirališta, ili vozila javnog prevoza, dopušteno je isključivo s ciljem zaštite života, zdravlja i slobode lica te imovine.
(4) Kontrolor podataka koji obavlja video-nadzor dužan je da donese odluku koja će sadržavati pravila obrade s ciljem poštovanja prava na zaštitu privatnosti i ličnog života nosioca podataka, ako video-nadzor nije propisan zakonom.
(5) Kontrolor podataka ili obrađivač dužan je da na vidnom mjestu istakne oznaku o video-nadzoru. Oznaka o video-nadzoru sadrži sljedeće informacije: da je prostor pod video-nadzorom, podatke o kontroloru podataka, odnosno obrađivaču i kontaktne podatke putem kojih nosilac podataka može ostvariti svoja prava. Oznaka treba biti vidljiva najkasnije prilikom ulaska u vidokrug snimanja.
(6) Kontrolor podataka ili obrađivač dužan je da, kod sistema video-nadzora javno dostupnih objekata iz stava (3) ovog člana, bilježi zapise o upotrebi sistema i da ih čuva najmanje 12 mjeseci. Zapisi omogućavaju da se utvrdi datum i vrijeme te identitet lica koje je ostvarilo uvid u sistem video-nadzora.
(7) Za uspostavljanje video-nadzora u stambenim, odnosno poslovno-stambenim zgradama potrebna je saglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova. Video-nadzorom može se obuhvatiti samo pristup ulasku i izlasku iz stambene zgrade, te zajedničke prostorije u stambenim zgradama.
(8) Praćenje javnih prostora putem video-nadzora u svrhe iz člana 1. stava (1) tačke c) ovog zakona dopušteno je samo ako je to propisano posebnim zakonom.
(Obrada biometrijskih podataka u svrhu sigurne identifikacije)
(1) Obrada biometrijskih podataka može se sprovoditi samo ako je propisana zakonom ili ako je nužna za zaštitu lica, imovine, klasifikovanih podataka, poslovnih tajni ili za pojedinačnu i sigurnu identifikaciju korisnika usluga, uzimajući u obzir da ne prevladaju interesi nosioca podataka koji su u suprotnosti s obradom biometrijskih podataka iz ovog člana.
(2) Pravni osnov za obradu biometrijskih podataka nosioca podataka radi sigurne identifikacije korisnika usluga izričita je saglasnost takvog nosioca podataka data u skladu s odredbama ovog zakona.
(Obrada biometrijskih podataka u službenim prostorijama)
Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada sprovodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uslov da je zaposlenik dao izričitu saglasnost za takvu obradu biometrijskih podataka u skladu sa odredbama ovog zakona.
(Postojeća pravila o zaštiti ličnih podataka crkava i vjerskih zajednica)
(1) Ako crkve i vjerske zajednice primjenjuju sveobuhvatna pravila u vezi s obradom ličnih podataka, ta postojeća pravila mogu se i dalje primjenjivati uz uslov da se usklade s ovim zakonom.
(2) Crkve i vjerske zajednice koje primjenjuju sveobuhvatna pravila nadzire Agencija, osim ako crkva ili vjerska zajednica ne obrazuje poseban nezavisni nadzorni organ, uz uslov da ispunjava uslove utvrđene u DIJELU ČETVRTOM ovog zakona.
(Obaveza čuvanja profesionalne tajne)
(1) Posebnim propisom može se utvrditi ograničenje Agencije iz člana 103. stava (1) tač. f) i g) u vezi sa kontrolorom podataka ili obrađivačem koji, na osnovu posebnog propisa koji je donio nadležni organ, podliježu obavezi profesionalne tajne i drugim jednakovrijednim obavezama tajnosti, ako je to nužno i razmjerno kako bi se uskladilo pravo na zaštitu ličnih podataka s obavezom tajnosti.
(2) Posebni propis iz stava (1) ovog člana primjenjuje se samo na lične podatke koje je kontrolor podataka ili obrađivač dobio kao rezultat ili primio tokom aktivnosti koja je obuhvaćena obavezom tajnosti.
DIO TREĆI - OBRADA LIČNOG PODATKA OD NADLEŽNOG ORGANA KAO KONTROLORA PODATAKA U SVRHU SPREČAVANjA, ISTRAGE I OTKRIVANjA KRIVIČNIH DJELA ILI GONjENjA POČINILACA KRIVIČNIH DJELA, IZVRŠAVANjE KRIVIČNIH SANKCIJA, UKLjUČUJUĆI ZAŠTITU OD PRIJETNjI JAVNOJ BEZBJEDNOSTI I NjIHOVO SPREČAVANjE
(Principi obrade ličnih podataka od nadležnog organa)
(1) Principi obrade ličnih podataka od nadležnog organa su:
a) zakonitost i pravičnost;
b) ograničenje svrhe - podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama;
c) smanjenje opsega podataka - podaci moraju biti primjereni, relevantni i ograničeni na ono što je neophodno u svrhe u koje se obrađuju;
d) tačnost - podaci moraju biti tačni i prema potrebi ažurirani, moraju se preduzeti sve razumne mjere kako bi se obezbijedilo da lični podaci koji nisu tačni, imajući u vidu svrhe u koje se obrađuju, budu bez odgađanja izbrisani ili ispravljeni;
e) ograničenje čuvanja - podaci moraju biti čuvani u formi koja omogućava identifikaciju nosioca podataka, i to ne duže nego što je potrebno u svrhe u koje se podaci obrađuju;
f) cjelovitost i povjerljivost - podaci moraju biti obrađivani tako da se osigura odgovarajuća bezbjednost ličnih podataka, uključujući i zaštitu od neovlašćene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacionih mjera.
(2) Obrada koju obavlja isti ili neki drugi nadležni organ u svrhu iz člana 1. stava (1) tačke c) ovog zakona različitu od one za koju su lični podaci prikupljeni dopuštena je:
a) ako je nadležni organ ovlašćen za obradu takvih ličnih podataka u takvu svrhu u skladu sa posebnim propisom, ili
b) ako je obrada neophodna i proporcionalna drugoj zakonitoj svrsi.
(3) Obrada koju obavlja isti ili neki drugi nadležni organ može uključivati arhiviranje u javnom interesu, u naučne, statističke ili istorijske svrhe, za svrhe iz člana 1. stava (1) tačke c) ovog zakona, uz preduzimanje odgovarajućih zaštitnih mjera u vezi sa pravima i slobodama nosioca podataka.
(4) Nadležni organ odgovoran je za usklađenost sa st. (1), (2) i (3) ovog člana i mora biti u mogućnosti da dokaže tu usklađenost.
(Rok za čuvanje i brisanje ličnog podatka)
(1) Rok za brisanje ličnih podataka ili za periodično preispitivanje potrebe njihovog čuvanja propisuje se posebnim zakonom.
(2) Nadležni organi dužni su da uspostave pravila i procedure kojima se obezbjeđuje poštovanje roka iz stava (1) ovog člana.
(Razlika između različitih kategorija nosilaca podataka)
Nadležni organ dužan je da, prema potrebi i ako je to moguće, napravi jasnu razliku između ličnih podataka različitih kategorija nosilaca podataka, kao što je:
a) lice za koje postoji osnov sumnje da je izvršilo ili namjerava da izvrši krivično djelo;
b) lice osuđeno za krivična djela;
c) lice koje je žrtva krivičnog djela ili lice u pogledu kojeg postoje određene činjenice koje daju osnovu za sumnju da bi to lice moglo biti žrtva krivičnog djela;
d) lice koje se dovodi u vezu sa krivičnim djelom, kao što je lice koje se može pozvati da svjedoči u istragama ili naknadnom krivičnom postupku, lice koje može dati informacije o krivičnim djelima ili lice za kontakt ili saradnici lica iz tač. a) i b) ovog stava.
(Razlika između ličnih podataka i provjera kvaliteta ličnih podataka)
(1) Nadležni organ dužan je da utvrdi mehanizam kojim će se obezbijediti da se lični podaci zasnovani na činjenicama razlikuju, što je više moguće, od ličnih podataka zasnovanih na ličnim procjenama.
(2) Nadležni organ dužan je da preduzme sve razumne mjere kako bi obezbijedio da se lični podaci koji su netačni, nepotpuni ili neažurirani ne prenose niti stavljaju na raspolaganje. Nadležni organ, ako je to moguće, provjerava kvalitet ličnih podataka prije njihovog prenošenja ili stavljanja na raspolaganje. Prilikom svakog prenošenja ličnih podataka, što je više moguće, dostavljaju se neophodne informacije nadležnom organu, koji je podatke dobio, omogućava se ocjena stepena tačnosti, potpunosti i pouzdanosti ličnih podataka, kao i u kojoj su mjeri ažurirani.
(3) Ako se utvrdi da su preneseni netačni lični podaci ili da su lični podaci preneseni nezakonito, nadležni organ mora bez odgađanja o tome obavijestiti primaoca. U tom slučaju lični podaci moraju se ispraviti ili brisati ili obrada ograničiti u skladu sa članom 72. ovog zakona.
(Zakonitost obrade ličnog podatka od nadležnog organa)
(1) Obrada ličnih podataka koju obavlja nadležni organ zakonita je samo ako je nužna i samo u onoj mjeri u kojoj je nužna za obavljanje poslova nadležnog organa u svrhe iz člana 1. stava (1) tačke c) ovog zakona i ako je propisana posebnim zakonom.
(2) Posebni zakon iz stava (1) ovog člana propisuje najmanje ciljeve obrade, lične podatke koji se obrađuju i svrhe obrade.
(Posebni uslovi obrade)
(1) Lični podaci koje nadležni organi prikupljaju za svrhe utvrđene u članu 1. stavu (1) tački c) ovog zakona ne smiju se obrađivati u druge svrhe, osim ako je takva obrada propisana posebnim zakonom i u tom slučaju ne primjenjuju se odredbe ovog dijela zakona.
(2) Ako je posebnim zakonom nadležnom organu povjereno obavljanje poslova drugačijih od onih koje obavljaju u svrhe iz člana 1. stava (1) tačke c) ovog zakona, u tom slučaju ne primjenjuju se odredbe ovog dijela zakona, između ostalog i za svrhu arhiviranja u javnom interesu, ili u svrhu naučnog ili istorijskog istraživanja ili u statističke svrhe.
(3) Ako su posebnim zakonom, koji se odnosi na nadležni organ koji prenosi podatke, propisani posebni uslovi za obradu, nadležni organ koji prenosi te lične podatke primaocu dužan je da ga obavijesti o tim uslovima i o zahtjevima za poštovanje tih uslova.
(Obrada posebnih kategorija ličnih podataka od nadležnog organa)
(1) Zabranjena je obrada ličnih podataka koji otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije lica ili podataka o zdravlju ili podataka o polnom životu ili seksualnoj orijentaciji lica.
(2) Izuzetno od stava (1) ovog člana, obrada posebnih kategorija ličnih podataka je dopuštena isključivo ako je to nužno, pridržavajući se odgovarajućih zaštitnih mjera u vezi sa pravima i slobodama nosioca podataka:
a) ako je propisana posebnim zakonom;
b) radi zaštite vitalnih interesa nosioca podataka ili drugog pojedinca, ili
c) ako se takva obrada odnosi na podatke za koje je očigledno da ih je objavio nosilac podataka.
(Automatizovano pojedinačno donošenje odluke od nadležnog organa)
(1) Nadležnom organu zabranjeno je donošenje odluke isključivo na osnovu automatizovane obrade, uključujući i izradu profila, koja proizvodi negativne pravne efekte za nosioca podataka ili na njega značajno utiče, osim ako je odobreno posebnim zakonom kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode nosioca podataka, najmanje prava na učestvovanje fizičkog lica u donošenju odluke.
(2) Odluka iz stava (1) ovog člana ne smije biti zasnovana na posebnim kategorijama ličnih podataka iz člana 66. ovog zakona, osim ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda i legitimnih interesa nosioca podataka.
(3) Nadležnom organu zabranjena je izrada profila koji dovodi do diskriminacije lica na osnovu posebnih kategorija ličnih podataka iz člana 66. ovog zakona.
(Obavještavanje i način ostvarivanja prava nosilaca podataka)
(1) Nadležni organ dužan je da preduzme sve odgovarajuće mjere kako bi se nosiocu podataka pružile sve informacije iz člana 69. ovog zakona te dala sva obavještenja u vezi sa članom 67, čl. od 70. do 74. i člana 87. ovog zakona u vezi s obradom.
(2) Informacije iz stava (1) ovog člana daju se u sažetoj, razumljivoj i lako dostupnoj formi, uz upotrebu jasnog i jednostavnog jezika.
(3) Informacije iz stava (1) ovog člana pružaju se nosiocu podataka u obliku u kojem je zahtjev podnesen ili na način koji je istaknut u zahtjevu, u roku od 30 dana od dana podnošenja zahtjeva.
(4) Nadležni organ dužan je da olakša ostvarivanje prava nosioca podataka iz člana 67. i čl. 70. do 74. ovog zakona.
(5) Nadležni organ dužan je da nosioca podataka pisanim putem obavijesti o daljim radnjama u vezi s njegovim zahtjevom, bez odgađanja.
(6) Nadležni organ dužan je da, bez naknade, pruži informacije, odnosno preduzme mjere na osnovu člana 69. ovog zakona, te sva obavještenja pružena ili mjere preduzete na osnovu člana 67, čl. od 70. do 74. ovog zakona i člana 87. ovog zakona.
(7) Ako je zahtjev nosioca podataka očigledno neosnovan ili pretjeran, posebno zbog njegovog učestalog ponavljanja, nadležni organ može:
a) naplatiti naknadu stvarnih administrativnih troškova, kao što su troškovi umnožavanja, skeniranja ili troškovi nosača podataka, kao i naknadu troškova dostavljanja ili preduzimanja traženih mjera, ili
b) odbiti da postupi po zahtjevu.
(8) Teret dokazivanja očigledne neosnovanosti ili pretjeranosti zahtjeva iz stava (7) ovog člana je na nadležnom organu.
(9) Ako nadležni organ ima opravdanu sumnju u vezi s identitetom fizičkog lica koje podnosi zahtjev iz čl. 70. ili 72. ovog zakona, nadležni organ može da zatraži dodatne informacije neophodne za potvrđivanje identiteta nosioca podataka.
(Informacije koje se stavljaju na raspolaganje ili ustupaju nosiocu podataka)
(1) Nadležni organ dužan je da nosiocu podataka stavi na raspolaganje kao minimum sljedeće informacije:
a) identitet i kontakt podatke nadležnog organa;
b) kontakt podatke službenika za zaštitu ličnih podataka, ako je primjenjivo;
c) svrhu obrade ličnih podataka;
d) o pravu na podnošenje prigovora Agenciji i kontakt podacima Agencije ili tužbe nadležnom sudu;
e) o postojanju prava da od nadležnog organa zatraži pristup svojim ličnim podacima, njihovu ispravku ili brisanje, ili ograničenje obrade ličnih podataka.
(2) Osim informacija iz stava (1) ovog člana, radi ostvarivanja njegovih prava, nadležni organ nosiocu podataka daje sljedeće dodatne informacije:
a) pravni osnov obrade ličnih podataka;
b) rok u kojem će se lični podaci čuvati ili, ako to nije moguće, o kriterijumima korišćenim za utvrđivanje tog roka;
c) o kategorijama primalaca ličnih podataka, uključujući druge države ili međunarodne organizacije, ako je primjenjivo;
d) prema potrebi i dodatne informacije ako se lični podaci prikupljaju bez znanja nosioca podataka.
(3) Posebnim zakonom mogu se propisati mjere za odgađanje, ograničenje ili uskraćivanje pružanja informacija iz stava (2) ovog člana nosiocu podataka u onoj mjeri i u onom trajanju u kojem takva mjera predstavlja potrebnu i proporcionalnu mjeru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa nosioca podataka, s ciljem da se:
a) spriječi ometanje službenog i zakonom uređenog prikupljanja informacija, istraga ili postupaka;
b) izbjegne ometanje, sprečavanje istrage i otkrivanja krivičnih djela ili gonjenja počinilaca krivičnih djela ili izvršavanja krivičnih sankcija;
c) zaštiti javna bezbjednost;
d) zaštiti državna bezbjednost;
e) zaštite prava i slobode drugih.
(4) Posebnim zakonom mogu se propisati kategorije obrade koje mogu u cjelini ili djelimično biti obuhvaćene bilo kojom od tačaka iz stava (3) ovog člana.
(Pravo nosioca podataka na pristup ličnom podatku kod nadležnog organa)
(1) Nadležni organ dužan je da u roku od 30 dana od dana zaprimanja zahtjeva za pristup ličnim podacima nosiocu podataka izda potvrdu o tome da li obrađuje njegove lične podatke te ako se takvi lični podaci obrađuju, pristup ličnim podacima i informacijama o:
a) svrsi obrade i pravnom osnovu obrade;
b) kategoriji ličnih podataka koji se obrađuju;
c) primaocu ili kategoriji primaoca kojem su lični podaci otkriveni, posebno primaocu u drugoj državi ili međunarodnoj organizaciji;
d) predviđenom roku u kojem će se lični podaci čuvati, ako je to moguće, ili, ako to nije moguće, kriterijumima korišćenim za utvrđivanje tog roka;
e) postojanju prava da od nadležnog organa zatraži ispravku ili brisanje svojih ličnih podataka ili ograničenje obrade ličnih podataka;
f) pravu na podnošenje prigovora Agenciji i kontaktnim podacima Agencije ili tužbe nadležnom sudu;
g) ličnim podacima koji se obrađuju i o svim dostupnim informacijama o izvoru ličnih podataka.
(2) Potvrda iz stava (1) ovog člana izdaje se u skladu s odredbama člana 71. ovog zakona.
(Ograničenja prava pristupa ličnom podatku)
(1) Posebnim zakonom koji se odnosi na nadležni organ može se nosiocu podataka u cjelini ili djelimično ograničiti pravo pristupa ličnom podatku u onoj mjeri i u onom trajanju u kojem takvo djelimično ili potpuno ograničenje čini neophodnu i proporcionalnu mjeru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa nosioca podataka, kako bi se:
a) spriječilo ometanje službenog ili zakonom uređenog prikupljanja informacija, istraga ili postupaka;
b) izbjeglo ometanje, sprečavanje istrage i otkrivanja krivičnih djela ili gonjenja počinioca krivičnih djela ili izvršavanja krivičnih sankcija;
c) zaštitila javna bezbjednost;
d) zaštitila državna bezbjednost;
e) zaštitila prava i slobode drugih.
(2) Posebnim zakonom mogu se odrediti kategorije obrade koje mogu u cjelini ili djelimično biti obuhvaćene bilo kojom tačkom iz stava (1) ovog člana.
(3) U slučajevima iz st. (1) i (2) ovog člana, nadležni organ dužan je da, bez odgađanja, pisanim putem obavijesti nosioca podataka o svakom odbijanju ili ograničenju pristupa ličnim podacima te o razlozima odbijanja ili ograničenja, osim ako bi pružanje takvih informacija dovelo u pitanje neku od svrha iz stava (1) ovog člana.
(4) Nadležni organ dužan je da obavijesti nosioca podataka o mogućnosti podnošenja prigovora Agenciji ili tužbe nadležnom sudu.
(5) Nadležni organ dužan je da dokumentuje činjenične ili pravne razloge na kojima se zasniva odluka.
(6) Dokumentacija iz stava (5) ovog člana stavlja se Agenciji na raspolaganje.
(Pravo na ispravku ili brisanje ličnog podatka i ograničenje obrade od nadležnog organa)
(1) Nadležni organ dužan je da:
a) bez nepotrebnog odgađanja, nosiocu podataka omogući ispravku netačnih ličnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade podataka, nosilac podataka ima pravo da dopuni nepotpune lične podatke, između ostalog i davanjem dodatne izjave;
b) nosiocu podataka omogući brisanje ličnih podataka, bez nepotrebnog odgađanja, ako se obradom krše odredbe čl. 60, 64. ili 66. ovog zakona, ili ako se lični podaci moraju brisati radi poštovanja pravne obaveze iz posebnog zakona;
c) ograniči obradu ako:
1) nosilac podataka osporava tačnost ličnih podataka, a njihovu tačnost ili netačnost nije moguće utvrditi, ili
2) lični podaci moraju biti sačuvani kao dokaz;
d) obavijesti nosioca podataka prije uklanjanja ograničenja obrade ako je obrada ograničena na osnovu tačke c) alineje 1) ovog stava;
e) pisanim putem obavijesti nosioca podataka o svakom odbijanju ispravke ili brisanja ličnih podataka ili ograničenja obrade te o razlozima odbijanja. Posebnim zakonom koji se odnosi na nadležni organ može se nosiocu podataka potpuno ili djelimično ograničiti pravo pristupa u onoj mjeri i u onom trajanju u kojem takvo potpuno ili djelimično ograničenje čini neophodnu i proporcionalnu mjeru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa nosioca podataka, kako bi se:
1) izbjeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istraga ili postupaka;
2) izbjeglo ometanje, sprečavanje istrage i otkrivanja krivičnih djela, ili gonjenja počinioca krivičnih djela ili izvršavanja krivičnih sankcija;
3) zaštitila javna bezbjednost;
4) zaštitila državna bezbjednost, i
5) zaštitila prava i slobode drugih;
f) obavijesti nosioca podataka o mogućnosti podnošenja prigovora Agenciji ili tužbe nadležnom sudu;
g) o ispravci netačnih ličnih podataka obavijesti nadležni organ od kojeg potiču netačni podaci.
(2) Ako su lični podaci ispravljeni ili brisani, ili je obrada bila ograničena na osnovu stava (1) tač. a), b) ili c) ovog člana, nadležni organ dužan je da obavijesti primaoca, a primaoci su dužni da isprave ili obrišu lične podatke ili ograniče obradu ličnih podataka u okviru svoje odgovornosti.
(Ostvarivanje prava nosilaca podataka i provjera Agencije)
(1) Nadležni organ dužan je da obavijesti nosioca podataka o mogućnosti ostvarivanja prava putem prigovora Agenciji ili tužbe nadležnom sudu.
(2) Ako je nosilac podataka nezadovoljan postupkom nadležnog organa, može da podnese prigovor Agenciji ili tužbu nadležnom sudu, u slučajevima iz člana 69. stava (3), člana 71. stava (3) i člana 72. stava (1) tačke d) ovog zakona.
(3) U slučaju iz stava (1) ovog člana, Agencija je dužna da obavijesti nosioca podataka o tome da su sprovedene provjere i nadzor, kao i o pravu na pravni lijek.
(Prava nosioca podataka u krivičnim istragama i postupcima)
Nosilac podataka ostvaruje prava iz čl. 69, 70. i 72. ovog zakona u skladu sa zakonima o krivičnim postupcima, ako su lični podaci sadržani u sudskoj odluci ili evidenciji ili spisu predmeta obrađeni tokom krivičnih istraga i postupaka.
(Obaveza nadležnog organa)
(1) Nadležni organ dužan je da primijeni odgovarajuće tehničke i organizacione mjere imajući u vidu prirodu, obim, okolnosti i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, kako bi obezbijedio da se obrada obavlja u skladu s ovim zakonom i kako bi to mogao dokazati. Te mjere se po potrebi preispituju i ažuriraju.
(2) Mjere iz stava (1) ovog člana, ako su proporcionalne u odnosu na aktivnosti obrade, uključuju sprovođenje odgovarajućih politika zaštite podataka od nadležnog organa.
(Tehnička i integrisana zaštita ličnog podatka od nadležnog organa)
(1) Nadležni organ dužan je da, uzimajući u obzir najnovija dostignuća i trošak sprovođenja, kao i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode lica koji proizlaze iz obrade podataka, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, primijeni odgovarajuće tehničke i organizacione mjere, poput pseudonimizacije, za omogućavanje djelotvorne primjene principa zaštite podataka, kao što je smanjenje količine podataka te uključenje zaštitnih mjera u obradu, kako bi se ispunili zahtjevi iz ovog zakona i zaštitila prava nosioca podataka.
(2) Mjere iz stava (1) ovog člana odnose se na količinu prikupljenih ličnih podataka, opseg njihove obrade, rok njihovog čuvanja i njihovu dostupnost, čime se obezbjeđuje da lični podaci nisu automatski, bez intervencije fizičkog lica, dostupni neograničenom broju lica.
(Nadležni organ kao zajednički kontrolor podataka)
(1) Ako dva ili više nadležnih organa odrede svrhe i načine obrade ličnih podataka, smatra se da su zajednički kontrolori podataka. Oni na transparentan način međusobnim sporazumom određuju odgovornosti svakoga od njih s ciljem izvršavanja obaveza iz ovog zakona, posebno u vezi sa ostvarivanjem prava nosilaca podataka i dužnostima svakoga od njih u vezi sa pružanjem informacija iz člana 69. ovog zakona, osim ako su odgovornosti nadležnih organa utvrđene zakonom koji se primjenjuje na te nadležne organe. Sporazumom se određuje kontakt tačka za nosioca podataka. Zakonom se može odrediti koji od zajedničkih kontrolora podataka može djelovati kao jedinstvena kontakt tačka za ostvarivanje prava nosioca podataka.
(2) Nezavisno od uslova sporazuma iz stava (1) ovog člana, nosilac podataka može ostvarivati svoja prava iz ovog zakona u odnosu na svaki nadležni organ i protiv svakog od njih.
(Korišćenje usluge obrađivača od nadležnog organa)
(1) Nadležni organ koristi uslugu samo onog obrađivača koji može u dovoljnoj mjeri obezbijediti sprovođenje odgovarajućih tehničkih i organizacionih mjera propisanih ovim zakonom.
(2) Korišćenje usluge obrađivača od nadležnog organa uređuje se ugovorom ili drugim pravnim aktom kojim se uređuju predmet, tehničke i organizacione mjere propisane ovim zakonom, trajanje obrade, obim, sadržaj i svrha obrade, vrsta ličnih podataka, kategorije nosilaca podataka te obaveze i prava nadležnog organa, kao i da obrađivač:
a) djeluje samo prema uputstvima nadležnog organa;
b) obezbjeđuje da su se lica ovlašćena za obradu ličnih podataka obavezala na poštovanje povjerljivosti ili da podliježu zakonskim odredbama o povjerljivosti;
c) bilo kojim odgovarajućim sredstvom pomaže nadležnom organu da obezbijedi usklađenost s odredbama o pravima nosioca podataka;
d) prema izboru nadležnog organa, briše ili vraća nadležnom organu sve lične podatke nakon završetka pružanja usluge obrade podataka te briše postojeće kopije, osim ako prema nekoj zakonskoj odredbi ne postoji obaveza čuvanja ličnih podataka;
e) nadležnom organu stavlja na raspolaganje sve informacije potrebne za pridržavanje odredaba ovog člana;
f) poštuje odredbe stava (3) ovog člana za angažovanje drugog obrađivača.
(3) Obrađivač ne može koristiti uslugu drugog obrađivača bez prethodnog pisanog odobrenja nadležnog organa.
(4) Po zaprimanju odobrenja obrađivač je dužan da obavijesti nadležni organ o svim planiranim izmjenama u vezi sa korišćenjem usluge drugih obrađivača.
(5) Nadležni organ može uskratiti saglasnost obrađivaču za korišćenje usluge drugog obrađivača.
(6) Ako obrađivač utvrđuje svrhe i načine obrade kršeći odredbe ovog zakona, taj obrađivač se smatra nadležnim organom u vezi s obradom koja mu je povjerena.
(Obrada pod kontrolom nadležnog organa)
Lice koje djeluje pod kontrolom nadležnog organa ili obrađivača, a ima pristup ličnim podacima, ne smije obrađivati te podatke bez naloga kontrolora podataka, osim kada je to propisano posebnim zakonom.
(Evidencija o obradi od nadležnog organa)
(1) Nadležni organ vodi evidenciju obrade za koju je odgovoran. Ta evidencija sadrži sljedeće informacije:
a) naziv i kontakt podatke nadležnog organa, zajedničkog nadležnog organa i službenika za zaštitu ličnih podataka;
b) svrhu obrade;
c) kategoriju primaoca kojem su lični podaci otkriveni ili će mu biti otkriveni, uključujući primaoca u drugoj državi ili međunarodnoj organizaciji;
d) opis kategorije nosioca podataka i kategorije ličnih podataka;
e) upotrebu izrade profila, ako je primjenjivo;
f) kategoriju prenosa ličnih podataka u drugu državu ili međunarodnu organizaciju, ako je primjenjivo;
g) pravni osnov za postupak obrade, uključujući prenose, kojem su lični podaci namijenjeni;
h) predviđeni rokovi za brisanje različitih kategorija ličnih podataka, ako je moguće;
i) opšti opis tehničkih i organizaciono-bezbjednosnih mjera iz člana 85. stava (1) ovog zakona, ako je moguće.
(2) Nadležni organ obezbjeđuje da svaki obrađivač vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju u ime kontrolora podataka, a koja sadrži:
a) ime i kontakt podatke jednog ili više obrađivača i svakog kontrolora podataka u čije ime obrađivač djeluje, te službenika za zaštitu podataka, ako je primjenjivo;
b) kategoriju obrade koja se sprovodi za svakog kontrolora podataka;
c) ako je primjenjivo, podatke o prenosu ličnih podataka u drugu državu ili međunarodnu organizaciju, ako za to postoji izričito uputstvo kontrolora podataka, uključujući identifikaciju te druge države ili međunarodne organizacije;
d) ako je moguće, opšti opis tehničkih i organizaciono-bezbjednosnih mjera iz člana 85. stava (1) ovog zakona.
(3) Evidencija iz stava (1) ovog člana mora biti u pisanoj formi, što uključuje elektronsku formu.
(4) Nadležni organ na zahtjev Agencije, prilikom nadzora, stavlja evidenciju na uvid.
(Zapisivanje)
(1) Nadležni organ dužan je da, kod automatizovanog sistema obrade ličnih podataka, uspostavi pristup sistemu koji automatski bilježi najmanje sljedeće informacije o: prikupljanju, izmjeni, ostvarenom uvidu, otkrivanju, uključujući prenose, te kombinovanju i brisanju. Zapisi o ostvarenom uvidu i otkrivanju omogućavaju da se utvrde obrazloženje, datum i vrijeme takvih postupaka te, ako je to moguće, identitet lica koje je ostvarilo uvid ili otkrilo lične podatke i identitet primaoca takvih ličnih podataka.
(2) Zapis se upotrebljava samo u svrhe provjere zakonitosti obrade, samopraćenja i obezbjeđivanja cjelovitosti i bezbjednosti ličnih podataka te za krivične postupke.
(3) Nadležni organ na zahtjev Agencije, prilikom nadzora, stavlja zapise na uvid.
(Saradnja nadležnog organa i obrađivača s Agencijom)
Nadležni organ i obrađivač dužni su da sarađuju s Agencijom, na obrazložen i na osnovu zakona opravdan zahtjev, prilikom izvršavanja njene nadležnosti.
(Procjena uticaja na zaštitu ličnog podatka od nadležnog organa)
(1) Nadležni organ prije obrade obavlja procjenu uticaja predviđenih postupaka obrade na zaštitu ličnih podataka, ako je vjerovatno da će neka vrsta obrade, posebno primjenom novih tehnologija i uzimajući u obzir prirodu, obim, kontekst i svrhe te obrade, prouzrokovati visoki rizik za prava i slobode lica.
(2) Procjena iz stava (1) ovog člana mora da sadržava najmanje opšti opis predviđenih postupaka obrade, procjenu rizika za prava i slobode nosioca podataka, predviđene mjere za rizike, zaštitne i bezbjednosne mjere i mehanizme kako bi se obezbijedila zaštita ličnih podataka i dokazala usklađenost s ovim zakonom, uzimajući u obzir prava i legitimne interese nosioca podataka i drugih uključenih lica.
(Prethodno savjetovanje nadležnog organa s Agencijom)
(1) Nadležni organ ili obrađivač dužan je da se savjetuje s Agencijom prije obrade ličnih podataka koji će biti uključeni u novu zbirku ličnih podataka, ako:
a) procjena uticaja na zaštitu podataka, kako je predviđeno članom 83. ovog zakona, upućuje na to da bi obrada mogla prouzrokovati visok rizik ako nadležni organ ne preduzme mjere kako bi umanjio rizik, ili
b) vrsta obrade, posebno ako se upotrebljavaju nove tehnologije, mehanizmi ili postupci, predstavlja visok rizik za prava i slobode nosioca podataka.
(2) Agencija može da utvrdi listu postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavom (1) ovog člana.
(3) Nadležni organ dužan je da Agenciji dostavi procjenu uticaja na zaštitu podataka na osnovu člana 83. ovog zakona i da na njen zahtjev pruži sve ostale informacije pomoću kojih će Agencija moći procijeniti usklađenost obrade te posebno rizike za zaštitu ličnih podataka nosioca podataka i povezane zaštitne mjere.
(4) Agencija će u roku od 42 dana od zaprimanja pisanog zahtjeva iz stava (1) ovog člana pisanim putem dati savjet nadležnom organu te može iskoristiti bilo koje od svojih ovlašćenja ako smatra da bi se namjeravanom obradom iz stava (1) ovog člana kršile odredbe ovog zakona, posebno ako nadležni organ nije u dovoljnoj mjeri utvrdio ili umanjio rizik.
(5) Rok iz stava (4) ovog člana može se, po potrebi, produžiti za 30 dana, uzimajući u obzir složenost namjeravane obrade.
(6) Agencija u roku od 30 dana od zaprimanja zahtjeva obavještava nadležni organ i, po potrebi, obrađivača o svakom produženju i razlozima odgađanja.
(7) O prijedlogu zakona kojim se reguliše obrada ličnih podataka, a prije njegovog upućivanja u parlamentarnu proceduru, predlagač se može prethodno savjetovati sa Agencijom.
(Bezbjednost obrade od nadležnog organa i obrađivača)
(1) Nadležni organ i obrađivač dužni su da, uzimajući u obzir najnovija dostignuća, troškove sprovođenja, prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, primijene odgovarajuće tehničke i organizacione mjere kako bi se postigao odgovarajući nivo bezbjednosti shodno riziku, posebno u vezi s obradom posebnih kategorija ličnih podataka.
(2) U vezi sa automatizovanom obradom, nadležni organ ili obrađivač, nakon procjene rizika, dužan je da uspostavi mjere koje obezbjeđuju da se:
a) onemogući neovlašćenim licima pristup opremi koja se koristi za obradu;
b) spriječi neovlašćeno čitanje, umnožavanje, mijenjanje ili uklanjanje nosača podataka;
c) spriječi neovlašćeno unošenje ličnih podataka te neovlašćeno pregledanje, mijenjanje ili brisanje čuvanih ličnih podataka;
d) spriječi korišćenje sistema za automatsku obradu od neovlašćenog lica upotrebom opreme za prenos podataka;
e) lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim ličnim podacima na koje se odnosi njegovo odobrenje za pristup;
f) može provjeriti i utvrditi kome su lični podaci preneseni, odnosno bi mogli biti preneseni ili učinjeni dostupnim upotrebom opreme za prenos podataka;
g) može naknadno provjeriti, odnosno utvrditi koji su lični podaci uneseni u sistem automatske obrade te ko ih je i kada unio;
h) spriječi neovlašćeno čitanje, umnožavanje, mijenjanje ili brisanje ličnih podataka tokom prenosa ličnih podataka ili prenosa nosača podataka;
i) omogući ponovno uspostavljanje instaliranih sistema u slučaju prekida njihovog rada;
j) održava ispravna funkcija sistema, da se pojava grešaka u funkcionisanju sistema prijavi te da čuvani lični podaci ne mogu biti ugroženi zbog nedostataka u funkcionisanju sistema.
(Obavještavanje Agencije o povredi ličnog podatka od nadležnog organa)
(1) Nadležni organ dužan je da u slučaju povrede ličnih podataka, bez odgađanja, a najkasnije 72 sata nakon saznanja za povredu, obavijesti Agenciju o povredi ličnih podataka, osim ako povreda ličnih podataka ne ugrožava prava i slobode fizičkog lica.
(2) Obrađivač je dužan da u slučaju povrede ličnih podataka bez odgađanja obavijesti nadležni organ nakon što sazna za povredu ličnih podataka.
(3) Ako obavještavanje Agencije iz stava (1) ovog člana nije obavljeno u roku od 72 sata, mora se sačiniti pisano obrazloženje sa navođenjem razloga za kašnjenje.
(4) Obavještenje iz stava (1) ovog člana sadrži najmanje sljedeće informacije:
a) opis povrede ličnih podataka, uključujući, ako je moguće, kategorije i približan broj nosilaca podataka, kao i kategorije i približan broj evidencija ličnih podataka o kojima je riječ;
b) ime i prezime i kontakt podatke službenika za zaštitu podataka ili druge kontakt tačke od koje se može dobiti još informacija;
c) opis vjerovatne posljedice povrede ličnih podataka;
d) opis mjera koje je nadležni organ preduzeo ili čije je preduzimanje predložio radi rješavanja problema povrede ličnih podataka, uključujući prema potrebi i mjere za ublažavanje mogućih štetnih posljedica.
(5) Informacije se mogu dostavljati u dijelovima, bez odgađanja, ako i u mjeri u kojoj nije moguće istovremeno dostaviti sve informacije.
(6) Nadležni organ dokumentuje svaku povredu ličnih podataka iz stava (1) ovog člana, uključujući i činjenice u vezi sa povredom ličnih podataka, njene posljedice i mjere preduzete za popravljanje situacije.
(7) Dokumentacija iz stava (4) ovog člana mora biti dostupna Agenciji s ciljem provjere primjene ovog člana.
(8) Nadležni organ obezbjeđuje da se, u slučaju povrede ličnih podataka koja uključuje lične podatke koje je prenio kontrolor podataka druge države ili koji su preneseni njemu, informacije iz stava (4) ovog člana prenose kontroloru podataka te države bez nepotrebnog odgađanja.
(Obavještavanje nosioca podatka o povredi ličnog podatka)
(1) Ako je vjerovatno da će povreda ličnih podataka prouzrokovati visok rizik za prava i slobode fizičkog lica, nadležni organ, bez odgađanja, obavještava nosioca podataka o povredi ličnih podataka.
(2) U obavještenju iz stava (1) ovog člana jasnim i jednostavnim jezikom se opisuje priroda povrede ličnih podataka te se navode najmanje informacije i mjere iz člana 86. stava (4) tač. b), c) i d) ovog zakona.
(3) Obavještavanje nosioca podataka nije obavezno ako je ispunjen jedan od sljedećih uslova:
a) ako je nadležni organ preduzeo odgovarajuće tehničke i organizacione mjere zaštite i te mjere su primijenjene na lične podatke u vezi s kojima je došlo do povrede ličnih podataka, a prije svega mjere koje lične podatke čine nerazumljivim licu koje nije ovlašćeno da im pristupi, kao što je enkripcija;
b) ako je kontrolor podataka preduzeo naknadne mjere kojima se obezbjeđuje da više nije vjerovatno da će doći do visokog rizika za prava i slobode nosioca podataka;
c) ako bi to zahtijevalo neproporcionalan napor. U tom slučaju se objavljuje javno obavještenje ili se preduzima slična mjera kojom se nosioci podataka obavještavaju na jednako djelotvoran način.
(4) Ako nadležni organ do tog trenutka nije obavijestio nosioca podataka o povredi ličnih podataka, Agencija, nakon razmatranja stepena vjerovatnoće da će povreda ličnih podataka prouzrokovati visok rizik, može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uslova iz stava (3) ovog člana.
(5) Obavještavanje nosioca podataka može se odgoditi, ograničiti ili uskratiti u skladu sa uslovima i na osnovu razloga iz člana 69. stava (3) ovog zakona.
(Imenovanje službenika za zaštitu ličnih podataka od nadležnog organa)
(1) Nadležni organ dužan je da imenuje službenika za zaštitu ličnih podataka.
(2) Sudovi i drugi nezavisni pravosudni organi, kada postupaju u okviru svoje pravosudne nadležnosti, nisu dužni da imenuju službenika za zaštitu ličnih podataka.
(3) Službenik za zaštitu ličnih podataka imenuje se na osnovu njegovih stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksi iz oblasti zaštite ličnih podataka i sposobnosti obavljanja zadataka iz člana 90. ovog zakona.
(4) Više nadležnih organa može imenovati jednog službenika za zaštitu ličnih podataka, uzimajući u obzir njihovu organizacionu strukturu i veličinu.
(5) Nadležni organ dužan je da objavi kontaktne podatke službenika za zaštitu ličnih podataka i da ih saopšti Agenciji.
(Radno mjesto službenika za zaštitu ličnih podataka nadležnog organa)
(1) Nadležni organ dužan je da obezbijedi da službenik za zaštitu ličnih podataka bude na odgovarajući način i blagovremeno uključen u sva pitanja koja se tiču zaštite ličnih podataka.
(2) Nadležni organ dužan je da podržava službenika za zaštitu ličnih podataka u izvršavanju zadataka pružajući mu potrebna sredstva za izvršavanje tih zadataka i pristup ličnim podacima i postupcima obrade, kao i za održavanje njegovog stručnog znanja.
(Zadaci službenika za zaštitu ličnih podataka nadležnog organa)
Nadležni organ službeniku za zaštitu ličnih podataka povjerava najmanje sljedeće zadatke:
a) informisanost i savjetovanje nadležnog organa i zaposlenih koji obavljaju obradu o njihovim obavezama iz ovog zakona i drugih zakona kojima se propisuje zaštita ličnih podataka;
b) praćenje primjene ovog zakona i drugih zakona kojima se propisuje zaštita ličnih podataka, kao i politika nadležnog organa u vezi sa zaštitom ličnih podataka, uključujući i podjelu odgovornosti, podizanje svijesti i osposobljavanje zaposlenih koji učestvuju u radnjama obrade, kao i s tim povezanim revizijama;
c) pružanje savjeta, kada je to zahtijevano, u vezi sa procjenom uticaja na zaštitu ličnih podataka i praćenje njenog izvršavanja u skladu sa članom 83. ovog zakona;
d) saradnju s Agencijom;
e) djelovanje kao kontaktna tačka za Agenciju o pitanjima koja se tiču obrade, što uključuje i prethodno savjetovanje iz člana 84. ovog zakona te savjetovanje, po potrebi, o svim drugim pitanjima.
(Opšti principi prenosa ličnog podatka u drugu državu ili međunarodnu organizaciju od nadležnog organa)
(1) Nadležni organ dužan je da svaki prenos ličnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prenosa u drugu državu ili međunarodnu organizaciju, uključujući dalji prenos u još jednu drugu državu ili međunarodnu organizaciju, obavlja pridržavajući se odredaba ovog dijela zakona, samo ako su ispunjeni sljedeći uslovi, i to:
a) prenos je neophodan u svrhe utvrđene u članu 1. stavu (1) tački c) ovog zakona;
b) lični podaci prenose se nadležnom organu u drugoj državi ili međunarodnoj organizaciji, koji predstavlja javni organ nadležan za potrebe iz člana 1. stava (1) tačke c) ovog zakona;
c) ako su lični podaci preneseni ili stavljeni na raspolaganje iz druge države, ta je država dala prethodno odobrenje za prenos u skladu sa svojim pravom;
d) ako je Savjet ministara Bosne i Hercegovine, na prijedlog Agencije, donio odluku o adekvatnosti iz člana 92. stava (3) ovog zakona ili ako Savjet ministara Bosne i Hercegovine nije donio odluku o adekvatnosti iz člana 92. stava (3) ovog zakona, moraju biti obezbijeđene ili postoje odgovarajuće zaštitne mjere iz člana 93. ovog zakona ili ako Savjet ministara Bosne i Hercegovine nije donio odluku o adekvatnosti iz člana 92. stava (3) ovog zakona i nisu obezbijeđene ili ne postoje odgovarajuće zaštitne mjere iz člana 93. ovog zakona, primjenjuju se odstupanja za posebne situacije iz člana 94. ovog zakona;
e) u slučaju daljeg prenosa u još jednu drugu državu ili međunarodnu organizaciju, nadležni organ koji je obavio prvi prenos ili drugi nadležni organ u Bosni i Hercegovini može, nakon što je uzeo u obzir sve relevantne činjenice, uključujući ozbiljnost krivičnog djela, svrhu u koju su lični podaci prvo preneseni i nivo zaštite ličnih podataka u drugoj državi ili međunarodnoj organizaciji, odobriti dalji prenos.
(2) Nadležnom organu dopušten je prenos, bez prethodnog odobrenja druge države, u skladu sa stavom (1) tačkom c) ovog člana, izuzetno, ako je prenos ličnih podataka potreban za sprečavanje neposredne i ozbiljne prijetnje javnoj bezbjednosti Bosne i Hercegovine ili druge države ili bitnim interesima Bosne i Hercegovine, a prethodno odobrenje se ne može blagovremeno dobiti.
(3) Nadležni organ dužan je da obavijesti organ u drugoj državi, odgovoran za izdavanje prethodnog odobrenja, o slučaju iz stava (2) ovog člana.
(4) Sve odredbe u vezi sa prenosom ličnih podataka u drugu državu ili međunarodnu organizaciju primjenjuju se kako bi se obezbijedilo da se ne ugrozi nivo zaštite fizičkih lica koji je zagarantovan ovim dijelom zakona.
(Prenos od nadležnog organa na osnovu odluke o adekvatnosti)
(1) Prenos ličnih podataka u drugu državu ili međunarodnu organizaciju može se obavljati ako Savjet ministara Bosne i Hercegovine odluči da druga država, teritorija ili jedan ili više konkretnih sektora unutar te druge države, ili međunarodna organizacija obezbjeđuje adekvatan nivo zaštite, i u tom slučaju takav prenos ne zahtijeva posebno odobrenje.
(2) Smatra se da je adekvatan nivo zaštite iz stava (1) ovog člana obezbijeđen u državi, dijelovima njene teritorije ili jednom ili više sektora u toj državi, međunarodnoj organizaciji, za koje je od Evropske unije utvrđeno da obezbjeđuju adekvatan nivo zaštite ličnih podataka.
(3) Odluku o adekvatnosti nivoa zaštite ličnih podataka iz stava (1) ovog člana donosi Savjet ministara Bosne i Hercegovine na prijedlog Agencije.
(4) Agencija priprema prijedlog odluke iz stava (3) ovog člana uzimajući u obzir:
a) vladavinu prava, poštovanje ljudskih prava i osnovnih sloboda, relevantno opšte i sektorsko zakonodavstvo, što uključuje zakonodavstvo o javnoj bezbjednosti, odbrani, državnoj bezbjednosti, krivično pravo i pristup javnih organa ličnim podacima, kao i primjenu tog zakonodavstva, pravila o zaštiti ličnih podataka, pravila struke i mjere bezbjednosti, što uključuje pravila za dalji prenos ličnih podataka u još jednu drugu državu ili međunarodnu organizaciju, koja se poštuju u toj drugoj državi ili međunarodnoj organizaciji, sudsku praksu, kao i postojanje djelotvornih i ostvarivih prava nosilaca podataka i efikasnu upravnu i sudsku zaštitu nosilaca podataka;
b) postojanje i efikasno funkcionisanje jednog ili više nezavisnih nadzornih organa u drugoj državi ili organa kojem podliježe međunarodna organizacija, odgovornih za obezbjeđivanje i sprovođenje pravila o zaštiti podataka, što uključuje adekvatna izvršna ovlašćenja za pružanje pomoći nosiocima podataka u ostvarivanju njihovih prava, kao i za saradnju sa Agencijom;
c) međunarodne obaveze koje je druga država ili međunarodna organizacija preuzela ili druge obaveze koje proizlaze iz pravno obavezujućih konvencija ili instrumenata, kao i iz njenog učestvovanja u multilateralnim ili regionalnim organizacijama, posebno u vezi sa zaštitom ličnih podataka.
(5) Agencija kontinuirano prati stanje u oblasti zaštite ličnih podataka u drugoj državi, dijelu njene teritorije, jednom ili više sektora unutar te države ili međunarodnoj organizaciji i o tome po potrebi izvještava Savjet ministara Bosne i Hercegovine.
(6) Izvještaj iz stava (5) ovog člana uključuje dostupne informacije i informacije prikupljene od međunarodnih organizacija, koje su od značaja za preispitivanje postojanja adekvatnog nivoa zaštite ličnih podataka, na osnovu čega Savjet ministara Bosne i Hercegovine donosi odluku iz stava (3) ovog člana.
(7) Odluka donesena na osnovu stava (3) ovog člana ne dovodi u pitanje prenos ličnih podataka u drugu državu, na teritoriji ili u jedan ili više određenih sektora unutar te druge države ili međunarodnu organizaciju, u skladu sa čl. 93. i 94. ovog zakona.
(8) Lista država, dijela njihovih teritorija, jedan ili više sektora unutar tih država i međunarodnih organizacija u vezi s kojim je Savjet ministara Bosne i Hercegovine donio odluku da ne obezbjeđuju ili da više ne obezbjeđuju adekvatan nivo zaštite ličnih podataka objavljuje se u "Službenom glasniku BiH" i na službenoj internet stranici Agencije.
(Prenos od nadležnog organa na koji se primjenjuju odgovarajuće zaštitne mjere)
(1) Nadležni organ može da obavi prenos ličnih podataka u drugu državu ili međunarodnu organizaciju ako nije donesena odluka na osnovu člana 92. stava (3) ovog zakona, uz sljedeće uslove:
a) ako su odgovarajuće zaštitne mjere u vezi sa zaštitom ličnih podataka predviđene u pravno obavezujućem instrumentu, ili
b) ako je nadležni organ procijenio sve okolnosti u vezi sa prenosom ličnih podataka i zaključio da postoje odgovarajuće zaštitne mjere u vezi sa zaštitom ličnih podataka.
(2) Nadležni organ dužan je da obavijesti Agenciju o kategorijama prenosa u skladu sa stavom (1) tačkom b) ovog člana.
(3) Kada se prenos ličnih podataka zasniva na stavu (1) tački b) ovog člana, nadležni organ dužan je da takav prenos dokumentuje, a dokumentaciju, na zahtjev, stavi na raspolaganje Agenciji, uključujući datum i vrijeme prenosa, informacije o nadležnom organu koji je dobio podatke, obrazloženje prenosa i koji su lični podaci preneseni.
(Odstupanje u posebnim slučajevima prenosa ličnog podatka od nadležnog organa)
(1) Ako ne postoji odluka o adekvatnosti iz člana 92. stava (3) ovog zakona ili odgovarajuće zaštitne mjere iz člana 93. ovog zakona, prenos ili skup prenosa ličnih podataka u drugu državu ili međunarodnu organizaciju obavlja se samo ako je prenos neophodan i ako ispunjava jedan od sljedećih uslova:
a) kako bi se zaštitili ključni interesi nosioca podataka ili drugog lica;
b) kako bi se zaštitili legitimni interesi nosioca podataka, ako je to predviđeno posebnim zakonom;
c) kako bi se spriječila neposredna i ozbiljna prijetnja javnoj bezbjednosti na teritoriji Bosne i Hercegovine ili druge države;
d) u pojedinačnim slučajevima u svrhe navedene u članu 1. stavu (1) tački c) ovog zakona ili
e) u pojedinačnom slučaju radi postavljanja, ostvarivanja ili odbrane pravnih zahtjeva u vezi sa svrhama navedenim u članu 1. stavu (1) tački c) ovog zakona.
(2) Lični podaci ne smiju se prenositi ako nadležni organ koji obavlja prenos utvrdi da osnovna prava i slobode odnosnog nosioca podataka imaju prednost pred javnim interesom u vezi sa prenosom iz stava (1) tač. d) i e) ovog člana.
(3) Ako se prenos obavlja na osnovu stava (1) ovog člana, nadležni organ dužan je da takav prenos dokumentuje i dokumentaciju, na zahtjev, stavi na raspolaganje Agenciji, uključujući datum i vrijeme prenosa, informacije o nadležnom organu koji je dobio podatke, obrazloženje prenosa i koji su lični podaci preneseni.
(Prenos ličnog podatka primaocu sa sjedištem ili poslovnim nastanom u drugoj državi)
(1) Nadležni organ može u skladu sa posebnim zakonom, odstupajući od člana 91. stava (1) tačke b) ovog zakona i ne dovodeći u pitanje nijedan međunarodni sporazum iz stava (2) ovog člana, u pojedinačnim i posebnim slučajevima, prenijeti lične podatke direktno primaocima sa sjedištem ili poslovnim nastanom u drugoj državi samo ako se pridržavaju odredaba ovog dijela zakona i ako su ispunjeni sljedeći uslovi:
a) ako je prenos isključivo neophodan za obavljanje zadatka nadležnog organa koji obavlja prenos kako je predviđeno posebnim zakonom u svrhe navedene u članu 1. stavu (1) tački c) ovog zakona;
b) ako nadležni organ koji obavlja prenos utvrdi da osnovna prava i slobode dotičnog nosioca podataka nemaju prednost nad javnim interesom koji iziskuje prenos u predmetnom slučaju;
c) ako nadležni organ koji obavlja prenos smatra da je prenos organu nadležnom za postupanje u svrhu iz člana 1. stava (1) tačke c) ovog zakona u drugu državu nedjelotvoran ili neprimjeren, posebno zato što se prenos ne može blagovremeno ostvariti;
d) ako organ koji je u drugoj državi nadležan za postupanje u svrhu iz člana 1. stava (1) tačke c) ovog zakona obaviješten je bez odgađanja, osim ako je to nedjelotvorno ili neprimjereno;
e) ako nadležni organ koji obavlja prenos obavijesti primaoca o određenoj svrsi ili svrhama u koje taj primalac isključivo može obrađivati lične podatke, samo ako je takva obrada neophodna.
(2) Međunarodni sporazum iz stava (1) ovog člana je svaki bilateralni ili multilateralni međunarodni sporazum na snazi između Bosne i Hercegovine i druge države u oblasti pravosudne saradnje u krivičnim stvarima i policijske saradnje.
(3) Nadležni organ koji obavlja prenos dužan je da obavijesti Agenciju o prenosima u skladu s ovim članom.
(4) Nadležni organ koji obavlja prenos ličnih podataka na osnovu stava (1) ovog člana dužan je da takav prenos dokumentuje.
DIO ČETVRTI - AGENCIJA ZA ZAŠTITU LIČNIH PODATAKA U BOSNI I HERCEGOVINI
(Agencija)
(1) Agencija je nezavisan nadzorni organ za praćenje primjene ovog zakona, s ciljem zaštite osnovnih prava i sloboda fizičkih lica u vezi s obradom ličnih podataka u Bosni i Hercegovini.
(2) Sjedište Agencije je u Sarajevu.
(3) Na sva pitanja organizacije i upravljanja te druga pitanja značajna za funkcionisanje Agencije primjenjuju se propisi kojima se reguliše organizacija rada organa uprave, osim ako nije drugačije propisano ovim zakonom.
(Nezavisnost Agencije)
(1) Agencija djeluje potpuno nezavisno pri obavljanju svojih nadležnosti u skladu s ovim zakonom.
(2) Direktor, zamjenik direktora i zaposleni u Agenciji, pri obavljanju svojih dužnosti i ovlašćenja u skladu s ovim zakonom, ne smiju biti izloženi neposrednom ili posrednom spoljnom uticaju i ne smiju ni od koga tražiti ili primati instrukcije.
(3) Direktor, zamjenik direktora i zaposleni u Agenciji moraju se uzdržavati od svih radnji koje nisu u skladu sa njihovim dužnostima i tokom svog mandata i zaposlenja ne smiju se baviti nespojivom djelatnošću, bez obzira na to da li je ona plaćena ili ne.
(4) Agencija mora imati ljudske, tehničke i finansijske resurse, prostorije i infrastrukturu potrebne za efikasno obavljanje svojih nadležnosti, uključujući i ovlašćenja koja se odnose na međunarodnu uzajamnu pomoć i saradnju.
(5) Zaposleni u Agenciji su državni službenici i zaposlenici i na njih se primjenjuju Zakon o državnoj službi u institucijama Bosne i Hercegovine i Zakon o radu u institucijama Bosne i Hercegovine.
(6) Pravilnik o unutrašnjoj organizaciji Agencije, na prijedlog direktora Agencije, odobrava Parlamentarna skupština Bosne i Heregovine.
(7) Agencija, u skladu sa odredbama Zakona o finansiranju institucija Bosne i Hercegovine, priprema nacrt godišnjeg budžeta i dostavlja ga parlamentarnoj komisiji na odobravanje. Agencija, nakon dobijanja odobrenja parlamentarne komisije, u skladu sa rokovima propisanim odredbama Zakona o finansiranju institucija Bosne i Hercegovine, dostavlja Ministarstvu finansija i trezora Bosne i Hercegovine nacrt budžeta radi uvrštavanja u budžet institucija Bosne i Hercegovine i međunarodnih obaveza Bosne i Hercegovine. Ministarstvo finansija i trezora Bosne i Hercegovine, Savjet ministara Bosne i Hercegovine i Predsjedništvo Bosne i Hercegovine mogu dati mišljenje o nacrtu budžeta Agencije, bez mogućnosti izmjene nacrta budžeta koji je prethodno odobrila parlamentarna komisija.
(8) Agencija podliježe finansijskoj kontroli u skladu sa propisima o finansijskoj kontroli.
(Rukovođenje Agencijom)
(1) Agencijom rukovodi direktor.
(2) Direktor ima jednog zamjenika.
(3) Zamjenik direktora zamjenjuje direktora u obavljanju poslova ako direktor nije u mogućnosti da obavlja poslove u skladu sa svojim ovlašćenjima i obavezama.
(4) Direktor je odgovoran za zakonit rad Agencije.
(Uslovi za imenovanje, privremena suspenzija i razrješenje direktora i zamjenika direktora)
(1) Direktora i zamjenika direktora imenuje Parlamentarna skupština Bosne i Hercegovine (u daljem tekstu: Parlamentarna skupština) na osnovu javnog konkursa.
(2) Direktor i zamjenik direktora imenuju se na period od šest godina uz mogućnost još jednog ponovnog imenovanja.
(3) Uslovi za imenovanje direktora i zamjenika direktora su:
a) da je stariji od 18 godina;
b) da je državljanin Bosne i Hercegovine (svi državljani Federacije BiH, Republike Srpske i Brčko Distrikta BiH su državljani BiH);
c) da nije osuđivan i da se protiv njega ne vodi krivični postupak;
d) da nije obuhvaćen odredbom člana IX1. Ustava Bosne i Hercegovine;
e) da je zdravstveno sposoban:
f) da ima završen fakultet društvenog smjera, VSS/VII stepen, ili visoko obrazovanje bolonjskog sistema studiranja sa najmanje 240 ECTS bodova;
g) da ima najmanje 10 godina radnog iskustva u struci, od čega najmanje pet godina radnog iskustva na poslovima rukovođenja;
h) da ima stručna znanja i iskustva iz oblasti zaštite ličnih podataka;
i) da nije član političke stranke.
(4) Parlamentarna skupština može privremeno suspendovati direktora i zamjenika direktora ako se otkrije teška povreda službene dužnosti. Privremena suspenzija traje dok se teška povreda službene dužnosti ne utvrdi konačnom odlukom.
(5) Parlamentarna skupština može da razriješi direktora i zamjenika direktora prije isteka mandata:
a) na njegov zahtjev;
b) ako se utvrdi teška povreda službene dužnosti;
c) kada navrši 65 godina života i najmanje 20 godina staža osiguranja ili 40 godina staža osiguranja, nezavisno od godina života;
d) ako više ne ispunjava uslove potrebne za imenovanje.
(Nespojivost funkcije i obaveza čuvanja profesionalne tajne)
(1) Direktoru i zamjeniku direktora, kao i zaposlenima u Agenciji, zabranjeni su djelovanje, poslovanje i pogodnosti koji nisu u skladu sa principima nezavisnosti i nepristranosti za vrijeme trajanja mandata, odnosno radnog odnosa, i jednu godinu nakon njegovog prestanka.
(2) Direktor, zamjenik direktora i zaposleni u Agenciji, za vrijeme trajanja mandata odnosno radnog odnosa i nakon prestanka mandata odnosno radnog odnosa, dužni su da čuvaju profesionalnu tajnu koja se odnosi na sve povjerljive informacije koje saznaju prilikom obavljanja svojih dužnosti ili ovlašćenja, u skladu sa propisima u Bosni i Hercegovini. Tokom trajanja njihovog mandata, dužnost čuvanja profesionalne tajne se posebno odnosi na prijave fizičkih lica o kršenjima ovog zakona.
(Nadležnosti Agencije)
(1) Agencija je nadležna za:
a) obavljanje zadataka i ovlašćenja dodijeljenih ovim zakonom;
b) nadzor nad postupcima obrade ličnih podataka koje obavljaju kontrolori podataka i obrađivači.
(2) Agencija nije nadležna za nadzor nad postupcima obrade ličnih podataka koje sprovode sudovi kada obavljaju sudsku funkciju.
(Zadaci Agencije)
(1) Agencija obavlja sljedeće zadatke:
a) prati i primjenjuje ovaj zakon;
b) promoviše javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom ličnih podataka te njihovo razumijevanje, a posebnu pažnju posvećuje aktivnostima koje su izričito namijenjene djeci;
c) savjetuje, u skladu s ovim zakonom, javne organe i druge institucije i organe o zakonodavnim i upravnim mjerama u vezi sa zaštitom prava i sloboda fizičkih lica u vezi s obradom;
d) podiže svijest kontrolora podataka i obrađivača o njihovim obavezama iz ovog zakona;
e) na zahtjev svakog nosioca podataka pruža informacije u vezi sa ostvarivanjem njegovih prava iz ovog zakona;
f) razmatra prigovor nosioca podataka ili organa, organizacije ili udruženja u skladu sa članom 111. ovog zakona i u roku od 90 dana donosi rješenje po prigovoru, o čemu obavještava podnosioca pritužbe;
g) sprovodi provjere u vezi sa primjenom ovog zakona, između ostalog, i na osnovu informacija primljenih od javnih organa;
h) prati bitna kretanja, u mjeri u kojoj utiču na zaštitu ličnih podataka, a posebno razvoj informacionih i komunikacionih tehnologija i komercijalnih praksi;
i) donosi standardne ugovorne klauzule iz člana 30. stava (8) i člana 48. stava (3) ovog zakona;
j) utvrđuje i vodi spisak obrada u vezi s obavezom obavljanja procjene uticaja na zaštitu podataka u skladu sa članom 37. stavom (4) ovog zakona;
k) daje savjete o postupku obrade ličnih podataka iz člana 38. stava (2) ovog zakona i člana 84. stava (4) ovog zakona;
l) podstiče izradu kodeksa ponašanja i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dovoljne zaštitne mjere u skladu sa članom 42. stavom (5) ovog zakona;
m) podstiče uspostavljanje mehanizama sertifikacije zaštite podataka, kao i pečata i oznaka za zaštitu podataka u skladu sa članom 44. stavom (1) ovog zakona i odobrava kriterijume sertifikacije u skladu sa članom 44. stavom (6) ovog zakona;
n) u određenim slučajevima vrši periodično preispitivanje izdatih sertifikata u skladu sa članom 44. st. (8) i (9) ovog zakona;
o) sačinjava i objavljuje kriterijume za akreditaciju organa za praćenje kodeksa ponašanja u skladu sa članom 43. ovog zakona i akreditaciju sertifikacionog organa u skladu sa članom 45. ovog zakona;
p) akredituje organe za praćenje kodeksa ponašanja u skladu sa članom 43. ovog zakona i akredituje sertifikacioni organ u skladu sa članom 45. ovog zakona;
r) odobrava odgovarajuće zaštitne mjere iz člana 48. stav (4) ovog zakona;
s) odobrava obavezujuća poslovna pravila u skladu sa članom 49. ovog zakona;
t) vodi internu evidenciju o kršenjima ovog zakona i mjerama koje su preduzete u skladu sa članom 103. stavom (2) ovog zakona;
u) daje mišljenje na prijedlog zakona institucijama na nivou Bosne i Hercegovine koji se odnosi na obradu ličnih podataka;
v) izvršava sve ostale zadatke u vezi sa zaštitom ličnih podataka.
(2) Agencija propisuje izgled i sadržaj obrasca za podnošenje prigovora.
(3) Agencija obavlja zadatke besplatno za nosioce podataka i, ako je to primjenjivo, i za službenike za zaštitu ličnih podataka.
(4) Agencija obavlja zadatke besplatno za nosioce podataka i za službenike za zaštitu ličnih podataka iz DIJELA TREĆEG ovog zakona.
(5) Ako su zahtjevi nosilaca podataka očigledno neosnovani ili pretjerani, posebno zbog učestalog ponavljanja, Agencija može da naplati naknadu stvarnih administrativnih troškova ili da odbije da postupi po zahtjevu, pri čemu Agencija snosi teret dokazivanja očigledne neosnovanosti ili pretjeranosti zahtjeva.
(6) Agencija naplaćuje naknadu za izdavanje akreditacije sertifikacionom organu.
(7) Agencija naplaćuje naknadu za davanje mišljenja i drugih usluga poslovnim subjektima u svrhu obavljanja njihove redovne djelatnosti.
(8) Kriterijume za određivanje visine naknade iz st. (5), (6) i (7) ovog člana utvrđuje Agencija uz prethodnu saglasnost Savjeta ministara Bosne i Hercegovine i oni se objavljuju u "Službenom glasniku BiH".
(9) Naknada se uplaćuje na Jedinstveni račun trezora institucija Bosne i Hercegovine.
(Ovlašćenja Agencije)
(1) Agencija ima sljedeća ovlašćenja:
a) da obavlja preispitivanje sertifikata izdatih u skladu sa članom 44. st. (8) i (9) ovog zakona;
b) da obavlja inspekcijske nadzore;
c) da obavlja reviziju zaštite podataka;
d) da naloži kontroloru podataka i obrađivaču, a prema potrebi i predstavniku kontrolora podataka ili obrađivača, dostavljanje svih informacija potrebnih za obavljanje njenih zadataka;
e) da obavijesti kontrolora podataka ili obrađivača o navodnom kršenju ovog zakona;
f) da ostvari pristup svim ličnim podacima i svim informacijama u posjedu kontrolora podataka i obrađivača, koje su potrebne za obavljanje njenih zadataka;
g) da ostvari pristup svim prostorijama kontrolora podataka i obrađivača u kojima se obrađuju lični podaci, uključujući svu opremu i sredstva za obradu podataka.
(2) Agencija ima sljedeća korektivna ovlašćenja:
a) da izrekne upozorenje kontroloru podataka ili obrađivaču da bi namjeravane obrade mogle lako predstavljati kršenje ovog zakona;
b) da izrekne opomenu kontroloru podataka ili obrađivaču ako se obradom krši ovaj zakon;
c) da naloži kontroloru podataka ili obrađivaču da postupi po zahtjevu nosioca podataka za ostvarivanje njegovih prava u skladu s ovim zakonom;
d) da naloži kontroloru podataka ili obrađivaču da obrade, ako je potrebno, uskladi s odredbama ovog zakona na tačno određen način i u tačno zadatom roku;
e) da naloži kontroloru podataka da nosioca podataka obavijesti o povredi ličnih podataka;
f) da privremeno ili trajno ograniči ili zabrani obradu;
g) da naloži ispravljanje ili brisanje ličnih podataka ili ograničenje obrade i obavještavanje o takvim radnjama primalaca kojima su lični podaci otkriveni;
h) da oduzme sertifikat izdat u skladu sa čl. 44. i 45. ovog zakona ili da sertifikacionom organu naloži da ne izda sertifikat ako zahtjevi za sertifikaciju nisu ispunjeni ili da povuče sertifikat ako zahtjevi više nisu ispunjeni;
i) da izda prekršajni nalog u okviru prekršajnog postupka ili podnese zahtjev za pokretanje prekršajnog postupka u skladu sa ovim zakonom;
j) da naloži privremeno obustavljanje prenosa podataka primaocu u drugoj državi ili međunarodnoj organizaciji.
(3) Agencija ima sljedeća ovlašćenja u vezi s odobravanjem i savjetovanjem:
a) da savjetuje kontrolora podataka u skladu sa postupkom prethodnog savjetovanja iz čl. 38. i 84. ovog zakona;
b) da daje mišljenja o svim pitanjima koja se tiču zaštite ličnih podataka, na sopstvenu inicijativu ili na zahtjev zakonodavnih organa, vlada ili, u slučajevima kada je to posebnim zakonom propisano, drugim institucijama i organima, kao i javnosti;
c) da odobri obradu iz člana 38. stava (8) ovog zakona ako je posebnim zakonom propisano takvo prethodno odobrenje;
d) da daje mišljenja i odobrava nacrte kodeksa ponašanja u skladu sa članom 42. stavom (5) ovog zakona;
e) da akredituje sertifikacione organe u skladu sa članom 45. ovog zakona;
f) da odobrava kriterijume sertifikacije u skladu sa članom 44. stavom (6) ovog zakona;
g) da usvaja standardne klauzule o zaštiti podataka iz člana 30. stava (8) i člana 48. stava (3) ovog zakona;
h) da odobri odgovarajuće zaštitne mjere iz člana 48. stava (4) tačke a) ovog zakona;
i) da odobri odgovarajuće zaštitne mjere iz člana 48. stava (4) tačke b) ovog zakona;
j) da odobri obavezujuća poslovna pravila u skladu sa članom 49. ovog zakona.
(4) Odluka Agencije je konačna u upravnom postupku i protiv nje nije dopuštena žalba, ali se može pokrenuti upravni spor pred Sudom Bosne i Hercegovine.
(5) Agencija u postupku odlučivanja primjenjuje pravila upravnog postupka, osim ako ovim zakonom nije drugačije propisano.
(6) Agencija je ovlašćena da po potrebi obavijesti nadležne istražne organe o povredama ovog zakona ili pokrene pravne postupke, ili u tim postupcima na drugi način učestvuje kako bi se primijenio ovaj zakon.
(7) Svaka obrada ličnih podataka koji imaju određen stepen tajnosti na osnovu posebnog zakona sprovodi se u skladu sa zakonom kojim se uređuje zaštita tajnih podataka.
(8) Obradu ličnih podataka iz stava (7) ovog člana sprovode službenici Agencije koji imaju dozvolu za pristup tajnim podacima, u skladu sa zakonom kojim se uređuje zaštita tajnih podataka.
(Međunarodna saradnja radi zaštite ličnih podataka)
Agencija preduzima odgovarajuće mjere u vezi sa drugim državama i međunarodnim organizacijama radi:
a) razvoja mehanizama međunarodne saradnje za olakšavanje efikasne primjene zakonodavstva o zaštiti ličnih podataka;
b) obezbjeđivanja uzajamne međunarodne pomoći u primjeni zakonodavstva o zaštiti ličnih podataka, što podrazumijeva obavještavanje, upućivanje prigovora, pružanje pomoći u istragama i razmjenu informacija, u skladu s odgovarajućim mjerama za zaštitu ličnih podataka i drugim osnovnim pravima i slobodama;
c) uključivanja relevantnih interesnih grupa u raspravu i aktivnosti čiji je cilj unapređenje međunarodne saradnje u primjeni zakonodavstva o zaštiti ličnih podataka;
d) promovisanja razmjene i dokumentovanja zakonodavstva i prakse u vezi sa zaštitom ličnih podataka, uključujući i sporove oko nadležnosti sa drugim državama.
(Povjerljivo prijavljivanje povreda zakona)
(1) Nadležni organ koji obrađuje lične podatke u svrhe iz člana 1. stava (1) tačke c) ovog zakona dužan je da obezbijedi primjenu efikasnih mehanizama za povjerljivo prijavljivanje slučajeva povrede ovog zakona.
(2) Mehanizmi koji se primjenjuju u skladu sa stavom (1) ovog člana moraju da obezbijede da se povreda može prijaviti nadležnom organu ili Agenciji.
(3) Ovi mehanizmi uključuju podizanje svijesti o zaštiti ličnih podataka i mjere o zaštiti lica koja prijavljuju povrede.
(Izvještaji Agencije)
(1) Agencija podnosi Parlamentarnoj skupštini godišnji izvještaj o zaštiti ličnih podataka za proteklu godinu najkasnije do kraja juna tekuće godine i čini ga dostupnim javnosti.
(2) Godišnji izvještaj o zaštiti ličnih podataka iz stava (1) ovog člana sadrži podatke o:
a) svim aktivnostima Agencije, a posebno o vrstama povreda ličnih podataka i mjerama koje su preduzete;
b) stanju zaštite ličnih podataka u Bosni i Hercegovini;
c) ključnim pitanjima iz oblasti zaštite ličnih podataka;
d) kapacitetima Agencije.
(Inspekcijski nadzor)
(1) Inspekcijski nadzor nad sprovođenjem ovog zakona obavlja inspektor Agencije.
(2) Inspektor svoj identitet, svojstvo i ovlašćenje dokazuje legitimacijom inspektora.
(3) Inspekcijskim nadzorom ostvaruje se neposredan uvid u zakonitost rada i postupanje kontrolora podataka i obrađivača s ciljem provjere usklađenosti njegovog rada sa ovim zakonom i drugim propisima koji se odnose na zaštitu ličnih podatka.
(4) Inspekcijski nadzor može biti redovni, vanredni i revizijski.
(5) Redovni inspekcijski nadzor se sprovodi na osnovu godišnjeg i mjesečnog plana inspekcijskog nadzora, koji se donosi na nivou Agencije.
(6) Rješenje iz redovnog inspekcijskog nadzora donosi inspektor, protiv kojeg je dozvoljena žalba direktoru Agencije u roku od 15 dana od dana prijema rješenja.
(7) Vanredni inspekcijski nadzor se sprovodi na osnovu prigovora ili postupanja po službenoj dužnosti kada je, u odnosu na konkretni slučaj, potrebno izvršiti inspekcijski nadzor.
(8) Zapisnik iz vanrednog inspekcijskog nadzora je dokazno sredstvo u postupku po prigovoru ili po službenoj dužnosti, koji sprovodi i rješava Agencija.
(9) Revizijski inspekcijski nadzor se sprovodi nakon redovnog ili vanrednog inspekcijskog nadzora s ciljem provjere izvršenja naloženih upravnih mjera.
(10) Rješenje u postupku nakon izvršenog vanrednog i revizijskog inspekcijskog nadzora donosi direktor Agencije i ono je konačno u upravnom postupku.
(11) Nakon sprovedenog inspekcijskog nadzora, inspektor sastavlja zapisnik o utvrđenom činjeničnom stanju, koji potpisuju inspektor i ovlašćeno lice kontrolora podataka ili obrađivača.
(12) Inspektor ima pravo da pregleda sve poslovne prostorije i objekte u kojima se obrađuju lični podaci, proces rada, uređaje, isprave i dokumentaciju, kao i da obavlja druge radnje u vezi sa svrhom inspekcijskog nadzora, u skladu sa članom 103. stavom (1) tač. f) i g) i članom 103. st. (7) i (8) ovog zakona.
(13) Kontrolor podataka i obrađivač dužni su da inspektoru omoguće nesmetano sprovođenje inspekcijskog nadzora.
(14) Ako se inspektoru u toku inspekcijskog nadzora onemogućava obavljanje nadzora ili pruži fizički otpor ili ako se taj otpor osnovano očekuje, inspektor može zatražiti pomoć policije.
(15) O obavljenom inspekcijskom nadzoru inspektor vodi evidenciju.
DIO PETI - PRAVNA SREDSTVA, ODGOVORNOST I KAZNE
(Pravo na prigovor Agenciji)
(1) Nosilac podataka ima pravo da podnese prigovor Agenciji ako smatra da se obradom ličnih podataka u vezi s njim krši ovaj zakon, ne dovodeći u pitanje druga upravna ili sudska pravna sredstva.
(2) Agencija obavještava podnosioca prigovora o napretku i ishodu postupka, uključujući i mogućnost primjene pravnog sredstva na osnovu člana 109. ovog zakona i pruža dodatnu pomoć na zahtjev podnosioca prigovora.
(Pravo na djelotvorno pravno sredstvo protiv odluka Agencije)
(1) Fizičko lice, kontrolor podataka ili obrađivač ima pravo da pokrene upravni spor protiv odluke Agencije pred Sudom Bosne i Hercegovine u roku od 60 dana od dana prijema odluke, ne dovodeći u pitanje druga upravna ili vansudska pravna sredstva.
(2) Nosilac podataka ima pravo da pokrene upravni spor pred Sudom Bosne i Hercegovine ako Agencija, u roku od 90 dana, ne riješi prigovor ili ne obavijesti nosioca podataka o napretku ili ishodu postupka po prigovoru ne dovodeći u pitanje druga upravna ili vansudska pravna sredstva.
(Pravo na djelotvorno pravno sredstvo protiv kontrolora podataka ili obrađivača)
(1) Nosilac podataka ima pravo na sudsku zaštitu protiv kontrolora podataka ili obrađivača ako smatra da su zbog obrade ličnih podataka prekršena njegova prava iz ovog zakona, ne dovodeći u pitanje druga upravna ili vansudska pravna sredstva, uključujući pravo na podnošenje prigovora Agenciji iz člana 108. stav (1) ovog zakona.
(2) Postupak sudske zaštite iz stava (1) ovog člana vodi se u skladu sa zakonima kojima se uređuje parnični postupak.
(Zastupanje nosilaca podataka)
Nosilac podataka ima pravo da dâ ovlašćenje neprofitnom organu, organizaciji ili udruženju osnovanom u skladu sa zakonom, čija svrha osnivanja je ostvarivanje ciljeva od javnog interesa i koje je aktivno u oblasti zaštite prava i sloboda nosioca podataka u vezi sa zaštitom ličnih podataka, da u njegovo ime ostvaruju prava iz čl. 108, 109. i 110. ovog zakona, kao i da u njegovo ime i za njegov račun ostvaruju pravo na naknadu štete.
(Pravo na naknadu štete i odgovornost)
(1) Svako lice koje je pretrpjelo materijalnu ili nematerijalnu štetu zbog kršenja ovog zakona ima pravo na naknadu za pretrpljenu štetu od kontrolora podataka ili obrađivača.
(2) Svaki kontrolor podataka odgovoran je za štetu prouzrokovanu obradom kojom se krši ovaj zakon. Obrađivač je odgovoran za štetu prouzrokovanu obradom samo ako nije poštovao obaveze iz ovog zakona koje su posebno propisane za obrađivače ili ako je prekoračio zakonite instrukcije kontrolora podataka ili je postupio protivno njima.
(3) Kontrolor podataka ili obrađivač izuzet je od odgovornosti ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzrokovao štetu.
(4) Ako je u istu obradu uključeno više od jednog kontrolora podataka ili obrađivača ili su u istu obradu uključeni i kontrolor podataka i obrađivač i ako su odgovorni za štetu prouzrokovanu obradom, svaki kontrolor podataka ili obrađivač odgovoran je za cjelokupnu štetu.
(5) Ako je kontrolor podataka ili obrađivač platio punu odštetu u skladu sa stavom (4) ovog člana, taj kontrolor podataka ili obrađivač ima pravo od drugih kontrolora podataka ili obrađivača koji su uključeni u istu obradu da zahtijeva povrat dijela odštete koji odgovara njihovom udjelu u odgovornosti za štetu.
(6) Pravo na naknadu štete ostvaruje se u sudskom postupku, a mjesna nadležnost utvrđuje se u skladu sa članom 110. stavom (2) ovog zakona.
(Opšti uslovi za izricanje novčane kazni)
(1) Agencija obezbjeđuje da je izricanje novčane kazne, u skladu s ovim članom i u vezi sa povredama ovog zakona, u svakom pojedinačnom slučaju djelotvorno, razmjerno i odvraćajuće.
(2) Agencija izdaje prekršajni nalog ili podnosi zahtjev za pokretanje prekršajnog postupka nadležnom sudu, pored mjera iz člana 103. stava (2) tač. od a) do h) i tačke j) ovog zakona, u zavisnosti od okolnosti svakog pojedinačnog slučaja. Prilikom odlučivanja o novčanoj kazni i iznosu kazne u svakom pojedinačnom slučaju u obzir se uzima posebno:
a) priroda, težina i trajanje povrede, imajući u vidu prirodu, obim i svrhu predmetne obrade, kao i broj nosilaca podataka i stepen štete koju su pretrpjeli;
b) da li povreda ima obilježje namjere ili nepažnje;
c) svaka radnja koju je kontrolor podataka ili obrađivač preduzeo kako bi ublažio štetu koju su pretrpjeli nosioci podataka;
d) stepen odgovornosti kontrolora podataka ili obrađivača, pri čemu se uzimaju u obzir tehničke i organizacione mjere koje su primijenili, u skladu sa čl. 27. i 34. ovog zakona;
e) sve utvrđene prethodne povrede od kontrolora podataka ili obrađivača;
f) stepen saradnje sa Agencijom na otklanjanju povrede i ublažavanju mogućih štetnih posljedica povrede;
g) kategorija ličnih podataka na koje povreda utiče;
h) način na koji je Agencija saznala za povredu, a posebno da li je i u kojem obimu kontrolor podataka ili obrađivač obavijestio o povredi;
i) ako su protiv kontrolora podataka ili obrađivača u vezi sa istim predmetom prethodno izrečene mjere iz člana 103. stava (2) ovog zakona i poštovanje tih mjera;
j) poštovanje odobrenih kodeksa ponašanja, u skladu sa članom 42. ovog zakona ili odobrenih mehanizama sertifikacije, u skladu sa članom 44. ovog zakona;
k) sve ostale otežavajuće ili olakšavajuće okolnosti, kao što su finansijska dobit ostvarena kršenjem ili izbjegnuti gubici, direktno ili indirektno, tim kršenjem.
(3) Ako kontrolor podataka ili obrađivač za istu ili povezane obrade namjerno ili iz nepažnje prekrši više odredaba ovog zakona, ukupan iznos novčane kazne ne smije biti veći od iznosa utvrđenog za najtežu povredu.
(4) Novčanom kaznom u iznosu od 10.000 KM do 20.000.000 KM, ili u slučaju preduzetnika do 2% ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu, zavisno od toga koji je iznos viši, kažnjava se:
a) kontrolor podataka i obrađivač za obradu ličnih podataka izvršenu suprotno čl. 10. i 13, čl. od 27. do 41, te čl. 44. i 45. ovog zakona;
b) sertifikacioni organ koji postupi suprotno čl. 44. i 45. ovog zakona;
c) organ za praćenje odobrenih kodeksa ponašanja ako postupi suprotno članu 43. stavu (3) ovog zakona.
(5) Novčanom kaznom u iznosu od 20.000 KM do 40.000.000 KM, ili u slučaju preduzetnika do 4% ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu, zavisno od toga koji je iznos viši kazniće se:
a) ko obrađuje lične podatke suprotno čl. 7, 8, 9. i 11. ovog zakona;
b) ko krši prava nosilaca podataka iz čl. od 14. do 24. ovog zakona;
c) ko prenese lične podatke primaocu u drugu državu ili međunarodnu organizaciju suprotno čl. od 46. do 51. ovog zakona;
d) ko postupi suprotno obavezama iz posebnih zakona donesenih na osnovu DIJELA DRUGOG Glave V ovog zakona;
e) ko ne postupi po nalogu Agencije ili privremenom ili trajnom ograničenju obrade ili privremenom obustavljanju prenosa podataka u skladu sa članom 103. stavom (2) ovog zakona ili uskrati pristup suprotno članu 103. stavu (1) ovog zakona.
(6) Za nepostupanje po nalogu Agencije iz člana 103. stava (2) ovog zakona, u skladu sa stavom (2) ovog člana, izriče se novčana kazna u iznosu od 20.000 KM do 40.000.000 KM, ili u slučaju preduzetnika do 4% ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu, zavisno od toga koji je iznos viši.
(7) Za povredu iz st. (4), (5) i (6) ovog člana novčanom kaznom u iznosu od 5.000 KM do 70.000 KM kazniće se odgovorno lice, a novčanom kaznom u iznosu od 500 KM do 5.000 KM kazniće se zaposleno lice kod kontrolora podataka ili obrađivača.
(8) Novčanom kaznom u iznosu od 5.000 KM do 70.000 KM kazniće se odgovorno lice, a novčanom kaznom u iznosu od 500 KM do 5.000 KM kazniće se zaposleno lice u javnom i nadležnom organu za prekršaj:
a) iz čl. od 7. do 11, člana 13, čl. od 14. do 24, čl. od 27. do 41, čl. 44. i 45, čl. od 52. do 59, člana 60, člana 64, člana 66, čl. od 67. do 73, čl. 76. i 77. i čl. od 79. do 90. ovog zakona;
b) ko prenese lične podatke primaocu u drugu državu ili međunarodnu organizaciju suprotno čl. od 46. do 51, te čl. od 91. do 95. ovog zakona;
c) ko ne postupi po nalogu Agencije ili privremenom ili trajnom ograničenju obrade ili privremenom obustavljanju prenosa podataka u skladu sa članom 103. stavom (2) ovog zakona ili uskrati pristup suprotno članu 103. stavu (1) ovog zakona.
(9) Zastarijevanje izricanja novčane kazne nastupa nakon proteka perioda od pet godina od dana kada je povreda izvršena.
(10) Ne dovodeći u pitanje nadležnosti i ovlašćenja Agencije, novčane kazne ne mogu se izreći javnom i nadležnom organu za povrede ovog zakona, osim odgovornom i zaposlenom licu iz stava (8) ovog člana.
(11) Na postupak izricanja novčane kazne iz ovog člana primjenjuju se odredbe Zakona o prekršajima Bosne i Hercegovine, a iznosi novčanih kazni propisani su ovim zakonom.
(12) Izuzetno od odredbe stava (11) ovog člana, prihod ostvaren na osnovu naplate novčanih kazni dijeli se na način propisan članom 114. ovog zakona.
(Izvršenje i naplata novčane kazne)
Novčana kazna uplaćuje se na Jedinstveni račun trezora institucija Bosne i Hercegovine i dijeli se kako slijedi:
a) ako je sjedište ili poslovni nastan pravnog lica ili prebivalište fizičkog lica u Bosni i Hercegovini, sredstva sa Jedinstvenog računa trezora institucija Bosne i Hercegovine uplaćuju se na račun entiteta ili Brčko Distrikta Bosne i Hercegovine, zavisno od sjedišta ili poslovnog nastana pravnog lica ili prebivališta fizičkog lica;
b) ako je sjedište ili poslovni nastan pravnog lica ili prebivalište fizičkog lica van Bosne i Hercegovine, sredstva sa Jedinstvenog računa trezora institucija Bosne i Hercegovine raspoređuju se prema odluci o utvrđivanju privremenih koeficijenata za raspodjelu sredstava sa Jedinstvenog računa. U Federaciji Bosne i Hercegovine sredstva se raspoređuju između kantona i opština u skladu sa zakonom o pripadnosti javnih prihoda u Federaciji Bosne i Hercegovine.
(Kazne)
Krivičnim zakonima propisuju se kazne za krivično djelo protivzakonite obrade ličnih podataka, u slučaju grubog kršenja odredaba ovog zakona.
DIO ŠESTI - PRELAZNE I ZAVRŠNE ODREDBE
(Mjere u prelaznom periodu)
(1) Odredbe drugih zakona koje se odnose na obradu ličnih podataka uskladiće se s ovim zakonom u roku od dvije godine od njegovog stupanja na snagu.
(2) Kontrolori podataka i obrađivači koji su započeli obrade ličnih podataka dužni su da te obrade usklade s ovim zakonom u roku od dvije godine od njegovog stupanja na snagu.
(3) Odluke donesene na osnovu člana 18. stava (4) Zakona o zaštiti ličnih podataka ("Službeni glasnik BiH", br. 49/06, 76/11 i 89/11) ostaju na snazi dok se ne izmijene, zamijene ili stave van snage odlukom Agencije.
(4) Direktor i zamjenik direktora Agencije koji su imenovani u skladu sa Zakonom o zaštiti ličnih podataka ("Službeni glasnik BiH", br. 49/06, 76/11 i 89/11), nastavljaju da obavljaju dužnost do isteka mandata na koji su imenovani.
(5) Agencija nastavlja svoj rad u prelaznom periodu.
(Podzakonski akti)
Svi podzakonski akti propisani ovim zakonom biće doneseni u roku od 210 dana od dana stupanja na snagu ovog zakona.
(Odnos sa prethodno sklopljenim sporazumima)
Međunarodni sporazumi koji uključuju prenos ličnih podataka drugim državama ili međunarodnim organizacijama koje je Bosna i Hercegovina sklopila prije donošenja ovog zakona, a koji su u skladu sa Zakonom o zaštiti ličnih podataka ("Službeni glasnik BiH", br. 49/06, 76/11 i 89/11), ostaju na snazi dok se ne izmijene, zamijene ili stave van snage.
(Prestanak važenja)
(1) Početkom primjene ovog zakona prestaje da važi Zakon o zaštiti ličnih podataka ("Službeni glasnik BiH", br. 49/06, 76/11 i 89/11).
(2) Početkom primjene ovog zakona prestaju da važe podzakonski akti doneseni na osnovu zakona iz stava (1) ovog člana: Pravilnik o postupku po prigovoru nosioca ličnih podataka u Agenciji za zaštitu ličnih podataka u Bosni i Hercegovini ("Službeni glasnik BiH", broj 51/09), Pravilnik o inspekcijskom nadzoru u oblasti zaštite ličnih podataka ("Službeni glasnik BiH", broj 51/09), Instrukcija o načinu provjere obrade ličnih podataka prije uspostavljanja zbirke ličnih podataka ("Službeni glasnik BiH", broj 51/09), Pravilnik o načinu vođenja i obrascu evidencije o zbirkama ličnih podataka ("Službeni glasnik BiH", broj 52/09) i Pravilnik o načinu čuvanja i posebnim mjerama tehničke zaštite ličnih podataka ("Službeni glasnik BiH", broj 67/09).
(Stupanje na snagu)
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku BiH", a primjenjuje se nakon isteka 210 dana od dana stupanja na snagu.