Ko je obavezan da se uskladi sa novim Zakonom o zaštiti ličnih podataka u BiH?

Svi pravni i fizički subjekti koji obrađuju lične podatke u okviru svojih poslovnih aktivnosti – uključujući javne institucije (izuzev sudova), firme, preduzetnike, udruženja i strane subjekte koji nude robu ili usluge građanima BiH, a koji obrađuju podatke u velikom obimu ili obrađuju posebne kategorije ličnih podataka.

Šta znači biti „kontrolor“ ili „obrađivač“ ličnih podataka?

Kontrolor određuje svrhu i način obrade ličnih podataka. Obrađivač obrađuje podatke u ime kontrolora (npr. knjigovodstveni servis). Zakon propisuje obaveze za obje kategorije.

Kada moram imenovati službenika za zaštitu podataka (DPO)?

Službenik za zaštitu podataka mora se imenovati ako se obrada vrši u javnim institucijama (izuzimajući sudove), ako je osnovna djelatnost organizacije obrada ličnih podataka velikog obima, ili ako se obrađuju posebne kategorije podataka kao što su zdravstveni, biometrijski ili podaci o rasnoj i nacionalnoj pripadnosti.

Ko mora imenovati predstavnika u BiH?

Svako strano pravno lice koje nema sjedište u BiH, a obrađuje lične podatke građana BiH (npr. putem web stranice), mora imenovati predstavnika – advokata ili konsultantsku kuću, koji je registrovan u BiH.

Kakve kazne mogu očekivati ako prekršim zakon?

Kazne mogu iznositi do 40 miliona KM ili do 4% ukupnog godišnjeg prometa, zavisno od prekršaja. Kazne se primjenjuju na pravna i fizička lica, a određuje ih Agencija za zaštitu ličnih podataka.

U kom roku se mora prijaviti povreda podataka?

U roku od 72 sata od saznanja za incident, morate obavijestiti Agenciju. Ako postoji visok rizik za pojedince – nosioce podataka, i njih morate direktno obavijestiti.

Da li moram imati saglasnost za svaki podatak koji obrađujem?

Ne uvijek. Saglasnost je samo jedan od osnova za obradu. Drugi osnovi uključuju zakonsku obavezu, ugovor, legitimni interes i slično – ali mora postojati pravno utemeljenje.

Kako procijeniti da li je moja kompanija usklađena sa novim Zakonom?

Preporučuje se sprovođenje interne revizije ili angažovanje stručnjaka za zaštitu podataka radi procjene usklađenosti i identifikacije rizika (GAP analiza).

Šta znači DPIA i kada se sprovodi?

DPIA je procjena uticaja na zaštitu podataka i obavezna je kada se planira obrada koja može izazvati visok rizik po prava i slobode pojedinaca.

Kome se mogu obratiti za pomoć?

Preporuka je imenovanje internog DPO-a ili angažovanje eksternog stručnjaka koji će pomoći u usklađivanju sa zakonom i implementaciji najboljih praksi.

Jun 17.2025

Novi zakon o zaštiti ličnih podataka u BiH – šta donosi i kako se uskladiti?

Savremeno poslovanje se zasniva na prikupljanju podataka – u zavisnosti od branše, od osnovnih kontakt informacija do osjetljivih zdravstvenih ili biometrijskih podataka. Zbog toga je zaštita privatnosti postala ključna tema, kako u EU, tako i u Bosni i Hercegovini.

Novi Zakon o zaštiti ličnih podataka BiH (Službeni glasnik BiH, broj 12/25), koji je objavljen 28. februara 2025. i stupio na snagu 8. marta, donosi brojne novine i u velikoj mjeri usklađuje pravni okvir BiH sa Opštom uredbom o zaštiti podataka (GDPR) Evropske unije. Puna primjena zakona očekuje se u oktobru 2025. godine, nakon šest mjeseci perioda usaglašavanja sa Zakonom.

Obzirom na veliki stepen promijena koje novi Zakon donosi sa sobom, pripremili smo za sve zainteresovane kontrolore i obrađivače podataka “Praktični vodič kroz zaštitu ličnih podataka u BiH – Nove institute i poređenje sa starim zakonodavstvom”, od strane advokata Jovane Diljević – Sertifikovanog stručnjaka za zaštitu ličnih podataka na teritoriji Evrope.

U nastavku predstavljamo najvažnije promjene koje donosi ovaj zakon a koje su podijeljene u osam kategorija, kao i praktične smjernice za sve one koji rukuju ličnim podacima – bilo kao kontrolori, ili kao obrađivači:

I Prava lica na koja se podaci odnose

Zakon uvodi ista prava koja poznaje i GDPR, među kojima su:

Pravo na pristup podacima;
Pravo na ispravku netačnih podataka u evidencijama kontrolora i obrađivača;
Pravo na brisanje („pravo na zaborav“);
Pravo na ograničenje obrade;
Pravo na prenosivost podataka;
Pravo na prigovor obradi, uključujući i donošenje automatizovanih odluka.

Lica na koja se podaci odnose imaju pravo da budu informisana na jasnom i razumljivom jeziku, bez pravnih ili tehničkih izraza koje ne razumiju.

II Principi obrade podataka

Zakon utvrđuje osnovne principe:

Zakonitost, pravičnost i transparentnost;
Jasnu definisanost svrhe obrade (obrada samo za jasno definisane svrhe);
Princip minimalnosti pri prikupljanju podataka (prikupljanje samo neophodnih podataka);
Tačnost i ažurnost;
Ograničenje čuvanja podataka na nužni vremenski period;
Integritet i povjerljivost;
Odgovornost kontrolora da dokaže usklađenost sa gore navedenim principima.

Takođe su propisani principi „privatnosti po dizajnu“ i „privatnosti po podrazumijevanoj postavci“, što znači da sistemi i usluge od samog početka – prvog prikupljanja podataka moraju biti podešeni tako da štite privatnost i smanje rizik od nastanka incidenata.

III Obaveze kontrolora i obrađivača

Tehničke i organizacione mjere

Kontrolori i obrađivači su dužni da sprovedu odgovarajuće sigurnosne mjere, koje zavise od vrste, obima i konteksta obrade. To uključuje enkripciju, kontrolu pristupa, zaštitu od neovlašćenog pristupa, te uspostavljanje bezbjednosnih politika.

Evidencije i DPIA

Obavezno je vođenje evidencije o aktivnostima obrade, za pravna lica sa preko 250 zaposlenih. Izuzetak predstavljaju pravna lica sa manjim brojem zaposlenih, a koji obrađuju kategorije osjetljivih podataka ili obrađuju podatke u velikom obimu. Takođe, u koliko se sprovode visokorizične obrade (npr. biometrija, praćenje lokacije, obrada osjetljivih podataka), neophodno je uraditi procjenu uticaja na zaštitu podataka (DPIA).

Obavještavanje o povredi podataka

U slučaju narušavanja bezbjednosti ličnih podataka, organizacija mora obavijestiti Agenciju za zaštitu ličnih podataka u roku od 72 sata. Ako postoji visok rizik za prava i slobode fizičkih lica, kontrolori su dužni obavijestiti i sama lica – nosioce podataka na koja se podaci odnose.

IV Prenos ličnih podataka preko granice

Prijenos podataka izvan BiH dozvoljen je samo pod određenim uslovima:

Ako država u koju se podaci prenose ima odgovarajući nivo zaštite prema Odluci Savjeta ministara BiH, a koja se donosi na prijedlog Agencije za zaštitu ličnih podataka u BiH;
Ako su preduzete odgovarajuće zaštitne mjere, poput standardnih ugovornih klauzula;
Ili ako postoji izričita saglasnost lica na koje se podaci odnose, u specifičnim situacijama.

Na ovaj način se uspostavlja sistem koji osigurava da se lični podaci građana BiH ne mogu prenositi u države koje nemaju zadovoljavajući nivo zaštite, izuzev u situacijama kada nosioci podataka daju izričitu saglasnost za pomenuto.

V Imenovanje službenika za zaštitu podataka (DPO)

Kada je obavezno?

Službenik za zaštitu podataka mora se imenovati:

Ako se obrada vrši u javnim institucijama (izuzimajući sudove i pravosudne institucije kada se obrada vrši u okviru njihove nadležnosti),
Ako je osnovna djelatnost organizacije obrada ličnih podataka velikog obima podataka,
Ako se obrađuju posebne kategorije podataka (npr. zdravstveni, biometrijski podaci, podaci o vjerskoj, rasnoj i nacionalnoj pripadnosti, krivične presude, kažnjiva djela i mjere bezbjednosti).

Ko može biti DPO?

Službenik za zaštitu ličnih podataka – DPO može biti interni zaposleni ili eksterno angažovano lice. DPO mora biti stručno lice (pravnog ili IT usmjerenja), sertifikovano u oblasti zaštite ličnih podataka, a posebno u oblastima najboljih praksi zaštite podataka, procjene bezbjednosnih rizika, kao i izrade DPIA I DTIA izvještaja.

Uloga i nezavisnost

DPO je nezavisna funkcija. Lice imenovano za DPO smije biti u sukobu interesa, mora imati pristup najvišem menadžmentu i direktno komunicirati s Agencijom. Njegova zaduženja uključuju savjetovanje, nadzor nad usklađenošću, edukaciju osoblja, i učešće u procjenama uticaja.

IV Imenovanje predstavnika u BiH

Pravna lica izvan BiH koja obrađuju podatke građana BiH, a nemaju sjedište u zemlji, moraju imenovati predstavnika u BiH.

Ovaj predstavnik služi kao kontakt tačka za Agenciju i lica na koja se podaci odnose, ali to ne oslobađa inostranu organizaciju odgovornosti. Ova obaveza važi npr. za internet platforme, e-trgovine ili aplikacije koje posluju na teritoriji BiH bez registrovanog pravnog lica.

VI Nadzor Agencije za zaštitu ličnih podataka

Agencija za zaštitu ličnih podataka BiH je nadležna za sprovođenje nadzora, pružanje smjernica, primanje pritužbi i izricanje kazni. U skladu sa novim Zakonom o zaštiti ličnih podataka u BiH, Agencija je dužna da sprovodi:

Inspekcijski nadzor;
Donosi mjere zabrane obrade;
Naređuje ispravke i brisanje podataka;
Izriče upravne kazne.

U slučaju povrede Zakona, Agencija ima ovlašćenja da izdaje privremene zabrane obrade, pristupa bazama podataka, kao i da naloži konkretne korektivne mjere.

VIII Kazne i sankcije

Zakon propisuje visoke novčane kazne za kršenje obaveza:

Do 40 miliona konvertibilnih maraka za pravna lica,
Ili do 4% ukupnog godišnjeg prometa organizacije na globalnom nivou, ako je to iznos koji prevazilazi fiksnu kaznu.

Kazne se određuju u zavisnosti od prirode i težine povrede, prethodnih prekršaja i stepena saradnje sa Agencijom.

Poređenje usklađenosti novog Zakona o zaštiti ličnih podataka u BiH sa GDPR Uredbom

Novi zakon BiH u suštini prepoznaje i prepisuje većinu ključnih odredbi GDPR-a, uključujući prava lica, načela obrade, ulogu službenika za zaštitu podataka i sistem nadzora. Međutim, postoje i određene razlike:

GDPR se primjenjuje na cijeloj teritoriji EU, dok zakon BiH ima nacionalni karakter, ali je usklađen s GDPR standardima.
U BiH je uvedena posebna obaveza imenovanja predstavnika za strane pravne subjekte, što odgovara članu 27 GDPR-a o predstavnicima u EU.
Kazne su nominalno različite jer se u BiH izražavaju u KM, ali mehanizam određivanja visine kazni je isti – procentualno u odnosu na promet.
U pogledu procedura (obavještenje o povredi, DPIA, evidencije), zakon BiH u potpunosti prati evropske prakse.

Dakle, novi Zakon se ne treba i ne može posmatrati izolovano, već kao korak ka usklađivanju sa evropskim standardima zaštite privatnosti.

Stoga, u nastavku izdavajmo preporuke (najbolje poslovne prakse) za privredne subjekte koji su dužni da se usklade sa novim Zakonom o zaštiti ličnih podataka u BiH:

Svaka organizacija koja prikuplja, čuva ili obrađuje lične podatke u BiH treba da:

Izvrši analizu postojećih aktivnosti obrade i evidentira ih (mapiranje podataka);
Pripremi ili ažurira Politiku privatnosti i interne pravilnike;
Imenuje DPO-a ako je zakonom obavezno;
Imenuje predstavnika ako je strano lice bez sjedišta u BiH;
Obavi procjenu uticaja (DPIA) ako postoji visoki rizik;
Obuči zaposlene o zaštiti podataka;
Usvoji proceduru za prijavu povrede podataka.

Novi zakon o zaštiti ličnih podataka u BiH predstavlja veliki iskorak ka zaštiti privatnosti građana i usklađivanju sa EU pravnim okvirom. Istovremeno, on predstavlja izazov za privredu, institucije i sve subjekte koji rukuju ličnim podacima. Priprema i pravovremeno usklađivanje sa zakonom je neophodno – kako bi se izbjegle visoke kazne i očuvala reputacija.

U koliko ste u nedoumici na koji način da se uskladite sa novim Zakonom o zaštiti ličnih podataka u BiH, naš advokat – sertifikovani stručnjak za zaštitu ličnih podataka na teritoriji Evrope, vam može pružiti pravnu podršku prilikom:

Pravne procjene i izrade akata u skladu s novim zakonom;
Imenovanja eksternog DPO-a i predstavnika za strana lica;
Vođenja DPIA analiza i izrade evidencija o obradi;
Savjetovanja pri incidentima i inspekcijama Agencije;
Zastupanja u slučaju inspekcijskog nadzora ili postupaka pred Agencijom.

Naša advokatska kancelarija Vam je na raspolaganju za sve Vaše nedoumice i potpunu pravnu usklađenost sa novim Zakonom.

Najčešće postavljana pitanja (FAQ)

Svi pravni i fizički subjekti koji obrađuju lične podatke u okviru svojih poslovnih aktivnosti – uključujući javne institucije (izuzev sudova), firme, preduzetnike, udruženja i strane subjekte koji nude robu ili usluge građanima BiH, a koji obrađuju podatke u velikom obimu ili obrađuju posebne kategorije ličnih podataka.

Kontrolor određuje svrhu i način obrade ličnih podataka. Obrađivač obrađuje podatke u ime kontrolora (npr. knjigovodstveni servis). Zakon propisuje obaveze za obje kategorije.

Ako se obrada vrši u javnim institucijama (izuzimajući sudove i pravosudne institucije kada se obrada vrši u okviru njihove nadležnosti);
Ako je osnovna djelatnost organizacije obrada ličnih podataka velikog obima podataka;
Ako se obrađuju posebne kategorije podataka (npr. zdravstveni, biometrijski podaci, podaci o vjerskoj, rasnoj i nacionalnoj pripadnosti, krivične presude, kažnjiva djela i mjere bezbjednosti).

Svako strano pravno lice koje nema sjedište u BiH, a obrađuje lične podatke građana BiH (npr. putem web stranice), mora imenovati predstavnika – advokata ili konsultansku kuću, koji je registrovan u BiH.

Kazne mogu iznositi do 40 miliona KM ili do 4% ukupnog godišnjeg prometa, zavisno od prekršaja. Kazne se primjenjuju na pravna i fizička lica, a određuje ih Agencija za zaštitu ličnih podataka.

U roku od 72 sata od saznanja za incident, morate obavijestiti Agenciju. Ako postoji visok rizik za pojedince – nosioce podataka, i njih morate direktno obavijestiti.

Ne uvijek. Saglasnost je samo jedan od osnova za obradu. Drugi osnovi uključuju zakonsku obavezu, ugovor, legitimni interes i slično – ali mora postojati pravno utemeljenje.

Preporučuje se sprovođenje interne revizije u koliko imate stručnog zaposlenog u oblasti zaštite ličnih podataka ili angažovanje stručnjaka za zaštitu podataka radi procjene usklađenosti i identifikacije rizika (GAP analizu).

DPIA je procjena uticaja na zaštitu podataka. Obavezna je kada se planira obrada koja može izazvati visok rizik po prava i slobode pojedinaca, kao što je biometrijska ili obrada podataka prikupljenih video nadzorom.

Preporuka je da edukujete i imenujete internog zaposlenog kao služebnika za zaštitu ličnih podataka, ili da angažujete eksternog stručnjaka koji će vam pomoći da vase poslovanje uskladite sa zakonom, I predložiti najbolje poslovne prakse da uzbjegnete sve buduće incidente.
Naša advokatska kancelarija na čelu sa advokatom Jovanom Diljević – sertifikovanim stručnjakom za zaštitu ličnih podataka, vam je na raspolaganju za postizanje usklađenosti sa novim Zakonom.

Novi zakon o zaštiti ličnih podataka u BiH – šta donosi i kako se uskladiti?

Najčešće postavljana pitanja (FAQ)

Najnovije vijesti

Službenik za zaštitu ličnih podataka (DPO) u BiH i EU: kompletan vodič za postizanje usklađenosti, praksu i greške koje vas mogu skupo koštati

Saglasnost za obradu ličnih podataka

Zaštita ličnih podataka u industriji igara na sreću: Obaveze,kazne i rješenja u BiH i EU