Aug 21.2025

Službenik za zaštitu ličnih podataka (DPO) u BiH i EU: kompletan vodič za postizanje usklađenosti, praksu i greške koje vas mogu skupo koštati

Ko mora imenovati DPO, tačni zadaci po GDPR-u i novom Zakonu BiH, EDPB mišljenja, praksa u Srbiji i Hrvatskoj, FAQ i vodič za usklađivanje

U vremenu kada reputacija i povjerenje vrijede više od svake kampanje, službenik za zaštitu ličnih podataka (DPO) postaje jedan od ključnih stubova korporativne odgovornosti i pravne sigurnosti. Uloga DPO-a nije „štikliranje“ obaveze, već strateška funkcija koja spaja pravni okvir, tehničku sigurnost i poslovne procese. U Bosni i Hercegovini, novi Zakon o zaštiti ličnih podataka (Sl. glasnik BiH 12/25) približava standarde EU i uvodi jasnije obaveze za rukovaoce i obrađivače, uključujući kada i kako imenovati DPO-a, koje zadatke mora obavljati i kako mora biti pozicioniran da zaista bude efektivan. Zakon je objavljen 28.2.2025, stupio na snagu 8.3.2025, a primjenjuje se po proteku roka od 210 dana – od 4.10.2025. 

Ko može biti službenik za zaštitu ličnih podataka (DPO) i zašto ga (možda) morate imenovati?

DPO je interni ili eksterni stručnjak koji štiti interese nosilaca podataka, savjetuje menadžment (kontrolora podataka/rukovaoca obrade) i gradi most sa nadzornim organom (Agencijom za zaštitu ličnih podataka u BiH). Po novom Zakonu BiH i GDPR-u, obavezno ga imenujete kada: 

  1. vršite redovno i sistematsko praćenje lica u velikom obimu; 
  2. obrađujete posebne kategorije podataka (npr. zdravlje, biometrika, genetika) u velikim razmjerama; ili 
  3. ste javni organ/tijelo (sem sudova u vršenju njihove pravosudne funkcije). 

BiH zakon taj prag i kriterije preslikava iz GDPR-a, uz eksplicitno naglašenu nezavisnost i zaštitu DPO-a od sankcionisanja zbog obavljanja dužnosti. 

U praksi, to znači da će banke, telekomunikacijski operateri, zdravstvene ustanove, priređivači igara na sreću, veći e-commerce i digitalne platforme gotovo sigurno potpasti pod obavezu imenovanja DPO. Ne radi se samo o broju i kontinuitetu obrada, već o prirodi, svrsi i riziku obrade – posebno ako uključuje profilisanje, monitoring ponašanja ili obradu osjetljivih podataka. 

Tačni zadaci Službenika za zaštitu ličnih podataka u BiH (DPO-a) prema GDPR-u (čl. 39) i „preslikani“ standard u BiH

GDPR član 39 precizno nabraja minimalne zadatke DPO-a, a to su:

  1. informisanje i savjetovanje rukovaoca/obrađivača i zaposlenih o obavezama; 
  2. praćenje usklađenosti sa GDPR i internim politikama, podizanje svijesti i obuke;
  3. savjetovanje o DPIA (procjeni uticaja na privatnost) i praćenje njezine provedbe; 
  4. saradnja s nadzornim organom;
  5. djeluje kao kontakt tačka za nadzornog organ i za nosioce podataka. 

Zakon o zaštiti ličnih podataka u BiH normativno prati ovu listu. Prema Zakonu u BIH DPO:

  1. nadzire usklađenost;
  2. savjetuje rukovaoca/obrađivača o obavezama i DPIA (procjeni uticaja na privatnost), vodi i konsoliduje evidencije, organizuje obuke, koordinira prijavu povrede podataka u roku od 72 sata i služi kao kontakt prema Agenciji. Uloga je istovremeno operativna (procedure, incidenti, evidencije) i strateška (upravljanje rizicima, preporuke upravi, „privacy by design“). 

Položaj DPO-a: nezavisnost, resursi, pristup upravi/menadžmentu

EDPB Smjernice o DPO naglašavaju četiri uslova bez kojih funkcija DPO ne može biti uspješna u izvršenju svojih radnih zadataka:

(1) nezavisnost – bez smjenjivanja/kažnjavanja zbog obavljanja dužnosti; 

(2) odsustvo sukoba interesa – DPO ne smije istovremeno odlučivati o svrhama i sredstvima obrade (npr. direktor IT-a/marketinga/HR-a nije prihvatljiv); 

(3) dovoljni resursi i vrijeme; 

(4) direktan pristup najvišem menadžmentu i uključenost od početka projekata („privacy by design“). 

EDPB je koordinisanom akcijom 2023/24. potvrdio da su upravo resursi i sukob interesa najčešće slabosti kod organizacija prilikom imenovanja DPO-a.

Primjeri iz prakse: Primjena GDPR standarda vezanih za institut Službenika za zaštitu ličnih podataka u region – iskustva Srbije i Hrvatske

U Hrvatskoj, regulator AZOP eksplicitno upozorava na sukob interesa i insistira da DPO ima stvarna ovlaštenja, čak i kada imenovanje nije obavezno, dok je dobrovoljno imenovanje preporučljivo uz osiguranje pristupa upravi i uključenosti u donošenje  odluka (“privacy by design” model).

U Srbiji, Povjerenik za zaštitu podataka o ličnosti i slobodu pristupa informacijama vodi evidenciju lica za zaštitu podataka, a u praksi često ukazuje na formalistička imenovanja bez resursa i obuke, što kompromituje ulogu DPO-a i uvodi rizik od neusklađenosti. 

Pouka za BiH: nominalno imenovanje bez nezavisnosti DPO, dovoljne stručnosti i sertifikacije DPO-a i budžeta za sprovođenje zadataka – ili imenovanje lica koje upravlja IT, marketingom, opšte pravnike ili HR– vrlo vjerovatno će pasti na testu EDPB/AZOP/Poverenik kao i kriterijuma Agencije za zaštitu ličnih podataka u BiH, te Vas može dovesti do prekršaja i upravnih kazni.

Da biste se na najjednostavniji način uputili u sve obaveze koje nameće novi Zakon o zaštiti ličnih podataka u BiH, pripremili smo za sve zainteresovane kontrolore i obrađivače podataka “Praktični vodič kroz zaštitu ličnih podataka u BiH – Nove institute i poređenje sa starim zakonodavstvom”, od strane advokata Jovane Diljević – Sertifikovanog stručnjaka za zaštitu ličnih podataka na teritoriji Evrope. Praktični vodič „Kroz zaštitu ličnih podataka u BiH akcentuje ključne obaveze: obavezno imenovanje DPO-a u gore navedenim situacijama; DPIA (kada obrada može uzrokovati visok rizik); transparentnost prema nosiocima; pravo na prenosivost; prijava povrede u 72 sata, te tehničke i organizacione mjere (npr. enkripcija, pseudonimizacija). Posebno su obrađeni sektorski primjeri (npr. banke) i prenos podataka u treće zemlje, kao i poglavlja o kodeksima ponašanja i sertifikaciji kao dokazima usklađenosti. 

U nastavku je checklist-a koju možete samostalno provesti da biste utvrdili da li ste dužni da imenujete DPO-a (BiH i EU)

  1. Najprije procijenite obavezu: mapirajte obrade, razmjer (koliko lica/podataka), tipove podataka (posebne kategorije), monitoring/profilisanje, pravne osnove.
  1. Izaberite model: interni DPO (poželjno kod kontinuiranog i velikog obima) ili eksterni DPO (kada je ekonomičnije i realnije obezbijediti stručnost i nezavisnost). Obje varijante su dopuštene, uz iste standarde nezavisnosti. 
  1. Formalizujte imenovanje: pismeni akt, opis zadataka i ovlaštenja, direktan pristup menadžmentu, definisani budžet i vrijeme.
  1. Objavite kontakt podatke DPO-a (npr. u politici privatnosti) i obavijestite Agenciju gdje je to propisano i/ili preporučeno.
  1. Uključite DPO-a  po principy „privacy by design – privatnost po dizajnu“: svaki novi proizvod/usluga mora proći procjenu privatnosti; DPO daje mišljenje i prati implementaciju.
  2. Dokazujte odgovornost: evidencije aktivnosti (GDPR čl. 30), DPIA (čl. 35), bezbjednost (čl. 32), prijave povreda (čl. 33–34), kodeksi i/ili sertifikacija gdje ima smisla.

Najčešće greške pri imenovanju DPO-a i kako ih ispraviti:

DPO je ujedno IT/Marketing/HR direktor → Sukob interesa. 

Rješenje: premještaj nadzorne uloge van linijskog upravljanja ili eksterni DPO. 

„DPO na papiru “ bez resursa → Neefikasnost i rizik od kazni.

Rješenje: definisati procente radnog vremena, budžet, prioritetne KPI-jeve (npr. % obrađenih zahtjeva za prava, broj obuka, broj završenih DPIA). 

Praksa neprovođenja DPIA za visoko-rizične obrade → propuštanje obaveze i neprijavljeni rizici.

Rješenje: uspostavljanje matrice rizika, check-lista EDPB, prethodne konsultacije s Agencijom kad je potrebno. 

Kasne prijave povreda → proceduralni prekršaj i reputaciona šteta.

Rješenje: incident playbook s ulogama (CISO/IT/DPO/PR/pravna), 24/7 tok informacija, „table-top“ vježbe.

Plan usklađivanja (BiH + GDPR) – praktični koraci za usklađivanje u 90 dana

Prvih 30 dana: mapiranje obrada, legitimnih osnova, procjena da li je DPO obavezan; izbor modela (interni/eksterni); inicijalni „gap assessment“ prema GDPR i novom Zakonu BiH. 

30–60 dan: formalno imenovanje i objava kontakta; registri aktivnosti (čl. 30), DPIA za visoko-rizične procese; definisanje politika (privatnost, zadržavanje, bezbjednost, prava lica). 

60–90 dan: obuke, test incident response-a (72h), procedure za obezbjeđenje prava nosilaca podataka (30 dana), revizija ugovora s obrađivačima, odluka o kodeksu/sertifikaciji i plan redovnog izvještavanja upravi. 

Ukoliko razmišljate o imenovanju DPO ili Vam je potreban službenik za zaštitu ličnih podataka (interni ili eksterni model), procjena rizika ili DPIA za nove projekte, kontaktirajte nas putem kontakt forme na sajtu ili direktno na advokat@jovanadiljevic.com da zajedno postavimo realan, održiv i dokaziv okvir usklađenosti. 


FAQ – detaljna pitanja koja dobijamo u praksi

  • Ne. Obaveza postoji kada ispunite neki od GDPR/BiH kriterijuma: da ste javni organ (sem sudova), da svakodnevno i kontinuirano vršite veliku i sistematsku obradu, ili posebne kategorije podataka u velikom obimu. Procjena je kontekstualna, u skladu s rizikom i prirodom obrade.
  • Da. EDPB izričito prihvata interni ili eksterni model – ključno je da DPO bude stručan, nezavisan i dostupan. Ugovor mora garantovati vrijeme, budžet i pristup informacijama.
  • Ako osoba odlučuje o svrsi/sredstvima obrade (npr. vodi IT, marketing, HR), ne može nezavisno nadzirati te procese kao DPO. To potvrđuju i nacionalne smjernice (npr. AZOP u Hrvatskoj).
  • Bez odlaganja, najkasnije u 72 sata nadzornom organu; a nosiocima podataka – ako povreda vjerovatno izaziva visok rizik. DPO koordinira proces i dokumentuje odluke.
  • Ne. Odgovornost snosi rukovalac (i obrađivač u svom domenu). DPO je savjetnik i nadzire usklađenosti, ali ne donosi poslovne odluke o obradi.
  • Preporučuje se da kontakt podaci DPO-a bude transparentno objavljeni i da bude dostupan nadzornom organu; specifične formalnosti definisaće podzakonski akti/praksa Agencije.
  • NNe nužno. EDPB traži „stručno znanje zakona i prakse“ i sposobnost savjetovanja – kombinacija pravnih i tehničkih kompetencija je idealna.
  • Ne postoji brojčani prag u tekstu GDPR-a – gleda se obim, raspon, trajanje, geografska širina i rizik (npr. profilisanje potrošača, telemetrija, biometrija).
  • Da – u Hrvatskoj AZOP to i podstiče, uz uslov da DPO dobije realne resurse i pristup upravi.
  • Nedostatak resursa, formalizam, sukob interesa i ograničen pristup upravi – potvrđeno u EDPB koordinisanim provjerama.
  • Da. To je centralni instrument „podizanja svijesti“ iz čl. 39 GDPR-a i standard u BiH.
  • Registri obrade (čl. 30), DPIA (čl. 35), politike zadržavanja, ugovori sa obrađivačima, zapisnici o incidentima i odgovorima na prava lica, te (gdje smisleno) kodeksi i/ili sertifikacija.
  • Objavljen 28.2.2025, na snazi od 8.3.2025, primjena nakon 210 dana – od 4.10.2025. Planirajte tranzicioni period.
  • Da – DPO je kontakt tačka za donosioce zahtjeva (pristup, brisanje, prenosivost itd.) i mora osigurati pravovremene, razumljive odgovore.
  • Da, DPO mora imati stručne kvalifikacije i biti sertifikovan u oblasti zaštite ličnih podataka.
  • Manji pravni i reputacioni rizik: sistem ranog upozorenja i korektivnih mjera;
  • Brže odlučivanje: DPO orkestrira pravni, IT i operativni tim;
  • Više povjerenja: transparentnost prema klijentima i partnerima;
  • Bolji rejting u tenderima i partnerstvima: kodeksi/sertifikacija kao komercijalni plus.
  • Grupa privrednih subjekata može imenovati jednog službenika za zaštitu ličnih podataka uz uslov da je službenik za zaštitu ličnih podataka lako dostupan iz svakog sjedišta ili poslovnog nastana.
  • Ako je kontrolor podataka ili obrađivač javni organ, za više takvih organa može se imenovati jedan službenik za zaštitu ličnih podataka, uzimajući u obzir njihovu organizacionu strukturu i veličinu.

Najnovije vijesti

Nazad na blog

Službenik za zaštitu ličnih podataka (DPO) u BiH i EU: kompletan vodič za postizanje usklađenosti, praksu i greške koje vas mogu skupo koštati

Aug 21.2025

Ko mora imenovati DPO, tačni zadaci po GDPR-u i novom Zakonu BiH, EDPB mišljenja, praksa u Srbiji i Hrvatskoj, FAQ i vodič za usklađivanje U vremenu kada reputacija i povjerenje vrijede više od svake kampanje, službenik za zaštitu ličnih podataka (DPO) postaje jedan od ključnih stubova korporativne odgovornosti i pravne sigurnosti. Uloga DPO-a nije „štikliranje“ […]

Pročitaj više >>>

Saglasnost za obradu ličnih podataka

Aug 05.2025

Saglasnost za obradu ličnih podataka: šta mora da zna Vaš službenik za zaštitu ličnihpodataka/advokat i kontrolor obrade podataka u BiH Koliko puta ste, pristupajući bilo kom veb sajtu, kliknuli na opciju „Prihvatam“ a da niste pročitali ni prvu rečenicu obavještenja o obradi ličnih podataka samo da biste pristupili sadržaju? Pristali ste na obradu ličnih podataka, […]

Pročitaj više >>>

Zaštita ličnih podataka u industriji igara na sreću: Obaveze,kazne i rješenja u BiH i EU

Jul 28.2025

Sektor igara na sreću/gambling industrija, naročito online klađenje i kazino platforme,sve više ulazi u sferu nadzora kada je riječ o zaštiti ličnih podataka. Dok tehnologijaomogućava bržu obradu transakcija, registraciju i identifikaciju igrača, zakonodavni okvir sve više zahtijeva da priređivači jasno definišu svrhe, obim i sigurnosne aspekte obrade podataka. U Bosni i Hercegovini, novi Zakon o […]

Pročitaj više >>>

+387 65 732 444
advokat@jovanadiljevic.com
Bana Todora Lazarevića 7

Copyright © -  jovanadiljevic.com