Jul 28.2025

Zaštita ličnih podataka u industriji igara na sreću: Obaveze,kazne i rješenja u BiH i EU

Sektor igara na sreću/gambling industrija, naročito online klađenje i kazino platforme,sve više ulazi u sferu nadzora kada je riječ o zaštiti ličnih podataka. Dok tehnologijaomogućava bržu obradu transakcija, registraciju i identifikaciju igrača, zakonodavni okvir sve više zahtijeva da priređivači jasno definišu svrhe, obim i sigurnosne aspekte obrade podataka. U Bosni i Hercegovini, novi Zakon o zaštiti ličnih podataka donosibrojne obaveze za sve učesnike u sektoru, a posebno za one koji upravljaju osjetljivim korisničkim podacima. Ukoliko priređivači nude svoje usluge i korisnicima iz EU, automatski ulaze u obavezu poštovanja Opšte uredbe o zaštiti podataka (GDPR).

Obaveze priređivača igara na sreću u BiH

Zakon o zaštiti ličnih podataka u BiH propisuje brojne obaveze za kontrolora podataka. U pogledu priređivača igara na sreću, relevantne odredbe uključuju da svaki priređivač mora imati jasno dokumentovanu svrhu i osnov za prikupljanje i obradu podataka. U praksi to znači da korisnik mora biti upoznat sa svim aspektima obrade još prilikom registracije. Dokumenti poput politike privatnosti moraju precizirati:

• koji se podaci prikupljaju;
• zašto se prikupljaju,
• koliko se dugo čuvaju,
• kome se dostavljaju,
• kako korisnik može ostvariti svoja prava.
  

Pored navedenog, svaki priređivač je dužan da: uspostavi tehničke i organizacione mjere zaštite, imenovati DPO-a (gdje je to obavezno) kao i da prijavi eventualne povrede podataka Agenciji u roku od 72 sata.

Obaveze prema GDPR-u za priređivače iz BiH

Priređivači iz BiH koji putem interneta omogućavaju igre na sreću građanima EU podliježu obavezama iz GDPR-a. To uključuje: imenovanje predstavnika u EU, transparentne politike privatnosti, omogućavanje ostvarivanja prava korisnika, prijavljivanje povreda podataka, pribavljanje saglasnosti za marketinške aktivnosti i profilisanje.

U slučaju nepoštovanja odredbi GDPR priređivači igara na sreću iz BiH bi mogli iskusiti značajne kazne zbog:

• Neadekvatne zaštite visoko rizičnih podataka (knjiženje finansijskih transakcija,identiteta, AML/SRF zahtjeva)
• Neprimjerenog perioda arhiviranja koji ne odgovara regulatornim obavezama
• Nedostatka institucionalnih mjera za otkrivanje i prijavu incidenta

Tipovi kršenja GDPR članova, a koji su relevantni za industriju igara na sreću su:

• član 5 – koji se odnosi na principe obrade (posebno princip minimalne obrade podataka);
• član 6 – pravnog osnova za zakonitu obradu podataka
• član 13–14 – pravovremeno obavještavanje nosilaca podataka (igrača) o njihovim
• pravima i obimu podataka koji se obrađuju, kao i samoj svrsi obrade
• član 32 – bezbjedonosne mjere (privacy by design – prilikom izrade Sistema poslovanja
• ugraditi dovoljan nivo bezbjedonosnih mjera)
• 33–34 – pravovremeno i adekvatno obavještenje o incident povrede podataka

Primjeri iz prakse: Kako neadekvatno usaglašavanje sa Zakonom o zaštiti ličnih podataka u BiH i GDPR Uredbom mogu dovesti do visokih novčanih kazni (link do Rješenja)

Hrvatska: FAVORIT SPORTSKA KLADIONICA d.o.o. kažnjena sa 175.000,000 EUR zbog nepreduzimanja tehničkih mjera zaštite ličnih podataka te nepropisnog čuvanja ličnih podataka korisnika, kontroloru obrade odnosno sportskoj kladionici.
Naime, verifikacija korisnika odvijala se putem e-maila, pri čemu su korisnici slali kopije identifikacionih dokumenata bez sigurnog kanala prenosa. Takođe su uočeni ozbiljni sigurnosni propusti poput korištenja izuzetno slabih lozinki (npr. lozinki od samo tri znaka), pristupa osjetljivim podacima putem nezaštićene HTTP veze te nepostojanja backup-a.
Vršenjem nadzora, Hrvatska Agencija za zaštitu ličnih podataka (AZLP) utvrdila je da se zaposleni u kladionici u administratorski dio programa platforme za klađenje spajaju nesigurnom vezom. Dok HTTP šalje podatke kao običan tekst, bez ikakve zaštite, HTTPS ih salje enkriptovane.

Kontrolor podataka (kažnjena kladionica) nije osigurala brisanje ličnih podataka nosilaca podataka (igrača) nakon proteka roka u kojem se isti moraju čuvati. Naime, kontrolor obrade (priređivač igara na sreću) bio je dužan osigurati da se prikupljeni lični podaci čuvaju u obliku koji omogućava identifikaciju nosilaca podataka (igrača) samo onoliko koliko je potrebno u svrhu zakonite obrade ličnih podataka te je postupio u suprotnosti s članom 5. stav 1. točka e. Opće uredbe o zaštiti podataka (GDPR).

Ovaj slučaj još jednom potvrđuje da su osnovne tehničke i organizacijske mjere ključneza zaštitu prava i sloboda ispitanika. Nedostatak politike bezbjednosti i zanemarivanje zakonskih obveza može imati ozbiljne posljedice i to ne samo za korisnike, već i za ugled i poslovanje samog kontrolora (priređivača igara na sreću).

Ovaj slučaj predstavlja važnu pokaznu kaznu za priređivače u BiH tj. pokazuje kako realno izgleda praktična primjena GDPR-a u susjednim zemljama i zašto je važno djelovati preventivno.

Priređivači iz BiH koji putem interneta omogućavaju igre na sreću građanima EU podliježu obavezama iz GDPR-a. To uključuje:

• imenovanje predstavnika u EU,
• transparentne politike privatnosti,
• omogućavanje ostvarivanja prava korisnika,
• prijavljivanje povreda podataka,
• pribavljanje saglasnosti za marketinške aktivnosti i profilisanje. 

Stavovi i preporuke nadzornih tijela u EU i okruženju u oblasti priređivanja igara na sreću

Evropski odbor za zaštitu podataka (EDPB) naglašava minimizaciju obrade i ograničavanje obrade na neophodne podatke. Povjerenik Srbije insistira na saglasnostima i ispravnoj upotrebi kolačića, dok AZOP u Hrvatskoj ukazuje na greške poput čuvanja ličnih dokumenata bez jasnog osnova i predugog roka čuvanja.

Koraci ka usklađivanju priređivača igara na sreću sa novim Zakonom o zaštiti ličnih podataka u BiH uključuju:

• Procjenu procesa obrade,
• Reviziju dokumentacije,
• Uvođenje internih procedura,
• Zaključivanje ugovora sa obrađivačima,
• Obezbjeđenje sigurnosnih mjera,
• DPIA analize,
• Imenovanje DPO-a ili predstavnika,
• Obuku zaposlenih.

Dakle, ukoliko ste priređivač igara na sreću ili službenik za zaštitu ličnih podataka zaposlen u priređivaču igara na sreću, u nastavku navodimo dokumente koje je potrebno da pripremite do oktobra 2025. godine (kada počinje primjena novog Zakona o zaštiti ličnih podataka a samim tim i nadzor nad njegovom primjenom od strane AZLP u BiH):

• Politika privatnosti (za korisnike)
• Politika zadržavanja podataka
• Ugovori o obradi podataka sa svim procesorima
• SOP za odgovore na prava ispitanika
• Politika upravljanja incidentima
• DPIA – procjena uticaja na privatnost za nove tehnologije
• Registri obrada 
• Cookie & consent evidencija
• Interna obuka zaposlenih

Nadalje, potrebno je da svoju pažnju posvetite direktnim aktivnostima koje doprinose usaglašavanju sa regulativom, a to su:

• Procjena zakonite osnove za obradu svih tokova podataka
• Redizajn i lokalizacija Politike privatnosti
• Implementacija validnog cookie banner rješenja
• Izrada Politike zadržavanja podataka
• Mapiranje svih sistema i tokova podataka
• Implementacija procedura za prava nosilaca podataka (igrača)
• Plan za prijavu povrede podataka
• Revizija ugovora sa procesorima
• Dokumentovanje opravdanosti profilisanja
• Obuka zaposlenih o zaštiti podataka

Usklađenost s GDPR-om i zakonom BiH postaje ključna za održivo poslovanje. Priređivači koji prepoznaju važnost zaštite podataka neće samo izbjeći kazne, već i graditi povjerenje korisnika.

Ako je ovo tema o kojoj već razmišljate i potrebna Vam je podrška u definisanju strategije usklađenosti i/ili imenovanju službenika za zaštitu ličnih podataka, kao i pomoć u procesu usaglašavanje, kontaktirajte nas putem kontakt forme , ili direktno na mail: advokat@jovanadiljevic.com.

Naša kancelarija je na raspolaganju da organizujemo kratak online sastanak u kojem možemo podijeliti nekoliko ključnih savjeta o tome kako riješiti konkretna pitanja, bez komplikacija na način da se jednostavno, ali zakonito postavite prema novim obavezama – uz pravnu sigurnost i punu transparentnost prema nadzornom organu.