Službenik za zaštitu ličnih podataka – DPO

Zašto je DPO važan?

Današnje digitalno doba, u kojem je skoro svaka poslovna radnja usmjerena na prikupljanje informacija koje obiluju ličnim podacima, kao što su kontakti klijenata, e-mail adrese, matični brojevi, vjerska i nacionalna opredjeljenja te ih redovno obrađujemo – nosi odgovornost i sa sobom donosi zakonom propisane obaveze.


Novi Zakon o zaštiti ličnih podataka Bosne i Hercegovine (Službeni glasnik BiH, br. 12/25), a koji je stupio na snagu u martu 2025. godine sa početkom primjene od oktobra 2025. godine, jasno propisuje u kojim slučajevima javni organi i druga pravna lica moraju imenovati Službenika za zaštitu podataka – Data Protection Officer (DPO).


Imenovanje DPO-a ne predstavlja samo formalnost, već strateški korak u zaštiti privatnosti, reputacije i povjerenja prema vašim klijentima.
DPO predstvalja ključni faktor koji će osigurati da vaše poslovanje bude usklađeno sa zakonom te da obezbijedite najveći stepen zaštite ličnih podataka.


Kome je potreban Službenik za zaštitu ličnih podataka?


Prema članu 39 Zakona, obaveza imenovanja DPO-a postoji u sljedećim slučajevima:

1. Javni organi i institucije.

  • Sva državna tijela, lokalne administracije i srodni organi moraju imati DPO-a. (Izuzetak su sudovi u sklopu svojih redovnih sudskih nadležnosti)
  • Javni organ predstavlja državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja.

2. Pravna lica kome se redovna djelatnost sastoji od postupka obrade (redovno i sistematski prate nosioce ličnih podataka)

  • Primjer: kompanije koje vrše videonadzor u javnim prostorima, vlasnici websajtova s kolačićima koji analiziraju navike posjetilaca, kao i uređaji za praćenje GPSlociranja.
  • Ako se takav nadzor obavlja redovno i nad velikim brojem nosilaca podataka, potreban je DPO.


3. Pravna lica kome se redovna djelatnost sastoji od postupka obrade osjetljivih podataka u velikom obimu

  • To uključuje bolnice, laboratorije, medicinske ustanove, privatne zdravstvene centre, osiguravajuće kompanije, banke, agencije za zapošljavanje itd. Obrada podataka o zdravlju, biometrija, genetski podaci, te informacije o rasi, vjeri, seksualnoj orijentaciji ili političkim uvjerenjima – sve su to posebno osjetljive kategorije za čiju obradu je potreban DPO, ako se obavlja u značajnom opsegu.
  • Uključuje i obradu podataka o ličnosti koji se odnose na krivične presude, kažnjiva djela i mjere bezbednosti, uz dodatni uslov, da se obrada navedena u ovoj tački – vrši u velikom obimu.


4. Dobrovoljno imenovanje

  • Pravna lica koje žele unaprijediti proces zaštite i graditi povjerenje klijenata mogu se odlučiti za imenovanje DPOa iako to nije zakonski obavezno. Pomenuto pokazuje predanost visokim standardima privatnosti i predstavlja proaktivnu zaštitu.


Šta dobijate imenovanjem DPOa?

Imenovanje stručnog i posvećenog Službenika za zaštitu ličnih podataka donosi višestruke prednosti:


Usklađenost sa zakonom

  • Izbjegavate visoke kazne i sankcije Agencije za zaštitu ličnih podataka BiH, koje mogu iznositi i do 40 miliona KM.

Bolja kontrola rizika

  • Kroz procjene rizika DTIA I DPIA i procjene scenarija, DPO identifikuje i smanjuje mogućnost “curenja” ličnih podataka, bilo transferom podataka ili uvođenjem novog proizvoda/usluge a koje podrazumijeva prikupljanje i obradu ličnih podataka

Trajno povjerenje klijenata

  • Transparentno i profesionalno upravljanje podacima gradi reputaciju i kredibilitet kod klijenata i poslovnih partnera.

Standardizovani procesi i politike

  • Izrada svih bitnih dokumenata (“Kodeksa”) koji uključuju: politiku privatnosti, procedure za obradu i pristupa ličnim podacima, kao i procedure za prijavu incidenata.
  • Odgovori na incident time postaju postaju rutinski, jasni i transparentni.

Standardizovani procesi i politike

  • Izrada svih bitnih dokumenata (“Kodeksa”) koji uključuju: politiku privatnosti, procedure za obradu i pristupa ličnim podacima, kao i procedure za prijavu incidenata.
  • Odgovori na incident time postaju postaju rutinski, jasni i transparentni.

Brža reakcija na incidente

  • U slučaju da se desi povreda podataka, DPO je spreman za brzu i preciznu reakciju u vase ime – istraživanje incidenata, obavještavanje nadzornih organa I nosiaca ličnih podataka, kao i sanaciju i sprječavanje ponavljanja istih ili sličnih propusta kroz preporuke DPO-a.

Edukovani zaposleni

  • Redovne obuke i dostupnost informacija o zvaničnim stavovima, mišljenjima Agencije kao i najboljim poslovnih praksama i procedurama na nivou EU a koje jačaju vašu organizaciju iznutra.

Ušteda vremena i novca

  • Prevencija je uvijek efikasnija nego korekcija – a DPO omogućava da se problemi uoče i riješe prije nego što prouzrokuju kako finansijske tako i reputacione gubitke.

Usklađenost sa GDPR Uredbom i EU standardima

  • Ako poslujete s Evropskom unijom ili planirate internacionalno poslovanje, usklađenost s GDPRom i domaćim zakonom je ključna za uspjeh vašeg poslovanja.


Kako se imenuje DPO?

Proces imenovanja je sljedeći:


1. Procjena obima obrade - mapiranje podatake

  • Analizirate sisteme, baze podataka, projekte te mapirate sve lične podatke koje prikupljate i obrađujete prilikom redovnog obavljanja vase djelatnosti, te vršite procjenu rizika.

2. Izbor DPO

  • Interno lice ili eksterni saradnik: potrebno iskustvo iz oblasti prava ili informacionih tehnologija, te poseban nivo stručnosti iz oblasti zaštite ličnih podataka (sertifikacija) koji obezbjeđuje mogućnost DPO-a da odgovori svim zadacima i izazovima

3. Nadležnosti

  • Jasno definisanje opisa posla, ovlaštenja, odgovornosti i nezavisan položaj unutar organizaciji.

4. Objava podataka

  • Kontakt informacije (telefon, sredstav rada, email adresa, adresa sjedišta) javno dostupne – na webstranici, u ugovorima, obavještenjima ka nosiocima podataka i Agenciji.

5. Prijava Agenciji

  • Podnošenje podataka DPOa Agenciji za zaštitu ličnih podataka BiH, kako bi ga se upisalo u registre i osigurao zvaničan status DPO-a za vašu instituciju ili pravno lice.

6. Formalno imenovanje

  • Zaključenjem ugovora o radu, ugovora o djelu vezanom za angažman ili ugovorom o eksternoj saradnji.

Pored Službenika za zaštitu ličnih podataka (DPO), strana pravna lica koja imaju registrovano predstavništvo u BiH moraju imati predstavnika za zaštitu ličnih podataka u BiH.

Predstavnik je fizičko ili pravno lice s prebivalištem ili boravištem, odnosno sjedištem ili poslovnim nastanom u Bosni i Hercegovini koje je kontrolor podataka ili obrađivač pisanim putem imenovao. On predstavlja zvanični kontakt za Agenciju i nosioce podataka s tim što odgovornost za obradu podataka snosi centralna organizacija.

Ko mora imenovati predstavnika u BiH?

Prema članu 29 Zakona, strane organizacije bez sjedišta u BiH koje obrađuju lične podatke građana BiH, dužne su imenovati predstavnika u BiH, u sljedećim okolnostima:


1. Strana pravna lica sa predstavništvom u BiH

  • Npr. globalna IT kompanija koja ima poslovnu jedinicu ili predstavništvo u npr. Banjaluci ili Sarajevu.

2. Strana pravna lica koja nude online usluge građanima BiH

  • Webprodavnice, cloud servisi, mobilne aplikacije koje ciljaju korisnike u BiH.

3. Praćenje građana BiH

  • Analitika websajta, targetirane reklame, kolačići, mobilne aplikacije s lokacijom – svi podliježe obaveznosti imenovanja predstavnika.

Stvarni primjer u kom je potrebno imenovanje predstavnika

Firma: “GHS”, sa sjedištem u Republici Hrvatskoj, pruža telemedicinske usluge u BiH, a koje obuhvataju pružanje online pregleda medicinske dokumentacije i savjete putem aplikacije, bez registrovanog sjedišta u BiH, ali obrađuje zdravstvene podatke pacijenata iz BiH.


  • Firma GHS mora imenovati predstavnika u BiH – npr. advokatsku kancelariju ili konsultantsku kuću kao svog zvaničnog zastupnika.
  • Ako aplikacija obrađuje osjetljive podatke (zdravstveni podaci), mora imenovati DPO-a –ili će zaposliti eksternog DPOa – advokatsku kancelariju, ili će imenovati DPOa unutar organizacije. DPO mora bit sertifikovan za stručnost u oblasti zaštite ličnih podataka.

Čineći sve prethodno pomenuto, GHS postaje usklađen kako sa zakonodavstvom u oblasti zaštite ličnih podataka na teritoriji BiH, kao i EU.



Naša podrška

Advokatska kancelarija Jovana Diljević nudi:


1. Stručnu procjenu vaših obaveza u skladu sa važećim zakonodavstvom

  • Da li vam je potreban DPO i/ili predstavnik?

2. Procedura imenovanja DPO

  • Izrada ugovora, definisanje prava, obaveza i poslova, registracija kod Agencije za zaštitu ličnih podataka.

3. Usluga eksternog DPO-a

  • Advokat – stručnjak za zaštitu ličnih podataka, sertifikovan od strane Svjetskog udruženja za zaštitu ličnih podataka (IAPP) dostupan u skladu sa vašim potrebama – redovno, ili projektno.

4. Izrada svih ključnih dokumenata vezanih za zaštitu ličnih podataka (“Kodeks privatnosti”)

  • Uključujući pravilnike i procedure za obradu ličnih podataka, ugovore sa obrađivačima podataka, odobrenja od strane nosioca podataka, politike privatnosti, cookie obavještenja, obrasce za prijavu incidenata i slično.

5. Obuke i podrška zaposlenima

  • Online/offline materijali, radionice, mjesečna savjetovanja.

6. Procjene rizika (DPIA)

  • Kada uvodite novu aplikaciju, uslugu, tehnologiju.

7. Procjena rizika pri transferu podataka (DTIA)

  • Kada vršite prenos podatak drugim licima i/ili van državnih granica.

8. Incidentresponse tim

  • Tim koji vam pruža stručnu podršku u slučaju curenja podataka – brza reakcija, sanacija, prijava.

9. Zastupanje pred Agencijom

  • Vaš pouzdan predstavnik za postupanje pred Agencijom, prilikom redovne komunikacije, traženja mišljenja ili u toku nadzora.


FAQ - Često postavljana pitanja o Službeniku za zaštitu ličnih podataka (DPO)

  • Ako ste vlasnik firme u kojoj je zaposleno manje od 250 lica niste dužni imenovati službenika I voditi evidenciju o zaštiti ličnih podataka, osim kada postoji vjerovatnoća da će obrada koju obavljate predstavljati visok rizik za prava i slobode nosioca podataka, ako obrada nije povremena ili ako obrada obuhvata posebne kategorije podataka, ili su u pitanju lični podaci koji se odnose na krivičnu osuđivanost i krivična djela.
  • Međutim, ako, recimo, učite na zdravlju pacijenata ili analizirate ponašanje korisnika – preporuka je imenovanje DPOa iz preventivnih razloga.
  • Zavisi od obima i stepena angažmana (obaveza) DPO: kod malih preduzeća prosječno od nekoliko stotina do par hiljada KM mjesečno, kod srednjih i velikih pravnih lica u skladu sa ishodom GAP analize i procjenom stanja.
  • Jednokratni izvještaji (DPIA) dodatno se fakturišu.
  • Da, uz uslov da je službenik za zaštitu ličnih podataka lako dostupan iz svakog sjedišta ili poslovnog nastana grupe privrednih subjekata.
  • Da - ako udovoljava kvalifikacijama i funkcionalno može pokriti obje uloge. Ipak, treba jasno voditi računa o obimu rada i nezavisnosti.
  • Može uslijediti inspekcija, upozorenje, a kasnije i novčana kazna ili zabrana rada.

    • Zaštita ličnih podataka usvajanjem novog Zakona o zaštiti ličnih podataka u BiH ne predstavlja više dobru volju i savjesnost kontrolora i obrađivača podataka – to je zakonska i reputaciona obaveza.

    Imenovanje Službenika za zaštitu ličnih podataka (DPOa) i/ili predstavnika pokazuje da vaše poslovanje poštuje privatnost, gradi povjerenje, smanjuje rizik, te da postupate odgovorno, transparentno i u skladu s najboljom evropskom praksom.

    Ako niste sigurni koje su vase obaveze i kako da se uskladite sa novim zakonom, mi smo tu da vas vodimo kroz cijeli proces – korak po korak, kao Vaš pouzdan partner za zaštitu ličnih podataka u BiH.

    +387 65 732 444
    advokat@jovanadiljevic.com
    Bana Todora Lazarevića 7

    Copyright © -  jovanadiljevic.com