U martu 2025. godine u “Službenom glasniku BiH” je objavljen novi Zakon o zaštiti ličnih podataka u BiH, broj 12/25. Zakon stupa na snagu tada, a njegova primjena započinje 4. oktobra 2025. (nakon 210 dana od objave). Taj vremenski rok daje firmama, institucijama i online trgovinama dovoljno prostora da prilagode svoje interne procedure, sigurnosne mjere i dokumentaciju novim obavezama.
Cilj Zakona je uskladiti domaće zakonodavstvo sa evropskim standardima zaštite podataka, posebno približiti se principima iz GDPR-a (Opće uredbe o zaštiti podataka) i podići nivo odgovornosti u obradi ličnih podataka.
U nastavku razmatramo ključne novine novog Zakona i ističemo šta one znače za web shopove i organizacije koje posluju online u BiH.
Ključne novine i promjene
1. Širi pojam ličnih podataka i digitalnih identifikatora
Novi Zakon proširuje definiciju ličnih podataka – osim klasičnih informacija poput imena, adrese i broja telefona, smatraju se ličnim podacima i IP adresa, e-mail adresa, online identifikatori, biometrijski podaci i drugi identifikatori povezani s fizičkim licima. Time se stavlja naglasak da obrada elektronskih podataka ne smije proći rasterećeno – mjere zaštite moraju pokriti i te “novije” tipove podataka.
2. Poboljšane dužnosti kontrolora i procesora
Organizacije koje obrađuju podatke (kontrolori) i one koje obrade izvršavaju po nalogu (procesori) sada imaju jasnije propisane obaveze. To uključuje:
- primjenu tehničkih i organizacijskih mjera sigurnosti (šifriranje, pristupne kontrole, obnova od katastrofa)
- princip “privatnost prema dizajnu” (privacy by design) i “privatnost prema zadanim postavkama” (privacy by default)
- dokumentovanje, praćenje i dokazivanje da se mjere primjenjuju u praksi
- provođenje procjena utjecaja na zaštitu podataka (Data Protection Impact Assessments, DPIA) kada obrada nosi visok rizik.
Ove obaveze imaju direktan impakt na online prodaju — web shop mora osigurati da je svaka integracija (npr. sa sistemima plaćanja, API-jima, analitikom) dizajnirana tako da minimizira rizik curenja podataka i da bude siguran već u osnovi.
3. Obaveza prijave povreda podataka
U slučaju povrede ličnih podataka (neautorizovani pristup, curenje, uništenje, izmjena) organizacije su dužne:
- obavijestiti Agenciju za zaštitu ličnih podataka BiH bez odlaganja, najkasnije u roku od 72 sata od momenta kada saznaju za incident
- ukoliko incident može predstavljati visok rizik za prava i slobode pojedinaca, pisano obavijestiti i nosioce podataka (kupce, korisnike), osim u specifičnim situacijama u kojima to nije nužno.
- voditi detaljnu evidenciju o svim incidentima i mjerama preduzetim da se ublaže posljedice
Za web shopove ovo znači da morate imati automatizirane procedure za otkrivanje curenja podataka i plan reagovanja – ne može biti da “naknadno” razmišljate o tome.
4. Obaveza vođenja evidencije aktivnosti obrade
Svaka organizacija mora voditi evidenciju aktivnosti obrade (record of processing activities), u pisanom ili elektronskom obliku, s detaljima poput svake vrste obrade, svrhe, kategorija podataka, prijema i prijenosa, sigurnosnih mjera.
Međutim, organizacije sa manje od 250 zaposlenih su djelomično izuzete od ovog zahtjeva, osim ako obrada koju vrše nosi visok rizik, nije povremena ili se tiče posebnih kategorija podataka (npr. zdravstveni podaci, biometrijski podaci, kriminalne evidencije).
Za online prodaju to znači da i mali web shop treba imati barem osnovni registar obrade (npr. obrada korisničkih naloga, plaćanja, newsletter prijava).
5. Imenovanje službenika za zaštitu podataka (DPO)
Zakon propisuje da određene organizacije moraju imenovati službenika za zaštitu ličnih podataka (Data Protection Officer, DPO) – naročito one koje obrađuju osjetljive podatke, provode nadzor nad velikim brojem podataka ili obavljaju složene procese.
Ako obaveza nije striktno zakonska za vašu organizaciju, preporučuje se da ipak imate DPO-a (internog ili eksternog), jer to doprinosti boljoj usklađenosti i smanjenju rizika.
6. Pravo na zaborav, prenosivost i ograničenje obrade
Novi Zakon uvodi prava koja je GDPR također predviđao:
- pravo na brisanje (right to erasure / right to be forgotten), kada podaci više nisu potrebni ili ako osoba opozove pristanak
- ograničenje obrade – korisnik može tražiti da se obrada podataka privremeno obustavi
- prenosivost podataka (data portability) – pravo da korisnik zatraži prijenos svojih podataka drugom kontroloru u strukturiranom formatu
- prigovor na obradu – uključujući automatizovanu obradu i profiliranje
Za web shopove ovo znači da sistem mora biti dizajniran tako da korisnik može lako zatražiti brisanje ili izvoz svojih podataka – npr. korisnički panel, administrativni alat ili API za tu svrhu.
7. Nove, visoke novčane kazne
Prekršaji po Zakonu o zaštiti ličnih podataka mogu biti skupo kažnjeni:
- za organizacije: od 10.000 KM do 40.000.000 KM, ili do 4 % ukupnog godišnjeg globalnog prometa, zavisno šta je veće
- za odgovorna lica unutar organizacije: kazne od nekoliko stotina do nekoliko hiljada KM
Ovo jasno pokazuje da usklađenost nije opcija, već nužnost – naročito za firme koje posluju online i obrađuju osjetljive korisničke podatke.
8. Prijenos podataka izvan BiH
Zakon propisuje da prijenos ličnih podataka u zemlje izvan BiH može biti dozvoljen samo ako zemlja primaoca ima adekvatnu razinu zaštite ili ako se primjenjuju odgovarajuće garancije (npr. standardne ugovorne klauzule, binding corporate rules). Ovo je izuzetno važno za online trgovine koje koriste inozemne servise (hosting, CRM, cloud servise) – mora postojati pravna osnova za takav prijenos.
Implikacije za online prodaju (web shopove) i preporuke
- Integracije sa servisima (npr. platne procesore, email marketing, analytics) moraju biti pažljivo odabrane i konfigurirane s obzirom na zaštitu podataka.
- Korisnički panel / backend mora omogućiti brisanje, izvoz i promjene podataka na zahtjev korisnika.
- Softver za web shop (WooCommerce, Shopify, drugi) mora podržavati fleksibilne module i API-je koji omogućavaju usklađivanje s GDPR principima.
- Obuka zaposlenika – svako ko rukuje podacima mora razumjeti nove norme, biti upoznat s procedurama i sigurnosnim praksama.
- Plan za slučaj curenja podataka – protokoli, procedure i tim koji može brzo reagovati.
- Praćenje zakonodavstva i dokumentacija – redovno ažuriranje politike privatnosti, politike kolačića (cookies), ugovora i internih pravila.
- Outsourcing DPO-a – manje firme koje nemaju kapacitete za stalnog DPO-a mogu angažovati eksternog stručnjaka.
Novi Zakon o zaštiti ličnih podataka u BiH 2025. predstavlja sudbonosnu promjenu u online okruženju. On uvodi standarde usklađene sa GDPR-om, uvodi stroge sankcije, proširuje prava građana i nameće organizacijama da ozbiljno ugrade zaštitu podataka u svoju infrastrukturu i procese.
Za web shopove i online biznise, ove promjene predstavljaju izazov, ali i priliku: onaj tko bude pravno i tehnički usklađen, stvarat će veću sigurnost, povjerenje kod korisnika i izbjegavati velike rizike kazni.
Ako želiš, mogu ti pripremiti verziju teksta optimiziranu za SEO, s meta opisom, ključnim riječima i FAQ sekcijom – da odmah možeš postaviti na svoj sajt. Da uradim to za tebe?
Česta pitanja (FAQ)
1. Kada počinje primjena novog Zakona o zaštiti ličnih podataka u BiH?
Novi Zakon stupio je na snagu u martu 2025. godine, dok njegova primjena počinje 4. oktobra 2025. godine. Do tog datuma sve organizacije imaju obavezu uskladiti poslovanje s novim pravilima.
2. Na koga se odnosi novi Zakon o zaštiti ličnih podataka?
Zakon se odnosi na sve pravne i fizičke subjekte koji obrađuju lične podatke – od državnih institucija, preko kompanija i nevladinih organizacija, do web shopova i online platformi.
3. Da li online prodaja mora poštovati novi Zakon?
Da. Svaki web shop prikuplja i obrađuje lične podatke (ime, adresa, email, broj telefona, IP adresa), što znači da potpada pod obaveze Zakona o zaštiti ličnih podataka.
4. Šta se smatra povredom ličnih podataka?
Povredom podataka smatra se svako neovlašteno otkrivanje, gubitak, izmjena ili uništenje podataka – npr. curenje korisničkih lozinki, krađa baze kupaca, ili neovlašten pristup trećih strana.
5. U kojem roku se mora prijaviti povreda podataka?
Organizacije su obavezne prijaviti povredu Agenciji za zaštitu ličnih podataka BiH u roku od 72 sata od saznanja za incident, a u određenim slučajevima i obavijestiti korisnike.
6. Da li je obavezno imenovanje službenika za zaštitu podataka (DPO)?
Imenovanje DPO-a je obavezno za organizacije koje obrađuju veće količine ličnih podataka ili osjetljive podatke. Za manje subjekte to može biti preporuka, ali ne i zakonska obaveza.
7. Kolike su kazne za kršenje Zakona?
Kazne za organizacije iznose od 10.000 KM do 40.000.000 KM ili do 4% globalnog godišnjeg prometa, dok su za odgovorna lica predviđene kazne od 500 KM do 5.000 KM.
8. Koja prava imaju građani prema novom Zakonu?
Građani imaju pravo na pristup svojim podacima, ispravku netačnih podataka, brisanje (“pravo na zaborav”), prenosivost podataka i pravo da se usprotive određenim vrstama obrade.
9. Da li web shop mora imati Politiku privatnosti i Politiku kolačića?
Da. Novi Zakon zahtijeva transparentnost – korisnici moraju biti obaviješteni koje podatke prikupljate, u koju svrhu i kako ih čuvate, te moraju imati mogućnost da prihvate ili odbiju kolačiće.
10. Kako se mogu uskladiti s novim Zakonom?
Osnovni koraci su: edukacija zaposlenika, vođenje evidencije obrade, implementacija tehničkih mjera zaštite, priprema politika privatnosti, plan za reagovanje u slučaju povrede podataka i imenovanje DPO-a gdje je potrebno.
