Usluge računarstva u oblaku: pravni okvir BiH

Usluge računarstva u oblaku: pravni okvir BiH

Propisi kojima se u Bosni i Hercegovini reguliše zaštita ličnih podataka su u velikoj mjeri prilagođeni evropskim načelima u ovoj oblasti kroz transpoziciju relevantnog sekundarnog zakonodavstva Evropske Unije, prvenstveno kroz dodatne odredbe koje regulišu prenos podataka o ličnosti u inostranstvo.

Zbirka ličnih podataka

Podaci koji se posebno štite u okviru nacionalnih jurisdikcija su podaci o ličnosti. Ova činjenica posebno do izražaja dolazi u kontekstu usluga računarstva u oblaku, obzirom da se u većini slučajeva u većem ili manjem omjeru ovi podaci koriste kako za samu obradu, tako i za identifikaciju korisnika i njegov pristup samoj usluzi. Pod pojmom „podatak o ličnosti“ u smislu pomenute evropske Direktive o zaštiti pojedinaca u pogledu obrade podataka o ličnosti i o slobodnom kretanju takvih podataka podrazumijeva se bilo koja informacija „koja se odnosi na identifikovano fizičko lice ili fizičko lice koje se može identifikovati, odnosno lice čiji je identitet moguće utvrditi, direktno ili indirektno, a posebno navođenjem identifikacionog broja ili jednog ili više faktora specifičnih za njegov fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet“.

Navedena Direktiva je u pravni sistem Bosne i Hercegovine transponirana donošenjem Zakona o zaštiti ličnih podataka 2006. godine. Ovdje moramo naglasiti da je, po našem mišljenju, samim nazivom, pa i odredbama pomenutog zakona došlo do određene terminološke devijacije jer se pojam „lični podatak“ zapravo odnosi na „podatak o ličnosti“ iako se radi o dvije jezičke konstrukcije sa potpuno drugačijim značenjem. U ostalim terminološkim odrednicama zakon slijedi Direktivu iako je definicija „ličnog podatka“ sažeta na „fizičko lice koje je identifikovano ili se može utvrditi identitet lica“.

Za našu analizu je od značaja i definicija „zbirke ličnih podataka“ koja u kontekstu usluge računarstva u oblaku predstavlja bazu podataka unutar koje se podaci korisnika skladište i obrađuju. Zbirka podataka o ličnosti je „bilo koji sistemski skup ličnih podataka koji su dostupni prema posebnim kriterijumima, bilo da su centralizovani, decentralizovani ili razvrstani na funkcionalnom i geografskom osnovu ili postavljeni u skladu sa posebnim kriterijumima koji se odnose na lice i koji omogućavaju nesmetan pristup ličnim podacima u dosjeu“.

Saglasnost

U pogledu saglasnosti lica čiji se podaci obrađuju, čl. 5. imperativno nalaže da ista mora biti u pisanoj formi, potpisana od strane nosioca podataka, mora sadržati tačnu naznaku podataka u vezi sa kojima se daje saglasnost, te mora sadržavati naziv kontrolora, svrhu i vremenski period na koji se daje saglasnost. Saglasnost može biti povučena u bilo kojem trenutku izuzev ako nije dogovoreno drugačije, a ista mora biti dostupna nadležnom organu u svako vrijeme. Pod „nadležnim organom“ se podrazumijeva samostalna upravna organizacija ustanovljena Zakonom, tj. Agencija za zaštitu ličnih podataka Bosne i Hercegovine.

Postoje i slučajevi u kojima kontroler može obrađivati podatke bez saglasnosti nosioca podataka, od čega se na usluge računarstva u oblaku odnosi uslov naveden u članu 6. tački b) Zakona, tj. ako je neophodno da nosilac podataka na vlastiti zahtjev pristupi pregovorima o ugovornom odnosu ili da se ispune obaveze koje su dogovorene sa kontrolerom. Kontroler koji nema sjedište na teritoriji Bosne i Hercegovine, a koji prilikom obrade podataka o ličnosti koristi infrastrukturu koja je smještena na teritoriji Bosne i Hercegovine mora odrediti predstavnika osim kada se infrastruktura koristi samo za tranzit podataka. Pojam „predstavnik“ se u zakonu ne precizira, ali se može zaključiti da je to poslovni subjekt koji u ime kontrolera preduzima određene radnje na teritoriji Bosne i Hercegovine.

Prenos podataka u inostranstvo

Prenos podataka u inostranstvo je dozvoljeno uz uslov da poslovni subjekt koji obrađuje podatke o ličnosti primjenjuje adekvatne mjere zaštite koje su propisane Zakonom o zaštiti ličnih podataka. Adekvatnost mjera se procjenjuje na osnovu konkretnih okolnosti uzimajući u obzir vrstu podataka o ličnosti, svrhu i period obrade, državu i zakonom propisana pravila koja su na snazi u državi u kojoj je sjedište kontrolera, odnosno podobrađivača. Ukoliko država u kojoj je sjedište kontrolera ne primjenjuje mjere zaštite koje se primjenjuju u Bosni i Hercegovini, podatke je moguće prenositi uz prethodno dobijenu saglasnost nosioca podataka koje je upoznato sa mogućim posljedicama takve radnje. Na uslugu računarstva u oblaku odnosi se i čl. 18, st. 3. tačka c) koja navodi da je iznošenje podataka iz Bosne i Hercegovine moguće ukoliko je to potrebno radi „izvršenja ugovora između nosioca podataka i kontrolera ili ispunjavanja predugovornih obaveza preduzetih na zahtjev lica čiji se podaci obrađuju“. Takođe, Agencija za zaštitu ličnih podataka može odobriti prenos podataka u drugu državu koja ne osigurava odgovarajući nivo zaštite ukoliko kontroler pruži dovoljno garancija u pogledu zaštite privatnosti i osnovnih prava i sloboda pojedinaca ili ako pružanje sličnih prava proizilazi iz odredbi posebnog ugovora.

Agencija za zaštitu ličnih podataka

Agencija za zaštitu ličnih podataka raspolaže širokim ovlašćenjima kada je u pitanju zaštita nosioca podataka i njegovih prava. Nosilac podataka može u bilo kojem trenutku podnijeti prigovor ukoliko ustanovi ili posumnja da su kontroler ili obrađivač podataka povrijedili neko njegovo pravo, te zahtijevati naknadu štete koju mu je druga ugovorna strana, ako se njena odgovornost utvrdi okončanjem sudskog postupka odnosno pravosnažnom presudom, dužna nadoknaditi putem novčane naknade i uz javno izvinjenje. Takođe, Agencija sprovodi inspekcijski nadzor, nalaže blokiranje, brisanje ili uništavanje podataka, donosi privremene ili trajne mjere zabrane obrade, upozorava ili opominje kontrolera, izriče kazne u okviru prekršajnog postupka, te, što je posebno važno za pružaoca usluga računarstva u oblaku sa sjedištem u Bosni i Hercegovini, a koji koristi usluge podobrađivača sa sjedištem u inostranstvu, nadzire iznošenje podataka o ličnosti iz Bosne i Hercegovine.

Pravni okvir BiH: Zaključna razmatranja

Zakonodavstvo Bosne i Hercegovine je, u cilju usvajanja evropskih standarda u ovoj oblasti, obogaćeno Zakonom o zaštiti ličnih podataka putem kojeg se primjenjuje većina svjetskih i evropskih pravnih instituta koji obezbjeđuju zaštitu osnovnih i ljudskih sloboda, prvenstveno prava na privatnost. Zakonodavac je rukovođen tim ciljem, kroz izmjene i dopune ovog zakona 2011. godine uvrstio i odredbe koje regulišu prenos podataka o ličnosti u inostranstvo uz široka ovlašćenja povjerena Agenciji za zaštitu ličnih podataka kao nadzornog organa.

Iako mnoga pitanja pravne prirode koja se vežu uz usluge računarstva u oblaku i dalje predstavljaju uzroke nepovjerenja i izbjegavanja procesa adaptacije, mišljenja smo da ovaj koncept predstavlja budućnost, a u većoj mjeri i sadašnjost poslovnih aktivnosti u oblasti elektronskog poslovanja, te će, uz sazrijevanje i dalju izgradnju relevantnih pravnih mehanizma sve više uzimati maha i među domaćim poslovnim subjektima.

Srđan Rajčević

Direktor Agencije za informaciono društvo Republike Srpske, dipl. pravnik, dipl. inž. računarstva, magistar poslovno-pravnih nauka. Zainteresovan za pravne aspekte IKT-a. Idejni tvorac više zakona iz oblasti razvoja informacionog društva u RS.

  • facebook
  • linkedin
  • skype
  • twitter