Услуге рачунарства у облаку: правни оквир БиХ

Услуге рачунарства у облаку: правни оквир БиХ

Прописи којима се у Босни и Херцеговини регулише заштита личних података су у великој мјери прилагођени европским начелима у овој области кроз транспозицију релевантног секундарног законодавства Европске Уније, првенствено кроз додатне одредбе које регулишу пренос података о личности у иностранство.

Збирка личних података

Подаци који се посебно штите у оквиру националних јурисдикција су подаци о личности. Ова чињеница посебно до изражаја долази у контексту услуга рачунарства у облаку, обзиром да се у већини случајева у већем или мањем омјеру ови подаци користе како за саму обраду, тако и за идентификацију корисника и његов приступ самој услузи. Под појмом „податак о личности“ у смислу поменуте европске Директиве о заштити појединаца у погледу обраде података о личности и о слободном кретању таквих података подразумијева се било која информација „која се односи на идентификовано физичко лице или физичко лице које се може идентификовати, односно лице чији је идентитет могуће утврдити, директно или индиректно, а посебно навођењем идентификационог броја или једног или више фактора специфичних за његов физички, физиолошки, ментални, економски, културни или социјални идентитет“.

Наведена Директива је у правни систем Босне и Херцеговине транспонирана доношењем Закона о заштити личних података 2006. године. Овдје морамо нагласити да је, по нашем мишљењу, самим називом, па и одредбама поменутог закона дошло до одређене терминолошке девијације јер се појам „лични податак“ заправо односи на „податак о личности“ иако се ради о двије језичке конструкције са потпуно другачијим значењем. У осталим терминолошким одредницама закон слиједи Директиву иако је дефиниција „личног податка“ сажета на „физичко лице које је идентификовано или се може утврдити идентитет лица“.

За нашу анализу је од значаја и дефиниција „збирке личних података“ која у контексту услуге рачунарства у облаку представља базу података унутар које се подаци корисника складиште и обрађују. Збирка података о личности је „било који системски скуп личних података који су доступни према посебним критеријумима, било да су централизовани, децентрализовани или разврстани на функционалном и географском основу или постављени у складу са посебним критеријумима који се односе на лице и који омогућавају несметан приступ личним подацима у досјеу“.

Сагласност

У погледу сагласности лица чији се подаци обрађују, чл. 5. императивно налаже да иста мора бити у писаној форми, потписана од стране носиоца података, мора садржати тачну назнаку података у вези са којима се даје сагласност, те мора садржавати назив контролора, сврху и временски период на који се даје сагласност. Сагласност може бити повучена у било којем тренутку изузев ако није договорено другачије, а иста мора бити доступна надлежном органу у свако вријеме. Под „надлежним органом“ се подразумијева самостална управна организација установљена Законом, тј. Агенција за заштиту личних података Босне и Херцеговине.

Постоје и случајеви у којима контролер може обрађивати податке без сагласности носиоца података, од чега се на услуге рачунарства у облаку односи услов наведен у члану 6. тачки б) Закона, тј. ако је неопходно да носилац података на властити захтјев приступи преговорима о уговорном односу или да се испуне обавезе које су договорене са контролером. Контролер који нема сједиште на територији Босне и Херцеговине, а који приликом обраде података о личности користи инфраструктуру која је смјештена на територији Босне и Херцеговине мора одредити представника осим када се инфраструктура користи само за транзит података. Појам „представник“ се у закону не прецизира, али се може закључити да је то пословни субјект који у име контролера предузима одређене радње на територији Босне и Херцеговине.

Пренос података у иностранство

Пренос података у иностранство је дозвољено уз услов да пословни субјект који обрађује податке о личности примјењује адекватне мјере заштите које су прописане Законом о заштити личних података. Адекватност мјера се процјењује на основу конкретних околности узимајући у обзир врсту података о личности, сврху и период обраде, државу и законом прописана правила која су на снази у држави у којој је сједиште контролера, односно подобрађивача. Уколико држава у којој је сједиште контролера не примјењује мјере заштите које се примјењују у Босни и Херцеговини, податке је могуће преносити уз претходно добијену сагласност носиоца података које је упознато са могућим посљедицама такве радње. На услугу рачунарства у облаку односи се и чл. 18, ст. 3. тачка ц) која наводи да је изношење података из Босне и Херцеговине могуће уколико је то потребно ради „извршења уговора између носиоца података и контролера или испуњавања предуговорних обавеза предузетих на захтјев лица чији се подаци обрађују“. Такође, Агенција за заштиту личних података може одобрити пренос података у другу државу која не осигурава одговарајући ниво заштите уколико контролер пружи довољно гаранција у погледу заштите приватности и основних права и слобода појединаца или ако пружање сличних права произилази из одредби посебног уговора.

Агенција за заштиту личних података

Агенција за заштиту личних података располаже широким овлашћењима када је у питању заштита носиоца података и његових права. Носилац података може у било којем тренутку поднијети приговор уколико установи или посумња да су контролер или обрађивач података повриједили неко његово право, те захтијевати накнаду штете коју му је друга уговорна страна, ако се њена одговорност утврди окончањем судског поступка односно правоснажном пресудом, дужна надокнадити путем новчане накнаде и уз јавно извињење. Такође, Агенција спроводи инспекцијски надзор, налаже блокирање, брисање или уништавање података, доноси привремене или трајне мјере забране обраде, упозорава или опомиње контролера, изриче казне у оквиру прекршајног поступка, те, што је посебно важно за пружаоца услуга рачунарства у облаку са сједиштем у Босни и Херцеговини, а који користи услуге подобрађивача са сједиштем у иностранству, надзире изношење података о личности из Босне и Херцеговине.

Правни оквир БиХ: Закључна разматрања

Законодавство Босне и Херцеговине је, у циљу усвајања европских стандарда у овој области, обогаћено Законом о заштити личних података путем којег се примјењује већина свјетских и европских правних института који обезбјеђују заштиту основних и људских слобода, првенствено права на приватност. Законодавац је руковођен тим циљем, кроз измјене и допуне овог закона 2011. године уврстио и одредбе које регулишу пренос података о личности у иностранство уз широка овлашћења повјерена Агенцији за заштиту личних података као надзорног органа.

Иако многа питања правне природе која се вежу уз услуге рачунарства у облаку и даље представљају узроке неповјерења и избјегавања процеса адаптације, мишљења смо да овај концепт представља будућност, а у већој мјери и садашњост пословних активности у области електронског пословања, те ће, уз сазријевање и даљу изградњу релевантних правних механизма све више узимати маха и међу домаћим пословним субјектима.

Срђан Рајчевић

Директор Агенције за информационо друштво Републике Српске, дипл. правник, дипл. инж. рачунарства, магистар пословно-правних наука. Заинтересован за правне аспекте ИКТ-а. Идејни творац више закона из области развоја информационог друштва у РС.

  • facebook
  • linkedin
  • skype
  • twitter