Na temelju članka IV.4.a. Ustava Bosne i Hercegovine, Parlamentarna skupstina Bosne i Hercegovine, na sjednici Zastupničkog doma odrzanoj 30.studenoga 2001. i na sjednici Doma naroda odrzanoj 20. prosinca 2001., usvojila je
ZAKON
O ZASTITI OSOBNIH PODATAKA
Poglavlje I - OPĆE ODREDBE
Cilj Zakona
Članak 1.
Cilj ovoga zakona je da se na teritoriju Bosne i Hercegovine svim osobama, bez obzira na njihovo drzavljanstvo ili prebivaliste, osigura postivanje ljudskih prava i temeljnih sloboda, a posebice pravo na tajnost glede obrade osobnih podataka koji se na njih odnose (“zastita podataka“).
Predmet Zakona
Članak 2.
Ovaj zakon se odnosi na obradu osobnih podataka od strane:
a) javnih organa na razini Bosne i Hercegovine;
b) javnih organa Federacije Bosne i Hercegovine i Republike Srpske i Brčko Distrikt Bosne i Hercegovine (u daljnjem tekstu: Brčko Distrikt BiH) u onoj mjeri u kojoj minimalna zaštita podataka predviđena ovim zakonom nije regulirana zakonima Federacije Bosne i Hercegovine i Republike Srpske i Brčko Distrikt BiH ;
c) ostalih organa Federacije Bosne i Hercegovine i Republike Srpske i Brčko Distrikt BiH u onoj mjeri u kojoj njihove aktivnosti nisu ograničene na Federaciju Bosne i Hercegovine ili Republiku Srpsku ili Brčko Distrikt BiH.
Pojmovi
Članak 3.
Pod zaštitom osobnih podataka podrazumijevaju se naročito:
osobni podacipodrazumijevaju informacije koje se odnose na fizičku osobu čiji identitet je ustanovljen ili se moze ustanoviti (u daljnjem tekstu: nositelj podataka). Fizička osoba čiji se identitet moze ustanoviti je osoba koja se može identificirati, neposredno ili posredno, posebice na temelju matičnog broja ili jednog ili više čimbenika karakterističnih za fizički, fizioloski, mentalni, ekonomski, kulturni ili socijalni identitet te osobe.
Posebne kategorije podataka podrazumijevaju sve osobne podatke koji se odnose na
a) rasno podrijetlo, drzavljanstvo, nacionalno ili etničko podrijetlo, političko misljenje ili stranačku pripadnost ili članstvo u sindikatima, religijsko ili drugo vjerovanje, zdravstveno stanje, seksualni zivot; i
b) kaznene presude.
Obrada osobnih podataka (obrada) podrazumijeva svaku radnju ili skup radnji koje se vrse nad podacima, kao na primjer, prikupljanje, unosenje, organiziranje, pohranjivanje, prerađivanje ili izmjenu, uzimanje, konzultiranje, koristenje, otkrivanje prijenosom, sirenje ili na drugi način omogućavanje pristupa podacima, svrstavanje ili kombiniranje, blokiranje, brisanje ili unistavanje.
Pristup podacima podrazumijeva svaku radnju koja trećoj osobi omogućava uvid u podatke bez prava da te podatke koristi kasnije za druge ciljeve.
Kontrolor podrazumijeva svaku fizičku ili pravnu osobu, drzavni organ, agenciju ili drugi organ koji samostalno ili s drugima utvrđuje cilj i način obrade osobnih podataka. Kada su cilj i način obrade utvrđeni zakonom ili propisom zemlje ili Europske zajednice, kontrolor podataka odnosno posebni kriteriji za njegovo imenovanje mogu se utvrditi zakonom zemlje ili Europske zajednice.
Obrađivač podrazumijeva svaku fizičku i pravnu osobu, drzavni organ, agenciju ili drugi organ koji obrađuje osobne podatke u ime kontrolora podataka.
Suglasnost nositelja podataka podrazumijeva svaku konkretnu i utemeljenu naznaku zelje nositelja podataka danu dragovoljno, kojom nositelj podataka označava svoj pristanak da se njegovi osobni podaci obrađuju.
Poglavlje II - TEMELJNI PRINCIPI ZAŠTITE OSOBNIH PODATAKA
Kvalitet podataka
Članak 4.
Osobni podaci koji se automatski obrađuju bit će:
a) prikupljeni i obrađeni na pravičan i zakonit način;
b) sačuvani u cilju koji je određen i zakonit i ne koristi se na način koji nije sukladan s tim ciljem;
c) adekvatni, relevantni i u mjeri u kojoj ne prevazilaze cilj u koji se pohranjuju;
d) točni i, kada je to potrebito, azurirani;
e) sačuvani u formi koja omogućava identifikaciju nositelja podataka samo tjekom razdoblja potrebitog za ispunjavanje ciljeva u koje se podaci čuvaju.
Obrada podataka
Članak 5.
Osobni podaci se neće obrađivati osim kada
a) je nositelj podataka nedvojbeno dao pristanak, ili
b) je to nuzno radi izvođenja ugovora u kojem je nositelj podataka ugovorna stranka ili radi poduzimanja mjera na zahtjev nositelja podataka prije sklapanja ugovora; ili
c) je to nuzno radi ispunjavanja zakonske obveze kontrolora podataka; ili
d) je to nuzno radi zastite vitalnih interesa nositelja podataka; ili
e) je to nuzno radi obnasanja duznosti koja se vrsi u javnom interesu ili vrsenja sluzbenog ovlastenja datog kontroloru podataka ili trećoj osobi kojoj se podaci otkrivaju; ili
f) je to nuzno radi zakonitih interesa koje ostvaruje kontrolor ili treća osoba ili osobe kojima se podaci otkrivaju, osim u slučaju kada su ti interesi nadjačani interesima temeljnih prava i sloboda nositelja podataka.
Osobni podaci koji otkrivaju rasno podrijetlo, politička misljenja ili vjerska ili druga uvjerenja, kao i osobni podaci o zdravstvenom stanju ili seksualnom zivotu, ne mogu se obrađivati automatski, ako zakonom nije predviđena odgovarajuća zastita. Ovo se odnosi i na osobne podatke vezane za kaznene presude.
Osobni podaci se ne prijenose i dosjei i evidencije se ne sjedinjuju (udruzuju, spajaju ili na drugi način povezuju), ako nisu zadovoljeni uvjeti utvrđeni u st. 1. i 2. ovoga članka.
Stavak 3. se odnosi na sjedinjavanje dosijea koje obrađuje isti kontrolor.
Cilj obrade podataka
Članak 6.
Obrada osobnih podataka će se vrsiti samo u određene ciljeve, koristeći pravo ili sukladno s zakonskom obvezom. U slučaju obveznog prijenosa podataka ili pristupa podacima, osobi obveznoj da dostavi podatke navodi se i zakonska odredba kojom se nalaze raspolaganje tim podacima.
Obrađivat će se samo oni osobni podaci koji su prijeko potrebni da bi se zadovoljio cilj obrade i to samo na način koji je sukladan s tim ciljem. Podaci se neće koristiti u većoj mjeri niti duze nego sto je potrebno u tom cilju.
Članak 7.
Prije prikupljanja bilo kojih podataka, nositelj podataka se izvjesćuje o tome da li se radi o dragovoljnoj ili obveznoj dostavi podataka. U slučaju obvezne dostave podataka, navodi se i zakon na temelju kojeg se vrsi obrada podataka.
Nositelj podataka se izvjesćuje o cilju obrade, kao i o identitetu kontrolora i obrađivača, bez obzira da li se podaci prikupljaju od nositelja podataka ili treće osobe.
Prijenos podataka u inozemstvo
Članak 8.
Osobni podaci se neće prenositi iz zemlje kontroloru ili obrađivaču podataka u inozemstvu, bez obzira na medij podataka ili način prijenosa ako nisu zadovoljeni uvjeti utvrđeni člankom 5. ovoga zakona i pod uvjetom da strani kontrolor za sve podatke ispostuje iste principe zastite podataka.
Tehnička obrada podataka
Članak 9.
Obveze obrađivača podataka u svezi s obradom osobnih podataka utvrđuje kontrolor podataka sukladno s odredbama ovoga zakona i drugih zakona u svezi s obradom podataka. Kontrolor podataka je odgovoran za zakonitost uputstava o radnjama koje se obnasaju nad osobnim podacima.
Obrađivač podataka je odgovoran za obradu osobnih podataka prema uputstvu kontrolora podataka. U vrsenju svojih duznosti, obrađivač podataka neće prenositi svoje odgovornosti na druge obrađivače podataka ako ne dobije izričito uputstvo za to od strane kontrolora podataka.
Sigurnost podataka
Članak 10.
Kontrolor podataka i, u okviru svoje nadleznosti, obrađivač podataka staraju se o sigurnosti podataka i poduzimaju sve tehničke i organizacijske mjere i utvrđuju pravila postupka koja su nuzna za provođenje ovoga zakona i drugih propisa u svezi s zastitom i tajnosću podataka.
Podaci, a posebice posebne kategorije podataka, stite se od neovlastenog pristupa, izmjene, prijenosa, brisanja, ostećenja ili unistenja.
Članak 11.
Komisija za zaštitu podataka provjerava radnje obrade podataka kada se obrađuju posebne kategorije podataka iz članka 3. stavak 2. nakon sto od kontrolora podataka primi obavijest da te podatke treba obrađivati. Ove radnje na obradi podataka mogu započeti tek onda kada Komisija za zastitu podataka zavrsi provjeravanje, ili kada isteknu dva mjeseca od dana kada je Komisija za zastitu podataka primila obavjestenje.
Prije početka bilo koje radnje obrade navedenih podataka, kontrolor podataka izvjesćuje Komisiju za zastitu podataka o sljedećem:
a) cilju obrade podataka;
b) vrsti podataka koji se obrađuju i zakonskom temelju za obradu;
c) vrstama nositelja podataka;
d) izvoru podataka;
e) vrsti prenesenih podataka, primateljima tih podataka i zakonskom temelju za prijenos;
f) rokovima za brisanje određenih vrsta podataka;
g) imenu, prezimenu i adresi kontrolora podataka i obrađivača podataka, stvarno mjesto obrade podataka (uključujući i tehničku obradu), kao i ostale aktivnosti obrađivača podataka vezanih za obradu osobnih podataka;
h) predloženi prijenos podataka u treće zemlje.
O svakoj promjeni podataka iz stavka 2. Komisija za zastitu podataka se izvjesćuje u roku od 8 dana.
Pristup osobnim podacima
Članak 12.
Kontrolor podataka izvjesćuje nositelja podataka o tijeku obrade njegovih osobnih podataka koju vrsi kontrolor podataka ili obrađivač podataka, o cilju obrade podataka, zakonskom temelju i trajanju obrade, imenu, prezimenu i adresi te aktivnosti u svezi s obradom podataka obrađivača podataka, kao i o tome tko je primio ili tko će primiti podatke i u kojem cilju. Opseg informacija o prijenosu i trajanje obveze pruzanja informacija moze se ograničiti zakonima o obradi podataka. Ovo ograničenje neće biti kraće od pet godina za osobne podatke i kraće od dvadeset godina za posebne kategorije podataka.
Članak 13.
Nositelj podataka ima pravo:
a) zahtijevati informacije o obradi svojih osobnih podataka;
b) zahtijevati ispravku svojih osobnih podataka ili njihovo brisanje, ako se pokaze da su netočni ili nezakonito obrađeni.
Kontrolor podataka će informacije dostaviti u pismenoj, razumljivoj formi, u roku od 30 dana od dana podnosenja zahtjeva.
Informacije iz stavka 2. su besplatne, osim informacija koje stalno trazi jedna osoba iz istog djelokruga kod istog kontrolora.
Članak 14.
Kontrolor podataka neće odbiti da pruzi informaciju nositelju podataka, osim u slučajevima kada je to zakonom predviđeno.
Kontrolor podataka će navesti razlog zbog kojeg je odbijena trazena informacija.
Kontrolor će Komisiji za zastitu podataka podnositi godisnje izvjesće o odbivenim zahtjevima.
Članak 15.
Kontrolor podataka vrsi ispravku netočnih podataka.
Osobni podaci se brisu ako je:
a) obrada podataka nezakonita; ili
b) su ti podaci dobiveni na nezakonit način; ili
c) je tako zahtijevao nositelj podataka, ili
d) je prestao cilj obrade.
Članak 16.
Nositelj podataka i sve druge osobe na koje je izvrsen prijenos podataka u cilju njihove obrade bit će obavijesteni o svim ispravkama i brisanju podataka. Takve informacije se mogu uskratiti, budući na cilj obrade, ako se time ne narusava opravdan interes nositelja podataka.
Članak 17.
Pojedinačna prava nositelja podataka (čl. 11., 12. i 15.) mogu se zakonom ograničiti u interesu vanjske i unutarnje sigurnosti države, u oblastima drzavne obrane, drzavne sigurnosti, spriječavanje kriminala ili kaznene istrage, kao i u monetarnom interesu drzave ili zastite nositelja podataka ili prava i sloboda drugih. Ovakva ograničenja su dozvoljena samo u mjeri u kojoj su potrebna u jednom demokratskom drustvu u jedan od navedenih ciljeva.
Obeštećenje
Članak 18.
Kontrolor podataka isplaćuje obeštećenje za svaku stetu nanesenu nositelju podataka u postupku obrade njegovih podataka. Kontrolor podataka je odgovoran za svaku stetu koju nositelju podataka nanese obrađivač podataka. Kontrolor podataka se moze osloboditi ove odgovornosti, u cjelini ili djelomice, ako dokaze da nije odgovoran za događaj koji je doveo do nastanka stete.
Obestećenje se neće isplatiti za stetu koju je ostećena strana prouzročila namjerno ili ozbiljno nemarnim postupanjem.
Poglavlje III - KOMISIJA ZA ZAŠTITU PODATAKA
Članak 19.
Vijeće ministara Bosne i Hercegovine (u daljnjem tekstu: Vijeće ministara) na prijedlog Ministarstva civilnih poslova i komunikacija će imenovati Komisiju u cilju zastite podataka i praćenja pristupa osobnim podacima i njihovoga prijenosa čiji će naziv biti Komisija za zastitu podataka (u daljnjem tekstu: Komisija). Članovi Komisije mogu biti samo drzavljani Bosne i Hercegovine. Članovi Komisije će imati ovlastenja, duznosti i zadatke utvrđene u ovom poglavlju.
Članovi Komisije bit će neovisni i nepristrasni, ne mogu biti izabrani predstavnici niti vrsiti bilo kakvu političku funkciju.
Komisija imat će pet članova koje će imenovati Vijeće ministara. Članovi Komisije imenuju se na tri godine.
Članovi Komisije imaju najmanje sveučilisnu naobrazbu i biraju se na temelju profesionalnog iskustva u vođenju i nadziranju postupaka u svezi s zastitom podataka, kao i na temelju dokazane sposobnosti za obnasanje poslova u okviru zalbenog vijeća. Tri člana Komisije moraju biti diplomirani pravnici.
Komisija donosi odluke prostom većinom glasova.
Članovi Komisije mogu biti razrijeseni duznosti na prijedlog Vijeća ministara. Prijedlog za razrijesenje duznosti člana Komisije Vijeće ministara podnosi Domu naroda Parlamentarne skupstine Bosne i Hercegovine. Član Komisije moze biti razrijesen duznosti zbog toga sto je osuđen za tesko kazneno djelo, fizički ili fizioloski spriječen da obnasa svoje zadatke ili zbog stalnog neispunjavanja svojih obveza.
Prigodom razmatranja zalbe, Komisija vodi računa o pravima osobe koja se optuzuje, i to posebice:
a) da odmah bude obavijesten detaljno i na jeziku koji razumije, o vrsti i uzroku zalbe koja se protiv njega podnosi;
b) da mu se omogući potrebno vrijeme i uvjete za pripremu obrane;
c) da mu se omogući da se brani osobno ili putem punomoćnika koga izabere, ili ako nema dovoljno sredstava da osigura pravnu pomoć, da mu ona bude omogućena besplatno kada je to potrebno u interesu pravde;
d) da ispita ili da se ispitaju svjedoci suprotne stranke i da se osigura nazočnost i ispitivanje svjedoka na njegovoj strani pod istim okolnostima kao i u slučaju svjedoka suprotne stranke;
e) da mu se omogući besplatna usluga prevoditelja ako ne razumije ili ne govori jezik koji koristi Komisija.
Članak 20.
Komisija:
a) nadgleda provođenje ovoga zakona i drugih zakona o obradi podataka;
b) razmatra zalbe koje se podnose komisiji;
c) na kraju svake godine podnosi Parlamentarnoj skupstini Bosne i Hercegovine izvijesće o zastiti podataka.
Članak 21.
Komisija prati uvjete za zastitu osobnih podataka, daje prijedloge za usvajanje ili izmjenu zakona koji se odnose na obradu podataka, te daje misljenje o prijedlozima tih zakona.
Komisija, kad uoči nezakonitu obradu podataka, zahtijeva od kontrolora da prekine obradu. Kontrolor bez odlaganja poduzima nužne mjere i o tome u roku od 15 dana pismeno informira Komisiju.
Članak 22.
U vrsenju duznosti, Komisija moze zahtijevati od kontrolora ili obrađivača podataka da joj dostavi informacije o bilo kojem pitanju, a također moze i izvrsiti uvid u bilo koji dokument i evidenciju u kojima mogu biti osobni podaci.
Komisija ima pravo ulaska u sve prostorije u kojima se vrsi obrada podataka. Ulazak i kontrola imovine i prostorija kontrolora podataka koji nisu propisani zakonom mogu se vrsiti jedino za vrijeme radnog vremena.
Drzavne i sluzbene tajne neće predstavljati zapreku za Komisiju u ostvarivanju njenih prava navedenih u ovom članku, ali odredbe o tajnosti su i za nju obvezujuće. U slučajevima koji se tiču drzavne i sluzbene tajne, članovi Komisije ostvaruju svoja prava osobno.
Svi organi vlasti obvezni su na zahtjev pruziti potporu Komisiji u vrsenju njenih duznosti.
Članak 23.
Svatko ima pravo, u slučaju povrede njegovih prava ili postojanja direktne opasnosti od takve povrede, podnijeti zalbu Komisiji.
Komisija moze:
a) saslusati podnositelja zalbe;
b) pozvati svjedoke i stručnjake kada to bude smatrala potrebnim;
c) traziti i dobiti sve relevantne informacije od odgovarajućih nadleznih organa.
Odluka Komisije:
a) podlijeze sudskom ispitivanju od strane Suda Bosne i Hercegovine;
b) sadrzi obrazlozenje s zakonskim temeljom;
c) se dostavlja podnositelju zalbe u roku od sedam dana.
Ni prema komu se neće iskazati pristrasan odnos temeljem njegove zalbe Komisiji.
Poglavlje IV - OBRADA PODATAKA U INSTITUTIMA ZA ISTRAZIVANJE
Članak 24.
Podaci prikupljeni i pohranjeni u cilju naučnog istrazivanja i statistike, neće se koristiti u druge ciljeve.
Osobni podaci ostaju neidentificirani sve dok je god to moguće u svezi istrazivanja. Podaci pomoću kojih se moze identificirati konkretna fizička osoba ili osobe, čuvaju se posebno. Ovi podaci se ne povezuju s drugim podacima, osim u slučaju kada je to potrebno u cilju istrazivanja.
Organizacija ili osoba koja vrsi naučno istrazivanje moze objaviti informacije dobivene iz osobnih podataka ako, za to dobije suglasnost nositelja podataka, ako se podaci obrađuju samo u cilju naučnog istraživanja, ili ako se čuvaju u osobnoj formi za vrijeme koje nije duze od vremena potrebnog samo za formiranje statistike.
Poglavlje V - KAZNENE ODREDBE
Prekrsaji
Članak 25.
Novčanom kaznom u iznosu od 5.000,00 KM do 15.000,00 KM kaznit će se za prekrsaj, svatko tko:
a) nezakonito izvrsi prijenos, omogući pristup, eksploatira ili koristi podatke koji su mu dani na čuvanje ili kojima ima pristup isključivo zbog svoje profesionalne uključenosti u elektronsku obradu podataka, ili
b) nezakonito objavi drugoj osobi informacije dobivene iz podataka koji su mu dani na čuvanje ili kojima ima pristup isključivo zbog svoje uključenosti u elektronsku obradu podataka.
Postupak po ovom članku ne moze se pokrenuti na temelju zahtjeva osobe čiji su interesi naruseni.
Članak 26.
Novčanom kaznom u iznosu od 1.000,00 KM do 10.000,00 KM kaznit će se za prekrsaj, svatko tko:
a) započne obradu podataka, a da unaprijed nije postupio sukladno s obvezom informiranja Komisije; ili
b) započne obradu podataka a da nije pribavio odobrenje od Komisije u slučajevima kada je to potrebno; ili
c) nastavi obradu podataka unatoč činjenici da je Komisija zakonski zabranila tu obradu; ili
d) ne provede zakonski obvezujuću odluku koja nalaze da osigura informacije o pohranjenim podacima, da ispravi podatke ili ih izbrise; ili
e) izvrsi prijenos podataka u inozemstvo bez odobrenja Komisije: ili
f) prekrsi svoje obveze da informira nosioce podataka o podacima, ispravi netačne podatke, izbrise podatke; ili
g) ozbiljno prekrsi svoju obvezu da osigura povjerljivost i tajnost obrađenih podataka; ili
h) ne surađuje s Komisijom, odbije da joj dostavi trazene informacije ili odbije da dozvoli Komisiji da uđe u njegove prostorije.
Poglavlje VI - ZAVRSNE ODREDBE
Članak 27.
Ministarstvo civilnih poslova i komunikacija u konzultaciji s Komisijom donosi podzakonske akte u sljedećim oblastima:
a) sigurnost podataka i obrada podataka od strane institucija Bosne i Hercegovine;
b) sva druga pitanja potrebna za provođenje ovoga zakona.
Komisija moze izdati smjernice glede zadataka i pravila za imenovanje sluzbenika za zastitu osobnih podataka.
Postupak pristupa informacijama od javnog interesa
Članak 28.
Odredbe ovoga zakona će se uzeti u obzir prigodom primjene Zakona o slobodi pristupa informacijama u Bosni i Hercegovini (“Službeni glasnik BiH“, broj 28/00).
Članak 29.
Ovaj zakon stupa na snagu 30 dana od dana objavljivanja u “Sluzbenom glasniku BiH“, a objavit će se u sluzbenim glasilima entiteta i Brčko Distrikta Bosne i Hercegovine.

PS BiH broj 69/'01 20. prosinca 2001. godine Sarajevo

Predsjedatelj Doma naroda Parlamentarne skupstine BiH Sejfudin Tokić, v. r.

Predsjedatelj Zastupničkog doma Parlamentarne skupstine BiH dr.Zeljko Mirjanić, v. r.