Zakon o zaštiti ličnih podataka

(“Sl. glasnik BiH”, br. 49/2006, 76/2011 i 89/2011 – ispr.)

GLAVA I – OPŠTE ODREDBE

Član 1

(Predmet Zakona)

(1) Cilj ovog Zakona je da se na teritoriji Bosne i Hercegovine svim licima, bez obzira na njihovo državljanstvo ili prebivalište, obezbijedi zaštita ljudskih prava i osnovnih sloboda, a naročito pravo na privatnost i zaštitu podataka u pogledu obrade ličnih podataka koji se na njih odnose.

(2) Ovim zakonom osniva se Agencija za zaštitu ličnih podataka u Bosni i Hercegovini (u daljem tekstu: Agencija), utvrđuju se njena nadležnost, organizacija i upravljanje, kao i druga pitanja značajna za njen rad i zakonito funkcionisanje.

Član 2

(Obim primjene Zakona)

(1) Ovaj zakon primjenjuje se na lične podatke koje obrađuju svi javni organi, fizička i pravna lica, osim ako drugi zakon ne nalaže drugačije.

(2) Ovaj zakon neće se primjenjivati na lične podatke koje obrađuju fizička lica isključivo u svrhu ličnih aktivnosti ili aktivnosti domaćinstva.

Član 3

(Definicije)

Pojedini izrazi upotrijebljeni u ovom zakonu imaju sljedeća značenja:

– lični podaci podrazumijevaju bilo koju informaciju koja se odnosi na fizičko lice koje je identifikovano ili može da se utvrdi identitet lica;

– nosilac podataka je fizičko lice čiji identitet može da se ustanovi ili identifikuje, neposredno ili posredno, naročito na osnovu jedinstvenog matičnog broja te jednog ili više faktora karakterističnih za fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet tog lica;

– posebne kategorije podataka podrazumijevaju sve lične podatke koji otkrivaju:

a) rasno porijeklo, nacionalno ili etničko porijeklo, političko mišljenje ili stranačku pripadnost, ili članstvo u sindikatima, religiozno, filozofsko ili drugo uvjerenje, zdravstveno stanje, genetski kod i seksualni život;

b) krivične presude;

c) biometrijske podatke;

– zbirka ličnih podataka je bilo koji sistemski skup ličnih podataka koji su dostupni shodno posebnim kriterijumima, bilo da su centralizovani, decentra- lizovani ili razvrstani na funkcionalnom i geografskom osnovu ili postavljeni u skladu sa posebnim kriterijumima koji se odnose na lice i koji omogućavaju nesmetan pristup ličnim podacima u dosijeu;

– obrada ličnih podataka je bilo koja radnja ili skup radnji koje se vrše nad podacima, bilo da je automatska ili ne, a posebno prikupljanje, unošenje, organizovanje, pohranjivanje, prerađivanje ili izmjena, uzimanje, konsultovanje, korišćenje, otkrivanje prenosom, širenje ili na drugi način omogućavanje pristupa podacima, svrstavanje ili kombinovanje, blokiranje, brisanje ili uništavanje;

– anonimni podaci su podaci koji u svojoj originalnoj formi ili nakon njihove obrade ne mogu da se dovedu u vezu sa nosiocem podataka u smislu njegove identifikacije;

– kontrolor je svaki javni organ, fizičko ili pravno lice, agencija ili drugi organ koji samostalno ili zajedno sa drugim vodi, obrađuje i utvrđuje svrhu i način obrade ličnih podataka na osnovu zakona ili propisa;

– obrađivač je fizičko ili pravno lice, javni organ, agencija ili drugi organ koji obrađuje lične podatke u ime kontrolora;

– treća strana je bilo koje fizičko ili pravno lice, javni organ, agencija ili bilo koje drugo tijelo, osim nosioca podataka, kontrolora, obrađivača i lica koja su pod direktnom nadležnošću kontrolora ili obrađivača, ovlašćeni da obrađuju podatke;

– saglasnost nosioca podataka podrazumijeva svaku konkretnu i svjesnu naznaku želje nosioca podataka datu slobodnom voljom kojom nosilac podataka daje svoj pristanak da se njegovi lični podaci obrađuju;

– primalac znači fizičko ili pravno lice, javni organ, agenciju ili drugi organ kojem se otkrivaju podaci, bez obzira da li su treća strana ili ne; organi koji mogu primiti podatke u okviru posebnog zahtjeva ne smatraju se kao primaoci.

GLAVA II – OSNOVNI PRINCIPI ZAKONITE OBRADE LIČNIH PODATAKA

Član 4

(Principi obrade ličnih podataka)

Kontrolor je obavezan da:

a) lične podatke obrađuje na pravičan i zakonit način;

b) lične podatke koje prikuplja za posebne, izričite i zakonite svrhe ne obrađuje na bilo koji način koji nije u skladu s tom svrhom;

c) obrađuje lične podatke samo u mjeri i obimu koji je neophodan da bi se ispunila određena svrha;

d) obrađuje samo autentične i tačne lične podatke, te da ih ažurira kada je to potrebno;

e) lične podatke koji su netačni i nepotpuni, s obzirom na svrhu zbog koje su prikupljeni ili se dalje obrađuju, izbriše ili ispravi;

f) obrađuje lične podatke samo u vremenskom periodu koji je neophodan da bi se ispunila svrha za koju su podaci prikupljeni;

g) lične podatke čuva u obliku koji dozvoljava da se nosioci podataka identifikuju ne duže no što je to potrebno za svrhu u koju se podaci prikupljaju ili dalje obrađuju;

h) obezbijedi da se lični podaci koji su prikupljeni u različite svrhe ne objedinjuju ili kombinuju.

Član 5

(Saglasnost nosioca podataka)

(1) Kontrolor može da obrađuje lične podatke uz saglasnost nosioca podataka.

(2) Saglasnost za obradu posebne kategorije ličnih podataka mora da bude data u pisanoj formi, mora da je potpiše nosilac podataka, mora da ima tačnu naznaku podataka u vezi sa kojima se saglasnost daje, te mora da sadrži ime kontrolora, svrhu i vremenski period na koji se saglasnost daje.

(3) Saglasnost može da bude povučena u bilo kojem trenutku, osim ako se nosilac podataka i kontrolor izričito ne dogovore drugačije.

(4) Kontrolor će morati da na zahtjev nadležnog organa, u svako vrijeme, dokaže da postoji saglasnost za period obrade ličnih podataka.

(5) Kontrolor je dužan da čuva saglasnost za vrijeme obrade ličnih podataka za čiju obradu je data saglasnost.

Član 6

(Pravo na obradu ličnih podataka bez saglasnosti nosioca podataka)

Kontrolor može da obrađuje podatke bez saglasnosti nosioca podataka ako je ispunjen jedan od sljedećih uslova:

a) ako vrši obradu ličnih podataka u skladu sa zakonom ili je obrada neophodna da bi se ispunile nadležnosti utvrđene zakonom;

b) ako je neophodno da nosilac podataka na sopstveni zahtjev pristupi pregovorima o ugovornom odnosu ili da se ispune obaveze koje su dogovorene sa kontrolorom;

c) ako je neophodno da se zaštite vitalni interesi nosioca podataka, mora se bez odgađanja pribaviti saglasnost nosioca podataka ili se mora prekinuti obrada podataka, a prikupljeni podaci moraju se uništiti;

d) ako je obrada ličnih podataka potrebna da bi se ispunio zadatak koji se izvršava u javnom interesu;

e) ako je neophodna zaštita zakonitih prava i interesa koje ostvaruje kontrolor ili treća strana, i ako ova obrada ličnih podataka nije u suprotnosti sa pravom nosioca podatka da zaštiti sopstveni privatni i lični život;

f) ako je neophodno za izvršavanje legitimnih aktivnosti političkih partija, pokreta, udruženja građana, sindikalnih organizacija i vjerskih zajednica, osim gdje prevladavaju interesi za osnovna prava i slobode nosioca podataka nad aktivnostima, posebno pravo na privatnost u odnosu na obradu ličnih podataka.

Član 7

(Autentičnost podataka)

(1) Kontrolor je obavezan da provjeri da li su lični podaci autentični i tačni.

(2) Ako nepotpuni i netačni lični podaci ne mogu da budu ispravljeni ili dopunjeni, a uzimajući u obzir svrhu u koju se prikupljaju ili u koju se dalje obrađuju, kontrolor mora da ih bez odgađanja uništi.

Član 8

(Spajanjnje evidencija)

(1) Kontrolor koji obrađuje lične podatke na osnovu posebnog zakona obavezan je da poštuje prava na zaštitu privatnog i ličnog života nosioca podataka.

(2) Lični podaci ne mogu da se prenose a dosijei i evidencije ne mogu da se spajaju (udružuju, sjedinjavaju ili na drugi način povezuju) ako nisu ispoštovane obaveze utvrđene u stavu (1) ovog člana.

(3) Spajanje evidencija i dosijea, shodno stavu (2) ovog člana, može da se vrši samo ako obradu ličnih podataka obavlja isti kontrolor.

Član 9

(Obrada posebnih kategorija ličnih podataka)

(1) Obrada posebnih kategorija ličnih podataka je zabranjena.

(2) Izuzetno od odredbe stava (1) ovog člana, obrada posebne kategorije ličnih podataka dozvoljena je u sljedećim slučajevima:

a) ako je nosilac podataka izričito dao saglasnost;

b) ako je obrada neophodna da bi se zaštitili život, zdravlje, imovina i drugi vitalni interesi nosioca podataka ili drugog lica za koje se ne može dobiti saglasnost, a naročito kada se radi o fizički, mentalno ili pravno nesposobnom licu, ili ako se lice smatra nestalim, ili iz drugih sličnih razloga;

c) ako je obrada podataka potrebna da bi se izvršila obaveza ili posebna prava kontrolora iz oblasti radnog prava u onoj mjeri u kojoj je ovlašćen zakonom;

d) ako se obrada podataka vrši za potrebe preventivne medicine, medicinske dijagnostike, pružanja i upravljanja medicinskim uslugama ako takve podatke obrađuje profesionalno medicinsko lice koje po zakonu ili kodeksu nadležnog organa podliježe obavezi da čuva profesionalnu tajnu ili druga lica koja takođe podliježu obavezi da čuvaju tajnu;

e) ako se obrada podataka vrši u okviru zakonitih aktivnosti ustanove, fondacije, udruženja ili druge neprofitne organizacije sa političkim, filozofskim, religioznim ili sindikalnim ciljevima, a pod uslovom da se obrada podataka isključivo odnosi na članove tih organa ili lica koja s njima redovno kontaktiraju u vezi sa njihovim ciljevima, pod uslovom da ti podaci ne budu otkriveni trećoj strani bez pristanka nosioca podataka;

f) ako se vrši obrada podataka koje je nosilac podataka jasno učinio javnim ili je obrada neophodna da bi se pokrenuo, izvršio ili odbranio od pravnih zahtjeva;

g) ako je to od posebnog javnog interesa ili u drugim slučajevima propisanim zakonom. U ovim slučajevima zakon mora da sadrži konkretne odredbe o adekvatnim mehanizmima zaštite.

Član 10

(Automatska obrada posebne kategorije ličnih podataka)

Posebna kategorija ličnih podataka ne može da se obrađuje automatski ako zakonom nije predviđena odgovarajuća zaštita.

Član 11

(Bezbjednost podataka)

(1) Kontrolor podataka i, u okviru svoje nadležnosti, obrađivač podataka staraju se o bezbjednosti podataka te preduzimaju sve tehničke i organizacione mjere i utvrđuju pravila postupka, koji su neophodni da bi se sproveo ovaj zakon i drugi propisi u vezi sa zaštitom i tajnošću podataka.

(2) Kontrolor i obrađivač dužni su da preduzmu mjere protiv neovlašćenog ili slučajnog pristupa ličnim podacima, mijenjanja, uništavanja ili gubitka podataka, neovlašćenog prenosa, drugih oblika nezakonite obrade podataka, kao i mjere protiv zloupotrebe ličnih podataka. Ova obaveza ostaje na snazi i nakon završene obrade podataka.

(3) Javni organ kao kontrolor dužan je da, u okviru svojih nadležnosti, donese propis s ciljem sprovođenja ovog Zakona.

(4) Kontrolor i, u okviru svoje nadležnosti, obrađivač podataka dužni su da sačine plan za bezbjednost podataka kojim se određuju tehničke i organizacione mjere za bezbjednost ličnih podataka.

(5) Savjet ministara Bosne i Hercegovine (u daljem tekstu: Savjet ministara), uz prethodno pribavljeno mišljenje Agencije, propisaće način čuvanja i posebne mjere tehničke zaštite.

Član 12

(Obrada podataka preko obrađivača)

(1) Ako zakonom nije isključena obrada ličnih podataka preko obrađivača, kontrolor može sa obrađivačem da zaključi ugovor o obradi ličnih podataka koji mora da bude sačinjen u pisanoj formi.

(2) U ugovoru se navode obim, svrha i rok na koji je sporazum zaključen, kao i adekvatne garancije obrađivača u vezi sa tehničkom i organizacionom zaštitom ličnih podataka.

(3) Obrada podataka preko obrađivača mora da bude regulisana ugovorom koji obavezuje obrađivača prema kontroloru, a posebno da će obrađivač djelovati samo na osnovu uputstava kontrolora, u skladu sa odredbama ovog Zakona.

(4) Obrađivač podataka odgovoran je za obradu ličnih podataka shodno uputstvu kontrolora podataka. U vršenju svojih dužnosti, obrađivač podataka ne može da prenosi svoje odgovornosti na druge obrađivače podataka ako ne dobije izričitu saglasnost za to od kontrolora podataka.

Član 12a

(Predstavnik)

Kontrolor koji nema sjedište na teritoriji Bosne i Hercegovine i koji prilikom obrade ličnih podataka koristi automatsku ili drugu opremu smještenu na teritoriji Bosne i Hercegovine mora odrediti predstavnika za tu obradu, osim ako tu opremu koristi samo u svrhu tranzita podataka preko Bosne i Hercegovine.

Član 13

(Zbirka ličnih podataka)

Kontrolor zbirke ličnih podataka za svaku zbirku ličnih podataka uspostavlja i vodi evidenciju koja sadrži osnovne informacije o zbirci, a posebno sljedeće:

a) naziv zbirke;

b) ime, prezime i adresu kontrolora podataka i obrađivača podataka, stvarno mjesto obrade podataka (uključujući i tehničku obradu), kao i ostale aktivnosti obrađivača podataka u vezi sa obradom ličnih podataka;

c) svrhu obrade podataka;

d) zakonski osnov za obradu;

e) vrstu podataka koji se obrađuju;

f) kategorije nosilaca podataka;

g) izvor podataka i način prikupljanja;

h) vrstu prenesenih podataka, primaoce tih podataka i zakonski osnov za prenos;

i) rokove za brisanje određenih vrsta podataka;

j) prenos podataka iz inostranstva, odnosno iznošenje podataka iz Bosne i Hercegovine sa naznakom države, odnosno međunarodne organizacije i inostrane treće strane, te svrhu za to unošenje, odnosno iznošenje propisano međunarodnim ugovorom, zakonom ili drugim propisom, odnosno pisanim pristankom lica na koje se podaci odnose;

k) naznaku preduzetih mjera zaštite ličnih podataka.

Član 14

(Glavni registar)

(1) Kontrolor zbirke ličnih podataka dostavlja Agenciji podatke iz evidencije iz člana 13, koja ih objedinjava u Glavni registar.

(2) Kontrolori zbirki ličnih podataka dužni su da prije uspostavljanja zbirke ličnih podataka koje se vode potpuno ili djelimično automatski Agenciji dostave zahtjev o namjeravanom uspostavljanju zbirke ličnih podataka zajedno sa podacima iz člana 13. prije nego što preduzmu bilo kakve aktivnosti na obradi.

(3) Agencija provjerava radnje obrade podataka nakon što od kontrolora podataka primi zahtjev da se obrade lični podaci, u slučaju da potpuno ili djelimično automatska obrada sadrži rizik za prava i slobode nosioca podataka. Radnje na obradi podataka mogu da počnu tek onda kada Agencija odobri obradu ili nakon što isteknu dva mjeseca od dana kada je Agencija primila zahtjev.

(4) Prethodnu kontrolu Agencija će izvršiti posebno u slučajevima ako:

a) se radi o obradi posebne kategorije ličnih podataka;

b) se radi o obradi ličnih podataka kojom se namjerava procijeniti ličnost nosioca podataka uključujući donošenje odluka na osnovu te obrade.

(5) Obaveza da se dostave prethodna obavještenja ne odnosi se na uspostavljanje zbirke ličnih podataka u slučajevima kada zakon određuje svrhu obrade, podatke ili kategorije podataka koji se obrađuju, kategoriju lica na koje se podaci odnose, treću stranu ili kategorije treće strane kojima će podaci biti otkriveni te vrijeme u kojem će podaci biti čuvani.

(6) U slučaju iz stava (3) ovog člana, kontrolor zbirke ličnih podataka dužan je da podatke o uspostavljanju zbirke ličnih podataka, kao i promjene podataka o zbirci ličnih podataka, dostavi Agenciji najkasnije u roku od 14 dana od dana kada je uspostavljena zbirka ili su promijenjeni podaci.

(7) Podaci iz Glavnog registra dostupni su javnosti.

(8) Agencija će objaviti evidencije iz Glavnog registra.

Član 15

(Vođenje evidencije)

Način vođenja evidencije iz člana 13. ovog Zakona i obrazac evidencije, kao i izuzetke od obaveze da se prijave određene zbirke shodno članu 14. propisaće Savjet ministara, uz prethodno mišljenje Agencije.

Član 16

(Obaveza čuvanja tajnosti podataka)

(1) Zaposleni kod kontrolora ili obrađivača i ostala lica koja rade na obradi ličnih podataka na osnovu ugovora sa kontrolorom ili obrađivačem mogu da obrađuju lične podatke samo pod uslovima i u obimu koje odrede kontrolor ili obrađivač.

(2) Zaposleni kod kontrolora ili obrađivača, ostala fizička lica koja obrađuju lične podatke na osnovu ugovora zaključenog sa kontrolorom ili obrađivačem i ostala lica koja u okviru primjene zakonom propisanih prava i obavljanja dužnosti dođu u kontakt sa ličnim podacima u prostorijama kontrolora ili obrađivača, dužna su da čuvaju tajnost ličnih podataka i da se pridržavaju utvrđenog načina obezbjeđivanja.

(3) Lični podaci koje obrađuju kontrolor ili obrađivač podataka za zaposlene predstavljaju službenu tajnu.

(4) Obaveza čuvanja tajnosti ličnih podataka ostaje na snazi i nakon prestanka radnog odnosa, odnosno određenog zadatka.

(5) Oslobađanje od obaveze čuvanja tajnosti ličnih podataka može da se propiše samo zakonom.

Član 17

(Davanje ličnih podataka trećoj strani)

(1) Kontrolor podataka ne može da daje lične podatke trećoj strani prije nego što o tome obavijesti nosioca podataka. Ako nosilac podataka ne odobri da se daju lični podaci, oni ne mogu da se otkriju trećoj strani osim ako to nije u javnom interesu.

(2) Kontrolor ličnih podataka ovlašćen je da lične podatke daje na korišćenje trećoj strani na osnovu pismenog zahtjeva treće strane ako je to potrebno da bi se obavili poslovi u okviru zakonom utvrđene nadležnosti ili ostvarili zakoniti interesi treće strane.

(3) Pismeni zahtjev mora da sadrži svrhu i pravni osnov za korišćenje ličnih podataka, te vrste ličnih podataka koji se traže.

(4) Zabranjeno je da se daju lični podaci da ih koristi treća strana, za čiju obradu, odnosno korišćenje nije ovlašćena prema odredbama čl. 5. i 6. ovog Zakona, te ako je svrha za koju se lični podaci traže na korišćenje suprotna odredbi člana 4. ovog Zakona.

(5) Kontrolor podataka vodi posebnu evidenciju o ličnim podacima koji su dati na korišćenje trećoj strani i svrsi za koju su lični podaci dati.

(6) Nosilac podataka ne može da ostvari pravo da blokira ili uništi lične podatke ako kontrolor ima obavezu da obradi podatke u skladu sa posebnim zakonom ili ako bi time bila narušena prava trećih lica.

Član 18

(Prenos podataka u inostranstvo)

(1) Lični podaci koji se obrađuju mogu se iznositi iz Bosne i Hercegovine u drugu državu ili davati na korišćenje međunarodnoj organizaciji koja primjenjuje adekvatne mjere zaštite ličnih podataka propisane ovim zakonom.

(2) Adekvatnost mjera zaštite iz stava (1) ovog člana procjenjuje se na osnovu konkretnih okolnosti u kojima se sprovodi postupak prenosa ličnih podataka, pri čemu se posebno uzima u obzir:

a) vrsta ličnih podataka;

b) svrha i period obrade;

c) država u koju se podaci prenose;

d) zakonom propisana pravila koja su na snazi u državi u koju se iznose podaci;

e) pravila profesije i bezbjednosne mjere koje se moraju poštovati u toj zemlji.

(3) Lični podaci koji se obrađuju mogu se iznositi iz Bosne i Hercegovine u drugu državu koja ne obezbjeđuje adekvatne mjere zaštite propisane ovim zakonom kad:

a) je iznošenje ličnih podataka propisano posebnim zakonom ili međunarodnim ugovorom koji obavezuje Bosnu i Hercegovinu;

b) je od lica čiji se podaci iznose dobijena prethodna saglasnost i lice upoznato sa mogućim posljedicama iznošenja podataka;

c) je iznošenje ličnih podataka potrebno radi izvršavanja ugovora između nosioca podataka i kontrolora ili ispunjavanja predugovornih obaveza preduzetih na zahtjev lica čiji se podaci obrađuju;

(d) je iznošenje ličnih podataka potrebno radi spasavanja života lica na koja se podaci odnose ili kada je to u njihovom vitalnom interesu;

e) se lični podaci iznose iz registra ili evidencija koje su, u skladu sa zakonom ili drugim propisima, dostupne javnosti;

f) je prenos ličnih podataka neophodan radi ostvarivanja javnog interesa;

g) je prenos ličnih podataka potreban radi zaključivanja ili ispunjavanja ugovora između kontrolora sa trećom stranom, kada je ugovor u interesu lica čiji se podaci obrađuju.

(4) Izuzetno, Agencija može odobriti prenos podataka iz Bosne i Hercegovine u drugu zemlju, koja ne obezbjeđuje odgovarajući stepen zaštite u smislu stava (1) ovog člana, kada kontrolor u drugoj zemlji pruži dovoljno garancija u pogledu zaštite privatnosti i osnovnih prava i sloboda pojedinaca ili pružanje sličnih prava proizlazi iz odredaba posebnog ugovora.

Član 19

(Obrada ličnih podataka u sredstvima javnog informisanja)

(1) Obrada ličnih podataka u novinarske svrhe, u svrhe umjetničkog i literarnog izražavanja, vršiće se u skladu sa posebnim propisom i kodeksima ponašanja.

(2) Na obradu ličnih podataka u svrhe navedene u stavu (1) ovog člana ne odnose se odredbe ovog Zakona, osim odredaba o bezbjednosti i povjerljivosti kao i o odgovornosti za štetu.

Član 20

(Obrada podataka u statističke, istorijske i naučne svrhe)

(1) Nakon isteka vremenskog perioda koji je neophodan da bi se ispunila svrha u koju su podaci prikupljeni, ti podaci mogu da se obrađuju samo u statističke, istorijske i naučne svrhe. Podaci prikupljeni i pohranjeni u te svrhe neće se koristiti u druge svrhe.

(2) Lični podaci mogu da budu obrađivani za potrebe statistike, istorije i nauke bez saglasnosti nosioca podataka. Čim se završi obrada podataka u ove svrhe, podaci moraju da budu učinjeni anonimnim.

(3) Kada se koriste lični podaci u ove svrhe, neophodno je poštovanje prava na zaštitu privatnosti i ličnog života nosioca podataka.

Član 21

(Objavljivanje ličnih podataka u institutima za istraživanje)

Organizacija ili lice koje vrši obradu podataka u svrhu naučnog istraživanja može da objavi informacije dobijene iz ličnih podataka ako za to dobije pismenu saglasnost nosioca podataka.

Član 21a

(Obrada ličnih podataka putem video-nadzora)

(1) Snimci pohranjeni putem video-nadzora na određenom prostoru na osnovu kojih se može identifikovati nosilac podataka predstavljaju zbirku ličnih podataka.

(2) Kontrolor koji vrši video-nadzor dužan je da donese odluku koja će sadržavati pravila obrade s ciljem poštovanja prava na zaštitu privatnosti i ličnog života nosioca podataka, ako video-nadzor nije propisan zakonom.

(3) Kontrolor koji vrši video-nadzor dužan je da na vidnom mjestu istakne obavještenje o vršenju video-nadzora i kontakt putem kojeg se mogu dobiti pojedinosti o video-nadzoru.

GLAVA III – PRAVA NOSIOCA PODATAKA

Član 22

(Obavještavanje o prikupljanju podataka)

Kontrolor podataka prije nego što počne da prikuplja podatke obavještava nosioca podataka, ako on o tome već nije obaviješten, o sljedećem:

a) svrsi obrade,

b) kontroloru, prijemnom organu ili trećoj strani kojoj će podaci biti dostupni,

c) da li je zakonska obaveza dostavljanje podataka za obradu,

d) o posljedicama u slučaju da nosilac podataka odbije da tako postupi,

e) u kojim slučajevima nosilac podataka ima pravo da odbije da dostavi lične podatke,

f) da li je pribavljanje ličnih podataka na dobrovoljnoj osnovi,

g) da li postoji pravo pristupa i pravo ispravke podataka koji se na njega odnose.

Član 23

(Izvor ličnih podataka)

Ako kontrolor nije pribavio lične podatke od nosioca podataka, dužan je da bez odgađanja obavijesti nosioca podataka o tome ko je treća strana koja je kontroloru dostavila lične podatke, te obezbijediti informacije u skladu sa članom 22. ovog zakona.

Član 24

(Pravo pristupa ličnim podacima)

(1) Kontrolor podataka obavještava nosioca podataka na njegov zahtjev o toku obrade njegovih podataka koju vrši kontrolor ili obrađivač podataka, svrsi obrade podataka, zakonskoj osnovi i trajanju obrade, da li su podaci pribavljeni od nosioca podataka ili od treće strane i o pravu na pristup ličnim podacima, kao i o tome ko je primio ili ko će da primi podatke i za koju svrhu.

(2) Kontrolor nije dužan da pruži obavještenje o obradi ličnih podataka ako:

a) lične podatke obrađuje isključivo u statističke, naučnoistraživačke ili arhivske svrhe;

b) ako podatak ili činjenica da su podaci bili pohranjeni mora biti održana u tajnosti na osnovu zakona ili s obzirom na njihovu vrstu, posebno zbog prevladavajućeg opravdanog interesa treće strane.

c) obrađuje lične podatke uz saglasnost nosioca podataka u skladu sa članom 5. ovog Zakona.

Član 25

(Način dostavljanja informacije)

(1) Ako zakonom nije drugačije predviđeno, kontrolor je dužan da na osnovu zahtjeva nosioca podataka jednom godišnje, bez nadoknade, dostavi nosiocu podataka informacije u vezi sa obradom njegovih ličnih podataka.

(2) U suprotnom, ove informacije dostavljaju se u bilo koje vrijeme, uz odgovarajuću nadoknadu koja ne prelazi iznos troškova dostavljanja informacija.

(3) Kontrolor podataka dužan je da dostavi ove informacije u pisanoj i razumljivoj formi, u roku od 30 dana od dana kada je podnesen zahtjev.

Član 26

(Prigovor u vezi sa direktnim marketingom)

(1) Nosilac podataka ima pravo da podnese besplatan prigovor na zahtjev kontrolora u pogledu budućeg korišćenja ili prenosa njegovih podataka za svrhu direktnog marketinga ili da bude obaviješten prije nego što njegovi podaci budu prvi put preneseni trećoj strani u svrhu direktnog marketinga.

(2) U slučaju da nosilac podataka ne da saglasnost, lični podaci se ne mogu dostaviti trećoj strani.

Član 27

(Ispravljanje, brisanje i blokiranje podataka)

(1) Kontrolor će na zahtjev nosioca podataka ispraviti, izbrisati ili blokirati podatke za koje se utvrdi da su netačni ili da su pogrešno navedeni ili obrađeni na drugi način koji je suprotan zakonu i pravilima koji se odnose na obradu podataka.

(2) Kontrolor će na zahtjev nosioca podataka obavijestiti treću stranu kojoj su podaci preneseni o ispravkama iz stava (1) ovog člana.

Član 28

(Utvrđivanje izuzetaka u pravima)

(1) Kontrolor podataka nije dužan da pruži informaciju o obradi ličnih podataka, niti da omogući pristup ličnim podacima ako bi se time mogla nanijeti značajna šteta legitimnim interesima sljedećih kategorija u Bosni i Hercegovini:

a) državnoj bezbjednosti;

b) odbrani;

c) javnoj bezbjednosti;

d) preventivi, istrazi, otkrivanju krivičnih djela i gonjenju izvršilaca, te povredi etičkih pravila profesije;

e) važnim privrednim i finansijskim interesima, uključujući monetarna, budžetska i poreska pitanja;

f) inspekcijskim i drugim kontrolnim dužnostima;

g) zaštiti nosioca podataka ili pravima i slobodi drugih.

(2) Ovakva ograničenja dozvoljena su samo u mjeri u kojoj su potrebna u jednom demokratskom društvu za jednu od navedenih svrha.

(3) Kontrolor podataka navešće razlog zbog kojeg je odbijen zahtjev za dostavljanje informacije nosiocu podataka o obradi njegovih ličnih podataka.

(4) Kontrolor podataka dužan je da podnese Agenciji godišnji izvještaj o odbijenim zahtjevima nosioca podataka.

Član 29

(Donošenje odluke na osnovu automatske obrade podataka)

(1) Kontrolor ne može da donese odluku koja će proizvesti pravno dejstvo na nosioca podataka ili koja može značajno da utiče na njega, a cilj joj je da procijeni određene lične odlike nosioca podataka, koja je zasnovana isključivo na automatskoj obradi ličnih podataka.

(2) Izuzetno od odredbe stava (1) ovog člana, odluka donesena isključivo na osnovu automatske obrade podataka proizvodi pravno dejstvo za nosioca podataka:

a) ako je donesena u postupku zaključivanja ili izvršavanja ugovora, pod uslovom da je zahtjev nosioca podataka ispunjen ili ako postoje odgovarajuće mjere zaštite njegovih zakonitih interesa;

b) ako je kontrolor ovlašćen na osnovu zakona, koji takođe određuje mjere zaštite zakonitih interesa nosioca podataka, da donese takvu odluku.

Član 30

(Podnošenje prigovora)

(1) Kada nosilac podataka ustanovi ili posumnja da su kontrolor ili obrađivač podataka povrijedili njegovo pravo ili da postoji direktna opasnost za povredu prava, može da podnese prigovor Agenciji radi zaštite svojih prava i da zahtijeva da:

a) se kontrolor ili obrađivač uzdrže od takvih radnji i isprave činjenično stanje prouzrokovano tim radnjama;

b) kontrolor ili obrađivač isprave ili dopune lične podatke tako da oni budu autentični i tačni;

c) lični podaci budu blokirani ili uništeni.

(2) O zahtjevu nosioca podataka iz stava (1) ovog člana Agencija donosi rješenje koje se dostavlja podnosiocu prigovora i kontroloru.

(3) Protiv rješenja Agencije nije dozvoljena žalba, ali može da se pokrene upravni spor kod Suda Bosne i Hercegovine.

(4) Prilikom odlučivanja o prigovoru, Agencija postupa prema odredbama Zakona o upravnom postupku.

Član 31

(Oslobađanje od odgovornosti)

(1) Agencija može da oslobodi kontrolora podataka od odgovornosti ako dokaže da nije mogao da spriječi povredu prava nosioca podataka koju je prouzrokovalo lice koje radi na obradi ličnih podataka.

(2) Nosilac podataka i pored toga može da zahtijeva od kontrolora ili obrađivača da obustavi nepravilnosti, ispravi nezakonito prouzrokovano činjenično stanje, izvrši ispravku, dopunu, blokadu ili uništi lične podatke.

Član 32

(Odgovornost za štetu)

(1) Kontrolor podataka dužan je da nadoknadi materijalnu ili nematerijalnu štetu nosiocu podataka ako mu je ona nanesena zbog povrede prava na privatnost.

(2) U sporovima radi nadoknade štete nosilac podataka podnosi tužbu nadležnom sudu na čijem području ima prebivalište ili boravište, ili nadležnom sudu na čijem području kontrolor ima sjedište.

(3) Visinu novčane nadoknade za materijalnu štetu utvrđuje nadležni sud, osim ako se stranke pred sudom sporazumno ne dogovore o visini nadoknade.

(4) Nematerijalna šteta nadoknađuje se javnim izvinjenjem te isplatom pravične novčane nadoknade.

(5) Kontrolor podataka će odgovarati ako je povredu prava nosioca podataka, propisanih ovim zakonom, nanio i obrađivač.

Član 33

(Oslobađanje od odgovornosti za štetu)

(1) Kontrolor podataka može da se oslobodi odgovornosti za štetu, u cjelini ili djelimično, ako dokaže da nije odgovoran za događaj koji je doveo do nastanka štete.

(2) Obeštećenje se neće isplatiti za štetu koju je oštećena strana prouzrokovala namjerno ili krajnjom nepažnjom.

GLAVA IV – ORGAN ZADUŽEN ZA ZAŠTITU PODATAKA

Član 34

(Djelokrug propisivanja)

Na sva pitanja organizacije i upravljanja te druga pitanja značajna za funkcionisanje Agencije kao upravne organizacije, kao što je donošenje pravilnika o unutrašnjoj organizaciji i ostalih podzakonskih propisa, upravni nadzor, odnos između institucija Bosne i Hercegovine, te odnos Agencije prema pravnim i fizičkim licima, u mjeri u kojoj nisu propisana ovim zakonom, primjenjuje se Zakon o ministarstvima i drugim organima uprave Bosne i Hercegovine i Zakon o upravi.

Član 35

(Definicija Agencije)

(1) Agencija je samostalna upravna organizacija osnovana da bi se obezbijedila zaštita ličnih podataka, na čijem čelu je direktor.

(2) Agencija djeluje potpuno nezavisno u izvršenju dužnosti koje su joj povjerene.

Član 36

(Finansiranje)

Sredstva potrebna za finansiranje rada Agencije obezbjeđuju se iz buxeta institucija Bosne i Hercegovine i međunarodnih obaveza Bosne i Hercegovine.

Član 37

(Uspostavljanje Agencije)

(1) Sjedište Agencije je u Sarajevu.

(2) Agencija može da ima odjeljenja i ostale organizacione jedinice koje se uspostavljaju pravilnikom o unutrašnjoj organizaciji.

Član 38

(Radni odnosi u Agenciji)

(1) Zaposleni Agencije su državni službenici i zaposlenici.

(2) Radni odnosi državnih službenika koji rade u Agenciji uređuju se Zakonom o državnoj službi u institucijama Bosne i Hercegovine.

(3) Radni odnosi zaposlenika unutar Agencije uređuju se Zakonom o radu u institucijama Bosne i Hercegovine.

(4) Radna mjesta na kojima rade državni službenici i ostali zaposleni uređuje se pravilnikom o unutrašnjoj organizaciji.

Član 39

(Nacionalna zastupljenost)

Struktura državnih službenika i zaposlenika u Agenciji generalno odražava nacionalnu strukturu stanov- ništva Bosne i Hercegovine prema popisu stanovništva iz 1991. godine.

Član 40

(Nadležnosti i poslovi Agencije)

(1) Poslovi iz nadležnosti Agencije su:

a) nadgledanje sprovođenja odredaba ovog Zakona i drugih zakona o obradi ličnih podataka;

b) postupanje po podnesenim prigovorima nosioca podataka;

c) podnošenje Parlamentarnoj skupštini Bosne i Hercegovine godišnjeg izvještaja o zaštiti ličnih podataka, koji treba da bude dostupan javnosti;

d) praćenje uslova za zaštitu ličnih podataka davanjem predloga za usvajanje ili izmjenu zakona koji se odnose na obradu ličnih podataka, te davanje mišljenja sa predlozima tih zakona i staranje o ispunjavanju kriterijuma zaštite podataka koji proističu iz međunarodnih sporazuma obavezujućih za Bosnu i Hercegovinu.

2) Agencija je ovlašćena da:

a) putem inspekcije nadzire da li se ispunjavaju obaveze propisane ovim zakonom;

b) vodi Glavni registar;

c) prima primjedbe i prigovore građana koje se odnose na kršenje ovog Zakona;

d) donosi propise za sprovođenje, smjernice ili druge pravne akte, u skladu sa zakonom;

e) nalaže da se blokiraju, brišu ili unište podaci, privremeno ili trajno zabrani obrada, upozorava ili opominje kontrolora;

f) podnosi zahtjev za podnošenje prekršajnog postupka u skladu sa ovim zakonom;

g) daje savjete i mišljenja u vezi sa zaštitom ličnih podataka;

h) sarađuje sa sličnim organima u drugim državama;

i) vrši druge dužnosti propisane zakonom;

j) nadzire iznošenje ličnih podataka iz Bosne i Hercegovine;

k) izreći kaznu u okviru prekršajnog postupka, u skladu sa ovim zakonom.

Član 41

(Kontrola koju vrši Agencija)

(1) Kad uoči nezakonitu obradu ličnih podataka, Agencija zahtijeva od kontrolora da prekine takvu obradu te nalaže druge mjere. Kontrolor bez odgađanja preduzima naložene mjere i o tome u roku od 15 dana pismeno informiše Agenciju.

(2) U vršenju dužnosti Agencija može da zahtijeva od kontrolora ili obrađivača podataka da joj dostavi informacije o bilo kojem pitanju, a takođe može i da izvrši uvid u bilo koji dokument i evidenciju u kojima mogu da budu lični podaci.

(3) Agencija ima pravo da uđe u sve prostorije u kojima se vrši obrada podataka. Ulazak i kontrola imovine i prostorija kontrolora podataka koji nisu propisani zakonom mogu da se obavljaju jedino tokom radnog vremena.

(4) Državne i službene tajne neće predstavljati prepreku za Agenciju da ostvari svoja prava navedena u ovom članu, ali odredbe o tajnosti su i za Agenciju obavezujuće.

(5) Javni organi vlasti obavezni su da Agenciji na njen zahtjev pruže podršku u vršenju njenih dužnosti.

Član 42

(Rukovođenje – direktor)

(1) Agencijom rukovodi direktor Agencije (u daljem tekstu: direktor).

(2) Za svoj rad i rad Agencije direktor je odgovoran Parlamentarnoj skupštini Bosne i Hercegovine.

(3) Direktor ima jednog zamjenika.

(4) Zamjenik direktora zamjenjuje direktora za vrijeme njegovog odsustva i izvršava dužnosti koje mu prenese direktor.

Član 43

(Imenovanje direktora i zamjenika direktora)

Direktora i zamjenika direktora imenuje Parlamentarna skupština Bosne i Hercegovine na mandat od pet godina, uz mogućnost ponovnog imenovanja.

Član 44

(Posebni uslovi za imenovanje direktora i zamjenika direktora)

Osim opštih uslova, kandidat za direktora i zamjenika direktora mora imati:

a) obrazovanje diplomiranog pravnika najmanje VII stepena stručne spreme, odnosno bolonjskog sistema studiranja, sa ostvarenih 240 bodova;

b) pet godina radnog iskustva na poslovima rukovođenja u upravi;

c) dokazano iskustvo u oblasti poštovanja ljudskih prava;

d) priznat visok moralni status.

Član 45

(Uslovi za suspenziju i razrješenje direktora i zamjenika direktora)

(1) Parlamentarna skupština Bosne i Hercegovine može suspendovati direktora i zamjenika direktora ako se otkrije nezakonit rad Agencije.

(2) Suspenzija će trajati sve dok se nezakonit rad Agencije ne utvrdi konačnom odlukom.

(3) Parlamentarna skupština Bosne i Hercegovine može razriješiti direktora i zamjenika direktora prije isteka njegovog mandata:

a) na njegov zahtjev;

b) ako trajno nije u mogućnosti da obavlja svoje dužnosti;

c) ako se utvrdi nezakonit rad Agencije;

d) ako mu je konačnom odlukom utvrđena disciplinska odgovornost;

e) ako mu je izrečena pravosnažna kazna zatvora u trajanju dužem od šest mjeseci.

Član 46

(Dužnosti i odgovornosti direktora)

(1) Direktor:

a) predstavlja Agenciju;

b) izrađuje godišnji plan rada shodno smjernicama predsjedavajućeg Savjeta ministara, te godišnji buxet Agencije i predlaže ih na usvajanje Savjetu ministara;

c) rukovodi i usmjerava poslove iz nadležnosti Agencije;

d) predlaže nadležnom organu da pokrene pregovore u vezi sa zaključivanjem međunarodnih sporazuma o saradnji u vezi sa pitanjima zaštite ličnih podataka;

e) vrši stalne analize radi racionalnog rasporeda zaposlenih i tehničkih sredstava.

(2) Osim dužnosti i odgovornosti iz stava (1) ovog člana, direktor obavlja i druge poslove, kao što su:

a) predlaganje Savjetu ministara pravilnika o unutrašnjoj organizaciji uključujući ukupni broj zaposlenih i kriterijume za popunjavanje, drugih pravilnika i drugih propisa predviđenih zakonom, u skladu sa Zakonom o ministarstvima i drugim organima Bosne i Hercegovine;

b) imenovanje rukovodilaca organizacionih jedinica Agencije;

c) dodjeljivanje zadataka pomoćnicima direktora u skladu sa zakonom;

d) odlučivanje o pravima i dužnostima iz radnog odnosa državnih službenika i ostalih zaposlenih u skladu sa važećim zakonima iz ove oblasti;

e) nabavljanje opreme i drugih materijalnih sredstava za potrebe Agencije;

f) podnošenje godišnjeg izvještaja o radu Savjetu ministara, a, po potrebi ili na zahtjev ministra, podnošenje i posebnih izvještaja;

g) dostavljanje izvještaja Parlamentarnoj skupštini Bosne i Hercegovine i Savjetu ministara;

h) obavljanje i drugih dužnosti propisanih zakonom.

(3) Direktor je odgovoran za zakonit rad Agencije i za zakonito trošenje sredstava dodijeljenih Agenciji iz buxeta institucija Bosne i Hercegovine i međunarodnih obaveza Bosne i Hercegovine.

Član 47

(Kontrola aktivnosti Agencije)

Parlamentarna skupština Bosne i Hercegovine može, po potrebi, da zatraži da se izvrši kontrola rada Agencije.

GLAVA IVa – LIČNI PODACI BIVŠIH INSTITUCIJA

Član 47a

(Lični podaci bivših institucija)

(1) Bivše institucije, u smislu ovog zakona, jesu organi uprave, organi izvršne i sudske vlasti, kao i društvene organizacije Socijalističke Federativne Republike Jugoslavije.

(2) Lične podatke koje su pohranile bivše institucije mogu koristiti javni organi BiH, koji po prirodi poslova izvršavaju iste nadležnosti, u skladu sa ovim zakonom.

Član 47b

(Uslovi za obradu podataka bivših institucija)

(1) Javnim organima u Bosni i Hercegovini dozvoljena je obrada podataka bivših institucija u sljedećim slučajevima:

a) obrada podataka je potrebna za zakonito izvršavanje dužnosti unutar njihovog djelokruga;

b) obnavljanje prikupljanja tih podataka predstavlja neprimjeren napor;

c) nosilac podataka nije podnio prigovor za obradu u skladu sa članom 47c. ovog zakona;

d) nadležnost i odgovornost javnog organa koje obrađuje podatke jasno je određena.

(2) Lični podaci koji se obrađuju u skladu sa stavom (1) ovog člana obrađuju se isključivo u svrhu izvršavanja nadležnosti javnog organa.

Član 47c

(Pravo na prigovor zbog obrade podataka bivših institucija)

(1) Nosilac podataka može podnijeti prigovor na obradu podataka bivših institucija ako su ti podaci prikupljeni bez njegove saglasnosti ili ako je to u suprotnosti sa sada važećim zakonskim pravilima.

(2) Nosilac podataka treba da bude na primjeren način obaviješten o:

a) izvoru tih podataka;

b) svrsi njihovog izvornog korišćenja;

c) vrsti i obimu namjeravane obrade;

d) sadašnjem javnom organu koji je odgovoran za obradu podataka i

e) mogućnosti podnošenja prigovora za obradu.

(3) Javni organ prije početka obrade podataka može nosioce podataka uopšteno obavijestiti, ako pojedinačno saopštenje predstavlja neprimjeren napor ili ako legitiman interes nosioca podataka ne prevlada, kada je potrebno lično upoznavanje nosioca podataka sa obradom podataka.

Član 47d

(Brisanje ličnih podataka bivših institucija)

(1) Ako obrada podataka bivših institucija nije dozvoljena u skladu sa članom 47b. ovog zakona, onda javni organ u čijem je posjedu taj podatak treba da ga preda nadležnom arhivu.

(2) Nosilac podataka može zahtijevati brisanje podataka bivših institucija ako su oni nezakonito prikupljeni.

(3) Javni organ koji zaprimi takav zahtjev dužan je da donese odluku o brisanju podataka ako to nije suprotno javnom interesu ili legitimnim interesima treće strane.

GLAVA V – KAZNENE ODREDBE

Član 48

(1) Novčanom kaznom u iznosu od 50.000 KM do 100.000 KM kazniće se za prekršaj kontrolor ako:

a) protivpravno obrađuje posebnu kategoriju ličnih podataka (član 9);

b) prenosi lične podatke u inostranstvo ako u državi u koju se prenose nisu zadovoljeni uslovi predviđeni u članu 5. ovog Zakona i pod uslovom da strani kontrolor za sve podatke ne ispoštuje iste principe zaštite podataka (član 18).

(2) Za prekršaj iz stava (1) ovog člana kazniće se odgovorno lice u kontroloru novčanom kaznom u iznosu od od 1.000 KM do 15.000 KM.

(3) Za prekršaj iz stava (1) ovog člana kazniće se zaposlenik u kontroloru novčanom kaznom u iznosu od 500 KM do 10.000 KM.

Član 49

(1) Novčanom kaznom u iznosu od 10.000 KM do 100.000 KM kazniće se za prekršaj kontrolor ako:

a) obrađuje lične podatke suprotno članu 4. ovog Zakona;

b) obrađuje lične podatke bez saglasnosti nosioca podataka (član 5. stav (1));

c) obrađuje lične podatke bez saglasnosti nosioca podataka a nije ispunjen nijedan od uslova iz člana 6;

d) ne provjeri da li su lični podaci koje obrađuje autentični i tačni (član 7. stav (1));

e) bez odgađanja ne uništi netačne i nepotpune podatke (član 7. stav (2));

f) obrađuje lične podatke na osnovu posebnog zakona a ne poštuje pravo na zaštitu privatnog i ličnog života nosioca podataka (član 8. stav (1));

g) prenosi lične podatke odnosno objedinjuje dosijee i evidencije a da nisu zadovoljeni propisani uslovi (član 8. stav (2));

h) automatski obrađuje posebnu kategoriju ličnih podataka a da nije obezbijedio zakonom predviđenu zaštitu (član 10);

i) ne preduzme neophodne mjere i postupke protiv neovlašćenog ili slučajnog pristupa, mijenjanja, uništenja ili gubitka, neovlašćenog prenosa, drugih oblika nezakonite obrade, kao i mjere protiv zloupotrebe ličnih podataka (član 11. stav (2));

j) ne sačini plan bezbjednosti podataka (član 11. stav (4));

k) povjeri obradu ličnih podataka obrađivaču a da sa njim ne sačini ugovor o tome (član 12. stav (1));

l) obrađivač podataka prenese svoju odgovornost na drugog obrađivača a za to nije izričito dobio uputstvo kontrolora (član 12. stav (4));

m) protivpravno da lične podatke trećoj strani (član 17);

n) podatke prikupljene i pohranjene u statističke, arhivske i naučne svrhe koristi u druge svrhe (član 20. stav (1));

o) objavi informaciju dobijenu prilikom obrade ličnih podataka u statističke, arhivske i naučne svrhe bez saglasnosti nosioca podataka (član 21);

p) ne postupi po zahtjevu Agencije da prekine nezakonitu obradu ličnih podataka i ne preduzme naložene mjere (član 41. stav (1));

lj) kontrolor ili obrađivač koji ne dostavi informaciju po zahtjevu Agencije ili onemogući Agenciji uvid u bilo koji dokument ili evidenciju u kojima mogu da budu lični podaci (član 41. stav (2));

r) onemogući ulazak službenicima Agencije u bilo koje prostorije u kojima se vrši obrada ličnih podataka (član 41. stav (3));

s) ne odredi predstavnika za obradu podataka u Bosni i Hercegovini (član 12a.);

t) vrši video-nadzor a nije donio odluku koja će sadržavati pravila obrade i/ili nije istakao obavještenje o vršenju video-nadzora na vidnom mjestu (član 21a.).

(2) Za prekršaj iz stava (1) ovog člana kazniće se odgovorno lice u kontroloru novčanom kaznom u iznosu od 500 KM do 10.000 KM.

(3) Za prekršaj iz stava (1) ovog člana kazniće se zaposlenik u kontroloru novčanom kaznom u iznosu od 300 KM do 5.000 KM.

Član 50

(1) Novčanom kaznom u iznosu od 5.000 KM do 50.000 KM kazniće se za prekršaj kontrolor ako:

a) obrađuje lične podatke na osnovu saglasnosti nosioca podataka koja nije sačinjena u skladu sa članom 5. stav (2);

b) ne može da dokaže da postoji saglasnost i ko ne čuva saglasnost za vrijeme obrade ličnih podataka za čiju obradu je data saglasnost (član 5. st. (4. i 5));

c) koji povjeri obradu ličnih podataka obrađivaču a da ugovor ne sadrži propisane elemente (član 12. stav (2));

d) obrađivač podataka započne obradu na osnovu ugovora ili pravnog akta koji ne obavezuje obrađivača prema kontroloru (član 12. stav (3));

e) ne uspostavi i ne vodi propisanu evidenciju (član 13);

f) ne dostavi Agenciji podatke iz evidencije iz člana 13 (član 14. stav (1));

g) uspostavi zbirku ličnih podataka prije nego što dostavi zahtjev Agenciji (član 14. stav (2));

h) počne da uspostavlja zbirke ličnih podataka a da nije dobio saglasnost Agencije ili da nisu istekla dva mjeseca od kada je podnesen zahtjev Agenciji (član 14. stav (3));

i) u roku od 14 dana ne dostavi Agenciji podatke o uspostavljanju zbirke ličnih podataka ili o primjenama u formiranim zbirkama (član 14. stav (5));

j) ne vodi posebnu evidenciju o ličnim podacima koji su dati trećoj strani (član 17. stav (5));

k) obrađuje lične podatke u novinarske svrhe, svrhe umjetničkog i literarnog izražavanja suprotno odredbama o bezbjednosti i povjerljivosti podataka (član 19. stav (2));

l) lične podatke ne učini anonimnim nakon obrade za statističke, arhivske i naučne svrhe (član 20. stav (2));

m) ne obezbijedi prilikom obrade podataka za statističke, arhivske i naučne svrhe nivo zaštite propisan ovim zakonom (član 20. stav (3));

n) prije nego što počne da prikuplja podatke ne obavijesti nosioca podataka, osim ako on nije već obaviješten o tome (član 22);

o) ne obavijesti nosioca podataka o trećoj strani koja mu je dostavila lične podatke (član 23);

p) na osnovu zahtjeva nosioca podataka ne dostavi jednom godišnje, bez nadoknade, informaciju u vezi sa obradom njegovih ličnih podataka (član 25. stav (1));

r) ne dostavi informaciju u pisanoj i razumljivoj formi u roku od 30 dana od dana kada je podnesen zahtjev (član 25. stav (3));

s) odbije zahtjev da pruži informacije a da to nije zakonom predviđeno (član 26. stav (1));

t) ne obezbijedi nosiocu podataka da podnese besplatan prigovor u pogledu budućeg korišćenja ili prenosa njegovih podataka u svrhu direktnog marketinga ili ne obavijesti nosioca podataka prije prvog prenosa njegovih podataka trećoj strani u svrhu direktnog marketinga (član 26. stav (1));

u) dostavi lične podatke trećoj strani bez saglasnosti nosioca podataka (član 26. stav (2));

f) donese odluku isključivo na osnovu automatske obrade ličnih podataka (član 29).

č) ne navede razloge zbog kojih je odbijen zahtjev kojim je tražena informacija (član 28. stav (3));

dž) ne podnese Agenciji godišnji izvještaj o odbijenim zahtjevima nosilaca podataka (član 28. stav (4));

(2) Za prekršaj iz stava (1) ovog člana kazniće se odgovorno lice u kontroloru novčanom kaznom u iznosu od 200 KM do 5.000 KM.

(3) Za prekršaj iz stava (1) ovog člana kazniće se zaposlenik u kontroloru novčanom kaznom u oznosu od 100 KM do 1.000 KM.

Član 51

Novčanom kaznom u iznosu od 500 KM do 5.000 KM kazniće se za prekršaj lice koje obrađuje lične podatke protivno uslovima i obimu koje odredi kontrolor ili obrađivač (član 16. stav (1)).

Član 52

Novčanom kaznom u iznosu od 500 KM do 5.000 KM kazniće se za prekršaj odgovorno lice u javnom organu:

a) koje ne donese propis radi sprovođenja ovog Zakona (član 11. stav (3));

b) koje ne pruži podršku Agenciji u vršenju njene dužnosti (član 41. stav (5)).

GLAVA VI – PRELAZNE I ZAVRŠNE ODREDBE

Član 53

(Donošenje podzakonskih propisa)

(1) Savjet ministara donijeće propise iz čl. 11. i 15. ovog Zakona u roku od šest mjeseci od dana stupanja na snagu ovog Zakona.

(2) Savjet ministara može da donese i druge propise neophodne za sprovođenje ovog Zakona.

Član 54

(Postupak pristupa informacijama od javnog interesa)

Odredbe ovog Zakona uzeće se u obzir prilikom primjene Zakona o slobodi pristupa informacijama.

Član 55

(Mjere u prelaznom periodu)

(1) Kontrolor koji je obrađivao lične podatke do dana stupanja na snagu ovog Zakona, i koji podliježe obavezi iz člana 15, dužan je da izvrši ovu obavezu najkasnije u roku od šest mjeseca od dana kad je stupio na snagu ovaj zakon.

(2) Obrada ličnih podataka izvršena prije stupanja na snagu ovog Zakona biće usaglašena sa ovim zakonom do 31. decembra 2006. godine.

Član 56

(Imenovanja)

(1) Agencija će početi rad na osnovu posebne odluke Savjeta ministara, ali ne prije 1. januara 2006. godine.

(2) Do okončanja imenovanja direktora, Komisija za zaštitu ličnih podataka, imenovana u skladu sa Zakonom o zaštiti ličnih podataka (“Službeni glasnik BiH”, broj 32/01), nastavlja sa radom u skladu sa ovim zakonom.

Član 57

(Prestanak važenja prethodnog zakona)

(1) Danom stupanja na snagu ovog Zakona prestaje da važi Zakon o zaštiti ličnih podataka (“Službeni glasnik BiH”, broj 32/01).

(2) Propisi doneseni na osnovu Zakona o zaštiti ličnih podataka (“Službeni glasnik BiH”, broj 32/01) primjenjivaće se dok se ne donesu propisi na osnovu ovog Zakona.

Član 58

(Stupanje na snagu)

Ovaj Zakon stupa na snagu osmog dana od dana objavljivanja u “Službenom glasniku BiH”.