Zašto su javne institucije u FBiH posebno izložene rizicima prema novom Zakonu o zaštiti ličnih podataka

U današnjem svijetu gotovo svaka javna institucija u Federaciji BiH svakodnevno obrađuje velike količine ličnih podataka. Od evidencije zaposlenih i internih administrativnih procesa, do podataka građana koji koriste javne usluge – obim informacija kontinuirano raste, a s njim i rizici povezani sa zaštitom ličnih podataka.

Novi Zakon o zaštiti ličnih podataka u FBiH dodatno je pojačao odgovornost javnih institucija u pogledu načina na koji se lični podaci prikupljaju, obrađuju, čuvaju i dijele. Zaštita podataka više nije pitanje dobre prakse ili tehničke podrške IT sektora – ona predstavlja zakonsku obavezu rukovodstva i cijele organizacije.

Cilj ovog bloga je pokazati da rizik nije apstraktan niti rijedak. On se dešava svakodnevno – u svakom e-mailu koji se pošalje bez provjere, u svakom dokumentu koji se pogrešno arhivira i u svakom procesu u kojem zaposleni nisu sigurni kako pravilno postupati sa osjetljivim informacijama. Razumijevanje ovih rizika prvi je korak ka stvarnom i održivom upravljanju zaštitom ličnih podataka, uz primjenu zakonskih zahtjeva i međunarodnih standarda kao što su GDPR, ISO 27001 i ISO 27701.

Šta se smatra ličnim podacima u javnim institucijama

U kontekstu novog Zakona o zaštiti ličnih podataka u Federaciji BiH, lični podaci obuhvataju svaku informaciju koja se može povezati s određenim pojedincem. U javnom sektoru to uključuje, ali nije ograničeno na:

imena i prezimena zaposlenih i građana
adrese prebivališta, brojeve telefona i e-mail adrese
evidencije o korištenju javnih usluga
podatke o radnom vremenu, bolovanjima i isplatama
službene spise i dokumente koji sadrže identifikacijske podatke

Svaki od ovih podataka nosi određeni rizik, a njihova kombinacija može dovesti do ozbiljnih posljedica u slučaju neadekvatne zaštite. Upravo zbog toga zakon ne prepoznaje samo postojanje pravilnika ili arhiva kao dovoljan dokaz usklađenosti, već zahtijeva sistemski i kontrolisan pristup upravljanju podacima – onakav kakav definiraju ISO 27001 i ISO 27701.

Posebna osjetljivost zdravstvenih i sličnih podataka

Iako fokus ovog teksta nisu zdravstvene ustanove, važno je naglasiti da javne institucije često obrađuju i posebne kategorije ličnih podataka. Podaci koji se odnose na zdravlje, terapije, invaliditet ili druge osjetljive informacije zahtijevaju znatno viši nivo zaštite. Čak i manji propust u obradi ovakvih podataka može predstavljati ozbiljno kršenje Zakona o zaštiti ličnih podataka, sa značajnim pravnim i reputacijskim posljedicama za instituciju. Upravo tu se vidi razlika između formalne usklađenosti i stvarne primjene GDPR principa, kao i vrijednost implementacije ISO 27001 i ISO 27701 u svakodnevnom radu.

Tipične situacije koje dovode do kršenja zaštite ličnih podataka

Iskustvo pokazuje da najveći broj incidenata u javnim institucijama ne nastaje zbog sofisticiranih cyber napada, već zbog svakodnevnih operativnih situacija i ljudske greške.

1. E-mail komunikacija
Slanje poruka pogrešnom primaocu, korištenje „CC“ umjesto „BCC“ ili slanje dokumenata bez adekvatne provjere sadržaja često dovodi do neovlaštenog otkrivanja ličnih podataka.

2. Papirna dokumentacija
Uprkos digitalizaciji, papirna dokumentacija i dalje predstavlja značajan rizik. Neadekvatno arhiviranje, ostavljanje dokumenata na dostupnim mjestima ili gubitak papira direktno krše principe zaštite ličnih podataka.

3. Informacioni sistemi i baze podataka
Nejasno definisani nivoi pristupa, neadekvatne dozvole i nedostatak nadzora nad korištenjem sistema dovode do toga da osjetljivi podaci budu dostupni osobama koje za to nemaju zakonsko ovlaštenje.

4. Ljudski faktor
Nedovoljna edukacija zaposlenih, preopterećenost ili nejasno definisane odgovornosti često rezultiraju nenamjernim kršenjem zakona.

Sve ove situacije jasno pokazuju da zaštita ličnih podataka u javnim institucijama nije isključivo tehničko pitanje, već dio organizacijske kulture i upravljanja.

Zašto se problemi često otkriju tek tokom inspekcijskog nadzora

U praksi se često dešava da propusti u zaštiti ličnih podataka ostanu neprimijećeni sve dok:

ne dođe do inspekcijskog nadzora u skladu sa Zakonom o zaštiti ličnih podataka
građani ne ulože prigovor ili zahtjev za ostvarivanje svojih prava
institucija ne provede internu reviziju ili audit

Tokom ovakvih kontrola, uključujući i nadzor Agencije za zaštitu ličnih podataka BiH, rukovodstvo se suočava s posljedicama koje su se mogle spriječiti proaktivnim pristupom i jasnim sistemom upravljanja zaštitom podataka.

Uloga rukovodstva u usklađenosti sa Zakonom o zaštiti ličnih podataka

Odgovornost za zaštitu ličnih podataka ne leži isključivo na IT sektoru. Rukovodstvo javnih institucija u FBiH ima ključnu ulogu u uspostavljanju sistema koji osigurava zakonsku usklađenost i smanjenje rizika.

Primjena ISO 27001 i ISO 27701 omogućava rukovodstvu da:

identifikuje rizike u obradi ličnih podataka
jasno definiše odgovornosti i procedure
uspostavi kontrolu nad e-mail komunikacijom, dokumentacijom i informacionim sistemima
dokaže usklađenost sa GDPR-om i Zakonom o zaštiti ličnih podataka u FBiH

Ovi standardi ne predstavljaju birokratsku formalnost, već praktičan alat za svakodnevno upravljanje zaštitom podataka.

Zaključak

Zaštita ličnih podataka u javnim institucijama u Federaciji BiH predstavlja zakonsku obavezu i sastavni dio odgovornog upravljanja. Rizici su prisutni svakodnevno – u e-mailovima, papirnoj dokumentaciji, informacionim sistemima i ljudskim odlukama – i mogu imati ozbiljne posljedice ako se ne prepoznaju i ne upravljaju na vrijeme.

Implementacija ISO 27001 omogućava sistemski pristup sigurnosti podataka, dok ISO 27701 predstavlja logičnu nadogradnju za institucije koje žele dodatno osigurati privatnost i dokazati usklađenost sa novim Zakonom o zaštiti ličnih podataka u FBiH.

Prvi korak ka sigurnijoj i pouzdanijoj instituciji jeste jasno razumijevanje koje se podatke obrađuje, gdje postoje rizici i kako ih kontrolisati kroz jasan, strukturiran i održiv sistem upravljanja zaštitom ličnih podataka.