Institucije u Bosni i Hercegovini zakonski su obavezne da štite privatne podatke građana, kao i da sa njima postupaju sa najviše pažnje, ali dalje od šturih i zastarjelih zakonskih odredbi, te nekoliko osnovnih mehanizama koji uređuju ovu oblast, se nije mnogo odmaklo.
Dok se u Evropi i svijetu itekako štiti pravo na privatnost u digitalnom dobu kao jedno je od novijih oblika ljudskih prava, zaštita ličnih podataka građana u BiH još uvijek nije postavljena kao prioritet.
Direktor Centra za ljudska prava Dejan Lučka smatra da zaštita ličnih podataka nije prioritet u postupanju mnogih organa, te da dobar dio institucija ne informiše građane dovoljno o tome kako se njihovi podaci koriste, ko im ima pristup i na koji način su zaštićeni. Naročito rijetko proaktivno obavještavaju javnost o eventualnim incidentima u vezi sa zaštitom podataka o ličnosti, o čemu smo svjedočili početkom ove godine.
“Curenje informacija iz Poreske uprave i hakerski napadi na zdravstvene sisteme poput IZIS-a otkrivaju nedovoljnu pripremljenost institucija za sajber prijetnje. Oni koji žele podatke koje oni prikupljaju vjerovatno znaju da institucije ne obraćaju dovoljno pažnje na sigurnost i zaštitu ličnih podataka, i baš zato ih i targetiraju. Često se zloupotrebljava i jedinstveni matični broj građana (koji otkriva previše podataka), ali i drugih podataka, a praksa njegovog traženja u mnogim transakcijama ili poslovima često je prekomjerna i nepotrebna. Rekao bih i da se to nije u skladu sa takozvanim principom minimizacije podataka, čime se smanjuje rizik od povrede podataka i štiti privatnost” kaže Lučka.
Tu su svakako i problematične tehničke mjere zaštite, kaže Lučka, koje u mnogim organima nisu na najvišem nivou, a problem predstavlja i prekomjerno prikupljanje, kao i nedovoljna obučenost zaposlenih koji rukuju ličnim podacima. Kada na sve to izostane savremena tehnologija za čuvanje tih podataka, zbog čega su ranjivi na napade, lako dolazi do situacije da procure ili postanu predmet zloupotrebe. Tu doprinose i građani, koji se standardno ne brinu o curenju podataka, a često nisu ni svjesni kakve posljedice mogu da nastupe. Olako daju podatke bez promišljanja.
Neusklađeni propisi
“Ipak, možda je i najveći problem to što još uvijek nismo uskladili propise sa evropskim standardima. BiH mora modernizovati svoje propise i uskladiti ih prvenstveno sa GDPR-om (General Data Protection Regulation). Međutim, usklađivanje je samo prva stepenica, potrebno je implementirati odredbe u praksi što uopšte nije jednostavna ni brza radnja i mislim da će to da bude višegodišnji proces, od edukacije, preko imenovanja posebnih službenika za zaštitu podataka, pa do uvođenja i sprovođenja politika u institucijama ali i privatnom sektoru. Da ne govorim da će se morati ojačati i Agencija za zaštitu ličnih podataka BiH, naročito u pogledu ljudskih resursa”, kaže Lučka i dodaje da je najavljeno donošenje novog zakona o zaštiti ličnih podataka i to u skorije vrijeme.
Pravo na privatnost u digitalnom dobu postalo je ključno pitanje u kontekstu zaštite ličnih podataka građana. U BiH, regulativa koja se bavi ovom temom je Zakon o zaštiti ličnih podataka, koji se primjenjuje na sve lične podatke koje obrađuju javni organi, fizička i pravna lica. Ovaj zakon ima za cilj da obezbijedi zaštitu ljudskih prava i osnovnih sloboda, posebno prava na privatnost. Ovaj zakon je donesen 2006. godine te reviditran 2011. godine.
Takođe, BiH je preuzela obavezu usklađivanja svog zakonodavstva sa pravnom stečevinom Evropske unije kroz Sporazum o stabilizaciji i pridruživanju. Ovo uključuje i usklađivanje Zakona o zaštiti ličnih podataka s Opštom uredbom o zaštiti podataka (GDPR) EU koja je stupila na snagu 2018. godine i koja predviđa stroži nadzor nad obradom rizičnih podataka.
Advokat Petar Kovačević, koji je ranije bio i direktor pomenute Agencije, kaže da institucije privatne podatke građana tretiraju kao svoje privatno vlasništvo. Kada su u pitanju njihove nadležnosti, institucije mogu obrađivati lične podatke građana isključivo kada je to neophodno da bi se izvršio zadatak koji im je povjeren u javnom interesu.
Standardi se mijenjaju ali ne i zakoni u BiH
“Privatizacija ličnih podataka i njihova zloupotreba su neprihvatljive i neoprostive u demokratskim državama. Formalno pravno zaštita ličnih podataka kod nas nije loša imajući u vidu ustavne granice, kriminalizaciju protivzakonite obrade ličnih podataka i Zakon o zaštiti ličnih podataka koji je bio usklađen sa tada važećim evropskim standardima. Međutim, reformom evropskog zakonodavstva iz 2016. godine značajno je ojačana zaštita ličnih podataka uvođenjem novih prava, obaveza kontrolora, nadležnosti i ovlaštenja nadzornih organa, te sankcija. Jedino BiH u regiji nije pruzela Opštu uredbu o zaštiti ličnih podataka što dovoljno govori o odnosu vlasti, a i njihovom legitimitetu, prema odgovornosti i ljudskim pravima. Mi smo šampioni u, gotovo u svim lošim stvarima, kao što smo na začelju u dobrim i za građane korisnim stvarima”, kaže Kovačević.
U vrijeme kad se raspravlja o vještačkoj inteligenciji, u kontekstu obrade ličnih podataka, kaže on, kod nas je akcenat na stvarima poput traženja kopija ličnih karata po pozivu opštine za sjemena. Članice Evropske unije su nakon usvajanja Opšte uredbe vršile analizu usklađenosti na hiljade propisa i mijenjali na stotine zakona, iz sektorskih oblasti, kako bi dosljedno ispoštovale svoje preuzete obaveze prije svega prema svojim građanima. BiH tome nije ni blizu.
“Curenje ličnih podataka iz javnih institucija je zabrinjavajuće, a još je gore da su te vijesti za dnevnu upotrebu bez ikakvih posljedičnih implikacija za odgovorne. Građani još uvijek trpe štetu zbog blokada u IZIS-u, i to u tako važnom pitanju – pitanju zdravlja a time i života. Da stvar bude gora, rješenje se ne nazire kao ni interes odgovornih da taj problem riješe. Brojne su obaveze kontrolora, pa tako i javnih institucija, u primjeni odgovarajućih tehničkih i organizacijskih mjera kako bi se obezbijedila zakonita obrada ličnih podataka”, kaže Kovačević i dodaje da je obrada ličnih podataka koja nije obezbijeđena na adekvatan način je protivzakonita.
Najveće greške, kaže, prave se olakim činjenjem dostupnim svojih ličnih podataka putem drušvenih mreža i slično čime se gubi kontrola nad istim, pogotovo u tom svijetu gdje postoji značajan broj onih koji te podatke zloupotrebljavaju. Primjera radi, fotografisanje lične karte i slanje iste na zahtjev neprovjerenog lica, pod raznim izgovorima, gotovo da zvoni na uzbunu i najavljuje problem.
Niska svijest građana o sopstvenoj zaštiti
“Da se našalim, najveća je greška živjeti u ovakvoj državi. Bitno je da značajno podignemo svijest nosilaca ličnih podataka o njihovim pravima u vezi sa istim. Najveći problem kod nas, ne samo za zaštitu ličnih podataka, kao jednog od osnovnih ljudskih prava, jeste pa gotovo potpuno odsustvo odgovornosti vlasti”, kaže Kovačević.
Viši asistent je na Studijskom programu za novinarstvo i komunikologiju Fakulteta političkih nauka Borislav Vukojević kaže da zaštita ličnih podataka u BiH predstavlja složeno pitanje koje zahtijeva pažljivu analizu. Trenutno se suočavamo sa situacijom u kojoj institucije pokazuju neujednačen pristup u zaštiti ličnih podataka građana, što se manifestuje kroz nedovoljnu digitalnu sigurnost sistema i neadekvatno čuvanje dokumentacije. Ističe da iako Agencija za zaštitu ličnih podataka BiH djeluje kao glavno regulatorno tijelo, upravo ona se često suočava sa ograničenim kapacitetima za efikasan nadzor.
“Posebno zabrinjava činjenica da ni sami građani nisu dovoljno posvećeni zaštiti vlastitih podataka. Često se susrećemo sa neopreznim dijeljenjem ličnih informacija na društvenim mrežama, nekorištenjem sigurnosnih postavki i zaštite na online platformama, te nedovoljnom sviješću o vrijednosti ličnih podataka. Građani rijetko čitaju uslove korištenja prije davanja pristanka i često koriste slabe lozinke koje rijetko mijenjaju”, kaže Vukojević.
Što se tiče usklađenosti sa evropskim standardima, BiH je tek djelimično uskladila svoje zakonodavstvo sa GDPR-om EU, a značajne razlike postoje u visini kazni za kršenje propisa, mehanizmima nadzora i pravima građana na pristup podacima.
“Kao zemlja sa statusom potencijalnog kandidata za članstvo u EU, BiH mora uložiti dodatne napore u usklađivanje propisa i njihovu implementaciju. Za unapređenje trenutne situacije, neophodan je sveobuhvatan pristup koji uključuje kontinuiranu edukaciju građana, jačanje tehničkih i kadrovskih kapaciteta institucija, te strožu primjenu postojećih propisa uz uvođenje većih kazni za neodgovorno postupanje sa ličnim podacima. Takođe, ključna je bolja koordinacija između različitih nivoa vlasti u BiH, kao i usklađivanje sa novim EU direktivama o privatnosti”, kaže Vukojević i dodaje da samo ovakvim sistemskim pristupom možemo osigurati adekvatnu zaštitu ličnih podataka građana i približiti se evropskim standardima u ovoj oblasti.