Službeni glasnik BiH, broj 70/25
Ovaj akt nije unešen na bosanskom jeziku.
Na osnovu člana 102. stav (1) tačka j) Zakona o zaštiti ličnih podataka ("Službeni glasnik BiH", broj 12/25), te uzimajući u obzir Smjernice o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade "vjerovatno prouzrokovati visok rizik" u smislu Uredbe 2016/679 (WP 248 rev. 1) od 04. aprila 2017., Agencija za zaštitu ličnih podataka u Bosni i Hercegovini donosi
ODLUKU
O UTVRĐIVANJU I JAVNOJ OBJAVI SPISKA OBRADA ZA KOJE JE POTREBNO PROVESTI PROCJENU UTICAJA NA ZAŠTITU LIČNIH PODATAKA
I.
Pored slučajeva predviđenih članom 37. stav (3) Zakona o zaštiti ličnih podataka, uzimajući u obzir izuzetak predviđen u članu 37. stavu (9) Zakona o zaštiti ličnih podataka, procjena uticaja na zaštitu ličnih podataka obavezna je kod obrade ličnih podataka u sljedećim slučajevima:
1) Obrada ličnih podataka radi sistemskog i obimnog profiliranja ili automatizovanog odlučivanja kako bi se donijeli zaključci koji u značajnoj mjeri utiču ili mogu uticati na nosioca podataka/ili nosioce podataka ili koji služe kao pomoć u donošenju odluka o pristupu nosioca podataka nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada ličnih podataka koji se odnose na ekonomski ili finansijski status, zdravlje, lične preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.);
2) Obrada ličnih podataka djece i maloljetnika u svrhu profiliranja ili automatizovanog odlučivanja ili za marketinške svrhe;
3) Obrada posebnih kategorija ličnih podataka u svrhu profiliranja ili automatizovanog odlučivanja;
4) Obrada ličnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga nosiocima podataka;
5) Obrada posebnih kategorija ličnih podataka ili ličnih podataka o krivičnoj ili prekršajnoj odgovornosti u velikom obimu;
6) Obrada ličnih podataka korištenjem sistemskog nadzora javno dostupnih mjesta u velikom obimu;
7) Upotreba novih tehnologija ili tehnoloških rješenja za obradu ličnih podatka ili sa mogućnošću obrade ličnih podataka (npr. primjena "interneta stvari", poput pametnih televizora, pametnih kućnih aparata, komunikacijski povezanih igračaka, sistema "pametni gradovi", pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, ličnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;
8) Obrada biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavaca ili u drugim slučajevima obrade ličnih podataka zaposlenih od strane poslodavaca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl;
9) Obrada ličnih podataka povezivanjem, upoređivanjem ili provjerom podudarnosti iz više izvora;
10) Obrada biometrijskih podataka kada je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerovatno prouzrokovati visok rizik za prava i slobode nosilaca podataka;
11) Obrada genetskih podataka kad je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerovatno prouzrokovati visok rizik za prava i slobode nosilaca podataka.
II.
Agencija za zaštitu ličnih podataka naglašava da postojanje spiska postupaka obrade za koje je potrebno provesti procjenu uticaja na zaštitu podataka ni na koji način ne umanjuje opštu obavezu kontroloru podataka da provede odgovarajuću procjenu rizika i upravljanje rizikom.
Provođenje procjene uticaja na zaštitu ličnih podataka ne oslobađa kontrolore podataka od obaveze da se pridržavaju drugih obaveza propisanih Zakonom o zaštiti ličnih podataka. Navedeni spisak ni u kojem slučaju ne ograničava ili isključuje provođenje procjene uticaja na zaštitu ličnih podataka, koju je uvijek potrebno provesti ako su ispunjeni uslovi iz člana 37. stav (1) Zakona o zaštiti ličnih podataka.
Procjena uticaja na zaštitu ličnih podataka obavezno se provodi prije obrade. Obaveza prethodnog savjetovanja sa Agencijom prije obrade postoji jedino ako bi se procjenom uticaja za zaštitu podataka pokazalo da bi, u slučaju da kontrolor obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika.
III.
Ova Odluka stupa na snagu u roku od osam dana od dana objavljivanja u "Službenom glasniku BiH".
