Na osnovu člana IV.4.a) Ustava Bosne i Hercegovine, Parlamentarna skupština Bosne i Hercegovine, na 79. sjednici Predstavničkog doma, održanoj 17. maja 2006. godine, i na 58. sjednici Doma naroda, održanoj 23. maja 2005. godine, usvojila je
ZAKON
O ZAŠTITI LIČNIH PODATAKA
(Objavljeno u "Sl. glasnik BiH", br. 49 od 27 juna 2006, 76/11, 89/11)
POGLAVLjEI. OPĆE ODREDBE
(Predmet Zakona)
Član 1.
(1) Cilj ovog Zakona je da se na teritoriji Bosne i Hercegovine svim licima, bez obzira na njihovo državljanstvo ili prebivalište, osigura zaštita ljudskih prava i osnovnih sloboda, a naročito pravo na privatnost i zaštitu podataka u pogledu obrade ličnih podataka koji se na njih odnose.
(2) Ovim Zakonom osniva se Agencija za zaštitu ličnih podataka u Bosni i Hercegovini (u daljnjem tekstu: Agencija), utvrđuju se: njena nadležnost, organizacija i upravljanje, kao i druga pitanja značajna za njen rad i zakonito funkcioniranje.
(Obim primjene Zakona)
Član 2.
(1) Ovaj Zakon primjenjuje se na lične podatke koje obrađuju svi javni organi, fizička i pravna lica, osim ako drugi zakon ne nalaže drugačije.
(2) Ovaj Zakon neće se primjenjivati na lične podatke koje obrađuju fizička lica isključivo u svrhu ličnih aktivnosti ili aktivnosti domaćinstva.
(Definicije)
Član 3.
Pojedini izrazi upotrijebljeni u ovom Zakonu imaju sljedeća značenja:
- lični podaci znače bilo koju informaciju koja se odnosi na fizičko lice koje je identificirano ili se može utvrditi identitet lica;
- nosilac podataka je fizičko lice čiji se identitet može ustanoviti ili identificirati, neposredno ili posredno, naročito na osnovu jedinstvenog matičnog broja te jednog ili više faktora karakterističnih za fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet tog lica;
- posebne kategorije podataka su svi lični podaci koji otkrivaju:
a) rasno porijeklo, nacionalno ili etničko porijeklo, političko mišljenje ili stranačku pripadnost, ili članstvo u sindikatima, religijsko, filozofsko ili drugo uvjerenje, zdravstveno stanje, genetski kod, seksualni život;
b) krivične presude;
c) biometrijske podatke;
- zbirka ličnih podataka je bilo koji sistemski skup ličnih podataka koji su dostupni prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili razvrstani na funkcionalnom i geografskom osnovu ili postavljeni u skladu s posebnim kriterijima koji se odnose na lice i koji omogućavaju nesmetan pristup ličnim podacima u dosjeu;
- obrada ličnih podataka podrazumijeva bilo koju radnju ili skup radnji koje se vrše nad podacima, bilo da je automatska ili ne, a posebno prikupljanje, unošenje, organiziranje, pohranjivanje, prerađivanje ili izmjenu, uzimanje, konsultiranje, korištenje, otkrivanje prijenosom, širenje ili na drugi način omogućavanje pristupa podacima, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje;
- anonimni podaci su podaci koji se u svojoj originalnoj formi ili nakon njihove obrade ne mogu dovesti u vezu s nosiocem podataka u smislu njegove identifikacije;
- kontrolor je svaki javni organ, fizičko ili pravno lice, agencija ili drugi organ koji samostalno ili zajedno s drugim vodi, obrađuje i utvrđuje svrhu i način obrade ličnih podataka na osnovu zakona ili propisa; obrađivač je fizičko ili pravno lice, javni organ, agencija ili drugi organ koji obrađuje lične podatke u ime kontrolora;
- treća strana je bilo koje fizičko ili pravno lice, javni organ, agencija ili bilo koje drugo tijelo, osim nosioca podataka, kontrolora, obrađivača i lica koja su pod direktnom nadležnošću kontrolora ili obrađivača, ovlašteni da obrađuju podatke;
- saglasnost nosioca podataka je svaka konkretna i svjesna naznaka želje nosioca podataka data slobodnom voljom kojom nosilac podataka daje svoj pristanak da se njegovi lični podaci obrađuju;
- primalac znači fizičko ili pravno lice, javni organ, agenciju ili drugi organ kojem se otkrivaju podaci, bez obzira jesu li treća strana ili ne; organi koji mogu primiti podatke u okviru posebnog zahtjeva ne smatraju se kao primaoci.
POGLAVLjEII. OSNOVNI PRINCIPI ZAKONITE OBRADE LIČNIH PODATAKA
(Principi obrade ličnih podataka)
Član 4.
Kontrolor je obavezan da:
a) lične podatke obrađuje na pravičan i zakonit način;
b) lične podatke koje prikuplja za posebne, izričite i zakonite svrhe ne obrađuje na bilo koji način koji nije u skladu s tom svrhom;
c) lične podatke obrađuje samo u mjeri i obimu koji je neophodan za ispunjenje određene svrhe;
d) obrađuje samo autentične i tačne lične podatke, te da ih ažurira kada je to potrebno;
e) lične podatke koji su netačni i nepotpuni, s obzirom na svrhu zbog koje su prikupljeni ili se dalje obrađuju, izbriše ili ispravi;
f) lične podatke obrađuje samo u vremenskom periodu koji je neophodan za ispunjenje svrhe u koju su podaci prikupljeni;
g) lične podatke čuva u formi koja dopušta identificiranje nosioca podataka ne duže nego što je to potrebno za svrhu u koju se podaci prikupljaju ili dalje obrađuju;
h) osigura da se lični podaci koji su prikupljeni u različite svrhe ne objedinjuju ili kombiniraju.
(Saglasnost nosioca podataka)
Član 5.
(1) Kontrolor može obrađivati lične podatke uz saglasnost nosioca podataka.
(2) Saglasnost mora biti data u pisanoj formi, mora je potpisati nosilac podataka, mora imati tačnu naznaku podataka u vezi s kojima se saglasnost za obradu posebne kategorije ličnih podataka. daje, te mora sadržavati ime kontrolora, svrhu i vremenski period na koji se saglasnost daje.
(3) Saglasnost može biti povučena u bilo kojem trenutku, osim ako se nosilac podataka i kontrolor izričito ne dogovore drugačije.
(4) Kontrolor će morati na zahtjev nadležnog organa, u svako vrijeme, dokazati da postoji saglasnost za period obrade ličnih podataka.
(5) Kontrolor je dužan čuvati saglasnost za vrijeme obrade ličnih podataka za čiju obradu je ona data.
(Pravo na obradu ličnih podataka bez saglasnosti nosioca podataka)
Član 6.
Kontrolor može obrađivati podatke, bez saglasnosti nosioca podataka, ako je ispunjen jedan od sljedećih uslova:
a) ako vrši obradu ličnih podataka u skladu sa zakonom ili je obrada neophodna da bi se ispunile nadležnosti utvrđene zakonom;
b) ako je neophodno da nosilac podataka na vlastiti zahtjev pristupi pregovorima o ugovornom odnosu ili da se ispune obaveze koje su dogovorene s kontrolorom;
c) ako je neophodno da se zaštite vitalni interesi nosioca podataka mora se bez odgađanja pribaviti saglasnost nosioca podataka ili se mora prekinuti obrada podataka, a prikupljeni podaci moraju se uništiti;
d) ako je obrada ličnih podataka potrebna za ispunjenje zadatka koji se izvršava u javnom interesu;
e) ako je neophodna zaštita zakonitih prava i interesa koje ostvaruje kontrolor ili treća strana, i ako ova obrada ličnih podataka nije u suprotnosti s pravom nosioca podatka da zaštiti vlastiti privatni i lični život;
f) ako je neophodno za izvršavanje legitimnih aktivnosti političkih stranaka, pokreta, udruženja građana, sindikalnih organizacija i vjerskih zajednica "osim gdje prevladavaju interesi za osnovna prava i slobode nosioca podataka nad aktivnostima, posebno pravo na privatnost u odnosu na obradu ličnih podataka.
(Autentičnost podataka)
Član 7.
(1) Kontrolor je obavezan provjeriti da li su lični podaci autentični i tačni.
(2) Ako nepotpuni i netačni lični podaci ne mogu biti ispravljeni ili dopunjeni, a uzimajući u obzir svrhu u koju se prikupljaju ili u koju se dalje obrađuju, kontrolor ih mora bez odgađanja uništiti.
(Spajanje evidencija)
Član 8.
(1) Kontrolor koji obrađuje lične podatke na osnovu posebnog zakona obavezan je da poštuje prava na zaštitu privatnog i ličnog života nosioca podataka.
(2) Lični podaci ne mogu se prenositi a dosjei i evidencije ne mogu se spajati (udruživati, sjedinjavati ili na drugi način povezivati) ako nisu ispoštovane obaveze utvrđene u stavu (1) ovog člana.
(3) Spajanje evidencija i dosjea, prema stavu (2) ovog člana, može se uraditi samo ako obradu ličnih podataka obavlja isti kontrolor.
(Obrada posebnih kategorija ličnih podataka)
Član 9.
(1) Obrada posebnih kategorija ličnih podataka zabranjena je.
(2) Izuzetno od odredbe stava (1) ovog člana, obrada posebne kategorije ličnih podataka dozvoljena je ako:
a) je nosilac