Usvajanjem novog Zakona o zaštiti ličnih podataka BiH organizacije u BiH dobile su niz konkretnih obaveza koje moraju postepeno implementirati.
Provjera postojećih procesa obrade podataka (član 7.)
Prvi korak je analiza svih procedura koje se odnose na prikupljanje i obradu ličnih podataka. Posebno se provjerava:
- da li se obrada vrši zakonito, pravično i transparentno,
- da li je svrha obrade jasno određena,
- da li se prikupljaju samo podaci koji su stvarno potrebni,
- tačnost podataka i potreba za redovnim ažuriranjem,
- rokovi čuvanja i njihovo preispitivanje,
- adekvatnost tehničkih i organizacionih mjera zaštite,
- integritet i pouzdanost podataka.
Primjena tehničkih i organizacionih mjera zaštite (član 26.)
Kontrolor podataka je obavezan da uvede mjere zaštite koje odgovaraju prirodi i obimu obrade. To podrazumijeva procjenu:
- vrste podataka koji se obrađuju,
- rizika za nosioce podataka,
- svrhe i konteksta obrade.
Ugradnja zaštite podataka u sam proces obrade (član 27.)
Zakon zahtijeva primjenu principa „zaštite podataka po dizajnu". To uključuje:
- pseudonimizaciju,
- enkripciju,
- tehničke i organizacione mjere koje obezbjeđuju zakonitu obradu podataka od samog početka.
Vodenje evidencije o aktivnostima obrade (član 32.)
Ako se na vas odnosi ova obaveza, potrebno je voditi evidenciju u propisanom obliku — sa jasnim informacijama o vrstama podataka, svrsi obrade, korisnicima, rokovima čuvanja i mjerama zaštite.
Imenovanje službenika za zaštitu ličnih podataka (član 39.)
Organizacija koja ispunjava uslove iz zakona mora imenovati službenika za zaštitu ličnih podataka (DPO). On nadzire pravilnu primjenu Zakona, obučava zaposlene i predstavlja vezu sa Agencijom.
Omogućavanje ostvarivanja prava nosiocima podataka (članovi 14–23.)
Organizacije moraju obezbijediti jednostavan i efikasan način da građani ostvare svoja prava, uključujući:
- pravo na pristup,
- ispravku,
- brisanje,
- ograničenje obrade,
- prenosivost podataka,
- prigovor na obradu.